KI-Compliance im Unternehmen: Antworten auf die häufigsten Praxisfragen

Letztes Update:
03
.
07
.
2025
Lesezeit:
0
Min
Mit dem AI Act schafft die EU erstmals verbindliche Regeln für den Einsatz von Künstlicher Intelligenz. Unternehmen in nahezu allen Branchen müssen jetzt handeln: Ob durch Microsoft 365 Copilot, DeepL, ChatGPT oder interne KI-Projekte – der Einsatz von KI ist längst Realität. Aber wie setzen Sie die neuen Anforderungen rechtskonform und praxisnah um? In diesem Beitrag beantworten wir die wichtigsten Fragen, die Datenschutz-, Compliance- und IT-Verantwortliche derzeit bewegen – strukturiert, verständlich und mit klaren Empfehlungen.
KI-Compliance im Unternehmen: Antworten auf die häufigsten Praxisfragen
Die wichtigsten Erkenntnisse
  • Risikobasierter Umgang mit KI ist Pflicht – Deepfakes ≠ harmlos
  • Schulung allein reicht nicht – KI-Richtlinie, Nachweis & Governance sind entscheidend
  • Kennzeichnungspflicht: Transparenz muss strategisch verankert werden
  • BfDI-Fragenkatalog als strategisches Tool nutzen – nicht als Pflicht verstehen
  • Microsoft Copilot & Schatten-KI: Unterschätzte Compliance-Fallen

Deepfakes, Screening-Tools & Scoring-Systeme – wie werden KI-Anwendungen in Risikoklassen eingeordnet?

Der AI Act unterscheidet vier Risikoklassen:

  • Unannehmbares Risiko – z. B.  Social Scoring, bei welchem Bürger:innen systematisch eingeordnet werden  (verboten)
  • Hohes Risiko – z. B. Bewerbung der-Screening-Tools, HR-Systeme zum Mitarbeitendenmonitoring, Kreditentscheidungen (zulässig, aber stark reguliert)
  • Begrenztes Risiko – z. B. Chatbots, interaktive Systeme (Transparenz- und Kennzeichnungspflicht)
  • Geringes Risiko – z. B. Bildbearbeitungstools, Filtereffekte, Spamfilter

Unter welche Risikokategorie fallen Deepfakes?

Solange keine verbotenen Praktiken oder Hochrisiko-Anwendungsfälle ausgeübt werden, gelten viele generative KI-Tools – darunter auch Deepfake-Technologien – als Systeme mit begrenztem Risiko. Wer ein KI-System einsetzt, das Inhalte erzeugt, die einen Deepfake darstellen, muss laut Art. 50 (4) des AI-Acts offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.  

Warum Screening- und Scoring-Systeme (z. B. in HR, Kreditvergabe) höher eingestuft werden:

Weil sie direkt in das Leben und die Chancen von Menschen eingreifen. Hier gelten strengere Anforderungen wie die Nachvollziehbarkeit von Entscheidungen und Einordnungen, menschliche Aufsicht und Risikomanagement

Transparenz- und Kennzeichnungspflichten beim Einsatz von KI – was gilt wann und wie?

Grundsätzlich wird zwischen Transparenzpflichten, also der Offenlegung, dass mit einem KI-System interagiert wird, und Kennzeichnungspflichten von durch KI erzeugten Inhalten unterschieden.  

Laut AI Act müssen Anbieter von KI-Systemen folgende Pflichten erfüllen:  

  • Inhalte, die vollständig KI-generiert sind (z. B. Texte, Bilder, Videos), kennzeichnen
  • Sicherstellen, dass NutzerInnen, die direkt mit einem KI-System interagieren, sich dessen bewusst sind (z. B. bei Chatbots)

Betreiber hingegen müssen in speziellen Fällen transparent darlegen, dass sie ein bestimmtes KI-System in Einsatz haben:

  • Beim Einsatz von Emotionserkennungsystemen und
  • Beim Einsatz von Systemen zur biometrischen Kategorisierung.

Zusätzlich gelten für beide Gruppen Kennzeichnungspflichten für:

  • Inhalte, die einen Deep Fake darstellen sowie  
  • Inhalte, die über Angelegenheiten von öffentlichem Interesse informieren  

Was bedeuten Transparenz- und Kennzeichnungspflichten in der Praxis?

  • Bei KI-Systemen, die direkt mit Personen interagieren: Immer prüfen, ob Transparenzpflichten greifen
  • Bei KI-generierten Inhalten, insbesondere bei Öffentlichkeitsarbeit, Marketing, externer Kommunikation: Kennzeichnungspflichten prüfen und erfüllen

Formulierungsvorschlag für eine Kennzeichnung: „Dieser Inhalt wurde mit Unterstützung eines KI-Systems erstellt.“

Sie möchten erste Schritte mit KI datenschutzkonform durchführen? Laden Sie sich den Datenschutzguide für KI runter.  

