AI Reality Check 2026: AI Governance & Compliance als Enabler skalierbarer Wertschöpfung

00;00;00;03 – 00;00;21;00
Unbekannt
Stellen wir uns kurz eine Situation vor, die gerade in vielen Unternehmen Realität ist. Das Marketingteam nutzt ChatGPT für Kampagnen Texte. Der Einkauf hat sich ein Tool zur Lieferantenanalyse gebaut, weil die Standard ERP Auswertungen zu langsam sind. Die IT testet Copilot in einem Piloten, von dem drei Abteilungen noch nichts wissen. Die Rechtsabteilung hat ihre eigene KI Recherche Lösung abonniert und die HR

00;00;21;02 – 00;00;43;20
Unbekannt
lädt Bewerbungsunterlagen in eine cloud-basierte Analyse KI hoch. Ein Tool, das das Team selbst ausgewählt hat, ohne IT und Datenschutz einzubinden. Das ist wirklich ein super Gau. Und in der Geschäftsführung fragt sich jemand, welche KI Strategie das Unternehmen eigentlich verfolgt. Das ist die eine Seite der Medaille. Dann gibt es noch ein weiteres Symptom, das ganz eng mit dem eben Beschriebenen zusammenhängt Das Management übt Druck auf die Belegschaft aus.

00;00;43;21 – 00;01;04;20
Unbekannt
Automatisierungspotenziale, sprich Use Cases, zu finden. Die Teams machen Workshops, sammeln Ideen, präsentieren dieses stolz dem Management der IT. Und dann: Nichts. Alles versaut in irgendeiner Schublade. Es gibt keinen Prozess, um solche Ideen weiter zu verfolgen und produktiv zu schalten. In vielen Fällen gibt es sogar aktive Widerstände, zum Beispiel von der IT, die der ohnehin überwucherten Software Komplexität Einhalt gebieten möchte.

00;01;04;21 – 00;01;27;14
Unbekannt
Darüber hinaus fehlen Standards, Kapazitäten und Freigabeprozesse und mit solchen nicht deterministischen Lösungen überhaupt umzugehen. Und das ist nicht ohne Grund, denn jede professionelle IT lebt nach dem Grundsatz: Nachhaltigkeit vor Geschwindigkeit. Zuerst war es Robotic, Process Automation, dann Generative AI und jetzt eben Agenten. Wie auch immer, es ist ein ewiger Widerstreit zwischen guten Ideen und nachhaltiger Umsetzung. Klingt das bekannt?

00;01;27;14 – 00;01;57;17
Unbekannt
Wenn ja, dann seid ihr in guter Gesellschaft. Was wir gerade beschrieben haben, sind keine Ausnahmefälle. Es ist der aktuelle Normalzustand in einer Mehrheit europäischer Industrieunternehmen. Die einen experimentieren, die anderen produzieren Schubladen voller Ideen. Andere wiederum bauen Übergangslösungen im stillen Kämmerlein und niemand hat den Überblick. Willkommen im Wilden Westen der künstlichen Intelligenz. Ich bin Irene Rache und das ist AI Reality Check 2026, der Podcast von EFS Consulting über das, was KI in der Industrie wirklich bedeutet.

00;01;57;18 – 00;02;17;27
Unbekannt
Und ich bin Ralph Zlabinger. In den letzten vier Episoden haben wir über den KI Hype und seinen Kater geredet, über das, was KI technisch wirklich ist, über AI Literacy, über konkrete Use Cases Aus Procurement & Supply Chain und Contract Management. Und heute kommen wir zur Frage, die hinter dem allem steht. Wie schafft es ein Unternehmen, KI nicht nur auszuprobieren, sondern wirklich zu skalieren?

00;02;17;27 – 00;02;41;06
Unbekannt
Sicher, verantwortungsvoll und mit messbaren Wert? Die Antwort lautet… Achtung Spoiler: Governance, KI Governance, um genau zu sein. Und ja, wir wissen, dass dieses Wort in Meetings oft für gedämpfte Begeisterung sorgt. Zu viele verbinden es mit Bürokratie, mit langsamen Freigabeprozessen, mit Innovation, die durch Formulare gebremst wird. Wir werden heute zeigen, warum das ein Missverständnis ist und was tatsächlich passiert, wenn Governance fehlt.

00;02;41;08 – 00;03;10;11
Unbekannt
Der Wilde Westen war natürlich wild und gefährlich, aber er war auch voller Energie, Mut und Experimentierfreude. Er hatte kein Problem mit Innovationskraft. Er hatte ein Problem mit Ordnung. Und genau das beschreibt die aktuelle Lage der KI in vielen Unternehmen sehr treffend. Der Wille zur Innovation ist stark und real. Was fehlt, sind die Leitplanken, innerhalb derer diese Innovationen skalieren können, ohne dass Unternehmen in Haftungsrisiken, Datenverlusten oder Compliance Probleme zu führen.

