Vom Hype zum Handeln

#26_KI im Unternehmen: Kontrolle statt Wildwuchs

Episode Summary

„Kontrolle statt Wildwuchs: KI im Unternehmen sinnvoll einsetzen – und Kompetenz aufbauen“ In vielen Unternehmen ist KI längst im Alltag angekommen – aber oft ohne klare Struktur, ohne Regeln und ohne Überblick. Mitarbeitende nutzen Tools wie ChatGPT oder Copilot, testen neue Anwendungen und integrieren sie spontan in ihre Arbeit. Das Ergebnis: 👉 Bei KI ist Vieles Bewegung – aber weit weniger unter Kontrolle. In dieser Folge sprechen wir darüber, warum das eigentliche Problem nicht die Technologie ist – sondern fehlende Steuerung, fehlende Kompetenzen und unklare Prozesse. Gemeinsam mit Rechtsanwalt Clemens Handl schauen wir auf die Realität in Unternehmen: Wo KI heute schon eingesetzt wird – oft unbewusst Warum viele Unternehmen den Überblick verlieren Welche Rolle Datenverständnis und KI-Kompetenz spielen Was der AI Act konkret verlangt Und wie Unternehmen KI sinnvoll und rechtssicher einsetzen können Dabei wird auch klar: Eine KI-Richtlinie ist keine Bremse – sondern die Voraussetzung dafür, dass KI überhaupt sinnvoll genutzt werden kann. 👉 Und der beste Schritt f+r alle, die KI nicht nur ausprobieren, sondern wirklich im Griff haben wollen.

Episode Notes

„Kontrolle statt Wildwuchs: KI im Unternehmen sinnvoll einsetzen – und Kompetenz aufbauen“

In vielen Unternehmen ist KI längst im Alltag angekommen –
aber oft ohne klare Struktur, ohne Regeln und ohne Überblick.
Mitarbeitende nutzen Tools wie ChatGPT oder Copilot, testen neue Anwendungen und integrieren sie spontan in ihre Arbeit.

Das Ergebnis:
👉 Bei KI ist Vieles Bewegung – aber weit weniger unter Kontrolle.
In dieser Folge sprechen wir darüber, warum das eigentliche Problem nicht die Technologie ist –
sondern fehlende Steuerung, fehlende Kompetenzen und unklare Prozesse.

Gemeinsam mit Rechtsanwalt Clemens Handl schauen wir auf die Realität in Unternehmen:
Wo KI heute schon eingesetzt wird – oft unbewusst
Warum viele Unternehmen den Überblick verlieren
Welche Rolle Datenverständnis und KI-Kompetenz spielen
Was der AI Act konkret verlangt
Und wie Unternehmen KI sinnvoll und rechtssicher einsetzen können

Dabei wird auch klar:
Eine KI-Richtlinie ist keine Bremse – sondern die Voraussetzung dafür, dass KI überhaupt sinnvoll genutzt werden kann.
👉 Für alle, die KI nicht nur ausprobieren,
sondern wirklich im Griff haben wollen.

Mag. Clemens Handl, LLM, Rechtsanwalt & Experte für IT-, Datenschutz- und KI-Recht
Clemens Handl ist Rechtsanwalt und leitet die Praxisgruppe „Data & Technology“ bei CHG.
Er berät Unternehmen dabei, Digitalisierung und KI rechtssicher und praxisnah umzusetzen – insbesondere an der Schnittstelle von Technologie, Daten und Unternehmensalltag.
👉 über Mag. Clemens Handl, LL.M.
https://www.chg.at/profile/clemens-handl/

Episode Transcription

Willkommen zu einer neuen Folge von "Vom Hype zum Handeln", dem Podcast für Wandel im Zeitalter der digitalen Transformation. Wir fragen uns heute, wenn KI gefühlt überall ist: Wie bekommen Unternehmen künstliche Intelligenz dann eigentlich in den Griff? Willkommen bei "Vom Hype zum Handeln", dem Podcast zur Transformation im Zeitalter der künstlichen Intelligenz. Das Jahr 2025 hat gezeigt, dass viele Unternehmen über KI diskutieren und die Diskussion hat sich spürbar verschoben. 2024 hat man überlegt, ob man KI überhaupt einsetzen sollte. 2025 ging es darum, wie man sie sinnvoll in das Unternehmen integriert. Und heute, heute hat die Realität der KI viele Unternehmen längst eingeholt, denn KI wird im Arbeitsalltag breit genutzt, aber in den meisten Fällen nicht systematisch in Prozesse integriert, sondern gerade bei Kleinunternehmen und EPUs oft als Insellösung eingesetzt. Das Outcome ist oftmals effektiv, oft aber auch nicht. Aber fast immer zu über neunzig Prozent kein klarer, nachverfolgbarer, vom Menschen geführter Prozess. Eher ein Stückwerk. Und genau darin liegt 2026 das eigentliche Problem. Wir nutzen KI, aber haben wir das insgesamt überhaupt im Griff? Denn es herrscht Wildwuchs und daraus entsteht ein neues Spannungsfeld. Weniger zwischen Hype und Umsetzung, sondern wobei genau soll uns KI im Unternehmen denn helfen und unterstützen? Und die Frage nach diesem möglichst gezielten Einsatz von KI und wer sie eigentlich steuert, ist essenziell. Und zwar nicht erst seit der KI-Richtlinie, die in Stufen seit 2025 bereits in Kraft getreten ist. Da diese Fragestellung uns allen unter den Nägeln brennen sollte, spreche ich in dieser neuen Folge von "Vom Hype zum Handeln" mit Clemens Handel. Er ist Rechtsanwalt und Experte für IT und KI. Hallo Clemens. Hallo Petra, vielen Dank für die Einladung und ich freue mich sehr, mit dir heute über dieses Thema zu sprechen. Ich freue mich auch sehr. Ich bin schon ganz gespannt, was du uns aus deiner Praxis und den Erfahrungen berichtest. Clemens, ich weiß, dass du Rechtsanwalt bist und Fokus auf IT, Datenschutz und KI-Themen hast. Ist das so weit richtig? Ja, genau. Also das sind die Themen, mit denen ich seit einigen Jahren schon beschäftige, mit Datenschutz, vor allem seit 2018 eigentlich schon mit dem in Kraft treten. Und ich versuche in der Beratung so diese Schnittstelle zwischen Recht, IT und eben auch der Wirtschaftlichkeit dann eigentlich so zusammenzubringen und in dieser Schnittstelle zu beraten. Okay, klingt nach spannender Schnittstelle und vielfältige Themen. Ich glaube, wenn man das Irgendwie erinnert mich das Ganze an unser Thema, was du jetzt gerade gesagt hast. Das haben wir nämlich nicht abgesprochen, aber das ist genau das Spann-- Ja, es ist exakt das Spannungsfeld, logischerweise. Wir, wir rutschen da ja alle hinein. Wie du sagst, jeder benutzt Computer, wir benutzen jetzt alle KI und stolpern da ein bisschen mehr oder weniger hinein und dann, ja, müssen wir schwimmen lernen und dabei gibt's vieles Neues zu entdecken.

