Wie nutzt man künstliche Intelligenz auf vertrauensvolle Art und Weise im Unternehmen?
Wenn diese Frage aufkommt, stehen die zentralen Anforderungen aus DSGVO und EU-KI-Verordnung, insbesondere bei Hochrisiko-Systemen im Fokus. Vertiefen Sie ihr Wissen und kommen Sie dem Verbindungen zwischen Freigabeprozessen, Schulungspflichten und der Rolle eines KI-Beauftragten als entscheidende Schnittstelle im Unternehmen bei der Nutzung von KI im Unternehmen näher.
Künstliche Intelligenz (KI) bietet enorme Chancen: Von Effizienzsteigerung bis zu völlig neuen Geschäftsmodellen. Gleichzeitig verpflichtet sie Unternehmen zu verantwortungsvollem Handeln. Mit der Datenschutz-Grundverordnung (DSGVO) und der neuen EU-Verordnung über Künstliche Intelligenz (KI-VO) entstehen verbindliche Vorgaben, die jedes Unternehmen kennen und umsetzen muss.
Regulatorischer Rahmen: DSGVO und KI-VO
Die DSGVO gilt immer dann, wenn personenbezogene Daten verarbeitet werden, was bei KI-Anwendungen eigentlich immer der Fall ist. Entscheidend sind insbesondere folgende Anforderungen:
-
Zweckbindung & Datenminimierung (Art. 5 DSGVO): KI darf nur für klar definierte und legitime Zwecke eingesetzt werden.
-
Rechtsgrundlage (Art. 6 DSGVO): Jede Verarbeitung braucht eine rechtmäßige Grundlage – z. B. Einwilligung oder berechtigtes Interesse.
-
Transparenz (Art. 13, 14 DSGVO): Betroffene müssen wissen, dass KI zum Einsatz kommt.
-
Betroffenenrechte (Art. 15–22 DSGVO): Automatisierte Entscheidungen, wie Scoring oder Profiling, müssen nachvollziehbar und überprüfbar bleiben. Es besteht ein Recht auf menschliches Eingreifen.
-
Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Bei hohem Risiko für Rechte und Freiheiten muss vorab eine DSFA durchgeführt werden. Die KI-VO ergänzt diesen Rahmen. Sie teilt KI-Systeme in Risikostufen ein und stellt besonders hohe Anforderungen an sogenannte Hochrisiko-KI-Systeme – etwa im Personalwesen, bei Kreditvergabe oder biometrischer Identifikation.
Für solche Systeme gelten u.a.:
- Registrierung und Konformitätsbewertung
- Risikomanagement und Transparenzpflichten
- menschliche Aufsicht und Protokollierung
- Anforderungen an Datenqualität und Cybersicherheit
Verstöße können, ähnlich wie bei der DSGVO, zu hohen Bußgeldern führen.
Erlaubnisvorbehalt und Verantwortlichkeiten im Unternehmen
Um rechtliche Risiken zu vermeiden und die Technologien kontrolliert einzusetzen, empfiehlt sich ein unternehmensweiter Erlaubnisvorbehalt für den KI-Einsatz.
Das bedeutet: KI-Systeme dürfen nur nach Freigabe durch eine zentrale Stelle verwendet werden.
Dabei sollten mindestens folgende Punkte geprüft und dokumentiert werden:
- Liegt eine Datenschutzfolgenabschätzung (DSFA) vor?
- Besteht eine geeignete Rechtsgrundlage für die Datenverarbeitung?
- Handelt es sich um ein Hochrisiko-System nach KI-VO?
- Sind Betroffene ausreichend informiert?
- Besteht ein Risiko automatisierter Einzelentscheidungen?
Ein solcher Freigabeprozess schützt Unternehmen vor Fehlentscheidungen, schafft Transparenz und beugt Reputationsschäden vor.
KI-Kompetenz: Schulungs- und Kontrollpflicht
Nach Art. 4 KI-VO müssen Unternehmen sicherstellen, dass Mitarbeitende über ausreichende Kompetenz im Umgang mit KI verfügen. Diese Pflicht wird oft unterschätzt. Sie ist aber rechtlich verankert und greift unabhängig von Zertifikaten oder formalen Schulungsnachweisen.
Jedes Unternehmen, das beruflich KI-Systeme nutzt, gilt als Betreiber (Art. 3 Nr. 4 KI-VO). Damit haftet es nach § 831 BGB für das Verhalten seiner Mitarbeitenden („Verrichtungsgehilfen“). Es sei denn, es kann nachweisen, dass es seiner Sorgfaltspflicht nachgekommen ist.
Das bedeutet konkret:
- Mitarbeitende müssen sorgfältig ausgewählt,
- regelmäßig geschult und
- bei der Nutzung von KI kontrolliert werden.
Die Schulungspflicht beginnt mit der ersten KI-Nutzung im Betrieb, nicht erst mit dem Inkrafttreten der KI-VO. Unternehmen können den Aufwand steuern, indem sie zunächst bestimmte KI-Nutzungen untersagen und neue Anwendungen erst nach Risikoanalyse und gezielter Schulung freigeben.
KI-Beauftragter – Schnittstelle zwischen Recht, Technik und Ethik
Zur Umsetzung der neuen Anforderungen empfiehlt sich die Einführung eines KI-Beauftragten. Er koordiniert die Prüfung neuer KI-Projekte, sorgt für die Einhaltung von DSGVO und KI-VO und berät Fachabteilungen.
Seine Aufgaben umfassen:
- Prüfung von KI-Projekten auf rechtliche und technische Konformität
- Koordination mit Datenschutz, IT-Sicherheit und Compliance
- Schulung und Sensibilisierung der Mitarbeitenden
- Dokumentation und laufende Überwachung der eingesetzten Systeme
Er fungiert außerdem als Ansprechperson für Beschäftigte, die Fragen oder Bedenken zum KI-Einsatz haben, insbesondere zu Transparenz, Profiling und automatisierten Entscheidungen.
Fazit: Verantwortung beginnt mit Wissen
Künstliche Intelligenz kann enorme Vorteile bringen. Jedoch nur, wenn sie kontrolliert, kompetent und regelkonform eingesetzt wird. Unternehmen, die klare Zuständigkeiten schaffen, ihre Mitarbeitenden schulen und den KI-Einsatz dokumentiert prüfen, erfüllen nicht nur gesetzliche Pflichten, sondern stärken auch Vertrauen und Innovationsfähigkeit.
Das könnte Sie auch interessieren
Autor: Markus Vatter, Head of Compliance, 04.03.2026