00;03;10;13 – 00;03;18;19
Unbekannt
Schauen wir uns an, was konkret auf dem Spiel steht und wie groß das Ausmaß ist, das die meisten Führungskräfte unterschätzen.

00;03;18;21 – 00;03;41;22
Unbekannt
Fangen wir also mit einer Zahl an Wie so oft Aktuelle Schätzungen aus der IT Security Praxis gehen davon aus, dass zwischen 60 und 80 % der unternehmensweiten KI Nutzung ungenehmigt stattfindet. Das heißt, der Großteil der KI Aktivitäten in einem Unternehmen ist der IT Abteilung nicht bekannt, durch keine Policy gedeckt und wird durch niemanden kontrolliert. Und das hat einen Namen, den wir auch schon öfter erwähnt haben: Shadow AI oder Schatten KI.

00;03;41;29 – 00;04;04;09
Unbekannt
Und das ist kein böswilliges Phänomen. Es entsteht, weil die Nachfrage nach KI Lösungen in den Fachbereichen schneller wächst als die unternehmensweiten Strukturen dafür. Mitarbeitende, die mit KI produktiver arbeiten wollen, warten nicht auf eine Freigabe, die es nicht gibt. Sie nutzen, was verfügbar ist. Das ist menschlich, pragmatisch und nachvollziehbar. Aber es hat nun einmal reale Konsequenzen. Schauen wir uns an, was dabei typischerweise passiert.

00;04;04;12 – 00;04;37;00
Unbekannt
Kundendaten werden in ein öffentliches ChatGPT Fenster kopiert, um einen Brief zu formulieren. HR-Unterlagen, Bewerbungsprofile, Gehaltsstrukturen, Performance Daten werden in eine cloud-basierte Analyse KI hochgeladen, die auf nicht europäischen Servern läuft. Interne Strategiedokumente werden als Kontext für KI generierte Präsentationen verwendet, ohne dass jemand prüft, welche Datenschutzbedingungen der Anbieter tatsächlich bietet. Was dabei auf dem Spiel steht: Sensible Interna, geistiges Eigentum, Kundendaten, HR Informationen können in den Trainingsdaten öffentlicher Modelle landen.

00;04;37;03 – 00;05;06;00
Unbekannt
Es gibt keine zentrale Administration, keine Zugriffskontrolle, keine Protokolle und KI generierte Outputs werden ungeprüft übernommen. Fehlerhafte Zahlen in Berichten, halluzinierte Daten in Entscheidungsvorlagen, falsche Empfehlungen in Angeboten. Und der letzte Punkt ist besonders wichtig, weil er den fundamentalen Unterschied zwischen KI Systemen und klassischer Software beschreibt. KI ist nicht deterministisch. Dieselbe Anfrage kann zu unterschiedlichen Outputs führen. KI Systeme produzieren plausibel klingende, aber falsche Antworten, sogenannte Halluzinationen.

00;05;06;00 – 00;05;27;24
Unbekannt
Wir haben darüber auch schon gesprochen und es wird nicht besser, je vertrauter man mit dem Tool wird. Im Gegenteil: Vertrautheit erzeugt eben Automatisierungsbias. Das ist die menschliche Tendenz, Maschinenausgaben unkritisch zu vertrauen, weil das System meistens richtig lag. Die Herausforderung ist dabei, “Meistens” ist bei KI Outputs nicht gut genug, wenn es um Entscheidungen geht, die Konsequenzen haben.

00;05;27;26 – 00;05;49;03
Unbekannt
Wie man sieht, ist das eine sehr komplexe Herausforderung. Wir haben unvollständige Prozesse, die die Wertschöpfung verhindern. Wir haben unautorisierte und unkontrollierte Nutzung, wir haben fehlende Standards und wir müssen ständig daran erinnert werden, dass wir es mit nicht vollständig deterministischen Systemen zu tun haben. Das ist ganz schön viel auf einmal. Jetzt gibt es wie immer eine unendliche Zahl an Möglichkeiten, um damit umzugehen.

00;05;49;04 – 00;06;23;11
Unbekannt
Strukturen, Verantwortungen, Standards aufbauen. Und das in dem Fall Schöne ist, dass es keine Fleißaufgabe ist, sondern auch getan werden muss. Stichwort EU AI Act. Genau. Der EU AI Act adressiert genau das. Er schreibt für bestimmte KI Systeme menschliche Aufsicht vor. Nicht als bürokratische Pflicht, sondern weil KI Outputs ohne menschliches Urteil strukturell unzuverlässig sind. Bevor wir da tiefer inhaltlich eintauchen, möchten wir aber ein aktuelles Urteil ansprechen, das diese Frage der Haftung für KI Outputs sehr konkret macht und das in Compliance- und Rechtskreisen gerade für viele Diskussionen sorgt.

