Was wäre, wenn Regulierung kein Hindernis für die KI-Transformation wäre, sondern ein strategischer Vorteil? Galen spricht mit Lauren Wallace – ehemalige Chief Legal Officer bei RadarFirst und erfahrene Expertin für Recht, Produkt und KI-Governance – darüber, wie regulierte Branchen ihre bereits vorhandene Compliance-Kompetenz nutzen können, um in der KI-Ära verantwortungsvoll führend zu sein.
Sie sprechen über die praktischen Aspekte beim Aufbau datenschutzorientierter KI-Strategien, das Setzen klarer ethischer Leitlinien und das Schaffen interner Dynamik über funktionsübergreifende Teams hinweg. Wer in einem hochgradig regulierten Umfeld die digitale Transformation gestaltet, erhält in dieser Episode fundierte Ratschläge und wertvolle Einblicke aus erster Hand.
Das lernen Sie in dieser Folge
- Warum regulierte Branchen schon jetzt die Infrastruktur für eine erfolgreiche KI-Transformation besitzen könnten – und wie man darauf aufbaut.
- Die Kernelemente einer datenschutzorientierten KI-Strategie – von Werten über Governance bis hin zu funktionsübergreifenden Teams.
- Wie sich ethische Grundsätze wie Transparenz, Verantwortlichkeit und Vorbeugung von Verzerrungen in der Praxis umsetzen lassen – und nicht nur auf einem Poster stehen.
- Praktische Wege, um interne Abstimmung zu schaffen, ein gemeinsames Vokabular zu entwickeln und eine Kultur des „Wir sind alle verantwortlich dafür“ rund um Daten- und KI-Risiken zu etablieren.
- Ein realistischer Blick auf die Zukunft: Regulierung, Rechtsstreitigkeiten, Grauzonen – und was jetzt Priorität haben sollte, statt auf die perfekte Klarheit zu warten.
Wichtige Erkenntnisse
- Denkweise zur Datenstrategie: Betrachten Sie die persönlichen Daten Ihrer Nutzer als Ihr Eigentum zur Wertschöpfung oder als Verantwortung, um sie für Ihre Nutzer zu schützen? Ein Wechsel dieser Perspektive verändert grundlegend, wie Sie KI verantwortungsvoll gestalten.
- Behandeln Sie „Compliance“ nicht nur als Abhakliste – nutzen Sie bestehende Governance-Strukturen (Datenschutz, Sicherheit, Verbraucherschutz) als Sprungbrett für KI. Wenn Kontrollen bereits bestehen, setzen Sie diese ein.
- Bringen Sie das ganze Team (Produkt, Technik, Recht, Marketing, Kundenerfolg, Sicherheit) frühzeitig in KI-Diskussionen ein. Es ist nicht nur ein „Tech“-Projekt, sondern eine unternehmensweite Debatte über Wert, Risiko und Vertrauen.
- Bei der Bewertung eines KI-Tools oder -Modells: Fragen Sie „Was ist der Anwendungsfall? Was ist der Nutzen? Wer trägt die Verantwortung? Verstehen wir dieses Modell? Können wir diese Entscheidung vertreten?“ Wenn Sie das nicht können, ist es angebracht, nein zu sagen.
- Kultur und Bildung zählen. Regelmäßige „Lunch & Learn“-Sessions zu ethischer KI, Erfahrungsberichten, Fehlern bei Transparenz – das schafft ein gemeinsames Vokabular und Bewusstsein, sodass Teams nicht isoliert arbeiten und den Anschluss verlieren.
- Die Zukunft wartet nicht auf perfekte Gesetze. Handeln Sie schon jetzt nach Ihren Werten. Definieren Sie Ihre Risikoschwellen, setzen Sie klare Führungssignale und bereiten Sie sich auf regulatorische oder juristische Veränderungen vor, statt nur darauf zu reagieren.
Kapitel
- 00:00 – Datenschutz als Menschenrecht
- 00:04 – Ist Regulierung ein Hindernis oder Vorteil?
- 00:08 – Privacy-by-Design als Basis
- 00:13 – Globale Modelle für Datenbesitz
- 00:16 – Bestandteile einer datenschutzorientierten KI-Strategie
- 00:26 – Anwendungsfälle: intern vs. produktorientiert
- 00:30 – Verantwortlichkeit im Team etablieren
- 00:34 – Funktionsübergreifende Zusammenarbeit & Kultur
- 00:46 – Ausblick: Regulierung & Risiko
- 00:48 – Abschluss & Fazit
Unser Gast im Überblick

Lauren Wallace ist eine erfahrene Technologie- und Datenschutzanwältin sowie Führungskraft. Sie arbeitet als Strategische Beraterin und war zuvor Chief Legal Officer bei RadarFirst. Sie bringt über 20 Jahre Erfahrung an der Schnittstelle von Technologie, Recht und Wirtschaft mit. Lauren hatte Führungsrollen in internationalen Technologiekonzernen und innovativen Startups – darunter Beratung und interne Rechtsberatung in den Bereichen Unternehmenssoftware, SaaS und Datenschutz-Governance. Als Certified Information Privacy Professional (CIPP/US) war Lauren maßgeblich an der Gestaltung der rechtlichen, regulatorischen und kommerziellen Strategie von RadarFirst beteiligt und ist weiterhin aktiv in Portlands Wirtschafts- und Non-Profit-Community engagiert.
