Claude Code im Unternehmen 🤖: Diese rechtlichen Aspekte solltest du kennen
23. März 2026, mit Joël Kaczmarek
Dieses Transkript wurde maschinell erstellt. Wenn dir ein Fehler auffällt, schreib uns gerne zu diesem unter redaktion@digitalkompakt.de.
Benedikt Flöter: Wenn jetzt alle meine Mitarbeiter und Mitarbeiterinnen anfangen, sich ihre kleinen eigenen Software-Systeme zu bauen, Dann habe ich vielleicht auch viele IT-Security-Risiken, weil es diverse Schnittstellen gibt, wo man eindringen kann. Vom Grundsatz her gibt es die Unterscheidung zwischen der Idee, die ein Mensch hat, die grundsätzlich nicht urheberrechtlich schutzfähig ist und dem konkreten Ausdruck dieser Idee, die schutzfähig sein kann.
Carolin Raspé: August ist jetzt wieder ein wichtiges Datum. Das sollten die Unternehmen eben gerade bei Hochrisikosystemen tatsächlich auf dem Schirm haben.
Intro & Outro Speaker: 5 oder mehr, Gib Mir alles, was Du mir sagen kannst und sag, was hast du gelernt? Vom Fallen und Aufstehen, Suchen und Plasen. Und jetzt du High Five Leute,
Joël Kaczmarek: Hier ist Joël und ihr wisst, An unserem Money Monday reden wir immer fleißig über Wachstum im Business. So, nun ist es ja so, Das meiste Wachstum kommt ja in letzter Zeit. Dank KI. Und bestimmt Seid ihr da draußen auch schon fleißig am Vibe-Coden. So sagt man ja, wenn man mit KI Dinge programmiert. Also, Cloud-Code ist ja ein großes Thema für viele gerade. Lovable. Naja, Und dann ist es ja ehrlicherweise, aber auch so, Das eine oder andere sollte man ja rechtlich im Blick behalten, wenn man mit KI arbeitet. Es gibt ja immer noch den AI Act. Also, da kommen ja einige Sachen auf uns zu. Und dann dachte ich mir, hey, du kennst doch Leute, die sich damit auskennen, Frag die doch mal. Weil die Menschen, mit denen ich da arbeite, Das ist YPOG, eine Kanzlei, die sich genau mit solchen Themen beschäftigt. Schreibt sich YPOG, falls ihr das Mal nachrecherchieren, wollt. Und zwei Menschen dort kennen sich besonders gut aus. Nämlich zum einen die Liebe Carolin Raspé. Die ist Partnerin dort für Compliance und Internal Investigations. Und Compliance ist ja genau das Thema, über das wir hier reden. Und der zweite Kollege, der Liebe Benedikt Flöter, Der wiederum ist Partner für Technologierecht. Und der kennt sich speziell mit KI aus. Also, wenn wir die beiden zusammenpacken, wenn die dann nicht wissen, dann weiß das keiner. Sag ich jetzt mal ein bisschen flapsig. Und wir haben uns heute vorgenommen, dass wir euch mal ein Stück weit an die Hand nehmen, Was beschäftigt Unternehmen eigentlich gerade in Sachen KI, Was für Banden gibt es da, Worauf sollte ich achten, dass das alles nicht nur effizient, sondern auch rechtssicher ist. So, that being said, Ihr beiden, bin ich ja mal gespannt. Schön, dass Ihr da seid. Moin, moin.
Carolin Raspé: Hallo.
Benedikt Flöter: Vielen Dank. Schön, dass wir hier sind.
Joël Kaczmarek: Ja, und jetzt müsst ihr natürlich erstmal hier einen Beweis liefern. Macht ihr selber schon fleißig was mit KI? Seid ihr auch am Vibe-Coden? Gibt es irgendwie erste Webseiten? Wie sieht es bei Euch aus, Carolin?
Carolin Raspé: Also mit KI, ja. Ich glaube, da kommt heute kein Jurist mehr. Drum rum. In der juristischen Arbeit, in der Recherche, in der Dokumentenerstellung, Das kann man heute nicht mehr händisch machen. Da möchte auch kein Mandant mehr für bezahlen, zu Recht. Aber ich muss ehrlich sein, Webseiten coden, Das ist noch ein Buch mit sieben Siegeln für mich. Da muss ich mich vielleicht irgendwann mal in der Freizeit mit beschäftigen. Aber KI ist natürlich allgegenwärtig in unserem Alltag.
Joël Kaczmarek: Okay, Benedikt Flöter ist dann derjenige für die kleinen Zeittasse, würde ich sagen, am Wochenende, oder?
Benedikt Flöter: Ja, also so ein bisschen Techy schon immer gewesen. Ich erzähle immer, ich wollte mal Ingenieurwissenschaften studieren und in der Schule irgendwie. Keine Ahnung, Kleine Dateien programmieren, Webseiten, HTML und Sowas haben irgendwie alle gemacht. Und das hat sich natürlich total geändert. Also, es ist natürlich sehr viel mehr möglich. jetzt. Und wir machen bei YPOG viel Legal Tech. Ich habe tatsächlich auch so ein, Zwei kleine Side-Hazards fürs Wochenende. Die Zeit ist leider immer so ein bisschen zu knapp. Aber es ist schon krass, was man mit Lovable und den ganzen Tools mittlerweile machen kann. Man spart sich eigentlich den ganzen Entwickler-Pipeline, würde ich fast sagen. Ob es dann auf dem Markt ist, denke ich jetzt. Müssen wir mal gucken.
Joël Kaczmarek: Ich meine, du weißt es ja, weil du machst es selber, bist sozusagen selber Anwender. Aber vor allem hast du natürlich viele Kunden. Was ist denn das, was Unternehmen gerade so beschäftigt? In Sachen Karriere? Was beschäftigt die DA am meisten?
