Suche
Contact
12.06.2025 | KPMG Law Insights

Vom KI-Tool zum KI-Framework – ein Werkstattbericht

Es fing mit ein paar Fragen zu Microsoft Copilot an – und endete mit einem unternehmensweiten KI-Framework. Wir durften das Unternehmen, ein global aufgestelltes Beratungshaus, auf diesem Weg rechtlich und strategisch begleiten. Das Beispiel zeigt, warum eine durchdachte KI-Governance weit mehr erfordert als nur die Investition in Lizenzen.

Der Auslöser: „Wir führen MS Copilot ein – können Sie uns dabei helfen?“

Alles begann mit einem Anruf, der uns in der Praxis häufig begegnet. Ein führendes, international tätiges Beratungsunternehmen hatte sich – getrieben von den Verheißungen generativer KI – relativ spontan dazu entschlossen, Microsoft Copilot unternehmensweit einzuführen. Die Erwartungshaltung war klar: Effizienzsteigerung, Innovationsförderung und die Nutzung neuester Technologien, um im Wettbewerb die Nase vorn zu haben. Die ursprüngliche Bitte an uns war, diesen Roll-Out insbesondere aus datenschutzrechtlicher Sicht zu begleiten und die „gröbsten Fallstricke“ zu identifizieren.

Die Erkenntnis: Ein Werkzeug ist noch keine Strategie

Schon in den ersten Gesprächen und Workshops wurde deutlich, was wir oft erleben: Die Begeisterung für die technologischen Möglichkeiten von KI-Tools wie Copilot ist groß, doch das Bewusstsein für die damit einhergehenden rechtlichen und organisatorischen Implikationen ist initial oft weniger ausgeprägt. Schnell erkannten die Verantwortlichen auf Mandantenseite in unserer Zusammenarbeit, dass eine isolierte Betrachtung der Copilot-Einführung zu kurz greift.

Folgende Fragen kamen auf:

  • Wie stellen wir sicher, dass der Einsatz von Copilot und zukünftigen KI-Anwendungen mit den strengen Anforderungen der DSGVO und anderer relevanter Gesetze, zum Beispiel dem AI Act, im Einklang steht?
  • Welche Daten dürfen überhaupt ins System eingespeist werden? Wie handhaben wir sensible Mandanteninformationen oder personenbezogene Daten von Mitarbeitenden?
  • Wer trägt die Verantwortung für die Ergebnisse, die die KI generiert?
  • Wie schaffen wir Transparenz für unsere Mitarbeitenden und Mandanten über den Einsatz von KI?
  • Wie etablieren wir einen Prozess, der es uns ermöglicht, auch zukünftige KI-Lösungen strukturiert zu bewerten und sicher zu implementieren?

Es wurde klar: Der Wunsch nach Copilot war nur die Spitze des Eisbergs. Was das Unternehmen wirklich benötigte, war ein solides Fundament – ein umfassendes KI-Framework, das den Einsatz von künstlicher Intelligenz im gesamten Unternehmen regelt und steuert.

 

Ein globales Unternehmen braucht globale Standards mit lokaler Anpassungsfähigkeit

Die Entwicklung eines solchen Frameworks für ein global agierendes Beratungsunternehmen mit diversen Geschäftsbereichen und einer Vielzahl von Mitarbeitenden brachte einige Herausforderungen mit sich:

  • Rechtliche Komplexität: Es waren internationale Datenschutzstandards und die sich damals noch entwickelnde KI-Gesetzgebung zu berücksichtigen.
  • Organisatorische Integration: Die KI-Governance sollte nahtlos in bestehende Compliance-Strukturen und Unternehmensprozesse eingebettet werden.
  • Change Management: Es galt, die Mitarbeitenden zu sensibilisieren und zu schulen, um Akzeptanz und verantwortungsvollen Umgang mit KI zu fördern.
  • Praktikabilität: Die zu entwickelnden Richtlinien und Prozesse sollten nicht nur theoretisch fundiert, sondern auch im Unternehmensalltag lebbarsein.

