KI und Compliance? Das erfordert entweder eine positive professionelle Skepsis. Oder das richtige Maß an notwendiger Illegalität.
So umschrieb das Panel beim 49. Compliance-Netzwerktreffen am 9. März 2026 in Wien das Spannungsfeld zwischen KI, Compliance und Datenschutz. Im Mittelpunkt stand die Frage, wie Unternehmen Künstliche Intelligenz einsetzen können, ohne regulatorische Risiken zu unterschätzen – und ohne Innovation auszubremsen.
Über konkrete Erfahrungen diskutierten Daniela Tonweber, Group Chief Compliance Officer bei der Saubermacher Dienstleistungs AG, und Bernhard Mörtl, Datenschutzbeauftragter und Compliance Officer der Kelag-Kärntner Elektrizitäts-Aktiengesellschaft. Moderiert wurde das Gespräch von Andreas Schütz, Rechtsanwalt für Datenschutz bei der Kanzlei Taylor Wessing in Wien.
KI-Einsatz braucht klare Strukturen
Ein zentrales Thema der Diskussion war Governance. KI-Tools kommen in großen Organisationen nicht „einfach so“ zum Einsatz.
Bei der Kelag existiert laut Bernhard Mörtl ein eigenes Gremium, das jedes neue Tool prüft. Dabei wird sehr genau unterschieden, ob ein Tool auf personenbezogene Daten oder Geschäftsgeheimnisse zugreift und damit in einen erhöhten Risikobereich fällt – oder ob es lediglich zur Produktivitätssteigerung eingesetzt wird.
Besonders sensibel sind Szenarien, in denen Daten in eine Cloud übertragen werden oder Modelle trainiert werden könnten. Hier zieht die Kelag klare Grenzen: Kein KI-Tool wird eingesetzt, ohne diesen Prüfprozess positiv zu durchlaufen.
Wie Daniela Tonweber schilderte, gibt es auch bei Saubermacher eine zentrale Stelle, die konzernweit für die Bewertung neuer KI-Tools zuständig ist. Dort werden alle Anfragen aus Fachabteilungen und Tochtergesellschaften gesammelt und mit Fokus auf Datenschutz und Compliance geprüft.
Die erste Evaluierung umfasst insbesondere zwei Fragen:
-
Wie ist das Tool rechtlich zu bewerten?
-
Passt es zur übergeordneten KI-Strategie des Unternehmens?
Das Ziel ist, neue Anwendungen möglichst früh zu erfassen, gemeinsam zu analysieren und Risiken strukturiert zu evaluieren.
Governance statt Wildwuchs
Neben diesen Prozessen spielen klassische Compliance-Instrumente weiterhin eine zentrale Rolle. Dazu gehören Richtlinien, Schulungen und Awareness-Maßnahmen
Wenn ein Tool die rechtliche Prüfung nicht besteht, wird es bei der Kelag technisch gesperrt.
Gleichzeitig entstehen neue Formate, um Wissen und Erfahrung innerhalb der Organisation zu verbreiten. Bei Saubermacher etwa gibt es ein hybrides „KI Friday Business Breakfast“, an dem Mitarbeitende aus dem gesamten Unternehmen teilnehmen können. Das Format ist offen für Diskussionen, Praxisberichte und Fragen – und wird laut Tonweber sehr gut angenommen.
Denn, so Daniela Tonweber: Gerade in Konzernstrukturen mit zahlreichen Tochtergesellschaften kann ein solches Format dabei helfen, Innovation und Governance miteinander zu verbinden.
Innovation zwischen „illegalem“ Spielraum und positiver professioneller Skepsis
Ein besonders spannendes Thema war das Spannungsfeld zwischen Regulierung und Innovationsfähigkeit. Tonweber formulierte es wie folgt: Regulierung müsse sich manchmal ein Stück zurücknehmen, um Innovation zu ermöglichen. Gleichzeitig brauche es aber klare Regeln. Denn Unternehmen können sich technologischen Entwicklungen nicht verschließen. Entscheidend sei, mit der Innovation zu wachsen – aber mit einer „positiven professionellen Skepsis“.
Auch Mörtl betonte, dass Regulierung nun mal Realität und Unternehmen mit ihr leben müssten. Gleichzeitig brauche es Innovation, um wettbewerbsfähig zu bleiben. Er schilderte die Formulierung eines Compliance-Kollegen: Manchmal brauche es „das richtige Maß von notwendiger Illegalität“, um die Möglichkeiten auszuschöpfen, die Gesetze tatsächlich eröffnen.
Damit ist kein Regelbruch gemeint, sondern die Bereitschaft, regulatorische Spielräume aktiv zu nutzen. Wo dieser Spielraum endet, muss das Unternehmen allerdings klare Verbote aussprechen.
Organisation ist der Schlüssel
Ein zentrales Fazit der Diskussion lautete: Wer KI sinnvoll einsetzen will, muss sich zuerst organisatorisch aufstellen. Dazu gehören klare Prozesse und Verantwortlichkeiten für den Umgang von personenbezogenen Daten, Security und Geschäftsgeheimnissen. Bei der Kelag werden solche Fragen im internen Gremium „DIGIT“ gemeinsam entschieden. Dort kommen die relevanten Funktionen zusammen, um neue Technologien zu bewerten.
Auch Tonweber betonte, dass Innovation nicht bei der Technologie beginnt, sondern bei der strategischen Frage: Wie kann sie den eigenen Kundinnen und Kunden tatsächlich Mehrwert bringen? Erst danach folgen Struktur und Prozesse.
Zwischen Aufbruch und Unsicherheit
Moderator Rechtsanwalt Andreas Schütz brachte das Stimmungsbild auf den Punkt: In vielen Unternehmen herrscht derzeit eine Mischung aus Aufbruchstimmung und Unsicherheit. Die eigentliche Frage lautet: Wann wird aus technologischer Innovation regulatorische Reibung – und wann mündet diese Reibung in tatsächliche Sanktionen?
Auf die Schlussfrage, welchen einzigen Rat sie Unternehmen beim Thema KI geben würden, antworteten sie:
Bernhard Mörtl: „Organisier dich ordentlich.“ Nicht jedes KI-Tool halte, was es verspreche.
Daniela Tonweber: Unternehmen sollten sich zunächst ernsthaft mit dem Thema beschäftigen, bevor sie „einfach losgaloppieren“. Erst wenn Prozesse, Governance und Grenzen definiert sind, lässt sich KI sinnvoll und verantwortungsvoll einsetzen.
Das Compliance-Netzwerktreffen wurde von Austrian Standards gemeinsam mit LexisNexis organisiert und von Andreas Schütz von Taylor Wessing moderiert.
Wir bedanken uns für die Einladung.
Bei Leadersnet gibt es eine Fotogalerie.
.png)
.png)