Ressourcen aus dieser Folge:
- Tritt der Digital Project Manager Community bei
- Abonniere den Newsletter, um unsere neuesten Artikel und Podcasts zu erhalten
- Vernetze dich mit Lauren auf LinkedIn
- Schau dir RadarFirst an
- NOYB – None of Your Business (Datenschutzorganisation von Max Schrems)
- AI Incident Database
Verwandte Artikel und Podcasts:
Lauren Wallace: Datenschutz ist ein grundlegendes Menschenrecht. Es ist eine grundlegende Erwartung, die es uns ermöglicht, unser Leben selbstbestimmt zu führen. In den USA haben wir traditionell den Wert dieser persönlichen Informationen als Eigentum des Unternehmens betrachtet, das sie gesammelt hat. In der EU hingegen ist Datenschutz ein fundamentales Menschenrecht, und das Recht auf Verfügung über die Verwendung Ihrer personenbezogenen Daten liegt beim Betroffenen – dem Menschen.
Galen Low: Ist Regulierung das bürokratische Hindernis, das regulierte Branchen in ihrer KI-Transformation ausbremst?
Lauren Wallace: Ich denke, stark regulierte Unternehmen haben tatsächlich einen Vorteil bei der Gestaltung und Umsetzung konformer KI-Programme. Sie sind bereits fest in bestehende regulatorische Rahmen eingebettet. Vor etwa eineinhalb Jahren haben wir eine monatliche Lunch-&-Learn-Reihe zum Thema ethische KI ins Leben gerufen. Wir haben über Transparenz gesprochen, über Verantwortlichkeit. Das macht am meisten Spaß. Denn jeder liebt diese Erlebnisse aus der Praxis, oder? Ich habe Beispiele herausgezogen, brandaktuelle, schockierende Fälle, bei denen Prinzipien wie Transparenz oder Vermeidung von Verzerrungen ins Spiel kamen.
Galen Low: Willkommen beim Podcast des Digital Project Manager – die Show, die Führungskräfte im Projektmanagement dabei unterstützt, klüger zu arbeiten, schneller zu liefern und besser zu führen im Zeitalter der KI. Ich bin Galen, und jede Woche tauchen wir ein in praxisnahe Strategien, neue Tools, bewährte Frameworks und gelegentlich Erlebnisse von der Projektfront. Ganz gleich, ob Sie riesige Transformationsprojekte steuern, KI-Workflows meistern oder einfach versuchen, das Chaos zu bändigen, Sie sind hier genau richtig. Los geht's.
Heute lüften wir den Schleier der KI-Transformation in regulierten Branchen und betrachten, wie ein datenschutzorientierter Ansatz für KI tatsächlich Innovation beschleunigen, funktionsübergreifende Zusammenarbeit fördern und einen reibungslosen Weg zu nachhaltigem Erfolg ebnen kann. Mit dabei ist heute Lauren Wallace, strategische Beraterin und ehemalige Chief Legal Officer bei RadarFirst.
Lauren hat einen umfangreichen Hintergrund von der Rechts- und Geschäftsentwicklung bis hin zu Führungspositionen bei Marken wie Apple, Microsoft, Nike sowie Venture Capital- und Private-Equity-geförderten Start-ups. Sie ist bekannt für ihre praxisnahe und zugängliche Beratung für Rechts-, Produkt-, Marketing- und Entwicklungsteams zur verantwortungsbewussten Nutzung von KI. Und sie ist eine treibende Kraft, wenn es darum geht, Compliance in regulierten Umgebungen zu navigieren.
Lauren, vielen Dank, dass du heute hier bist!
Lauren Wallace: Danke für die Einladung. Ich freue mich, dabei zu sein.
Galen Low: Ich mich auch! Wir haben uns eben im Vorfeld schon richtig gut abgestimmt. Ich wünschte, ich hätte das aufgezeichnet. Ich bin wirklich gespannt auf das Gespräch.
Wir passen energetisch gut zusammen. In mancher Hinsicht sehen wir die Dinge ähnlich, in anderer vielleicht nicht. Ich finde deinen Hintergrund besonders spannend, weil du diese Mischung aus schnelllebiger Start-up-Kultur und dem eventuell weniger rasanten Tempo regulierter Branchen, wie im Finanzsektor, mitbringst. Ich glaube, heute können wir sowohl die eine als auch die andere Perspektive beleuchten, aber hier ist unser Fahrplan:
Zu Beginn möchte ich gleich eine dieser großen, brennenden Fragen aus dem Weg räumen, die paradoxerweise alle beschäftigt. Danach würde ich gern auf drei Dinge näher eingehen. Zunächst: Wie sieht eine wirklich datenschutzorientierte KI-Strategie auf Komponentenebene aus und was müssen Führungskräfte in regulierten Branchen dafür implementieren? Und was sind die Vorteile?
Dann möchte ich Beispiele dafür beleuchten, wie ein Privacy-by-Design-Ansatz praktisch aussieht und wie Leitende in Abteilungen, die die KI-Strategie des Unternehmens umsetzen, sich so aufstellen können, dass sie künftige Probleme vermeiden. Schließlich interessiert mich, wie die Wettbewerbssituation nach fünf Jahren aussieht, wenn Organisationen verschiedenster Größen Fortschritte mit ihren KI-Strategien erzielt haben. Das war jetzt eine Menge. Wie klingt das für dich?