Gar keine Frage. In dem Sinne arbeiten wir ja alle, die wir digital arbeiten, mit Unternehmen, die sich da orientieren wollen, aber du hast ja immer ganz a spezielle Perspektive drauf.Und wenn wir uns mit dir hineinblicken lasst, was ist denn im Arbeitsalltag so dein, dein Eindruck? Also mir erscheint ja doch manchmal so, als würde die Steuerung für Digitales oder jetzt für diese KI-Anwendungen ein bisschen, ja, in einer Grauzone laufen oder gar nicht erfolgen. Wie sieht denn das bei dir in der Unternehmenspraxis aus? Ja, also ich würde den Eindruck so auch bestätigen und es ist vielleicht gar kein KI-spezifisches Problem, sondern Unternehmen haben sich bis dato einfach viel zu wenig bis gar nicht damit befasst mit den-- das führt zu Themen wie digitaler Souveränität beispielsweise und es war bis dato einfach nicht so wichtig, ja. Also- Mhm. IT war etwas für IT-Unternehmen und das hat sich in den letzten Jahren gewandelt. IT ist zum Thema worden, das jedes Unternehmen betrifft sich mit den Themen befassen muss und auch ein KMU, ja, das, das wirklich, ja, sagen wir mal, etwas, etwas produziert, muss plötzlich über Lizenzverträge nachdenken, Lizenzverträge verhandeln mit, mit Anbietern und kann nicht nur sagen: "Ja, ich kaufe meine Komponenten ein, die werden zusammengeschraubt und das ist das, was ich dann verkaufe", ja, sondern es geht los beim Einkauf, der digital erfolgt. Man hat dann zum Beispiel Prozesssteuerung, Projektmanagement, das ebenfalls digital diese Prozesse abbildet. Und dann gibt es den Vertrieb. Wenn man es beispielsweise über einen Webshop verkauft, ist man auch dort wieder mit dem Thema konfrontiert und muss sich überlegen, wie kann man Produkte digital verkaufen? Ich möchte möglichst viel wissen über meine Zielgruppe. Ich möchte eigentlich die Verhaltensweisen irgendwo tracken, um daraus meine Produkte zu verbessern- Mhm. -die Ansprache zu verbessern, das Marketing zu verbessern und man kommt eigentlich nicht aus. Und aus meiner Sicht ist das so die, der, der Wandel, der so in den letzten Jahren eingetreten ist, dass ganz viele, die gedacht haben, das ist ein Thema, das mich nicht betrifft, plötzlich vor der Situation stehen, dass sie damit umgehen müssen, ja. Und da sehe ich schon eine gewisse Entwicklung und in dem Zusammenhang natürlich auch eine gewisse Überforderung, weil man sich mit Themen befassen muss, die mit denen man sich bis dato eigentlich nicht so befassen hat müssen. Genau danke. Du hast es geschildert, wie sich wahrscheinlich die meisten wiederfinden können. Ich habe einen kleinen Einwand und der lautet IT. Und zwar nur deshalb, weil früher hieß es so, diese IT und die IT-Abteilung, das war so früher etwas Abgekoppeltes. Ja. Und das hat meinen Einwand, weil du hast ja eingangs schon gesagt, inzwischen ist ja alles, alle Prozesse, die du jetzt genannt hast, von Einkauf über eben Produktionsdinge oder Vertrieb, es ist Digitalisierung rauscht durch und, und verbindet alles.

