#33 Compliance by Design - Prozess- und Kulturintegration von KI

00:00:07: Ich brauche in Wahrheit eine Tone from the top, im Sinne auch vielleicht an der Strategie zu wissen, wo stehe ich denn als Unternehmen bei der Frage KI in der Entwicklung, in der Anwendung?

00:00:17: Dann muss ich mal anschauen, wer hat denn bei mir überhaupt die Verantwortung?

00:00:20: Wem gebe ich denn dieses Thema?

00:00:22: Das heißt, ich bin quasi in dem Element der Kultur auch noch bei der Frage der Organisation.

00:00:26: Also wo gebe ich es denn hin?

00:00:28: Nur dann kann ich entscheiden, ob dieser Anwendungsfall laut dem EREakt in einem Hochrisiko-Bereich reinfällt und welche Pflichten daraus erwachsen würden.

00:00:37: Man kann es nicht so einfach runterbrechen und sagen, ich habe eingekauft JETJPT.

00:00:41: Das ist ja eh nicht gefährlich, weil würde ich jetzt zum Beispiel das JETJPT mit Lebensläufen konfrontieren und das JETJPT fragen, wen von den fünf Lebensläufen würdest du jetzt denn einstellen, treffe ich auf einmal mit JETJPT-Personal.

00:00:54: Entscheidungen bin im Hochrisikobereich natürlich drinnen.

00:01:04: Herzlich willkommen zu einer neuen Folge von Code of C, dem True Compliance Podcast von LUB.

00:01:08: Hier sprechen wir über Compliance aus der Praxis für die Praxis.

00:01:12: Mein Name ist Martin Reichtzeler, ich bin Compliance-Officer, ich bin Mitgründer von LUB und für die nächsten Minuten ihr Gastgeber.

00:01:18: Nach den letzten drei Folgen aus dem Diko Special wechseln wir heute wieder in unsere Interviewfolgen.

00:01:25: Auf unserer Reise zur Planung, Implementierung und zum Betrieb eines Compliance Management Systems, wir befinden uns in den Elementen immer noch im Risikomanagement und nachdem wir uns in der letzten Folge mit Marie von der Grüben über die Chancen und Herausforderungen von KI und Compliance unterhalten haben, springen wir heute quasi in das Risikomanagement in die Risikobetrachtung von.

00:01:48: Und das mache ich mit einem ganz besonderen Gast heute.

00:01:51: Und zwar mit Matthias Steinbauer, mit meinem Freund, meinem Mitgründer von Loop, dem technischen Hirn hinter Loop.

00:01:57: Er ist dozent an der Fachhochschule Hagenberg, er ist Kino-Speaker, er ist Fachautor, er ist ... Akkupation da.

00:02:07: Lieber Matthias,

00:02:08: es ist schön, dass du da bist.

00:02:09: Herzlich willkommen bei Code of C.

00:02:10: Danke für die Einladung.

00:02:11: Bitte gern.

00:02:12: Es ist ja nicht ein erstes Mal, wir haben ja schon eine gemeinsame Weihnachtsfolge aufgenommen im letzten Jahr.

00:02:18: Heute sprechen wir über Risiken.

00:02:20: Also in der heutigen Folge Compliance by Design, Prozess und Kulturintegration von KI sprechen wir über Risikomanagement im Zusammenhang mit KI.

00:02:29: Bevor wir das aber tun, gibt es ja immer ein kleines wiederkehrendes Element zu Beginn und nachdem wir ja in den Interviewfolgen sind oder jetzt wieder in eine Interviewfolge angekommen sind.

00:02:39: gibt's auch heute wieder einen Mutmacher.

00:02:42: Der Mutmacher ist immer ein kleines Getränk, das sich meine Gäste wünschen.

00:02:48: bzw.

00:02:48: ich frage mir meine Gäste, was wollt ihr denn trinken beim Podcast bei der Aufnahme?

00:02:52: Und daraus entwickelt sich dann der Mutmacher.

00:02:55: Ich hab dir dieselbe Frage gestellt, magst du vielleicht sagen, was wir heute trinken?

00:02:58: Ja, also

00:02:59: ganz klassisch, Mali-Bur-Range.

00:03:03: Ganz klassisch.

00:03:05: Gibt es natürlich ein bisschen eine Story dazu.

00:03:07: Ich habe den Malibu Orange kürzlich wieder entdeckt, ist ja im Prinzip ein Getränk unserer Jugend und ich habe mir gedacht, das passt halt ziemlich gut, weil wir uns ja eigentlich aus der Jugend kennen, dass wir uns mit dem ein bisschen wieder dran erinnern, wie es damals war, wenn wir noch ein bisschen jünger waren.

00:03:22: Und in diesem Sinne haben wir gedacht, Malibu Orange, das passt gut.

00:03:25: und auf ein erstes Prost.

00:03:27: Auf

00:03:27: ein erstes Prost.

00:03:28: Das heißt, das ist quasi ein Cocktail für Code of Seed.

00:03:31: Genau.

00:03:31: Prost.

00:03:32: Malibu Orange.

00:03:36: Aber es schmeckt ja immer nur wie früher.

00:03:38: Sommalisch.

00:03:39: Ja, eher süß würde behaupten.

00:03:40: So, wir trinken diesen Malibu Orange, um die Stimme ein bisschen zu lockern und um den Gaumen etwas anzufeuchten.

00:03:48: Es gibt ja auch immer noch ein zweites wiederkehrendes Element in den Interviewfolgen und das ist unser Code of Sea Check-In.

00:04:02: Lieber Matthias!

00:04:04: Nach dem Malibu Orange wird es jetzt ein bisschen ernster.

00:04:07: Ich darf dich zum Aufwärmen ersuchen, mir folgende Sätze zu vervollständigen.

00:04:11: Künstliche Intelligenz ist für mich.

00:04:14: Ja, das ist eine sehr spannende Frage.

00:04:15: Als Techniker beschäftigen wir natürlich schon länger mit der künstlichen Intelligenz.

00:04:21: Und während dem Studium habe ich es eigentlich noch nicht ganz so ernst genommen.

00:04:25: Also das war jetzt nie so mein Steckenpferd.

00:04:28: Aber in letzter Zeit merkt man, dass das sehr, sehr durchgreift eigentlich in allen.

00:04:33: Branchen.

00:04:33: das Thema, gerade diese generativen KI-Modelle sind eigentlich sehr spannend, was man mit denen alles tun kann.

00:04:40: Und mittlerweile bin ich zu Überzeugung bekommen, dass es auf jeden Fall disruptive Technologie sein wird, die an sich alle Branchen erfassen wird.

00:04:49: Wir werden uns, ob wir wollen oder nicht, damit auseinandersetzen müssen.

00:04:54: Und es ist auch im Alltag eine große Erleichterung für alle möglichen Aufgaben.

00:04:58: Das ist aber ein langer Sod.

00:05:00: Entschuldigung, ihr habt Beistriche gehabt.

00:05:04: So, der

00:05:05: zweite Satz.

00:05:06: Die größte Herausforderung beim Zusammenspiel von IT und Compliance ist.

00:05:11: Im Prinzip, die Menschen zusammenbringen, ist die größte Herausforderung.

00:05:15: Technisch kriegt man es hin, man kann auch alles schön in Dokumente und Formulare fassen.

00:05:21: Aber die große Herausforderung ist, dass man die Menschen zusammenbringt.

00:05:25: Falle von Compliance-Juristen und Informatiker oder Techniker an einen Tisch bringt oder auch andere Fach-Personen an einen Tisch bringt, miteinander zu reden und zu verstehen, wo man denn mit Compliance eigentlich hin möchte.

00:05:38: Das ist eine wunderbare Erklärung.