Schulungspflicht, Teilnahmezertifikate & Dokumentation – was Unternehmen zur KI-Kompetenz wissen müssen

KI-Kompetenz im Unternehmen sicherzustellen ist die einzige Pflicht aus dem AI-Act, die unabhängig von der Risikoklassifizierung für alle Anbieter und Betreiber von KI-Systemen gilt. In der Praxis erfüllen die meisten Unternehmen diese Pflicht mithilfe von Schulungen zum Thema KI.  

Was muss nachgewiesen werden?

  • Dass Mitarbeitende und alle, die im Auftrag des Unternehmens KI nutzen, geschult und weitergebildet wurden
  • Dass hierbei die technischen Kenntnisse, Erfahrungen, Aus- und Weiterbildungen und der Kontext der KI-Nutzung berücksichtigt wurden
  • Ggf. Zertifikate bei externen Schulungsanbietern

Empfehlung: Einheitliches Schulungskonzept, z. B. über Proliance KI-Schulungen → inklusive Nachweis, Rollenzuordnung & Intervallregelung.

Was ist sinnvoller: KI-Schulung oder KI-Richtlinie zuerst?

Unsere klare Empfehlung:

  1. Zuerst KI-Richtlinie einführen und verankern
  1. Dann Awareness schaffen (Schulung)

Warum? Zuerst sollte festgelegt werden, welche KI-Anwendungen im Unternehmen erlaubt sind (Acceptable Use). Anschließend sollte anhand der festgelegten Richtlinien geschult werden und bestenfalls auf diese Bezug genommen werden.

Wer trägt die Verantwortung für KI-Compliance im Unternehmen?

In der Praxis zeigt sich: Kein einzelner Bereich (DSB, ISB, Legal, Compliance) kann KI-Compliance allein koordinieren.

Lösung:

  • Benennung einer übergreifenden Koordinationsrolle („KI Governance Lead“ oder „KI Beauftragter“)
  • Aufbau eines Teams mit verschiedenen Kompetenzen und Zuständigkeiten sowie klaren Rollenprofilen (z.B. Data Scientists, IT, Compliance-Beauftragter & Management)
  • Unterstützung durch externe ExpertInnen, z. B. für Risikoanalyse oder Regulatorik

Sie benötigen Hilfe bei der Umsetzung? Lassen Sie sich von unseren KI-Experten beraten!

Microsoft Copilot im Einsatz – reicht eine KI-Schulung?

Kurz: Nein.

Wenn Copilot produktiv genutzt wird (z. B. in Office, Outlook, Teams), sind sowohl Pflichten nach dem AI-Act als auch DSGVO-Pflichten zu erfüllen – insbesondere, wenn HR-Daten, Kundendaten oder sensible Inhalte verarbeitet werden.

Was Sie brauchen:

  • Zulässigkeitsprüfung und Risikobewertung (ggf. DSFA)
  • Technische und organisatorische Kontrollen (Richtlinie, Logging, Zugriffsregeln)
  • Texte zur Erfüllung von Informationspflichten  

Was tun, wenn personenbezogene Daten versehentlich in KI-Systeme eingegeben werden?

Beispiel: Ein Mitarbeitender gibt Kundendaten in ChatGPT ein.

Grundsätzlich sollte es durch die Ergreifung präventiver Maßnahmen gar nicht erst zu einer „versehentlichen“ Eingabe und damit Verarbeitung personenbezogener Daten kommen. Hierzu zählt u.a. die Schulung von Beschäftigten zur sachgemäßen und rechtskonformen Nutzung von KI sowie die Implementierung einer AI Policy. Sollte es dennoch zu einer unbeabsichtigten Eingabe kommen, kann man den Dienstleister nach Maßgabe des Auftragsverarbeitungsvertrags zur Löschung anweisen.  

Nutzt der Mitarbeiter den KI-Dienstleister mit seinem privaten Account zu Geschäftszwecken, handelt es sich also um sog. „Schatten-KI“ können Unternehmen und Mitarbeitern ggf. erhebliche Compliance-Risiken drohen.

Sie haben Ihre Mitarbeiter noch nicht auf die Nutzung von KI geschult? Dann wird es höchste Zeit! Zur KI-Schulung.  

Fragenkatalog der BfDI – wie sinnvoll ist es, sich daran zu orientieren?

