Für unsere Inhouse-Interviewserie sprachen wir mit Mag. Michael Staudacher, LL.M., von der Kwidza Holding. Bevor er 2013 zum international tätigen Familienunternehmen mit 1.800 Mitarbeiter:innen wechselte, war er als Rechtsanwalt in großen Wiener Wirtschaftskanzleien tätig. Als Chief Compliance Officer baut er ein gruppenweites, einheitliches Compliance Management System bei Kwidza auf.
Es heißt häufig, Legal und Compliance müssten zum Strategic Partner des Business werden. Nur, was sind denn Legal und Compliance anderes als Strategic Partner?
Zugegeben, Legal und Compliance sind keine reinen Abnick-Stationen, die alles durchwinken. Das ist nicht ihre Aufgabe. Wenn die Forderung kommt, „Legal muss mehr Strategic Partner werden“, schwingt da manchmal ein wenig die Erwartung mit: Bitte nicht so kompliziert sein, einfach freigeben ohne lange Prüfung. Das kann's nicht sein.
Fest steht: Legal und Compliance können nur dann Strategic Partner sein, wenn sie auch eingebunden sind. Gerade bei KI ist das kritisch. KI ist kein reines IT-Thema und kein reines Business-Thema. Es ist interdisziplinär. Und die Information, welche KI-Systeme das Business gerade besorgt oder welche Tools IT gerade implementiert, ist keine reine Holschuld von Legal und Compliance. Das ist auch eine Bringschuld der anderen Abteilungen. In größeren Unternehmen müssen sich einfach die einzelnen Abteilungen gegenseitig regelmäßig am Laufenden halten.
KI ist keine rein technische Frage. Für mich spielt der ethische Aspekt, neben dem rechtlichen eine große Rolle.
Um den Informationsfluss zu gewährleisten, haben wir bei Kwizda daher regelmäßige Meetings institutionalisiert. In unserer KI-SOP haben wir klar festgelegt: Bei jedem KI-Projekt müssen Business, IT, CISO, CCO und Legal von Anfang an involviert sein. Nicht als nachträgliche Prüfinstanz, sondern von Beginn an. Weil KI rechtlich extrem komplex ist und wahnsinnig viele Compliance-Fragen aufwirft. Das kann nicht nur IT alleine machen oder das Business alleine.
Compliance um der Compliance willen bringt niemanden vorwärts. Aber vorausschauende Compliance – die bringt dich nicht nur sicher, sondern tatsächlich sogar schneller ans Ziel. Das klingt vielleicht auf den ersten Blick paradox, ist es aber nicht. Wenn du von Anfang an die rechtlichen und regulatorischen Anforderungen kennst und in die Projektplanung integrierst, sparst du dir teure Nachbesserungen, Verzögerungen, im schlimmsten Fall das Scheitern des gesamten Projekts. Compliance als Leitplanke ermöglicht es, dass das Business zügig vorankommt – ohne in den Abgrund zu fahren.
Meine persönliche Erfahrung ist tatsächlich, dass alle Projekte, wo Compliance und Legal bereits von Anfang an eingebunden waren, schneller zum Abschuss gebracht werden konnten. Auch wenn es anfangs meist mehr und intensivere Diskussionen gab.
Dessen ungeachtet verstehe ich heute besser, warum es manchmal wichtiger ist, eine pragmatische 80%-Lösung schnell umzusetzen, als monatelang auf die rechtlich perfekte 100%-Lösung zu warten. Und ich verstehe, warum manche rechtlich simplen Fragen trotzdem komplex sind – weil sie in ein Geflecht aus Business-Realitäten, Budgets, Zuständigkeiten und Prioritäten eingebettet sind.
Was dazu notwendig ist:
Die Maxime lautet: Compliance als Hilfestellung und Orientierung, nicht als reine Meldestelle und interne Polizei.
