#29 KI-Kompetenz: Welches Knowhow erwartet die KI-Verordnung von Nutzern?

Christine Munker: Hallo und herzlich willkommen zu So geht's sicher, dem Podcast für Datenschutz und IT-Sicherheit in der Steuerkanzlei. Mein Name ist Christine Munker, bin Geschäftsführerin der Munker Privacy Consulting GmbH und ich möchte heute nochmal mit Ihnen über das Thema KI sprechen und zwar über das Thema KI Kompetenz. Das hat sie scheinbar gekriegt. Wir haben in unserer letzten Podcast-Folge über das Schulungserfordernis zum Thema KI, zum Einsatz von KI gesprochen, das jetzt ab dem zweiten zweiten, also ab dem kommenden Sonntag Pflicht ist für alle die, die KI in ihrem Unternehmen oder in ihrer Steuerkanzlei nutzen. Und dabei haben wir darüber gesprochen, dass den Mitarbeitern, die mit KI arbeiten, eben eine entsprechende KI-Kompetenz zu vermitteln ist. Und was das nun genau ist, da sind scheinbar noch einige Fragezeichen vorhanden. Wie immer, wenn Themen relativ neu aufkommen, in neuen Verordnungen festgeschrieben sind, dann wird das Ganze bestimmt in den nächsten Monaten noch intensiv ausdiskutiert und geregelt werden. Aber ich habe ein paar Gedanken dazu, die vielleicht schon mal ganz sinnvoll sind. Zum einen ganz vorneweg sollten Mitarbeiter natürlich erkennen können, wann sie mit einem KI-System agieren. Klingt jetzt erstmal eigentlich recht trivial, ist es in der Praxis aber gar nicht. Jeder von uns weiß, wenn er sich auf einer Internetseite anmeldet und zum Beispiel bei ChatGPT einloggt, dass er nun mit einer KI interagiert. Es gibt vielleicht andere Cloud-Dienstleistungen, die sind gegebenenfalls nicht ganz so bekannt wie ChatGPT. Da wird es vielleicht schon spannend. Ist sich wirklich jeder Mitarbeiter der Tatsache bewusst, dass sich dahinter ein KI-Tool verbirgt? Das ist natürlich schon mal ein Schulungsthema. Noch spannender wird es aber dann, wenn KI-Komponenten in Lösungen verwoben sind, die sie bisher schon hatten, also beispielsweise in ihrer Kanzlei-Software, in Rechtsdatenbanken und so weiter, wenn da auf einmal bestimmte Funktionen mit dem Einsatz von KI umgesetzt werden. Das müssen ihre Mitarbeiter erkennen, denn an dieser Stelle ist dann die entsprechende

Christine Munker: KI-Kompetenz notwendig, korrekt mit diesen Lösungen umzugehen. Das heißt, das wird natürlich immer dann relevant, wenn hier KI eingebaut ist in ihre Software-Tools beispielsweise, die aktiv und eigenständig Ergebnisse, Ergebnisse erstellt, Ergebnisse liefert. So wie beispielsweise der Microsoft Copilot, der in die Microsoft-Produkte ja mittlerweile schon sehr intensiv eingewoben, ein gebaut worden ist. Und da fällt es einem nicht immer ganz leicht zu unterscheiden, wann rede ich denn oder wann interagiere ich als User mit einer ganz normalen Suchfunktion beispielsweise und wann steckt da eine KI dahinter. Also diese Kompetenz müssen Sie als allererstes mal vermitteln, wann und wo ist denn wirklich KI in unseren Systemen zu finden. Das heißt, sind denn diese besonderen Regelungen, die Sie für den Umgang mit KI treffen, überhaupt anzuwenden. Hier hilft eine Auflistung der KI-Systeme, die Sie in Ihrer Kanzlei nutzen, ganz immens weiter. Denn da kann jeder Mitarbeiter einfach mal einen Blick reinwerfen und findet an der Stelle insbesondere auch heraus, welche Tools eben in anderen Softwarelösungen, die Sie im Zweifelsfall schon seit 10, 15 Jahren im Einsatz haben, integriert sind und wo gegebenenfalls Vorsicht geboten ist. Auch wenn diese KI-Tools keine eigen erstellten Ergebnisse liefern, die dann gegebenenfalls auch zu überprüfen sind, kann es natürlich sein, dass der Einsatz dieser KI beispielsweise zu den verbotenen Praktiken gehört oder zu den Hoch-Risikoszenarien, zu den Hoch-Risiko-KIs. Die sind eigentlich jetzt im ersten Moment noch gar nicht so relevant, denn der Teil aus der KI-Verordnung, in dem es Hoch-Risiko-Systeme geht, der kommt erst später zum Tragen. Der ist tatsächlich aktuell noch nicht in Kraft getreten. Aber stellen Sie sich vor, Sie setzen jetzt mit viel Personalauffwand und vielleicht auch finanziellem Aufwand eine KI ein, beispielsweise im Personalbereich, und stellen dann später fest, dass es sich hier eine KI handelt, die in den Bereich der Hochrisikosysteme fällt. Das wäre natürlich äußerst ärgerlich, denn der Einsatz dieser Hochrisikosysteme ist

