Datenschutz trifft KI-Compliance – Synergien nutzen statt Doppelarbeit – Max Hermann im Datenschutz Talk

Transkript zur Folge:

Ich begrüße euch zu einer neuen Themenfolge im Datenschutz-Talk-Podcast.
Die meisten von euch wissen ja, dass wir neben unseren wöchentlichen News auch
in unregelmäßigen Abständen Themenfolgen aufnehmen und darin gerne Themen vertiefen.
Die bestreiten wir dann in der Regel mit einem Spezialisten zu dem Thema,
mit dem wir das dann tiefer legen können.
Mein Name ist Heiko Gossen, Mitbegründer und Geschäftsführer der Migosense,
ein Beratungsunternehmen für Datenschutz, Management-Systeme und WorkSmart.
Heute geht es um die Frage, wie man Datenschutz und AI-Compliance sinnvoll in
einem gemeinsamen Management-System abbilden kann.
Wir sprechen also darüber, welche Schnittstellen es zwischen Datenschutzrecht
und AI-Act oder KI-Verordnung gibt, wo Synergien entstehen, aber auch welche
Konflikte denkbar sind.
Für viele Unternehmen stellt sich zudem die Frage, ob Datenschutz und AI-Compliance
vielleicht künftig sogar in einem gemeinsamen Bereich oder Abteilung geführt
werden können, im gemeinsamen Team.
Und auch da erhoffe ich mir heute ein wenig Praxiserfahrungen.
Deswegen freue ich mich sehr, dass ich für dieses Thema wieder Maximilian Herrmann
als Experten begrüßen darf,
Wenn ihr unseren Podcast schon länger hört, dürftet ihr Max vermutlich auch
schon kennen, denn er war im März 2023 schon mal bei uns zu Gast.
Ja, ich war auch erschrocken, dass das schon so lange her ist.
Und wir haben damals über die Digitalrechtsakte der EU gesprochen.
Damals war ja noch einiges noch in der Mache. Heute sind wir da schon wieder
ein Stück weiter, weil der AI-Act ja zu denen gehört, die auch schon verabschiedet und in Kraft sind.
Max ist Syndikusanwalt bei der EnBW, Lehrbeauftragter für Datenschutzrecht an
der TH Köln und er bringt langjährige Erfahrung an der Schnittstelle von Datenschutz,
Datenrecht und Digitalstrategien mit.
Lieber Max, schön, dass du heute dir wieder Zeit genommen hast für uns.
Herzlich willkommen hier im Datenschutz Talk Podcast.
Ganz herzlichen Dank, dass ich da sein darf.
Max, ich habe dich ja schon kurz vorgestellt, aber bei dir hat sich jobmäßig
was verändert, richtig?
Ja, in der Tat. Wenn man so will, aus dem, was wir immer mal kannten,
auch wie unsere Datenschutzwelt funktioniert hat,
haben sich durch digitale Rechtsakte, insbesondere dem AI-Act,
ein weiterer Bedarf ergeben, dass auch die AI und Datencompliance mehr den Fokus mitkommt.
Und so darf ich jetzt seit kurzem und noch ganz frisch in einer neuen Rolle
als Data und AI Legal Officer bei uns im Konzern wirken und federführend die Themen vorantreiben.
Du hast es schon angesprochen, es hat sich einiges ja verändert durch die ganzen
Digitalrechtsakte, die wir damals besprochen haben.
Heute gucken wir, wie gesagt, ein bisschen fokussiert mal auf das Thema Management,
also Governance zu Unternehmen.
Und da wir ein Datenschutz-Podcast sind, ist für uns natürlich auch besonders
relevant, wie hier die Schnittstellen, Schnittmengen auch zum Datenschutzmanagement
aussehen und wo es dann vielleicht auch Synergien gibt.
Vielleicht für den Staat, warum ist aus
deiner Sicht hier ein integriertes Compliance-Management jetzt relevant?
Warum sollten Unternehmen darüber nachdenken?
Also der Haupttrigger für mich tatsächlich, warum es relevant ist,
die Themen zusammenzudenken, ist, dass man meiner Meinung nach nur so die Chance
haben wird, dieser, ich bezeichne es jetzt mal als Regulierungsflut,
irgendwie Herr zu werden.
Also wir sehen verschiedenste Rechtsakte.
DSGVO kennen wir jetzt schon ein bisschen länger. Der AI-Act kommt jetzt schrittweise dazu.
Im Security-Bereich tut sich gerade einiges und wird auf uns zukommen.
Und wenn wir jetzt der Logik des Gesetzgebers direkt folgen würden und für jedes
neue Gesetz wieder neues Management-System in unsere Organisation reintragen,
dann beschäftigen wir uns irgendwann nur noch mit diesen Management-Systemen
und halten sie am Laufen. Und da kann man sich doch fragen.
Warum?
Kann man auch verstehen, dass Unternehmen sagen, das wird uns zu viel,
da blicken wir nicht mehr durch.
Insofern sind wir dazu angehalten und fast verpflichtet dazu, Logiken zu finden,
wie wir die Anforderungen, die aus den Gesetzen kommen, die doch an einigen
Stellen überlappend sind und sich durchaus ähneln, in Logiken in unsere Unternehmen
zu bringen, die es uns ermöglichen, auch schmalere Prozesse zu fahren.
Beziehungsweise vielleicht mit einem Reporting, was man in den Konzernen ins Unternehmen trägt.
Erkenntnisse, Kennzahlen auch für andere Regulierungsanforderungen einfach erhebt.
Und aus der Logik heraus und aus der Motivation heraus, glaube ich,
ist es wirklich gut, wenn das Unternehmen sich Gedanken macht.
Wie man da eine ordentliche, eine gute und vor allem eine schlanke Struktur reinbringen kann.
Ich glaube auch, und das ist der zweite Aspekt, den ich für sehr,
sehr wichtig und relevant halte, ist, wir müssen sehen, das,
was der Gesetzgeber uns da jetzt hingestellt hat, Du hast jetzt eben schon von
2023 gesprochen, als wir uns das letzte Mal unterhalten haben.
Da war das ja alles noch so ein bisschen ein Blick in die Zukunft,
wenn man mal ehrlich ist.
Wir hatten da viele Akte durchgesprochen, haben die auch sehr isoliert betrachtet
und sehen jetzt aber Stand heute, sie erzeugen Arbeit.
Und wir sehen aber auch, der Gesetzgeber macht sich schon wieder auf den Weg, daran zu arbeiten.
Sprich, auch beim Gesetzgeber ist ja die Arbeit noch nicht abgeschlossen.
So ein Buzzword, was man jetzt immer mal wieder hört, ist Digital Omnibus in Brüssel.
