Künstliche Intelligenz ist in der betrieblichen Praxis angekommen. Mit ihrer zunehmenden Verbreitung wächst jedoch auch der regulatorische Rahmen. Mit Inkrafttreten des EU AI Act sind Unternehmen verpflichtet zu prüfen, welche Anforderungen für ihre KI-Systeme gelten.
Die folgende Beitrag dient als Orientierungshilfe, Ihr Unternehmen strukturiert und rechtssicher aufzustellen.
1. Rollenklärung: Welche Position haben Sie in der KI-Verordnung?
Zentral ist zunächst die Einordnung Ihrer Rolle:
- Anbieter: Entwickeln oder lassen ein KI-System entwickeln und bringen es unter eigenem Namen in Verkehr.
- Betreiber: Setzen ein KI-System im beruflichen Kontext ein.
Die meisten Unternehmen sind Betreiber.
Achtung: Wenn Sie ein bestehendes System wesentlich verändern oder dessen Zweckbestimmung ändern, können Sie regulatorisch zum Anbieter werden – mit deutlich erweiterten Pflichten.
2. Risikoeinstufung: In welche Kategorie fällt Ihr System?
Der EU AI Act verfolgt einen risikobasierten Ansatz. Je höher das Risiko für Sicherheit und Grundrechte, desto strenger die Anforderungen.
Verbotene KI-Systeme (Art. 5)
Unzulässig sind u. a.:
- Subliminale Manipulation mit erheblichem Schadenspotenzial
- Social Scoring durch öffentliche Stellen
- Bestimmte biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum
Hochrisiko-KI (Art. 6 i. V. m. Anhang III)
Hierzu zählen insbesondere Systeme in:
- Kritischer Infrastruktur
- Bildung und Berufsbildung
- Beschäftigung und Personalmanagement (z. B. KI-gestützte Bewerberauswahl)
- Kreditwürdigkeitsprüfung
- Medizinprodukten
In der Praxis rückt zunehmend der Einsatz von KI-Systemen zur Vorauswahl von Bewerbern in den Fokus. Hierbei jedoch besondere Vorsicht geboten: Da Systeme im Personalmanagement maßgeblichen Einfluss auf berufliche Chancen haben, werden sie in der Regel als Hochrisiko-KI-Systeme eingestuft.
Begrenztes oder geringes Risiko
Beispielsweise:
- Chatbots
- Spam-Filter
- KI-gestützte Texterstellung ohne sensible Anwendung
Die Einordnung ist der zentrale Compliance-Schritt, da hiervon sämtliche Folgepflichten abhängen.
3. Transparenz- und Kennzeichnungspflichten
Der EU AI Act statuiert Transparenzanforderungen, insbesondere bei:
- KI-Interaktion: Personen müssen informiert werden, wenn sie mit einem KI-System interagieren (z. B. Chatbot).
- Synthetischen Inhalten: KI-generierte oder manipulierte Bild-, Audio- oder Videoinhalte müssen kenntlich gemacht werden, sofern Täuschungsgefahr besteht.
Ziel ist die Vermeidung von Irreführung und Deepfakes.
4. KI-Kompetenz im Unternehmen
Art. 4 EU AI Act verpflichtet Unternehmen, eine angemessene KI-Kompetenz sicherzustellen.
Das bedeutet:
- Sensibilisierung der Mitarbeitenden
- Schulungen zur Funktionsweise, Risiken und Grenzen der eingesetzten Systeme
- Dokumentation der Qualifizierungsmaßnahmen
Es gibt keine formale Zertifizierungspflicht – entscheidend ist die Angemessenheit im Verhältnis zum Risiko. Es empfiehlt sich, den Aufbau von KI-Kompetenz im Rahmen bestehender Datenschutzschulungen zu integrieren.
5. Datenschutz & Datensicherheit
Sobald personenbezogene Daten verarbeitet werden, gilt die Datenschutz-Grundverordnung.