00:05:40: Ich habe für Dino einen Entweder-Odersatz vorbereitet.

00:05:43: Lieber Matthias, EI-Akt.

00:05:45: Entweder eine Bremse oder eine Chance.

00:05:47: Der EI-Akt ist natürlich eine Chance.

00:05:49: Ich sehe auch Kolleginnen und Kollegen schon wieder da stehen und sagen, ah, das ist jetzt die zweite TSGVRO und Dokumentationschaos.

00:05:57: Natürlich, man muss was dokumentieren, aber es ist im Grunde eine Chance, weil man es eben mit den Risiken von KI auseinandersetzen muss und es wird wie bei anderen Dingen auch gelten.

00:06:07: Die Unternehmen, die heute da vorne dabei sind, was auch Komplex betrifft.

00:06:11: werden diese in die Innovation und dann auch Fortschritt voran treiben werden.

00:06:14: Das

00:06:14: ist eigentlich jetzt schon ein wunderbarer Schautout oder der zweite Schautout nach der Marie von der Gröben zum Thema oder für das Thema KI.

00:06:21: Wir werden uns heute dieses Thema Risikomanagement KI anschauen und zwar aus Sicht eines Softwareunternehmens, nämlich LUB, aus Sicht der Entwicklung und natürlich auch aus Sicht von Compliance.

00:06:34: Also das ist auch der Grund, warum wir diese Folge jetzt machen, weil diese Fragestellungen im Zusammenhang mit Den Risiken von KI in der Entwicklung, in der Anwendung, in der Compliance, das ist unser tägliches Brot im Unternehmen.

00:06:48: Und das ist auch der Grund, warum wir beide uns heute unterhalten.

00:06:51: Und ich glaube, dass für sehr viele Kolleginnen und Kollegen in der Compliance Praxis da sehr viel Interessantes und auch Lehrreiches dabei sein wird.

00:06:58: Vielleicht bilden wir mit dem EI-Akt auch den Rahmen.

00:07:02: Vielleicht unterhalten wir uns Eingangs über den EI-Akt.

00:07:06: einmal ganz pragmatisch gefragt.

00:07:08: Du hast ja schon gesagt beim EI-Akt, da geht es um Risiken und um Dokumentation.

00:07:11: Aber was sind denn die zentralen Verpflichtungen für Unternehmen aus dem EI-Akt?

00:07:17: Es ist natürlich jetzt eine interessante Fragestellung, dass der Jurist, den Techniker, fragt, was ihm wie eigt.

00:07:23: Aber du solltest das wissen,

00:07:25: nämlich.

00:07:27: Die zentralen Verpflichtungen sind jetzt da mal grundsätzlich eine Risiko-Einschätzung zu machen.

00:07:32: Das ist im Prinzip der Kern dieses Regelwerks, dass man für alle KI-Systeme, die man einsetzt, auch eine Risiko-Einschätzung macht.

00:07:41: Und dort nehmen wir mal im Kontakt mit Kunden und Interessenten momentan auch die größte Fehleinschätzung war, dass manche sagen, wir sind ja nur KI-Anwender.

00:07:50: Was interessiert uns das?

00:07:51: Da gibt es schon in Prinzip parallelen zur Datenschutzgrundordnung.

00:07:55: Der EEG betrifft auch alle Unternehmen, auch die KI-Anwender und alle müssen eine Risikoeinschätzung aller KI-Systeme machen.

00:08:06: Erfolgt am Risikopassierten Ansatz und so wie man ihn lesen oder versteht, ist er eben ein Konsumentenschutzinstrument.

00:08:15: Zum gewissen Grad, weil man eben hoch riskante KI-Systeme oder KI-Systeme, die keine Ahnung, diskriminieren sind oder Rechte von Personen einschränken, die will man eben nicht haben oder wenn man sie schon hat, wie man sie eben stark reglementieren oder eben eine gewisse Transparenz oder Dokumentation dazu auch aufgebaut wissen.

00:08:36: Was mir jetzt natürlich als Compliance-Office besonders interessiert, wenn man jetzt in einem Unternehmen Compliance-Office ist, wo man KI anwendet, Aber auch einem Unternehmen ist, wo vielleicht keine in der eigenen Entwicklung stattfindet.

00:08:49: Wie verändert der EIEG die Art, wie die Software entwickelt wird?

00:08:53: Und warum muss ich da als Compliance vielleicht draufschauen?

00:08:55: Und warum muss gerade die Produktentwicklung da eine besondere Awareness haben?

00:09:00: bei dem Thema?

00:09:02: Wird immer sehr stark darauf angekommen, was für ein Produkt das einzelne Unternehmen dann entwickelt, also der E-Eigt geht ja auch immer sehr stark von Anwendungszenaren, Anwendungsfeldern oder schön Neutwärts-Juice-Käses aus.

00:09:16: Das heißt, immer dann, wenn man Juice-Käses sich anschaut, wo man potenziell eben mit Menschen oder über Menschen sozusagen nachdenkt, wird man auf jeden Fall ein hohes Risiko haben.

00:09:27: Und wenn man jetzt in die Entwicklung reinschaut, muss man sagen, diese Themen muss man ja bei der Entwicklung schon mit bedenken, weil sonst habe ich irgendwann ein Softeprodukt.

00:09:36: dass vielleicht leider nicht die AI-Aekt konform ist und dann kann es schlicht und ergreifend nicht einsetzen oder wer von sehr hohen Strafen bedroht.

00:09:45: Also ich würde es so sehen, dass man während der Entwicklung das schon mit betrachten muss und dass eben, haben wir vorhin schon gesagt, die Teams, die unterschiedlichen Stackholders in einem Unternehmen daher auch zusammenarbeiten müssen.

00:09:57: Also wird sie kaum als Softwareentwickler hinsetzen und sie den AI-Aekt von A bis Z durchlesen wollen.

00:10:05: Und der Compliance-Office, wo sie kaum hinsitzen, wo sie beim Softwareentwickler ständig über die Schulter schauen und sagen, du hast dort auf das aufpasst, dass sie immer in einen Raum sitzen müssen und gemeinsam darüber nachdenken, was man da eigentlich entwickelt.

00:10:16: und wo die Risiken dann stecken könnten.

00:10:18: So, und das ist eigentlich eine ganz wunderbare Brücke, die du baust, genau mit diesem Thema oder mit den Ausführungen, die du tätigst zu den unterschiedlichen Teams und also Zusammenarbeit von Compliance und IT, weil das erklärt jetzt vielleicht auch ein bisschen, warum ich dich ausführen lasst zu diesem Thema, warum ich dich ausführen lasst zu den Risiken und also zum Inhalt vom EIEGT, weil der EIEGT ist wie viele andere Rechtsnormen auch eine Querschnittsmaterie und sie liegt nicht ausschließlich in der Verantwortung Der Compliance oder der Rechtsabteilung liegt aber auch nicht ausschließlich in der Verantwortung der IT.

00:10:49: Warum?

00:10:50: Weil die sich die Grenzen natürlich gerade bei den Kompetenzen und auch gerade bei den Aufgaben sehr leicht verschwimmen.

00:10:56: Wer ist deiner Meinung nach aber eher der Ohne von diesen KI-Dämen?

00:11:00: Im Unternehmen ist es die IT.

00:11:02: Aus der Entwicklung heraus ist es die Compliance aus der Regulaturik heraus.

00:11:06: Wer hat da aus deiner Sicht mehr oder eher den Hut auf?

00:11:10: wäre ich ein Softwarehaus, würde ich sagen, eher die IT, eher die Softwareentwicklung.

