Beratung

Stand 28.06.2023 - Information über das neue Hinweisgeberschutzgesetz (HinSchG)

Nach zähem Ringen tritt nun am 02.07.2023 das Hinweisgeberschutzgesetz (HinSchG) in Kraft. Für Unternehmen ab 250 Beschäftigten bedeutet dies, dass sie ab diesem Zeitpunkt interne Hinweisgebersysteme bereithalten müssen. Zum 17.12.2023 sind dann auch Unternehmen mit einer Mitarbeiterzahl ab 50 Personen verpflichtet, sichere Hinweisgebersysteme einzurichten und bereitzuhalten.

Ziele des Hinweisgeberschutzgesetzes

Mit dem Hinweisgeberschutzgesetz wird der bislang lückenhafte und unzureichende Schutz von Hinweisgebern* ausgebaut und die EU-Whistleblower-Richtlinie ([EU] 2019/1937) in deutsches Recht umgesetzt.

Das HinSchG regelt den Schutz natürlicher Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Verstöße gegen geltendes Recht erlangt haben und diese an die/eine interne oder externe Meldestelle weitergeben (hinweisgebende Personen). Einbezogen in die Regelungen sind Arbeitnehmer, Beamte, Selbstständige, Gesellschafter, Praktikanten, Freiwillige, Mitarbeitende von Lieferanten sowie Personen, deren Arbeitsverhältnis bereits beendet ist oder noch nicht begonnen hat und/oder die sich in einem vorvertraglichen Stadium befinden.

Der Schutz von Hinweisgebern und sonstigen durch Meldung betroffene Personen wird damit gestärkt, und es soll sichergestellt werden, dass ihnen infolge bzw. aufgrund von Meldungen keine Benachteiligungen drohen. Daher verbietet das HinSchG jegliche Repressalien und Vergeltungsmaßnahmen gegenüber den hinweisgebenden Personen und bewirkt eine Beweislastumkehr zugunsten der Hinweisgeber.

Bislang existierte in Deutschland keine umfassend einheitliche Gesetzgebung zum Schutz von Hinweisgebern. Hinweisgeber können jedoch sehr wertvolle Beiträge leisten, das Fehlverhalten natürlicher oder juristischer Personen aufzudecken und die negativen Folgen dieses Fehlverhaltens einzudämmen beziehungsweise zu korrigieren.

Wesentliche Eckpunkte des HinSchG

• Unternehmen ab 250 Beschäftigten müssen bis zum 02.07.2023 sichere Hinweisgebersysteme einführen.
• Unternehmen mit 50 bis 249 Beschäftigten müssen bis zum 17.12.2023 sichere Hinweisgebersysteme einführen.
• Auch Unternehmen des öffentlichen Sektors sowie Städte und Kommunen mit mehr als 10.000 Einwohnerinnen und Einwohnern fallen unter das Gesetz und müssen ab Mitte Juni Hinweisgebersysteme anbieten.
• Das Verfahren der Meldungsabgabe muss mündlich oder schriftlich und auf Wunsch des Hinweisgebers / der Hinweisgeberin auch persönlich möglich sein.
• Die interne Meldestelle muss dem Hinweisgeber / der Hinweisgeberin innerhalb von 7 Tagen den Eingang der Meldung bestätigen.
• Die Meldestelle muss die hinweisgebende Person innerhalb von drei Monaten darüber informieren, welche Maßnahmen infolge der Meldung ergriffen wurden, z. B. über die Einleitung interner Untersuchungen und/oder über die Weitergabe der Meldung an die zuständige Behörde.
• Anwendungsbereiche sind EU-Recht und nationales Recht, wenn es sich um strafbewehrte (Straftat) oder bußgeldbewehrte (Ordnungswidrigkeit) Vergehen handelt.
• Unternehmen müssen die Identität der Hinweisgebenden schützen, dabei jedoch die Vorgaben der DSGVO einhalten.
• Unternehmen müssen Informationen über zuständige Aufsichtsbehörde(n) bereithalten.

Die wichtigsten Anforderungen und Inhalte des HinSchG im Überblick

1. Zugang zu zwei Meldekanälen

• einen internen Meldekanal in der Organisation 
• eine externe Meldestelle, die beim Bundesamt für Justiz (BfJ) eingerichtet wird

2. Anreize zur Nutzung interner Meldekanäle

Zwar können Hinweisgeber grundsätzlich frei entscheiden, ob sie die interne Meldestelle oder die allgemeine externe Meldestelle nutzen möchten. Nach Vorgabe des HinSchG sollen interne Meldestellen jedoch vorrangig genutzt werden.