Also ein Prozess, in dem der Gesetzgeber in Brüssel auf EU-Ebene jetzt losgeht
und überlegt, wie kann man denn vielleicht doch nochmal verschlanken und dergleichen.
Brauchen wir gar nicht tief reinzugehen, aber auch hier sehen wir dann,
da wird was passieren und auch da müssen wir uns wieder anpassen mit unseren
Prozessen im Unternehmen.
Würden wir dann auf einer Basis aufsetzen müssen, die total fragmentiert ist,
auch in den Umsetzungsmaßnahmen zu den Anforderungen, würden wir uns auch wieder
so viel Mehrarbeit machen, die, wie ich finde, gar nicht mehr wirklich leistbar wäre.
Du sprichst sozusagen, schlägst die gleiche Kerbe, wie ich das auch schon in
anderen Themen ja seit Jahren tue, zu sagen...
Wir überfrachten ja im Zweifelsfall die Fachbereiche damit, wenn immer unterschiedliche
Menschen mit unterschiedlichen Themen kommen,
die aber inhaltlich oft gemeinsam gedacht werden können und auch sollten,
weil es frustet ja nicht nur den Fachbereich oder den Mitarbeiter,
der jetzt irgendwas ausfüllen muss oder der irgendwas umsetzen muss,
wenn er an fünf verschiedenen Stellen nachfragen muss oder vielleicht fünf verschiedene
Anforderungen versuchen muss, übereinzukriegen.
Und es ist ja auch für die Prüfung, also das haben wir ja in jedem Management-System
auch immer drin, den Kontrollaspekt,
auch da ja sehr viel sinniger mit einem gemeinsamen Ansatz zu prüfen und drauf
zu gucken und nicht jedes Gewerk sozusagen für sich selber.
Was mich aber da natürlich sehr interessiert, weil, wie gesagt,
das Thema ist natürlich auch für Datenschutz und Informationssicherheit oder
Qualitätsmanagement und so weiter, in den Unternehmen ja auch immer schon relevant
gewesen, ein integriertes Management-System.
Wie seid ihr da vorgegangen? Also ist das was, was wirklich von ganz oben,
vom obersten Management her auch explizit gewünscht war?
Oder ist es eher etwas, wo man jetzt einfach aufgrund der Themenmenge gesagt
hat, da müssen wir auf einer Arbeitsebene jetzt erstmal versuchen,
überhaupt diesen gemeinsamen Ansatz zu realisieren, damit wir da auch dieses
gemeinsame Management-System hinbekommen?
Vielleicht vorweg, was ich dazu jetzt sagen kann, ist natürlich immer unsere
Unternehmensrealität in der NBW Energie Baden-Württemberg AG.
Ich bin mir da durchaus bewusst, wir sind eine sehr große Organisation,
auch mit vielen Möglichkeiten. Deswegen, das, was ich jetzt an Erfahrung schildere,
wird sich mit Sicherheit nicht eins zu eins in kleineren Organisationen darstellen lassen.
Für uns war es tatsächlich so, und das liegt jetzt auch schon gut anderthalb
Jahre zurück, dass wir aus unserem Datenschutzmanagementsystem heraus uns überlegt haben,
Wie gehen wir denn jetzt mit den neuen Regulierungsakten um?
AI Act ist der eine, Data Act gehört auch dazu. Und in unserem Management-System
haben wir verschiedenste Prozesse implementiert.
Wir orientieren uns da an Wirtschaftsprüfer-Standard PS980, ist vielleicht vielen bekannt.
Man kann sich auch an ISO-Standards orientieren, man kann sich am Standard-Datenschutz-Modell
orientieren. Und meine Meinung ist auch immer, egal welcher Standard es ist,
solange Orientierung bietet, ist das super.
Und auf jeden Fall die Taktung, die bei uns aus dem Management-System kommt,
hat zum Beispiel bei uns im Bauch, dass meine Chefin zweimal im Jahr im Vorstand
ist und zum Datenschutz reportet, direkt an den Vorstand.
Und da die Möglichkeit dann natürlich auch besteht, dass man sagt,
lieber Vorstand, hier kommt ein neues Thema hoch, wenn man so will,
kann man das als Regulierungsrisiko begreifen, was dann natürlich auch wieder
Handlungsbedarf auslöst, sodass man dann gesagt hat vor gut anderthalb Jahren,
hier kommt der AI-Act mit seinen
Anforderungen, hier kommen andere Regulierungsakte mit den Anforderungen.
Wir werden uns darum kümmern und holen uns damit hier einen Auftrag dafür ab,
dass wir aus unserem Datenschutz-Management-System ein Data- und AI-Compliance-Management-System machen.
So weit, so gut. Das ist der Auftakt gewesen.
Sprich, sich den Auftrag aus dem höchsten Management zu holen,
damit man auch mit diesem Auftrag dann durch einen Konzern laufen kann,
und dann wohl wissen, dass dieses Thema, wenn wir es so benennen.
Ein interdisziplinäres Thema ist. Wir können und wir sind Rechtsabteilung,
also deswegen reden wir oft über Compliance an der Stelle.
Wir können überhaupt nicht alle Anforderungen, die aus den Gesetzen kommen,
tatsächlich selbst bedienen, sondern wir brauchen andere Stakeholder im Unternehmen,
die uns dabei unterstützen, die zuarbeiten, bei denen auch Verantwortlichkeiten liegen.
Und das ist so der Startpunkt gewesen, wie wir dann losgegangen sind und dann
einen Prozess angestoßen haben, in dem wir überlegt haben, gut, was brauchen wir denn?
Wer muss denn eigentlich miteinander reden? Wer muss miteinander wirken?
Was brauchen wir denn vielleicht für Organisationselemente? Was brauchen wir
vielleicht für dann auch interdisziplinäre Kommunikationsmaßnahmen?
Wie können wir Reporting, Dokumentation, was es an verschiedenen Stellen schon
gibt, vielleicht gemeinsam angehen?
Das ist keine leichte Aufgabe, kann ich auch sagen aus der Erfahrung.
Wir sehen natürlich gerade auch und das ist einfach die Realität.
Und die Vorteile und Chancen, die insbesondere mit AI in Verbindung gebracht
werden, die werden mit Hochdruck in die Organisation getragen.
Das ist auch nicht verkehrt. Also ich bin da einer aus der Riege,
der sagt, wenn wir nicht in eine intensive Auseinandersetzung mit der Technologie als Chance kommen,
werden wir mit Sicherheit die eine oder andere Chance, die es gibt,
nicht verwirklichen können und uns auch nicht weiterentwickeln können.
Aber da sehen wir schon so einen kleinen Ziel- und Interessenkonflikt hochkommen,
weil mit Sicherheit derjenige, die Geschäftseinheit, die sehr davon getrieben
ist, Effizienzboosternd KI in die Prozesse zu bringen,
mag sich jetzt vielleicht im ersten Moment nicht so gerne mit den Governance-
und Compliance-Themen auseinandersetzen und damit reinkommen.
