Schult eure Management-Teams! Warum KI-Governance beim C-Level beginnen muss
5. Dezember 2025
Von Sophie Martinetz, Future-Law
Ich sitze gerade an einem Buch über KI im Unternehmen – speziell für C-Level-Entscheider. Und ehrlich gesagt: Es frustriert mich manchmal. Nicht das Schreiben an sich, sondern der Grund, warum dieses Buch überhaupt notwendig ist. Nach Dutzenden Workshops, Schulungen und Panels in den letzten zwei Jahren komme ich zu einem ernüchternden Schluss: Das Management hat in den meisten Unternehmen schlicht keine Ahnung von KI. Und ich meine das nicht böse – ich meine es faktisch.
Meine Erfahrung zeigt: Das C-Level hat meistens noch nie gesehen, wie KI funktioniert. Es benutzt sie selbst nicht. Es spricht oft nicht mal mehr mit seinen Kindern über deren Nutzungsgewohnheiten. Gleichzeitig soll es strategische Entscheidungen über KI-Einsatz treffen, Budgets freigeben und Compliance-Risiken bewerten. Das kann nicht gutgehen. Und genau deshalb ist mein dringendster Appell an alle Compliance-Verantwortlichen, Legal-Teams und IT-Abteilungen: Fangt mit der Management-Schulung an. Nicht irgendwann. Jetzt.
Das Problem: Wenn das C-Level blind entscheidet
Lassen Sie mich konkret werden. In einem unserer letzten Panels kam eine Teilnehmerin zu Wort, die seit eineinhalb Jahren versucht, in ihrem Versicherungsunternehmen KI-Governance zu etablieren. Die Konzernebene hat eine generische Richtlinie herausgegeben – zwei A4-Seiten zum Thema KI, erstellt von der IT-Abteilung. Das Management sagt: „Wir wollen KI sein!“ Aber sobald es um konkrete Umsetzung geht, um Prozesse, um Ressourcen, um echte Governance-Strukturen, wird es still.
Das ist kein Einzelfall. Es ist ein Muster, das ich überall sehe:
Das C-Level will:
– FTEs einsparen durch KI
– „innovativ“ und „digital“ wirken
– schnelle Lösungen ohne Prozessänderungen
– KI als Magic Bullet, die alles löst
Das C-Level will nicht:
– Über Prozessoptimierung nachdenken
– In Schulungen investieren (Zeit und Geld)
– Interdisziplinäre Teams aufbauen
– Sich selbst mit der Technologie auseinandersetzen
Das Ergebnis: Unrealistische Erwartungen treffen auf Schatten-KI, fehlende Governance und massive Compliance-Risiken. Und am Ende fragt das Management, warum die Rechtsabteilung oder Compliance „so langsam“ ist.
Die Schatten-KI-Realität: Während das Management diskutiert, handeln die Mitarbeiter
Hier sind die Fakten: Studien zeigen, dass 50 bis 65 Prozent der Workforce bereits KI nutzt – oft heimlich. Warum heimlich? Weil die Mitarbeiter nicht ersetzbar erscheinen wollen. Sie haben einen rationalen Grund, ihre KI-Nutzung zu verschweigen. Und sie nutzen ihre eigenen Devices, ihre privaten LLMs / ChatGPT-Accounts, ihre eigenen Tools.
Konkret bedeutet das: Während Ihr Management noch überlegt, ob man überhaupt eine KI-Richtlinie braucht, laden Ihre Mitarbeiter bereits vertrauliche Verträge in ChatGPT hoch. Sie übersetzen sensible Dokumente. Sie lassen sich Kundenkommunikation formulieren. Sie fragen nach rechtlichem Rat oder Steuerberatung und bekommen falsche Antworten, die sie dann weitergeben.
In einem Fall, von dem ich kürzlich hörte, übersetzte eine Mitarbeiterin in Bulgarien vertrauliche Vertragstexte in ihrem ChatGPT am Handy – obwohl das Unternehmen eine eigene, sichere KI-Lösung hatte. Sie kannte diese nur nicht. Warum? Weil der Link dazu versteckt war „wie der zum Whistleblowing-Tool“. Niemand hatte kommuniziert, dass es diese Lösung gibt. Niemand hatte geschult, wie man sie nutzt. Das Management wusste vermutlich gar nicht, dass es ein Problem gab.