Lauren Wallace: Außer dem Fünf-Jahres-Ausblick, Galen, klingt das super. Aber ich denke wir können viel abdecken heute.
Galen Low: Alles klar. Wir können ja auch einfach mal die Kristallkugel holen – ob 3, 5 oder 10 Jahre, wir schauen mal.
Ich starte gleich mit einer großen, haarigen Frage, aber ich leite das kurz ein. Wenn wir an stark regulierte Branchen denken wie Finanzdienstleistungen, Gesundheitswesen, Energie, Telekommunikation etc., denken die meisten an Einschränkungen, die Unternehmen zwingen, langsam zu agieren.
Und daraus folgt dann oft die Annahme, dass auch die KI-Transformation in diesen Branchen schleppend verlaufen wird und diese Organisationen im Vergleich zum Rest der Welt ins Hintertreffen geraten, während die Allgemeinheit ihre KI-Strategien im Rekordtempo vorantreibt. Meine große, haarige Frage also: Ist Regulierung das bürokratische Hindernis, das regulierte Branchen aufhält – oder ist sie ein Fundament, das langfristig allen nützt – oder etwas ganz anderes?
Lauren Wallace: Ja. Ich sage: etwas ganz anderes. Ich würde mich irgendwo in der Mitte deiner aufgezählten Möglichkeiten einordnen. Tatsächlich glaube ich, stark regulierte Unternehmen haben einen Vorteil dabei, konforme KI-Lösungen zu entwerfen und einzuführen.
Die Prinzipien, die der KI-Steuerung zugrunde liegen, wie Transparenz, Verantwortlichkeit, Überwachung und Vermeidung von Verzerrungen, sind zentrale Elemente eines KI-Governance-Programms. Diese sind bereits fester Bestandteil bestehender Regulatorien. Und das ist ein größerer Umfang, als es viele denken.
Denn dazu gehört beispielsweise die DSGVO. Egal in welcher Branche Sie tätig sind – Sie haben sicher schon davon gehört. Im Bankensektor unterliegen Sie zudem Fair-Lending-Gesetzen. Wenn Sie Personal einstellen, gelten Gleichstellungsgesetze. Es gibt viele weitere zivilrechtliche und verbraucherschützende Regelwerke, die insbesondere den Einsatz von algorithmischer Entscheidungsfindung einschränken oder verbieten können.
Diese Regeln, wie etwa das Model-Management in Banken, sind seit Ewigkeiten in Kraft. Es geht dabei um algorithmische Entscheidungsfindung, was sich direkt auf den Gebrauch heutiger KI-Tools übertragen lässt. Die großen, stark regulierten Organisationen in den genannten Sektoren verfügen längst über robuste Compliance-Programme für diese Rahmenwerke.
Sie haben Ressourcen, Steuerungsmechanismen und Tools speziell für die Einhaltung dieser Rahmenbedingungen. Das Hinzufügen von KI-Governance mag nicht ganz einfach sein, aber immerhin müssen Sie nicht bei null beginnen, wenn Sie KI-Compliance integrieren wollen.
Ich habe viele dieser großen Unternehmen bei ihren KI-Compliance-Programmen begleitet – da gibt es die gesamte Bandbreite. Manche sind noch unsicher oder haben eine gewisse Skepsis gegenüber KI. Aber viele sind äußerst fortschrittlich.
Sie haben diese Programme etabliert und suchen nur noch nach Wegen zur Erweiterung, nach erforderlichem Know-how und Talenten und nach Möglichkeiten, die Community einzubinden und KI-Compliance auf die gesamte Organisation auszuweiten. Und sie, und das weiß ich aus eigener Erfahrung, unterliegen schon lange einem komplexen Flickenteppich an Meldepflichten für Sicherheitsvorfälle.
An meine Community, meine RadarFirst-Leute, die das zur Meldung nutzen: Ich liebe es! Unser Produkt, wovon ich ein Riesenfan bin, enthält etwa 500 globale Meldepflichten für Datenschutz- und Sicherheitsvorfälle, gegen die Sie Vorfälle testen können. Wichtig ist: Es spielt keine Rolle, wodurch der Vorfall verursacht wurde – durch ein fehlgeleitetes Fax oder eine KI, die personenbezogene Informationen nutzt.
Ein Vorfall ist ein Vorfall. Sobald personenbezogene Daten betroffen sind, greifen diese Meldepflichten. Das muss man wissen – ein KI-Vorfall ist da nicht ausgenommen. Und Sie können nicht einfach der KI die Schuld geben – das geht nach hinten los.
Sie brauchen ein Verfahren zum Management der Vorfälle – und dieses muss nun erweitert werden. Doch Sie fangen immerhin nicht ganz von vorne an. Ich denke, die größere Herausforderung betrifft eher mittelständische Unternehmen. Sie sehen sich den Regulierungen häufig erst beim ersten Einsatz von KI in ihren Prozessen gegenüber – und wissen oft nicht, wo sie beginnen sollen.
Sie haben vielleicht noch nie Tools gehabt, mit denen sie Daten im großen Stil analysieren konnten. Aber plötzlich verfügen sie dank neuer, erschwinglicher und zugänglicher KI-Produkte über solche Möglichkeiten. Und nun nutzen sie Daten in bisher ungeahnten Prozessen und setzen diese Daten neuen Risiken aus.
