Stellen Sie sich vor, Sie füllen ein offizielles Formular aus – und das System lehnt Ihren echten Namen, Ihre echte Adresse oder Ihren tatsächlichen Rechtsstatus ab. Nicht, weil es das Gesetz verlangt, sondern weil die Software Sie nicht weiterlässt.
Digitale Systeme sollen uns helfen, Gesetze einzuhalten – aber was, wenn sie anfangen, diese selbst zu definieren? Da Regierungen und Unternehmen zunehmend auf Software setzen, um Vorschriften durchzusetzen, wächst ein Problem: Schatten-Compliance. Das sind Regeln und Einschränkungen, die von Software-Tools, APIs oder Plattformen durch deren softwaretechnische Umsetzung durchgesetzt werden – nicht durch Gesetzgebung, demokratische Prozesse oder öffentliche Debatten.
Wenn Software die Gesetze macht
Compliance ist längst nicht mehr nur eine Frage des Gesetzestextes. Sie hängt davon ab, was Software-Tools zulassen. Von Steuerportalen und Beschaffungssystemen bis zu Algorithmen zur Inhaltsmoderation entscheidet Software zunehmend , was erlaubt ist – oder nicht. Diese Entscheidungen sind oft unsichtbar, nicht rechenschaftspflichtig und von technischer statt rechtlicher Logik geprägt.
Beispiele für Schatten-Compliance
- ✘ Ein Formular lässt sich nicht absenden, solange Sie nicht ein DSGVO-Einverständnis ankreuzen – selbst wenn diese Zustimmung in Ihrem Fall rechtlich nicht erforderlich ist.
- ✘ Eine E-Rechnungs-API erzwingt Steuerfelder auf Grundlage veralteter oder übermäßig strenger Auslegungen.
- ✘ Eine Plattform löscht automatisch Inhalte, die von KI als „potenziell schädlich“ markiert wurden – ohne Kontext oder Möglichkeit zum Einspruch.
- ✘ Ein Beschaffungstool schließt Bieter aus, weil ihre Dokumente nicht einem vordefinierten (aber nicht verpflichtenden) Format entsprechen.
Warum das passiert
- Technische Übergriffigkeit: Entwickler kodieren Auslegungen von Regeln, um Einheitlichkeit sicherzustellen – schließen dabei aber Nuancen aus.
- Risikovermeidung: Unternehmen implementieren übermäßig strenge Einschränkungen, um Haftung zu vermeiden – nicht unbedingt, um das Gesetz korrekt einzuhalten.
- Fehlender Rechtskontext: Softwareteams arbeiten ohne juristische Beratung, was zu starren oder falschen Implementierungen führt.
- Automatisierungsdruck: Compliance-Prozesse werden über Software skaliert – auf Kosten von Flexibilität und Urteilsvermögen.
Policy-Realität 2025: Viele Aspekte von Shadow Compliance entstehen nicht durch (falsch interpretierte) Gesetze, sondern in Beschaffungsrichtlinien, Default-Einstellungen und Validierungsregeln von Software-Tools. Auch wenn KI-Regeln und Plattformgesetze Transparenz, Risiko-Management und menschliche Aufsicht fordern, bleiben die eigentlichen Implementierungsentscheidungen oft unsichtbar. Abhilfe schaffen verpflichtende Dokumentationen von der Anforderung bis zur konkreten Umsetzung (Anforderung, Lösungsansatz, Implementierung inkl. Validierungsschritten; Abgleich der Realisierung mit dem Regelungswillen der jeweiligen Rechtsnorm), nachvollziehbare Änderungsprotokolle sowie leicht zugängliche Beschwerde- und Override-Kanäle direkt im System.
Die versteckten Risiken
- ⚠ Bürger und Unternehmen können ohne rechtliche Grundlage von Leistungen oder Rechten ausgeschlossen werden.
- ⚠ Organisationen glauben, „regelkonform“ zu sein, während sie nicht bindende oder sogar falsche Auslegungen durchsetzen.
- ⚠ Die Verantwortlichkeit verschwimmt: Wer ist für die Regel verantwortlich – die Behörde, der Entwickler oder der Anbieter?