00:11:14: Wenn man es aber ganz generisch betrachtet und wir machen den Podcast jetzt nicht nur für Softwarehäuser, dann würde ich sagen, eigentlich der Ohner der Anwendung ist auch der Risiker Ohner.

00:11:22: Also der, der sich irgendwo in einem Unternehmen wünscht, dass, weiß ich nicht, ein Buchhaltungsprozess schneller geht, weil KI eingesetzt wird, das ist ja auch der, der den Prozess und der sollte meiner Meinung nach auch das Risiko, die Risikobewertung dazu.

00:11:38: mit ohne weil der ist ja auch dann die Person die alle an den Tisch bringen muss der dann hingehen muss und sagen Liebes IT Team Was schickt man denn eigentlich in dieses was ich nicht latsch language model rein?

00:11:48: und was kommt denn da raus?

00:11:50: und der Compliance Officer wird vielleicht dabei stehen und sagen haben wir da dann ein pay aus wenn wir das machen?

00:11:55: das ist das wird auch immer groß funktional sein wenn man sowas tut denn ohne würde ich aber generell bei allen risiko dem ein immer versuchen dort hinzusitzen, wo auch der sozusagen der Business Owner ist, der das Business in dem Bereich verantreiben möchte.

00:12:10: Das heißt, A-Test sagt eigentlich so schön, dass das Thema KI unterschiedliche Anwendungsfelder hat, dass sie aus den unterschiedlichen Anwendungsfeldern unterschiedliche Risk Owner auch resultieren, dass in jedem Fall aber die DIT dabei sein muss, weil das natürlich mit Informationstechnologie auch in Zusammenhang mit der Informationssicherheit relevant ist, auch der Datenschutz vielleicht auch eher da noch mitspült oder nicht nur eher, sondern ganz bestimmt.

00:12:36: Die Compliance auch, also die würde ich auch immer mitsitzen und natürlich die entsprechenden Risk Owner.

00:12:41: Was muss ich jetzt als Compliance-Office?

00:12:44: Was muss ich jetzt von der IT wissen?

00:12:48: Und was muss ich vom Anbieter wissen?

00:12:50: Was muss ich vom Owner eigentlich alles wissen?

00:12:54: Jetzt otte ich mir ein bisschen, ich bin jetzt technisch nicht so bewandert, was diese ganze KI-Thematik betrifft.

00:12:59: Ich bin ein großer Fan von KI.

00:13:01: Ich verstehe es nur nicht zu hundert Prozent.

00:13:05: Was aber schon der erste Fehler ist, weil ich mich natürlich in dieses Thema ein Denken einlesen und ein lernen muss.

00:13:11: Das glaube ich ist eine Aufgabe, die die Compliance hat.

00:13:14: Wenn ich mir jetzt aber anschaue, wo überall KI eingesetzt wird, wie sie eingesetzt wird, stört es bei mir die Frage, was muss ich wissen?

00:13:22: Also vom Anbieter, von der IT, vom Anwender, was muss ich wissen?

00:13:27: Das war jetzt natürlich eine extrem, extrem große Frage.

00:13:30: Wir müssen die irgendwie versuchen, runterzubrechen.

00:13:34: Ich würde jetzt am Anfang darüber nachzudenken, was muss ich denn tatsächlich tun, um dem EI-Act zu entsprechen.

00:13:42: Was ich dort tun muss, ist eine Risikoklassifizierung in diesen Risikostufen.

00:13:46: Die haben wir heute nicht angesprochen, aber der EI-Act schreibt im Prinzip einige Risikostufen vor und das ist das Bärminimum, was ich überhaupt machen muss.

00:13:57: Und damit ich das tun kann, würde ich mit den Anwendern reden und rausfinden, was wollt ihr denn mit dieser KI eigentlich tun?

00:14:05: Bei manchen KI-Systemen wird das völlig klar sein.

00:14:10: Wenn ich zum Beispiel eine KI einkaufe, die, weiß ich nicht, Rechnungsbelege lesen kann und Buchungssätze dazu machen kann, ist der Anwendungsvollkommen klar.

00:14:22: Wenn ich aber General Purpose EI einkaufe, weiß ich nicht, ein JetGPT, Microsoft Copilot, ein Cloud, wie sie alle heißen, dann kaufe ich eine General Purpose EI mit, mit der ich sehr viele unterschiedliche Dinge tun kann.

00:14:35: Und dann muss ich die Anwender zuerst einmal fragen, was ist neuer Anwendungsvoll.

00:14:39: Weil nur dann kann ich entscheiden, ob dieser Anwendungsfall laut dem EIekt in einem Hochrisiko-Bereich reinfällt und welche Pflichten daraus erwachsen würden.

00:14:50: Und man kann es nicht so einfach runterbrechen und sagen, ich habe eingekauft JETJPT.

00:14:55: Das ist ja eh nicht gefährlich, weil würde ich jetzt zum Beispiel das JETJPT mit Lebensläufen konfrontieren und das JETJPT fragen, wen von den fünf Lebensläufen Würdest du jetzt den einstellen, treffe ich auf einmal mit Jetjippity Personal.

00:15:10: Entscheidungen bin ich im Hochrisikbereich natürlich drinnen.

00:15:14: Das ist jetzt quasi eine Frage, die wissen will von der Tee, die in der Entwicklung ist und das will ich wissen von den Anwendern.

00:15:19: Von

00:15:19: den Anwendern, genau.

00:15:21: Das war mir so diese eine Schiene.

00:15:24: Die anderen Fragen, die man stellen wird, ist dann natürlich in Richtung Anbieter.

00:15:28: Wir werden ja davon ausgehen, dass Großteil dazuhörerinnen nicht selbst KI-System-Anbieter sein werden, sondern meistens eher Anwender.

00:15:36: Das heißt, die haben dann einen Software-Anbieter typischerweise in der Cloud, die einen das anbietet.

00:15:41: und da würde ich auch noch EI-Eigt.

00:15:43: einfach mal abfragen, ob der EI-Eigt eingehalten wird und ob eben entsprechende Risiko Einschätzungen und Dokumentationen zu diesem Modell und zu den Trainingsdaten auch vorhanden sind.

00:15:55: Es ist davon auszugehen, dass die großen Anbieter das einhalten werden und auch irgendwo Webseiten haben werden, wo diese ganze Dokumentation steht.

00:16:03: Aber wir als Unternehmer sind natürlich in der Verantwortung, diese Informationen auch zu sichten, zu kontrollieren, ob das auch tatsächlich eingehalten wird und in jedem Risikomanagement mit einer gewissen Regelmäßigkeit, dass man zumindest sagt, auch mal im Jahr, schauen wir das an, ob das noch immer der Fall ist.

00:16:21: Und die Frage ist aber deswegen so groß.

00:16:24: weil wir und auch Kolleginnen und Kollegen im Netzwerk das ja so sind, dass der EI-Akt uns ja auch in einem gewissen Maße animiert, dass wir über die Risiken des EI-Akts hinaus noch weiter denken.

00:16:37: Wenn ich das schon tue, dass ich mit dem Anbieter rede und sage, das hat sie im Sinne vom EI-Akt gut aufgestellt, dann werde ich sie natürlich auch fragen, was macht sie?

00:16:45: Ein T-Security-Messig, wo werden die Daten hinverschoben, werden die in Europa verarbeitet, werden sie in die USA verarbeitet und so weiter und so fort.

00:16:52: Das heißt, diese ganzen... Datenschutz, IP, Anti-Security-Themen usw.

00:16:57: Intellectual Property.

00:17:00: Würden wir dann noch mitbetrachten.

00:17:04: Du hast jetzt aber ganz gute Dinge gesagt, die auch in DAS einspülen oder in DAS einzahlen, was ich im Zweifel von der Compliance und die muss mir ein bisschen orientieren oder ein bisschen einnoten jetzt bei deinen Ausführungen, wo wir gerade sind.

