Was Compliance-Teams fragen sollten bevor sie neue KI-Tools intern einfuhren

Viele Unternehmen erleben KI-Adoption zuerst als Geschwindigkeitsentscheidung und nicht als Compliance-Thema.

Ein Team will schnellere Notizen, raschere Dokumentenzusammenfassungen, bessere Coding-Hilfe oder automatisierte Support-Entwurfe. Das Tool wirkt nutzlich, die Testphase startet schnell, und die Einfuhrung scheint klein, weil sie "nur intern" ist.

Genau deshalb sollten Compliance-Teams fruh eingebunden werden.

Interne KI-Tools konnen verandern, wohin sensible Informationen fliessen, wie Entscheidungen vorbereitet werden, welche Vendoren Unternehmensdaten verarbeiten und welche Nachweise das Unternehmen spater liefern kann. Sobald das Tool Teil des Alltags wird, sind die schwierigsten Governance-Fragen oft bereits im Betrieb versteckt.

Warum interne KI-Adoption Compliance-Review braucht

Manche Unternehmen reservieren Compliance-Review fur kundenseitige KI-Funktionen. Das ist zu eng.

Interne KI-Tools konnen Auswirkungen haben auf:

• Umgang mit personenbezogenen Daten
• vertrauliche Unternehmensinformationen
• Vendor- und Subprocessor-Risiken
• Aufbewahrungs- und Loschpflichten
• Zugriffskontrolle und Identity-Praktiken
• Audit-Trails und Evidenzqualitat
• menschliche Entscheidungen in regulierten Workflows

Dass ein Tool nur von Mitarbeitenden genutzt wird, beseitigt diese Fragen nicht. In vielen Teams beruhren interne Tools sensiblere Informationen als offentliche Produktfunktionen.

Das eigentliche Risiko: Schatten-KI-Infrastruktur

Das grosste Problem ist meist nicht ein einzelner dramatischer Verstoss. Es ist unkontrollierte Verbreitung.

Ein Team nutzt einen Meeting-Assistenten. Ein anderes verbindet einen Dokumentenzusammenfasser mit internen Dateien. Support kopiert Kundenbeschwerden in einen KI-Workspace. Engineering nutzt einen Coding-Assistenten mit breitem Repository-Zugriff. HR experimentiert mit Screening-Hilfe. Keine dieser Entscheidungen wirkt fur sich genommen gross.

Zusammen entsteht aber eine neue operative Schicht, die Daten verarbeitet, Entscheidungen beeinflusst und von externen Vendoren abhangt.

Wenn diese Schicht ohne Review wachst, endet das Unternehmen mit Schatten-KI-Infrastruktur.

Acht Fragen, die Compliance-Teams zuerst stellen sollten

1. Welche Daten erhalt dieses Tool tatsachlich?

Akzeptieren Sie "allgemeine Geschaftsdaten" nicht als Antwort. Fragen Sie konkret nach.

Die brauchbare Frage ist, welche Informationen Nutzer realistisch hineinkopieren, hochladen, verbinden oder erzeugen werden, zum Beispiel:

• Kundendaten
• Support-Transkripte
• Vertrage und Procurement-Dokumente
• Mitarbeiterinformationen
• Code und Konfigurationsdaten
• Incident-Notizen
• Finanz- oder Forecast-Material

Je nach Input andert sich das Risikoprofil erheblich.

2. Wohin gehen die Daten nach der Eingabe?

Teams sollten verstehen, ob Daten nur in der Sitzung bleiben, vom Vendor gespeichert werden, fur Modellverbesserung genutzt werden, an Subprocessor weitergeleitet werden oder Jurisdiktionen uberqueren.

Genau hier wirken viele "schnelle Experimente" plotzlich nicht mehr klein. Ein Tool, das sich wie ein einfacher Assistent anfuhlt, kann in Wahrheit einen neuen externen Processor, einen neuen Transferpfad und einen neuen Retention-Footprint einfuhren.

3. Wie sieht das Retention- und Loschmodell aus?

Wenn Prompts, Uploads, Outputs oder Logs gespeichert werden, muss jemand wissen wie lange und unter welchen Kontrollen.

Fragen Sie:

• was standardmassig gespeichert wird
• ob Retention konfigurierbar ist
• wie Loschanfragen funktionieren
• ob Backups oder Trainingslogs einem anderen Zeitplan folgen
• was bei Kontoschliessung passiert

Wenn niemand diese Fragen beantworten kann, fuhrt das Unternehmen ein Tool ein, das es nicht sauber steuern kann.

4. Wer darf es nutzen und fur welche Workflows?

Nicht jedes interne KI-Tool sollte jedem Team fur jeden Zweck offenstehen.

Manche Tools passen fur risikoarme Entwurfe oder Recherche, aber nicht fur Kundensupport, HR-Screening, Legal Review, Security Operations oder produktionsnahen Code ohne zusatzliche Guardrails.

Ein einfaches Modell erlaubter Nutzung funktioniert meist besser als ein pauschales Ja oder Nein.

5. Welche Entscheidungen brauchen weiterhin menschliche Prufung?

Viele KI-Tools beeinflussen Urteile, auch wenn sie nicht die finale Entscheidung treffen.

Das ist relevant bei Kundenzusagen, Vendor-Bewertung, Privacy-Anfragen, Mitarbeiterentscheidungen, Incident-Handling oder regulierter Kommunikation. Compliance-Teams sollten fragen, wo menschliche Freigabe verpflichtend bleibt und wie diese Pflicht im Alltag abgesichert wird.

Wenn die Antwort lautet "die Leute wissen schon, dass sie sich nicht zu sehr darauf verlassen sollen", ist die Kontrolle zu schwach.

6. Welche Nachweise zeigen, dass die Einfuhrung kontrolliert ist?

Governance wird viel leichter, wenn das Unternehmen spater zeigen kann:

• wer das Tool freigegeben hat
• welche Use Cases erlaubt wurden
• welche Datentypen eingeschrankt wurden
• welche Teams Zugriff erhielten
• welche Policy oder Guidance galt
• wann die Konfiguration erneut gepruft wird

Ohne diese Nachweise wird KI-Adoption in Audits, Kundendiligence und internen Untersuchungen schwer erklarbar.

7. Was passiert, wenn der Output falsch, verzerrt oder ubertrieben sicher ist?

Interne Nutzung beseitigt Output-Risiko nicht. Sie verschiebt nur, wo der Schaden landet.

Eine falsche Zusammenfassung kann eine Untersuchung verfalschen. Ein schlechter Code-Vorschlag kann Security schwachen. Eine verzerrte Screening-Empfehlung kann HR- und Rechtsrisiko auslosen. Eine ubertrieben sichere Vertragszusammenfassung kann dazu fuhren, dass sich ein Commercial-Team auf nicht freigegebene Aussagen verlasst.

Compliance-Teams sollten fragen, wie der Fehlermodus aussieht und welcher Review-Schritt ihn stoppt, bevor sich der Schaden ausbreitet.

8. Wer ist nach dem Go-live Owner des Tools?

Ownership sollte nicht bei Procurement oder Security-Review enden.

Jemand muss Verantwortung tragen fur:

• freigegebene Use Cases
• Policy-Updates
• Ausnahmehandling
• periodische Reviews
• Monitoring von Vendor-Anderungen
• Evidenzpflege

Bleibt Ownership vage, wird das Tool schnell zu "jedermanns Tool und niemands System".

Ein praktikables Freigabemodell

Die meisten Unternehmen brauchen zum Start kein schweres AI Review Board. Sie brauchen einen wiederholbaren Intake.

Ein leichter Freigabeworkflow kann meist Folgendes abdecken:

1. Geschaftszweck
2. beteiligte Datenkategorien
3. Vendor- und Subprocessor-Pfad
4. Retention-Modell
5. notwendige menschliche Review-Punkte
6. Owner und nachster Review-Termin

So wird interne KI-Adoption zu einer gesteuerten Einfuhrung statt zu ad hoc Experimenten.

Haufige Fehler, die vermeidbar sind

"Intern" automatisch als risikoarm behandeln

Interne Tools sehen oft rohe Kundendaten, sensible Mitarbeiterinformationen und ungeloste Incidents. Sie sind nicht automatisch risikoarm.

Den Vendor, aber nicht den Workflow prufen

Selbst ein seriouser Vendor kann falsch genutzt werden, wenn das Unternehmen nie definiert, was Mitarbeitende mit dem Tool tun oder lassen sollen.

Zugriff freigeben, bevor Evidenzregeln definiert sind

Wenn das Unternehmen spater nicht zeigen kann, wer das Tool freigegeben hat und welche Regeln galten, ist die Einfuhrung schon jetzt schwerer zu verteidigen.

Wiederkehrende Reviews vergessen

KI-Vendoren verandern sich schnell. Features, Retention-Einstellungen, Modellanbieter und Integrationsumfang konnen sich nach der ersten Entscheidung verschieben.

Das praktische Fazit

Compliance-Teams mussen interne KI-Adoption nicht stoppen. Sie mussen sie lesbar machen.

Die nutzlichen Fragen sind einfach: welche Daten gehen hinein, wohin gehen sie, wie lange bleiben sie, wer darf das Tool nutzen, wo mussen Menschen im Loop bleiben und wer besitzt das System nach dem Go-live. Wenn diese Antworten klar sind, lassen sich KI-Tools mit deutlich weniger Chaos und deutlich besserer Kontrolle einfuhren.