Christine Munker: extrem stark reguliert und auch nur unter bestimmten Voraussetzungen überhaupt zulässig, sodass sie vielleicht im Nachhinein zu dem Punkt kommen, dass sie das Ganze wieder einstampfen. Und das ist natürlich wichtig, wenn ihre Mitarbeiter und die Personen, in ihrer Kanzlei auch über den Einsatz von KI-Tools entscheiden, jetzt schon wissen, was zu diesen Hochrisikosystemen gehört und natürlich auch, was für verbotene Praktiken in der KI-Verordnung. festgeschrieben sind. Die gelten nämlich auch schon ab dem 2. Februar, also ab dem Sonntag, und KI darf dann nicht mehr für diese verbotenen Praktiken eingesetzt werden. Also auch hier sollten Sie vielleicht die entsprechenden Fundstellen, das ist nämlich ziemlich gut aufgelistet in der KI-Verordnung, einfach in der Kanzlei in einem Wissensmanagement oder eben als Zusatz zu der Auflistung Ihrer eingesetzten KI-Tools. zur Verfügung stellen, damit jeder da mal reinschauen kann und insbesondere eben die Personen, die über den Einsatz von KI und die Auswahl der Systeme in ihrer Kanzlei entscheiden, Bescheid wissen, was sie besser jetzt schon lassen sollten oder eben nur mit bestimmten Vorsichtsmaßnahmen und bestimmten Prüfungen zum Einsatz bringen sollten. Was sollten Ihre Mitarbeiter noch wissen? In der KI-Verordnung haben wir noch das Thema Kontextbezogene, oder scenariobezogene KI-Kompetenz. Da ist es natürlich ganz klar, dass je nachdem, was ein Mitarbeiter mit KI tut, auch entsprechende Fähigkeiten dazu vermittelt werden sollten. Also wir können hier zum Beispiel ganz klar unterscheiden, wenn in einem Sekretariat die Erstellung standardisierter Marketing-Texte oder Einladungstexte oder ähnliches mit KI durchgeführt wird, dann ist hier weniger scenariobezogenes Wissen notwendig, als wenn sie beispielsweise Fachkräfte in der Steuerkanzlei mit einem Tool arbeiten lassen, das zum Beispiel steuerliche Berechnungen analysiert oder optimiert. Das heißt, je nachdem, was ein Mitarbeiter mit der KI macht, muss er eben die entsprechenden scenario-, also einsatzzweckbezogenen Kenntnisse haben, die er benötigt, zum Beispiel