00:17:19: Und ich sage immer die Legitimation der Compliance, die liegt im Business.

00:17:22: Und wenn ich mich jetzt frag, was will ich denn wissen vom Anbieter, was will ich wissen von der IT, was will ich wissen von den Risk-Ownern, also den Anwendern im Unternehmen, dann ist die erste Frage immer das Business, also für was verwend ich es, also was ist denn die Zielsetzung, was will ich damit tun, also die Anwendung als solches.

00:17:42: Daraus gibt sie für mich dann tatsächlich auch... Das Risiko.

00:17:46: Und das Risiko nehme ich aber basierend auf dem EE-Ei-Eck, weil im EE-Ei-Eck die Risikoklassifizierungen drin sind, die sagen, das ist okay oder das ist nicht okay, also in vier Klassifizierungen.

00:17:57: Und wenn ich dann aus dem Business resultierend die Anwendung, die Risiken, kann ich als Compliance den Rahmen festlegen.

00:18:05: Das heißt, ich aus Compliance kann dann quasi auf Basis der Risiken, die ich identifiziert habe, auf Basis des EA-Aggs, dann auch die entsprechende Richtlinie schreiben, zum Beispiel oder den entsprechenden Rahmen geben.

00:18:16: Weil für mich war das jetzt oder für mich ist es immer oft sehr schwierig im Zusammenhang mit dem Thema KI.

00:18:22: Jetzt haben wir bei der letzten Folge einen Shoutout-Cop zum Thema KI, verwenden, anwenden, ausprobieren.

00:18:28: sich damit vertraut machen und und und und und, das ist alles wunderbar, ja, aber ich muss in Wahrheit als Compliance-Organisation irgendwie den Fuß in die Tür bekommen.

00:18:37: damit ich insbesondere meiner Tätigkeit nachkommen kann, Risiken zu identifizieren, zu bewerten und zu minimieren, um dann auch einen zielgerichteten Kompetenzaufbau leisten zu können.

00:18:46: Und natürlich um einen Rahmen festzulegen.

00:18:48: Und ich habe mir am Anfang jetzt ein bisschen schwader mit den Fragen, die ich stellen soll.

00:18:52: Weil ich nicht weiß, wo fange denn da an, aber in Wahrheit hast du jetzt genau das beantwortet, was immer das größte Fragezeichen ist, aber zugleich auch immer mein größter Shoutout für die Compliance.

00:19:01: Es kommt darauf an, Was im Business passiert?

00:19:04: Das Business sagt man, wie es sich anwenden will.

00:19:06: Im Sinne von, wir wollen es selbst entwickeln und in welche Richtung gehen wir da.

00:19:10: Also ist es etwas, wo man sagt, wenn wir es selbst entwickeln im Unternehmen, arbeiten wir mit Personen bezogenen Daten.

00:19:17: Ist unser KI-Modell ausgerichtet auf die Verarbeitung von Personen bezogenen Daten oder nicht?

00:19:22: In der Anwendung ist es so, dass ich mal Gedanken machen muss, wie was verwende ich es denn?

00:19:26: Weil das dein Beispiel mit ChatchiPity ist, glaube ich, sehr bildlich.

00:19:29: Weil ChatchiPity als solches ist zwar ein Tool, aber das Risiko habe ich nicht durch das Tool, sondern durch die Anwendung.

00:19:34: Und dein Verweis auf das, was Frage denn eigentlich den Anbieter, nämlich insbesondere mal hast du mit dem EI-Ekt vertraut gemacht.

00:19:41: Weißt du, was du tun musst?

00:19:43: und wenn ich folgende Handlungen setzen möchte oder Anwendungen Plane mit deinem Tool, welche Risiken habe ich denn da?

00:19:49: Oder geht das überhaupt mit deinem Tool?

00:19:51: Und wenn ja, welche Maßnahmen?

00:19:53: hast du vielleicht technisch sogar schon vorgesehen, dass sich gewisse Risiken vielleicht nicht verwirklichen.

00:19:58: Also, ich habe da jetzt ein bisschen aufzeichnet bei mir, um mich selbst ein bisschen zu strukturieren.

00:20:04: Das hilft mir und ich glaube, es hilft sehr vielen anderen auch.

00:20:08: Und ich glaube, dass diese Dinge nicht nur wir, in der Compliance wissen sollten, sondern ich glaube, dass insbesondere die Kolleginnen und Kollegen in den Unternehmen das wissen sollten.

00:20:16: Unabhängig davon, ob ich in der Compliance bin oder nicht.

00:20:19: Wir reden ja über das Thema Risiken.

00:20:23: Welche konkreten Risiken sollte ich denn aus Compliance im Blick kommen?

00:20:26: Du hast jetzt von IP gesprochen, du hast davon Diskriminierung gesprochen, du hast schon Datenschutz gesprochen.

00:20:33: Gibt es sonst irgendwas, was ich aus Compliance-Sicht vielleicht nur am Schirm haben sollte?

00:20:36: Irgendwas, wo du nämlich jetzt als Techniker sagst, hey, Passt es auf das auf?

00:20:41: Naja, als Techniker würde in einem Unternehmen nochmal eine ganz pragmatische Frage immer stellen, wann eine KI eingesetzt wird und zwar, wie schaut denn die vertragliche Gestaltung mit diesem KI-Anbieter aus?

00:20:54: Das deckt dann eigentlich schon sehr viele Themen ab, nämlich Intellectual Property, Datenschutz und so weiter.

00:21:01: Aber es ist, glaube ich, auch schon bekannt, dass eben, wenn ich einen kostenlosen Chat-Shibitiv-Kant verwende, dass die dann andere Dinge mit meinen Daten tun dürfen als, wie wann ich jetzt bezahlt habe, wo ich ganz klar einen Vertrag eingehe und wo drinnen steht die Daten, die ich dort rein lade.

00:21:18: Die gehören nur mir und so deck ich dann eigentlich schon sehr viele Themen mit da, oder Deck des Datenschutzthema mit da, weil per se bin ich noch immer da ohne.

00:21:27: Der Daten, ich decke auch das Intellectual Property Thema mit da, weil das Modell dann nicht mit dem trainiert wird, was ich in das Modell reinlade.

00:21:36: Und ich habe im Wesentlichen auch eine bessere rechtliche Absicherung.

00:21:42: Sollte mal was schiefgehen, weil dann steht in den Verträgen halt ganz konkret drinnen.

00:21:47: für was haftet denn der Anbieter, wofür hafte ich als Nutzer?

00:21:53: Also aus deinen Ausführungen zeigt es ja wieder so schön, warum die Schnittstelle zu IT so wichtig ist, aufgrund des technischen Verständnisses nämlich auch.

00:22:01: Also gerade das System kann andere Dinge, wenn es ja gerade das Version ist, jetzt muss man sagen, das lest und hört man natürlich immer wieder und eigentlich kommt man auch sagen, der Hausverstand könnte da auch einsetzen, dass da vielleicht andere Dinge möglich sind, wenn ich nicht dafür zeige, aber Ein technisches Verständnis ist wichtig.

00:22:18: Und ich glaube, dass das vielleicht auch da ein bisschen einzahlt in das Thema, was die Marie gesagt hat, nämlich, dass wir uns in der Compliance auch weiterentwickeln müssen und auch ein technisches Verständnis verstehen oder uns aneignen müssen, um auch Risiken richtig bewerten zu können, wenn sie nämlich jetzt neu auf den Tisch kommen.

00:22:36: Und das ist, glaube ich, in der klassischen Compliance, ist das noch nicht angekommen, dass wir uns auch in Richtung Technik entwickeln müssen.