00;06;23;12 – 00;06;50;29
Unbekannt
Es handelt sich um ein Urteil des Oberlandesgerichts Hamm vom 12. Mai 2026. Der Fall Eine Schönheitsklinik betreibt auf ihrer Website einen KI Chatbot für Terminbuchungen und Patientenanfragen. Dieser Chatbot bezeichnet die Geschäftsführer der Klinik gegenüber Patientinnen und Patienten wahrheitswidrig als Fachärzte für Plastische und ästhetische Chirurgie. Ein Titel, den sie gar nicht trugen. Die Verbraucherzentrale Nordrhein Westfalen klagte. Das Urteil des OLG Hamm war klar.

00;06;51;00 – 00;07;17;06
Unbekannt
Was ein System auf einer Unternehmenswebsite kommuniziert, wird im Unternehmen als eigene geschäftliche Handlung zugerechnet, vollständig, ohne die Möglichkeit, sich auf den Technologieanbieter zu berufen. Die Beklagte konnte sich nicht damit entlasten, dass die falsche Aussage von einer KI stammt. Das Gericht hat die Revision zum Bundesgerichtshof zugelassen, dass ist also noch nicht rechtskräftig. Aber das Signal ist unmissverständlich, was dieses Urteil so relevant macht für den weiteren Kontext.

00;07;17;08 – 00;07;38;20
Unbekannt
Es betrifft nicht eine KI, die jemand heimlich eingesetzt hat. Es betrifft ein offiziell eingeführtes Unternehmenstool. Wenn das schon bei einem offiziell betriebenen System gilt – wie sieht die Haftungslage aus bei Shadow AI? Aus Tools, die Mitarbeitende ohne Wissen der IT nutzen, ohne Policy, ohne Dokumentation und ohne Freigabe. Die Haftungsfrage ist dabei differenzierter, als es auf den ersten Blick scheint.

00;07;38;21 – 00;08;03;08
Unbekannt
Nach einer wegweisenden BGH Entscheidung vom Oktober 25 bleibt das Unternehmen als DSGVO verantwortlich in der Pflicht, auch wenn eine Mitarbeiterin oder Mitarbeiter den Fehler gemacht hat. Solange die Nutzung im Rahmen beruflicher Aufgaben erfolgte. Die Geschäftsführung kann Datenschutz Verantwortung nicht auf Einzelpersonen abwälzen. Was das bedeutet? Wer als Unternehmen keine Richtlinien hat, die KI Nutzung regeln hat auch keine Grundlage, sich im Schadensfall zu entlasten.

00;08;03;14 – 00;08;17;27
Unbekannt
Shadow AI ist also nicht nur ein IT Security Thema, es ist ein Haftungsthema, ein Compliance Thema und ein strategisches Risiko. Und es betrifft nach allem, was wir in unserer Praxis sehen, so gut wie jedes Unternehmen, das heute KI einsetzt.

00;08;17;29 – 00;08;43;19
Unbekannt
Seit dem 1. August 24 gilt der EU AI Act die Verordnung 2024 1689 die weltweit erste umfassende Regulierung für künstliche Intelligenz. Ihr Zweck ist, KI vertrauenswürdig und menschengerecht einzuführen, ein hohes Schutzniveau bei Gesundheit, Sicherheit und Grundrechten, ohne der Innovation im Weg zu stehen, so der Wortlaut von Artikel eins der Verordnung zum Thema AI Act und Compliance im Allgemeinen haben wir dezidierte Expert:innen im Haus.

00;08;43;20 – 00;09;16;25
Unbekannt
Diesen nächsten Abschnitt werde ich daher mit Victoria Langejürgen, die unsere Ansprechpartnerin zum Thema EU AI Act ist, besprechen. Victoria herzlich willkommen! Was sollten wir über den AI Act wissen? Hallo Ralph. Danke. Das Gesetz betrifft nicht nur Unternehmen, die KI innerhalb der EU entwickeln, vermarkten. Es geht hier ausdrücklich für jene Unternehmen, die ein KI System in eigener Verantwortung einsetzen. Wer also ChatGpt, Copilot oder ein KI gestütztes HR Tool oder auch eine automatisierte Lieferantenanalyse betreibt, ist Betreiberin oder Betreiber im Sinne des Gesetzes.

00;09;17;00 – 00;09;40;25
Unbekannt
Das heißt, es kommen konkrete Pflichten auch ohne eine einzige Zeile KI Code selbst geschrieben zu haben, auf einen zu. Soweit ich das mitbekommen habe, tritt das Gesetz gestaffelt in Kraft. Und hier lohnt es sich wahrscheinlich, genauer hinzuschauen, denn seit dem Digitalomnibus Paket vom 7. Mai 2026 hat sich der Zeitplan verschoben. Aber manches gilt bereits heute. Vielleicht. Victoria, kannst du uns da ein bisschen helfen, den Überblick zu wahren?