Und jetzt haben wir auch noch das Thema KI obendrauf- Mhm. -als Beschleuniger, um es jetzt halt noch ein bisschen mehr vor uns her, hertreibt. Aber du hast ja auch was Wichtiges gesagt, das gibt es ja schon lange. Und für mich ist es jetzt so, wenn du uns da jetzt vielleicht deine Perspektive teilen möchtest: Mir hat schon jemand mal verraten, wenn man jetzt die Datenschutzrichtlinie sauber betrachtet oder anwendet, dann ist man eigentlich schon einmal relativ on the safe side, auch was KI anlangt. Siehst du das auch so? Genau, weil sich sehr, sehr viele Fragen, die man stellen muss, in dem Zusammenhang sehr ähneln. Bei Datenschutz geht es um Daten spezifische Kategorie von Daten, nämlich personenbezogene Daten. Und bei KI geht es ebenfalls um Daten. Da muss jetzt dieser Personenbezug nicht unbedingt im Vordergrund stehen, aber es ist auf jeden Fall eine Begleiterscheinung und der Begriff der personenbezogenen Daten ist relativ weit. Und damit hat man bei einem KI-Projekt zwangsläufig datenschutzrechtliche Fragen und man muss eine gewisse Abgrenzung treffen zwischen diesen personenbezogenen Daten und sonstigen Daten, wie beispielsweise, wenn wir bei dem Produktionsbeispiel bleiben, Maschinendaten, Sensordaten, Daten über Ausschussquote beispielsweise. Und wenn man sich mit dem Thema Datenschutz befasst hat, hat man dabei was über sich und über sein Unternehmen gelernt, nämlich welche Daten werden zu welchem Zweck erfasst. Mhm. Und die Antwort auf diese Frage braucht es exakt auch, um ein sinnvolles KI-Projekt im Unternehmen einsetzen zu können. Und für diese Umsetzung braucht es natürlich dann auch die rechtliche Einordnung dieser Daten. Und das ist unmöglich, wenn ich gar nicht weiß, um welche Daten es eigentlich gehen soll. Danke schön. Da haben wir so das Gefühl, das ja auch relativ logisch herzuleiten ist, dass sehr viele Kleine noch viel schwieriger sich tun, weil eben Prozesse nicht so strukturiert sind, weil eben Daten, ja, in Prozesse einfließen und, und, ja, einfach reinstolpern in diese Nutzung. Und da erscheint mir, dass gewisse Kompetenzen halt hilfreich sind. Klar werden die auch vorgeschrieben. Das wissen wir, der AI Act ist Februar 2025, oder? Ist das so richtig- Richtig. -für die KI-Kompetenz? Genau. Und da werden ja jetzt nicht Schulungen einer gewissen Art vorgeschrieben. Man muss den Mitarbeitern sagen, wie sie denn da umgehen können und sollen. Oder man selber, wenn man jetzt EPU ist, sollte das dokumentieren. Mhm. Weil ich glaube, wir bräuchten da einfach die nächste Ebene von: Dürfen wir denn KI einsetzen so? Wie setzt man denn KI richtig ein? So wie du gesagt hast, ja, indem wir die Daten klassifizieren oder was soll man denn auch noch beachten? Ja, genau. Also ich würde, würde vielleicht noch einen Schritt kurz zurückgehen und zur Kompetenz als solcher, sprechen. Ich halte es für zentral, dass man sich diese Kompetenzen aneignet, weil je stärker die Digitalisierung wird, desto stärker ist das Abhängigkeitsverhältnis, das man selber hat-Von bestimmten Dienstleistern.

Und wenn man dort nie Kompetenz aufbaut, ist man enorm fremdbestimmt. Man kann eigentlich nicht frei entscheiden, was man mit seinem Unternehmen macht, in welcher Art und Weise, sondern trägt eigentlich nur mehr das wirtschaftliche Risiko vorne hinaus, hat aber nicht wirklich die Kontrolle. Und von dem Umsatz, den man erzielt, muss man dann den Großteil an bestimmte IT-Dienstleister abgeben. Und deswegen- Das ist ja das Worst-Case-Szenario. Das Worst-Case-Szenario, ja. Wow. Ja, das ist schon, ja. Hängt vom Geschäftsmodell ab, aber ich glaube, die Tendenz ist schon so, dass man sagen muss, der Anteil an Lizenzkosten von den Ausgaben nimmt zu mit jedem neuen Tool, mit jedem KI-Tool. Es wird immer mehr. Diese Lizenzen sind immer indexangepasst zumindest oder werden über die Inflation hinaus erhöht und damit erhöht sich dieser Anteil, der jeder von uns bezahlt, immer mehr. Und je weniger Kompetenz man hat, desto mehr ist man fremdbestimmt. Und das möchte ich vielleicht noch einmal vorausschicken, so als, als unternehmerische Empfehlung, dass ich glaube, dass man sich wirklich einen Gefallen tut, wenn man sagt, man muss sich mit diesen Themen einfach befassen und die Kompetenz, dazu erwerben, einfach um in der Zukunft auch zukunftsfähig zu bleiben. Und wenn jemand heute sagt: „Na ja, IT oder Computer, das ist nichts für mich", ich glaube, dann ist man unternehmerisch wirklich angezählt. Glaube ich, glaube ich wirklich. Ja. Und das sage ich als, als Rechtsanwalt, ja, wo es zum Beispiel den Spruch gibt: Judex non calculat, der Richter rech-rechnet nicht. Und auch in der Ausbildung ist das nur ein sehr geringes Thema. Und in der Praxis ist es, ist es dann aber wichtig und es wird immer wichtiger. Und deine eigentliche Frage, um die auch zu beantworten, ist: Was, was kann man machen? Was, was muss man machen, auch aus, aus rechtlicher Sicht, um vielleicht jetzt von dieser Metaebene herunterzukommen, ist, ist die, vor allem wenn es jetzt um KI-Projekte und die KI-Richtlinie geht, die der AI Act oder die KI-Verordnung auf Deutsch schreibt vor, man braucht eine angemessene KI-Kompetenz. Mitarbeiter brauchen eine angemessene KI-Kompetenz. Man kann darüber diskutieren, was eigentlich Kompetenz ist. Und dann aber noch einmal die Frage: Was ist denn angemessene Kompetenz in diesem Zusammenhang? Also es ist ein sehr unbestimmter Rechtsbegriff, der einfach ausgelegt werden muss und wo es aus meiner Sicht auch kein Richtig und kein Falsch gibt- Ja sondern man muss sich eigentlich die Vorfrage stellen, wie bei jeder Art von Kompetenz: Was mache ich denn eigentlich? Ja. Um ganz ein einfaches Beispiel zu bringen: Wenn ich mir vornehme, über, über eine Hürde zu springen, dann brauche ich die Kompetenz, springen zu können oder hochspringen zu können. Und wenn die Hürde zwei Meter hoch ist und ich kann keine zwei Meter hoch springen, muss ich mir die Frage stellen: Wie trainiere ich denn das?