Compliance wird je nach Land und Kulturkreis anders gelebt. Der nationale Grad an Regelstrenge oder -flexibilität („Tightness“ vs. „Looseness“) hat Einfluss darauf, wie wirksam Compliance eingehalten wird. Diese Unterschiede bei der Regelkonformität sind kein Zufall, sondern politisch und historisch gewachsen. Als Compliance Officer eines international vertretenen Unternehmens wie Kwizda muss ich das unbedingt bedenken.
Erstens: Wartet nicht auf die Regulierung. Wir haben unsere KI-Richtlinie und KI-SOP lange bevor der AI Act uns dazu zwingt verabschiedet. Achtet darauf, dass ihr nicht unter Zeitdruck gerät, sonst wird es teuer und schlecht.
Zweitens: Adressiert Schatten-KI sofort. Das Problem ist massiv: Aktuelle Studien zeigen, dass in über 40% der deutschen Unternehmen Mitarbeitende bereits private KI-Tools nutzen. Ohne Richtlinien. Ohne zu verstehen, welche Daten sie damit verarbeiten dürfen. Und ohne dass ihr es wisst! Führungskräfte verwenden Schatten-KI im Übrigen sogar deutlich häufiger als normale Mitarbeiter.
Verschafft euch daher einen soliden Überblick darüber, wer bei euch bereits welche KI-Tools einsetzt. Gebt klare Verhaltensregeln vor. Aber stellt den Mitarbeitern auch unternehmenseigene KI-Tools zur Verfügung. Nur mit Verboten allein funktioniert's nicht. Die Leute werden jedenfalls KI verwenden – besser, sie verwenden solche, welche von euch und der IT freigegeben wurde.
Drittens: Macht es interdisziplinär und sichert Human-in-the-Loop. KI ist kein reines IT-Thema, kein reines Business-Thema und kein reines Legal-Thema. Bei Kwizda haben wir das institutionalisiert: Regelmäßige Meetings, um den Informationsfluss zu gewährleisten. Und in unserer KI-SOP haben wir klar festgelegt: Bei jedem KI-Projekt müssen Business, IT, CISO, CCO und Legal von Anfang an involviert sein. Nicht als nachträgliche Prüfinstanz, sondern von Beginn an.
Und ganz wichtig: Jeder KI-Output muss von einem Menschen geprüft werden. Immer!
Viertens: Transparenz, Erklärbarkeit und Nachvollziehbarkeit sind nicht verhandelbar. Das sind einerseits rechtliche Pflichten. Aber es ist andererseits auch Vendor Management: Wenn euer KI-Anbieter euch nicht erklären kann, wie sein System funktioniert, welche Daten es verwendet, wie Entscheidungen zustande kommen – dann Finger weg. Und Datenschutz by Design!
Fünftens: Seid Enabler, nicht Verhinderer. Eure Aufgabe ist es nicht, KI zu blockieren, sondern Leitplanken zu setzen, damit sie sicher genutzt werden kann. Das ist klassische Compliance-Arbeit, nur für ein neues Thema. Und wenn ihr euren MitarbeiterInnen keine KI-Tools zur Verfügung stellt, werdet ihr ein Schatten-KI-Problem bekommen, das ihr nicht in den Griff bekommt. Kümmert euch also frühzeitig um compliante KI-Lösungen im Unternehmen.
Das ist zweigeteilt – bei Startups und bei etablierten KI-Anbietern gelten unterschiedliche Überlegungen.
Bei Startups ist mir zunächst die Frage der Leistungsfähigkeit wichtig:
Wenn das Startup wieder vom Markt verschwindet, habe ich eventuell ein Vendor-Lock-in-Problem.
Grundsätzlich ist die Zusammenarbeit mit Startups wahnsinnig spannend! Sehr dynamisch, voller Energie und interessanter Ideen. Aber die Halbwertszeit ist ein echtes Thema.
Bei KI-Anbietern (egal ob Startup oder etabliert) sind Transparenz, Erklärbarkeit und Nachvollziehbarkeit nicht verhandelbar. Das ist klassisches Risk Management. Bei Datenschutz und EU-USA-Datentransfer bin ich stur. Wenn es eine EU-Alternative gibt, bestehe ich darauf, dass diese genommen wird. Aber, wenn das EU-Unternehmen alles in der US-Cloud hat, ist mir auch nicht geholfen.