Für diejenigen, die von Grund auf mit der Governance starten, sage ich: Da wartet eine Menge Arbeit. Das war meine lange Antwort auf deine kurze Frage.
Galen Low: Ich habe auf einen hoffnungsvollen Nachsatz gewartet. Ihr habt viel Arbeit vor euch, aber…
Lauren Wallace: Kommen wir also zum hoffnungsvollen Teil. Denn ich glaube, man kann immer mit den grundlegenden Prinzipien von Privacy by Design starten und diese dann nicht nur auf den Schutz personenbezogener Daten ausweiten, sondern auch auf firmeninterne, geschäftskritische Informationen.
Denn Sie haben neue Risiken, wenn Sie Unternehmensdaten etwa in ChatGPT hochladen. Sie sollten sicherstellen, dass Ihre Sicherheitsmaßnahmen passen. AI bietet enorme neue Angriffsflächen – also müssen Sie für bestmögliche Sicherheit sorgen. Und am wichtigsten ist – und darauf hoffe ich, dass wir heute besonders eingehen –, dass Sie intern den Dialog anstoßen: Was wollen Sie mit KI wirklich erreichen? Was glauben Sie, mit KI tun zu können? Was ist der echte Mehrwert, den Sie erzielen wollen? Dieser interne Dialog ist zentral für Ihre KI-Strategie.
Ich unterteile das gern in zwei Bereiche: Erstens, welche internen Einsatzzwecke gibt es für KI – etwa Produktivitätssteigerung, Ersatz existierender Tools, Funktionserweiterungen –, und zweitens, welche Anwendungsfälle im Bereich der Produktentwicklung existieren?
Galen Low: Mhm.
Lauren Wallace: Für jeden gibt es ganz unterschiedliche Überlegungen.
Galen Low: Da will ich auf jeden Fall noch tiefer einsteigen. Ich bin froh, dass du auch den „Muskel“ ansprichst und die DSGVO, weil ich aus der digitalen Welt komme – und bei uns gab es zwei große Themen, bei denen wir der Regulierung hinterherhinken mussten: Erst die DSGVO, davor Barrierefreiheit und das Amerikanische ADA-Gesetz. Da brach dann Hektik aus, weil wir keine Prozesse, kein Vokabular, keine Meldeketten, ja nicht einmal Überblick über unsere Daten hatten und ziemlich ins Schleudern kamen. und manche kamen gerade dabei nach vorne – vor allem beim Thema Barrierefreiheit.
Einige Agenturen, die ihren Kunden halfen, barrierefreie digitale Lösungen zu entwickeln, waren klar im Vorteil – aber es war trotzdem ein ziemliches Chaos, weil wir es eben genau umgekehrt betrachtet haben, wie du beschrieben hast: Hauptsache Geschwindigkeit, Hauptsache Tools ausprobieren, und die Regeln ignorieren – bis wir plötzlich gezwungen waren, sie einzuhalten.
Lauren Wallace: Tja, Vorschriften! So viele Vorschriften, und sie sollen eigentlich alle ähnliche Prinzipien ausdrücken, werden aber unterschiedlich umgesetzt. DSGVO und CCPA – das kalifornische Datenschutzgesetz, gefolgt vom CPRA – sie stammen alle aus einer guten Motivation, aber die praktische Umsetzung ist verschieden. Viele meiner Kund:innen machen es daher so, dass sie nach dem höchsten Standard suchen: Was ist konsistent über alle Regulierungen hinweg, die für uns gelten? Und dann behandeln sie alle Daten so, als ob sie dem höchsten Standard unterliegen würden. Wer immer nur das absolute Minimum macht, spart vielleicht kurzfristig Regulierungskosten, aber zahlt langfristig viel mehr bei der Implementierung und verliert den Fokus, neue interessante Dinge zu entwickeln.
Also besser: Finde den ethisch besten Weg – und setze ihn um. Barrierefreiheit ist übrigens ein Herzensthema von mir. Ich arbeite mit anderen Gruppen daran und würde gerne darüber im Kontext KI ein eigenes Gespräch führen. Ich finde, wir machen viele Annahmen, dass Leitlinien wie die WCAG, bei denen man Attribute auf Websites nur abhakt, für KI-Anwendungen ausreichen. Aber die kognitiven Anforderungen und Zugangsszenarien sind ganz andere. Besonders, wenn Menschen z.B. per Sprachassistent KI im Alltag nutzen. Die KI moderiert im Hintergrund, deine Nutzerumgebung wird für dich gestaltet, aber du erfährst es nicht. Das ist mächtig – und verpflichtet uns, auch für beeinträchtigte Menschen mehr zu tun. Ich freue mich auf ein separates Gespräch über KI und Barrierefreiheit!
Galen Low: Das Thema Gerechtigkeit und gleicher Zugang kommt in diesen Gesprächen definitiv immer öfter auf. Auch ich habe am Web-Barrierefreiheit-Projekt mit WCAG gearbeitet; leider oft ein Ausfüllen von Checkboxen kurz bevor Bußgelder drohen. Das reine Unterlaufen sorgt aber meist für noch mehr Risiko, weil das Aufbessern später oft teurer ist. Wer nur den Mindeststandard erfüllt, zahlt am Ende mehr – durch Nachbesserungen oder Zusatzinitiativen.