Für uns aber total wichtig und das ist auch durchaus eine leitende Maxime für
uns, dass wir sagen, wir müssen die Dinge gemeinsam entwickeln.
Wenn wir ein Auseinanderlaufen bewirken lassen.
Dann werden wir irgendwann in Situationen kommen und das kennen wir Datenschützer
glaube ich alle, dass es immer heißt,
Use Case wird umgesetzt, geh doch nochmal bei den Leuten von der Data und AI
Compliance vorbei und lass mal den Haken dran machen, dass das alles so passt.
Da machen wir wieder acht Rollen rückwärts, weil dann wurde doch irgendwas nicht gesehen.
Das kennt jeder Datenschützer. Das brauche ich nicht ausführen.
Was wir aber gerade erleben und das überwindet meiner Meinung nach diesen Ziel-
und Interessenkonflikt beim Thema AI und gerade AI Compliance haben wir eine
total hohe Sensibilisierung schon in der Breite.
Man kommt heute gar nicht mehr drumherum, wenn man Blogs verfolgt,
wenn man Newssticker verfolgt, wenn man Linea 8 TV noch guckt,
dass man irgendwie mit dem AI-Thema in Kontakt kommt.
Und gerade zu Beginn, als die großen Sprachmodelle um die Ecke kamen,
Berichterstattung zu Situationen.
Ich glaube, bei Samsung war es seinerzeit, dass irgendwie auch kritische Informationen
abgeflossen sind wegen der vielleicht nicht ganz durchdachten Nutzung der Systeme.
Die verfangen, die sind bei den Leuten da. Und meiner Meinung nach sind die
Türen, durch die wir heute gehen, in puncto AI-Compliance wesentlich offener,
als wir es jahrelang beim Thema Datenschutz machen mussten.
Insofern, da ist gerade echt etwas am Entstehen, was man gut nutzen kann an der Stelle.
Wunderbar. Dann würde ich vorschlagen, wir versuchen ein bisschen konkreter reinzugehen.
Wo gibt es denn jetzt insbesondere zwischen den DSGVO-Anforderungen und den
KI-Verordnungsanforderungen Schnittmengen?
Wo haben wir aber vielleicht Schnittstellen, die wichtig sind?
Wo siehst du die in erster Linie? Welche inhaltlichen Überschneidungen zwischen
den beiden Verordnungen siehst du?
Die erste Überschneidung, die ich sehe, bei beiden Rechtsakten brauche ich im
Ausgangspunkt immer Transparenz darüber,
wo findet eigentlich Verarbeitung personenbezogener Daten statt oder wo findet
der Einsatz von KI-Systemen statt.
Das heißt, ich brauche wie so eine kleine Button-Up-Betrachtung,
die sich im Datenschutzrecht dann irgendwann, wenn sie durchgeführt ist und
man gut dokumentiert hat und das auch ernst nimmt,
gut im Verarbeitungsverzeichnis abbildet.
Sprich, das Verarbeitungsverzeichnis ist etwas, was wir auch schon seit vielen
Jahren kennen, was in vielen Unternehmen auch etabliert ist.
Und wenn man, so haben wir das schon immer gemacht, sich nicht nur auf die gesetzliche
Anforderung zurückzieht, sondern das Verarbeitungsverzeichnis auch als kleinen
Dreh- und Angelpunkt der Dokumentation begreift.
An der Stelle finden sich da viele Informationen, die hilfreich sind. In unserer Logik,
ist es immer so, dass wir auch die Assets, die zur Verarbeitung personenbezogener
Daten eingesetzt werden,
mitdokumentieren und wenn man den Bogen jetzt spannt zu KI, sind Modelle oder
auch KI-Systeme an der Stelle erstmal nichts anderes, auch als Assets zur Verarbeitung
personenbezogener Daten, wenn sie in diesen Prozessen eingesetzt werden.
Sprich, ich habe hier schon ein Connex, der mir zeigt, naja, die Logiken, die ich aus.
Der Erstellung eines Verarbeitungsverzeichnisses kenne, die Prozesse,
die ich vielleicht im Unternehmen habe, um diese Einträge auch aktuell zu halten,
vielleicht auch das Tooling, was ich dafür verwende,
kann ich in seinen Grundzügen auch für eine Dokumentation nach dem AI-Act verwenden
oder im Sinne AI-Governance verwenden.
Das heißt aber nicht, also das will ich auch klarstellen, es gibt meiner Meinung
nach im AI-Act nicht eine vergleichbare Anforderung wie in der DSGVO zum Führen
eines Verarbeitungsverzeichnisses.
Nichtsdestotrotz die Anforderungen, die aus dem AI-Act kommen und die auch aus
angrenzenden Regulierungen kommen beim Einsatz von KI, kann ich gar nicht umsetzen,
wenn ich keine Transparenz habe. Das war das Erste.
Das Zweite, bei dem es für mich total greifbar ist, wo die Gemeinsamkeiten auch
liegen, die man dann auch im Management-System mit Leben füllen kann,
ist das Thema Befähigung, Sensibilisierung, Schulung.
Ich verwende gerne alle drei Begriffe, weil von allem eigentlich was dabei sein
sollte, wenn man mit Maßnahmen und Kommunikationsmaßnahmen im Konzern wirkt.
Im Datenschutz ist das für uns ja gar nichts Neues.
Also, dass man sicherstellt, dass alle im Unternehmen so ein kleines Grundrauschen
bekommen, was den Datenschutz angeht,
war bei uns in der EnBW schon lange üblich, dass wir uns überlegen,
wo werden denn besonders viele personenbezogene Daten verarbeitet,
wo haben wir vielleicht auch kritischere Verarbeitung, dass wir da gesondert
reingehen und Maßnahmen ergreifen, sei es durch E-Learnings oder auch Trainingsmaßnahmen.
War schon alles da und dann kam der AI-Act mit seinem Artikel 4 um die Ecke,
der ja am Ende sagt, naja, ihr habt so eine AI-Literacy-Anforderung.
AI-Literacy, da steht viel drin in diesem Artikel.
Wenn man es runterbricht, würde ich immer sagen, das Unternehmen oder derjenige,
der halt KI einsetzt in seinem Unternehmen, ist dazu angehalten,
die Belegschaft und die Einsetzenden zu befähigen, mit dem Tool umzugehen,
mit den Werkzeugen umzugehen. Ganz beruflich.
Klare, für uns klare, muss ich sagen, Dinge zu erläutern, nämlich,
dass ein Output aus dem KI-System nicht die Quelle der Wahrheit ist.