Benedikt Flöter: Ja, das ist echt spannend. Also das ist wahrscheinlich ein Thema, das nie aufhört. Und das sind so Wellen, würde ich sagen. Vor zwei, drei Jahren war es ja dann irgendwie ChatGPT. Und dann kam Midjourney, und dann war irgendwie sozusagen erst mal Genai auf dem Tisch. Und dann wurde es irgendwie ein bisschen klarer, als es irgendwie auch integriert wurde. In Drittdienste, wie Microsoft, Copilot oder Sowas. Und war so ein bisschen eingehegt. Und was dann jetzt sozusagen die neueste Welle ist, ist eigentlich, dass das Ökosystem sich wieder noch total öffnet und neue Frameworks entstehen. Also n8n und Sowas kennt man ja vielleicht als... Automation Pipeline. Dann gibt es noch LangDock, was auch so eine offene Framework- Plattform ist. Für verschiedene Modelle und der Latest Shit. Sozusagen ist dann die Claude Suite, also Claude Chat, was es ursprünglich gab und dann Claude Code dazu, was für speziell Softwareentwickler genutzt worden ist, Womit man also Softwarecode wipe-coden konnte, also durch einen Prompt das System anweisen, dass es den kompletten Quellcode erstellt, der Nachher für die Ausführung durch den Computer erforderlich ist. Und im nächsten Schritt wurde dann Claude CoWork entwickelt auf Grundlage von Claude Code. Der Unterschied ist im Wesentlichen, dass es bei Code so ein Terminal-Interface gibt. Und Cowork hat sozusagen eine grafischere Nutzeroberfläche. Und das Spannende daran ist, dass man sich eigentlich nicht nur seine Software selber bauen kann, sondern auch tatsächlich Agenten selber bauen kann, die dann Aufgaben, durchführen. Diese Agenten weist man dadurch an, dass man ein Skill schreibt. Das ist letztendlich eine Textdatei, wo in echter Menschensprache sozusagen drinsteht, Was der Agent tun soll. Ist ja alles natural Language. Und dadurch kann man dann Anweisungen machen, Sowas wie Öffne MEInE E-Mails, beantworte alle E-Mails von meiner Oma zu Weihnachten. Und schreibe Immer schöne Grüße rein und denke, nächstes Jahr nochmal zu schreiben. Also kann man so relativ einfach Anweisungen an den Computer machen und damit Routineaufgaben. Sehr einfach. automatisieren. Das Tolle ist, dass man dann sozusagen eine Textdatei hat für eine spezielle Aufgabe, also die Weihnachtskarte für die Oma. Und dann kann man aber auch eine andere Textdatei erstellen, wo dann drin steht, Rechnungserstellung für Mandanten oder sowas. Und da stehen dann die Anweisungen dafür drin. Und das Geniale ist eigentlich, dass Claude CoWork automatisch entscheiden kann, welcher dieser Skills jetzt gezogen werden soll. Ob es gerade eine E-Mail an die Oma ist oder eine Rechnung an den Mandanten, ist natürlich ein wesentlicher Unterschied. Und das muss man bei vielen anderen Systemen immer gewissermaßen... Ja. Doch, weil Oma kriegt keine Rechnungen dazu. Und da muss man dann bei anderen Systemen immer genau auswählen, Welches Skillset oder welche Anweisungen man jetzt eigentlich haben will. Und das macht hier eben der Bot alleine. Und das ist sozusagen das Tolle, dass man damit anfangen kann, viel automatisierter, ganze Armeen sozusagen von Agents zu dirigieren. Und ich habe gestern ein ganz spannendes Webinar gesehen mit den Finance-Leuten von Anthropic, bei so einem Collective. Und das war extrem spannend, weil dort mal gezeigt wurde, Wie die damit umgehen und die bauen sich letztendlich ihre kompletten Software-Suiten mittlerweile selber. Gewaltcoded. Und dieser große Crash, der vor zwei Wochen war, weil auf einmal irgendwie die Sorge war, dass irgendwie jeder sich jetzt Software selber bauen kann. Ein Stück Weit konnte ich das ehrlich gesagt, schon nachvollziehen, weil man einfach gesehen hat, Auch mit nicht vertieften Softwareentwicklungskenntnissen kann man sich eigentlich schon viel selber bauen. Ob das Nachher dann den ganzen regulatorischen Anforderungen und vor allem IT-Security entspricht, Ich glaube, das ist ein Thema, das kann man später einsteigen.
Joël Kaczmarek: Aber genau die Frage hat mich auch beschäftigt, weil mir auch mal so zugeworfen wird aus meinem Netzwerk, hey, Das wird darauf hinauslaufen. Mein CRM und mein Projektmanagement-Tool baue ich mir als Firma einfach zukünftig selber. Und wenn ich das in drei Monaten anders brauche, dann passe ich es einfach an. Und ich brauche gar nicht mehr, so dieses Off-the-shelf, was mir irgendwie angeboten wird. Saas ist voll tot. Würdest Du sagen, ohne dass wir jetzt schon zu tief einsteigen, können wir gleich später nochmal darauf eingehen, Dass das so aus rechtlicher Sicht so ohne Weiteres möglich ist? Oder stecken da nicht doch mehr Hürden drin, als man auf den ersten Blick so denkt?
Benedikt Flöter: Ja, also, das ist alles noch nicht ausgesprochen und noch nicht final untersucht. Da sind mit Sicherheit viele Hürden drin, Aber es ist natürlich genau ein ganz klassischer Punkt, wo wir auch als Rechtsberaterin natürlich sagen wollen, da soll das Recht ja nicht irgendwie im Weg stehen, Sondern man muss es ja irgendwie vereinheitlichen und versuchen, eine Lösung zu finden, dass die Interessen der Nutzerinnen respektiert werden und auch umgesetzt werden können, und das Ganze aber so legally compliant Und so, sag ich mal, so rechtlich sicher wie möglich. Wir würden uns da nicht im Weg stellen sollen und sagen, das Recht verbietet das. Und diesen Incentive, Jeder baut sich selber sein eigenes... Kleines Agenten-Ökosystem und baut sich seine eigene Software selber und sein ERP-System und CMS. Und was auch immer, Das ist natürlich so ein großer Incentive, Da wird man kaum sich in den Weg stellen können, Auch als Unternehmen. Und die Frage ist eher, wie kriegt man das in geordnete Bahnen? Und da sind wir jetzt sozusagen auch schon bei einem der wesentlichen Punkte. Wenn jetzt alle meine Mitarbeiter und Mitarbeiterinnen anfangen, sich ihre kleinen eigenen Software-Systeme zu bauen. Mit Cloud, Dann habe ich natürlich eine Vielzahl von kleinen, getrennten Systemen, die gar nicht irgendwie harmonisiert sind, untereinander. Und vielleicht auch viele. IT-Security-Risiken, weil es diverse Schnittstellen gibt, wo man eindringen kann. Vielleicht sozusagen, ohne das jetzt schon total vertiefen zu wollen, Aber weil es gerade so spannend ist. Ein weiteres großer Vorteil von dem Cloud-System ist halt, dass die Agents auf verschiedene Schnittstellen zugreifen können. Also eine Schnittstelle, Eine API, ist grundsätzlich von dem Anbieter vorgegeben, Wie Daten ausgetauscht werden können. Zwischen Softwaresystemen. Und was diese Agents machen können, das ist so ein MCP-Server, heißt das. Das ist also eine spezielle Schnittstelle. Beispielsweise auf Google E-Mails zuzugreifen oder auf Asana Workflows zuzugreifen oder auf irgendwelche Plattformen sonstiger Art zuzugreifen. Viele, Viele Anbieter haben sich mittlerweile daran angeschlossen, an dieses MCP-Server-System. Und damit wird das System halt so wahnsinnig flexibel. Zugleich sind alle diese Schnittstellen potenziell, vielleicht auch Eingriffstore für IT-Security-Risiken. Das muss man sich halt dann mal angucken, was man da zulassen will und was nicht. Also die komplette Unternehmenskommunikation über WhatsApp zu routen, ist vielleicht ein bisschen riskant.
Carolin Raspé: Wenn ich da ganz kurz reingehen darf, Ich glaube, das ist tatsächlich der Punkt. Ich glaube, das Recht soll ja nicht nur um seiner Selbst Willen ein Roadblock sein. Ich glaube, das ist ja eine Gefahr, die im Moment viel diskutiert wird. Europa wird abgehängt wegen der Regulatorik. Das geht alles nicht schnell genug. Und ja, wie gesagt, zum Selbstzweck sollte regulatorik nie eine Bremse sein. Aber jetzt ist schon mehrfach das Wort Cyber Security gefallen. Und das ist, glaube ich, wirklich was, Was auch nicht unterschätzt werden sollte. Also wir alle wissen, dass Daten mit die wertvollsten Ressourcen sind. Die es gibt für Unternehmen. Und das ist einfach was. Also gerade bei mir. Auf dem Tisch sind zwei, drei Mandate, wo tatsächlich Unternehmen eben auch Opfer geworden sind von Security Breaches und KI. Ich sage nicht, dass unbedingt ki. Der Grund war, Aber die Angreifer werden durch KI ja auch immer besser. Und tatsächlich ist eine nicht strukturierte Organisation, wo jeder tut, was er macht, auch für ein Unternehmen und für die IT. Abteilung eines Unternehmens. sehr, sehr schwer zu überwachen. Man weiß nicht, wo die Daten landen, wie sie weitergegeben werden, Was womit trainiert wird. Und das, was wir eben auch sehen, ist, Dass einfach die Unternehmen, also die, die zu uns kommen und fragen, dürfen wir das? Das ist ja eigentlich schon der Best Case. Also genug denken darüber ja gar nicht nach. Die machen einfach. Und das vielleicht sogar ohne, dass das Unternehmen es weiß. Und deswegen ist es absolut entscheidend, Und da komme ich jetzt ein bisschen mit meiner Compliance-Brille, dass man als Unternehmen eine klare Position bezieht zu KI. Also was wollen wir, was fördern wir, In welchen Bahnen erlauben wir das, Was sind aber auch Regeln? Also, man muss den Leuten ja auch Regeln an die Hand geben, damit sie nicht völlig lost. Durch diese sich ständig verändernde Welt laufen, sondern dass sie sagen, okay, das sind die Tools, Die sind hier zugelassen. Hat das Unternehmen geprüft. Und das wird von mir auch erwartet, dass ich das tue, aber eben auch auf Gefahren hinzuweisen. Also ist es wirklich hilfreich, als Unternehmen auch einfach mal zu sagen, okay, da hatten wir jetzt mal einen Fail. Oder hier mal schlechte Beispiele für Prompts. Oder was es auch immer sein mag, aber einfach in eine offene Kommunikation zu gehen. Ich glaube, das alleine hilft schon, als dieser Wild Wild West, Jeder macht jetzt mal, was er will. Ich glaube, da schafft man sich mit Unternehmen, als Unternehmen eben wirklich viele Probleme, die man nicht haben möchte.
