KI-Sicherheit klarmachen

KI-Sicherheit klarmachen (AI-Act & Compliance)

Mini-Compliance-Set: 5 Bausteine für sichere und rechtskonforme KI-Nutzung

EU AI-Act mit den Transparenzpflichten und den Kompetenzschulungen sowie weiterhin die DSGVO – die rechtlichen Anforderungen an KI klingen nach einem Bürokratie-Monster. Die gute Nachricht: KMUs brauchen normalerweise kein Großkonzern-Programm. Ein kleines, gut durchdachtes Mini-Compliance-Set reicht oft aus, um den KI-Einsatz sicher, übersichtlich und rechtskonform zu gestalten. 

 

Die schlechte Nachricht : Nichts tun ist keine Option. Seit Anfang 2025 gilt bereits die Pflicht zur Kompetenzschulung und ab dem 2. August 2026 kommen zentrale Verpflichtungen des EU AI-Acts hinzu – etwa Transparenzpflichten bei KI-generierten Bildern, Videos oder Texten. Verstöße können mit Bußgeldern in Millionenhöhe geahndet werden. Auch wenn die Strafen für KMUs niedriger ausfallen dürften, ist das Risiko real.

 

Dieses Modul richtet sich an KMUs, die KI-Systeme als Betreiber nutzen (z. B. ChatGPT, Copilot, Midjourney, Chatbots) und nicht selbst Hochrisiko-KI anbieten (z. B. Bewerber-KI, Kreditscoring-KI, biometrische Systeme). Hintergrund für die Einschränkung ist, dass die Compliance-Anforderungen für Anbieter (nicht Betreiber) von Hochrisiko-KI deutlich höher und aufwendiger sind.

 

Die pragmatische Lösung: ein Mini-Compliance-Set aus 5 Bausteinen, welches sich an der ISO-Norm 42001 (KI-Management-System) orientiert, aber ohne den Aufwand einer Vollzertifizierung auskommt.

 

Im Management-Workshop werden die Grundlagen des EU AI-Acts vermittelt, wie Risikoklassen, Verbote, Transparenzpflichten, Rollen (Anbieter vs. Betreiber) und Bußgelder. Danach wissen Führungskräfte, was auf sie zukommt und warum Compliance kein Papiertiger oder "nice to have" ist, sondern echte Risiken abwehrt und Transparenz sowie Kontrolle liefert. 

 

Die weiteren Bausteine wie die KI-Richtlinie und die KI-Inventarliste werden anschließend gemeinsam entwickelt. Optional können noch KI-Kompetenzschulungen für Mitarbeitende durchgeführt werden, damit die Mitarbeiter das notwendige KI-Grundlagenwissen erhalten.

Zentrale Inhalte:

  • Leitwerte: Transparenz, Datenschutz, Fairness, Verantwortung, menschliche Kontrolle
  • Grundprinzipien: Wofür setzen wir KI ein? Wo ziehen wir Grenzen?
  • Verantwortung: Wer trägt die Gesamtverantwortung und wie ist die organisatorische Umsetzung geregelt?
  • KI-Kompetenz: wie stellen wir ausreichende KI-Kompetenz bei Mitarbeitern sicher?

Praxisbeispiel:


Ein Marketing-Team nutzt KI-Bildgenerierung für Social-Media-Posts. In der KI-Leitlinie steht: „KI-generierte Inhalte müssen als solche gekennzeichnet werden." Ein Mitarbeiter will ein KI-Bild ohne Kennzeichnung posten und stoppt, weil die Leitlinie klar ist. Ergebnis: Keine Transparenzverletzung, kein Bußgeld.

 

Was oft fehlt:

  • Keine klare Haltung: Mitarbeitende wissen nicht, was das Unternehmen von ihnen erwartet
  • Keine Orientierung: Jeder macht, was er für richtig hält. So entsteht Wildwuchs
  • Keine Prävention: Rechtsverstöße passieren aus Unwissenheit, nicht aus Vorsatz

1. KI-Leitlinie

Grundlegenden Prinzipien und Werte für den Umgang mit KI im Unternehmen. Was ist uns wichtig? Wie wollen wir KI einsetzen und wie nicht?