Prüfen Sie insbesondere:
Zweckbindung und Rechtsgrundlage
Ist für jede Verarbeitung eine tragfähige Rechtsgrundlage vorhanden?
Datenminimierung
Werden nur die tatsächlich erforderlichen Daten verarbeitet?
Datenrichtigkeit
Technische und organisatorische Maßnahmen müssen fehlerhafte oder diskriminierende Ergebnisse minimieren.
Lösch- und Berichtigungsansprüche
Können personenbezogene Daten wirksam korrigiert oder entfernt werden?
IT-Sicherheit
Sind angemessene Schutzmaßnahmen gegen externe Angriffe implementiert?
Datenschutz-Folgenabschätzung (DSFA)
Eine DSFA nach Art. 35 DSGVO ist durchzuführen, wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht. Sollte eine Hochrisiko-KI vorliegen, ist davon auszugehen, dass eine DSFA durchgeführt werden muss.
6. Zusätzliche Pflichten bei Hochrisiko-KI
Bei Hochrisiko-Systemen bestehen weitergehende Anforderungen, u. a.:
- Implementierung eines dokumentierten Risikomanagementsystems
- Sicherstellung wirksamer menschlicher Aufsicht
- Protokollierungspflichten (Log-Daten)
- Information der Beschäftigten vor erstmaligem Einsatz
- Durchführung einer Grundrechts-Folgenabschätzung (bei bestimmten Anwendungsfällen im öffentlichen Sektor)
Hier empfiehlt sich regelmäßig eine juristische und technische Begleitung.
7. Rolle des Datenschutzbeauftragten
Unabhängig von der Risikoklasse bleibt die DSGVOmaßgeblich, sobald personenbezogene Daten verarbeitet werden. Der Datenschutzbeauftragte sollte daher frühzeitig in die Einführung von KI-Systemen eingebunden werden.
Der EU AI Act sieht keinen verpflichtenden KI-Beauftragten vor. Unternehmen können jedoch freiwillig eine zentrale KI-Verantwortlichkeit etablieren, um Governance und Dokumentation zu bündeln.
Eine Personalunion mit dem Datenschutzbeauftragten ist möglich, sofern:
- keine Interessenkonflikte bestehen (Art. 38 Abs. 6 DSGVO),
- keine operative KI-Verantwortung übernommen wird,
- ausreichende Ressourcen beim Datenschutzbeauftragten vorhanden sind.
Bei externen Datenschutzbeauftragten ist zu beachten, dass sich ihre Tätigkeit auf die Vorgaben der DSGVO beschränkt. Eine Beratung, die über den Datenschutz hinausgeht, ist ihnen aufgrund des Rechtsdienstleistungsgesetzes untersagt.
Fazit
Ein erfolgreicher KI-Einsatz erfordert weit mehr als technische Implementierung: Er verlangt Rechts- und Prozesssicherheit. Durch eine strukturierte Risikoanalyse und saubere Dokumentation werden Bußgeldgefahren frühzeitig abgefangen. Dieser professionelle Compliance-Rahmen bildet die Voraussetzung dafür, dass KI-Projekte nicht an regulatorischen Hürden scheitern, sondern langfristig stabil und rechtssicher betrieben werden können.
Insbesondere bei komplexen KI-Anwendungen ist eine strukturierte Governance-Architektur unverzichtbar. Die frühzeitige Einbindung eines externen Datenschutzbeauftragten bietet hierbei entscheidende Vorteile: Durch die professionelle Verzahnung von DSGVO-Vorgaben und dem EU AI Act lassen sich Haftungsrisiken proaktiv minimieren und interne Ressourcen spürbar entlasten.
So wird Künstliche Intelligenz nicht nur zu einem technischen Erfolg, sondern zu einer rechtlich tragfähigen Säule Ihrer Unternehmensstrategie. Gerne unterstütze ich Sie als externer Datenschutzbeauftragter dabei, diese regulatorischen Anforderungen effizient und praxisnah in Ihren Betrieb zu integrieren.