Sichere KI ist kein Selbstläufer – sie braucht Führung, Struktur und Kommunikation. Gerade kleinere Unternehmen und öffentliche Einrichtungen können viel gewinnen, wenn sie mutig, aber überlegt handeln. Alexandra Schillo über den verantwortungsvollen Einsatz von KI, die Bedeutung von Datenschutz und den unterschätzten Risikofaktor Schatten-KI.
Alexandra Schillo im Interview:
Alexandra Schillo
Geschäftsführerin | Zyntak
Frau Schillo, weshalb sollten Unternehmen Datenschutz heute strategisch denken – gerade im Hinblick auf Künstliche Intelligenz?
Daten sind das Rückgrat nahezu jeder unternehmerischen Tätigkeit. In unserer datengetriebenen Gesellschaft geht es längst nicht mehr nur um gesetzliche Pflichten, sondern um den Schutz von Know-how, Stabilität und Wettbewerbsfähigkeit. Angriffe auf Daten können Unternehmen ebenso effektiv lahmlegen wie physische Schäden – vom kleinen Handwerksbetrieb bis zum Konzern. KI verstärkt diesen Effekt, weil sie neue Möglichkeiten schafft, mit Daten zu arbeiten – aber eben auch neue Risiken. Deshalb ist Datenschutz kein Hindernis für Innovation, sondern deren Voraussetzung.
Wie gelingt ein sicherer und gleichzeitig praxisnaher Umgang mit KI in Unternehmen?
Indem KI als das betrachtet wird, was sie ist: ein Werkzeug. Kein Wundermittel, aber auch keine Bedrohung. Der Schlüssel liegt darin, konkrete Geschäftsprozesse zu analysieren, Ziele zu definieren und dann zu prüfen, ob und wie KI sinnvoll eingesetzt werden kann. Jedes Unternehmen hat unterschiedliche fachliche, technische und finanzielle Voraussetzungen – und darauf muss eine Lösung abgestimmt sein. Wir erleben oft, dass Unternehmen mit einer vorgefertigten Tool-Idee starten. Unser Ansatz ist umgekehrt: Erst der Prozess, dann die Technologie.
Was hilft Unternehmen bei der Auswahl der passenden Technologie?
Die wichtigste Frage ist immer: Welches Problem soll gelöst werden? Dann folgen technische und organisatorische Überlegungen. Zum Beispiel: Geht es um die Analyse vertraulicher Daten oder um öffentliches Textmaterial? Wird eine hohe Ergebnisqualität benötigt oder eher Nachvollziehbarkeit für Audits? Gibt es Vorgaben zur Datenverarbeitung, oder muss das System in eine bestehende Infrastruktur integriert werden? Solche Fragen sind entscheidend für die Wahl zwischen lokalem Machine Learning, cloudbasierter generativer KI oder hybriden Modellen. Ohne diese Analyse ist jeder Tool-Einsatz ein Blindflug.
Wie begegnen Sie der verbreiteten Sorge, KI könnte Sicherheitslücken öffnen?
Die Sorge ist berechtigt – aber lösbar. Wichtig ist, die Risiken realistisch einzuschätzen und gezielt abzusichern. Techniken wie Zugriffskontrolle, Eingabebegrenzungen oder menschliche Freigaben bei sensiblen Schritten helfen, Missbrauch zu verhindern. Es gibt keine Einheitslösung. Was für das eine Unternehmen praktikabel ist, kann für ein anderes zu teuer oder zu starr sein. Deshalb arbeiten wir mit individuell passenden Maßnahmen, orientiert an Risikopotenzial und Sicherheitsbedürfnis.
Was passiert Ihrer Erfahrung nach, wenn Unternehmen keine klare KI-Strategie haben?
Dann entsteht fast zwangsläufig eine sogenannte Schatten-KI. Mitarbeitende greifen auf frei verfügbare Tools zurück – oft mit privaten Lizenzen, ohne Freigabe, aber mit besten Absichten: Sie wollen ihre Arbeit effizienter machen. Doch genau hier lauern erhebliche Gefahren: Vertrauliche Daten gelangen in unsichere Systeme, vertragliche Verpflichtungen werden verletzt, regulatorische Vorgaben übertreten. Der Schaden ist im Zweifel enorm – und vollkommen unkontrollierbar.
