»Ein blinder Einsatz von Technologie bedeutet, dass man sich neue Risiken einkauft«

Künstliche Intelligenz und Cybersicherheit sind keine reinen IT-Themen mehr, sondern bestimmen zunehmend die strategische und rechtliche Agenda von Unternehmen. Im Gespräch erläutert Daniel Schmitz-Wegner, wie die Rechtsberatung darauf reagiert und warum das Management von Firmen stärker in der Pflicht steht.

Daniel Schmitz-Wegner
Anwalt und Geschäftsführer

Herr Schmitz-Wegner, KI und Digitalisierung transformieren derzeit ganze Branchen. Mit welchen rechtlichen Fragestellungen treten Ihre Mandanten aktuell an Sie heran?

Im Bereich der künstlichen Intelligenz ist derzeit ein enormer Tatendrang spürbar. Viele Firmen verfolgen das Motto: »Wir wollen das jetzt auch nutzen.« Damit einher geht jedoch unmittelbar die Frage nach der rechtlichen Umsetzung und der Skalierbarkeit. Da wir auch in der Compliance-Beratung verwurzelt sind, sehen wir hier ein zweischneidiges Schwert: KI bietet zwar beeindruckende Möglichkeiten, bringt jedoch oft unkontrollierbare Sicherheitslücken mit sich. Diese müssen zwingend adressiert werden, um schwerwiegende Sicherheitsvorfälle zu vermeiden. Parallel dazu wird das Thema Cybersecurity massiv durch die Gesetzgebung vorangetrieben. Während dies in Deutschland früher primär für KRITIS-Betreiber relevant war, sorgt die NIS2-Richtlinie nun für eine erhebliche Ausweitung. Vor allem digitale Infrastrukturen und Managed Service-Provider stehen hier im Fokus. Viele Unternehmen, auch Tochtergesellschaften, realisieren erst jetzt, dass sie unter den Anwendungsbereich der NIS2 fallen, und stehen vor der Frage der konkreten Umsetzung. Zudem lenkt der Cyber Resilience Act den Blick weg vom reinen Unternehmen hin zum Produkt. Die Anforderung, dass Produkte von Grund auf sicher sein müssen, stellt für viele Firmen noch einen blinden Fleck dar. Übergeordnet wirkt stets der Datenschutz, wobei wir feststellen, dass die KI viele bereits bekannte Themen in einem neuen Licht erscheinen lässt. 

Was sind die Folgen dieser Entwicklung?

Alle genannten Aspekte müssen heute holistisch betrachtet werden, da es zahlreiche Überlagerungen gibt, um Haftungsrisiken effektiv zu verhindern. Der frühere Leitsatz »Das macht dann die IT« verlagert sich somit immer mehr in Richtung der Führungsebene; das Management wird heute deutlich stärker in die Haftung genommen.

Die Dynamik des digitalen Zeitalters stellt auch die Rechtsberatung vor neue Herausforderungen. Wie passen Sie Ihre Dienstleistungen an diese neuen Gegebenheiten an?

Wir versuchen konsequent, in Mustern und Patterns zu denken, arbeiten detaillierte Vorlagen aus und suchen gezielt nach der Einheitlichkeit in den verschiedenen Gesetzen. Indem wir die gemeinsamen Kernelemente herausschälen, können wir mit diesen Strukturen wertvolle Synergien aufbauen. Folglich sind wir in der Lage, passende Anwendungen durch unsere etablierten Prozesse schnell zu eruieren und auszurollen. Wir knüpfen an bestehende Maßnahmen beim Kunden an und führen alle Facetten zusammen, um bestehende Silos aufzubrechen. Hier ist die Kommunikation eine unserer zentralen Kernaufgaben.

Wir knüpfen an bestehende Maßnahmen beim Kunden an und führen alle Facetten zusammen, um bestehende Silos aufzubrechen.– Daniel Schmitz-Wegner,
Anwalt und Geschäftsführer

Inwieweit nutzen Sie selbst KI in Ihrer täglichen Arbeit?

Wir setzen verschiedene Tools ein, wobei unsere eigene Expertise die Grundvoraussetzung bleibt. KI ist hervorragend darin, Muster in Gesetzen zu erkennen und komplexe Anwendungsfälle miteinander zu verknüpfen. Hier liefert die Technologie valide Punkte und steigert unsere Effizienz. KI ist zudem eine wertvolle Hilfe, um schnell an neue Informationen zu gelangen. Ein weiterer Punkt betrifft die Content-Erstellung. Wir nutzen KI, um Schulungsinhalte zu generieren oder komplexe Informationen für unsere Mandanten optimal aufzubereiten. Wir haben den klaren Anspruch, uns aktiv mit diesen neuen Werkzeugen auseinanderzusetzen, um den größtmöglichen Mehrwert zu generieren.