Also, dass das halt Wahrscheinlichkeiten sind, die wiedergegeben werden im Output.
Aber sowas leicht verdaulich in die Belegschaft zu bringen, ist meiner Meinung
nach der erste Schritt, um sich Artikel 4 zu nähern.
Wenn ich dann schon ein System habe, mit dem ich Datenschutz-Awareness schaffe,
kann ich da wunderbar auch neue Inhalte reinbringen und habe dann schon eine
Logik, eine Taktung, wie ich durch so ein Unternehmen laufe,
sprich Schulungsplanung, die es bei uns gibt, die immer auf einen Zeitraum von
drei Jahren angelegt sind,
werden nun halt mit KI-Inhalten gespickt, damit wir da dann auch an den Stellen vorbeikommen.
Das heißt aber, ihr hündelt das sozusagen prozessual und über die Tools,
die ihr zur Verfügung stellt,
ist aber jetzt nicht so, dass, also jetzt eine ganz praktische Frage,
wie man sich das vorstellen muss,
ist jetzt nicht so, dass es quasi eine Schulung gibt, in der ihr beide Themen
abarbeitet, sondern das könnt ihr dann schon sehr viel gezielter auch ausrichten
nach dem, wo eventuell welcher Bedarf besteht.
Wir folgen da einem dreistufigen Ansatz, muss man sagen. Also wir haben für
uns gesagt, das Thema...
AI braucht genauso ein Grundrauschen, wie es das Thema Datenschutz braucht.
Also wirklich ganz klassisch. Ich habe ein E-Learning zum Datenschutz,
wo einem die Grundprinzipien erklärt werden, so ein bisschen Do's and Don'ts,
nicht überbordend, aber für alle, damit was da ist.
Da waren wir relativ schnell dabei, haben gesagt, sowas brauchen wir auch in
Sachen AI. Da haben wir bewusst entschieden, das nicht zu vermischen.
Da haben wir gesagt, wir lassen es beim Grundrauschen Datenschutz und wir lassen
es auch beim Grundrauschen AI, weil man schon sehen muss.
Nicht jede Verarbeitung personenbezogener Daten wird gerade und auch zukünftig
immer mit AI-Bezug durchgeführt.
Und auch nicht jede Verwendung von KI, auch wie sie als KI-System im AI-Eck
definiert ist, wird perspektivisch immer die Verarbeitung personenbezogener Daten im Bauch haben.
Also da ist irgendwie so ein logischer Platz für beides, dass man es da noch
nicht miteinander vermischt.
Und dann haben wir gesagt, naja, der nächste Schritt ist dort,
wo wir wissen, dass der Einsatz von KI-Systemen bei uns im Konzern oft vorkommt
und wo dann auch viele personenbezogene Daten verarbeitet werden.
Klassischer Bereich ist der Vertriebsbereich.
Kann man sich, glaube ich, gut vorstellen. Da bringen wir kombinierte Inhalte
rein, um es auch greifbar zu machen.
Es ist auch wesentlich einfacher, Datenschutz-Sensibilität herzustellen,
wenn wir wirklich im realen Beispiel unsere Schulungsmaßnahmen orientieren.
Und da ist so ein Einsatz von einer KI-Lösung echt dankbar, weil das kann man
sogar manchmal live dann zeigen, wie sowas geht.
Also wenn ich zum Beispiel irgendwelche Kundenstammdaten habe,
die ich vielleicht ein bisschen analysieren will und nutze dafür KI-Systeme,
dann ist es eingängiger, als wenn ich nur abstrakter davon anfange zu reden.
Das ist der zweite Layer und der dritte Layer, den wir haben,
haben gesagt, naja, der AI-Act macht schon nochmal was Neues auf.
Also da, wo wir vielleicht auch Anbieter oder auch eigene Entwickler von KI-Systemen sind,
müssen wir die Leute zumindest darauf aufmerksam machen, dass besondere Dokumentationspflichten
in Zukunft entstehen werden oder auch Data Governance Pflichten und, und, und.
Das ist dann aber wirklich schon eine Spezialgruppe an Leuten.
Ja, also finde ich einen super Ansatz, vor allen Dingen, wenn man auch schaut
und wie du es so ehrschichtigerweise sagst, es gibt ja Schnittmengen,
keine Frage, in vielen Verarbeitungstätigkeiten,
aber genauso gibt es natürlich Verarbeitungstätigkeiten, die nur das eine oder
nur das andere beinhalten.
Von daher absolut nachvollziehbar. Okay, wir waren gekommen,
deswegen ein kleiner Exkurs.
Wir waren gekommen insgesamt bei den Schnittmengenthemen zwischen Datenschutz und AI.
Du hast jetzt schon die Transparenz und Dokumentationspflichten angesprochen.
Dann haben wir das Thema der Schulung, Sensibilisierung, Awareness.
Was siehst du darüber hinaus noch?
Sehr greifbar ist für mich auch die Sachverhalte, in denen wir im Datenschutz
beispielsweise Datenschutzfolgenabschätzung durchführen.
Da haben wir sogar dann so ein inhaltliches Matching.
Also wenn man sich die Muss-Listen auch anguckt, der Aufsichtsbehörden,
eigentlich immer dann, wenn ich irgendwie neue Technologien einsetze.
Und ich glaube, bei KI wird man niemanden finden, der einem sagt,
kann man nicht darunter fassen, muss man, finde ich, zwingend zu kommen.
Und es werden auch oftmals große Datenmengen
sein, muss ich eben Datenschutzfolgenabschätzungen durchführen.
Was mache ich im Rahmen einer Datenschutzfolgenabschätzung? Wenn man mal sehr
einfach drauf guckt, Und dann führe ich erstmal so eine Vorabprüfung durch,
gucke, ob ich eine DSFA brauche.
Wenn ich feststelle, ich brauche eine DSFA, habe ich ja schon festgestellt,
oh, ich habe hier eine Verarbeitung, die vielleicht besondere Risiken in sich
trägt, die vielleicht erforderlich macht, dass ich besondere technische,
organisatorische Maßnahmen einziehe.
Und das ist ein Blick, der ja im besten Fall so ausgestaltet ist,
dass ich sage, ich erkenne Risiken, ich ergreife Maßnahmen und gucke damit ein
bisschen ja auch in die Zukunft.
Also ich muss durchaus irgendwann auch wieder drauf gucken, sind meine Maßnahmen
wirksam. Und diese Logik, die dahinter steckt, ist für mich total relevant,
wenn es um den Einsatz von KI geht.
Gar nicht mal zwingend aus dem AI-Eck kommt, sondern generell aus rechtlichen
Erwägungen beim Einsatz von KI.
Weil wenn ich ein KI-System einsetze und das vielleicht, ich sage jetzt mal
sehr plump, auf die Außenwelt loslasse, einfachste Beispiel ist der Chatbot
im Kundenservice an der Außenkante, dann muss ich mir vorher Gedanken machen.
Wie steuere ich das? Wie kann ich das steuern? Wie kann ich steuern,
dass der Chatbot nicht eine Antwort gibt, die mir als Unternehmen vielleicht
schadet, die ich als Unternehmen nicht haben will,
die meinen Kunden, weiß ich nicht, stellen wir uns vor, beleidigt auf einmal
oder dergleichen oder mal rechtlich abstrakt bezeichnet, einen Haftungsfall auslöst?
Muss ich mir zu einem Zeitpunkt X Gedanken machen,
welche Risiken gibt es, welche Maßnahmen muss ich ergreifen und dann antizipieren,
was kann in der Zukunft denn da passieren und dann zu einem späteren Zeitpunkt
wieder drauf gucken auch und bewerten, reicht das, brauche ich vielleicht mehr.
Und wenn ich gerade bei dem Chatbot-Beispiel bleibe, glaube ich,
kann man auch mit Sicherheit zu der Erkenntnis gelangen, eine DSFA wäre da auch hilfreich.
Ich will jetzt nicht sagen, sie ist zwingend, aber ich würde aus datenschutzrechtlicher
Sicht durchaus sagen, die ist hilfreich, wenn ich sie da mal durchführe.
Also wenn ich doch eh schon gerade bei der Risikobetrachtung bin,
kann ich doch diese KI-spezifischen Risiken, die es nun mal gibt, auch mitbetrachten.
Hat den Vorteil, ich kriege sie dann auch in eine Dokumentation rein,
hat den Vorteil, wenn ich sie mir zum späteren Zeitpunkt nochmal angucken will,
um zu prüfen, klappt das alles, wie ich mir das vorgestellt habe,
ist es ein Prozess und sind es nicht zwei Prozesse.
Die Herausforderung, die ich mit Sicherheit habe, ist, KI-spezifische Risiken
über die rechtlichen Anforderungen hinaus brauchen in ihrer Bewertung mit Sicherheit mehr Kompetenz,
als sie ein Jurist mitbringt.
Also ich sage das jetzt mal so, weil ich bin einer und nehme mir dann einfach
mal aus, dass ich das auch sagen darf.
Sprich, an der Stelle sehen wir auch wieder gut, wir brauchen andere,
weitere Kompetenzen auch dann bei so einer Betrachtung, die...
Je nachdem, wie das Unternehmen in der Vergangenheit an so einer Stelle getickt
hat, heute schon miteinander wirken oder noch nicht so weit wirken oder in einem
kleinen Unternehmen vielleicht gar nicht so vorhanden sind.
Das ist auch die Realität. Aber an der Stelle, finde ich, wird sehr deutlich,
dass es da dieses Zusammenwirken geben kann.
Und wenn man das hinbekommt, dann auch echt Qualität entsteht an der Stelle.
Die Schnittmengen sind sozusagen die erste Analyse, die man ja wahrscheinlich
macht, wenn man jetzt über integriertes Management-System für Themen nachdenkt und schaut, okay,
wo gibt es ähnlich gelagerte Analyse.
Du hast es ja schon ausgeführt, Dokumentationspflichten und so weiter.
Ich gucke mir das thematisch an.
Jetzt wäre aus meiner Sicht ja der nächste Schritt zu gucken,
okay, inhaltlich gibt es natürlich dann auch ähnlich gelagerte vielleicht Anforderungen,
wo gibt es gegebenenfalls aber auch tatsächlich Dinge, die sich methodisch sogar
vielleicht miteinander kombinieren lassen.
Also ich denke, das Thema Datumsfolgenabschätzung, was du ja gerade erläutert hast.
Wir haben auf der anderen Seite jetzt im AI-Act zum Beispiel auch die Notwendigkeit,
die Risiken zu bewerten nach den Kriterien aus dem AI-Act, was jetzt die Risikobehaftung
als solches des Systems angeht.
Gibt es da auch methodisch entsprechend Möglichkeiten,
sowas zu kombinieren oder habt ihr da Lösungen gefunden, wo ihr sagt,
da haben wir auf jeden Fall auch methodisch gute Ansätze gefunden,
um halt nicht nur die beiden Themen sequenziell sozusagen direkt miteinander
abzuprüfen, sondern wirklich auch in einer Methode, in einem Auffass sozusagen
beide Themen miteinander zu verheiraten?
Ich würde Methodik tatsächlich an der Stelle sehr weit verstehen und würde tatsächlich übergucken,
in welchen Prozessen unseres Management-Systems habe ich Methodiken schon in
place, auch vielleicht in Form von operativen Prozessen, die ich nutzen kann.
Mit Sicherheit hängt es davon ab, wie habe ich es in der Vergangenheit im Datenschutz gemacht.
Wenn ich beispielsweise an das Thema Datenschutzfolgenabschätzung wieder denke,
ich kenne es mit Sicherheit auch einige andere Datenschützerinnen und Datenschützer,
dass ich so Skalen habe, in denen ich irgendwann mal eine Bepunktung gebe,
wie hoch mein Risiko wirklich ist an der Stelle.
Also klassisch irgendwie Wahrscheinlichkeit und Auswirkungen,
wenn es zu einem Schadensereignis kommt oder zu einer Verletzung personenbezogener Daten kommt.
Das ist jetzt mal eine sehr einfache Methodik an der Stelle,
die da deckungsgleich ist.
Wenn ich Methodik weit verstehe, denke ich tatsächlich auch an Aspekte wie,
wie führe ich beispielsweise ein Reporting durch?
Wie komme ich zu Erkenntnissen? Und da haben wir schon längere Zeit toolbasiert
Methodiken entwickelt, dass wir mit Fragebögen arbeiten,
um auch unsere dezentralen Rollen damit auszustatten, um bei ihren Stakeholdern
oder in ihren Wirkbereichen die Informationen zu erheben.
Das fängt bei Risikogesprächen an,
das geht aber auch weiter zu neuen Erkenntnissen, die es zu erheben gilt.
Und diese Methodik, dass ich mit Fragebögen, durch die ich ja dann Antworten
erhalte und Erkenntnisse erhalte, die dann wiederum an einem zentralen Knotenpunkt
zusammenkommen, das ist eine Methodik, die sich auch jetzt in puncto AI bewährt einfach.
Sprich, eigentlich, um es bildlich auszudrücken, da springt man ein bisschen
aufs gesattelte Pferd an der Stelle, was total dankbar ist.
Und das sind, glaube ich, Beispiele, die es deutlich machen,
dass je nachdem, wie ein Unternehmen heute Prozesse ausgekleidet hat und implementiert
hat, die wiederum die Methodik im Bauch haben,
man die dann wiederverwenden kann.