Die unbequeme Wahrheit: Verbote funktionieren nicht. Sie können LLMs wie ChatGPT im Unternehmensnetzwerk sperren – Ihre MitarbeiterInnen haben es am Handy. Sie können Richtlinien schreiben – wenn niemand die sicheren Alternativen kennt, werden sie ignoriert. Das Einzige, was wirklich hilft: Die richtigen Tools zur Verfügung stellen, kommunizieren, dass es sie gibt, und – ganz wichtig – das Management muss verstehen, warum das alles notwendig ist.
Was das Management wissen muss: KI ist keine Magie, sondern Statistik
Wenn ich Management-Teams schule, starte ich immer mit dem gleichen Beispiel. Nehmen wir den Satz: „An apple is a sweet, edible fruit produced by an apple tree.“ Was macht ChatGPT oder ein anderes Large Language Model (LLM)? Es sucht – oder besser: berechnet – das nächste wahrscheinlichste Wort.
Das ist keine Suche im klassischen Sinn. Es ist Statistik. OpenAI hat das gesamte Internet bis 2021 abgesaugt und ausgewertet. Basierend auf gigantischer Rechenleistung werden Worte in ihrer statistischen Abfolge berechnet. Bei „edible“ würde die Maschine zunächst „office“ mit 93 Prozent vorschlagen – wegen einer Website namens „Edible Office“, die Obst fürs Büro liefert. Dann kommt „fruit“ und „banana“.
Die Maschine hat kein Verständnis. Sie rechnet.
OpenAI hat dann Menschen eingesetzt, die die Qualität bewertet haben: Ist „edible office“ richtig? Nein. Ist „fruit“ richtig? Ja. Diese Information floss zurück ins Training, die Statistik wurde neu berechnet. So wurde „fruit“ zur korrekten Antwort.
Warum ist das wichtig für Ihr Management?
Weil es drei fundamentale Missverständnisse ausräumt:
Missverständnis 1: „KI versteht den Kontext“
Nein. KI berechnet Wahrscheinlichkeiten. Wenn Sie ein LLM fragen, wie viele „a“ im Wort „apple“ sind, kann es Ihnen das nicht beantworten – weil es nicht nach Buchstaben kalkuliert, sondern nach statistischen Werten. Es ist sprachagnostisch im Hintergrund.
Missverständnis 2: „KI kann keine Fehler machen, wenn man es richtig fragt“
Falsch. Alle diese LLM Systeme sind „Pleasers“ – sie wollen gefallen. Sie sind programmiert, immer eine Antwort zu geben. Sie sind Ja-Sager. Das führt zu Halluzinationen – und zwar nicht als Bug, sondern als Feature. Die Halluzination gibt uns zusammenhängende Texte statt bloßer Schlagwörter. Was wir nicht wollen, ist inhaltliche Halluzination – erfundene Fakten, falsche Zitate, nicht existierende Rechtsprechung.
Missverständnis 3: „KI ersetzt Expertise“
Nein. KI verwandelt Daten in Informationen, Informationen in Wissen. Aber die Weisheit – die Entscheidung, was mit diesem Wissen zu tun ist – bleibt bei Ihnen. Bei jedem Output muss ein Mensch kontrollieren. Ihre Währung als Fachkraft ist Vertrauen und Reputation. Die setzen Sie aufs Spiel, wenn Sie blind vertrauen.
Der OGH-Fall: Was passiert, wenn Expertise fehlt
Ein österreichischer Rechtsanwalt reichte kürzlich beim Obersten Gerichtshof eine Nichtigkeitsbeschwerde ein, offenbar erstellt mit ChatGPT – inklusive erfundener Rechtsprechungszitate. Der OGH wies die Beschwerde zurück, noch bevor er sich inhaltlich damit befasste.
Dieser Fall zeigt alles: Reputationsrisiko (der Anwalt heißt jetzt in der Presse „KI-Anwalt“), potenzielle Datenschutzverstöße, mögliche disziplinarrechtliche Konsequenzen, Verstöße gegen Geschäftsgeheimnisse. Und das alles, weil jemand nicht verstanden hat, wofür ein LLM ausgelegt ist und wofür nicht.
