KI-Compliance im Unternehmen: Antworten auf die häufigsten Praxisfragen

Deepfakes, Screening-Tools & Scoring-Systeme – wie werden KI-Anwendungen in Risikoklassen eingeordnet?

Der AI Act unterscheidet vier Risikoklassen:

• Unannehmbares Risiko – z. B.  Social Scoring, bei welchem Bürger:innen systematisch eingeordnet werden  (verboten)

• Hohes Risiko – z. B. Bewerbung der-Screening-Tools, HR-Systeme zum Mitarbeitendenmonitoring, Kreditentscheidungen (zulässig, aber stark reguliert)

• Begrenztes Risiko – z. B. Chatbots, interaktive Systeme (Transparenz- und Kennzeichnungspflicht)

• Geringes Risiko – z. B. Bildbearbeitungstools, Filtereffekte, Spamfilter

Unter welche Risikokategorie fallen Deepfakes?

Solange keine verbotenen Praktiken oder Hochrisiko-Anwendungsfälle ausgeübt werden, gelten viele generative KI-Tools – darunter auch Deepfake-Technologien – als Systeme mit begrenztem Risiko. Wer ein KI-System einsetzt, das Inhalte erzeugt, die einen Deepfake darstellen, muss laut Art. 50 (4) des AI-Acts offenlegen, dass die Inhalte künstlich erzeugt oder manipuliert wurden.  

Warum Screening- und Scoring-Systeme (z. B. in HR, Kreditvergabe) höher eingestuft werden:

Weil sie direkt in das Leben und die Chancen von Menschen eingreifen. Hier gelten strengere Anforderungen wie die Nachvollziehbarkeit von Entscheidungen und Einordnungen, menschliche Aufsicht und Risikomanagement

Transparenz- und Kennzeichnungspflichten beim Einsatz von KI – was gilt wann und wie?

Grundsätzlich wird zwischen Transparenzpflichten, also der Offenlegung, dass mit einem KI-System interagiert wird, und Kennzeichnungspflichten von durch KI erzeugten Inhalten unterschieden.  

Laut AI Act müssen Anbieter von KI-Systemen folgende Pflichten erfüllen:  

• Inhalte, die vollständig KI-generiert sind (z. B. Texte, Bilder, Videos), kennzeichnen

• Sicherstellen, dass NutzerInnen, die direkt mit einem KI-System interagieren, sich dessen bewusst sind (z. B. bei Chatbots)

Betreiber hingegen müssen in speziellen Fällen transparent darlegen, dass sie ein bestimmtes KI-System in Einsatz haben:

• Beim Einsatz von Emotionserkennungsystemen und

• Beim Einsatz von Systemen zur biometrischen Kategorisierung.

Zusätzlich gelten für beide Gruppen Kennzeichnungspflichten für:

• Inhalte, die einen Deep Fake darstellen sowie  

• Inhalte, die über Angelegenheiten von öffentlichem Interesse informieren  

Was bedeuten Transparenz- und Kennzeichnungspflichten in der Praxis?

• Bei KI-Systemen, die direkt mit Personen interagieren: Immer prüfen, ob Transparenzpflichten greifen

• Bei KI-generierten Inhalten, insbesondere bei Öffentlichkeitsarbeit, Marketing, externer Kommunikation: Kennzeichnungspflichten prüfen und erfüllen

Formulierungsvorschlag für eine Kennzeichnung: „Dieser Inhalt wurde mit Unterstützung eines KI-Systems erstellt.“

Schulungspflicht, Teilnahmezertifikate & Dokumentation – was Unternehmen zur KI-Kompetenz wissen müssen

KI-Kompetenz im Unternehmen sicherzustellen ist die einzige Pflicht aus dem AI-Act, die unabhängig von der Risikoklassifizierung für alle Anbieter und Betreiber von KI-Systemen gilt. In der Praxis erfüllen die meisten Unternehmen diese Pflicht mithilfe von Schulungen zum Thema KI.  

Was muss nachgewiesen werden?

• Dass Mitarbeitende und alle, die im Auftrag des Unternehmens KI nutzen, geschult und weitergebildet wurden

• Dass hierbei die technischen Kenntnisse, Erfahrungen, Aus- und Weiterbildungen und der Kontext der KI-Nutzung berücksichtigt wurden

• Ggf. Zertifikate bei externen Schulungsanbietern

Empfehlung: Einheitliches Schulungskonzept, z. B. über Proliance KI-Schulungen → inklusive Nachweis, Rollenzuordnung & Intervallregelung.

Was ist sinnvoller: KI-Schulung oder KI-Richtlinie zuerst?

Unsere klare Empfehlung:

1. Zuerst KI-Richtlinie einführen und verankern

2. Dann Awareness schaffen (Schulung)

Warum? Zuerst sollte festgelegt werden, welche KI-Anwendungen im Unternehmen erlaubt sind (Acceptable Use). Anschließend sollte anhand der festgelegten Richtlinien geschult werden und bestenfalls auf diese Bezug genommen werden.