Wenn es nur US-Anbieter gibt, wird's herausfordernd. Ja, viele der Big Player haben EU-Standorte mit EU-Servern. Aber der US CLOUD Act erlaubt US-Behörden den Zugriff auf Daten, die von US-Unternehmen kontrolliert werden – unabhängig vom physischen Serverstandort.
KI-Training mit unseren personenbezogenen Daten und Geschäftsgeheimnissen ist ein absolutes No-Go. Das ist tatsächlich ein Deal-Breaker! Input-Daten sind nach den Vorgaben der DSGVO zu handhaben.
Drei Dinge: Expertise, Verlässlichkeit und Responsiveness. Wenn ich eine Kanzlei mandatiere, dann für Spezialthemen. Die Kanzlei muss mir reinen Wein einschenken und mich so klar informieren, dass ich darauf basierend gemeinsam mit dem Business Entscheidungen treffen kann.
Da darf die Kanzlei gerne in die Tiefe gehen – aber nicht, um Papier zu produzieren und Stunden zu verrechnen. Sondern weil ich wirklich verstehen muss: Was sind die Risiken?Was sind die rechtlichen Rahmenbedingungen? Was sind die Optionen?
Und ganz wichtig: Keine Einarbeitung auf meine Kosten. Eine gute Kanzlei kennt meine Branche, kennt die relevanten Rechtsgebiete und kann sofort loslegen.
Als Rechtsanwalt habe ich mich oft gefragt: Warum dauert es so ewig? Warum braucht eine Entscheidung, die rechtlich völlig klar ist, trotzdem Wochen?
Diese Frage stelle ich mir heute als Legal Counsel nicht mehr. Weil ich jetzt die inneren Mechanismen verstehe: wie Entscheidungen in einem Unternehmen, in einer Unternehmensgruppe tatsächlich getroffen werden, was es dazu braucht.
Als Außenstehender sieht man nur die Oberfläche: Eine Rechtsfrage, eine klare Antwort, fertig. Als Inhouse-Jurist oder CCO siehst du die Komplexität dahinter: Budgetfreigaben, Abstimmungen zwischen Gesellschaften, unterschiedliche Stakeholder-Interessen, operative Realitäten, die mit der rechtlich idealen Lösung kollidieren.
In 5 Jahren werden Rechtsabteilungen und Compliance die unverzichtbaren „Humans in the Loop“ sein. Aktuelle Studien zeigen: Nur ein Bruchteil der Unternehmen, die bereits KI nutzen, hat sie erfolgreich skaliert. Warum? Weil das eigentliche Problem nicht die Technologie ist, sondern das Vertrauen. Die meisten KI-Initiativen scheitern – nicht an der Technologie, sondern daran, dass Unternehmen es als Tech-Problem behandeln, obwohl es ein People-Problem ist.
KI wird viele Routineaufgaben übernehmen. Gleichzeitig wird KI-Governance zu einer Kernaufgabe von Legal und Compliance. Wir werden diejenigen sein, die sicherstellen, dass KI-Tools im Unternehmen verantwortungsvoll eingesetzt werden. Dass niemand vertrauliche Daten in ChatGPT einspeist. Dass KI-generierte Verträge tatsächlich geprüft werden, bevor sie rausgehen.
Die Technologie wird besser, aber sie wird auch in 10 Jahren noch nicht perfekt sein. Rechtsabteilungen und Compliance werden daher weiterhin die letzte Prüfinstanz sein. Die Verantwortung wird bei uns bleiben. Und das ist gut so. Denn Ethik und Governance bei KI sind keine Bremsen – sie schaffen Vertrauen und sind damit strategische Enabler für die KI-Adoption und dadurch die Wettbewerbsfähigkeit.