LLMs wie ChatGPT ist ein Sprachmodell. Es ist nicht ausgelegt für rechtliche Recherche mit korrekten Zitaten. Warum? Weil es die Inhalte des Internet bis 2021 abgesaugt hat – aber alles, was hinter Bezahlschranken war, konnte es nicht absaugen. In Deutschland sind nur ein Prozent aller Gerichtsurteile öffentlich verfügbar. Deshalb kann die Maschine darauf nicht zugreifen. Wenn Sie korrekte rechtliche Recherche wollen, brauchen Sie RAG-Technologie – Retrieval Augmented Generation – die auf definierte, kuratierte und aktuelle Datenbanken (zB von Verlagen) zugreift.
Ihr Management muss verstehen: Unsachgemäßer Gebrauch hat reale Konsequenzen.
Was Management-Schulung erreichen muss:
Wenn ich sage „schult euer Management“, meine ich nicht einen zweistündigen Vortrag über den AI Act. Ich meine eine echte, praktische Auseinandersetzung mit der Technologie. Hier ist, was Ihre Management-Schulung mindestens erreichen muss:
1. Technisches Grundverständnis
Ihr Management muss verstehen, wie LLMs funktionieren. Nicht auf Entwickler-Niveau, aber genug, um zu verstehen:
– Was ist eine Halluzination und warum ist sie unvermeidbar?
– Was bedeutet RAG-Technologie und warum ist sie wichtig?
– Warum können LLMs keine aktuellen Daten haben (ohne entsprechende Anbindung)?
– Was ist der Unterschied zwischen ChatGPT und einem unternehmenseigenen, sicheren Tool?
2. Realistische Erwartungen
Das Management muss verstehen, was KI kann und was nicht:
– KI ersetzt keine Prozessoptimierung – sie macht schlechte Prozesse schneller schlecht
– KI spart nicht automatisch FTEs – sie verschiebt Arbeit von Routine zu Qualitätskontrolle
– KI braucht Training, Playbooks & Inhalte, kontinuierliche Evaluation
– Gute KI-Implementierung kostet Geld und Ressourcen (Tools, Lizenzen, Schulungen, Zeit)
3. Risikobewusstsein
Ihr Management muss die Compliance-Risiken verstehen:
– Datenschutzverstöße durch Upload sensibler Daten
– Geheimnisschutz und Geschäftsgeheimnisse in Gefahr
– Reputationsrisiken bei unsachgemäßem Gebrauch
– Rechtliche Konsequenzen (AI Act, DSGVO, Urheberrecht)
– Energieverbrauch und Nachhaltigkeitsaspekte
4. Der „Tone from the Top“
Das ist der oft unterschätzte Punkt: Wenn das Management nicht hinter der KI-Governance steht, wird sie nicht funktionieren. Das Management muss:
– Die KI-Richtlinie kennen und mittragen
– Kommunizieren, warum sichere Tools wichtig sind
– Ressourcen für Implementierung freigeben
– Selbst die genehmigten Tools nutzen (Vorbildfunktion!)
Der praktische Fahrplan: So schulen Sie Ihr Management
Basierend auf unseren Erfahrungen empfehle ich folgenden Ansatz:
Phase 1: Executive Workshop (halber Tag)
– Live-Demonstration: Wie funktioniert ChatGPT?
– Hands-on: Management probiert selbst verschiedene Prompts
– Der OGH-Fall als Case Study: Was ging schief und warum?
– Schatten-KI-Phänomen: Zahlen und Fakten aus Ihrem Unternehmen
Phase 2: Strategiesession (halber Tag Investment)
– Wo wollen wir KI einsetzen? (Use Cases sammeln)
– Wo sehen wir Risiken? (Compliance-Perspektive)
– Welche Ressourcen brauchen wir? (Budget, Personal, Zeit)
– Wer ist verantwortlich? (Governance-Struktur)
Phase 3: Follow-up (quartalsweise)
– Status der Implementierung
– Neue Entwicklungen (technisch und regulatorisch)
– Lessons learned aus der Praxis
– Anpassung der Strategie
Wichtig: Holen Sie externe Unterstützung, wenn nötig. Jemand, der nicht aus dem eigenen Unternehmen kommt, wird eher gehört. Das ist frustrierend, aber wahr. Nutzen Sie diese Dynamik.