Viele Unternehmen stehen gerade am Anfang ihrer Reise mit KI. Was ihnen fehlt, ist nicht die Technik – sondern Orientierung und Vertrauen in die eigene Entscheidung. Unser Anspruch ist: Nicht überfordern, sondern befähigen.
Das klingt nach einem Worst-Case-Szenario. Wie können Unternehmen Schatten-KI vermeiden?
Durch Klarheit. Unternehmen müssen nicht sofort eigene KI-Anwendungen einführen, aber sie müssen kommunizieren, ob und wie KI im Unternehmen genutzt werden darf. Auch ein KI-Verbot ist eine Entscheidung – aber nur, wenn es allen bekannt ist und aktiv durchgesetzt wird. Wer nicht handelt, überlässt das Feld dem Zufall. Neben klaren Vorgaben braucht es Schulung und Verständnis. Nur wenn Mitarbeitende den Rahmen kennen und verstehen, können sie sicher und verantwortungsvoll handeln.
Welche Rolle spielt dabei die Unternehmensleitung?
Eine zentrale Rolle! Entscheidungen zum KI-Einsatz, zur Risikobereitschaft und zu unternehmensweiten Regeln können nicht delegiert werden. Die Unternehmensleitung ist in der Verantwortung, klare Rahmenbedingungen zu setzen – nicht nur aus regulatorischer Sicht, sondern vor allem zum Schutz des eigenen Geschäftsmodells. KI-Nutzung ist keine IT-Aufgabe, sondern eine strategische Führungsfrage. Nur wenn die Geschäftsführung aktiv steuert, können Technologie, Organisation und Kommunikation wirksam zusammenspielen.
Viele Unternehmen fühlen sich durch neue Regulierungen wie den AI Act oder DORA überfordert. Ist die Sorge berechtigt?
Teilweise. Die Anforderungen sind hoch, aber sie dienen nicht der Kontrolle um der Kontrolle willen. Sie fordern Unternehmen dazu auf, ihre Prozesse besser zu verstehen, zu dokumentieren und gegen Risiken abzusichern. Der gefühlte Mehraufwand entsteht oft, weil jede Vorgabe isoliert behandelt wird – mit separaten Maßnahmen und Dokumentationen. Unser Ansatz ist ein integriertes System: Wir bilden gesetzliche, normative und vertragliche Anforderungen gemeinsam ab. So entsteht kein bürokratischer Overhead, sondern ein belastbarer Prozessrahmen.
Welcher Impuls ist aus Ihrer Sicht besonders wichtig für Unternehmen, die vor der Entscheidung stehen, ob und wie sie KI einsetzen?
Nicht jedes Unternehmen muss sofort KI einsetzen. Aber jedes Unternehmen muss eine Entscheidung treffen – und diese strategisch absichern. Es geht nicht darum, dem Trend hinterherzulaufen, sondern fundierte, realistische und zukunftsfähige Lösungen zu entwickeln. Das funktioniert nur, wenn Technik, Organisation und Kommunikation zusammen gedacht werden. Wer den Mut hat, klar zu entscheiden und Prozesse aktiv zu gestalten, wird nicht nur sicherer – sondern auch innovativer.
Über Alexandra Schillo
Alexandra Schillo ist Juristin und Expertin für Datenschutz. Gemeinsam mit Sascha Alder hat sie 2024 die “Zyntak GmbH” gegründet. Sie unterstützen Unternehmen bei der Einschätzung, welche ihrer Daten besonders wertvoll sind – und entwickeln praxistaugliche Schutzkonzepte. Ihr Ziel: Firmen dabei helfen, den Spagat zwischen Schutz und Kosten zu meistern – mit rechtskonformer, praxistauglicher Beratung zu Datenschutz und Informationssicherheit.