Warum Regulierungsbehörden und Investoren von Unternehmen die Bewältigung eines dreifachen Risikos erwarten

Organisationen sorgen sich um Sicherheits- und Datenschutzrisiken. Und in jüngster Zeit haben sie auch den Risiken der künstlichen Intelligenz Aufmerksamkeit geschenkt. Aber wie oft denken sie in einem Gespräch an alle drei Aspekte?

Es wird zunehmend deutlich, dass dies auch so sein sollte. Gesetze zu Datenschutz, Cybersicherheit und KI haben vervierfacht seit 2016 in den USA, der EU, Großbritannien und China.

Die SEC hat bereits bewiesen, dass sie es mit der Cybersicherheit ernst meint. Ihre Cybersicherheitsregeln, die im Dezember 2023 in Kraft treten, verändern bereits die Art und Weise, wie börsennotierte Unternehmen mit der Offenlegung von Sicherheitsvorfällen umgehen. Formular 8-K, Punkt 1.05, jetzt erfordert Unternehmen müssen wesentliche Cybersicherheitsvorfälle innerhalb von vier Werktagen nach Feststellung der Wesentlichkeit melden, nicht ab dem Zeitpunkt der Entdeckung. Formular 10-K, Punkt 106, schreibt die jährliche Offenlegung von Risikomanagementprozessen und Aufsichtsstrukturen durch den Vorstand vor.

Die Kommission scheut sich nicht, Unternehmen zu bestrafen, die ihrer Ansicht nach Sicherheitsvorfälle verharmlost haben. Im Oktober 2024, etwas mehr als ein Jahr später, schloss die SEC Vergleiche in Durchsetzungsverfahren gegen vier börsennotierte Unternehmen (Unisys, Avaya, Check Point und Mimecast) ab, weil diese Anleger über die Auswirkungen des SolarWinds-Cyberangriffs von 2020 irregeführt hatten. Die Gesamtstrafen beliefen sich auf fast 7 Millionen US-Dollar. Allein Unisys zahlte 4 Millionen US-Dollar, weil das Unternehmen Cyberrisiken in seinen Berichten als „hypothetisch“ bezeichnet hatte, obwohl interne Teams von tatsächlichen Angriffen wussten.

Zwischen Dezember 2023 und Januar 2025 wurden 55 Cybersicherheitsvorfälle über Formular 8-K gemeldet. Zusätzlich zu den Maßnahmen im Zusammenhang mit SolarWinds zahlte Flagstar im Dezember 2024 3.55 Millionen US-Dollar, weil das Unternehmen einen Datenverstoß, der 1.5 Millionen Menschen betraf, fälschlicherweise als bloßen „Zugriff“ bezeichnet hatte, obwohl tatsächlich Daten abgeflossen waren.

Diese Strafen verdeutlichen die Notwendigkeit, die Offenlegung von Cybersicherheitsrisiken mit einem umfassenderen Risikomanagement für Unternehmen zu verknüpfen. Die Gründung der neuen Einheit für Cybersicherheit und neue Technologien (CETU) durch die SEC im Februar 2025 signalisiert, dass diese Überprüfung fortgesetzt wird. Diese Einheit ersetzte die bisherige Einheit für Krypto-Assets und Cybersicherheit. CETU deutet zudem auf die Bedeutung der Berücksichtigung von KI bei diesen Risiken hin, da sie KI und Cybersicherheitspraktiken ausdrücklich in ihr Mandat aufnimmt.

Fragmentierte Regierungsführung führt zu kumulativen Risiken

Amerikanische Unternehmen mit Niederlassungen in Europa stehen zusätzlich unter Druck durch die EU-KI-Richtlinie, die im August 2024 in Kraft trat. Das Gesetz, dessen Einhaltungsfristen bis 2027 gestaffelt sind, gilt extraterritorial. US-Unternehmen, die KI-Systeme auf dem EU-Markt platzieren oder KI einsetzen, deren Ergebnisse EU-Nutzer betreffen, müssen die Richtlinie einhalten.

Es steht viel auf dem Spiel. Die Strafen für verbotene KI-Praktiken betragen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Hochrisikokategorien, darunter KI für Einstellungsentscheidungen, Kreditwürdigkeitsprüfungen und medizinische Diagnostik, erfordern Konformitätsbewertungen, technische Dokumentationen und menschliche Kontrollmechanismen. Verbote für KI-Systeme mit inakzeptablem Risiko traten im Februar 2025 in Kraft.

Künstliche Intelligenz taucht in Offenlegungsdokumenten auf.

Die Erwartungen der Anleger verändern sich mit der Weiterentwicklung dieser Risiken. Aufsichtsbehörden und Aktionäre machen deutlich, dass das alte Modell, bei dem separate Teams Cybersicherheit, Datenschutz und KI als voneinander getrennte Bereiche verwalten, nicht mehr praktikabel ist.

Künstliche Intelligenz hat sich mit bemerkenswerter Geschwindigkeit von den Diskussionen über Geschäftschancen im Aufsichtsrat in den Abschnitt über Risikofaktoren in Geschäftsberichten verlagert. 72 Prozent der S&P-500-Unternehmen jetzt wesentliche KI-Risiken offenlegen, gegenüber nur 12 Prozent im Jahr 2023. Die am häufigsten genannten Bedenken sind Reputationsschäden (38 Prozent der offenlegenden Unternehmen), Auswirkungen auf die Cybersicherheit und regulatorische Unsicherheit.

Die Aufsicht durch den Vorstand folgte. Laut ISS-Corporate31.6 Prozent der S&P-500-Unternehmen gaben in ihren Stimmrechtsmitteilungen für 2024 an, dass der Vorstand die KI-Aktivitäten überwacht. Das entspricht einem Anstieg von 84 Prozent gegenüber dem Vorjahr.

Unternehmen, die keine solche Aufsicht ausüben, riskieren erhebliche Schäden für ihre Aktionäre, was zu potenziell negativen Abstimmungsempfehlungen führen könnte. Im vergangenen Jahr veröffentlichte Glass Lewis, ein Stimmrechtsberater, der institutionelle Aktionäre in Abstimmungsfragen berät, neue Leitlinien, die sich direkt mit der Governance von KI befassen.

Das Problem bei der getrennten Behandlung von Cybersicherheit, Datenschutz und KI besteht darin, dass Vorfälle in den einzelnen Bereichen Auswirkungen auf die jeweils anderen haben. Ein einziger Verstoß kann gleichzeitig Meldepflichten gegenüber der SEC, Benachrichtigungspflichten gemäß DSGVO, Datenschutzgesetze der Bundesstaaten und (wenn personenbezogene Daten ein KI-System trainiert haben) neue KI-Regulierungen auslösen.

Es ist also an der Zeit, die Betrachtung dieser Risikobereiche zusammenzuführen, aber das ist alles andere als einfach. Gemäß Laut dem Governance-Ausblick der National Association of Corporate Directors vom Juli 2025 ist KI mittlerweile für 61 Prozent der Aufsichtsräte ein alltägliches Thema, doch nur wenige haben sie richtig in ihre Governance-Strukturen integriert.

Warum? Kulturelle Unterschiede sind ein Grund. Sicherheits-, Datenschutz- und KI-Teams haben in der Vergangenheit mit unterschiedlichen Fachsprachen, Risikorahmen und Berichtsstrukturen gearbeitet.

Die Technologieintegration bringt zusätzliche Schwierigkeiten mit sich; isolierte GRC-Tools führen zu fragmentierten Ansätzen bei der Risikobewertung, der Auditdokumentation und der Beweiserhebung. Budgetbeschränkungen erzwingen schmerzhafte Kompromisse zwischen dem Aufbau einer integrierten Infrastruktur und der Einhaltung unmittelbarer Compliance-Fristen.

Standardisierungsrahmen bieten einen Weg nach vorn

Die gute Nachricht: Wichtige Normungsorganisationen haben diese Konvergenz vorhergesehen. Die High-Level-Struktur der ISO bedeutet, dass ISO 27001 (Informationssicherheit), ISO 27701 (Datenschutz) und die neuere ISO 42001 (KI-Managementsysteme) kompatible Architekturen aufweisen. Dies ermöglicht es Organisationen, einheitliche Managementsysteme anstelle paralleler Bürokratien aufzubauen.

Die praktische Integration beginnt typischerweise mit funktionsübergreifenden Lenkungsausschüssen, die Vertreter aus den Bereichen Datenschutz, Cybersicherheit, Recht und KI umfassen. Darauf aufbauend entwickeln Organisationen gemeinsame Risikoklassifizierungen und (sofern das Budget es zulässt) einheitliche GRC-Plattformen, die redundante Bewertungen vermeiden. Die Rollengrenzen verschwimmen bereits: Laut einer Umfrage von IAPP und EY haben 69 Prozent der Datenschutzbeauftragten Verantwortung für die KI-Governance übernommen.

Organisationen, die ihre Praktiken nicht in diese Richtung weiterentwickeln, riskieren regulatorische Konsequenzen. Diejenigen, die dies tun, profitieren hingegen von geringeren regulatorischen Hürden, einem reduzierten Prüfungsaufwand und einem stärkeren Vertrauen der Anleger.