00;09;40;28 – 00;10;15;10
Unbekannt
Genau. Was bereits gilt seit dem Februar 2025, das heißt seit über einem Jahr, sind bestimmte KI Praktiken, die verboten sind: Social Scoring, manipulative Systeme, Echtzeit Biometrie im öffentlichen Raum, das Createn von Gesichtsdatenbanken aus dem Internet oder auch Emotionserkennung am Arbeitsplatz. Auch seit Februar 2025 in Kraft. Die Pflicht zur KI Kompetenz nach Artikel vier. Unternehmen müssen also sicherstellen, dass ihre Mitarbeitenden die KI Systeme nutzen, auch die dafür erforderliche Sachkunde haben.

00;10;15;11 – 00;10;51;26
Unbekannt
Kompetenz ist keine Empfehlung mehr. Es ist geltendes Recht. Was ab August diesen Jahres, also 2026, gilt, ist die Kennzeichnungspflicht für KI generierte Inhalte, also Texte, Bilder, Audios und Videos. Alles, was mit KI erzeugt wird und nach außen kommuniziert wird, muss hier als solches erkennbar sein. Ich muss wissen, dass ich mit einem KI Chatbot interagiere. Die umfangreichen Hochrisikopflichten, zum Beispiel das Risikomanagement, die technische Dokumentation, menschliche Aufsicht Protokollierung – all das wurde eben durch den Digital Omnibus auf Dezember 2027 verschoben.

00;10;51;29 – 00;11;17;09
Unbekannt
Das klingt erst mal nach Entlastung, aber der Bußgeldrahmen ist bereits seit August 25 anwendbar. Das heißt, die Pflichten greifen gestaffelt und die Strafen ebenfalls, oder? Genau. Die Verschiebung auf 2027 ist für manche Unternehmen eine echte Erleichterung. Es klingt nach mehr Vorbereitungszeit, mehr Zeit, Klarheit zu schaffen. Aber in der Praxis wird die Verschiebung als Signal gelesen: “Ich kann doch noch mal eine Pause einlegen.”

00;11;17;14 – 00;11;41;05
Unbekannt
Das ist gefährlich, denn die Strukturen und Governance, die wir für die Compliance von Hochrisiko-KI brauchen, baut man nicht in drei Monaten auf. Wer also bis 2027 wartet mit der Vorbereitung, fängt zu spät an. Gut zu wissen. Kommen wir damit zum Herzstück der Risikoklassifizierung. Wir haben gehört, es gibt vier Klassen und der AI Act denkt sie von oben nach unten, vom größten Schadenspotenzial zum kleinsten.

00;11;41;06 – 00;12;15;17
Unbekannt
Vielleicht kannst du auch ein bisschen tiefer hineingehen und das erklären. Gerne. Genau. Das größte Schadenspotenzial. Das hat natürlich das inakzeptable Risiko. Das sind also verbotene Praktiken. KI Systeme, die in der EU somit nicht mehr betrieben werden dürfen. Und das gilt seit Februar 2025. Das heißt, dazu gehören KI, die Menschen unterschwellig manipuliert. Social Scoring, die Vorhersage von Straftaten ausschließlich über Profiling und eben auch die Emotionserkennung als Platz oder in Bildungseinrichtungen. Was hier für Industrieunternehmen relevant ist:

00;12;15;17 – 00;12;46;29
Unbekannt
Wenn man heute ein HR Tool einsetzt, das in Videointerviews zum Beispiel die emotionale Stabilität von Bewerberinnen und Bewerber bewertet, betreibt ein verbotenes System. Und da gibt es keine Grauzonen mehr, keinen Übergang. Es ist verboten. Eine Stufe darunter befindet sich das hohe Risiko. Hier wird sich wohl die breite Mitte befinden, die viele Unternehmens-KI-Systeme betrifft, also KI in Personalentscheidungen, Kreditvergabe, kritische Infrastruktur in Bildungseinrichtungen, in der Strafverfolgung.

00;12;47;00 – 00;13;13;18
Unbekannt
Hier greift der volle Pflichtenkatalog. Also es geht um das Thema Risikomanagement, die Dokumentation, die angemessene Maßnahmen und die menschliche Aufsicht. Dem Human in the Loop. Dann vorletzte Stufe das begrenzte Risiko. Bei der Verwendung von Chatbots und Deepfakes gilt die Transparenz Pflicht. Nutzerinnen und Nutzer müssen wissen, dass sie mit einer KI interagieren. Und zuletzt haben wir das minimale Risiko.