Daher sollen Unternehmen Anreize schaffen, damit Hinweisgeber bevorzugt auf die internen Meldekanäle zurückgreifen, allerdings darf die Nutzung der externen Meldestellen nicht behindert werden.

Für die Nutzung des internen Meldeverfahrens sind klare und leicht zugängliche Informationen bereitzustellen, wie die interne Meldestelle zu nutzen ist.

3. Verstöße gegen europäisches UND nationales Recht

Anders als die EU-Richtlinie umfasst das HinSchG auch Verstöße gegen das nationale Recht, wodurch es über die Mindestanforderungen der europäischen Regelung hinausgeht. Voraussetzung für die Anwendung des HinSchG ist jedoch, dass es sich bei dem Verstoß um bestimmte straf- oder bußgeldbewehrte Vorgänge bzw. Verstöße, also Straftaten oder Ordnungswidrigkeiten, handelt.

Der Anwendungsbereich bleibt allerdings auf den beruflichen Kontext beschränkt, d. h., Hinweise über Verstöße fallen nur dann in den Anwendungsbereich und damit unter den Schutz des Gesetzes, wenn sie sich auf den Arbeitgeber oder andere Stellen beziehen, mit dem/denen der Hinweisgebende beruflich in Kontakt steht oder stand.

4. Aufnahme und Bearbeitung anonymer Hinweise

Zwar verpflichtet das HinSchG nicht dazu, auch anonymen Hinweisen nachzugehen, aber es empfiehlt – aus nachvollziehbaren Gründen –, gerade auch solche Hinweise anzunehmen und zu bearbeiten.

5. Vom Schutz des Gesetzes umfasst

Vom Schutz des HinSchG umfasst sind folgende Personen/-gruppen:

• die hinweisgebende Person selbst
• Personen, die die hinweisgebende Person unterstützen
• Personen, die Gegenstand einer Meldung sind
• sonstige Personen, die von einer Meldung betroffen sind.

6. Verbot von Repressalien

Repressalien sowie jegliche Art von Vergeltungsmaßnahmen, ebenso die Androhung und der Versuch, Repressalien gegenüber der hinweisgebenden Person auszuüben, sind untersagt. Ein Verstoß gegen dieses Verbot führt, im Falle eines Schadens, zu einem Schadensersatzanspruch.

Zu beachten ist, dass es nach dem HinSchG der Beschäftigungsgeber ist, der nachweisen muss, dass eventuelle Maßnahmen gegen Arbeitnehmer nicht im Zusammenhang mit der Aufdeckung von Missständen stehen, d. h., der Beschäftigungsgeber trägt die Beweislast.

7. Schutz der hinweisgebenden Personen

Grundsätzlich steht die hinweisgebende Person unter dem Schutz des Gesetzes, sofern sie zum Zeitpunkt der Meldung bzw. Offenlegung hinreichenden Grund zu der Annahme hatte, dass die gemeldeten/offengelegten Informationen der Wahrheit entsprechen und die Informationen Verstöße betreffen, die in den Anwendungsbereich des Gesetzes fallen.

Nicht geschützt sind Hinweisgeber bei falschen Verdächtigungen, die sehr weitreichende und gravierende Folgen für die beschuldigte Person haben können. Trotzdem dürfen keine übertriebenen Anforderungen an die Hinweisgeber in Bezug auf die Überprüfung der Richtigkeit der Informationen gestellt werden. Daher besteht der Schutz für Hinweisgeber auch in solchen Fällen, in denen sich der Hinweis als nicht zutreffend herausstellt, der Hinweisgeber zum Zeitpunkt der Meldung jedoch davon ausgehen konnte, dass der Hinweis korrekt ist.

Kein Schutz besteht zudem im Falle einer vorsätzlichen oder grob fahrlässigen Weitergabe unrichtiger Informationen, vielmehr ist die böswillig hinweisgebende Person in derartigen Fällen zum Ersatz des entstandenen Schadens verpflichtet.

8. Regelungen in Konzernen

Nach der bisherigen Auffassung der EU-Kommission aus dem Jahr 2021 stellt ein konzernweit zentrales Hinweisgebersystem bei der Muttergesellschaft keine zulässige Ressourcenteilung dar, sodass Tochtergesellschaften, die aufgrund ihrer Mitarbeiterzahl in den Anwendungsbereich des HinSchG fallen, (zusätzlich) ein dezentralisiert eigenes Hinweisgebersystem einrichten müssen.

Das HinSchG dagegen spricht sich durchaus für ein sog. Konzernprivileg aus, d. h., dass konzernweite Meldestellen zulässig sein sollen. Erforderlich ist dabei aber, dass die originäre Verantwortung dafür, einen festgestellten Verstoß zu beheben und weiterzuverfolgen, immer bei dem jeweilig beauftragenden Konzernunternehmen verbleibt. Zudem muss für die hinweisgebende Person ein leichter Zugang gewährleistet sein, d. h., es darf keine sprachlichen Barrieren geben.

Aufgrund dieses Widerspruchs des HinSchG auf nationaler Ebene zur Auffassung der EU-Kommission halten wir es aktuell für konzernnachgeordnete Unternehmen oder Firmenteile eher für ratsam, nicht auf die Zulässigkeit konzernweiter Meldestellen zu setzen, sondern eigene, separat interne Meldestellen einzurichten.

9. Anforderungen an die interne Meldestelle

Das Gesetz stellt strenge Anforderungen an die Vertraulichkeit hinsichtlich der eingehenden Meldungen, was Auswirkungen auf die technische Ausgestaltung des internen Meldekanals hat. Wirklich richtlinienkonform kann wohl nur ein entsprechend abgesichertes, datenschutzkonform ausgestaltetes, verschlüsseltes und DSGVO-konform gehostet digitales Hinweisgebersystem sein.

Von besonderer Bedeutung ist außerdem natürlich der Schutz zur Vertraulichkeit der Identität hinweisgebender Personen, ebenso wie für solche von der Meldung betroffenen Personen. Denn dieser Schutz dient maßgeblich der Akzeptanz und damit auch der Wirksamkeit des Hinweisgeberverfahrens im Unternehmen.

10. Meldungen nach dem Hinweisgeberschutzgesetz und Datenschutz

Bei der Verarbeitung personenbezogener Daten hat die interne Meldestelle die Vorschriften des Datenschutzes einzuhalten.

Dabei muss die Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten hinreichend dokumentiert werden. Zudem bedarf es einer vollständigen und transparenten Information über die Datenverarbeitungen gem. Art. 13, 14 DSGVO, und zwar in der Regel gegenüber allen Personen, deren personenbezogene Daten verarbeitet werden – wobei hier (wie auch an anderen Stellen) ein größeres Spannungsfeld zwischen Hinweisgeberschutz und Datenschutz entstehen kann. Denn die Unterrichtungs- ebenso wie die Löschpflicht im Datenschutz widersprechen den Prinzipien der Vertraulichkeit/Anonymität sowie der lückenlosen Dokumentation des Hinweisgeberschutzes.

Nach Auffassung der deutschen Datenschutzbehörden ist die Einrichtung und Nutzung firmeninterner Meldekanäle „unter besonderer Berücksichtigung des von dem Unternehmen verfolgten Zwecks und der Einrichtungsmodalitäten datenschutzgerecht“ möglich. Weil jedoch nach Auffassung der Datenschutzkonferenz (DSK) die Meldung von Missständen ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt, muss im Einzelfall eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden.

Fazit

Das deutsche Hinweisgeberschutzgesetz tritt nun endgültig in Kraft und führt zu zeitlich gestaffelten Pflichten, nämlich für Unternehmen ab 250 Beschäftigten, die bis zum 02.07.2023 sichere Hinweisgebersysteme einführen müssen, sowie für Unternehmen mit 50 bis 249 Beschäftigten, die bis zum 17.12.2023 solche einführen bzw. erfüllen müssen.

Zu berücksichtigen ist bei der Zeitplanung auch, dass ein solches Verfahren in der Regel der betrieblichen Mitbestimmung unterliegt, sofern ein Betriebsrat eingerichtet ist.