Ja, absolut – aber nur, wenn man es richtig macht.
Bei Kwizda nutzen wir in Legal und Compliance mehrere KI-Tools wie bspw Lexis+ AI und Microsoft Copilot. Wir haben bei Kwizda auch ein eigenes unternehmensinternes GPT. Gerade stellen wir unsere Vertrags-Datenbank auf ein Contract Lifecycle Management Tool um, das ebenfalls KI-gestützt ist.
Der Mehrwert? Zeitersparnis bei Routineaufgaben. Lexis+ AI hilft mir bei der Recherche. Aber: Ich lese trotzdem jede Entscheidung selbst nach.
Microsoft Copilot nutzen wir für erste Entwürfe von Standarddokumenten, Zusammenfassungen von langen Verträgen, Übersetzungen. Aber: Jeder Output wird von einem Menschen geprüft und überarbeitet.
Das unternehmenseigene GPT läuft unbedingt auf unserem eigenen Tenant. Keine Daten gehen nach außen. Das erlaubt uns, auch mit vertraulichen Informationen zu arbeiten, ohne Datenschutz- oder Vertraulichkeitsrisiken.
Aber: KI ersetzt nicht die juristische Arbeit. Sie beschleunigt die Routine, damit wir mehr Zeit für die eigentliche juristische Arbeit haben. Die komplexe Vertragsverhandlung, die strategische Risikoeinschätzung, die Beratung des Business – das macht keine KI. Das machen Menschen.
Natürlich haben wir das typische Day-to-Day-Business – Vertragsverhandlungen, Litigation, Behördenangelegenheiten. Das läuft immer mit. Aber was uns bei Legal/Compliance aktuell wirklich fordert, sind ESG und Digital.
ESG-Regulierung ist ein Tsunami: CSDDD, CSRD, die Taxonomie-Verordnung, EUDR… Das sind keine isolierten Gesetze, das ist ein ganzes Regulierungssystem, das tief in die Geschäftsmodelle eingreift. Lieferketten Due Diligence, Nachhaltigkeitsberichterstattung, Entwaldungsfreiheit: Das betrifft bei Kwizda praktisch alle Bereiche. Wir haben hier eine großartige Managerin Group Sustainability, die sich seit rund drei Jahren um diese Themen kümmert.
Digitale Regulierung ist nicht weniger komplex: DSGVO als Dauerbrenner, AI Act, Data Act, NIS2-Umsetzung, Cyber Resilience Act, DSA, DMA. Und all diese Gesetze greifen ineinander. Der AI Act verweist auf die DSGVO, der Data Act auf den AI Act usw. NIS2 betrifft unsere IT-Systeme. Darum kümmert sich unser CISO ganz hervorragend.
Was mich daran besonders beschäftigt: Die Geschwindigkeit und die Komplexität. Diese Gesetze kommen nicht nacheinander, sondern parallel. Und sie verlangen nicht nur Compliance-Checklisten, sondern fundamentale Veränderungen in Prozessen, Systemen, Kultur.
Bei Kwizda haben wir bereits im Frühjahr 2025 die erste Version unserer KI-Richtlinie verabschiedet und im Sommer Version 2 sowie unsere KI-SOP, lange vor den gesetzlichen Fristen. Nicht, weil wir besonders brav sind, sondern weil wir erkannt haben: Wenn du wartest, bis das Gesetz dich zwingt, wird’s eng. Dann machst du Compliance unter Zeitdruck, und das wird teuer und schlecht.
Meine Aufgabe ist es, diese Regulierungswelle für Kwizda navigierbar zu machen. Nicht als Verhinderer, sondern als Ermöglicher. Die Leitplanken so zu setzen, dass das Business weiterläuft – nur eben compliant.
Lieber Michael, wir bedanken uns für das Gespräch.
Weitere Beiträge aus dieser Serie:
Merve Taner (Erste Bank): Legal by Design und die Rechtsabteilung
Lucas Jamnig: Rechtsabteiungen im Wandel - Fiskaly und das House of Legal