00;13;13;20 – 00;13;35;12
Unbekannt
Dazu gehören Anwendungen wie zum Beispiel Spamfilter und KI in Videospielen. Hier gibt es seitens EU AI Act keine nennenswerten Auflagen. Und wie funktioniert das jetzt mit der Einordnung in die Risiko Klassen? Wer macht die? Das ist ja keine Entscheidung, die den Behörden überlassen wird. Die muss man ja selbst machen, oder? Genau. Die Organisation selbst ist dafür verantwortlich. Es handelt sich um die Selbst Klassifizierung.

00;13;35;13 – 00;14;06;05
Unbekannt
Die Organisation muss selbst einordnen, in welche Risikoklasse mein KI System fällt. Das ist hier keine technische Frage, sondern eine Frage der Unternehmensverantwortung. Ein KI Tool das die Bewerberinnen und Bewerber vor selektiert. Wie gesagt Hochrisiko. Ein System, was Lieferantenempfehlungen generiert und in Einkaufsentscheidungen einfließt, könnte auch ein Hochrisikosystem sein, je nachdem, wie stark es menschliche Entscheidungen beeinflusst. Wer diese Einordnung nicht vornimmt, trägt das volle Risiko einer Falschklassifizierung.

00;14;06;06 – 00;14;29;02
Unbekannt
Aber was ist jetzt, wenn man falsch klassifiziert? Also auch wenn man es versucht hat. Dann muss man blechen. Okay. Also das heißt, diese diese Einordnung ist unbedingt ernst zu nehmen, weil wenn es zu einer wie auch immer gearteten Überprüfung kommen könnte, auch wenn man es versucht hat, sich an den Prozess gehalten hat, ist man natürlich trotzdem bußgeldfähig. Sozusagen.

00;14;29;04 – 00;14;51;24
Unbekannt
Genau. Gut, der Bußgeldrahmen, den sollten wir kurz konkret machen. Artikel 99 der Verordnung sieht bei Verstößen gegen verbotene Praktiken Bußgelder von bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes vor, je nachdem, welcher Betrag höher ausfällt. Also das ist schon eine ganz schöne Summe, die Unternehmen in Bedrängnis bringen könnte. Bei Verstößen gegen Hochrisiko Anforderungen sind es bis zu 15 Millionen € und 3 %.

00;14;51;24 – 00;15;17;02
Unbekannt
Bei falschen Auskünften gegenüber Behörden sind es bis zu 7,5 Millionen € oder 1 %. Diese Zahlen sind bewusst hoch angesetzt, um abzuschrecken. Und sie skalieren mit dem Umsatz. 3 % können für ein mittelständisches Industrieunternehmen, wie gesagt, existenzbedrohend sein. Die gute Nachricht: Es gibt noch keine spektakulären Verfahren. Die schlechte Nachricht: Das ist keine Garantie dafür, dass es so bleibt. Die Aufsichtsbehörden werden zunehmend aktiv, und in Deutschland ist die Bundesnetzagentur als zuständige nationale Hölle benannt.

00;15;17;04 – 00;15;43;09
Unbekannt
Das heißt, es gibt eine Behörde, die dafür verantwortlich ist, und sie wird natürlich ihre Arbeit aufnehmen oder hat das schon längst getan? Genau, was wir aus all dem am Ende mitnehmen. Die Frage ist hier nicht mehr, ob sich Unternehmen mit Governance beschäftigen müssen. Diese Frage hat der Gesetzgeber schon für uns beantwortet. Die Frage ist hier nur noch, ob man es proaktiv tut mit Gestaltungsspielraum, der Möglichkeit, eigene Schwerpunkte zu setzen, oder ob ich es reaktiv mache unter Druck, wenn zum Beispiel ein Vorfall stattgefunden hat.

00;15;43;15 – 00;16;09;28
Unbekannt
Wer reaktiv anfängt, zahlt tatsächlich fast immer mehr. Es kostet mehr Zeit, mehr Geld und vor allem auch mehr Reputationsschaden. Wir halten deshalb in einem Satz fest, der aus unserer Beratungserfahrung stammt: Ohne Governance wird KI früher oder später von der Rechtsabteilung gestoppt. Super, vielen Dank für deinen Input. Damit gebe ich wieder zurück an Irene. Sehr gerne.

00;16;10;00 – 00;16;48;23
Unbekannt
Kommen wir also zur anderen Seite des Arguments. Was sieht gut aus, wenn KI im Unternehmen strukturiert eingeführt wird? Wie sieht der Weg vom Wilden Westen zur skalierbaren Value Factory konkret aus? Dafür hilft ein Modell, das wir in unserer Beratungsarbeit verwenden: die KI Implementierungslevels. Drei Stufen, die beschreiben, wie KI in einer Organisation zunehmend reif wird. Level A ist Personal AI. Einzelne Mitarbeitende nutzen Self Service Tools wie ChatGpt, Copilot oder Gemini für individuelle Aufgaben, Brainstorming, Tags Entwürfe, Recherche – sofort verfügbar, kein IT Aufwand, niedrigschwellig, für unkritische Daten und persönliche Effizienz völlig ausreichend.

