Interne Untersuchungen gehören zum Kerngeschäft jeder ernstzunehmenden Compliance-Abteilung. Ob Hinweise aus dem Whistleblower-System, Verdacht auf Korruption, Datenschutzverstöße oder Compliance-Verletzungen im Lieferantennetzwerk: Die Menge und Komplexität der zu sichtenden Daten wächst kontinuierlich. Künstliche Intelligenz verspricht hier Abhilfe. Sie analysiert E-Mails, Chat-Protokolle, Verträge und Transaktionsdaten in kurzer Zeit, erkennt Muster und priorisiert Verdachtsfälle. Doch der Einsatz von KI birgt erhebliche Risiken, insbesondere dann, wenn sensible, personenbezogene oder geschäftskritische Informationen in öffentliche oder cloudbasierte KI-Systeme eingespeist werden.

Die Vorteile sind real

KI-Tools können in internen Untersuchungen echten Mehrwert schaffen. In puncto Geschwindigkeit und Skalierbarkeit erledigt eine KI in Stunden, wofür Teams früher Wochen benötigten. Sie kann Millionen von Dokumenten nach relevanten Stichworten, Anomalien oder Kommunikationsmustern durchsuchen. Hinzu kommt ein struktureller Objektivitätsvorteil, denn KI bewertet konsistent und ohne persönliche Vorurteile. Besonders wertvoll ist die Fähigkeit, versteckte Zusammenhänge zu erkennen. Durch Natural Language Processing und Graph-Analyse werden Verbindungen sichtbar, die ein menschliches Team übersehen würde, etwa indirekte Hinweise auf Interessenkonflikte oder ungewöhnliche Zahlungsströme.

Viele Compliance-Teams nutzen bereits KI-gestützte Tools für eDiscovery, Sentiment-Analyse von Whistleblower-Meldungen oder die automatisierte Auswertung von Transaktionsdaten. Der Nutzen ist unbestritten, solange die Daten sicher bleiben.

Das Kernproblem: Was mit den Daten wirklich passiert

Hier beginnt die kritische Betrachtung. Viele der leistungsstärksten KI-Modelle, insbesondere cloudbasierte Lösungen großer Anbieter, werden kontinuierlich mit den Eingaben der Nutzer weitertrainiert. Das hat konkrete Konsequenzen.

Wer vertrauliche E-Mails, Personaldaten, Geschäftsgeheimnisse oder laufende Untersuchungsakten in ein öffentliches KI-Tool eingibt, riskiert, dass diese Informationen in den Trainingsdatensatz des Modells einfließen. Zwar bieten Anbieter Opt-out-Optionen an, doch in der Praxis ist die technische und rechtliche Absicherung häufig nicht wasserdicht. Was heute ausschließlich für eine interne Untersuchung verwendet wird, könnte morgen in einer Antwort an einen anderen Nutzer auftauchen.

Besonders brisant ist dies aus vier rechtlichen Perspektiven:

1. Der Datenschutz: Personenbezogene Daten von Mitarbeitern, Lieferanten oder Kunden unterliegen der DSGVO. Art. 5 DSGVO verlangt Datensparsamkeit und Zweckbindung, Art. 32 DSGVO schreibt technische und organisatorische Maßnahmen zur Datensicherheit vor. Wer Untersuchungsdaten unkontrolliert in externe KI-Systeme eingibt, verstößt potenziell gegen beide Grundsätze.
2. Das Geschäftsgeheimnisgesetz (GeschGehG): Gemäß § 2 Nr. 1 GeschGehG sind Geschäftsgeheimnisse nur dann rechtlich geschützt, wenn das Unternehmen angemessene Geheimhaltungsmaßnahmen ergriffen hat. Wer Geschäftsgeheimnisse in ein öffentliches KI-System eingibt, ohne eine vertragliche Absicherung zu treffen, riskiert, diesen Schutz zu verlieren. § 4 GeschGehG stellt die unbefugte Offenbarung von Geschäftsgeheimnissen unter Rechtsfolgen. Ergänzend droht nach § 23 GeschGehG eine strafrechtliche Verfolgung, wenn Geheimnisse unbefugt an Dritte weitergegeben werden. Die unkontrollierte Weitergabe an einen KI-Anbieter kann genau diesen Tatbestand erfüllen.
3. Das Strafgesetzbuch (StGb): § 203 StGB stellt die unbefugte Offenbarung von Privatgeheimnissen unter Strafe. Dieser Paragraph ist in internen Untersuchungen höchst relevant, wenn externe Berater mit Schweigepflicht (etwa Anwälte oder Steuerberater) in den Prozess eingebunden sind und KI-Tools nutzen. Die Weitergabe von Mandantendaten oder personenbezogenen Mitarbeiterinformationen an ein unkontrolliertes KI-System kann den Tatbestand des § 203 StGB erfüllen.
4. Berufsrechtliche und regulatorische Geheimhaltungspflichten: Für Unternehmen in regulierten Branchen kommen das Bankgeheimnis, das Steuergeheimnis nach § 30 AO sowie behördliche Meldepflichten gegenüber der BaFin oder der Staatsanwaltschaft hinzu. Ein unkontrollierter Datenaustausch mit KI-Systemen kann diese Pflichten verletzen, ohne dass dies im Moment der Eingabe erkennbar ist.

Die Dimension des Hinweisgeberschutzgesetzes

Eine besonders sensible Datenkategorie in internen Untersuchungen sind Hinweisgebermeldungen. Das seit 2023 in Deutschland geltende Hinweisgeberschutzgesetz (HinSchG) verpflichtet Unternehmen mit mehr als 50 Mitarbeitern in § 10 HinSchG zur Vertraulichkeit der Identität des Hinweisgebers. Diese Vertraulichkeitspflicht ist absolut: Sie gilt gegenüber allen Dritten, ausdrücklich auch gegenüber Dienstleistern und Technologieanbietern. Wer Hinweisgebermeldungen, auch in vermeintlich anonymisierter Form, in ein externes KI-System eingibt, riskiert einen schwerwiegenden Verstoß gegen § 10 HinSchG. Im schlimmsten Fall lässt sich aus dem Kontext einer Meldung die Identität des Hinweisgebers rekonstruieren, mit erheblichen rechtlichen und menschlichen Konsequenzen.

Die handelsrechtliche Perspektive

Auch das HGB ist in diesem Kontext nicht zu vernachlässigen. Vorstände und Geschäftsführer sind nach § 93 AktG bzw. § 43 GmbHG zur Sorgfaltspflicht verpflichtet. Wer als Führungskraft den unkontrollierten Einsatz von KI duldet oder anordnet, ohne die datenschutz- und geheimnisschutzrechtlichen Risiken zu prüfen, muss mit dem Vorwurf einer Pflichtverletzung rechnen. Hinzu kommt § 257 HGB, der die Aufbewahrungspflichten für Geschäftsunterlagen regelt. Wenn Untersuchungsdaten in externe KI-Systeme wandern und dort nicht mehr kontrollierbar sind, stellt sich die Frage, ob die Integrität und Verfügbarkeit dieser Daten noch im Sinne des Gesetzes gewährleistet ist.

Die rechtlichen Konsequenzen sind erheblich

Ein einziger Datenleck kann zu DSGVO-Bußgeldern von bis zu vier Prozent des weltweiten Jahresumsatzes nach Art. 83 Abs. 4 und 5 DSGVO führen, Schadensersatzansprüche betroffener Mitarbeiter nach Art. 82 DSGVO auslösen, zivilrechtliche Ansprüche nach §§ 10 ff. GeschGehG nach sich ziehen, strafrechtliche Ermittlungen nach § 23 GeschGehG oder § 203 StGB einleiten und einen Compliance-Skandal durch den entstandenen Reputationsschaden erst richtig eskalieren lassen.