Lauren Wallace: Ja, Nachbesserungen im Nachhinein will keiner. Einen hohen Standard zu wählen fördert auch einen ethischen Ansatz in der Arbeit. Auch ohne klare Regulierung hilft eine einheitlich hohe Norm. Denn die Herausforderungen kommen vielleicht nicht von der Regulierungsseite, sondern vielleicht durch Sammelklagen, Wettbewerber etc. Einen Minimalstandard irgendwo gerade so einzuhalten genügt oft nicht.
Als Organisation sollte man vielmehr nachweisen, nach eigenen ethischen Leitlinien gehandelt zu haben. Und das ist ein Thema heute – Konsens und Engagement im Unternehmen. Als Projektmanager ist das täglich Brot: Kommunikation und Alignment. Frage ist, wie kommuniziert man diese Werte? Welche Tools und welches Vokabular gibt es?
Galen Low: Da steigen wir gerne tiefer ein. Ich habe dich über datenschutzorientierte KI-Strategien sprechen hören. Das Thema Ethik und Kommunikation steht auch bei mir ganz oben. Könntest du für unsere Hörer:innen einmal darlegen, was die Kernbausteine eines datenschutzorientierten KI-Ansatzes sind, vielleicht auch die Vorteile – gern auch weiter gefasst als nur Datenschutz, denn Ethik ist ja der Kern davon.
Lauren Wallace: Ich zoome erst einmal rein – und werde etwas persönlich, vielleicht umstritten. Für mich ist Datenschutz ein grundlegendes Menschenrecht, ein Basiselement, das unser Leben selbstbestimmt macht. Organisationen und Staaten sollten das nur sehr vorsichtig beschränken – oder besser: es gar nicht tun. Etwas umstritten – ja –, wenn man sich die globale Landschaft ansieht. Die EU ist der Vorreiter bei Datenschutz als Menschenrecht und artikuliert das in der DSGVO sehr deutlich, und per EU-KI-Gesetz, das stark auf der DSGVO aufbaut.
Das ist Teil der DNA der EU: Datenschutz ist Menschenrecht, und das Recht auf Verfügung über die Daten liegt beim Menschen. In den USA hingegen hat man den Wert der Daten meist dem Unternehmen zugesprochen, das es gesammelt hat – weil sie den Wert extrahieren, also gehört er ihnen. Weniger umstritten ist der Ansatz mancher Staaten, die sogar den spezifischen Inhalt der personenbezogenen Daten als Eigentum des Staates betrachten, weil der Staat sie angeblich zum Wohle des Betroffenen nutzt.
Das sind drei völlig unterschiedliche Basistheorien dazu, wem die Daten „gehören“ und wer den Wert daraus zieht. Kommt man davon ausgehend zu den ethischen Leitlinien eines Unternehmens, muss man sich fragen: Wo stehen wir? Hier sollten Unternehmen ansetzen. Nicht einfach mit Prinzipien wie Fairness, Verantwortlichkeit, Bias-Minderung. Das sind gute, wichtige Worte, die helfen, Vorlagen zu schaffen und die Werte des Unternehmens intern zu teilen. Doch die Kernfrage ist: Glauben wir als Unternehmen, dass es unser Nutzen ist, Wert aus personenbezogenen Daten zu ziehen? Oder wollen wir den Kunden bei der Nutzung im Sinne des Betroffenen unterstützen? In den USA ist beides möglich. Ich möchte Unternehmen helfen, die die Interessen der Betroffenen in den Fokus rücken wollen.
Galen Low: Genau. Das europäische Modell ist Vorreiter für das Recht des Einzelnen auf Privatsphäre. Als Kanadier/Nordamerikaner habe ich mich daran gewöhnt, dass meine Daten eine Art Währung sind, etwas Transaktionales. Als du sagtest, die Unternehmen besitzen die Daten, weil sie Wert daraus schlagen, dachte ich: ja, das leuchtet ein. Ich habe ja „nicht mit Geld gezahlt“. Als Konsument bin ich sogar bereit, dafür quasi mit meinen Daten zu „bezahlen“. Man wird auch nachlässig, weil man den Wert der eigenen Daten unterbewertet und Organisationen gewähren lässt – auch weil ich gar nicht weiß, wie ich irgendwo anfragen sollte, meine Daten löschen zu lassen. Viele tun das nicht. Wir dulden das quasi.
Lauren Wallace: Mein Respekt gilt Organisationen wie NOYB – None Of Your Business, also die Organisation von Max Schrems. Sie können das Recht in großem Maßstab kollektiv wahrnehmen. Für uns Einzelne ist es extrem schwierig, dieses Recht tatsächlich selbst auszuüben.
Viele Staaten führen – und das ist etwas, das KI-Regulierung hoffentlich stärker einfordert als klassische Datenschutzregelungen – eine echte Verpflichtung zur informierten Einwilligung ein. Im Privatsphärebereich war Einwilligung oft nur implizit. Und wer klickt sich nicht einfach durch Cookie-Banner und Datenschutzerklärung?
Man sollte sich immer vor Augen halten: Wenn das Produkt kostenlos ist, dann bist du das Produkt.
Galen Low: Ja, das stimmt.