00;16;48;26 – 00;17;29;05
Unbekannt
Level B ist Tailored AI. Power Userinnen und User bauen maßgeschneiderte Lösungen für spezifische TeamworkFlows. Agenten. No Code. Low Code. Automatisierungen. Nah am Fachprozess, schnell umsetzbar. Hier arbeitet man typischerweise mit internen Daten und wiederkehrenden Aufgaben. Und hier beginnt auch die Governance Anforderungen zu steigen. Level C ist Enterprise AI: vollständig dokumentierte, reproduzierbare Key Systeme für geschäftskritische Prozesse, RAG-Architekturen, API-Integrationen, Fine-Tuning. Höchste Anforderungen an Sicherheit, Compliance und Auditierbarkeit, aber auch das volle Potenzial für skalierbaren messbaren Wert.

00;17;29;06 – 00;17;41;07
Unbekannt
Kunden-facing Anwendungen, sensible Daten, Kernprozesse. Vorsicht, Das ist eine andere Kategorisierung, aber überschneidet sich mit dem EU AI Act.

00;17;41;09 – 00;18;13;10
Unbekannt
Jonas Wagner ist bei EFS für Informationssicherheit und IT Compliance Ansprechpartner. Jonas, kannst du mit diesem Framework etwas anfangen? Ja, diese Implementierungslevels passen total zu unserem Ansatz. Für Governance von AI muss sich neben der Komplexität der Lösungen, die jetzt die Grundlage für diese Implementierungslevel waren, noch zumindest zwei Dimensionen mitdenken. Das ist zum einen der Schutzbedarf. Also habe ich Daten, die ich irgendwie besonders schützen möchte, die ich nicht an Dritte rausgebe oder kann die KI Lösung, die ich da baue mit dem Internet sprechen?

00;18;13;10 – 00;18;40;11
Unbekannt
Oder kann ich die wirklich abkapseln? Und die Exponiertheit des Unternehmens. Also ist das was wo ich was verkaufen möchte, wo ich die KI auch durch Dritte bedienen lasse oder wo ich irgendwie ein Siegel brauche? Und aufbauend auf den den beiden weiteren Dimensionen glaube ich, dass man für diese unterschiedlichen Level auch unterschiedliche Bausteine braucht. Das heißt, Governance braucht für diese unterschiedlichen Level auch unterschiedliche Ansätze.

00;18;40;12 – 00;19;07;14
Unbekannt
Im Ersten, bei der Personal AI ist das zumindest einer, eine sehr klare. Ich muss die Mitarbeitenden Regeln setzen. Ich muss sagen, was geht, was geht nicht. Ich kann mich dann unabhängig davon dafür entscheiden, das auch technisch zu erkennen oder durchzusetzen. Das ist eine Entscheidung, die wohl überlegt sein muss und die auch passt zum restlichen Ansatz. Ist es aus meiner Sicht nicht sinnvoll, total zu reglementieren, was Menschen in einen Chatbot eingeben,

00;19;07;14 – 00;19;29;00
Unbekannt
wenn ich an anderer Stelle nicht genauso streng bin und sage “Nein, du kannst dieses PDF nicht auf diese Website hochladen, um es in zwei Teile zu zerlegen” was ein klassischer Fall ist. Das sollte derselbe Prüfgrad sein. Wenn ich mich dafür entscheide, das zu machen, auf jeden Fall mit der Rechtsabteilung sprechen, auf jeden Fall mit dem Betriebsrat sprechen, weil da greife ich natürlich schon in den Arbeitsplatz der Mitarbeitenden ein.

00;19;29;03 – 00;20;01;09
Unbekannt
Das war’s zum Kleinen. Im mittleren Implementierungslevel der Tailored AI geht das was die Compliance, das, was die Governance möchte, genau in dieselbe Richtung wie das, was der produktive AI Ansatz möchte. Ich will den Mitarbeitenden möglichst viel Plattform bieten, möglichst viel Unterstützung bieten. Dass sie mit wenig Aufwand zu guten, semiprofessionellen Lösungen kommen. Und das ist ein Ansatz, der auch in der normalen Softwareentwicklung schon lange bekannt und gepredigt wird Shift Left Shift Down.

00;20;01;13 – 00;20;37;26
Unbekannt
Dass ich nämlich meine ganzen Compliance Anforderungen möglichst einmal in der Plattform sicherstelle und danach obendrauf viel Freiheit haben. Also da aus meiner Compliance und Security Sicht: GO. Von mittleren Implementierungslevel zum Großen zu Enterprise AI geht es aus meiner Sicht/aus unserer Sicht zumindest dann, wenn ich auch von dieser Einzelberatung der Einzelbetrachtung einzelner Anwendungsfälle weggehen muss und sagen muss: Okay, der Fachbereich muss seine Compliance zu einem gewissen Grad auch selber machen können. Dann ist es sinnvoll, eine saubere Managementebene einzuziehen

00;20;37;27 – 00;21;10;13
Unbekannt
und dann helfen mir auch Frameworks wie die ISO 42.001, nach der ich mich auch zertifizieren kann, die also auch als Siegel für Kunden und in der Lieferkette und für Regulatoren dient, zu sagen: Hey, dieses Unternehmen hat sich insgesamt Gedanken gemacht, wie sie KI sicher und compliant einsetzen und haben mit diesem, ja mit diesem Drumherum auch die Möglichkeit geschaffen, dass jeder einzelne Anwendungsfall compliant ist, ohne dass das immer individuelle Betrachtungen werden.

00;21;10;15 – 00;21;39;18
Unbekannt
Die ISO 42.001 ist aus unserer Sicht ein total spannender und auch notwendiger Ansatz. Am Markt hat sich das aber noch nicht durchgesetzt. Das heißt, viele Kunden warten da ab. Ich sehe das aber hauptsächlich im US Raum, das diese Zertifizierungen auch einfach gemacht werden um zu sagen: Ich möchte mich nicht mit Einzelanfragen auseinandersetzen. Ich möchte einmal nachweisen, dass ich das im Griff habe und danach verkaufen und damit produktiv arbeiten.

00;21;39;20 – 00;21;52;09
Unbekannt
Zusammengefasst: Die Herausforderung bei Compliance ist nie, Gründe zu finden “Nein” zu sagen, sondern den Weg zum “Ja” frei zu machen und mit Leitplanken zu versehen.

00;21;52;11 – 00;22;12;16
Unbekannt
Ein Punkt, den wir in der Beratungspraxis immer wieder betonen: Governance darf nicht langsam sein. Wenn Freigabe Prozesse Wochen dauern, landet man entweder wieder im Wilden Westen oder dämpft Innovationslust. Deshalb braucht es neben dem vollständigen Governance Prozess für Level B und C Use Cases auch eine Fast Lane, eine klare Liste standardisierter risikoarmer Tools die innerhalb definierter Leitplanken sofort genutzt werden können.

00;22;12;16 – 00;22;32;17
Unbekannt
Level A im Wesentlichen mit klaren Regeln dazu, welche Daten dabei verwendet werden dürfen, welche nicht, vor allem, welche Entscheidungen getroffen werden dürfen. Die Fast Lane ist entscheidend für die Akzeptanz von Governance im Unternehmen. Wer erlebt, dass die Governance schnell geht, wenn der Use Case klar ist, der vertraut dem System. Und dann ist da noch die Frage der Führungsrolle, die das alles trägt: Die Rolle des Chief AI Officers.

00;22;32;18 – 00;23;03;19
Unbekannt
Kurz Sie CAIO hat sich in den letzten zwei Jahren fundamental verändert. Der CAIO 1.0 war Evangelist. Jemand, der KI Möglichkeiten erkundet, intern macht und begeistert. Wichtig in der Aufbauphase, aber nicht skalierbar. Der CAIO 2.0 ist Operationalisierer. Er oder sie bettet KI in produktive Workflows ein, etabliert Guardrails für verantwortungsvolle Nutzung, definiert Return on Investment Kennzahlen und koordiniert Modelle, Daten und Plattformen über Abteilungsgrenzen hinweg.

00;23;03;22 – 00;23;25;04
Unbekannt
Das ist eine Führungsaufgabe, keine IT Aufgabe. CAIOs die direkten Zugang zur Geschäftsführung haben, können abteilungsübergreifend gestalten. Das ist strukturell schwer zu ersetzen. Wichtig ist hier vor allem, dass die erwähnten Aufgaben und Funktionen eingebettet werden in die Organisation, ob da jetzt CAIO draufsteht oder nicht, das ist dann nicht mehr so wichtig.

00;23;25;07 – 00;23;47;00
Unbekannt
Das KI Inventar ist fast immer überraschend, und zwar in beide Richtungen. Einerseits findet man Tools, von denen die IT nichts wusste. Andererseits findet man oft auch, dass bestimmte Fachbereiche bereits sehr gut strukturiert vorgegangen sind, eigene Policies entwickelt haben, Datenschutz und Fragen gestellt, Risikos abgewogen haben. Das ist die Innovationskraft, die man aufgreifen und kanalisieren kann, statt sie zu regulieren.