00:22:43: Und jetzt habe ich den Vorteil, dass du als mein CTO oder unser CTO bei LUB ein technisches Unterkomplexverständnis hast und du in Wahrheit diese Rolle gleich mit übernimmst.

00:22:53: Aber ich glaube, in vielen Unternehmen ist das nicht der Fall.

00:22:55: Und da sollte man sich genau über diese Schnittstellen oder zumindest über Verbündete in der IT Gedanken machen, weil das Thema EIG ist kein reines IT-Thema, kein reines Compliance-Thema.

00:23:05: Also diese Schnittstelle ist wahnsinnig wichtig.

00:23:08: Ist es nicht und das, was du sagst, ist total wichtig.

00:23:10: Man muss sich dann diese Netzwerke aufbauen, weil diese Ausrede, ich kenne mich mit Computern nicht aus, ich wusste leider nicht anders.

00:23:18: Die wird einfach nicht mehr zuhören.

00:23:19: Sie wird schon lange nehmen und wird nicht mehr zuhören.

00:23:22: Jetzt haben wir gesprochen über, was ist der EIA-Akt, wir haben darüber gesprochen, wie wichtig sind Schnittstellen, weil Querschnittsmatterie EIA-Akt.

00:23:29: Wir haben darüber gesprochen über die Risiken, wo kommen die her?

00:23:32: Welche Fragen als Compliance-Office sollte ich stellen?

00:23:35: Gibt es irgendwelche Fragen, die vielleicht die IT an die Compliance stellen sollte?

00:23:38: Das

00:23:39: ist jetzt wieder eine schwierige Frage.

00:23:41: Also was möchtest du von mir wissen?

00:23:43: Gibt's irgendwas, was du von mir wissen?

00:23:45: Das sind keine konkreten Fragen, die von dir wissen wollen, würde aber es wären, wären zumindest Polices und grundlegende Guardrails.

00:23:54: Also... im Prinzip ein Rahmenwerk zu sehen, wo ich sage, das ist dem Unternehmen wichtig.

00:24:00: Keine Ahnung, warum.

00:24:00: jetzt anfangen, sagen wir, Arbeitsverträge von der KI analysieren zu lassen.

00:24:04: Das sieht dieses Unternehmen als zumindest besprechendes Wert, wie auch so ein Gatrail, dass man sagt, da hätten wir gerne, dass die Compliance informiert wird und dann werden es auch andere Anwendungsfelder geben, wo vielleicht in so einem Gatrail oder in einer Policy, wie es bei dir eben heißen wird, wo das einfach drinnen steht, was dürfen wir denn tun und was dürfen wir?

00:24:23: Ich würde mir bei diesem ganzen Thema auch erwarten, dass die Leute trotzdem noch autonom und experimentierender hinarbeiten dürfen.

00:24:32: Weil was ja nicht passieren sollte, ist, dass man durch die Pole-Saison, durch den Ereign, dann plötzlich Innovationen bremsen.

00:24:38: Das

00:24:38: ist so super, dass du das sagst, weil das ist genau das, für das Compliance nämlich nicht steht.

00:24:42: Also Compliance steht nicht dafür, Innovationen zu bremsen, sondern Compliance soll ja Innovation fördern.

00:24:48: Und das Spielen eigentlich ermöglichen im ordentlichen Rahmen.

00:24:52: Also danke für die genaute Ausführung.

00:24:54: Genau.

00:24:55: Und bei genauerem Nachdenken, wenn es jetzt nochmal in konkreten Anwendungsfeuer geht, dann wird es wahrscheinlich so sein, wenn ich jetzt von mir aus gehe, dass man dann in speziellen Risiko-Einschätzungen im EEG sich als Techniker hart tun wird, um rauszufinden, ist es jetzt eine Hochrisiko-Anwendung oder nicht?

00:25:15: Nur so als Beispiel.

00:25:17: Wir locken immer wieder, wenn wir unsere Fragebögen durchschauen, dass Lift- und Schiffwärts-Themen als hohe Risiko eingestuft werden.

00:25:26: Das ist logisch, wenn man es leset, aber wenn du jetzt das Techniker, sagen wir mal, ein Liftsteuerung bauen würdest und da fangst du es dann, dass irgendwo KI einbaust, mit der vielleicht nicht als erstes in den Sinn kommen.

00:25:39: Dass du sagst, das ist ein ganz sicher hoher Risiko, da muss man was dazu überlegen, sondern du wirst einfach sagen, das ist eine innovative Anwendung und man hat nicht das Gefühl, dass man irgendwie rechtsnummern, die ja bekannt sein müssten, wie ich weiß, eine nette Privatsphäre oder Datenschutz, hat man nicht das Gefühl, dass man verletzen würde.

00:25:56: Also klingt das nach einem innovativen Produkt, aber dass man dann eigentlich nur in den Erekt reinschauen.

00:26:01: muss das und das wird als Techniker vielleicht nie dorthin einfallen.

00:26:05: Und das wird man sich natürlich auch wünschen, dass man dann auch mit diesen Anwendungsfällen hingehen kann und sagen kann, schau her, das haben wir vor.

00:26:12: Lieber Jurist, schau uns bitte nach, ob das in einer der Kategorien reinfällt, wo man auf irgendwas Spezielles achten muss.

00:26:18: Und auch da gibt das Business wieder die Antwort.

00:26:20: Richtig.

00:26:21: Und somit muss man auch wieder sagen, Legitimation für die Compliance ist das Business.

00:26:24: Also ich kann es gar nicht oft genug sagen, aber deinen Ausführungen zufolge liege ich da nicht ganz falsch.

00:26:29: Jetzt tu ich mir nur ein bisschen schwer.

00:26:31: Weil wir reden natürlich darüber, diese Risiken zu bewerten.

00:26:35: Also zu identifizieren, zu bewerten und natürlich entsprechend irgendwann einmal vielleicht Minimierungsmaßnahmen zu setzen.

00:26:42: Ich tue mir ein bisschen schwer, wie ich diese Risiken auch systemisch erfasst sei.

00:26:47: Also wo werden die im besten Fall erfasst?

00:26:51: Also ich aus Compliance Officer kann sich natürlich schon erfassen in den Systemen, in denen wir arbeiten, aber Ich tue mir ein bisschen schwer, ob das nicht vielleicht dann bei den Interaktiv vielleicht besser aufkommen ist oder weil dort vielleicht auch die gesamten Anwendungsprozesse zusammenlaufen.

00:27:08: Ich weiß es gerade nicht.

00:27:10: Ja, also was das Unternehmen auf jeden Fall tun muss, das ist ein Inventar aufbauen oder keine Systeme?

00:27:16: und dieses Inventar wird man wahrscheinlich nicht im komplett luftlernen Raum aufbauen.

00:27:20: Also entweder hat man ja schon etwas, weil man alle Anwendungen schon irgendwo registriert hat.

00:27:26: Und zu vermuten sei, dass die meisten Unternehmen haben, weil du brauchst den Register der Verarbeitungstätigkeiten, wo wahrscheinlich schon Anwendungen drin sind.

00:27:34: Und man könnte das erweitern.

00:27:36: Was tu ich mit Anwendungen, die jetzt nicht offiziell freigegeben werden?

00:27:40: Ja, also sogenannte Schatten-KI, wie gehen mit der?

00:27:44: Ja, also da wird's entweder extrem gute Aufklärung brauchen.

00:27:49: Ich glaube aber, dass man technische Lösungen braucht.

00:27:52: Das redet mir jetzt ein bisschen die Rutsche.