Hat mit Sicherheit aber auch was mit dem Reifegrad an der Stelle zu tun,
der aus verschiedensten Gründen und auch aus nachvollziehbaren Gründen einfach divergiert.
Du hast schon recht, Methoden ist natürlich ein Thema, das kann man sehr weit
auch verstehen und würde ich auch immer tun, genauso wie du es auch beschrieben hast.
Ich glaube darüber hinaus kann man noch die prozessuale Ebene natürlich erschauen,
die hast du aber gerade eben auch schon angesprochen.
Ich glaube, die ist auch wichtig, wenn man über Managementsysteme spricht,
also immer zu gucken, was ist das?
Wo habe ich die thematischen Überschneidungen, wo habe ich prozessuale Überschneidungen?
Hast du ja quasi implizit schon mit ausgeführt.
Und dann die Methoden, also das, wie mache ich bestimmte Dinge,
wie nehme ich Bewertungen vor, wie erstelle ich Bewertungen für Reportings,
wie strukturiere ich sowas.
Ich glaube, das sind Dinge, die helfen, ich habe es eingangs schon gesagt,
die helfen enorm, die Akzeptanz zu erhöhen, sowohl bei allen Mitarbeitenden im Unternehmen,
Die damit zu tun haben.
Als auch auf der anderen Seite natürlich beim Management. Und auch das sollte
man nicht unterschätzen.
Egal, ob es jetzt ein großes Unternehmen
ist wie bei euch oder ob es ein mittelständisches Unternehmen ist.
Ein Geschäftsführer vom KMU-Bereich, der wird auch sehr froh sein,
wenn er eine einheitliche Struktur hat, in der er sich halt wiederfindet und
mit der er halt vergleichbare Informationen dann auch aus den verschiedenen
Themenbereichen bekommt. Absolut.
Und ich finde noch ein ganz wichtiger Aspekt ist, eine gute Methodik ist wiederverwertbar.
Und wiederverwertbar heißt auch, der Aufwand ist geringer.
Ich will jetzt nicht sagen geringer, aber geringer, wenn ich sie wieder verwende.
Und auch dieser Mechanismus ist eine tolle Antwort darauf, wenn man sagt,
wir wollen diese Flut an Regulierung in den Griff kriegen und wollen wirklich
schaffen, dass es hinten raus schlanker wird.
Weil wenn ich eine Methodik habe, die etabliert ist und ich sie wiederverwende,
dann ist das Durchführen oder das Verwenden oder das Anwenden der Methodik in
dem Prozess selbst mit weniger Aufwand verbunden, als wenn ich mir wieder was Neues ausdenke.
Absolut und deswegen kann ich auch immer wirklich nur an alle appellierenden Unternehmer, an alle.
Querschnittsfunktionen an alle, die solche Stabsfunktionen und Beauftragtenrollen in,
genau das immer wieder zu tun, immer wieder zu gucken, wo kann ich Dinge wiederverwenden,
wo kann ich mich aber auch selber vielleicht öffnen für die Methode eines anderen Bereiches,
weil nur dann schafft man halt diese Synergien, aber das ist halt so viel wert,
deswegen wirklich mein Appell an alle,
öffnet euch da, macht Werbung dafür, aber auch das andere natürlich,
ihre Methoden öffnen und versucht gemeinsam mein Nenner zu finden.
Ich glaube, dass unterm Strich das Unternehmen davon profitiert und das heißt,
dass alle im Unternehmen natürlich auch davon profitieren.
Lass uns noch vielleicht auf einen anderen Bereich mal schauen.
Das sind Rollen und Verantwortlichkeiten. Wir haben ja, du hast ja schon kurz deine Rolle genannt.
Du bist jetzt also nicht explizit nur für Datenschutz oder nur für AI oder nur
für Data Act zuständig, also so eine Querschnittsrolle.
Also ist das was, was wir in Zukunft in allen Unternehmen brauchen,
so eine übergeordnete Rolle eines Chief Data und AI Compliance Officers?
Ist das was, wo man sagt, das ist vielleicht auch nur in bestimmten Unternehmensgrößen
notwendig? Wie blickst du da drauf?
Im zweiten Teil deiner Frage hast du für mich was sehr Relevantes angesprochen.
Das kommt auf die Unternehmensrealität an, tatsächlich.
Ich glaube nicht, dass es die eine Lösung, die eine Rolle gibt und ich glaube,
man sollte auch nicht meinen, dass wenn man dann eine solche Rolle irgendwo
hingehängt hat oder aufgehängt hat oder wie auch immer.
Dass man dann seine Hausaufgaben gemacht hat.
Wenn man die Chance hat, so eine interdisziplinäre Rolle zu implementieren und
das heißt ja nicht, dass ich da irgendwie eine One-Man-Show bin,
ich bin Teil eines Teams.
Also alle, die auch in der Vergangenheit Datenschutz beraten haben,
die unser Datenschutzmanagement-System am Leben halten,
wir sind ein Team und wir werden gemeinsam uns der Aufgabe stellen,
aus diesem Datenschutzmanagement-System dieses Data-and-AI-Compliance-Management-System zu machen.
Dann ist das eigentlich für mich mehr die Antwort auf die Frage,
die du gerade gestellt hast.
Sprich, ich muss gucken, was habe ich denn heute schon an Kompetenz in meinem Unternehmen?
Habe ich die Chance aus vorhandener Kompetenz vielleicht eine Antwort auf diesen
fragmentierteren Rechtsrahmen zu finden, der ja in den Anwendungsfällen oftmals zusammenkommt?
Und das ist am Ende, wenn man so will, durchaus einfach ein Effizienzgedanke, der dahinter steckt.
Es wird mit Sicherheit für einen umsetzenden Fachbereich einfacher sein,
wenn er da irgendwo so eine Leuchtturmrolle hat und weiß, ach guck mal,
der hilft mir jetzt, wenn es darum geht, ein Data und AI Use Case compliant
auf die Straße zu bringen. Und wenn das gelingt, dann ist ja schon viel gewonnen.
Also wenn derjenige nicht erstmal anfängt, oh ich muss da noch hinlaufen und
ich muss da hinlaufen, ich muss da hinlaufen.
Entweder kostet das verdammt viel Zeit und dann verliere ich an Tempo in der Unternehmung.
Oder die Kolleginnen und Kollegen aus dem Business machen das einmal und sind
danach so genervt, dass vielleicht beim nächsten Mal der Ansporn oder die intrinsische
Motivation, das alles so sauber zu machen, nicht mehr ganz so hoch ist.
Da hilft einem auch keine Richtlinie und kein Freigabeprozess.
Das sind dynamische Unternehmen, die gibt es dann nun mal. Insofern soll dadurch
natürlich auch viel Orientierung geschafft werden.
Wenn ich durchaus die komfortable Situation habe und Kompetenzen bei mir im
Unternehmen habe, so eine Rolle hinzustellen und dieses Angebot auch für die
Organisation zu machen, dann ist es super.
Wenn ich vielleicht auch aufgrund der Größe oder auch aufgrund vorhandener Kompetenzen
diese Möglichkeit nicht habe, dann ist das kein Beinbruch.
Also das Gesetz schreibt uns an keiner Stelle vor, dass wir eine solche Rolle brauchen.
Das ist anders als in der Datenschutzgrundverordnung. Da haben wir den Datenschutzbeauftragten.
Das ist eine formale Rolle.
Die kann ich intern auskleiden, die kann ich extern auskleiden.
Da sind auch die Aufgaben klar strukturiert, absolut fein.
Also wenn ich in die DSGVO Artikel 37 fortfolgende gucke, dann werde ich relativ
schnell verstehen, was macht so ein Datenschutzbeauftragter eigentlich oder was sollte er machen.
Sowas gibt es für einen AI-Compliance-Beauftragten nicht.
Steht nicht im Gesetz, ist auch nicht gefordert. Wenn man sich ein bisschen
Veröffentlichung anguckt, kann man das auch mittlerweile nachlesen.
Nichtsdestotrotz, organisationsmäßig betrachtet, sollte ich gucken, dass es mir gelingt,
diesen Mechanismus des Gemeinsamen herzustellen. Und ich bin da sehr von überzeugt,
dafür muss ich irgendjemandem das Heft in die Hand geben, weil sonst passiert das nicht.
Und mit Sicherheit ist es dann auch so, derjenige, der dieses Heft in der Hand
hat, muss das dann auch fördern und vorantreiben.
Wenn ich es einfach nur reinrufe in meine Organisation, egal welcher Größe,
glaube ich nicht, dass man das gut strukturiert zusammenbringt.
Ich höre so aus, du bist schon grundsätzlich ein Freund davon, es zu bündeln.
Aber ich höre auch raus, es bringt halt nichts, wenn ich die Kapazitäten dafür
nicht habe, wenn ich keinen habe, der da auch ernsthaft sich drum kümmern kann.
Also das ist nicht genau das gleiche Thema, wie wir das mit allen Beauftragtenfunktionen haben.
Wenn ich als Unternehmen das Thema ernst nehmen möchte, dann muss ich es halt
auch wirklich mit personellen Ressourcen ausstatten.
Und ob das jetzt der Datenschutzbeauftragte in Personalunion ist oder ob das
halt in eine Abteilung gebündelt wird oder vielleicht auch nebeneinander,
wie am Ende es auch ausgestaltet wird.
Aber ich glaube, da ist der Dreh- und Angelpunkt. Es muss am Ende die Kapazitäten dafür geben.
Mit dem, was wir, glaube ich, gut herausgearbeitet haben, ich kann halt Synergien
schaffen und dann kann ich auch die Kapazitäten natürlich entsprechend dimensionieren,
was immer für eine Bündigung meines Erachtens dann auch spricht.
Ich glaube, was aber wichtig ist an der Stelle, man sollte gucken,
dass man den, der die Chancen der Technologie vorantreiben soll im Unternehmen,
nicht mit dem vermischt, der die Risiken im Blick behalten soll.
Weil da, glaube ich schon, kann es durchaus relativ fix zu Interessenkonflikten kommen.
Ähnliche Themen kennen wir auch mit Datenschutzbeauftragten,
die Doppelfunktionen haben, die dann vielleicht in Interessenkonflikte geraten können.
Was ich aber im Blick behalten muss dabei ist, dass auch derjenige,
der sich um Risiken kümmert,
durchaus das Mindset mitbringen sollte, dass er diese Chancenweg mit begleiten
will, also lösungsorientiert zu sein.
Wir haben mit der KI-Regulierung eine Situation, wie wir sie von der DSGVO kennen.
Da wurde ein Gesetz auf ein weißes Blatt Papier geschrieben,
von dem wir heute noch gar nicht genau wissen, was bedeutet das, wie wird das ausgelegt.
Heißt, auch derjenige, der dann gerade die regulatorischen Risiken im Blick behalten soll.
Halte ich für absolut nachvollziehbar, der tut sich durchaus schwer,
da klare Antworten zu finden.
Und dann wäre es total einfach immer zu sagen, geht halt nicht,
funktioniert nicht, lassen wir lieber Risiko zu groß. Das darf nicht passieren.
Dann wird man, glaube ich, relativ schnell sich mit so einer Aufgabe auch abarbeiten
und kann auch, glaube ich, nicht zielführend sein, sondern man muss wirklich
nach vorne gewandt sein.
Ich glaube, das ist aber vor allem ein Learning, was viele Leute schon gemacht
haben, die Datenschutz gemacht haben.
Also gerade in den letzten sieben Jahren, seit es die DSGVO gibt,
glaube ich, hat jeder Datenschützer und jede Datenschützerin da echt viel Erfahrung
gemacht und gelernt und diese Learnings auch in die neuen Materien zu überführen,
ist für mich ein Schlüssel in diesem Spiel tatsächlich.
Deswegen glaube ich wirklich daran, die Unternehmen, die sich im Punkto Datenschutz
angemessenes Gerüst gegeben haben, um zu agieren,
werden aus diesem angemessenen Gerüst und der Erfahrung heraus auch Lösungen
finden, mit den neuen Regulierungsanforderungen umzugehen.
Wird einen Aspekt, den du gerade eben nochmal davor angesprochen hast,
aufgreifen, nämlich den AI-Officer, wie er in einigen Unternehmen ja benannt wurde.
Du hast es gesagt, es ist keine Verpflichtung, so eine Rolle zu etablieren,
nichtdestotrotz sinnvoll.
Und das spricht ja auch dafür, dass es etliche Unternehmen gibt,
von denen ich zumindest weiß, dass die genau diese Rolle auch definiert haben,
adäquat, äquivalent zum DSB oder wie gesagt auch in Personalunion.
Spricht für mich ja ein bisschen auch für die Rolle des DSBs.
Wir erleben ja aktuell auch wieder die politischen Diskussionen darüber,
ob wir die Benennungsgrenze erhöhen, aufheben, was auch immer.
Wie ist so deine Wahrnehmung? Ist das in einem Großteil auch von vielen Unternehmen
so, dass dort freiwillig AI Officers benannt werden oder sind es eher Einzelfälle?
Meine Wahrnehmung ist da tatsächlich, Unternehmen ab einer gewissen Größe gehen
überwiegend dazu, über diese Rollen einzuziehen oder zu benennen.