Benedikt Flöter: Wenn ich das einfach noch kurz ergänzen darf, Weil das gerade einfach so ein wahnsinnig spannendes Thema ist und wir auch wirklich viel gefragt werden, Ob man jetzt Cloud-Cowork einsetzen darf oder nicht. Das System ist halt wahnsinnig. modular, Man kann viele Regelungen selber vornehmen, Man kann viele Einstellungen vornehmen und damit auch Risiken. Dann mitigieren. Also, was Carolin absolut richtig sagt, ist, Man sollte schon schauen, dass es zentralisiert läuft und nicht so eine Schatten-KI In einem Wildwuchs entsteht, wo einfach jeder sich seine eigenen Systeme baut. Den Problemkreis kennen wir schon länger. ChatGPT nicht ausrollt im Unternehmen, Dann benutzt halt irgendwann jeder Mitarbeiter. Seine eigene ChatGPT-Version Und das ist halt nicht so sinnvoll. Und jetzt wird es, glaube ich, noch viel krasser, weil nochmal der Incentive viel höher ist, Weil man sich seine Arbeit so wunderbar automatisieren kann. Und jeder baut sich sein eigenes Toolset. Und da kann man dann halt Regelungen einführen, bei Claude CoWork jetzt speziell, Dass man zum Beispiel sagt, was wir auch machen, jetzt ganz offen gesprochen, Wir bauen auch gerade ein von der Sandbox-Environment, wo wir sagen, da drin können wir das erstmal testen und nutzen, haben natürlich sehr sensible Mandatsdaten, und da darf natürlich nichts dran gehen. Und deswegen hat jeder jetzt vielleicht einfach mal einen entkoppelten Laptop oder Sowas zum einfach ausprobieren. Ich glaube, man sollte sich da so ein bisschen rantasten an das Thema. Dann kann man auch sagen, welche Konnektoren eigentlich verwendet werden dürfen und welche nicht. Also zum Beispiel darf nicht auf Unternehmensdaten zugegriffen werden, Sondern es darf vielleicht nur auf den privaten Space zugegriffen werden, Wo Daten liegen. Dann kann man vielleicht auch sagen, dass man die Browser-Extension nicht verwenden darf, damit sozusagen, nicht. Die Gefahr berührt, dass darüber dann auch Daten ausgetauscht werden. Mit E-Mail-Postfächern zum Beispiel. Und man kann auch kontrollieren, Welche eigenen IT-Security-Vorgaben man immer macht an die Verhaltensweise der Leute. Also, es gibt verschiedenste Regeln, die man eigentlich einziehen kann, um das Ganze so ein bisschen zu mitigieren.
Joël Kaczmarek: Und wenn wir für den Moment mal, wir können ja gleich nochmal darüber reden, was eigentlich sonst so. Die restlichen Leitplanken sind in Sachen KI, Das Thema Cybersecurity vertiefen. Also, ich habe ein Beispiel für euch. Ich denke zum Beispiel gerade darüber nach, Ich könnte so ein schönes, kleines Tool bauen, mit dem meine Gäste ihre Daten bearbeiten können. Also, wenn ich jemanden vorstelle in meinem Podcast auf der Webseite, dann können jetzt Caro und Benedikt Flöter sagen, hier, Das ist irgendwie meine Bio, Das ist mein LinkedIn-Profil und so weiter und so fort. Und das sind ja durchaus sensible Sachen, weil dann liegt da meinetwegen. Eure E-Mail-Adresse hinter. Und sagen wir mal den Fall, Ich werde jetzt Opfer von so einem Breach. Was ist denn da, in Sachen Cybersecurity sozusagen? Meine Aufgabe? Also wie hafte ich und worauf sollte ich achten, dass ich auf Sowas aufpasse?
Carolin Raspé: Also das eine, Und da gehen wir schon so ein bisschen in die Leitplanken, Was man bedenken sollte und was jetzt wirklich nicht neu ist, sind natürlich die datenschutzrechtlichen Regelungen. Und die sind wirklich relativ strikt. Also, wenn man als verantwortliche Stelle ein Data breach entdeckt. Und wenn Du dieses Tool anbietest und Podcast und diese Daten verantwortest, dann wärst du voraussichtlich auch verantwortliche Stelle für diese Daten, die dort eingetragen werden. Dann musst du das der Datenschutzbehörde gegebenenfalls melden. Und zwar, wenn Freiheiten und Rechte von natürlichen Personen beeinträchtigt oder betroffen sein können. Und das Problem dabei ist, Du hast eine 72-stündige Frist, um das zu tun und zu prüfen. Das ist wahnsinnig kurz. Wenn man deutlich verzögert, meldet, sind auch Bußgelder nicht unwahrscheinlich. Also vor allem, wenn es natürlich tatsächlich zu größeren Schäden kam und der Breach eben anderweitig bekannt wird. Es kann ja auch immer sein, dass die Betroffenen es mitbekommen und zur Datenschutzbehörde gehen. Und das ist, Wie gesagt, das ist Nothing new. Aber glaube ich, lohnt sich einfach nochmal zu erwähnen, weil diese Notification-Pflicht. Wird oft übersehen, weil man ist ja Opfer, Man ist vielleicht sogar selber finanziell schon geschädigt. Und denkt sich, Ja, gut, also jetzt, was muss ich noch alles tun? Und auch wenn man sich dagegen entscheidet, zu melden, sollte man das dokumentieren. Also, man muss diesen Prüfungsschritt im Kopf machen als Unternehmen, wenn personenbezogene Daten eben betroffen sind. Das wäre jetzt in dem Fall, wo natürliche Personen ihre Details eintragen, durchaus der Fall.