00;23;47;05 – 00;24;09;02
Unbekannt
Governance schafft in diesem Sinne keine Freiheit durch Einschränkung. Sie schafft Freiheit durch Klarheit. Wer weiß, was erlaubt ist, innerhalb welcher Leitplanken man sich bewegen kann und wo man Unterstützung bekommt, arbeitet schneller und selbstbewusster mit KI und nicht langsamer. Wir haben wieder eine Hausaufgabe für euch in dieser Episode. Es gibt drei konkrete Einstiegspunkte, die ihr morgen früh schon anstoßen könnt.

00;24;09;04 – 00;24;50;12
Unbekannt
Ohne großen Vorlauf, ohne vollständige Governancestruktur als Voraussetzung. Erstens das KI Inventar: eine strukturierte Bestandsaufnahme aller KI Tools im Unternehmen. Eingekaufte Softwareprodukte, eingebettete KI Funktionen in bestehende Systeme und Tools, die Mitarbeitende eigenständig nutzen. Ihr werdet überrascht sein, was dabei ans Licht kommt. Und das Inventar ist die unersetzliche Grundlage für das, was danach kommt: Risikoklassifizierung, Daten Policies und Freigabeprozesse. Zweitens: die Rollenklärung. Wer ist in eurem Unternehmen eigentlich verantwortlich für KI Governance, wenn diese Frage gleichzeitig in der IT, im Datenschutz, in der Rechtsabteilung und im Fachbereich landet, ohne dass jemand den Überblick hält oder die Frage beantworten kann, dann ist das eine massive organisatorische Lücke.

00;24;50;14 – 00;25;13;15
Unbekannt
AI Governance braucht eine Heimat. Das muss kein vollständiges AI Office von Tag eins sein. Es muss einfach jemand sein, der diese Funktion trägt mit einer konkreten Zuständigkeit und einem definierten Workflow. Drittens: Die Kompetenzpflicht, ernst nehmen und dokumentieren. Eine pragmatische Umsetzung beginnt mit einer ehrlichen Bestandsaufnahme. Wer im Unternehmen nutzt, welche Systeme, mit welchem Kenntnisstand. Daraus lässt sich ein realistischer Schulungsplan ableiten, der dokumentiert werden kann.

00;25;13;16 – 00;25;37;28
Unbekannt
Das muss keine aufwendige Akademie Struktur sein. Es kann mit gezielten, kontextspezifischen Formaten beginnen, die den konkreten Arbeitsalltag der Mitarbeitenden in den Mittelpunkt stellen. Was diese drei Schritte gemeinsam haben: Sie liefern sofort verwertbare Erkenntnisse, auch wenn sie noch keine vollständige Compliance erzeugen. Das Inventar zeigt, wo man steht. Die Rollklärung schafft Verantwortung. Die Kompetenzerfassung gibt ein reales Bild, das AI Literacy Stands im Unternehmen.

00;25;37;29 – 00;26;02;14
Unbekannt
Und aus diesen drei Grundlagen lässt sich ein Fahrplan entwickeln, der realistisch ist und Prioritäten setzt. Und wer dabei merkt, dass das eigene Unternehmen bereits weiter ist als gedacht, dass einzelne Fachbereiche schon strukturiert vorgehen, dass es bereits informelle Policies gibt, dass einzelne Personen echte KI Kompetenz aufgebaut haben, der findet in dieser Bestandsaufnahme auch Anknüpfungspunkte und Verbündete. Governance baut man nicht am besten von oben nach unten durch Dekret.

00;26;02;15 – 00;26;22;03
Unbekannt
Man baut sie am besten, indem man das zusammenführt, was in der Organisation ohnehin schon vorhanden ist. Das war die Folge 5 vom AI Reality Check 26 Danke an unsere Gäste und ihre Einblicke aus der täglichen Praxis und Euch Danke fürs Zuhören. Folge sechs wird dann die Abschlussfolge unserer Miniserie und sie gehört euren Fragen. Habt ihr etwas gehört, das ihr vertiefen wollt?

00;26;22;04 – 00;26;42;19
Unbekannt
Eine Frage, die in dieser Serie zu kurz gekommen ist. Eine Erfahrung aus eurem Unternehmen, die er teilen wollt. Schreibt uns auf LinkedIn oder per Email – einen Link findet in den Shownotes. Und unsere Community-Frage für diese Episode: Habt ihr in eurem Unternehmen eine Vorstellung davon, wie viele KI Tools gerade im Einsatz sind? Die offiziell eingeführten und jene, die Mitarbeitende eigenständig nutzen?

00;26;42;20 – 00;26;54;18
Unbekannt
Und was würde sich in eurer Organisation verändern, wenn ihr das wüsstet? Wir sind gespannt auf eure Antworten. Schaltet also wieder ein. Wir sind Irene Racher und Ralph Zlabinger. Danke an unsere Producerin Viktoria Dabrowska und bis zur nächsten Folge.