----|--------|----------|
| 1. KI-Richtlinie | Grundregeln für den KI-Einsatz | Policy-Dokument |
|---|---|---|
| 2. Risikoklassifizierung | Einstufung jedes KI-Systems nach Risiko | KI-Register |
| 3. Datenschutz | DSFA, AVV, Betroffenenrechte | DSFA-Dokumentation |
| 4. Verantwortlichkeiten | Wer ist für was zuständig? | RACI-Matrix |
| 5. Monitoring und Audit | Regelmäßige Prüfung und Anpassung | Audit-Protokoll |
Schritt 1: KI-Richtlinie erstellen
Eine KI-Richtlinie ist das Fundament. Sie muss nicht 50 Seiten lang sein. Für ein KMU reichen 3 bis 5 Seiten mit folgenden Inhalten:
Zweck und Geltungsbereich
Für wen gilt die Richtlinie? Alle Mitarbeiter, die KI-Tools nutzen. Welche Tools sind betroffen? Alles, was auf KI basiert: ChatGPT, Microsoft Copilot, Automatisierungstools, branchenspezifische Software.
Erlaubte und verbotene Nutzung
Erlaubt:
- Texterstellung und Zusammenfassung (mit menschlicher Prüfung)
- Recherche und Datenanalyse
- Automatisierung von Routineprozessen
- Übersetzung
Verboten oder eingeschränkt:
- Eingabe personenbezogener Daten in nicht-freigegebene Tools
- Automatische Entscheidungen ohne menschliche Kontrolle bei HR, Kreditvergabe, Vertragskündigungen
- Nutzung von KI für Überwachung am Arbeitsplatz
Datenschutzregeln
- Nur freigegebene KI-Tools verwenden (Whitelist)
- Keine personenbezogenen Daten in kostenlose oder nicht-AVV-gesicherte Tools
- Ergebnisse vor Veröffentlichung prüfen
- Keine vertraulichen Geschäftsinformationen in externe KI-Systeme eingeben
Verantwortlichkeiten
- KI-Verantwortlicher: Genehmigt neue KI-Tools, führt Risikoklassifizierung durch
- Datenschutzbeauftragter: Prüft DSFA-Pflicht, begleitet Einführung
- Fachabteilung: Stellt sicher, dass Ergebnisse geprüft werden
- Geschäftsleitung: Trägt die Gesamtverantwortung
Schritt 2: KI-Register anlegen
Der EU AI Act verlangt, dass Unternehmen ihre KI-Systeme dokumentieren. Ein KI-Register muss für jedes System enthalten:
- Name und Anbieter des Systems
- Einsatzzweck und betroffener Geschäftsbereich
- Risikoklasse nach EU AI Act (minimal, begrenzt, hoch, verboten)
- Art der verarbeiteten Daten (personenbezogen ja/nein)
- Verantwortlicher im Unternehmen
- Datum der Einführung und des letzten Reviews
Praxis-Tipp: Nutzen Sie eine einfache Tabelle (Excel oder Notion). Kein aufwendiges Tool nötig.
Risikoklassifizierung nach EU AI Act
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Soziales Scoring, Emotionserkennung am Arbeitsplatz | Einsatz untersagt |
| Hochrisiko | KI im Recruiting, Kreditvergabe, Bildung | Risikomanagementsystem, DSFA, Audit |
| Begrenztes Risiko | Chatbots, Empfehlungssysteme | Transparenzpflicht (KI-Hinweis) |
| Minimales Risiko | Texterstellung, Übersetzung, Analyse | Keine besonderen Pflichten |
Die meisten KI-Anwendungen in KMU (ChatGPT, Automatisierung, Textgenerierung) fallen in die Kategorie minimales Risiko. Sobald KI bei Personalentscheidungen oder Kundenbewertungen mitentscheidet, steigt das Risiko.
Schritt 3: Datenschutzfolgenabschätzung (DSFA) durchführen
Wann ist eine DSFA Pflicht?