Also es ist ja genau wie du sagst, es sind nicht immer neue Rollen,
sondern sie werden oftmals auch dann an DSB-Rollen angedockt.
Ab einer gewissen Größe würde ich fast schon sagen, da wickelt sich gerade irgendwie
so ein Standard, ohne dass der Gesetzgeber gesagt hat, dass es das braucht.
Auch deswegen auch das Thema, was du gerade angesprochen hast,
die Diskussion darum, ob man die Schwellenwerte, die zur Bestellpflicht für
ein DSB führen, kappen sollte und ob das Erleichterung bringt.
Da ist meine Meinung ziemlich klar, das wird keine Erleichterung bringen.
Das wird nicht dazu führen, dass man weniger Aufwand hat. Das wird meiner Meinung
nach eher dazu führen, dass Unternehmen dem Trugschluss dann unterfallen,
dass sie meinen, jetzt gilt für sie die datenschutzrechtliche Anforderungen nicht mehr.
Und wenn sie dann merken, sie gelten doch für sie, haben sie keinen mehr, den sie fragen können.
Sprich aus der Perspektive auch eines Geschäftsführers oder mein Rat an Geschäftsführung
wäre eigentlich immer, lasst euch von dieser Diskussion da nicht irgendwie verwirren,
sondern das ist schon gut, dass es da Menschen mit Kompetenz gibt an der Stelle.
Und ich bin fest davon überzeugt, die Unternehmen und auch die verantwortlichen in Unternehmen,
die positive Erfahrungen mit Datenschutzorganisationen gemacht haben,
die werden sich von der Diskussion auch gar nicht so, es wird die nicht interessieren,
weil die genau wissen, was sie an ihren Leuten haben.
Und das gekoppelt mit dem Blick in die Zukunft sagt, glaube ich,
ziemlich viel, welchen Stellenwert auch diese Rollen in Unternehmen haben sollten.
Dann kommt für mich tatsächlich das, was du vorhin auch gesagt hast, wieder zum Tragen.
Die Frage ist immer, wem hänge ich das um, egal ob jetzt AI oder Datenschutz.
Wenn ich da natürlich die Leute hinsetze, die sowieso gegen alles sind und die
vielleicht auch inhaltlich, fachlich sich gar nicht weiterentwickeln wollen,
grundsätzlich Bedenkenträger sind, dann habe ich als Geschäftsführer vielleicht
auch eher die Tendenz zu sagen, ich bin froh, wenn ich die Rolle nicht mehr brauche.
Wenn ich aber Leute habe und da sehe ich dann auch wieder die Verantwortung
bei den Führungskräften, bei Management,
die Leute auch gut auszuwählen, zu sagen, wer ist denn da auch bereit für das
Unternehmen zu denken und Ideen auch mitzuentwickeln und auch im Zweifelsfall
dann Lösungen zu erarbeiten.
Ich denke, da trennt sich die Spreu vom Weizen und nicht bei der grundsätzlichen
Benennungspflicht oder Grenze. Max, ganz ganz herzlichen Dank für deine Insights
und deine Einschätzungen.
Ich glaube, wir haben schon mal ganz gut herausgearbeitet, dass es hier enorm
viel Sinn ergibt, nach Synergien zu schauen, für Management-Systeme natürlich
grundsätzlich für verschiedene Themen,
aber auch ganz konkret natürlich in dem Fall Datenschutz und KI-Systeme.
Da haben wir doch.
Glaube ich, einige Schnittmengen und die Vorteile, die hier sich ergeben.
Also ich schaffe letztendlich eine einheitliche Sicht für Geschäftsführungen,
für den Vorstand, für die Mitarbeitenden aber auch.
Ich schaffe einheitliche Anlaufstellen, einheitliche Prozesse.
Also ich glaube, da liegen die Vorteile auf der Hand, das ganzheitlich zu denken und auch anzugehen.
Und das, finde ich, haben wir heute ganz gut, glaube ich, zeigen können.
Herzlichen Dank nochmal an dich an dieser Stelle.
Vielen Dank. Danke, dass wir den Raum und die Zeit hatten, uns darüber zu unterhalten.
Und habe ich die Möglichkeit, noch einen kleinen Tipp dazulassen?
Unbedingt. Auch vielleicht für Kolleginnen und Kollegen,
Die uns zuhören, die jetzt einsteigen in das Thema und sich damit beschäftigen wollen?
Unbedingt, bitte.
Was mich positiv in den letzten Monaten überrascht hat, war der Auftritt der
BNZ A als designierte Marktaufsichts- und Überwachungsbehörde.
Die BNZ A hat ein Service Desk ins Leben gerufen auf ihrer Website.
Den Link können wir bestimmt irgendwie hier runterpacken am Ende,
der wirklich hilfreich ist. der wirklich hilfreich ist, wenn ich den Einstieg
ins Thema finden will. Ich kriege gute Erklärungen.
Was ist überhaupt ein KI-System? Ich habe ein Click-Through,
also so ein Click-Body, mit dem ich abklappern kann.
Ist mein KI-System im Anwendungsbereich oder nicht? Bin ich im High-Risk-Bereich oder nicht?
Das ist ein total super Self-Service an der Stelle, muss ich wirklich sagen.
Also Aufsichtsbehörden, wir Datenschützer,
haben da ja immer verschiedene Kontaktpunkte und Meinungen zu.
Also ich finde das, was die Bnetz Ader gerade macht, das ist echt gut an der
Stelle und ist ein hervorragender Einstieg für die Leute, gerade in kleinen
Unternehmen, die vielleicht nicht so viel Zeit, nicht so viel Ressource haben,
sich mit dem Thema zu beschäftigen und dann wirklich auch Antworten zu finden.
Es klingt richtig gut und nehmen wir auf jeden Fall mit in die Shownotes,
weil ich kann mir vorstellen, dass das auch für...
Unternehmen insgesamt natürlich interessant ist.
Wenn sie jetzt vielleicht sich erstmalig mit einem KI-System beschäftigen und
da überhaupt schon mal eine erste Einschätzung brauchen, inwieweit sie da vielleicht
auch Unterstützung dann brauchen.
Von daher, super Tipp, vielen, vielen Dank und ja, wenn ihr,
liebe Zuhörer, auch Tipps habt für andere, dann schreibt es auch gerne in die
Kommentare. Ihr findet in den Shownotes auch den Link zur Folgenseite.
Lasst gerne einen Kommentar da. Auch wenn ihr noch Fragen habt,
wo ihr sagt, da sollte der Max vielleicht auch nochmal seine Erfahrungen zu
widerspiegeln, dann würde ich alles in Bewegung setzen, um den Max hier nochmal
ans Mikrofon und vor die Kamera zu kriegen.
In diesem Sinne, ganz herzlichen Dank. Bleibt uns gewogen und auf bald.
Tschüss.