Der Fragekatalog des Bundesdatenschutzbeauftragten wurde erstellt, um die Kontrolltätigkeiten des BfDI bei der Prüfung von KI-basierten Algorithmen zu unterstützen. Konkret stellt dieser 96 Fragen zum Thema KI und Datenschutz mit Fokus auf:

  • Rechtsgrundlagen und datenschutzrechtliche Einordnung
  • Transparenz und Betroffenenrechte
  • Art der KI-Anwendung
  • Erhebung von Daten und Umfang von Trainings- und Testdaten
  • Risikomanagement und Abhilfemaßnahmen

Es ist nicht verpflichtend, die Fragen zu beantworten. Allerdings macht es durchaus Sinn, sich bei der eigenen Prüfung von KI-Systemen im Unternehmen an diesem zu orientieren.

Wie prüfen Unternehmen bestehende Dokumente auf KI-Relevanz?

Wird KI neu im Unternehmen genutzt, sollte eine Anpassung bestehender Dokumente oder auch die Erstellung neuer Dokumente erfolgen, um auch den KI-Einsatz abzudecken.  

Folgende Dokumente sollten geprüft und ggf. angepasst werden:

  • Datenschutzerklärungen (z. B. Hinweis auf KI-Tools)
  • Einwilligungserklärungen (z. B. wenn Daten zusätzlich für das Training eines KI-Modells genutzt werden sollen)
  • AV-Verträge & Verarbeitungsverzeichnisse
  • HR-Dokumente (z. B. Datenschutzinformationen für Mitarbeiter und Bewerber)

Unser Vorschlag: Wenn Sie eine neue KI einsetzen, prüfen Sie, ob vorhandene Dokumente ausreichend sind, um die KI-Nutzung abzudecken. Gerne helfen wir Ihnen, Ihre Informationspflichten zu erfüllen und Anpassungen vorzunehmen.  

Fazit: KI-Compliance ist Teamarbeit – und ein strategisches Projekt

Der AI Act ist da – und mit ihm ein ganzer Katalog an Anforderungen. Gleichzeitig gelten die altbekannten Anforderungen der DSGVO. Unternehmen, die heute handeln, gewinnen nicht nur Rechtssicherheit, sondern auch Vertrauen und Zukunftsfähigkeit.

Jetzt KI-Konformität im Unternehmen strukturieren – mit klarer Rollenverteilung, gezielter Schulung und pragmatischer Dokumentation.  

Sie haben noch Fragen zum Thema? Lassen Sie sich jetzt kostenlos von unseren Expertinnen und Experten beraten.

Wenn Sie auf der Suche nach einem Partner sind, der Sie auf dem Weg zu Datenschutz und Informationssicherheit unterstützt, wenden Sie sich gern an unser Team aus erfahrenen Experten.
60+ Expertinnen und Experten
Jetzt beraten lassen
Themen
Redaktion
Ivona Simic
Content & Social Media Manager
Ivona Simic ist Content & Social Media Managerin bei datenschutzexperte.de. Sie verantwortet die redaktionellen Inhalte im CMS und unterstützt SEO & Content Marketing und steigert die Sichtbarkeit. Ihre operativen Stärken liegen in der Organisation und Umsetzung von Online- und Offline-Events, der Steuerung von Kooperationen sowie der Entwicklung und Optimierung von Content für verschiedene digitale Kanäle. Mit einem hands-on Ansatz sorgt sie für effiziente Prozesse und erfolgreiche Kampagnen.
Zum Autorenprofil
Zum Expertenprofil
Hischam El-Danasouri
Privacy Manager
Hischam El-Danasouri ist Privacy Manager bei Proliance und zertifizierter AI Governance Professional. Als Datenschutz- und KI-Experte unterstützt er Unternehmen bei der Umsetzung datenschutzkonformer KI-Strategien und der sicheren Nutzung moderner Technologien im Einklang mit der DSGVO.
Zum Autorenprofil
Zum Expertenprofil
Über Datenschutzexperte
Ein Service der PROLIANCE GmbH.
Proliance steht für Professional Compliance für Unternehmen. Wir sind ein digital getriebenes Legal Tech Unternehmen mit Sitz in München - seit 2017 bestehend aus über 90 Privacy Enthusiasten.
Zu unseren mehr als 2.500 Kunden zählen Start-ups, mittlere Unternehmen und Unternehmensgruppen aus nahezu allen Branchen.
Über uns
Neueste Artikel

Brandheiße Themen, die Sie interessieren könnten

Newsletter

Nichts mehr verpassen – Jetzt Ihren exklusiven Datenschutz-Newsletter abonnieren!