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen birgt. Das ist bei KI besonders oft der Fall, wenn:
- Systematisches Profiling oder Scoring von Personen stattfindet
- Besondere Datenkategorien (Gesundheit, Biometrie) verarbeitet werden
- Automatisierte Entscheidungen mit rechtlicher Wirkung getroffen werden
- Umfangreiche Überwachung öffentlicher Bereiche erfolgt
- Neue Technologien in großem Umfang eingesetzt werden
Ablauf einer DSFA
Phase 1: Beschreibung (Was wird gemacht?)
- Welche Daten werden verarbeitet?
- Zu welchem Zweck?
- Welche KI-Systeme sind beteiligt?
- Wer hat Zugriff?
Phase 2: Bewertung der Notwendigkeit (Muss das sein?)
- Ist der Einsatz von KI für den Zweck erforderlich?
- Gibt es weniger eingriffsintensive Alternativen?
- Ist die Verarbeitung verhältnismäßig?
Phase 3: Risikobewertung (Was kann schiefgehen?)
- Welche Risiken bestehen für die Betroffenen?
- Wie wahrscheinlich ist ein Schadenseintritt?
- Wie schwer wäre der Schaden?
Phase 4: Maßnahmen (Was tun wir dagegen?)
- Technische Maßnahmen: Verschlüsselung, Pseudonymisierung, Zugriffskontrollen
- Organisatorische Maßnahmen: Schulung, Richtlinien, Vier-Augen-Prinzip
- Vertragliche Maßnahmen: AVV, Standardvertragsklauseln
Phase 5: Dokumentation und Review
- Alles schriftlich festhalten
- Regelmäßig überprüfen (mindestens jährlich oder bei Änderungen)
DSFA-Pflicht: Typische KI-Anwendungen
| KI-Anwendung | DSFA-Pflicht? | Begründung |
|---|---|---|
| ChatGPT für Texterstellung (ohne personenbezogene Daten) | Nein | Kein Personenbezug |
| KI-Chatbot auf Website mit Name/E-Mail | Eher ja | Personenbezogene Daten + neue Technologie |
| KI-Vorauswahl im Recruiting | Ja | Profiling + automatisierte Entscheidung |
| KI-Analyse von Kundendaten für Marketing | Eher ja | Profiling |
| KI-gestützte Zeiterfassung | Eher ja | Beschäftigtendaten + systematische Überwachung |
| n8n/Automatisierung ohne Personenbezug | Nein | Kein Personenbezug |
Schritt 4: Verantwortlichkeiten festlegen
Wer braucht einen KI-Beauftragten?
Der EU AI Act verlangt keinen expliziten "KI-Beauftragten", aber er verlangt KI-Kompetenz (Art. 4). In der Praxis empfiehlt es sich, eine Person zu benennen, die die KI-Governance koordiniert. Das kann sein:
- Der Datenschutzbeauftragte (erweiterte Aufgaben)
- Ein Digitalisierungsmanager oder KI-Projektmanager
- Ein IT-Leiter mit entsprechender Qualifikation
RACI-Matrix für KI-Governance
| Aufgabe | Geschäftsleitung | KI-Verantwortlicher | DSB | Fachabteilung |
|---|---|---|---|---|
| KI-Richtlinie genehmigen | A | R | C | I |
| Neues KI-Tool freigeben | I | R/A | C | R |
| DSFA durchführen | I | C | R/A | C |
| Mitarbeiter schulen | I | R | C | A |
| KI-Register pflegen | I | R/A | C | I |
(R = Responsible, A = Accountable, C = Consulted, I = Informed)
Schritt 5: Monitoring einrichten
KI-Governance ist kein einmaliges Projekt. Sie brauchen:
- Vierteljährliches Review: KI-Register aktualisieren, neue Tools prüfen
- Jährliches Audit: DSFA aktualisieren, Richtlinie überprüfen, Schulungen auffrischen
- Anlassbezogenes Review: Bei Datenpannen, neuen Gesetzen oder wesentlichen Änderungen am KI-Einsatz
Häufige Fragen
Braucht jedes Unternehmen KI-Governance?
Sobald ein Unternehmen KI-Tools einsetzt, braucht es mindestens eine KI-Richtlinie und die Prüfung, ob eine DSFA nötig ist. Das gilt auch für die Nutzung von ChatGPT durch einzelne Mitarbeiter. