Zwischen Paragraphen und Praxis:

KI im Spannungsfeld von Recht und Organisation

5. Dezember 2025 / Redaktion

Der ADV Rechtstag fand am 6. November im IBM Office Wien statt. Die Veranstaltung brachte Expert:innen aus Recht, IT und Wirtschaft zusammen, die sich einer Frage stellten, die aktueller kaum sein könnte: Wie hält ein Rechtsstaat Schritt mit Technologien, deren Entwicklungsgeschwindigkeit jedes klassische Regulierungsmodell überfordert? Der Rechtstag zeigte, dass die Kombination aus KI-Regulierung, Cybersecurity und Datenökonomie als wirtschaftspolitischer Faktor, als gesellschaftliche Herausforderung und als fundamentale Frage der digitalen Souveränität verstanden werden muss.

IBM eröffnete mit einer Einordnung der technologischen Entwicklung. KI sei das Rückgrat digitaler Wertschöpfung. Interdisziplinarität wurde als Grundvoraussetzung definiert. Diese Perspektive prägte den weiteren Verlauf des Tages deutlich.

Rechtliche Rahmenbedingungen, Plattformlogik und Compliance

Alexander Höller (Google) ergänzte den ersten thematischen Impuls mit dem Blick auf das Herkunftslandprinzip. Sein Vortrag zeigte, dass nationale Regulierung dort an Grenzen stößt, wo Plattformen europäisch agieren und primär dem Recht ihres Herkunftsstaates unterliegen. Besonders deutlich wird dies bei Medienregulierung, Verbraucherschutz und Jugendschutz – Bereichen, in denen Mitgliedstaaten politischen Gestaltungswillen haben, aber strukturell nur eingeschränkten Einfluss ausüben können.

Die juristischen und wirtschaftlichen Implikationen der KI-Regulierung wurden von Stephan Winklbauer (aringer herbst winklbauer rechtsanwälte) dargestellt. Er zeigte, dass KI-Outputs in der Regel nicht urheberrechtsfähig sind, während Trainingsdaten erhebliche Haftungsrisiken bergen. Fälle wie die Auseinandersetzungen rund um Getty Images oder die New York Times veranschaulichen, dass Fragen der Rechteklärung, Lizenzierung und Verantwortlichkeit weitgehend ungelöst sind. Besonders kritisch bleibt das Datenschutzparadox: Löschrechte bestehen, doch Modelle können dieselben Informationen jederzeit erneut aufnehmen.

Wie stark diese Regulierungen operative Prozesse beeinflussen, verdeutlichte Merve Taner (Erste Bank). Sie zeigte, dass KI-Anwendungen in regulierten Branchen, von Fraud Detection bis Forecasting, schon früh an Zweckbindung, Dokumentationspflichten, Infrastrukturvorgaben und Transparenzanforderungen gebunden sind. Regulierte Innovation ist möglich, aber sie verlangt präzise Governance und technische Tiefe.

KI in HR, Rechtspraxis und operativen Prozessen

Clementine Waldburg-Zeil (IBM) zeigte, wie KI im HR-Bereich bereits heute produktiv eingesetzt wird. Mit „AskHR“ präsentierte sie eine KI-gestützte Erstinstanz für Personalfragen, an die sich Mitarbeitende mit alltäglichen HR-Anliegen wenden können. Ziel dieser Architektur ist es, HR-Teams spürbar zu entlasten, da ein erheblicher Anteil der Anfragen in Organisationen aus einfachen und wiederkehrenden Themen besteht. Waldburg-Zeil betonte, dass Governance, Datenqualität und klar definierte Rollenmodelle entscheidend sind, um solche KI-Systeme zuverlässig, effizient und verantwortungsvoll in den HR-Prozessen zu verankern.

Wie stark diese Transformation juristische Arbeitsabläufe betrifft, zeigte Paul Eberstaller (AI:ssociate). Sein Praxisbeispiel verdeutlichte, wie KI juristische Recherche, Dokumentenanalyse und Wissensmanagement effizienter machen kann – allerdings nur, wenn Verschwiegenheitspflichten, technische Absicherung, Geschäftsgeheimnisse und Datenschutz konsequent eingehalten werden. Gemeinsam mit Taners Einordnung wurde sichtbar, dass KI-Projekte oft aus konkretem Geschäftsbedarf entstehen, aber nur unter klar definierten rechtlichen und organisatorischen Rahmenbedingungen nachhaltig betrieben werden können.

Risiko, Sicherheit und Kultur: Cybersecurity und Schatten-KI als Achillesferse

Sebastian Brüggemann (Legal Counsel Kyndryl Germany) führte aus, dass Cyberangriffe 2025 strukturelle Normalität geworden sind. Automatisierte Attacken, professionelle Angreifergruppen, komplexe Lieferketten und steigende Regulierungsdichte erfordern holistisches Risikomanagement. Cybersecurity und Datenschutz seien längst Business-Continuity-Themen, die klare Verantwortlichkeiten, geschultes Personal und belastbare Notfallstrukturen voraussetzen.

Tim Hoffmann (UIMC DR. VOSSBEIN GmbH & Co KG) knüpfte unmittelbar daran an und beleuchtete Schatten-KI als interne Achillesferse vieler Organisationen. Beschäftigte nutzen KI-Tools ohne Freigaben, weil Prozesse zu langsam, unflexibel oder zu bürokratisch sind. Daraus entstehen Datenschutzverstöße, Lizenzrisiken und Gefahren für Zertifizierungen. Hoffmanns Ansatz stellte klar heraus, dass nicht Sanktion, sondern Kommunikation, Schulung, Entbürokratisierung und eine moderne Fehlerkultur entscheidend sind, um Schatten-KI wirksam einzudämmen. Beide Vorträge zeigten, dass technologische Risiken selten nur technisch sind – die größte Schwachstelle bleibt die Organisation selbst.

Der ADV Rechtstag machte deutlich, dass KI längst in jene Bereiche vorgedrungen ist, in denen sich technologische Entwicklung mit grundlegenden Fragen unserer Wirtschaftsordnung, unseres Rechtsverständnisses und unserer demokratischen Strukturen verbindet. Die offenen Punkte richten sich daher unmittelbar an die Fachcommunity: Wie gelingt eine technologische Entwicklung, die ökonomische Chancen nutzt, ohne Risiken für Transparenz, Sicherheit und Grundrechte zu erzeugen? Und welche Formen von Governance brauchen wir, um Innovationen zu steuern, die schneller werden als die Institutionen, die sie regulieren sollen?

Die zentrale Herausforderung lautet nicht mehr, ob KI reguliert wird, sondern wie eine Gesellschaft, ihre Wirtschaft und ihre demokratischen Mechanismen mit den Folgen dieser Regulierung umgehen wollen.