Und gibt es vielleicht Hilfsmittel, dass ich über diese Hürde drüberspringen kann? Und genauso ist es auch in dem Fall. Man muss sich immer die als Vorfrage stellen: Was ist eigentlich das KI-Projekt, das ich vorhabe? Wie möchte ich KI im Unternehmen einsetzen? Und da brauche ich ein konkretes Bild vor Augen, was eigentlich der Plan ist. Und nur dann, wenn ich weiß, was das Ziel ist, kann ich davon ableiten, welche Kompetenz ich brauche, was ich machen muss in technischer Sicht, in organisatorischer Sicht und in rechtlicher Sicht, um das dann einsetzen zu können und diese gesetzliche Vorgabe auch zu erfüllen. Da hast du es natürlich absolut richtig heruntergebrochen. Das beschreibt allerdings meiner Erfahrung nach und das haben jetzt auch einige der, deiner Vorredner und Gäste im Podcast bestätigt, dass genau diese Kompetenz noch nicht so weit gegeben ist in den Unternehmen, weil eben noch ein Stück weit Überforderung vorliegt. Was passiert dann? Es wird experimentiert, probiert oder man verweigert sich. Passiert natürlich auch. Und dann kommen diese Pilotprojekte, weil eben exakt das mit dem Ziel und wofür macht man denn das und was wollen wir denn für ein Ziel erreichen, nicht wirklich definiert worden ist beziehungsweise nicht hinterfragt worden ist, die Kompetenzen A, B, C, wie du sagst, technisch, organisatorisch, rechtlich. Und da sind wir in einem Riesenlernfeld im Moment, wo die meisten von uns, vielleicht habt ihr das und die, die Klienten von dir oder euch, die ihr schon betreut, schon ein Stück weit, äh, besser, aber da stecken, glaube ich, ganz viele fest. Ja, genau. Es ist, glaube ich, zurückzuführen eigentlich auf den wunderschönen Begriff FOMO, fear of missing out. Man muss irgendwas mit KI machen und Hauptsache, man macht irgendwas mit KI und ob das sinnvoll ist oder nicht, das wird oft gar nicht so hinterfragt. Ja. Das steht eigentlich ganz am Anfang. Das ist ein bisschen so, ja. Irgendwas mit KI. Es ist natürlich genauso bei etwas, was so neu ist und so überbordend über uns hereinbricht, ist es oft so. Ich habe da ganz viel Verständnis dafür, aber eben, ich glaube, 2026 man sollte sich als Unternehmer genau diese Fragen zu stellen. Du hast gesagt, das sind verschiedene Dinge, was es da für Fragen gibt. Ich würde gern vielleicht am Ende noch ein bisschen in die Guidelines von der WKO reinschauen als Rahmenbedingungen, was die da so vorschlagen, weil die sind recht praktikabel und vielleicht für die, die einmal einen ersten Check machen wollen, bevor sie zu dir und zu euch kommen, sich beraten lassen, können sie schon mal erste Fragen dann beantworten. Ja. Clemens, du hast jetzt gesagt, wegen den Kompetenzen unternehmerisch natürlich schon sehr, sehr wichtig ist, um nicht zu fremdbestimmt zu sein, sich da einige Kompetenzen anzueignen, damit man es beurteilen kann und schaut, wohin die Reise geht.

Gibt’s da für die ein Beispiel, beobachtet, wo Unternehmen sich auf den Weg gemacht hat? Die machen einmal eine Schulung, wo allgemeines Wissen ist und dann, dann wird einer nachgeschult. Die, die ich kenne, die so Workshops machen, die erzählen aus der Praxis, dass am besten ist-Die Leute kurz einen halben Tag und noch mal einen halben Tag und dann aber immer weiter hinzuschulen. Und dass es auch sehr wichtig ist, Personen zu benennen im Unternehmen. Wie brennen ich das Thema? Wie ist denn da deine Erfahrung? Was ist denn da zielführend? Ja, aus meiner Sicht braucht's ein iteratives Vorgehen. Also das heißt, man darf nicht versuchen, am Schreibtisch den finalen Masterplan auszuarbeiten. Das ist in einem Umfeld, das so dynamisch und so schnelllebig ist, dazu verdammt zu scheitern, weil sobald man es fertiggestellt hat, ist es wieder überholt. Und das führt dann zu so einer Art Paralyse, wo man eigentlich nicht ins Tun kommt, weil man immer versucht, alles bis zum Ende zu planen. Und mein Ansatz und meine Empfehlung ist eigentlich die, nicht mit den allerkomplexesten Beispielen anzufangen. Ja, also man sollte nicht versuchen, den, die Kerntätigkeit des eigenen Berufes über KI zu automatisieren. Ja, man kann einfach auch damit anfangen, sich zu überlegen: Was mache ich denn den ganzen Tag und was davon kommt häufig vor, ist repetitiv und weniger anspruchsvoll. Und dann kann man sich überlegen, vielleicht kann ich ja diesen Aspekt irgendwie automatisieren. Und wenn's mit klassischer Automatisierung nicht funktioniert ist, dass man sich die Frage stellt: Kann ich's vielleicht mit KI dann lösen, dieses Thema? Ja. Und dann diesen Fall einfach ausprobieren und vor allem auch mit Fällen beginnen, die eher unkritisch sind, also idealerweise ohne personenbezogene Daten, ohne Geschäfts- und Betriebsgeheimnisse, sondern vielleicht einfach einmal nur mit bestimmten technischen Daten beginnen und die Daten verarbeiten und mit diesen Daten einmal ein Gefühl dafür zu bekommen, was kann KI eigentlich leisten. Und sobald man da erste Erfahrungen gemacht hat, dann kontinuierlich weiterentwickeln und sagen: „Okay, jetzt habe ich ein Gefühl dafür und ich könnte mir vorstellen, wenn ich diese bestimmten personenbezogenen Daten jetzt verarbeiten will, habe ich einen besonderen Mehrwert, ein Ziel, ein konkretes Ergebnis." Ja. Und dann muss man sich eben mit der Frage befassen: Geht es datenschutzrechtlich? Oder: Wie geht es datenschutzrechtlich? Kann ich vielleicht die konkreten Namen von Kunden beispielsweise, kann ich die ersetzen durch eine Kundennummer, durch eine ID? Kann ich das irgendwie pseudonymisieren oder kann ich das anonymisieren? Weil die DSGVO gilt auch nicht für anonyme Daten. Und das kann dann schon eine Möglichkeit sein. Und in vielen, vielen Fällen, die ich gesehen habe, kommt's ja gar nicht darauf an, ob das jetzt der Max Mustermann ist oder nicht, sondern es geht ja nur darum, der Kunde X oder der Kunde eins, ja, hat gewisse Produktvorlieben beispielsweise.