Gern bieten wir, die REVIDATA GmbH, gemeinsam mit unserer langjährigen Kooperationspartnerin, Rechtsanwältin Ulrike-Alexandra Seitzinger (MBA), Ihnen mit unserer Hinweisgeber-Portal-Lösung die Übernahme der Funktion Ihrer internen Meldestelle an, die alle gesetzlichen Voraussetzungen, sei es aus dem HinSchG, aus der DSGVO (Datenschutzgrundverordnung), aus dem BDSG (Bundesdatenschutzgesetz) oder aus sonstigen Gesetzen, erfüllt. Natürlich bieten wir Ihnen auch die Unterstützung und Beratung bei der Ergreifung von Folgemaßnahmen zur Behebung bzw. Regulierung der gemeldeten und Verhinderung weiterer Verstöße an.

In diesem Zusammenhang unterstützen seit über 20 Jahren wie gewohnt Diplom-Wirtschaftsmathematiker und Prokurist der REVIDATA, Erwin Rödler und Brigitte Jordan, Datenschutzauditorin und Geschäftsführerin der REVIDATA Sie auch zu weiteren Compliance-Spezialthemen Datenschutz, Fraud-Bekämpfung, Datenanalyse, Revision, Informationssicherheit, Risikomanagement und bei allen weiteren prüfungsnahen Herausforderungen. 

Wenden Sie sich gerne vertrauensvoll an
 
REVIDATA GmbH seit 1981 
Kompetenz schafft Vertrauen 
Tel.: +49 211 655 843 95
Fax: +49 211 655 843 96
E-Mail an Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!

*Aus Gründen der besseren Lesbarkeit wird zumeist auf die parallele Verwendung männlicher und weiblicher Sprachformen verzichtet. Personenbezeichnungen gelten dann gleichermaßen für beiderlei Geschlecht und stellen dabei keine Wertung dar.

REVIDATA stellt mit ihren professionellen Prüfungen und Beratungsleistungen das erforderlich sichere, richtige, effiziente und nachvollziehbare Funktionieren der Informationstechnologie und der IT-Prozesse sicher. Jede Inkonsistenz zwischen den programmtechnisch abgebildeten Betriebsprozessen und deren realer Abwicklung kann zu schwerwiegenden Unternehmensschäden führen.

In Folge einer erhöhten Anzahl besonders auch bedeutender Unternehmenszusammenbrüche, wurde im Jahre 1998 das Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KonTraG) verabschiedet. Die hiermit verbundene Novellierung von Aktienrecht und Handelsgesetzbuch verschärft die Überwachungs- und Berichtspflichten von Unternehmensleitung und Kontrollorganen.

Während von der Unternehmensleitung gefordert ist, dass sie ein funktionierendes, effizientes Überwachungssystem installiert und die Unternehmensentwicklung beeinflussenden Risiken darstellt, sind die Kontrollorgane verpflichtet, die Funktionsfähigkeit des Überwachungssystems immer wieder neu auf den Prüfstand zu stellen.

Im Rahmen der Projektplanung, Durchführung und Überwachung bieten wir unseren Kunden modulare Unterstützung in folgenden Bereichen:

• Termin- und Ressourcenplanung, Erstellung eines Projektstrukturplans
• Planung des Projektbudgets
• Definition der Verantwortlichkeiten und des Projekt-Informationsmanagements
• Projekt-Zeitmanagement
• Festlegung von Inhalt und Form des Projekt-Berichtswesens

REVIDATA GmbH ist auf eine hochspezialisierte, praxisnahe und individuell zugeschnittene Datenschutzberatung sowie begleitende Aus- und Weiterbildung ausgerichtet. Im Mittelpunkt der Tätigkeit steht die ganzheitliche Umsetzung und Absicherung datenschutzrechtlicher Anforderungen nach der Datenschutz-Grundverordnung (DSGVO) sowie dem Bundesdatenschutzgesetz (BDSG). Ziel ist es, Unternehmen bei der rechtssicheren Umsetzung zu unterstützen und gleichzeitig Risiken, Haftungstatbestände und mögliche behördliche Sanktionen frühzeitig zu vermeiden.