Lauren Wallace: Der versprochene Nutzen verführt leicht dazu, die eigenen Daten leichtfertig preiszugeben.
Man denkt, es bin nur ich, hier in Portland, Oregon. Was kann meine Information schon wert sein? Aber im aggregierten, angereicherten Zustand, wie du beschrieben hast, und das ist ein aufkommendes KI-Risiko, ist es massiv. Denn die Fähigkeit zur Anreicherung ist enorm. Und die Rückschlüsse, die mit angereicherten Daten gezogen werden können, sind immens.
Die Angaben an einen einzelnen Händler mögen für sich genommen kaum wertvoll sein, vielleicht Centbeträge. Aber aggregiert, angereichert und an Dritte weiterverkauft, wächst der Wert erheblich. Und als Betroffener kannst du gar nicht wissen, wo alles zusammenfließt. Du kannst das praktisch nicht verhindern.
Ich habe großes Verständnis für Unternehmen, die ethisch vorgehen wollen und einen klaren Überblick über ihre Daten haben, wissen, ob und wie sie Einwilligungen zur Nutzung besitzen, und ob die aktuelle Nutzung darüber hinausgeht. Man will verteidigen können, dass die Nutzung mit der ursprünglichen Absicht übereinstimmt. Meist will man nicht diesen Aufwand rückwirkend betreiben, etwa, wenn man ein Unternehmen übernimmt – oft kauft man es ja nur wegen der Daten.
Ein aktuelles Beispiel: Ein großer Name – eine Bank kaufte ein Start-up, das Studierenden finanzielle Dienstleistungen anbot. Die Bank wollte damit an die angeblich 4 Millionen Kundenkontakte kommen, um ihre eigenen Angebote zu platzieren. Die Akquisekosten für Neukunden liegen bei etwa 150 Dollar, die Bank zahlte etwa 175 Millionen Dollar für die Kontakte, etwa 40-45 Dollar pro Name. Doch dann stellte sich heraus: Die Namen waren gefälscht, synthetisch generiert, vermutlich von einer KI. Das kostete die Bank Millionen und führte zu einer Klage – alles, weil diese Daten keinen realen Wert hatten. Übertragen auf das reale Leben: Was, wenn meine Kinder in so einem Datenstrom schon von klein auf sind? Der Lifetime-Value einer Person kann für Banken bei 100 Dollar und mehr liegen. Hättest du dich in solchen Momenten anders verhalten?
Galen Low: Das ist sehr aufschlussreich, gerade weil viele in Unternehmen KI vor allem als neues Tool, eine Fähigkeit zur Steigerung der eigenen Arbeit verstehen. Die eigentliche Black Box ist aber: Was passiert mit all diesen Daten nach der Eingabe? Wie werden sie verarbeitet und weitergegeben? Und zurück zum Modell: Selbst wenn man kein EU-Modell wählt und Daten für eigene Zwecke nutzt, gibt es dennoch viel zu tun, um überhaupt zu wissen, wohin die Daten wandern und wofür ich am Ende verantwortlich bin.
Lauren Wallace: Ja, das ist ein riesiges Thema für jeden – als Bürger:in, Konsument:in, Eltern, Corporate Citizen. Für mich ist der Startpunkt immer: Was willst du mit einer konkreten Anwendung und einem konkreten Datensatz erreichen? Was ist der zu erwartende Mehrwert? Geht es um Kostenersparnis, Umsatzsteigerung, Neukundengewinnung? Daraus entwickelt sich dann die ethische Einordnung anhand der eigenen Grundsätze oder gesetzlicher Vorgaben. Und wenn etwas nicht klar verständlich ist, ist es sicherer, nein zu sagen. Etwas, worauf ich als Chief Legal Officer immer wieder bestehe. Wenn Anbieter ihre Modelle nicht offenlegen, nicht über ein Trust Center verfügen oder sie unbekannte Basismodelle nutzen, lehnen wir Angebote ab. Im Zweifel muss man den Mut haben, nein zu sagen. Das können Organisationen mit einem starken ethischen Rahmen leichter. Verantwortlichkeit ist dabei ein Leitwert – aber was bedeutet sie konkret? Ist das Board verantwortlich, die Geschäftsführung, einzelne Teammitglieder? Wichtig ist vor allem, innerhalb der Teams Verantwortlichkeit füreinander zu schaffen und interdisziplinär zusammenzuarbeiten: Produkt, Entwicklung, Sicherheit, aber auch Customer Success, Marketing und Recht müssen gemeinsam am Tisch sitzen und informiert sein.
Galen Low: Genau das liebe ich, dass ihr mit gemeinsamer Verantwortlichkeit arbeitet. Denn Datenschutz ist letztlich immer nur so stark wie das schwächste Glied im Team. Selbst ein einziges Teammitglied, das nachlässig handelt, kann großen Schaden anrichten. Es braucht eine Kultur, in der sich alle gegenseitig zur Verantwortung ziehen.
Lauren Wallace: Datenschutz als Grundsatz ist hier besonders hilfreich – weil Datenschutz persönlich ist. Fragt man einmal alle im Unternehmen, ob sie oder jemand aus ihrem Umfeld schon einmal Opfer eines Datendiebstahls wurden, wird man viele bejahende Antworten erhalten. Es ist ein tatsächlicher Albtraum für Betroffene. Wenn man diese persönliche Komponente in die Projekte trägt, wird Verantwortlichkeit greifbar – für die Daten der eigenen Kinder, des eigenen Zuhauses, für spätere Lebensphasen.