Joël Kaczmarek: Gut, jetzt hast du schon gesagt, es gibt so rechtliche Leitplanken. Also Cybersecurity wäre eine, Was sind denn die anderen? Also auch, was Carolin eben schon gesagt hat,
Benedikt Flöter: Das Datenschutzrecht ist natürlich insgesamt eine Leitplankhand, die man sich halten soll. Das ist ja auch kein, sag ich mal, ganz neues Thema. Und oftmals bezieht sich einfach die Verarbeitung von KI-Prozessen auf personenbezogene Daten. Also, es kann ja sein, dass Scannen von Lebensläufen, weil man sich eine Bewerber, Bewerberin anschauen möchte. Das sind natürlich die ganzen Gesundheitsdaten, Weil man im MRT liegt und dort ein Scan, vielleicht auf Thorax-Scan auf Krebs untersuchen werden soll. Das sind natürlich die ganzen Auswertungsmöglichkeiten, Vielleicht Mitarbeiter-Performance, die getrackt werden kann. Wir sehen ja hier auch in unserer Praxis wahnsinnig viele Unternehmen, die sich tolle Anwendungen ausdenken, die viel Arbeit ersparen sollen. Aber diese ganze Arbeit ist natürlich oftmals einfach mit personenbezogenen Daten verknüpft. Da muss man einfach schauen, wie man sich absichern kann. Das läuft sozusagen im allereinfachsten Fall. natürlich, dass man eine Einwilligung der betroffenen Person hat, dass man diese Verarbeitung durchführen kann. Das ist sozusagen auch dann zwingend erforderlich, wenn man Patientendaten beispielsweise verarbeiten möchte. Aber es ist natürlich, sage ich mal, In anderen Kontexten wollen die Leute vielleicht nicht zwingen, dass ihre Daten verarbeitet werden oder man möchte sie auf jeden Fall eine Einwilligung nicht holen. Dann muss man natürlich schauen, ob man eine andere Rechtfertigung findet. Und da ist tatsächlich auch eine gesetzgeberische Bestrebung vorhanden, dass man sagt, dass KI-Training und KI-Auswertung ein privilegierter Zweck werden sollen. Nach der Datenverarbeitung. Das ist noch nicht durch, aber das ist Teil der sogenannten Omnibus-Richtlinie und ist, glaube ich, auch eine wirklich erforderliche Liberalisierung des Datenschutzrechts. Weil wir doch schon sehen und das gewisse Kritik, vielleicht auch, wenn man sich international den Vergleich anschaut, ist, glaube ich das Framework in Deutschland schon recht streng. Ich werbe dann immer so ein bisschen damit, dass man sagen kann, wenn man das Produkt in Deutschland auf den Markt bringt, Dann kann man es halt auch europaweit oder weltweit auf den Markt bringen. Aber wir sehen natürlich auch Tendenzen, dass es in den USA ehrlich gesagt, auch manches einfacher ist, manches, aber auch schwieriger ist. Beispiel, Was tatsächlich vielleicht schwieriger sein könnte, ist das ganze Thema um den EU AI Act, der so viel diskutiert wird. Da sind ja einige Vorgaben schon in Kraft, Beispielsweise die Pflicht, Mitarbeiter zu Schulen nach Artikel 4 und eine KI-Kompetenz herbeizuführen. Es sind auch schon innerhalb dieser Risikoklassifikation, die der AI Act vorsieht, gibt es ja drei verschiedene Klassen. Es gibt einmal gänzlich verbotene KI-Systeme und es gibt KI-Systeme mit einem hohen Risiko. Und es gibt KI-Systeme mit einem hohen Risiko. Wo nur Transparenzpflichten erforderlich sind, dass die betroffene Person in einer KI ausgesetzt wird. Und davon sind verschiedene Vorgaben schon in Kraft. Also Die verbotenen Systeme sind seit letztem Jahr schon verboten und die Hochrisikosysteme werden dann ab August relevant werden. Und die haben sehr strenge Compliance-Anforderungen, die erfüllt werden müssen. Wo wir dann noch tiefer reingehen, Gibt es auch andere Bereiche. Klar, was sozusagen immer die Fragen von IP-Rechten besteht. Welche Daten werfe ich denn eigentlich in eine KI rein und welche Daten komme ich eigentlich? raus? Kann ich die verwenden? Das ist ein Thema, das... Auch viele unserer Mandanten sehr interessiert, weil sie sich fragen, wie können denn eigentlich die Inhalte, die von der KI erzeugt werden, auch vermarktet werden? nachher? KI-erzeugte Inhalte haben vielleicht auch gar keine Rechte, die daran bestehen. Und da sind wir sozusagen in diesem Regelungsbereich, also zwischen Datenschutz, AI Act und IP-Recht Oftmals unterwegs.
Joël Kaczmarek: Jetzt hast du eben, erzählt, dass es da verbotene KI gibt. Was darf ich mir denn darunter vorstellen? Welche KI-Sachen darf ich denn nicht einsetzen?
Benedikt Flöter: Also zum Beispiel darf man KI-Systeme nicht einsetzen, die Menschen manipulieren sollen. Also Nudging-Systeme, die tatsächlich nicht nur Preisdifferenzierung sind. Also Dynamic Pricing kennen wir schon relativ lange, dass die Flugpreise morgens günstiger sind als Abends oder Mittags oder am Wochenende. Das ist nicht das Problem, aber tatsächlich, dass man manipulative KI-Praxisen verbieten soll. Das ist schon nachvollziehbar. Dann kann auch verboten sein, dass man Scoring-Systeme verwendet, wo Personen unmittelbar dem Ergebnis des Scorings ausgesetzt sind und deswegen zum Beispiel eine Kreditvergabe nicht gewährt wird. Da gibt es eine recht ausdifferenzierte Rechtsprechung, Auch vor dem Hintergrund der ganzen Schufa, die JA solche... Daten erhebt. Aber vom Grundsatz her soll es verboten sein, dass Personen unmittelbar einen Nachteil haben, wenn Sie nur einer KI-Entscheidung unterworfen sind. Und dann gibt es natürlich auch diese Mitarbeiterüberwachungsthemen. Die sind auch meistens verboten, also Tracking-Systeme zum Beispiel. Das ist gänzlich verboten, und bei den Hochrisikosystemen ist man dann eher in dem Bereich unterwegs, dass zum Beispiel Gesundheitssysteme, die für Health-Tech verwendet werden, reguliert sein können. Dann Systeme, die in der Sicherheit oder für öffentliche Transportmittel verwendet werden, sind reguliert. Ist man dann typischerweise so in den Bereichen, wo Menschen durch Fehlentscheidungen der KI zu Schaden kommen können.
Joël Kaczmarek: Also das andere Interessante, wo ich ja auch gerade hellhörig wurde, und das kann ich mir vorstellen, dass es viel interessiert, ist IP, also Intellectual Property, Die Rechte an dem, Was dort entsteht. Wenn ich jetzt zum Beispiel hingehe und sage, ich nehme jetzt unseren Podcast heute und lasse eine KI. daraus. Irgendwie ein schönes Playbook bauen oder einen Kurs oder irgendwas in der Art, Da sind wir ja genau an dem Thema drin, Also, da ist sicherlich euer Wissen drin, das ist vielleicht nochmal komplexer, aber da wird ja was erzeugt. Durch KI, wo quasi IP entsteht. Was würdet ihr denn sagen, ist da so. State-of-the-Art-Vorgehen, Worauf ich achten sollte? Wo ist das reguliert? Wo untersteht das?