Da Datenschutz heute weit über organisatorische und technische Fragestellungen hinausgeht, entstehen zunehmend komplexe rechtliche und interdisziplinäre Anforderungen. REVIDATA GmbH begegnet diesen Herausforderungen durch die enge Zusammenarbeit mit spezialisierten Rechtsanwältinnen und Rechtsanwälten. Diese Kooperation ermöglicht es, rechtliche Fragestellungen fundiert einzuordnen, Risiken frühzeitig zu identifizieren und praxisorientierte Lösungen direkt in die Datenschutzorganisation der Kunden zu integrieren – ohne den Umweg über separate Einzelberatungen.

Damit bietet REVIDATA GmbH ein umfassendes Datenschutz- und Compliance-Leistungsspektrum „aus einer Hand“, das operative Umsetzung, strategische Beratung und rechtliche Expertise miteinander verbindet. REVIDATA GmbH verfügt über zertifizierte Mitarbeitende sowie auf den Datenschutz spezialisierte juristische Fachkräfte. Ergänzt wird dieses Kompetenzprofil durch ein etabliertes Netzwerk langjähriger Kooperationspartner mit hoher fachlicher Spezialisierung und umfassender Praxiserfahrung.

Die Expertise von REVIDATA GmbH basiert auf kontinuierlicher Weiterbildung, langjähriger Projekterfahrung und einem interdisziplinären Ansatz, der Datenschutz als integralen Bestandteil moderner Unternehmensführung versteht.

Leistungen im Bereich Datenschutz

REVIDATA GmbH unterstützt Unternehmen dabei, mit minimalem organisatorischem Aufwand die erforderlichen Grundlagen zur Erfüllung der gesetzlichen Anforderungen an den Datenschutz gemäß DSGVO und BDSG zu schaffen und dauerhaft sicherzustellen.

Der Leistungsumfang umfasst insbesondere:

• Übernahme der Funktion des externen Datenschutzbeauftragten (externer DSB) gemäß Art. 37 DSGVO
• Unterstützung des internen Datenschutzbeauftragten im Rahmen eines arbeitsteiligen Datenschutzmodells
• Aufbau, Prüfung und Optimierung der betrieblichen Datenschutzorganisation
• Planung und Durchführung von Maßnahmen zur Steigerung der Wirksamkeit des Datenschutzes (z. B. Audits, Schulungen, Sensibilisierungskonzepte)
• Durchführung von Datenschutz-Folgenabschätzungen (DSFA) gemäß Art. 35 DSGVO
• Prüfung und Bewertung von datenschutzfreundlichen Voreinstellungen (Privacy by Default / Privacy by Design)
• Beratung und Begleitung bei der Einführung und Weiterentwicklung von IT- und Fachanwendungen mit Verarbeitung personenbezogener Daten
• Integration datenschutzrechtlicher Anforderungen in betriebliche Richtlinien und Prozesse mit dem Ziel, Datenschutz und Informationssicherheit effizient und wirtschaftlich zu verbinden
• Funktion als fachliche Ansprechstelle und Vertrauensinstanz für Geschäftsführung, Führungskräfte und Mitarbeitende in allen Datenschutzfragen
• Unterstützung bei der datenschutzkonformen Gestaltung, Prüfung und Verhandlung von Verträgen mit Dienstleistern, Lieferanten, Partnern und Kunden (insbesondere Auftragsverarbeitungsverträge gemäß Art. 28 DSGVO)
• Erstellung und Weiterentwicklung von IT-Sicherheits-, Datenschutz- und Notfallkonzepten (inkl. organisatorischer und technischer Maßnahmen nach Art. 32 DSGVO)
• Laufende Weiterentwicklung und Anpassung der technischen und organisatorischen Maßnahmen (TOMs) an gesetzliche, technische und organisatorische Veränderungen
• Bedarfsorientierte juristische Bewertung, Beratung und fachliche Weiterbildung im Datenschutzrecht
• Prüfung und Empfehlung einer datenschutzkonformen Außendarstellung, insbesondere von Webseiten und digitalen Kommunikationskanälen
• Datenschutzrechtliche Prüfung und Gestaltung von Verträgen im Kontext der Auftragsverarbeitung und sonstiger datenbezogener Leistungsbeziehungen immer in Zusammenarbeit mit Rechtsanwaltspartnern

Ergebnis der Zusammenarbeit mit REVIDATA GmbH 

Die Zusammenarbeit mit REVIDATA GmbH führt zu einem integrierten Datenschutzkonzept „aus einer Hand“, das rechtliche, organisatorische und technische Anforderungen ganzheitlich abdeckt.

Zentrale Ergebnisse sind insbesondere:

• Sicherstellung der Einhaltung gesetzlicher Mindestanforderungen gemäß DSGVO und BDSG sowie weiterer einschlägiger Datenschutz- und Compliance-Vorgaben
• Reduzierung von Haftungsrisiken sowie Schutz vor finanziellen Schäden, Bußgeldern und Reputationsverlusten infolge von Datenschutzverstößen
• Entlastung der Geschäftsführung, Führungskräfte, Mitarbeitenden sowie interner Datenschutzbeauftragter durch professionelles Aufgaben- und Verantwortungs-Management
• Effektives Outsourcing des spezialisierten Aufgabenbereichs Datenschutz unter Beibehaltung klarer Steuerungs- und Kontrollstrukturen im Unternehmen
• Zugang zu externer, spezialisierter Fach- und Rechtskompetenz im Datenschutz- und IT-Compliance-Umfeld
• Sicherstellung eines dauerhaft hohen fachlichen und organisatorischen Datenschutzniveaus im Unternehmen
• Kontinuierliche Aktualität, Zuverlässigkeit und Rechtssicherheit durch laufende Anpassung an gesetzliche, technische und organisatorische Entwicklungen

Zum REVIDATA GmbH Datenschutz-Qualifizierungs-Signet (Certipedia)

REVIDATA GmbH verfügt über ein offiziell dokumentiertes Datenschutz-Qualifizierungs-Signet, das über Certipedia transparent nachvollziehbar ist. Dieses Signet bestätigt die geprüfte fachliche Qualifikation sowie die kontinuierliche Weiterbildung im Bereich Datenschutz, Datenschutz-Compliance und Informationssicherheit. Es dient als unabhängiger Nachweis für die Einhaltung definierter Qualitäts- und Kompetenzstandards. Die Zertifizierung unterstreicht den Anspruch von REVIDATA GmbH, Datenschutzleistungen nicht nur regelkonform, sondern auch nachweislich qualitätsgesichert und praxisorientiert zu erbringen. Für Unternehmen bietet das Qualifizierungs-Signet zusätzliche Sicherheit bei der Auswahl eines Datenschutzdienstleisters und schafft Vertrauen in die fachliche und organisatorische Leistungsfähigkeit von REVIDATA GmbH.

REVIDATA GmbH freut sich auf Ihre Kontaktaufnahme und den gemeinsamen Austausch.

E-Mail: Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!    
Tel:  +49 211 65584395        
Fax: +49 211 65584396   

Sich stetig verschärfenden Prüfungsanforderungen, der wachsende Umfang an Datenbeständen unternehmensrelevanter Informationen sowie die Notwendigkeit, die Prüfungen nach wirtschaftlichen und rechtlichen Gesichtspunkten rationell durchzuführen, erfordern immer stärker den Einsatz der Datenanalyse. Mit Hilfe der Datenanalyse unter Zuhilfenahme jeweils geeigneter Analysewerkzeuge, analysieren wir Unternehmensdaten entsprechend den Vorgaben und jeweiligen Frage-/Problemstellungen kompetent, ziel- und risikogerichtet sowie anforderungsgerecht.

Mit Hilfe von KI-basierten Datenanalyse-Tools können  große Datenmengen schnell und nach strukturell analysiert werden, um erklärungsbedürftige Zusammenhänge, Unregelmäßigkeiten oder Anomalien zu erkennen. Das erleichtert die Identifikation von Risiken und verdächtigen Transaktionen bei den Geschäftsprozessen, die heutzutage fast ausschließlich mit Hilfe von Softwaresystemen bzw. Anwendungsprogramme verwaltet werden.

Die KI-basierten Prüfinstrumente bzw. -Methoden lassen sich in folgende 3 Cluster einteilen:

• datengetriebene KI-Instrumente: Sie eignen sich für die Analyse großer Datenmengen, zur Muster- und Strukturerkennung sowie zur Risikobewertung.
• regelbasierte KI-Instrumente: Sie sind für die automatische Prüfung von Dokumenten (u. a. Belege, Verträge, etc.) sowie für die Erstellung von Berichten geeignet.
• Monitoring-Tools: Sie dienen der kontinuierlichen Überwachung/Kontrolle sowie der Echtzeit-Alarmierung.