00:27:54: Dazu, dass wir an so einer technischen Lösung eben arbeiten mit einem neuen Produkt, namens Artilizenz, das eben genau diese Dinge vereinen wird, eben ein Inventar an KI-Tools mit automatischer Risikoabschätzung und eben der Erkennung von Schatten-IT.

00:28:10: Warum ist das Schatten-IT so wichtig?

00:28:13: Weil du natürlich in Unternehmen Personen haben wirst, die einfach KI-Systeme verwenden, weil sie es verwenden wollen, weil sie innovativ sind, weil sie einfach so viel Arbeit abnehmen, dass es quasi dumm wäre es nicht zu tun.

00:28:27: Und das Risiko tragt aber trotzdem das Unternehmen.

00:28:29: Also wenn jetzt auch jemand, sagen wir nur einen KI-Übersetzer verwendet, der von weitem ja harmlos aussieht, könnten dort trotzdem wieder Daten des Unternehmens hochgeladen werden.

00:28:43: Seien es zum Beispiel personenbezogene Daten und man hat dann keinen Verarbeitungsvertrag mit diesem System, gehen natürlich ein Risiko ein.

00:28:50: Und deswegen ist es auch wichtig, Schatten-IT.

00:28:53: Und nochmal, ich würde jetzt nicht dafür plädieren, dass man das dann komplett abwirkt, aber eben aufdeckt, trotzdem eine Risikobewertung durchführt und dann trotzdem Guardrails oder Polices dafür aufbaut.

00:29:07: Man kann ja als Unternehmen durchaus sagen, liebe Mitarbeiterinnen, ihr dürfts Tool XY verwenden, wir haben aber keine Lizenz dafür.

00:29:14: Daher dürft ihr es nur verwenden, keine Ahnung, um einzelne Sätze zu übersetzen, wo keine unternehmensbezogene Daten.

00:29:20: drinnen sind, ist halt die Frage, wie sehr wir dann den Anwendungsfall noch einschränken, du lächelst ein bisschen, aber es wäre ja durchaus möglich.

00:29:28: Aber man muss dir leider eigentlich motivieren, Anwendungsfälle in so ein Inventar einzumelden, dass seine Risikobewertung unterzogen werden können.

00:29:35: und dann kann man sagen, darfst du verwenden, aber unter diesen und jenen Voraussetzungen.

00:29:39: Ich muss jetzt ein bisschen grenzen auch tatsächlich, weil ich mir gerade die Praxis ein bisschen vor Augen führe, aus den Gesprächen mit sehr vielen Kolleginnen und Kollegen.

00:29:49: Wie viele Unternehmen mit dem Thema AI-Akt umgehen.

00:29:53: Und wenn ich da ein Gespräch, wenn ich mich da erinnere an Gespräche, ist es ganz oft so, dass viele Unternehmen zuerst mit einer Polizie anfangen.

00:30:05: Also es kommt der AI-Akt und sehr viele Kolleginnen und Kollegen nehmen dieses Thema auch gerne an sich, also zu ticken wir in der Compliance.

00:30:15: Also wenn niemand der Thema nimmt, wir nehmen es gerne, weil wir es ans Gewohntverantwortung zu übernehmen.

00:30:20: Was können wir besonders gut?

00:30:21: Wir können ganz besonders gut Richtlinien schreiben.

00:30:24: Das ist vielleicht ein bisschen was juristisches, aber das ist etwas, diesen Rahmen festzusetzen, das liegt uns auch in der DNA.

00:30:30: Und das ist das Erste, was sehr viele Kolleginnen und Kollegen tun, sie legen einmal Regeln fest.

00:30:35: Für etwas, wo ich das Risiko noch gar nicht kenne, wo ich noch gar nicht weiß, wie sind die Strategie im Unternehmen zum Thema KI, weil das, was du sagst mit, ich würde das gar nicht einschränken.

00:30:43: Die Verwendung und Nutzung von KI ist eigentlich eine strategische Frage oder ein strategisches Thema.

00:30:49: Das heißt, sehr oft in vielen Unternehmen ist es, um möglichst rechtskonform zu sein, so dass der Fokus auf Richtlinien gelegt wird.

00:30:58: Und dann kommen Schulungen.

00:30:59: Es kommen Schulungen zu Richtlinien, zu Risiken, die man vorher aber gar nicht erhoben hat.

00:31:06: Das heißt, wenn ich mir das jetzt überlege, wie man den EEG in das Compliance Management System vielleicht integrieren könnte, dann ist ja der Ablauf, den wir mit Dieser Reise, die wir ja jetzt seit Jänner auch schon machen, durch das Compliance Management System, der ist ja an sich dann eine gute Anleitung auch für den AI-Akt.

00:31:25: Ich brauche in Wahrheit einen Tone from the top.

00:31:27: Im Sinne auch vielleicht an der Strategie zu wissen, wo steht denn das Unternehmen bei der Frage KI in der Entwicklung, in der Anwendung?

00:31:36: Dann muss ich mal anschauen, wer hat denn bei mir überhaupt die Verantwortung?

00:31:40: Wem gebe ich denn dieses Thema?

00:31:41: Das heißt, ich bin quasi in dem Element.

00:31:44: der Kultur, auch noch bei der Frage der Organisation, also wo gebe ich es denn hin?

00:31:48: Dann nehmen Sie die Compliance einen Teil mit der Profession bzw.

00:31:53: den Kompetenzen, die sie hat.

00:31:54: Dann nehmen Sie die IT ihren Teil für die Kompetenzen, die sie hat.

00:31:59: Dann bin ich beim Risikomanagement.

00:32:00: Und genau dieser Step im Risikomanagement wird sehr oft auslassen.

00:32:04: Und das ist ja das Element, in dem wir uns quasi immer noch ein bisschen befinden.

00:32:09: Und darum diese Frage mit welche aktiviert denn bei uns verwendet, für welchen Anwendungsfall auch ein Inventar zu erstellen, um überhaupt die Risiken identifizieren zu können.

00:32:19: Das ist für mich eigentlich der erste essenzielle Schritt nach der Strategie für die rechtskonforme Umsetzung des AI-Acts.

00:32:27: Weil wenn ich das einmal geklärt habe, Tool, Anwendung, Risiko, dann kann ich erst zu dieser Policy kommen, die in sehr vielen Unternehmen aber jetzt schon erstört wird.

00:32:36: Das ist immer das, wo man sagt, man schreibt eine Prolesie für ein Risiko, das man gar nicht hat und somit habe ich automatisch die Leute verloren.

00:32:42: Also ich habe somit automatisch die Mitarbeiterinnen und Mitarbeiter für das Thema verloren, weil sie gar nicht verstehen.

00:32:48: Wenn in einer Richtlinie den drinnen steht, ich darf XY nicht verwenden und plötzlich merken aber, dass es in der Entwicklung verwendet wird oder dass eigentlich gar keine Strategie gibt für das Thema oder dass sogar die die Geschäftsführung möglicherweise ein JetGPT-App am Telefon hat und als Mitarbeiter darf man es nicht verwenden, die Geschäftsführung hat es aber schon drauf.

00:33:06: oder dass plötzlich Schulungen gemacht werden unter Anwendung von KI-Tools, obwohl ja eigentlich die KI nicht verwendet werden darf oder dass man sagt, man schränkt das ein auf.

00:33:16: auf die Verwendung von Co-Pilot, weil das ist auch was, was ich lerne, dass sehr viele auch das einschränken auf reine Nutzung von Co-Pilot, aber gar nicht wissen, wie sie das richtig einsetzen können und dürfen.

00:33:27: Und dann macht meine generelle Schulung zum Thema KI.

00:33:30: Und in Wahrheit habe ich oder schieße ich damit ja völlig am Ziel vorbei.