Benedikt Flöter: Total Spannender Bereich. Da sind wir halt im Urheberrecht unterwegs und vor allem an der Abgrenzung, Was ist urheberrechtlich eigentlich schutzfähig und was nicht. Und vom Grundsatz her gibt es die Unterscheidung zwischen der Idee, die ein Mensch hat, die grundsätzlich nicht urheberrechtlich schutzfähig ist und dem konkreten Ausdruck dieser Idee, die schutzfähig sein kann. Und wenn man sich dann jetzt mal hier in diesem Bereich des Playbooks bleibt oder der Podcast, Dann ist eigentlich der Inhalt, der Story, wie wir sie erzählen, urheberrechtlich geschützt, Weil wir hier ein gemeinsames Werk erschaffen, also, es ist ein Sprachwerk, typischerweise. Aber die Idee, die dahinter steht, also einen Podcast zu machen, mit drei tollen Personen, Die Lust haben, sich über spannende juristische Themen und praktische Anwendungen zu unterhalten, die ist nicht geschützt. Und dann ist sozusagen auf dieser Grenzlinie oder auf dieser Skala irgendwo die Frage, wann ist es noch schutzfähig? Und eine Kopie dieses Inhalts und wann nicht. Wenn du jetzt eine KI darüber laufen lässt und die extrahiert unsere ganzen Ideen und Gedanken, Dann wäre es wahrscheinlich, so, dass das eher nicht geschützt ist. Also diese Inhalte, Die sind nur abstrakte Ideen und nicht geschützt. Wenn du aber jetzt anfängst, hier Schnipsel rauszuschneiden und Zitate zu entnehmen, dann sind die wahrscheinlich schon geschützt. Es gibt da so eine Entscheidung vom EuGH, der, sagt, ab zwölf Wörtern. In einer Folge kann es bereits Urheberrechtsschutz geben. Es gibt auch noch Fälle, wo es noch kürzer war. Aber das ist so eine Leitlinie. Also, man kann relativ schnell diesen Urheberrechtsschutz für Textwerke jedenfalls überschreiten. Wenn das KI was ganz Neues erstellt, also zum Beispiel. Ich lasse mir ein Designlogo Erstellen von einer KI, Dann ist schon die Frage eher, Hat die KI eigentlich diese Schöpfung erbracht? Oder war ich das als Mensch selber? Da gab es gerade eine Entscheidung vom Landgericht München, wo ein Designer geklagt hat, weil ein Logo von jemand anderem verwendet worden ist. Und er behauptet, das Logo habe er selber geschaffen. Und da ging es genau um die Frage, hat er das eigentlich gemacht? Oder hat die KI, die er verwendet hat, das eigentlich geschaffen? Und da hat das Gericht tatsächlich gesagt, dass kein Schutz besteht, weil er die KI verwendet hat. Und da ist dann die Frage, wann ist die KI ein Werkzeug, so wie ein Künstler einen Pinsel verwendet, Oder wann ist die KI wirklich selbstständig tätig geworden, sodass der Mensch dahinter kaum noch Auswirkungen auf das Ergebnis hatte. Das bedeutet, dass die... Urheberpersönlichkeit Sich nicht niedergeschlagen hat in dem Ergebnis. Da wird man in Zukunft wahrscheinlich viel drüber streiten können. In den USA gab es ein paar ganz spannende Fälle dazu, und die sind auch sehr anschaulich, weil man in den USA für manche Rechte aus dem Urheberrecht eine Registrierung braucht, beim amerikanischen Copyright Office. Und dann gibt es da so richtige Entscheidungen, wo das Office gesagt hat, warum manche KI-Inhalte schutzfähig sind und andere nicht. Also ganz, ganz spannend. Auch so die Frage, Wie viele Prompts hat man verwendet, Wie detailliert hat man Anweisungen erteilt an das Werk. Ist ganz, ganz spannend zu lesen und auch Sehr schön bildlich, sehr eindrücklich.
Joël Kaczmarek: Aber das ist ja hochspannend, weil du hast natürlich recht, Das Beispiel, das ich gerade gewählt habe, ist ein bisschen speziell, weil es urheberrechtlich ist. Aber wenn ich jetzt eine Webseite, zum Beispiel Baue mit Logo, mit Design. Und genau diese Frage aufkommt, dann wird das ja wieder eine ganz andere Frage. Und wenn ich jetzt lerne, okay, also. Eigentlich nehme ich als Erstes schon mal mit, Ich sollte wahrscheinlich den Weg, wie ich da hingekommen bin, dokumentieren. Wenn ich vielleicht perspektivisch mal aufzeigen, muss, wie viele prompt ich gebraucht habe, um aus der Idee eine Webseite zu bauen. Das kann sozusagen schon relevant werden. Habe ich das richtig verstanden?
Benedikt Flöter: Ja, genau. Total richtig. Also Wir werden wahrscheinlich in Zukunft darum streiten, ob ein Mensch einen ausreichenden Input geleistet hat, das Ergebnis oder nicht. Und wir werden so viel Content sehen, weil es ja so einfach ist, Content zu produzieren, Dass es wahrscheinlich auch mehr Konfliktfälle geben wird. Wenn wir jetzt mal im Softwarerecht bleiben und dann wieder zum Vibe-Coding zurückgehen, also nochmal, Vibe-Coding bedeutet, Ich sage einen Prompt, stelle mir eine Website mit drei schönen Logos für unseren Podcast hier. Und dann baut ihr die komplette Website, den Quellcode in HTMl. Und was man sonst noch alles braucht. Dann ist dieser Quellcode nach Urheberrecht auch geschützt als Software. Also, Software wird als urheberrechtlich schutzfähiger Text gesehen, weil es halt irgendwie früher mal text war und Menschen sozusagen in Lochkarten durchhabeingestanzt haben. Und da wird man sich genau darum streiten, Ob der ganze Software-Code, der gevibe-codet ist, Eigentlich demjenigen gehört, der den Code entwickelt hat oder ob der rechtsfrei ist. letztendlich, weil es eine Maschine gemacht hat. Gibt es schon viele Diskussionen darüber. Analog könnte man auch sagen, Maschinen-Code, der also Null in der Einsen besteht, ist ja auch schutzfähig, und den kann auch kein Mensch lesen. Deswegen, Wieso sollte jetzt irgendwas Weibgecodetes nicht auch vielleicht schutzfähig sein? Also, da wird noch einiges auf uns zukommen. Und ich glaube, In der Softwarebranche muss man dann tatsächlich einfach anfangen, zu dokumentieren, Wer, was entwickelt hat, wann und wie viel und Reviewed hat. Und dass man dadurch versucht, den menschlichen Input reinzukriegen.
Joël Kaczmarek: Wenn wir das mal zuspitzen, Caro, Was sind denn, so die Pflichten, die ich als Unternehmen eigentlich habe? Und wie sollte ich mit diesen umgehen, wenn ich mit KI Berührung habe und arbeite?