Wie sieht ein repräsentativer Kundencase aus, bei dem Sie sich mit der Haftung im Bereich KI und Cybersicherheit auseinandersetzen?

Wir verfolgen dafür einen bewährten Dreiklang. Wenn wir ein Projekt neu starten, verschaffen wir uns zunächst einen umfassenden Überblick. Wir analysieren das Geschäftsmodell des Unternehmens sowie die relevanten Rahmenbedingungen und Gesetze, um den juristischen Ist-Zustand präzise zu bestimmen. Im zweiten Schritt ermitteln wir den faktischen Ist-Zustand: Durch Interviews und die Sichtung vorhandener Dokumentationen prüfen wir, was bereits getan wurde, wie die aktuelle Dokumentationslage aussieht und an welche Unternehmenskennzahlen wir anknüpfen können. Hierbei evaluieren wir auch die bereits vorhandenen Strukturen im Unternehmen.

Darauf aufbauend definieren wir den Soll-Zustand und den effizientesten Weg dorthin. Die anschließende Umsetzung reicht von der Erstellung einfacher Dokumente und Richtlinien bis hin zur konkreten technischen Beratung – beispielsweise bei der Frage, ob eine Software angepasst werden muss. Ein wesentlicher Teil unserer Arbeit ist zudem die Förderung der Awareness im Unternehmen: Was ist Cybersicherheit eigentlich? Was darf eine KI und was nicht? Die Summe dieser Maßnahmen ergibt ein praxistaugliches Rahmenkonzept, das als Full-Service-Ansatz für diverse Geschäftsbereiche genutzt werden kann.

Könnten Sie konkrete Beispiele aufzeigen, wie Cybersicherheit und ähnliche Themen zu einem potenziellen Haftungsfall für Unternehmen werden können?

Das größte Risiko stellt zweifellos der nicht geübte Sicherheitsvorfall dar. Ob es sich nun um eine KI handelt, die außer Kontrolle gerät, um unkoordiniert verteilte Daten oder gar einen Hackerangriff – wenn im Ernstfall nicht klar ist, was zu tun ist, entsteht ein massives Haftungsrisiko. Da man Vorfälle der zuständigen Haftungsstelle rapportieren muss, wird es ohne fundiertes Konzept juristisch sofort bedenklich. Man benötigt ein erstklassiges Incident-Management, zu dem wir durch unsere gesamtheitliche Beratung beitragen. Ein weiterer kritischer Case sind unklare Verantwortlichkeiten. Die schiere Masse an Regulatorik führt dazu, dass Unternehmen kaum noch Schritt halten können. Daher bieten wir eine redaktionelle Überwachung als wichtigen Service an. Somit wird erneut deutlich: Das Motto »Die IT wirds schon richten« ist endgültig überholt.

Lohnt sich ein Jurastudium in einer Zeit, in der die KI scheinbar auf jede Frage eine Antwort hat, überhaupt noch?

Die Situation ist vergleichbar mit der von Softwareentwicklern. Da ich selbst programmiere und somit ein »Kind aus zwei Welten« bin, kenne ich beide Perspektiven gut. Die juristische Arbeit wird sich ohne Zweifel verändern, aber das sollte niemanden abschrecken. Durch KI werden wir schneller und besser; wir gewinnen wertvolle Zeit bei redundanten Aufgaben. KI ist ein Werkzeug, durch das Juristinnen und Juristen wieder einen deutlich größeren kreativen Handlungsspielraum erhalten. Daher würde ich das Studium immer noch empfehlen, allerdings mit dem Rat, sich sehr frühzeitig mit technologischen Themen auseinanderzusetzen.

Welche Entwicklungen werden für Ihre Mandanten und Ihr Unternehmen relevant sein?

Ein integriertes Risikomanagement wird zum absoluten Muss. Unternehmen müssen eine solide Basis schaffen, da immer mehr Gesetze dies zwingend erfordern werden. Die Arbeit mit KI wirft kontinuierlich neue Fragen auf. Während viele Unternehmen derzeit noch auf interne Anwendungen blicken, wird sich der Fokus mit der Entwicklung hin zu KI-Agenten deutlich verschieben. Wir müssen daher vermehrt spezifische Use-Cases betrachten, wobei die Technologie grundlegend verstanden werden sollte. Denn ein blinder Einsatz bedeutet lediglich, dass man sich neue Risiken einkauft. 

Weitere Informationen unter kinast.eu