00:33:34: Das ist auch nicht der Anspruch, denn ich an die Compliance habe, dass ich zur riesigen Schule, die ich gar nicht errohiert habe, bzw.

00:33:40: zur riesigen Schule, die ich möglicherweise gar nicht habe.

00:33:43: Und das ist In Summe, wenn ich mir das so anschaue, lasst sich der EEG sehr gut in die Elemente und in die systemische Abarbeitung oder in das Compliance Management System als Sicherheits integrieren.

00:33:58: Das hat schon eine gewisse Logik, über die ich in dieser Form noch gar nicht so noch dachte, ehrlich gesagt.

00:34:03: Ich

00:34:04: muss jetzt fast noch ein Impuls zugeschicken.

00:34:06: Ich finde das, dass die Polizei am Anfang steht.

00:34:10: vielleicht gar nicht so schlecht, da muss ich deine Kolleginnen und Kollegen ein bisschen in Schutz nehmen.

00:34:13: Ich würde sie halt extrem kompakt machen und nicht als Polise, sondern eher so als ... Ey, wie du gesagt hast, als Strategie, als Richtschnur, nur ausgeben und sagen, wir haben Vorkehr einzusetzen, aber uns ist wichtig, Privatsphäre, uns ist wichtig, dass wir nicht am Diskriminieren, uns ist wichtig, dass wir unsere Intellectual Property-Themen im Griff haben.

00:34:37: Das kann man ja schon mal ... ganz allgemein ausgeben.

00:34:39: Das ist sozusagen die allgemeine Richtschnur, auf der dann auch Risiken und weitere Polices aufsetzen.

00:34:45: Aber das ist natürlich ein großer Stil, zu schulen bei allem und jeden ist natürlich eine spannende Frage.

00:34:51: Das Kost außer Geld wahrscheinlich nur Geld.

00:34:53: Das wird mir über anderen Wege auch in die Organisation reinkriegen.

00:34:56: Ich tue mir da ein bisschen schwer, weil ich aus Komplenz keine Strategie vorgebe.

00:35:00: Also ich tue mir auch ein bisschen schwer zu sagen, ich mache jetzt ein generelles Dokument, wo ich sage, bei der Anwendung von KI oder generell KI, machen wir das so und bitte aufpassen auf die Grundrechte und auf den Datenschutz.

00:35:10: Also auf die Grundrechte aufpassen und Datenschutz und auch nah, aber das habe ich ja bereits in anderen Dokumenten, weil das steht ja in der Regel oft in einem Code of Contact schon drinnen, als quasi... Dachdokument oder als quasi Werteverfassung oder Verhaltensverfassung.

00:35:24: Da hätte es eigentlich schon drinnen, ich tu mir mal ein bisschen schwer aus Compliance als eine Richtschnur vorzugeben für etwas, wo ich gar nicht weiß, wollen wir das und wie wollen wir das?

00:35:33: Das heißt, in Wahrheit muss sich die Compliance, um entsprechende Richtlinien auch erarbeiten zu können und Schulungen erarbeiten zu können.

00:35:42: Wir müssen uns hier das Commitment oder zumindest die Richtung von der Geschäftsführung auch mitteilen lassen.

00:35:49: Wir, das macht keinen Sinn, also es macht tatsächlich keinen Sinn, Richtlinien zu schreiben für ein Thema, wo wir gar nicht wissen, wo sind wir denn überhaupt?

00:35:56: und wie ist denn der Gedanke zum Business, was das Thema KI betrifft?

00:36:01: Das ist keine Frage.

00:36:02: Auf was ich aussehe, weil du brauchst wahrscheinlich nicht vor die Anwendungsfälle.

00:36:06: Es wird wahrscheinlich die Richtschnur der obersten Führungsebene reichen und wir brauchen uns ja nur in unterschiedliche Unternehmen reindenken.

00:36:14: Jetzt denken wir uns in im Loob rein.

00:36:16: ein sehr kleines Produkt, ein sehr kleines Unternehmen, das sich schnell entwickeln muss.

00:36:20: Natürlich ist bei uns ein KI im Fokus, jetzt denken wir uns aber zum Beispiel ein sehr großes Unternehmen eine.

00:36:26: Also ich will jetzt zum Beispiel mal daran denken an einen Chiphersteller, der halt einfach sehr, sehr viel Wert drauflegen wird, dass sein Intellectual Properties bei sich gehalten werden, die in der Vergangenheit schon extrem viel in IT Security investiert haben und ja, immer geschaut haben, dass nichts nach außen dringt, was auch logisch ist.

00:36:43: Die werden auch andere Perspektive dazu haben.

00:36:45: Und die könnten natürlich schon einfach mehr Polise ausgeben und sagen, ohne Freigabe gibt es kein i-Net.

00:36:52: Und wir als Loop-Kennen aber sagen, probiert es auch aus.

00:36:56: Wenn es Fragen habt, bitte bei mir am Erden und die Chance ist gemeinsam an.

00:37:01: Da ist ja der Prozess ein ganz anderer und viel einfacher.

00:37:04: Und das Risiko, also das unternehmerische Risiko, auch ein anderes muss man sagen.

00:37:09: Also ohne dass sie jetzt eine konkrete Anwendung kennen.

00:37:12: Nur von drauf schon auf das Unternehmen erkenne ich schon ein bisschen anderes Risiko.

00:37:16: Also ich muss ja sagen, wir haben es ja auch nicht anders gemacht.

00:37:19: Wir haben uns gewisse Risiken angeschaut, aber wir haben auch mit einer Polizee, wir haben auch gleich die Polizee gehabt und wir haben auch dann aufgrund der Polizee eine entsprechende Schulung gemacht.

00:37:28: Wir haben nur über gewisse Tools, die wir im Unternehmen haben, schon gewusst, wie das Risiko ist, dass wir uns schon ein bisschen festmachen können.

00:37:35: Ganz unfassend, glaube ich, haben wir es noch nicht und da sollte die Reise natürlich hingehen.

00:37:40: dass das in einer strukturierten Art und Weise erfolgt.

00:37:43: Und die Frage, wer macht denn dann das strukturierte Risikomanagement bei diesen Themen?

00:37:47: Ich glaube nicht, dass das die Compliance ist.

00:37:49: Ich glaube, dass das tatsächlich wahrscheinlich über gewisse Saisersoftware, die da unterstützt, oder sei es irgendwelche Fragebögen, die es da gibt, dass man das da institutionalisiert bei den Risk Owners, nämlich bei den Anwendern, dass die Anwender sollten vielleicht da die Risikoevaluierung vornehmen.

00:38:07: Oder man unterstützt die Anwender und Anwenderinnen bei der Evaluierung oder Identifikation der Risiken.

00:38:13: Und wir aus Compliance kriegen entweder einen Bericht dazu und schauen uns dann, welche Anwendung oder welche Risiken haben wir denn?

00:38:20: Nicht die Anwendung, weil die Anwendung interessiert vielleicht mehr die IT, aber die Risiken interessieren wir vielleicht aus Compliance.

00:38:26: Weil, du hast das jetzt zu Beginn nachgesagt, der EIG zielt ja auf den Schutz in Wahrheit von uns Menschen ab.

00:38:32: Also es ist eigentlich eine Rechtsnorm.

00:38:35: die die Grundrechte auch im Fokus hat.

00:38:37: Das heißt, wenn da ein Risiko sich ergibt, dann muss das natürlich bei uns in der Compliance aufschlagen.

00:38:42: Aber ich bin, was das Risiko betrifft, wahrscheinlich nicht die Organisationseinheit im Unternehmen, die permanent die Risiken erhebt.

00:38:48: Ich las mir das berichten.

00:38:50: Und das ist vielleicht der Unterschied im Zusammenhang zu den klassischen Compliance-Risiken, die ich ja erhebe.