Zentrale Inhalte:

  • Erlaubte und verbotene KI-Praktiken: Was darf im Unternehmen eingesetzt werden? Was ist tabu?
  • Transparenzpflichten für KI-generierte Inhalte: Wann müssen KI-Inhalte wie gekennzeichnet werden? Wie prüfe ich Urheberrechte?
  • Freigabeprozesse: Wer darf welche KI-Tools einführen? Wie läuft die Prüfung?
  • Datenschutz und DSGVO: Welche Daten dürfen in KI-Tools eingegeben werden?

Praxisbeispiel:


Ein Vertriebsmitarbeiter will ein KI-gestütztes Tool zur Bewertung von Kundenterminen einführen. Die KI-Richtlinie schreibt vor: „Neue KI-Tools müssen vom KI-Verantwortlichen geprüft werden." Die Prüfung zeigt: Das Tool speichert Kundendaten auf US-Servern. Das Tool wird abgelehnt, bevor Schaden entsteht.

 

Was oft fehlt:

  • Keine Verbindlichkeit: Es gibt Empfehlungen, aber keine klaren Regeln für den Einsatz von KI
  • Keine Prozesse: KI-Tools werden eingeführt, ohne dass jemand prüft, ob sie erlaubt sind. Oder Mitarbeiter nutzen private KI (Schatten-KI)
  • Keine Klarheit bei Transparenzpflichten: Deepfakes, KI-Bilder, KI-Videos werden nicht gekennzeichnet – Bußgeldrisiko!

2. KI-Richtlinie

Operatives, verbindliches Regelwerk für alle Mitarbeiter: konkreter, verbindlicher, technischer als die KI-Leitlinie, mit Dos and Don'ts, Freigabeprozessen, Verantwortlichkeiten.

Zentrale Inhalte:

  • Name und Beschreibung des KI-Systems: Was macht das Tool?
  • Einsatzbereich: Wo wird es genutzt (Marketing, HR, Vertrieb, Produktion etc.)?
  • Risikoklasse: Ist es ein einfaches System, ein Transparenz-relevantes System oder sogar Hochrisiko-KI?
  • Verantwortliche Person: Wer ist für das Tool zuständig?
  • Datenverarbeitung: Welche Daten werden verarbeitet? Wo werden sie gespeichert?
  • Freigabestatus: Ist das Tool offiziell geprüft und freigegeben?

Praxisbeispiel:


Ein Unternehmen führt eine interne Prüfung durch und stellt fest: In drei Abteilungen werden KI-Chatbots eingesetzt, aber niemand weiß, welche Daten dort eingegeben werden. Die KI-Inventarliste deckt das auf. Nach Prüfung wird ein Chatbot gestoppt, weil er personenbezogene Kundendaten auf unsicheren Servern speichert. Ergebnis: Datenschutzverstoß verhindert.

 

Was oft fehlt:

  • Keine Transparenz: „Wir wissen nicht, welche KI-Tools im Einsatz sind"
  • Kein Risikomanagement: Hochrisiko-KI wird unbewusst eingesetzt
  • Keine Nachvollziehbarkeit: Bei einer Prüfung durch die Aufsichtsbehörde kann nichts dokumentiert werden

3. KI-Inventarliste

Bestandsaufnahme: Welche KI-Tools werden wo im Unternehmen wie eingesetzt? Ohne Überblick keine Kontrolle und keine Compliance. 

KI-Sicherheit und Compliance mit 5 Bausteinen im Zusammenspiel:

1. KI-Leitlinie gibt Orientierung und Werte vor

 

2. KI-Richtlinie schafft verbindliche Regeln und Prozesse

 

3. KI-Inventarliste sorgt für Transparenz und Kontrolle

4. Zuständigkeiten stellen Aufgaben und Rollen von Personen sicher

 

5. Kompetenzaufbau befähigt Mitarbeitende, KI sicher und rechtskonform zu nutzen

Zentrale Inhalte:

  • Beschreibung der Aufgaben und Festlegung der Rollen nach RACI Matrix (Responsible, Accountable, Consulted, Informed)
  • Beispiele für Rollen: KI-Verantwortliche/r: Strategische Gesamtverantwortung für KI-Compliance im Unternehmen. Datenschutzbeauftragte/r: Prüfung DSGVO-Konformität bei neuen KI-Tools
  • Beispiele für Aufgaben: Wer genehmigt neue KI-Tools? Wer pflegt die KI-Inventarliste? Wer schult Mitarbeiter?

Praxisbeispiel:


Ein KMU führt KI ein, aber niemand ist offiziell zuständig. Die IT sagt: „Wir kümmern uns um die Technik, nicht um Compliance." Der Abteilungsleiter sagt: “Wir brauchen Schulungen”. Der Datenschutzbeauftragte sagt: „Ich kann nicht alles allein machen." Ergebnis: Niemand prüft und verantwortet, wenige nutzen KI. Nach Einführung klarer Aufgaben und Rollen gibt es einen definierten Prozess und keine Tools mehr ohne Prüfung und Schulung.

 

Was oft fehlt:

  • Fehlende Zuständigkeiten: “Das macht doch die IT / der Datenschutzbeauftragte / die Geschäftsführung"
  • Fehlende Entscheidungswege: Mitarbeitende wissen nicht, wen sie fragen sollen
  • Keine Verantwortungsübernahme: Bei Verstößen kann niemand zur Rechenschaft gezogen werden

4. Zuständigkeiten

KI-Compliance funktioniert nur, wenn klar definiert ist, wer wofür verantwortlich ist, wer entscheidet, wer prüft, wer schult, wer dokumentiert.

Zentrale Inhalte:

  • Geschichtliche Entwicklung und Fachbegriffe wie Bias, Halluzinationen, Token
  • EU AI-Act kompakt: Risikoklassen, Verbote, Transparenzpflichten, Bußgelder
  • Blick auf weitere rechtliche Aspekte wie DSGVO und Copyright
  • Chancen und Risiken erkennen: Was kann ich machen? Was darf ich nicht?
  • Verantwortungsvoller Umgang mit KI: menschliche Kontrolle, Prüfung Ergebnisse 
  • Praktische Anwendung wie Prompting

Praxisbeispiel:


Ein Unternehmen führt ChatGPT ein. Mitarbeitende nutzen das Tool ohne Schulung. Ein Mitarbeiter gibt vertrauliche Kundendaten in ChatGPT ein, um eine E-Mail zu formulieren. Ergebnis: Datenschutzverstoß. Nach einer Kompetenzschulung wissen alle: „Keine personenbezogenen Daten in öffentliche KI-Tools eingeben!"

 

Was oft fehlt:

  • Keine Schulungen: Tools werden eingeführt, aber niemand erklärt den verantwortungsvollen Umgang
  • Fehlendes Risikobewusstsein: Mitarbeitende wissen nicht, was erlaubt ist
  • Keine Sensibilisierung: Transparenzpflichten (Kennzeichnung von KI-Inhalten) werden ignoriert

5. Kompetenzaufbau

Der EU AI-Act verpflichtet Unternehmen zur KI-Kompetenzvermittlung: Mitarbeiter benötigen KI-Grundwissen u.a. zu technischen, rechtlichen und ethischen Fragen. 

Information icon

Wir benötigen Ihre Zustimmung zum Laden der Übersetzungen

Wir nutzen einen Drittanbieter-Service, um den Inhalt der Website zu übersetzen, der möglicherweise Daten über Ihre Aktivitäten sammelt. Bitte überprüfen Sie die Details in der Datenschutzerklärung und akzeptieren Sie den Dienst, um die Übersetzungen zu sehen.