 

Unsere Lösung: Ein maßgeschneidertes KI-Framework

Gemeinsam mit dem Mandanten haben wir ein mehrstufiges KI-Framework entwickelt, das auf folgenden Kernkomponenten basiert:

Die KI-Policy – Das Grundgesetz für KI im Unternehmen

Als erste Komponente haben wir die KI-Policy formuliert. Wichtig war dabei, dass

  • die Richtlinie klare Grundsätze und Regeln für den verantwortungsvollen und rechtskonformen Einsatz von KI definiert.
  • sie ethische Aspekte, Datenschutz, Datensicherheit, Transparenzpflichten und Verantwortlichkeiten adressiert.
  • die Richtlinie Risiken von KI-Anwendungen klassifiziert und daraus Schutzmaßnahmen ableitet.

Informations- und Schulungsmaterialien für den Roll-Out

Um die KI-Policy mit Leben zu füllen, entwickelten wir verständliche Leitfäden, FAQs und Trainingsunterlagen für verschiedene Zielgruppen im Unternehmen.
Ziel war es, nicht nur Wissen zu vermitteln, sondern auch für die Chancen und Risiken von KI zu sensibilisieren und eine positive Fehlerkultur im Umgang mit neuen Technologien zu etablieren.

Ein agiler KI-Governance-Prozess

Herzstück des Frameworks ist ein klar definierter Prozess, der es dem Unternehmen ermöglicht, neue KI-Vorhaben strukturiert zu bewerten, Risiken zu identifizieren und Freigabeentscheidungen auf einer soliden Grundlage zu treffen. Dieser Prozess umfasst unter anderem:

  • Eine zentrale Anlaufstelle für KI-Initiativen
  • Ein standardisiertes Bewertungsverfahren (inkl. Datenschutz-Folgenabschätzung wo nötig)
  • Die Einbindung relevanter Stakeholder (Datenschutz, IT-Sicherheit, Rechtsabteilung, Betriebsrat)
  • Regelmäßige Überprüfung und Anpassung der eingesetzten KI-Lösungen

Das Ergebnis war: Rechtssicherheit, Transparenz und professionelles KI-Management

Durch die Implementierung dieses KI-Frameworks hat unser Mandant nicht nur die Einführung von MS Copilot auf eine sichere Basis gestellt, sondern ist nun generell in der Lage, die Potenziale von KI-Lösungen professionell, transparent und rechtskonform zu managen.

Die Vorteile eines KI-Framework sind vielfältig

Minimierung rechtlicher Risiken: Das KI-Framework gewährleistet, dass das Unternehmen datenschutzrechtliche Vorgaben einhält. Es ist damit auch auf zukünftige KI-Regulierungen gut vorbereitet.

  • Gestärktes Vertrauen: Transparenz gegenüber Mitarbeitenden und Kunden schafft Vertrauen in den Einsatz von KI.
  • Klare Verantwortlichkeiten: Definierte Rollen und Prozesse sorgen für Klarheit und Nachvollziehbarkeit.
  • Innovationsförderung mit Leitplanken: Mitarbeitende können neue KI-Tools im Rahmen klarer Richtlinien erproben und nutzen.
  • Zukunftsfähigkeit: Das Unternehmen ist gut gerüstet, um auch zukünftige KI-Entwicklungen proaktiv und verantwortungsvoll zu gestalten.

 

Fazit: KI-Einführung braucht mehr als Technik – sie braucht Governance

Der Fall dieses globalen Beratungsunternehmens zeigt exemplarisch: Die bloße Anschaffung von KI-Technologie reicht nicht aus, um deren Vorteile nachhaltig und sicher zu heben. Es bedarf einer strategischen Verankerung im Unternehmen, getragen von einer klaren KI-Governance, die rechtliche Anforderungen, ethische Überlegungen und praktische Umsetzbarkeit vereint. Die anfängliche, fokussierte Anfrage bezüglich MS Copilot entwickelte sich so zu einem grundlegenden Projekt, das dem Mandanten nun ermöglicht, die Chancen der künstlichen Intelligenz voll auszuschöpfen – und das mit der notwendigen Sicherheit und Professionalität.

 

Gerne diskutieren wir mit Ihnen, wie auch Ihr Unternehmen den Weg zu einer maßgeschneiderten und zukunftssicheren KI-Governance gestalten kann.

 

Dr. Jyn Schultze-Melling ist auch Teil der League of Law, unserer neuen Serie. Mehr über ihn und seine Arbeit erfahren Sie in Episode 2 „Big Data, Big Business“.