Carolin Raspé: Genau, also Benedikt Flöter, hat ja gerade schon ein bisschen den Rahmen, Insbesondere die KI-Verordnung erwähnt. Und die Pflichten treten ja jetzt alle nach und nach in Kraft. Also, August ist jetzt wieder ein wichtiges Datum. Das sollten die Unternehmen eben gerade bei Hochrisikosystemen tatsächlich auf dem Schirm haben. Und was wir eben oft sehen, ist, dass die Unternehmen einfach überfordert sind. Wo setze ich überhaupt an? Also, wer soll das bei uns im Unternehmen überhaupt machen? Und wie kann ich damit umgehen? Und das, was ich eben aus Compliance-Sicht dann immer sage, ist, also? Ki ist zwar sehr neu, aber die Tatsache, wie man Regulatorik im Unternehmen umsitzt, die ist ja nicht neu. Also Die Unternehmen unterliegen ja zahlreichen Regularien schon entweder seit sehr langer Zeit oder eben auch seit etwas kürzerer Zeit, wenn man zum Beispiel an Lieferkettencompliance und andere Themen denkt. Also in den letzten Jahren kam ja sehr, sehr viel mehr dazu. Und ich glaube, um das abzuschichten, muss man sich klar machen, dass man die bestehenden Strukturen durchaus nutzen kann. Also jedes Unternehmen, das ein Compliance-Management-System hat, hat eigentlich schon Mechanismen, an die man diese neuen Pflichten durchaus andocken kann. Also vielleicht drei Sätze zu, so einem Compliance-Management-System. So In der klassischen Interpretation hat ein Compliance-Management-System sieben Elemente. Ja, das ist allen voran eine Compliance-Kultur. Das heißt, Als Unternehmen sollte man sich jetzt alles mal auf Ai gemünzt, wie ich vorhin schon gesagt habe, irgendwie eine klare Message, einen Tone From the Top haben. Was machen wir mit KI? Wollen wir das nutzen? Wie wollen wir das nutzen? Wie unterstützen wir damit unsere Mitarbeiter? Und also das ist so dieses, Ich muss mich dazu irgendwie verhalten. Und das muss ich eben auch. Zu Strafrechtscompliance. Also, ich muss meinen Mitarbeitern auch sagen, bei uns wird nicht bestochen. Also So laufen unsere Geschäfte nicht. Und das ist irgendwie die Compliance-Kultur. Dann kann man darunter konkrete Compliance-Ziele, das ist das zweite Element, anbringen. Die sind da bei der KI auch relativ naheliegend. Also was ist unsere konkrete Agenda? Zum Beispiel für die nächsten Jahre. Vielleicht rollen wir eben Copilot aus, und dann arbeiten wir noch mit anderen Systemen. Und was wollen wir auch mit KI jetzt automatisieren? Und dann, Das ist eigentlich immer der wichtigste Teil im Compliance-Management-System, ist... Die Compliance-Risiken zu verstehen und zu analysieren. Das ist die sogenannte Risikoanalyse. Das ist auch meistens das, wo am meisten Zeit und Kappa reinfließt. Und auch das ist bei KI natürlich wichtig. Ich muss ja erstmal verstehen, was nutze ich denn? Wo liegen die Risiken? Genau die Themen, die wir eben schon angesprochen haben. Also, wo verarbeitet meine KI vielleicht? Personenbezogene Daten? Wo liegt das eigentliche LLM? Wo gehen die Daten hin? Also, ich muss so eine Art Gap-Analyse machen. Was passiert hier eigentlich gerade? Um zu verstehen, wo könnten denn risiken sein. Also, das ist oft der aufwendigste Teil, Aber auch da sind die Methodiken nicht neu. Also das muss ich eben auch machen, wenn ich meine Lieferkette analysiere fürs LKSG. Das muss ich eben auch machen, wenn ich einfach generell schaue, was sind meine betrieblichen Risiken gerade hier im Unternehmen. Also das dritte Element. Und dann entwickle ich daraus ein Programm, Das ist das Compliance-Programm. Das sind dann oft die Themen, und das sehen wir zum Teil auch in der KI-Verordnung. Also man soll Maßnahmen treffen. Zum Typen. Gerechten Gebrauch. Man soll ein Qualitätsmanagement haben, Insbesondere zum Beispiel für Eingabedaten, Weil das haben wir ja auch schon jetzt öfter angesprochen. heute. Also oft sind ja die Ergebnisse nur so gut wie das, was ich reingebe. Also, die Systeme sind natürlich gut, aber ich brauche eben gutes Material. Und das ist ja gerade für unternehmensspezifische Verwendungen oft sehr relevant. Und da sind wir dann wieder bei Schnittmengen und so. Also worauf lasse ich das System auch zugreifen? Und das zweite Große. Neben der Risikoanalyse würde ich sagen, ist immer die Compliance-Organisation und das ist, Also wer kümmert sich? Eigentlich heißt es nur, Was sind meine Verantwortungslinien? Beim Datenschutz ist das ja auch alles parallelisiert, könnte man sagen. Da brauche ich eben einen Datenschutzbeauftragten. Jetzt kann man sich eben fragen, wer ist meine Aufsichtsperson in Sachen KI? Auch das verlangt die KI-Verordnung, das Einsetzen einer Aufsichtsperson. Und das kann man sich dann überlegen, ist das sinnvoll, das beim KI beim Datenschutzbeauftragten zu veranlagen? Gerade wenn ich ein kleines Unternehmen bin, geht das vielleicht? Da gibt es aber auch durchaus. Konflikte zwischen den beiden Systemen, Also vielleicht nehme ich auch jemanden anderes. Und ich muss eben sicherstellen, dass es auch die relevanten Eskalationswege gibt, also, dass tatsächlich das Management der Company dann auch darüber informiert wird und das eben ordentlich delegiert, diese Pflichten. Und wenn eben gegen die Regeln, die ich mir gegeben habe, in dieser Organisation verstoßen wird, Muss ich als Unternehmen auch sanktionieren. Also, ich muss auch konsequent sagen, das sind die Regeln, Wer sich nicht daran hält, Nur dann kann eine Compliance-Organisation ja funktionieren. Dann wird da auch was gemacht. Also, es soll eigentlich eine beruhigende Message sein. Also das sind Grundstrukturen, die selbst kleine Unternehmen in der Regel haben. Man überlegt sich ja, wer ist verantwortlich, in welcher Jobdescription steht? was, Wer berichtet an die Geschäftsführung, wozu, Wie können Mitarbeiter Fehler melden und wie gehe ich mit Fehlern um. Also das sind alles, so Grundthemen, die ich schon habe. Und ich glaube, es lohnt sich einfach, die KI-Verordnung daneben zu legen und zu sagen, okay, wo docke ich jetzt was an? Und dann muss ich nicht auf einer grünen Wiese beginnen. Und so kann man sich eben solche neuen regulatorischen Systeme immer nehmen und sie handhabbar machen für die Unternehmen.
Joël Kaczmarek: Also vielleicht frage ich da jetzt die Falschen, weil Ihr quasi Biased seid. Aber ist das so ein Thema, wo ich sage, das kann ich alleine als Unternehmen umsetzen. Oder brauche ich da, Profis wie euch, um solche Sachen sauber im Blick zu haben?
Carolin Raspé: Also Compliance-Maßnahmen sollten eigentlich aus dem Unternehmen selber kommen. Also weil nur dann sind sie auch überzeugend. Also, ich bin jetzt gar nicht hier so auf dem Sales-Pitch unterwegs, dass ich sage, nee, also. Compliance geht nur mit Anwälten. Nee, Compliance muss ja gelebt werden. Wie gesagt, Tone from the Top, Compliance-Kultur. Ich sollte mir, wenn ich ein Unternehmen führe, eben immer sagen, ja, Wie möchte ich mein Unternehmen führen und wo sind auch meine Grenzen, die Mitarbeiter nicht unterschreiten, sollen. Und natürlich, klar, es gibt, so Redlands, also strafrechtlich sollte man sich halt nie verhalten, das ist völlig klar, aber das muss ich trotzdem kommunizieren. Also, das hört sich immer so selbstverständlich an, Aber das muss ich eben auch leben, So klassische Vorbildwirkung. Und vieles, dessen können wir ehrlich gesagt, als Anwälte auch gar nicht abnehmen. Ich glaube trotzdem, es macht Sinn, gerade bei sehr komplexen Themen. Oder wenn ich eben mein ganzes Businessmodell auf Sowas stütze oder auch tatsächlich ein KI-Tool anbieten möchte? Und das auch verkaufen, Dann bin ich ja in einer höheren Risikolage, weil meine Kunden mich ja dann auch fragen würden, ja, hast du das alles geprüft, dass das Fein ist, kann ich das bei mir als Plugin machen und dann nutzen? Und wenn ich dann sage, habe ich mir noch nie Gedanken darüber gemacht, dann ist ja mein ganzes Businessmodell at Stake. Und in den Fällen würde ich eben schon sagen, ja, Das lohnt sich durchaus, das rechtlich prüfen zu lassen, entweder durch Inhouse-Expertise oder eben durch externe. Und das ist dann schon absolut wichtig, weil es eben businessrelevant ist. Aber das merken wir auch ganz oft und vielleicht noch die Bemerkung von mir. Wir können schöne Policies im Unternehmen schreiben und können ihnen sagen, wie sie es machen sollten und sollten, sagen, Ihr solltet regelmäßig Schulen und dies und das. Aber was offengestanden vermutlich oft passiert, ist, Wir schicken denen eine schöne Policy. Und dann landet die in der Schublade und viel mehr passiert damit nichts. Aber eine Compliance-Organisation funktioniert nur, wenn sie gelebt wird. Und da können wir tatsächlich auch nur zu einem begrenzten... Grad helfen. Aber es ist ein Punkt, und da kann ich vielleicht an Benedikt Flöter übergeben, wo wir auch im Moment aktiv drüber nachdenken, wie kann man denn tatsächlich diesen ganzen Prozess auch für Unternehmen lebbarer und handhabbarer machen, dass man eben nicht nur, sagt, Die spezifische Rechtsfrage habe ich dir jetzt beantwortet, oder hier gebe ich dir jetzt eine Policy? Und jetzt Live with it, Sondern wie kann man eigentlich so einen Transformationsprozess auch rechtlich mit begleiten? Und ich glaube, das können Anwälte durchaus, Aber es ist keine zwingende Notwendigkeit. Also Die Pflichten richten sich erstmal ins Unternehmen.