Wer trägt die Verantwortung für KI-Compliance im Unternehmen?

In der Praxis zeigt sich: Kein einzelner Bereich (DSB, ISB, Legal, Compliance) kann KI-Compliance allein koordinieren.

Lösung:

• Benennung einer übergreifenden Koordinationsrolle („KI Governance Lead“ oder „KI Beauftragter“)

• Aufbau eines Teams mit verschiedenen Kompetenzen und Zuständigkeiten sowie klaren Rollenprofilen (z.B. Data Scientists, IT, Compliance-Beauftragter & Management)

• Unterstützung durch externe ExpertInnen, z. B. für Risikoanalyse oder Regulatorik

Microsoft Copilot im Einsatz – reicht eine KI-Schulung?

Kurz: Nein.

Wenn Copilot produktiv genutzt wird (z. B. in Office, Outlook, Teams), sind sowohl Pflichten nach dem AI-Act als auch DSGVO-Pflichten zu erfüllen – insbesondere, wenn HR-Daten, Kundendaten oder sensible Inhalte verarbeitet werden.

Was Sie brauchen:

• Zulässigkeitsprüfung und Risikobewertung (ggf. DSFA)

• Einen datenschutzrechtlichen Vertrag (i.d.R. Auftragsverarbeitungsvertrag)

• KI-spezifische Schulung  

• Technische und organisatorische Kontrollen (Richtlinie, Logging, Zugriffsregeln)

• Texte zur Erfüllung von Informationspflichten

Was tun, wenn personenbezogene Daten versehentlich in KI-Systeme eingegeben werden?

Beispiel: Ein Mitarbeitender gibt Kundendaten in ChatGPT ein.

Grundsätzlich sollte es durch die Ergreifung präventiver Maßnahmen gar nicht erst zu einer „versehentlichen“ Eingabe und damit Verarbeitung personenbezogener Daten kommen. Hierzu zählt u.a. die Schulung von Beschäftigten zur sachgemäßen und rechtskonformen Nutzung von KI sowie die Implementierung einer AI Policy. Sollte es dennoch zu einer unbeabsichtigten Eingabe kommen, kann man den Dienstleister nach Maßgabe des Auftragsverarbeitungsvertrags zur Löschung anweisen.  

Nutzt der Mitarbeiter den KI-Dienstleister mit seinem privaten Account zu Geschäftszwecken, handelt es sich also um sog. „Schatten-KI“ können Unternehmen und Mitarbeitern ggf. erhebliche Compliance-Risiken drohen.

Fragenkatalog der BfDI – wie sinnvoll ist es, sich daran zu orientieren?

Der Fragekatalog des Bundesdatenschutzbeauftragten wurde erstellt, um die Kontrolltätigkeiten des BfDI bei der Prüfung von KI-basierten Algorithmen zu unterstützen. Konkret stellt dieser 96 Fragen zum Thema KI und Datenschutz mit Fokus auf:

• Rechtsgrundlagen und datenschutzrechtliche Einordnung

• Transparenz und Betroffenenrechte

• Art der KI-Anwendung

• Erhebung von Daten und Umfang von Trainings- und Testdaten

• Risikomanagement und Abhilfemaßnahmen

Es ist nicht verpflichtend, die Fragen zu beantworten. Allerdings macht es durchaus Sinn, sich bei der eigenen Prüfung von KI-Systemen im Unternehmen an diesem zu orientieren.

Wie prüfen Unternehmen bestehende Dokumente auf KI-Relevanz?

Wird KI neu im Unternehmen genutzt, sollte eine Anpassung bestehender Dokumente oder auch die Erstellung neuer Dokumente erfolgen, um auch den KI-Einsatz abzudecken.  

Folgende Dokumente sollten geprüft und ggf. angepasst werden:

• Datenschutzerklärungen (z. B. Hinweis auf KI-Tools)

• Einwilligungserklärungen (z. B. wenn Daten zusätzlich für das Training eines KI-Modells genutzt werden sollen)

• AV-Verträge & Verarbeitungsverzeichnisse

• HR-Dokumente (z. B. Datenschutzinformationen für Mitarbeiter und Bewerber)

Unser Vorschlag: Wenn Sie eine neue KI einsetzen, prüfen Sie, ob vorhandene Dokumente ausreichend sind, um die KI-Nutzung abzudecken. Gerne helfen wir Ihnen, Ihre Informationspflichten zu erfüllen und Anpassungen vorzunehmen.  

Fazit: KI-Compliance ist Teamarbeit – und ein strategisches Projekt

Der AI Act ist da – und mit ihm ein ganzer Katalog an Anforderungen. Gleichzeitig gelten die altbekannten Anforderungen der DSGVO. Unternehmen, die heute handeln, gewinnen nicht nur Rechtssicherheit, sondern auch Vertrauen und Zukunftsfähigkeit.

Jetzt KI-Konformität im Unternehmen strukturieren – mit klarer Rollenverteilung, gezielter Schulung und pragmatischer Dokumentation.  

‍