Hinzu kommt der EU AI Act, der seit 2026 schrittweise Anwendung findet. KI-Einsatz in Compliance-Untersuchungen gilt als Hochrisiko-Anwendung im Sinne von Anhang III der Verordnung und unterliegt strengen Transparenz-, Dokumentations- und Risikomanagementpflichten. Wer sensible Daten in ein unzureichend abgesichertes Modell eingibt, riskiert damit nicht nur einen Verstoß gegen Datenschutzrecht, sondern auch gegen das neue KI-Recht.

Warum Anonymisierung allein trügt

Viele Compliance-Verantwortliche denken, dass es ausreicht, Namen zu schwärzen. Das ist jedoch ein Trugschluss. Moderne KI-Modelle sind sehr gut darin, aus Kontexten Rückschlüsse zu ziehen. Eine scheinbar anonymisierte E-Mail-Kette mit Abteilungsbezeichnungen, Projektnamen, Beträgen und Zeitabläufen lässt sich häufig de-anonymisieren, erst recht, wenn das Modell bereits mit öffentlich zugänglichen Unternehmensdaten trainiert wurde. Aus Sicht des GeschGehG bedeutet das: Die bloße Schwärzung von Namen reicht nicht aus, um den erforderlichen Geheimnisschutz nach § 2 Nr. 1 GeschGehG zu gewährleisten. Für Hinweisgebermeldungen gilt dasselbe: Die Vertraulichkeitspflicht des § 10 HinSchG ist durch oberflächliche Anonymisierung nicht erfüllbar.

Was in der Praxis funktioniert

Wer KI in internen Untersuchungen einsetzen möchte, sollte einige Grundsätze konsequent beherzigen. Die sicherste Grundlage bieten Private- oder On-Premise-Lösungen: Modelle, die vollständig im eigenen Rechenzentrum oder in einer vertraglich abgesicherten Cloud-Instanz laufen, geben klare Garantien, dass Eingaben nicht für das Training verwendet werden. Zudem muss jeder KI-Anbieter eine Auftragsverarbeitungsvereinbarung nach Art. 28 DSGVO vorweisen, in der explizit zugesichert wird, dass Eingaben nicht ins Modell-Training einfließen. Datenminimierung ist dabei kein bürokratisches Prinzip, sondern ein echtes Schutzinstrument im Sinne von Art. 5 Abs. 1 lit. c DSGVO: Nur das absolut Notwendige sollte eingegeben werden. Für kritische Fälle, insbesondere bei Hinweisgebermeldungen, empfiehlt sich eine menschliche Vorprüfung nach dem Vier-Augen-Prinzip. Schließlich benötigt jede Organisation eine klare interne Richtlinie zum KI-Einsatz in Untersuchungen, mit definierten Genehmigungsprozessen, verbotenen Eingabetypen und Dokumentationspflichten, auch als Nachweis ordnungsgemäßer Sorgfalt im Sinne von § 93 AktG bzw. § 43 GmbHG.

Fazit

Künstliche Intelligenz kann interne Untersuchungen erheblich beschleunigen und Compliance-Abteilungen wirksam entlasten. Sie ersetzt jedoch nicht die Verantwortung der handelnden Personen für den Schutz sensibler Informationen. Wer Untersuchungsdaten leichtfertig in KI-Systeme einspeist, die daraus lernen und diese Erkenntnisse potenziell für Dritte verfügbar machen, riskiert nicht nur einen Compliance-Verstoß, sondern auch einen handfesten Skandal im Skandal. Die Devise lautet daher: KI dort einsetzen, wo sie echten Mehrwert schafft, aber stets mit den notwendigen technischen, vertraglichen und organisatorischen Sicherungen. Denn in der Compliance geht es nicht nur darum, Verstöße aufzudecken, sondern auch darum, dass die eigene Organisation dabei selbst compliant bleibt.