Und so kann man sich dann Schritt für Schritt eigentlich weiterhandeln von den ganz, ganz einfachen Anwendungsfällen, die aber auch rechtlich unkritisch sind, zu etwas komplexeren Fällen, wo man dann rechtlich genauer drauf schauen muss, ob das tatsächlich möglich ist. Und das wäre eigentlich so meine Empfehlung fürs Vorgehen: Nicht versuchen, alles von, von vorne bis hin zu Ende zu planen, sondern einfache, unkritische Fälle nehmen, ähm, dort Erfahrungen sammeln und dann überlegen: Wie kann man's weiterentwickeln? Was du uns beschreibst, ist ja so: Du hast schon mit der Hürde ein schönes Bild gewählt. Man kann ja auch den, den berühmten Marathon als Beispiel: Ich werde wahrscheinlich zuerst mal versuchen, drei, vier oder fünf Kilometer zu laufen, bevor ich mich auf die ganze Distanz wage. Und ich glaube, von dem sprichst du und, und sagst dann, dass man da halt dann verschiedene Aspekte zunimmt. Auch das kommt immer wieder vor, vielleicht auf ei-eines deiner Themen, die du angesprochen hast, reflektiere, die Automatisierung beziehungsweise KI für die Leute, die eben nicht IT-affin sind. Was sagen wir vielleicht dazu? Es gibt Regeln, die man machen kann. Wenn A erfolgt, also zum Beispiel ein E-Mail mit Betreff sowieso kommt oder- Ja. -dann soll nach einer Regel B passieren, nämlich eine automatisierte Antwort, nach außen gehen oder es jemandem vorgelegt werden in der Firma. Das braucht gar keine KI. Ja. Und da wird eben oftmals schon viel verwechselt und die Unternehmen meinen dann, sie brauchen KI und dabei, wie du richtig gesagt hast, sind's oftmals vielleicht nur unter Anführungszeichen praktische Automatisierungen. Genau. Wenn wir das so zusammenfassen, dann ergibt sich daraus so eine Schnittmenge. Man könnte es auch einen kleinen gemeinsamen Nenner nennen. Nämlich: Was haben wir wirklich vor? Was mache ich denn mit den Daten überhaupt im Unternehmen? Und welche Daten brauche ich denn zu dem Vorhaben für dieses Ziel? Und wie du richtig gesagt hast: Brauche ich Automatisierung oder brauche ich dazu auch KI? Das kann man doch meistens mit einem Berater, du ja offensichtlich, das haben wir noch gar nicht dazu gesagt, ja, auch in eurer Kanzlei eine Unit leiht, die heißt, glaube ich, Data and Technology. Also- So ist es. -befasst ihr euch genau mit dem, genau. Also mit jemandem wie euch, oder wenn man jetzt nicht direkt bei euch anruft, weil man schon jemanden hat, also mit einer Person, die einfach da sich mit den Prozessen auskennt und beraten kann, dann kommt man ein großes Stück weit, bevor man herumprobiert wie wild. Genau. Oder man, man könnte natürlich auch hergehen und sagen, wenn man diesen Use Case, diesen Anwendungsfall, den man im Kopf hat, natürlich sehr gut dann mit jemandem wie euch dis-diskutieren und sagen: Sind da irgendwelche Gefahren oder Probleme zu beachten? Fiele dir da etwas ein, ein Fall, wo jemand zu dir gekommen ist, der da was geschildert hat und, und du dann beraten konntest und vielleicht habt's dann sogar sortiert. Es geht vielleicht ohne ganz kritische Daten und man kriegt dann auch viel raus.