Explore #more

04.09.2025 | In den Medien

Gastbeitrag im Unternehmensjurist: Rechtsabteilungen strategisch transformieren: Ein Marktüberblick

Was beschäftigt Inhouse-Teams großer Unternehmen beim Thema digitale Transformation? Welche Themen werden in den kommenden Jahren entscheidend sein? Auf diese Fragen wirft der Rechtsabteilungsreport „Recht…

04.09.2025 | In den Medien

Gastbeitrag im Unternehmensjurist: Erfolgreiches Change Management in der HR-Abteilung

Die HR-Abteilung spielt eine entscheidende Rolle bei der digitalen Transformation. Sie ist nicht nur Betroffene, sondern Gestalterin des Wandels. Zwischen Transformation, Mitbestimmung und Vertrauen der…

03.09.2025 | In den Medien

Gastbeitrag in der Versicherungswirtschaft: Embedded Insurance – Mehr als nur ein neuer Vertriebsweg

Die Versicherungsbranche steht vor einem Paradigmenwechsel. Traditionelle Vertriebsmodelle werden zunehmend durch innovative Ansätze ergänzt, die darauf abzielen, den Zugang zu Versicherungspolicen zu erleichtern und die…

03.09.2025 | KPMG Law Insights

Lieferkettengesetz: Berichtspflicht entfällt, Sanktionen werden reduziert

Im Koalitionsvertrag haben die Koalitionspartner vereinbart, das Lieferkettensorgfaltspflichtengesetz (LkSG) im Zuge der Umsetzung der europäischen Lieferkettenrichtlinie CSDDD abzuschaffen und zuvor die Berichtspflicht des LkSG zu…

29.08.2025 | In den Medien

Statement von Ulrich Keunecke zum Sondervermögen Infrastruktur in Politico

KPMG Law Finanzexperte Ulrich Keunecke erklärt, wie das Sondervermögen Infrastruktur mit Kapital von Privatanlegern gehebelt werden kann. Sie finden den Beitrag in Politico (PayWall). „Wenn…

25.08.2025 | Dealmeldungen

KPMG Law berät APELOS im Rahmen der Refinanzierung und dem Kauf einer Praxisgruppe mit rund 50 Praxisstandorten.

Die KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) und die KPMG AG Wirtschaftsprüfungsgesellschaft (KPMG) haben die APELOS Therapie GmbH, eine führende Therapiepraxisgruppe in Deutschland, im Rahmen…

15.08.2025 | In den Medien

KPMG Law Statement in Die-Stiftung.de zum Thema Stiftungsregister – Der lange Weg zur digitalen Ordnung

Das Inkrafttreten der Stiftungsrechtsreform am 1. Juli 2023 markiert einen Wendepunkt im deutschen Stiftungswesen. Die Liste der nicht unumstrittenen Änderungen ist lang und soll auch…

14.08.2025 | KPMG Law Insights

Elektromobilität in der Logistik – rechtliche Herausforderungen

Um ihren CO2-Ausstoß zu verringern, setzt die Logistikbranche immer mehr auf Elektromobilität. Nicht nur die ESG-Regulatorik wie die Berichtspflichten sind die Ursache hierfür, auch…

07.08.2025 | KPMG Law Insights

NIS2: So müssen sich Energieversorger vor Cyberangriffen schützen

Im Juli 2025 meldete der Militärische Abschirmdienst Medienberichten zufolge einen deutlichen Anstieg von Ausspähversuchen und Störmaßnahmen durch den russischen Geheimdienst. Dass auch die deutsche Energieinfrastruktur…

06.08.2025 | KPMG Law Insights

Steueroasen: Wenn Geschäftsbeziehungen ein Strafverfahren auslösen

Ein deutsches Tech-Unternehmen zahlte seit Jahren Lizenzgebühren an einen Vertragspartner in Panama, ohne je Probleme gehabt zu haben. Nur wenige wussten jedoch, dass Panama seit

Kontakt

Dr. Jyn Schultze-Melling, LL.M.

Partner

Heidestraße 58
10557 Berlin

Tel.: +49 30 530199 410
jschultzemelling@kpmg-law.com

© 2025 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll