Die KI ist schon im Haus. Jetzt braucht sie Regeln.

Wir sehen sowohl im Austausch als auch in unserer Mandantschaft wie sich das Thema “KI-Nutzung” stetig verändert und wächst. Vorallem bei neuen Mandanten kommt es regelmäßig zu AHA-Momenten, wenn wir das erste Mal über die reelen Anforderungen und Konsequenzen sprechen. Mit diesem Beitrag möchten wir erste Einblicke in unsere Erfahrungen geben, Wissen teilen und Ihre Neugier auf einen verantwortungsvollen Umgang mit KI wecken.

Roboterspielzeug und Gerichtshammer

Künstliche Intelligenz ist in vielen Unternehmen längst kein Neuland mehr. Häufig aber nicht durch ein großes Strategieprojekt, sondern ganz nebenbei: Mitarbeitende nutzen KI-Tools für Texte, Übersetzungen, Protokolle, Präsentationen, Recherchen, Code, Kundenkommunikation oder interne Analysen.

Was dabei oft übersehen wird: Sobald KI im Unternehmenskontext eingesetzt wird, entstehen rechtliche, organisatorische und sicherheitsrelevante Pflichten. Unternehmen sollten daher nicht erst dann handeln, wenn ein KI-System offiziell eingeführt wird. Denn in der Praxis ist KI häufig schon im Einsatz, bevor es eine Richtlinie, ein Risikokonzept oder klare Zuständigkeiten gibt.

 

KI ist kein reines Technikthema mehr

Lange wurde KI vor allem als Innovations- oder Effizienzthema betrachtet. Dass dies heute zu kurz greift sehen wir immer wieder bei unseren Mandanten. Der Einsatz von KI ist je nach Unternehmen in nahezu allen Bereichen denkbar sowie umsetzbar und wir sehen einen bunten Blumenstrauß an Ideen und Handlungen.

Bei allen guten Ideen, die mit KI zu tun haben, kommen wir aber nie um den europäischen AI Act herum. Er führt neue Anforderungen für Anbieter und Betreiber von KI-Systemen ein. Dazu gehören unter anderem Regelungen zu verbotenen KI-Praktiken, Transparenzpflichten, Anforderungen an Hochrisiko-KI-Systeme und die Pflicht zur KI-Kompetenz. Unternehmen müssen also nicht nur wissen, welche KI sie einsetzen, sondern auch, welche Rolle sie dabei einnehmen und welche Pflichten daraus folgen.

 

Die erste Frage lautet: Wo nutzen wir eigentlich KI?

Viele Unternehmen unterschätzen, wie breit KI bereits genutzt wird. Neben bekannten Tools wie Chatbots oder Textgeneratoren enthalten auch viele Standardanwendungen KI-Funktionen, etwa in Office-Lösungen, CRM-Systemen, HR-Software, Marketingplattformen oder Support-Tools.

Deshalb sollte der erste Schritt immer ein KI-Inventar sein. Unternehmen sollten erfassen:

  • Welche KI-Systeme werden genutzt?
  • In welchen Abteilungen kommen sie zum Einsatz?
  • Welche Daten werden verarbeitet?
  • Wer hat Zugriff auf die Systeme?
  • Wofür werden die Ergebnisse verwendet?
  • Wer überprüft die Ergebnisse?
  • Gibt es Verträge, Datenschutzinformationen und Sicherheitsnachweise der Anbieter?

Ohne diese erste Übersicht ist eine rechtssichere und kontrollierte Nutzung kaum möglich. Ihr Datenschutzbeauftragter hilft Ihnen bei diesen Themen auch gerne weiter.

 

Datenschutz bleibt ein zentrales Thema

Beim Einsatz von KI werden häufig personenbezogene Daten verarbeitet. Das können Kundendaten, Beschäftigtendaten, Bewerbungsunterlagen, Kommunikationsinhalte oder interne Dokumente sein. Unternehmen müssen daher prüfen, ob eine Rechtsgrundlage für die Verarbeitung besteht, ob Betroffene informiert werden müssen und ob ein Auftragsverarbeitungsvertrag erforderlich ist.

Besonders kritisch wird es, wenn vertrauliche oder personenbezogene Daten in externe KI-Tools eingegeben werden. Nicht jedes Tool ist für den Einsatz mit Unternehmensdaten geeignet. Unternehmen sollten daher klare Regeln definieren, welche Daten in KI-Systeme eingegeben werden dürfen und welche ausdrücklich ausgeschlossen sind.

 

Kennzeichnung und Transparenz werden wichtiger

Ein weiterer Punkt ist die Frage, wann KI-generierte Inhalte gekennzeichnet werden müssen. Das betrifft nicht nur Deepfakes oder synthetische Bilder, sondern kann auch Texte, Chatbots oder automatisierte Kommunikation betreffen.

Für Unternehmen ist entscheidend: Nutzerinnen und Nutzer, Kundinnen und Kunden sowie Beschäftigte dürfen nicht darüber im Unklaren gelassen werden, wenn sie mit einem KI-System interagieren oder KI-generierte Inhalte eine relevante Rolle spielen. Transparenz wird damit zu einem wichtigen Bestandteil vertrauenswürdiger KI-Nutzung.

 

Prompt Injection: Das unterschätzte Sicherheitsrisiko

Neben Datenschutz und Regulierung sollten Unternehmen auch technische Risiken ernst nehmen. Ein Beispiel ist Prompt Injection. Dabei wird versucht, ein KI-System durch versteckte oder manipulierte Anweisungen zu beeinflussen.

Das Risiko steigt besonders dann, wenn KI-Systeme Zugriff auf E-Mails, Dokumente, Datenbanken, Ticketsysteme oder andere interne Quellen erhalten. Eine manipulierte Datei oder Nachricht kann unter Umständen dazu führen, dass das KI-System falsche Informationen ausgibt, interne Anweisungen ignoriert oder sensible Inhalte verarbeitet.

Unternehmen sollten KI deshalb nicht ausschließlich isoliert betrachten, sondern als Teil ihrer Informationssicherheitsarchitektur. Je mehr ein KI-System darf, desto stärker müssen Zugriff, Protokollierung, Prüfung und Begrenzung ausgestaltet sein.

 

KI-Kompetenz ist Pflicht – und mehr als Prompting

Ein häufig unterschätzter Punkt ist die KI-Kompetenz. Mitarbeitende müssen verstehen, wie KI funktioniert, wo ihre Grenzen liegen und welche Risiken bestehen. Dazu gehört nicht nur, gute Prompts zu schreiben, sondern, ein Bewusstsein für die Vor- und Nachteile bzw. die Chancen und Risiken der Nutzung von KI zu entwickeln sowie praktische und rechtliche Aspekte vereinen zu können.

Unternehmen sollten daher Schulungen und klare Leitlinien einführen. Eine kurze, verständliche KI-Richtlinie ist oft wirksamer als ein umfangreiches Dokument, das im Alltag niemand nutzt. Wir unterstützen Sie gerne bei Fragen zur Umsetzung der KI-Kompetenz in Ihrem Unternehmen.

 

Praktische Maßnahmen für Unternehmen

Unternehmen müssen KI nicht vermeiden. Sie sollten KI aber bewusst steuern. Uns begleitet dabei stets ein Grundgedanke: Entscheidend ist nicht, ob sich Fragestellungen klären lassen, sondern wie wir sie strukturiert, nachvollziehbar und praxisnah beantworten können. Sinnvolle erste Schritte beim KI-Thema sind:

  1. KI-Inventar erstellen
    Alle eingesetzten KI-Tools und KI-Funktionen erfassen, auch solche in bestehenden Softwarelösungen.
  2. Einsatzbereiche bewerten
    Unterscheiden, ob KI nur unterstützend eingesetzt wird oder ob sie Entscheidungen vorbereitet, beeinflusst oder automatisiert.
  3. Datenkategorien prüfen
    Festlegen, welche Daten verarbeitet werden dürfen und welche nicht in KI-Systeme eingegeben werden dürfen.
  4. Anbieter bewerten
    Datenschutz, IT-Sicherheit, Speicherorte, Trainingsnutzung, Subunternehmer und Vertragsunterlagen prüfen.
  5. KI-Richtlinie einführen
    Klare Regeln für erlaubte, eingeschränkte und verbotene KI-Nutzung schaffen.
  6. Mitarbeitende schulen
    KI-Kompetenz praxisnah vermitteln und regelmäßig aktualisieren.
  7. Menschliche Kontrolle sicherstellen
    KI-Ergebnisse dürfen nicht ungeprüft übernommen werden, insbesondere nicht bei rechtlich, wirtschaftlich oder persönlich relevanten Entscheidungen.

 

Fazit: KI braucht Governance, nicht Aktionismus

KI bietet enorme Chancen. Sie kann Prozesse beschleunigen, Wissen zugänglicher machen und Mitarbeitende entlasten. Gleichzeitig verändert sich das regulatorische Umfeld dynamisch. Unternehmen, die KI ohne Überblick und klare Regeln einsetzen, riskieren Datenschutzverstöße, Sicherheitsprobleme, falsche Entscheidungen und Vertrauensverlust.

Die wichtigste Frage lautet daher nicht mehr: „Sollten wir KI nutzen?“

Sondern: Nutzen wir KI bereits – und haben wir sie wirklich im Griff?

Wer diese Frage nicht sicher beantworten kann, sollte jetzt beginnen: mit Transparenz, klaren Verantwortlichkeiten, Schulung und einem praxistauglichen KI-Governance-Konzept. 

Sie haben Fragen oder möchten mehr Sicherheit im Umgang mit KI schaffen? Wir unterstützen Sie gerne dabei, den nächsten passenden Schritt zu finden.

 

Autor

Markus Vatter, Head of Compliance, 22.05.2026

Andere interessante Artikel

Alle ansehen
KI-Richtlinie und Kompetenz im Unternehmen
KI-Richtlinie und Kompetenz im Unternehmen

Wie nutzt man künstliche Intelligenz auf vertrauensvolle Art und Weise im Unternehmen? 
Wenn diese Frage aufkommt, stehen die zentralen Anforderungen aus DSGVO und EU-KI-Verordnung, insbesondere bei Hochrisiko-Systemen im Fokus. Vertiefen Sie ihr Wissen und kommen Sie dem Verbindungen zwischen Freigabeprozessen, Schulungspflichten und der Rolle eines KI-Beauftragten als entscheidende Schnittstelle im Unternehmen bei der Nutzung von KI im Unternehmen näher.

Sprechen Sie mit unseren Experten.

Wir beraten Sie gerne und freuen uns auf Ihre Fragen.

To build Software

that people love to use.

+49 (0) 7121 68 08 49-0
mail@bitbasegroup.com
Am Heilbrunnen 47
D-72766 Reutlingen

Berichten Sie uns von Ihren Erfahrungen mit der bbg bitbase group

TopConsultant 2022
kununu
charta der vielfalt
ratiopharm