Joël Kaczmarek: Ich meine, Benedikt Flöter, Vielleicht kannst du mich ja auch mal abholen, was es sonst noch so gibt. Weil in Vorbereitung auf unseren Podcast habe ich ja auch mit eurer Hilfe mir das ein oder andere angucken können. Und ich wurde dann so bombardiert mit Abkürzungen. NIS 2, CRA, DORA. Also was ist noch so, was ich aus der Peripherie im Blick behalten sollte?
Benedikt Flöter: Ja, also auch an das anknüpfen, was Carolin gerade gesagt hat, muss man glaube ich mal einen bisschen breiteren Blickwinkel öffnen. was... Hier so gerade an regulatorischen Themen sich entwickelt. Und was auch der Zweck dahinter ist. Also, was du gerade sagtest, NIS 2 ist eine IT-Security-Richtlinie, CRA, auch, und DORA ist speziell IT-Security für den Finanzsektor. Also alles relativ granulare. Vorgaben, Wie die Sicherheit erhöht werden soll. Dass wir gerade so bei IT-Security viel sehen, liegt vor allem daran, dass einfach ganz faktisch die IT-Security viel wichtiger geworden ist. Das ist letztendlich auch ein Stück weit. Spionageabwehr. Das ist auch Wirtschaftsspionage und das ist natürlich nicht nur sozusagen. Datensicherheit, for the Sake of it, Sondern tatsächlich Das ist Wirtschaftspolitik. Und die EU hat sich einfach entschieden, eine digitale Dekade einzuleuten, wo die digitale Wirtschaft reguliert werden soll. Und da ist ganz viel IT-Security drin. Da gehört aber auch schon damals Datenschutz rein. Und Datenschutz kann man sich so gewissermaßen als Foundation-Layer vorstellen für die Digitalwirtschaft, weil einfach Menschen Daten betroffen sind. Aber die KI-Verordnung und die ganzen anderen Regelungen spielen alle sozusagen in den Gesamtgerüst der Regulierung der Digitalwirtschaft. rein. Und die Idee ist da, halt eben, die Resilienter zu machen, Sie transparenter zu machen, nachvollziehbarer zu machen und letztendlich schon den Menschen zu dienen. Da gibt es natürlich ganz viele Diskussionen darüber, Ob hier irgendwie eine Überregulierung stattfindet oder man einfach erstmal die Technologie ausprobieren sollte. Also quasi das Feuer erfinden, bevor man die Brandschutzverordnung erfindet. Ja, ist richtig, aber wir sollten, glaube ich schon gucken, dass hier schon mit Augenmaß gehandelt wird. Und ich glaube, in der Vollstreckung und Durchsetzung ist das dann alles nicht mehr ganz so heiß. gekocht. Die Idee ist aber Glaube ich schon richtig, dass man klare Spielregeln aufstellt und vor allem auch die Sicherheit erhöht. Und doch mal zurückzukommen auf das, was Carolin gesagt hat. Ganz tolles Beispiel dafür, finde ich ehrlich gesagt schon, die KI-Verordnung, weil. Die sieht nämlich solche Pflichten vor, wie Artikel 4, die KI-Kompetenz für Mitarbeiterinnen herbeizuführen und eine Transparenz des KI-Modells herbeizuführen, dass man weiß, wie es versteht und Data Compliance herbeizuführen, damit man überhaupt weiß, was für Daten genutzt werden und wurden beim Training. Und das sind eigentlich alles Aspekte, die man positiv wenden sollte. Als Beispiel jetzt mal rausgegriffen, die KI-Kompetenz. Es macht wahnsinnig viel Sinn. Mit ein bisschen Nudging, die Unternehmen dazu zu zwingen, dass sie ihre Mitarbeiterinnen mal ausbilden sollen, wie man KI verwenden kann. Aber nicht nur aus Sicherheitsbedenken. Das ist halt auch wieder so eine deutsche Lesart, ehrlich gesagt. Es geht nicht nur um Sicherheitsbedenken, Es geht auch einfach um Enablement. Wenn wir jetzt Schulungen durchführen, was wir oft tun, Intern und extern. natürlich, dass man einfach mal erklärt, wie KI funktioniert und was man damit alles tolles machen kann, Das ist auch ein Augenöffner für ganz viele. Wenn man sie nicht dazu zwingt, dann ist es halt, wie in die Schule gehen. Macht man es halt nicht freiwillig, weil man seinen Motus Operandi erstmal nicht ändert, Es sei denn, Man hat da eine intrinsische Motivation und das haben viele einfach im Arbeitsalltag. Dann doch nicht. Und das betrifft ja auch nicht nur Mitarbeiterinnen, sondern man soll angemessene KI-Kompetenz herbeiführen. Im Unternehmen. Und das bedeutet, dass natürlich die Geschäftsführung ganz andere Skills nochmal braucht, als sozusagen die Ausführung in den Executive-Ebenen, Weil man einfach sagen muss, man muss verstehen im Management, Was Ki bedeutet, was Ki kann. Und nur wenn da oben eine Kompetenz herbeigeführt wird, kann sich das ganze Unternehmen ändern. Und es ist jetzt alles ein bisschen abgedroschen, aber wir schaffen es halt sonst anders, nicht mehr in Deutschland. Mit dem ganzen demografischen Wandel und der zunehmenden Regulierung und der zunehmenden, sage ich mal, Work-Life-Balance. Da müssen wir halt alles irgendwie versuchen, zu automatisieren. Das ist der Weg nach vorne. Und das funktioniert nur, wenn auf Entscheider-Ebene endlich mal verstanden wird, Wie wichtig KI ist und das dann von oben vorgelebt und auch sozusagen umgesetzt. Und so muss man diese Regelungen verstehen. Dann ist das ehrlich gesagt, eine Strategieentscheidung, die unausweichlich ist. Ich glaube, dass wir da eine Chance haben und das bisschen ludging. Vom der Gesetzgeber sollten wir mal positiv wenden.
Joël Kaczmarek: Okay, das ist ja auch mal ein interessanter Blickwinkel darauf, aber nachvollziehbar. Und lasst uns doch vielleicht jetzt zum Schluss, weil wir jetzt die wesentlichen Dinge durchhaben, nochmal einen kleinen Ausblick wagen. Also, womit rechnet ihr, Was werden so die nächsten Monate und Jahre bringen in Sachen Regulierung von diesem Bereich? Was ist vielleicht auch so ein Weg hin zu so einem gesamtheitlichen Transformationsprozess? Was vermutet Ihr da?
Benedikt Flöter: Ich glaube schon, dass wir sehen, dass im Unternehmen viele Funktionen durch KI ersetzt werden. Also wir... Da warten gerade viele Mandanten, Die wollen in der Rechtsabteilung Legal Tech einsetzen. Das gab es halt vor zwei Jahren noch nicht, Aber jetzt ist natürlich irgendwie die Technologie so weit, dass man sektorspezifische KI-Tools hat, irgendwie Gen-AI im weitesten Sinne. Da will Halt legal jetzt Legal Tech einsetzen und Finance möchte Fintech einsetzen. Und die HR-Abteilung möchte gerne Lebensläufe mit Legal Tech. Oder anderen? Tech-Anbietern scannen. Und im Marketing wird Gen AI schon sowieso ganz lange verwendet. Und ich glaube, wir sehen, dass hier nicht nur Einzelaufgaben zunehmend mit KI gemacht werden, Sondern es werden Funktionen ersetzt im Unternehmen. Und nicht ersetzt, sondern einfach automatisiert. Das heißt jetzt nicht, dass die ganzen Leute sozusagen jetzt irgendwie rationalisiert werden sollen, Sondern es wird ja einfach immer mehr Arbeit, die irgendwie gemacht werden kann. Und der Output wird effizienter. Und ich glaube, Das ist ehrlich gesagt für den Dienstleistungssektor, der in den letzten 100 Jahren nicht so eine wahnsinnige Ja. Output-Influence Herbeigeführt hat, wie der Industriesektor. Ich glaube, das ist schon ein Schritt nach vorne. Und damit muss einhergehen, dass wir wirklich sozusagen, ein Upgrade des Betriebssystems im Unternehmen durchführen. Das geht weg von manueller Arbeit hin zu automatisierter Arbeit. Und damit muss man nicht nur sozusagen Legal-Themen verbinden, sondern es findet wirklich ein Transformationsprozess statt, der bei Menschen anfängt. Es ist ein Change-Management und das besteht aus vielen Aspekten. Das besteht aus Mitarbeiterführung, das besteht aus Mitarbeiterschulungen, Aber das besteht eben auch aus Umgang mit Risiken, sei es IP-Risiken, ist. IT-Security-Risiken, sei es Risiken von Datenschutz. Und so hat man eigentlich einen Transformationsprozess, den man ganzheitlich denken muss, der aber ganz viel regulatorisch vorgespurt, ist, Weil eben das Datenschutzrecht schon Vorgaben macht oder weil die Gesetze Vorgaben, machen. Und wenn ich jetzt ein Produkt bauen will, das auf KI basiert, also, ich sage mal, Ich bin ein Unternehmen, das ein B2B-SaaS-Produkt verkauft. Und im Backend sitzt halt eine KI, Dann muss das ja auditierbar sein. Und dafür brauche ich diese ganzen Anforderungen und Nachweise, dass das Produkt compliant ist, Weil das wollen die Käufer hören. Und das sehen wir halt auch jetzt zunehmend, Dass die Enterprise-Kunden ganz genau nachfragen, Wie funktioniert das Produkt eigentlich? Und alles detailliert erklärt haben wollen. Sonst unterschreiben sie halt den SAS-Vertrag nicht. Und das war vor zwei Jahren noch relativ egal, Aber die Leute gucken halt immer mehr hin. Und wenn ich in einem Unternehmen bin und sage, ich kaufe es ein auf der anderen Seite und versuche mein Unternehmen, ALSO AI-first, zu quasi automatisieren, Dann muss ich wirklich schauen, dass ich ganzheitlich in einem Transformationsprozess arbeite, der natürlich viel aus Policies und durch. Regulierung und Vorgaben besteht, aber eben auch aus Education und Change Management. Und das ist, glaube ich, ein ganzheitlicherer Ansatz, den man hier fahren muss. Und dann kann man auch auf der stabilen Compliant Grundlage sogar richtig anfangen zu skalieren, Weil dann hat man die Tag einmal eingebaut, und dann geht es rund sozusagen. Und das ist ein Prozess, den wir auch bei uns selber natürlich treiben und beobachten, und das ist wirklich spannend, was da gerade passieren kann.
Carolin Raspé: Ja, und vielleicht nur noch ein Punkt, Ich glaube dieser menschliche Faktor, Der ist eben an zwei Stellen weiterhin total wichtig. Das ist, wie gesagt, die Education, so wie es bei IT-Security auch ist, Also Die Angriffe erfolgen in der Regel immer noch über Menschen, nicht unbedingt über schlechte Security-Systeme. Das heißt, man muss die Leute mitnehmen, du hast ja eben auch von wegrationalisieren. gesprochen, Benedikt Flöter. Ich glaube, auch, Davor sollten wir nicht die Angst haben, sondern dieser Human in the Loop. Wird auch für KI weiter relevant bleiben. Also Ich glaube, Eine vollkommene Abnabelung von den Menschen, die die Systeme bedienen, ja, das ist wahrscheinlich eine Gefahr, die irgendwann dann vielleicht auch zu Ergebnissen führt, die wir nicht mehr haben wollen. Also dieses es als gemeinschaftlichen Transformationenprozess zu sehen, KI zu nutzen, während Menschen sie erstens verstehen, bedienen können und auch kontrollieren können. Zu einem gewissen Moment. Das ist, glaube ich, Das Zielbild, dem man sich. An dem man sich orientieren sollte und wo man hinkommen sollte. Und das geht eben, wie gesagt, nur, wenn man es ganzheitlich angeht. Da bin ich auch relativ sicher.
Joël Kaczmarek: Sehr schön. Also, ich fühle mich gleich ein bisschen sicherer, wenn ich jetzt mich hier gleich wieder hinsetze. Und ein bisschen, was mit Ki Schmörgle und weiß sonst, wen ich fragen kann. Ihr Lieben, Das wird uns bestimmt noch weiter beschäftigen, und vielleicht vertiefen wir ja nochmal beim nächsten Mal. was. Aber für den Moment erstmal ganz herzlichen Dank. Und ja, ich würde sagen, jetzt legen wir mal weiter los in Sachen KI. In diesem Sinne, danke euch.
Intro & Outro Speaker: Vielen Dank.
Carolin Raspé: Spaß gemacht. Danke, Joël.
Intro & Outro Speaker: Wow, das war ein inspirierendes Gespräch, oder? Denk dran, Jeden Freitag, Dem fünften Tag der Woche, erscheint eine neue Folge. Also Abonnier den Podcast unbedingt, damit du keine Episode verpasst. Und Teil, die noch total gerne mit deinen Freunden oder Kollegen.
Joël Kaczmarek: Und wo wir schon über fünf Dinge sprechen, Eine Fünf-Sterne-Bewertung auf der Podcast Deiner Wahl hilft uns sehr, damit noch mehr Menschen von diesen inspirierenden Geschichten profitieren können. Nimm Dir doch kurz Zeit dafür. Genauso wie für einen Besuch auf unseren Social-Media-Kanälen, um Updates und exzessive Inhalte zu erhalten. Die links findest du in den Shownotes. Wir freuen uns nämlich über deine Anregungen und Feedback zu zukünftigen Themen und Gästen. So, Und jetzt hören wir nochmal unseren Podcast rein. Bis zum nächsten Mal. Bleib inspiriert und neugierig. Dein Joël.
Intro & Outro Speaker: Weißt du jetzt, was du willst? Weißt du jetzt, was du brauchst? Wie lang hat es gedauert und was hat es gebraucht? Ist es gut, wie es ist? Woran feilst du noch? Komm, erzähl es mir und der Welt bist du so geworden, wie du gemeint, warst? Oder völlig anders wie ein Zaungast? Du bist schon weit gegangen, bist du angekommen in deiner Hall of Fame komm her und sei wirklich ehrlich. Was ist für Dich heute unentbehrlich? Sollen wir hier fertig sein oder einfach sein? So wie wir sind, so wie wir sind. GIB mir fünf oder mehr, Gib mir ein Alles, was du mir sagen kannst und sag, was hast du gelernt? Vom Fallen und Aufstehen, suchen und Pladien Weißt du jetzt, was du willst? Weißt du jetzt, was du brauchst? Wie lang hat es gedauert und was hat es gebraucht? Ist es gut, wie es ist? Woran feilst du noch? Komm, erzähl es mir und der Welt Weißt du jetzt, was du willst? Wiesbaden Weißt du jetzt, was du brauchst? Wie lang hat es gedauert und was hat es gebraucht? Ist es gut, wie es ist? Woran feilst du noch? Komm, erzähl es mir und der Welt. Und jetzt du.