Ja, also ich würde sogar sagen, das ist der Standardfall. Mhm weil oft kommen zu mir dann sehr, sehr spezifische Fragestellungen-Und ich hab da den Anspruch, dass ich auch den, den Rahmen außenherum einmal kurz beleuchten will, ja, und, und nicht nur jetzt stumpf die, die Frage beantworten – das, das kann möglicherweise KI auch – sondern so ein bissl den gesamtheitlichen Blick auch, zu haben. Und da kommen wir dann ganz oft drauf, dass eigentlich die Frage von falschen Prämissen ausgeht. Ja. Man hat vielleicht mal irgendwo was gehört, gerade im rechtlichen Zusammenhang, hat das dann verinnerlicht und hat das dann zu einer eigenen Prämisse gemacht und trifft dann Schlussfolgerungen, die vielleicht gar nicht richtig sind. Ja. Die geben aber dann schon die Leitplanken vor. Und dann gibt's, das gibt's in zwei Richtungen: Es gibt einerseits so rechtliche Mythen, ja, was nicht alles erlaubt ist. Die sind in der Regel falsch. Und es gibt rechtliche Mythen, was nicht alles verboten ist, und die sind in der Regel auch falsch. Ja, bitte erzähl uns mal. Was ist denn zum Beispiel ein Mythos, was alles verboten ist oder was alles erlaubt ist? Was fällt dir denn da ein? Na ja, also ein, ein Beispiel wäre: Die Verarbeitung von personenbezogenen Daten ist nur zulässig, wenn eine Einwilligung erteilt wird. Ist falsch, weil die Einwilligung ist eine von mehreren Gründen. Wenn man seinem Vertragspartner eine Rechnung schicken will, kann das wohl bitte nicht davon abhängen, ob der die Einwilligung dazu verteilt, äh, erteilt, dass ich ihm eine Rechnung schicken darf. Ja. Und da ist dann auch datenschutzrechtlich mehr möglich, als man glauben würde. Und dann gibt's aber umgekehrt die Fälle, sehen wir gerade im Zusammenhang mit KI oder mit bestimmten IT-Anbietern: Die Daten sind in Frankfurt gespeichert, also ist es datenschutzkonform. Ist auch falsch, weil verkürzt. Ja, weil wann bringe ich denn überhaupt das Argument, Daten sind in Frankfurt gespeichert? Das Argument bringe ich dann, wenn ich eigentlich mit einem US-Unternehmen zusammenarbeite, das mir sagt, die Daten sind in Frankfurt gespeichert. Und da kann man aus dieser, aus diesem, wenn ich den Satz beispielsweise höre oder wenn mir jemand schreibt und sagt: „Datenschutzrechtlich sollte alles in Ordnung sein, weil die, in Ordnung sein, weil die Daten sind in Frankfurt gespeichert“, dann weiß ich sehr schnell, okay, es geht offenbar um einen US-Anbieter, der das in seinen Marketingmaterialien so beschreibt und weiß, ich habe dann einen datenschutzrechtlich potenziell problematischen US-Transfer, den wir uns anschauen müssen. Mhm. Und das sind so, das sind so Themen, wo man, wo man dann, ein bisschen breiter dann schauen muss, um das dann wirklich einzuordnen und in geeignete Bahnen auch zu lenken. Und unser Anspruch ist da auch nicht nur, wie es manchmal bei Anwälten der Fall ist, zu sagen: „Nein, das geht nicht und da kriegst du Strafe und das ist verboten“, sondern wir wollen eben auch Lösungen bieten und sagen: „Okay, du möchtest dieses KI-Projekt umsetzen, ja, mit diesem spezifischen Modell.

Wwir haben so was schon einmal beim anderen Mandanten umgesetzt. Der hat es dort gehostet in diesem Betriebsmodell bei dem Anbieter und den Anbieter haben wir uns schon angeschaut datenschutzrechtlich. Bei dem geht es, ja, beispielsweise.“ Und dann ist es halt nicht nur rechtlich erlaubt oder verboten, sondern auch ein bissel eine Handlungsempfehlung: Wie kann man so was dann wirklich tatsächlich dann auch umsetzen im Unternehmen? Und darum geht's am Ende des Tages, dass man, dass man wirklich dann auch die konkreten Projekte umsetzen kann, um das im Unternehmen effektiv dann auch einsetzen zu können und dort dann auch zu sagen, wir haben diese Anwendung, so funktioniert sie, Davon ableiten können wir die KI-Kompetenz. Davon ableiten können wir auch die unternehmensinterne KI-Richtlinie beispielsweise. Ja, finde ich ja sehr, sehr praktikabel. Und wenn ich dir jetzt zugehört habe, hat mich das erinnert: Ich war letzte Woche in einem Setting von verschiedenen Kreativen. Da waren so zwanzig Leute aus, aus Österreich und da ging's auch darum: Man darf ja dann eben, wie du sagst, diese Annahmen, die man so hat, ohne viel rechtlichen Hintergrund wahrscheinlich, man darf das ja nicht machen, weil es in den USA und dann sagt der andere: „Ja, du brauchst es ja nur auf diesen Servern bei uns ins Vorarlberg hosten, dann hast du das Problem nicht mehr.“ Und dann sage ich: „Ja, aber was ist, wenn der das Modell verwendet, das ja in den USA oder in China oder so was ist? Da haben wir von diesem Server allein haben wir ja ganz wenig.“ Ja. Weil dann müsste das Modell auf diesem Server laufen. Das heißt, der müsste es ja dann dort hosten. Also wenn, wenn der natürlich dort ein Modell, ChatGPT, könnte Gemini oder sonst was sein, dort wirklich hostet und es lokal dort betreibt, dann womöglich ja, oder? Ja. Und das sind so Kleinigkeiten, wo man oft mal was aufschnappt und dann vielleicht es geht, sagt, es geht oder es geht nicht. Und das ist schon toll, dass ihr da wahrscheinlich Handlungsempfehlungen habt. Also zumindest einen Vorschlag. Ich möchte nie als Ergebnis haben: „Geht nicht. Punkt.“ Sondern ich möchte immer sagen: „Ao würde ich es rechtlich nicht empfehlen. Möglich oder besser wäre, das vielleicht so oder so zu machen.“ Mhm. Ja, Thema ist sehr, sehr spannend. Ich glaube, da gäb es ganz viel noch zu besprechen. Vielleicht schauen wir grad, weil wir grundlegende Informationen unseren Hörern mitgeben möchten in dem Podcast: Was gäb's denn zum, in der Praxis einfach zum Sich-Abholen an Informationen? Ich habe mal geschaut bei der Wirtschaftskammer. Wenn wir da kurz draufschauen auf diese Guidelines, die die geben. Das ist jetzt relativ praktikabel. Vielleicht magst du da, da aus rechtlicher Sicht noch ein bisschen was dazu sagen. Ich sage jetzt gerade ganz kurz, was denn solche KI-Richtlinien laut WKO beinhalten sollen. Die sagen halt einmal: Okay, wenn zum Beispiel für Recherchezwecke ChatGPT benutzt wird, dann beschreiben die das.

Dann sagen die: Okay, unsere Beschäftigten sollen bitte ChatGPT nur verwenden auf diesem Firmenaccount zu diesen und jenen Anwendungen und niemals Personen oder Kundendaten dazu eingeben. Wäre das so eine Empfehlung, was die reinsollen in die Richtlinien?Ja, na definitiv. Also genau solche sehr konkreten Handlungsanweisungen braucht's in einer KI-Richtlinie, weil, wenn man in die KI-Richtlinie reinschreibt, die geltenden Datenschutzgesetze sind einzuhalten, dann ist das rechtlich zwar richtig, bringt aber null Mehrwert, weil niemand weiß, was jetzt konkret zu tun ist. Und dann müssten alle Mitarbeiter selbstständig anfangen, okay, ähm, zu recherchieren: Was ist jetzt eigentlich erlaubt? Was ist verboten? Was geht? Was geht nicht? So eine Richtlinie bringt keinen Mehrwert, sondern man muss schon konkret das runterbrechen und sagen: Dieses Tool zulässig für folgende Daten. Personenbezogen ja, nein. Geschäftsgeheimnisse ja, nein. Sonstige Kundendaten nein. Man muss sagen, welche Use Cases sind zulässig. Darf man's verwenden, um Angebot zu erstellen? Ja und nein. Darf man Bewerberdaten hineingeben? Ja, nein. Man sollte auch festlegen: Nicht für die automatisierte Entscheidung verwenden, wenn die Entscheidung Nachteile für Personen haben kann. Da braucht's immer den Menschen, der letztendlich dann diese Entscheidung trifft. Solche konkreten Anweisungen sind eigentlich das Kernstück einer guten KI-Richtlinie im Unternehmen. Also vielleicht ganz praktikabel ist noch, was mir nämlich oft auffällt, dass man wirklich den, den Mitarbeitern sagt: Darf man, wenn man sich jetzt bei einem LLM, also Sprachsystem, welcher Art auch immer, Gemini, wo auch immer registriert, darf man da wirklich die E-Mail-Adresse des Unternehmens verwenden, die Firmenadresse? Ja. Und wenn ja, für was darf ich sie denn verwenden? Weil es weiß jetzt inzwischen vielleicht jeder, dass man's nicht sollte in der kostenlosen Variante verwenden. Also wofür darf ich's denn verwenden? Ich finde, das ist ganz wichtig zu definieren. Weil ein Phänomen haben wir noch nicht angesprochen, so das im Unternehmen nicht in der Kultur verankert ist und man drüber spricht regelmäßig und diese Guidelines rausgibt, gibt's ja die sogenannte Schatten-KI, wo man dann damit rechnen muss, darf, kann, soll, dass dann der Mitarbeiter übers Handy oder seinem eigenen Zugang Dinge recherchiert, wo er dann aber Firmendaten schlussendlich eingibt, die wir dem Unternehmen zu verwenden. Und dann haben wir ja eigentlich einen Wildwuchs, richtig? Ja, genau. Und deswegen würde ich auch am Anfang also die Frage gestellt, ob man überhaupt die berufliche E-Mail-Adresse eingeben darf. Ich würde sagen, wenn man sich bei so was registriert für berufliche Zwecke, muss es sogar die berufliche E-Mail-Adresse sein, weil nur mit der beruflichen E-Mail-Adresse hat der Dienstgeber auch die Möglichkeit festzustellen, wenn's nicht ohnedies klare Vorgaben gibt, falls es geben sollte, aber nur so die Möglichkeit auch festzustellen: Was wird eigentlich verwendet und wo?

Und wenn ich jetzt mit meinem Privataccount für meine private Nutzung mir irgendein Tool runterlade oder Abo bestelle, das geht den Dienstgeber ja eh nichts an, ja. Aber was es auf keinen Fall sein sollte, ist mit der privaten E-Mail-Adresse dann den beruflichen Einsatz, weil diese beruflichen Accounts oder, oder Enterprise Plans, wie sie oft heißen, ja genau diese Konfigurationsmöglichkeiten vorsehen für Unternehmen, die es braucht, damit ein rechtskonformer Einsatz überhaupt erst erfolgen kann. Also beispielsweise Löschroutinen, Aufbewahrungspflichten, Berechtigungen für einzelne User und das gibt's bei den privaten Accounts nicht, ja. Ich würd aber vielleicht insoweit ein bissel widersprechen, als dass es nicht zwingend um private, oder bezahlte Versionen gehen muss. Ja, ganz am Anfang, wo ChatGPT rausgekommen ist, hat's immer geheißen, man braucht die bezahlte Version, weil in der, in der kostenlosen Version wird mit den eigenen Daten trainiert. Das ist aus meiner Sicht heute gar nicht mehr so richtig, weil man eigentlich bei fast jedem Anbieter einstellen kann, ob dieses Training zugelassen wird oder nicht. Und manche haben's standardmäßig aktiviert. Das heißt, man muss es manuell deaktivieren und manche haben's standardmäßig deaktiviert und muss es aktiv dann einstellen. Und das muss man sich anschauen und muss sich halt eben durch diese Einstellungen durchklicken. Und da kommt jetzt der große Vorteil von Firmenaccounts und Firmenabos ins Spiel. Dort kann ich das an einer Stelle, nämlich zentral konfigurieren, wie das funktionieren soll und alle User-Accounts für die einzelnen Mitarbeitern unterliegen dann den zentralen Regeln und die User können auch nicht selber entscheiden, ob sie jetzt den Haken anstellen oder, oder eben ausstellen. Und deswegen braucht es eben genau diese Strukturen, um diese Kontrolle zu haben. Und das führt dann im Ergebnis dann schon dazu, da bin ich schon wieder bei dir, dass das natürlich Features sind, die kostenpflichtig sind und nicht kostenfrei sind. Aber es ist auch rechtskonformer Einsatz von kostenlosen Anwendungen theoretisch möglich, je nachdem, wie ich's einsetze. Aber es ist natürlich sehr, sehr heikel, weil ich als Dienstgeber gar nicht die Kontrolle darüber habe und das nicht nachvollziehen kann. Du hast natürlich recht, da ändert sich vieles. Ich habe jetzt überhaupt nicht den Blick und das dürfte vielleicht auch die Problematik grundlegend von vielen sein: Was hat sich denn seit 2022 November, das ChatGPT rausgekommen ist, alles geändert an den Einstellungen, wie du gesagt hast und wo man sich überall durchklicken muss. Wenn ich mir nur anschaue, was jetzt im Februar und im März bei Anthropic und wo auch immer, was da neue Funktionen dazugekommen sind. Also ich bin ja eher auf der Ebene, wo ich sage: Boah, was kann das wieder und kann das wieder?