Galen Low: Lass uns einen Schnitt machen und das Thema kurz aus Produkt- oder Projektsicht betrachten: Wichtig sind die Aufklärung, die „Empathie“ – also dass es euch nicht egal ist, ob es Kundendaten oder die eigenen sind –, die interdisziplinäre Zusammenarbeit (auch wenn das manchmal personell teuer ist) und der Umgang mit Fehlern im Team. Das wären meine drei Eckpunkte.
Lauren Wallace: Ein anderer Blickwinkel: Skandalöse oder vorsätzliche Nutzung von Personaldaten ist strafbar. Doch es gibt auch unbeabsichtigte oder fahrlässige Fehler, etwa durch falsch konfigurierte Tools. Hier lassen sich viele Risiken bereits technisch im Vorfeld eindämmen – etwa durch Security-Einstellungen bei neuen Produkten. Danach verbleibt tatsächlich der Bereich der bewussten oder allzu sorglosen Nutzung – oft unter Zeitdruck vor Deadlines.
Galen Low: Genau, einfach lassen! Ich fand es auch wichtig, dass du betont hast, auch einmal nein zu sagen. Im Versicherungsbereich zum Beispiel wird wegen Risiko und Compliance oft auf Geschäft verzichtet – eine Haltung, die in anderen Branchen selten ist. Man fürchtet, Umsatz liegen zu lassen, aber das Risiko wird häufig nicht ausreichend bedacht. Hier also noch einmal das Plädoyer fürs (rechtzeitige) „Nein“.
Lauren Wallace: Ja, das ist nie eine Freude – man ist dabei auch nicht schadenfroh. Aber als Organisation hilft der Rückgriff auf bewährte Tools, etwa klassische Risikomatrizen mit Eintrittswahrscheinlichkeit und Schweregrad. So kann eine Organisation offen und sachlich entscheiden, welches Risiko sie tragen will. Das passiert nicht individuell, sondern auf Grundlage von Standards, hinter denen Board, Investoren und Aufsicht stehen. Wer einmal zu lax mit dem eigenen Risikokonzept umgeht, bereut es oft später teuer. Unwissenheit schützt übrigens nie vor Strafe! Ein klares Wertefundament, gepaart mit persönlicher Bindung zum Datenschutz, ist immer ein guter Leitfaden.
Galen Low: Mir gefällt besonders, dass du den „Muskel“ auf Unternehmenskultur und Sprache zurückführst, und nicht nur auf umfassende Compliance-Teams. Es geht nicht darum, große Abteilungen zu schaffen, sondern ein gemeinsames Vokabular und Handlungssicherheit für KI zu etablieren. Gerade weil KI-Neuland ist und Risiken noch schwer einzuschätzen sind, ist es aktuell wichtiger denn je, alle Beteiligten einzubeziehen und den kulturellen Wandel zu befördern.
Lauren Wallace: Ich kenne kein Unternehmen, das nicht gerade dabei ist oder überlegt, eine KI-Transformation einzuleiten. Viele Menschen stehen dem Ganzen persönlich kritisch gegenüber, weil sie gar nicht wissen, wie KI wirkt – oder Angst vor Kontrollverlust haben. Wer sie zwingt, ohne Verständnis KI einzusetzen, riskiert Widerstand und letztlich das Scheitern von Projekten. Mehr Selbstvertrauen entsteht, wenn Unternehmen offene Foren schaffen – wir haben dazu vor eineinhalb Jahren bei RadarFirst die monatlichen Lunch-&-Learn-Runden ins Leben gerufen.
Jede:r war eingeladen, immer wurde ein Thema vertieft, etwa menschliche Kontrolle, Transparenz, Verantwortlichkeit – immer anhand von aktuellen EU-Leitlinien vor dem KI-Gesetz. Es gab stets viele Praxisbeispiele; die AI Incident Database ist online dafür eine tolle Quelle. In den Sitzungen diskutierten wir, was im Einzelfall schief lief, wie sich Vorfälle hätten vermeiden lassen oder welche Maßnahmen zur Minderung erforderlich wären. Die Teilnehmenden waren jeweils auf ganz unterschiedlichen Wissensständen, konnten aber viel an Vokabular und Einschätzung mit in den Alltag nehmen. So haben sie eine Gesprächsgrundlage und wissen, wann und wie sie Bedenken adressieren können. Ich empfehle solche Formate jedem Unternehmen. Es macht Spaß und rückt die menschliche Wirkung von KI ins Zentrum.
Galen Low: Wer moderiert solche Sitzungen in Abwesenheit einer Lauren Wallace?
Lauren Wallace: Gute Frage! Es ist wie bei einem Steuerungsgremium oder Lenkungskreis: Optimalerweise ist dieser interdisziplinär, mit Menschen unterschiedlicher Senioritätsstufen. Wer leitet? Egal ob Produkt oder Verwaltung, man braucht jedenfalls ein Executive-Sponsoring. Idealerweise rotiert die Moderation, um verschiedene Perspektiven einzubeziehen.