00:38:56: Jetzt erweite ich das und gebe das Thema dorthin, wo auch die Verantwortung liegt und die liegt ja nicht bei mir in der Compliance und die liegt ja nicht in der IT, sondern die liegt ja bei den Anwenderinnen und bei den Anwendern und das ich dort vielleicht sogar schon gleich die Risikoevaluierung auch vornehmen las und das wird auch gleich hinübertragen.

00:39:15: Genau, also im besten Fall hast du da eine Tool, wo Anwenderinnen Tools plus Usegeses einmelden.

00:39:23: vom Tool schon unterstützt werden Risiken zu erheben.

00:39:26: Und du hast dann diese Fachrollen IT, eine Compliance, andere Fachanwender, die auf diese Risiken draufschauen können und das dann noch mit bewerten können.

00:39:35: Das sind wir wieder genau bei dem gleichen Thema.

00:39:37: Waren jetzt so ein Tool, sagen wir, ein arbeitsrechtliches Thema ausspucken würde, als informatiker schwer, das zu beurteilen.

00:39:45: Da wird wahrscheinlich dann jemand mit einem juristischen Hintergrund draufschauen sollen und dürfen, damit da was gut ausser kommt.

00:39:54: Das war jetzt, also für mich war das jetzt eigentlich eine relativ runde Reise, also was das Thema und den Fokus aufs Risiko betrifft.

00:40:02: Also wenn ich vielleicht nochmal kurz zusammenfossen darf, wir haben uns den EI-Akt angeschaut.

00:40:08: Es geht um den Schutz von Menschen, um die Grundrechte, Risikoglassifizierung und auch den Rahmen, in dem ich KI anwenden darf und soll.

00:40:17: Wir haben uns die Frage gestellt, Was muss ich aus Compliance wissen?

00:40:21: Ich muss aus Compliance wissen, was ist in der Anwendung?

00:40:23: Ich muss nicht wissen, was ist das für Tool, sondern ich muss wissen, was ist in der Anwendungsfall und welches Risiko ergibt sich daraus?

00:40:28: Das ist auch eine Frage, die in Wahrheit die IT mir geben oder beantworten muss und die Anwender die Anwenderin beantworten muss.

00:40:35: IT aus Sicht der Entwicklung, wenn die IT entwickelt und sonst die Produktentwicklung, die Anwenderin der Anwender aufgrund dessen, wie sie es denn verwenden, dieses Tool.

00:40:44: Da haben wir die Frage beantwortet, woher kommt es eigentlich?

00:40:47: Das kommt aus dem Business.

00:40:48: Wir haben uns die Risiken angeschaut.

00:40:49: Wir haben uns angeschaut die Regeln und den Rahmen.

00:40:51: Wir haben uns angeschaut die Schnittstellen.

00:40:53: Wir sind draufgekommen in der Querschnittsmaterie.

00:40:55: Ja, also ich glaube, das war eine runde Reise.

00:40:58: soweit.

00:40:59: Möchtest du noch was ergänzen?

00:41:00: Nein, ich bin komplett bei dir.

00:41:02: Aber bist du

00:41:02: zufrieden mit dem, was wir da jetzt gemacht haben?

00:41:04: Ja.

00:41:05: Okay, also ich glaube, wir haben dennoch nicht den Schadort von der Marie von der Gröben für die Verwendung von KI gedämpft.

00:41:14: Habe ich auch überhaupt nicht vorgekommen, muss ich

00:41:16: sagen.

00:41:16: Ja, ich auch nicht.

00:41:17: Es ist ja, wenn man will, das Risiken managen, im Sinne, dass sie eigentlich sogar einfach, weil du ja sehr viele Anwendungen haben wirst, die nicht im Hochrisikobereich drinnen sind.

00:41:29: Die sind ja auch sehr einfach zu managen und da passieren ja Dinge, die Unternehmen vielleicht sowieso machen würden.

00:41:35: Also das sitzt, wenn eine Person mit einem Jet-Bot unterhaltet.

00:41:39: dass man das nach außen hin offensichtlich macht, dass man Personen nicht verwirrt oder in die IHRE leitet und sie glauben lässt, dass man wieder Menschen kommuniziert, wo eigentlich mit einer Maschine kommuniziert wird.

00:41:50: Das

00:41:51: gehört sich ja eh fast so, also das werden sehr viele intuitiv machen.

00:41:55: Und so wie es bei vielen Rechtsvorschriften halt ist, es ist diese Rechtsvorschrift da für die, die das nicht vor selber einhalten wollen.

00:42:06: Absolut.

00:42:07: Das war eine wunderbare Zusammenfassung oder vielleicht nur ein wunderbarer Hinweis an deiner oder anderen Stelle.

00:42:13: Ich lass dich nur nicht gehen.

00:42:15: Es gibt zum Schluss immer noch ein weiteres wiederkehrendes Element.

00:42:18: Du kennst dir das und zwar das Code auf sie C-Wort.

00:42:28: Was bedeutet Compliance für dich?

00:42:30: in einem Wort?

00:42:32: Verantwortungsbewusstsein.

00:42:34: Verantwortungsbewusstsein ist ein schönes Wort.

00:42:37: Und du warst sehr komplänt, bei der Frage, kannst du mir einen Satz vollenden?

00:42:42: Kommt da Upsouts und beim Wort kommt ein Wort, das ist sehr schön.

00:42:45: Das sagt genau jemand, der auch nicht zum Aufrunden ist, wann er mit zum Reden anfängt hat.

00:42:51: Das ist allerdings richtig, aber die Regelgut in dem Fall für dich.

00:42:56: Ja, zusammengefasst habe ich schon.

00:42:58: In diesem Sinne muss ich sagen, ich war ja nach der Folge mit der Marie von der Gröben wahnsinnig euphorisch auch bei der Aufnahme und ich bin auch jetzt immer noch euphorisch, was die Nutzung und die Verwendung von KI betrifft und auch die Rolle, die die Compliance spielt bei der Anwendung von KI.

00:43:12: Und was für mich noch ein bisschen blinder Fleck war, das war tatsächlich das Thema Risikomanagement.

00:43:17: Und dann bin ich sehr froh, dass wir uns heute, auch wenn es vielleicht an der einen oder anderen Stelle ein bisschen lustiger gewesen ist, oder auch mit dem Malibu Orange, mit dem Cocktail ein bisschen eine Zeitreise in die Jugend gewesen ist und vielleicht an der einen oder anderen Stelle einen vielleicht sogar einen Zungenschlag bekommen habe durch das Getränk, sorry an dieser Stelle, muss ich dennoch sagen, dass die Reise durch das Risikomanagement im Zusammenhang mit KI ein Augenöffner war an der einen oder anderen Stelle, also vielen Dank Matthias.

00:43:47: Es ist notwendig sich mit den Risiken zu befassen.

00:43:51: Es ist einfach, wenn man die richtigen Tools und die richtigen Prozesse einem Unternehmen implementiert hat, wenn man das Thema E-Eigt nicht als Böde, sondern durchaus auch als Chance versteht, und soweit ich die jetzt da verstanden habe, auch als Anleitung, wie man mit den Risiken auch umgeht und wie man die Risiken auch erkennt.

00:44:10: Matthias, vielen herzlichen Dank, dass du bei mir gewesen bist.

00:44:12: Ich sage danke.

00:44:13: Und ich bedanke mich fürs Zuhören.

00:44:16: Bis zum nächsten Mal.

00:44:18: Bleiben Sie komplett.

00:44:19: Bleiben Sie ein nahegehriger Mensch, aber bleiben Sie vor allem ein guter Mensch.

00:44:23: Ihr macht den Rechteilern.