Die Do’s: Was funktioniert
Aus unserer Praxis haben sich folgende Ansätze bewährt:
✅ Mit konkreten Beispielen arbeiten: Zeigen Sie ChatGPT live, lassen Sie das Management selbst Prompts ausprobieren
✅ Interaktiv gestalten: Keine PowerPoint-Schlacht, sondern echte Auseinandersetzung
✅ Peer-Beispiele nutzen: Zeigen Sie, was andere Unternehmen bereits machen (TÜV Austria, Versicherungen, etc.)
✅ Quick Wins identifizieren: Wo kann KI schnell Mehrwert bringen? (Übersetzung, Zusammenfassungen, Verschlagwortung)
✅ Innovationswettbewerb initiieren: Lassen Sie Mitarbeiter Use Cases vorschlagen – das Management entscheidet über Priorisierung
Die Don’ts: Was garantiert scheitert
❌ Technische Details ohne Kontext: Niemand braucht einen Vortrag über Transformer-Architekturen
❌ Angstmacherei ohne Lösungen: Risiken ja, aber immer mit konstruktiven Vorschlägen
❌ Einmalige Aktion: KI entwickelt sich rasant – Management-Wissen muss aktuell bleiben
❌ Ohne Hausaufgaben: Das Management sollte vorbereitet kommen (z.B. ChatGPT vorher einmal ausprobiert haben)
Warum gerade jetzt?
Ich prognostiziere für 2026 eine massive Zunahme unsachgemäßer KI-Nutzung. Warum? Die Technologie dringt immer stärker in den Alltag ein. Menschen können jetzt mit ChatGPT am Handy sprechen. Es ist überall verfügbar, einfach zu nutzen, scheinbar kostenlos. Die Hemmschwelle sinkt täglich.
Gleichzeitig steigt der regulatorische Druck: Der AI Act kommt, die DSGVO wird strenger ausgelegt, Aufsichtsbehörden schauen genauer hin. Wenn Sie jetzt nicht handeln, laufen Sie in eine Schere: Immer mehr unkontrollierte Nutzung trifft auf immer strengere Anforderungen.
Und hier ist die gute Nachricht: Wenn Ihr Management versteht, worum es geht, wird vieles einfacher. Budgets werden freigegeben. Ressourcen werden bereitgestellt. Interdisziplinäre Teams können arbeiten. Die IT-Abteilung, Datenschutz, Compliance und Fachabteilungen können zusammenarbeiten, statt gegeneinander.
Der „Tone from the Top“ ist kein Buzzword. Er ist der Hebel, der Ihre KI-Governance zum Erfolg führt oder scheitern lässt.
Mein Appell an Sie
Sie arbeiten in Compliance, Legal, Datenschutz oder IT? Sie verzweifeln gerade daran, KI-Governance in Ihrem Unternehmen zu etablieren? Sie haben das Gefühl, gegen Windmühlen zu kämpfen?
Dann ändern Sie Ihre Strategie. Hören Sie auf, von unten nach oben zu arbeiten. Fangen Sie oben an. Investieren Sie Zeit, Energie und ja, auch politisches Kapital in die Management-Schulung.
Buchen Sie einen Workshop. Holen Sie externe Experten. Machen Sie es interaktiv. Zeigen Sie den OGH-Fall. Demonstrieren Sie Schatten-KI in Ihrem eigenen Unternehmen. Lassen Sie Ihr Management selbst erleben, wie schnell man vertrauliche Informationen ungewollt preisgibt.
Und dann – und das ist entscheidend – holen Sie sich das Commitment ab. Nicht nur ein müdes Nicken, sondern echte Zusagen: Budget, Ressourcen, Rückendeckung für die notwendigen Maßnahmen.
Denn ohne Management-Verständnis wird Ihre KI-Richtlinie in der Schublade landen. Ihre Schulungen werden als lästige Pflicht empfunden. Ihre Tools werden nicht genutzt. Und die Schatten-KI wird weiter wuchern, bis der erste echte Schaden entsteht.
Schult euer Management. Nicht irgendwann. Jetzt. Es ist nicht die Lösung aller Probleme – aber es ist die notwendige Grundlage für alles, was danach kommt.
———————————————————–
Sophie Martinetz ist Gründerin von Future-Law und schreibt aktuell an einem Buch über KI im Unternehmen für C-Level-Entscheider. Sie führt seit Jahren Schulungen und Workshops zu Legal Tech und KI-Governance durch.