Galen Low: Ich finde auch das Prinzip der Community sehr schön – nicht die übliche Community of Practice, sondern ein Format, bei dem kollaborativ Wissen aufgebaut und geteilt wird, um den Alltag und die Entscheidungsfindung zu fördern. Es braucht keine teuren Einzel-Expert:innen – wichtig ist, dass Führungskräfte sponsoren, Entscheidungsträger:innen eingebunden sind und das Thema funktionsübergreifend diskutiert wird. Weil KI auch für bisher wenig betroffene Bereiche jetzt zum Alltag wird.
Lauren Wallace: Die Entwicklung geht so rasant, und die etablierten Unternehmen haben den Vorteil, dass sie Risiko schon länger managen und besprechen können. Sie haben schon ein konsistentes Risikomanagement eingeübt. Wer diese Institutionalisierung erst noch erreichen muss, hat es schwerer, einzelne Projekte bei Zweifeln rechtzeitig zu stoppen. Aber auch Hilfe von externen Berater:innen kann sinnvoll sein, um überhaupt erst einmal einen Rahmen für die internen Gespräche zu schaffen.
Galen Low: Kommen wir zum Zukunftsausblick: Vielen Regulierungen – wie DSGVO oder im Social-Media-Bereich – hinken technischem Fortschritt meist hinterher. Wer jetzt neue KI-Lösungen aufsetzt, bewegt sich zum Teil in einer Grauzone, weil explizite Gesetze fehlen. Müssen wir jahrzehntelang mit provisorischen Annahmen arbeiten und dann umsetzen, was die Gesetzgebung irgendwann verlangt? Oder beeinflussen unsere ethisch motivierten Vorleistungen vielleicht sogar zukünftige Gesetze?
Lauren Wallace: Das ist in der Tat eine fundamentale Frage. Gesetze sind lediglich festgeschriebene gesellschaftliche Werte und Prinzipien. Die Rechtsprechung dient dazu, Neuland auszugleichen, bis der Gesetzgeber nachgezogen hat. Wie aktuelle Klagen gegen große KI-Anbieter ausgehen, ist schwer vorherzusagen, der Rechtsrahmen entwickelt sich langsam. Aber aus Fällen werden Gesetze, und das kann dauern. Gerade in den USA oder auch etwa bei den Gesetzesanläufen in Colorado sieht man, dass zu schnelle Regulierung zurückgenommen werden muss, wenn sie nicht umsetzbar ist. Unternehmen, die sich proaktiv auf einen Gesetzesrahmen einstellen, können davon also durchaus gebeutelt werden, wenn die Regeln widerrufen oder geändert werden. Der sicherste Weg ist, sich an eigenen Unternehmenswerten, am Kundenwohl und dem eigenen Risikoverständnis zu orientieren, sich ein restriktives Schwellenmaß zu setzen und damit auch bei unklarer Gesetzeslage auf der sicheren Seite zu sein.
Galen Low: Das war eine fantastische Antwort. Vielen Dank für das Gespräch. Zum Abschluss: Gibt es eine Frage, die du mir stellen möchtest?
Lauren Wallace: Ja, Galen. Wir haben jetzt 45 Minuten über komplexe und spannende Arbeit gesprochen. Mich interessiert dein Wohlbefinden. Wann hast du das letzte Mal Urlaub genommen – und wohin bist du gefahren?
Galen Low: Es war vor etwa einem Jahr – wir waren in Mexiko, zur großen Familienfeier mit der Familie meiner Frau und ihrem Kind. Nur der Hund blieb zuhause. Es war großartig – Sonne, Zusammenhalt, Entspannung und Reflexion über Familie. Das Gute und auch das Schwierige. Man kann den Lauf der Dinge nicht immer bestimmen, aber das war der letzte Urlaub. Wir wären wieder reif dafür. Gerade jetzt, wo das Thema KI-Transformation für viele zunimmt, wird der Alltag immer voller, das Gleichgewicht zu halten immer schwieriger. Viele nehmen die permanente Überforderung gar nicht mehr wahr. Es gibt eine unterschwellige Belastung, über die wir gesellschaftlich mehr sprechen sollten, weil unser Leben immer mehr zur „Feuerwehrübung“ wird.
Lauren Wallace: Unsere kognitive Belastung ist schier unermesslich geworden. Manchmal kann man nur noch, wie du, mit den Liebsten in die Sonne fahren und einfach genießen. Ich freue mich, dass du das konntest.
Galen Low: Auch wenn es nur vorübergehend ist. Flucht auf Zeit.
Lauren Wallace: Perfekt.
Galen Low: Lauren, vielen Dank für das tolle Gespräch. Für alle, die mehr von dir hören wollen: Wo findet man dich am besten?
Lauren Wallace: Über LinkedIn bin ich erreichbar – wir können dort in Kontakt treten.
Galen Low: Super! Ich verlinke Laurens Profil sowie die genannten Gesetzesquellen und NOYB in den Shownotes. Schaut da gern rein!
Lauren Wallace: Danke, Galen.
Galen Low: Das war’s mit dieser Folge vom Digital Project Manager Podcast. Wenn Ihnen das Gespräch gefallen hat, abonnieren Sie gern unseren Kanal. Noch mehr praxisnahe Insights, Anwendungsbeispiele und Playbooks finden Sie auf thedigitalprojectmanager.com.
Bis zum nächsten Mal – danke fürs Zuhören.