„Wenn Regeln von Maschinen durchgesetzt werden, hört man auf, sie zu hinterfragen – selbst wenn sie falsch sind oder gegen das Gesetz verstoßen.“
Praxisbeispiel – Hochschulsysteme und die Namensfalle
In öffentlichen digitalen Systemen verwechseln wir oft, was rechtlich erforderlich ist, mit dem, was technisch erwartet wird. Wenn Formulare echte Identitäten ablehnen, weil sie nicht in vordefinierte Eingabemasken passen, setzen wir nicht mehr das Gesetz durch – sondern das Datenbankschema.
Ein besonders anschauliches Beispiel findet sich in Bewerbungssystemen von Hochschulen und Universitäten. Sowohl Bewerber und Bewerberinnen als auch Verwaltungsmitarbeitende müssen oft zwingend einen „Vornamen“ und einen „Nachnamen“ angeben – nicht, weil es das Gesetz verlangt, sondern weil die Software es erzwingt. Die Eingabefelder sind Pflicht, und das System lehnt Eingaben ab, die dieser Struktur nicht entsprechen. Personen mit nur einem gesetzlichen Namen – wie es in Ländern wie Indonesien, Teilen Indiens oder Myanmar üblich ist – sind gezwungen, fiktive Daten zu erfinden, nur um die Validierung zu bestehen.
Diese technische Annahme eines westlichen Namensformats zieht sich durch das gesamte System. Sobald die Daten in dieser starren Struktur gespeichert sind, fließen sie in nachgelagerte Prozesse, die von ihrer „Korrektheit“ ausgehen. Wenn ein Administrator das Formular umgeht und einen einzelnen Namen direkt in die Datenbank einträgt, um die rechtliche Realität abzubilden, kann das System versagen. Die Zeugniserstellung im Prüfungsmanagement kann fehlschlagen, da Vorlagen und ihre Verarbeitung auf das Vorhandensein von Vor- und Nachnamen angewiesen sind. Selbst das E-Mail-System der Universität kann möglicherweise keine Adresse generieren, da es erwartet, Vor- und Nachnamen zu kombinieren, z. B. zu vorname.nachname@universitaet.de.
So wird eine bürokratische Fiktion durch Code erzwungen. Was technisch erwartet wird, wird mächtiger als das, was rechtlich wahr ist. Das Ergebnis ist stille Ausgrenzung: Identitäten, die nicht der Systemstruktur entsprechen, werden entweder abgelehnt oder zwangsweise angepasst. Das ist keine Rechtsdurchsetzung – sondern softwareerzwungene Konformität.
Auf dem Weg zu transparenter Compliance
Schatten-Compliance ist nicht nur ein technisches Problem – es ist ein demokratisches. Um es zu lösen, brauchen wir:
- ✓ Klare Trennung zwischen Gesetz und softwareunterstützte Durchsetzung
- ✓ Juristische Prüfungen der Compliance-Logik in Software-Workflows
- ✓ Menschliche Eingriffsmöglichkeiten und transparente Fehlerberichte
- ✓ Multistakeholder-Governance für Compliance-Plattformen
Fazit
Digitale Werkzeuge können die Durchsetzung von Regeln unterstützen – aber sie dürfen sie nicht definieren.
Wenn Benutzeroberflächen und Code beginnen, ihre eigene Compliance zu formen, brauchen wir Kontrollen und Ausgleichsmechanismen, die sowohl rechtliche Genauigkeit als auch demokratische Rechenschaft sicherstellen.
Andernfalls riskieren wir Systeme, die technisch präzise – aber rechtlich unbegründet und ethisch fragwürdig sind.
Schatten-Compliance mag unsichtbar sein – aber ihre Folgen sind es nicht. Es ist an der Zeit, diese Regeln ohne rechtliche Legitimierung ans Licht zu bringen.
Weiterführende Literatur & Quellen
- Mireille Hildebrandt – “Law As Computation in the Era of Artificial Legal Intelligence. Speaking Law to the Power of Statistics” (2017)
- Cathy O’Neil – “Weapons of Math Destruction: How Big Data Increases Inequality and Threatens Democracy” (2016)
- European Commission – “Proposal for a Regulation on Artificial Intelligence (AI Act)” (2021)
- Tarleton Gillespie – “Custodians of the Internet: Platforms, Content Moderation, and the Hidden Decisions That Shape Social Media” (2018)
- Shoshana Zuboff – “The Age of Surveillance Capitalism: The Fight for a Human Future at the New Frontier of Power” (2019)