Christine Munker: erkennen zu können, welche Risiken mit diesem Einsatz der KI verbunden sind, was dabei schiefgehen kann, wie die Ergebnisse interpretiert werden können, da eben falsche Ergebnisse geliefert werden können. Und darum geht es bei dem Thema Erkennen von Risiken durch den Einsatz einer KI. Der Mitarbeiter sollte natürlich auch entsprechend wissen, welche Folgen der Einsatz von falschen Ergebnissen für den Betroffenen hat oder wenn es keinen Betroffenen gibt, zum Beispiel für die Kanzlei, also welche Risiken entstehen, wenn ich ein Ergebnis, das mir die KI liefert, weiterverwende und das stimmt nicht. Das ist zum Beispiel im medizinischen Bereich eine ganz große Nummer, das kann sehr schnell gefährlich werden, wenn es tatsächliche Patientendaten geht. Im steuerlichen Bereich können hier auch unangenehme Folgen entstehen, vor allem auf finanzieller Seite, aber es können auch ganz grundsätzlich weitreichende Entscheidungen anders getroffen werden, wenn eben die Ergebnisse nicht so korrekt sind, wie es eigentlich sein sollten. Ich glaube, dieser Punkt, die Kontrolle der Ergebnisse ist in der Steuerkanzler etwas, damit können sie ganz gut umgehen, denn das tun sie wahrscheinlich auch bei vielen Berechnungen, die aus einer Software kommen, einfach mal zu checken, kann das überhaupt sein, was da rauskommt, bevor sie das Ganze abgeben. Ich habe mal gehört, es gibt sogar Menschen, immer, wenn Updates von den Software-Systemen kommen, erst mal nachrechnen, ob die Steuerergebnisse noch stimmen. Kann ich voll und ganz nachvollziehen. Das gehört aber auf jeden Fall eben auch zu der Kompetenz, im Einsatz mit einer KI, also bewerten zu können, was kommt da als Ergebnis, was kann ich damit anfangen und vor allem, wie vorsichtig muss ich denn wirklich damit sein, wenn der Marketing-Text, der am Sekretariat erzeugt wurde, vielleicht grammatikalisch nicht ganz richtig ist, dann ... ist das Risiko überschaubar, ist vielleicht ein Schmunzeln beim Leser. Wenn eine weitreichende Steueranalyse nicht passt, dann können hier vielleicht die ganz falschen Entscheidungen getroffen werden. Ich denke, das ist ganz gut klar geworden. Ansonsten kann ich nur empfehlen, dass Sie Ihre Mitarbeiter vor allem auch im Alltag bei der Nutzung der Systeme nicht alleine lassen. Das ist jetzt zwar kein Schulungsthema, aber im Grunde doch.

Christine Munker: Wir reden hier von Learning on the Job, Learning by Doing sozusagen. Das heißt, wenn die Mitarbeiter mit den Tools arbeiten, zur Verfügung stehen, sich auch mal Fallbeispiele anschauen, sich einfach mal zeigen lassen, was setzt du denn da ganz konkret gibt es da Themen dazu, wie verwendest du das Ganze weiter, was sind die tatsächlichen Praxisfälle? Denn oft ist es ja so, dass man sich vorstellt, für welchen Zweck eine KI sinnvoll ist und Mitarbeiter haben im Alltag aber ganz andere Ideen, die sie damit umsetzen können, dann kann tatsächlich wirkliches Lernen stattfinden, auch für sie, auch für die ganze Organisation durch das Feedback der Mitarbeiter. Und die KI-Einsatzszenarien können verbessert werden, erweitert werden, optimiert werden. Es kann die Fehlerwahrscheinlichkeit reduziert werden und damit heben sie den Einsatz der KI insgesamt relativ einfach. auf eine immer höhere Stufe, denn sie kommen in so Art Management des KI-Einsatzes rein, weil sie das Ganze nicht einfach laufen lassen, sondern eben immer wieder überprüfen, was passiert da eigentlich gerade, was können wir noch verbessern und so weiter. Wenn Sie in Ihrer Kanzlei die Kompetenzen dazu nicht unbedingt sehen oder auch nicht die Zeit haben, sich damit so intensiv zu befassen, dann empfehlen wir Ihnen, sich auf einen KI-Trainer an dieser Stelle zu verlassen. Davon gibt es mittlerweile. viele und auch sehr kompetente Trainer-Trainingsangebote. Das heißt, wenn Sie sich einen Fachmann an der Stelle, einen entsprechenden Berater zur Seite holen, der sich den ganzen Tag mit dem Thema KI beschäftigt, der vielleicht auch noch ein paar andere Tools kennt, die Sie noch gar nicht kennen, der sehr, sehr fit im Einsatz mit der KI ist und der wahrscheinlich alles das, was Sie in den ersten Umsetzungsversuchen erst mal selber lernen müssten. gelernt hat und ihnen sagen kann, was sie da am besten vermeiden, dann haben sie auf jeden Fall auch jemanden an der Hand, der ihnen hilft, schneller in dieses Thema reinzukommen und vor allem ihren Mitarbeitern sehr kompetent zur Seite stehen kann, wenn eben Fragen auftauchen. Warum reden wir aus Datenschutz- und IT-Sicherheitssicht eigentlich so viel über KI und werden es bestimmt auch noch weiter tun? Das ist ganz einfach.