Ich schaue doch gar nicht immer, was ist da rechtlich alles möglich oder auf was müsste ich aufpassen. Und genau das ist aber dieser Wildwuchs, den ich meine. Und diese Kontrolle, die du beschrieben hast, dass wenn man sich dazu durchringen kann, diese zwei Tools, ich sage jetzt einfach mal eine Zahl, zwei, können natürlich mehr sein, die man im Unternehmen nutzen will und man hat es genauso gemacht, wie du das jetzt sagst, man schaut sich das gemeinsam an oder eben rechtlich.Noch mit jemandem wie euch oder dir, dass man sagt: „Okay, auf was soll ich achten? Was soll ich eigentlich einstellen?" Dann ist das Thema fürs Unternehmen gegessen und das Nächste kommt: Die Mitarbeiter haben gar nicht so sehr das Bedürfnis, das dann durch ihre eigenen Systeme zu jagen und dann haben wir gewonnen eigentlich. Genau, und das ist eigentlich eh so, dass man, wenn man als Unternehmer schlechte Prozesse definiert, wird man eh recht schnell dadurch sanktioniert, weil sich die Mitarbeiter nicht daran halten. Weil sie sagen: „Ja, mag schon sein, dass das der Prozess ist, aber der ist unbequem und unpassend und ich möchte es anders machen." Und wenn das die, die tatsächliche Situation ist, dann sollte man sich überlegen, ob man vielleicht die Prozesse auch verbessern kann. Und grad beim Einsatz von KI, jeder hat's privat ausprobiert, jeder weiß, dass es im beruflichen Kontext eine Erleichterung bieten kann und der Mensch hat den Drang, sich sein eigenes Leben möglichst leicht zu machen. Also die meisten Menschen zumindest haben den Drang. Und was ist die Folge daraus? Der berufliche Einsatz von KI ist gewünscht, gewollt. Manche lehnen es von Grund aus ab. Kann sein, ist ja auch okay, muss ja niemand aus meiner Sicht. Krass. Aber es hilft den Leuten, deswegen wollen sie es verwenden und deswegen ist man als Unternehmer verpflichtet, eine Lösung zur Verfügung zu stellen, die A praktikabel ist und B aber rechtskonform ist. Und wenn man's nicht schafft, eine rechtskonforme Lösung anzubieten, darf man aber dann den eigenen Mitarbeitern auch nicht böse sein, wenn sie selber, auch einen rechtskonformen Einsatz vornehmen am Ende des Tages. Also es ist irgendwie schwieriges, schwieriges, aber, aber lösbares Thema aus meiner Sicht. Ja, ich glaube, das war jetzt ein wunderbares Schlusswort, Clemens. Das hast du jetzt ganz, ganz, gut zusammengefasst, weil genau das trifft's. Wenn man sich da ein bisschen an den Kopf macht, das ist ja nicht so sehr kompliziert. Es muss sich, es muss ja keiner jetzt hergehen und alle seine Prozesse automatisieren, plus KI einsetzen. Aber den normalen, die normale Nutzung, wie du sagst, die die Menschen halt machen wollen, weil es ihnen irgendwie das Leben erleichtert im Arbeitsalltag, die sollte man schon auf ziemlich einfache Art und Weise beschreiben. Und dafür mal vielen, vielen Dank, dass du da Einblick gewährt hast. Ich hab das Gefühl, wir finden vielleicht noch irgendwann einmal ein spannendes Thema, weil du scheinst da ganz viele Insights zu haben.

Ja, also ich hätte jetzt sicher noch drei Stunden über das Thema weiter sprechen können, ohne, ohne Probleme. Con meiner Seite aus können wir sehr gerne vielleicht mal in einem anderen Kontext auch noch einmal zu diesen Themen dann sprechen. Ja, wir werden wieder ein spannendes Thema finden. Jetzt sagen wir vielen, vielen Dank für heute, Clemens, und bis bald in dem Fall und viele spannende KI-Richtlinien. Ja, vielen Dank, Petra, für die Einladung. Es hat mir sehr, sehr Spaß gemacht, mit dir über das Thema zu reden und ich hoffe sehr, dass es für deine Hörer auch, auch interessant ist, obwohl es sehr abstrakt ist, wenn man es auf der Metaebene betrachtet, trotzdem ein paar praktische Tipps und Hinweise dabei waren, wie man mit dem Thema umgehen kann, weil man mit diesem Thema umgehen muss, ob man will oder nicht. Genau, perfekt. Vielen, vielen Dank. Danke dir. Gerne. Tschüss. Tschüss.

In unserem Podcast "Vom Hype zum Handeln" sprechen wir alle zwei Wochen über die Chancen des Wandels im Zeitalter künstlicher Intelligenz. Wir zeigen, was es am Markt in verschiedenen Bereichen gibt und was realisiert wird.

Wir sprechen über neue Entwicklungen, ordnen sie ein und lassen auch Experten und Partner zu Wort kommen. Damit erhältst du Einblicke aus erster Hand von Leuten, die schon zwei, drei Schritte weiter sind als der derzeit weit verbreitete Experimentierstatus.