Christine Munker: Wir haben hier eine ganz neue Art der Datenverarbeitung, denn in der Regel, wenn Sie in Software-Systeme Daten reinpacken, ist relativ klar ersichtlich, wenn nicht für Sie als Nutzer, dann für den Entwickler, was mit den Daten passiert und was dabei rauskommt. Die KI ändert da die Spielregeln ein bisschen. Das ist nicht der einzige Grund, warum wir Datenschützer das spannend finden, aber mit tatsächlich für mich zumindest der wichtigste Grund. Die KI ändert diese Spielregeln, je nachdem, welche Systeme zum Einsatz kommen. Das heißt, wenn Sie nun meine Daten in diese KI reinpacken, in welcher Form auch immer und zu welchem Zweck auch immer, dann können Sie teilweise gar nicht wirklich einschätzen, was mit meinen Daten passiert, zu welchem Zweck die von irgendjemand ganz anderem verarbeitet werden, wo die wieder auftauchen und Sie können sie vor allem nur schwer wieder rauskriegen. Nicht bei allen Systemen, aber vor allem bei den großen öffentlichen KI ist das ganz häufig so. Und deswegen sind wir natürlich erpicht darauf, von Anfang an das Wissen zu vermitteln, dass mit dem Eingeben von Daten in KI, mit dem Verarbeiten von Daten in KI wirklich sehr vorsichtig vorgegangen wird. Denn was da mal drin ist, kriegt man schwer wieder raus. Wie gesagt, von System zu System abhängig, aber gerade bei den großen KI-Systemen, mit denen wir ja alle sehr viel arbeiten. ist das in der Regel ebenso und deswegen müssen wir hier besonders vorsichtig mit diesen Themen umgehen. Dass KI auch mal ein Sicherheitsthema werden kann, das ist nun schon hinreichend bewiesen, denn je nachdem welche Infos man der KI gibt, können andere das eben auch auf eine andere Art und Weise ausnutzen, die dann durchaus mal sicherheitsrelevant für ein Unternehmen werden kann. Die KI bildet eben auch ihre eigenen Rückschlüsse und die sehr intelligent. Das sollte man immer im Hinterkopf haben. Also egal, welche Informationen man in die Systeme reinpackt, hab ich mal ganz persönlich dazu sagen. Mein Großvater hat immer gesagt, man sollte nie in soziale Netzwerke reinstecken, was man nicht möchte.

Christine Munker: Man sollte also immer darauf achten, welche Informationen man vor allem von anderen Personen in die KI reinpackt und sollte sich vorher vergewissern, dass derjenige das auch vielleicht auf der Titelseite einer Zeitung lesen wollen würde, denn man weiß am Ende des Tages nie, wo es irgendwann mal in der Öffentlichkeit landet. Man sollte also insgesamt sehr vorsichtig damit sein, welche Daten man in die KI reinpackt, vor allem wenn es Daten anderer Personen geht, wenn es Unternehmensdaten geht, sensible Informationen und deswegen informieren wir sehr gerne und sehr intensiv zu diesem Thema. Ein weiteres Thema,

Christine Munker: Bei der Gelegenheit sei mir noch ein Hinweis gestartet und zwar auf ein neues oder in Anführungszeichen relativ neues KI-Tool namens Deep Search. Das ist im Moment in aller Munde. Hier gibt es ganz erhebliche Bedenken von Aufsichtsbehörden, von Datenschützern, dass dieses Tool überhaupt in irgendeiner Form eine Idee von Datenschutz-konformer Verarbeitung hat, wenn man sich die AGBs an sieht, wird alles mögliche gespeichert und weiterverarbeitet. Man hat relativ wenig Einfluss darauf, was mit den Daten passiert und auch keinen Einblick tatsächlich. Die Information fehlt da ein kleines bisschen. Aus Datenschutzsicht müssen wir tatsächlich

Christine Munker: An Stelle sei mir noch ein kleiner Hinweis erlaubt und zwar geht es mir das Tool Deep Search, das im Moment als großer Chat-GPT-Gegenentwurf sozusagen in aller Munde ist. Wenn wir über den Natenschutz reden und Deep Seek im gleichen Atemzug nennen, dann müssen wir hier wirklich sehr, sehr vorsichtig sein. kann zwar scheinbar richtig viel, aber wenn man den Aufsichtsbehörden, die sich damit beschäftigt haben, folgen, darauf kann es auf gar keinen Fall Datenschutz. Das heißt, was hier in welcher Form verarbeitet wird, ist vollkommen unklar. Der Nutzer willigt so ziemlich einer...

Christine Munker: An dieser Stelle möchte ich noch einen kleinen Hinweis geben und zwar zu dem Tool Deep Search, das im Moment in aller Munde ist. Dieses Tool kann KI-technisch scheinbar richtig viel. Was es definitiv nicht kann, ist Datenschutz. Zu der Vermutung, zu der sehr faktengeschützten Vermutung, sind auch schon diverse Aufsichtsbehörden gekommen, die sich mit dem Thema Datenschutz und Deep Search beschäftigt haben. Und wenn man deren Meinung folgt, dann sollte man dieses Tool im Moment zumindest am besten nicht nutzen, zumindest nicht dann, wenn man vorher auch nur in irgendeiner Art und Weise personenbezogene Daten dort reinzugeben. Diesen Hinweis gestatten Sie mir also noch ganz zum Schluss. Passen Sie da auf, wenn Sie dieses Tool einsetzen möchten, ausprobieren mit völlig neutralen Informationen. Geht natürlich immer, das ist klar. Aber passen Sie hier auf, dem Moment, wo sensible Informationen reingesteckt werden oder eben personenbezogene Informationen, personenbezogene Daten, da ist bei Deep Search noch sehr vieles nicht wirklich geregelt. Das war es auch schon mit unserer zweiten Folge in dieser Woche zum Thema KI. Ich hoffe, die Tipps zum Thema KI-Kompetenz, zum Thema Schulung haben Ihnen einen... einen kurzen kleinen Einblick in das Thema gegeben, wie Sie da in Ihrem Unternehmen oder in Ihrer Kanzlei damit vorgehen können. Wenn Sie Fragen dazu haben, wenn Sie weitere Themenwünsche haben, auch gerne zum Bereich KI, dann wenden Sie sich gerne an uns. Die Kontaktdaten finden Sie wie immer in den Show Notes. Und wenn Sie unsere Tipps als ganz hilfreich empfunden haben, dann freuen wir uns natürlich auch, wenn Sie diesen Podcast abonnieren. Wir wünschen Ihnen jetzt noch einen schönen Tag. Und bis zum nächsten Mal. Danke fürs Zuhören.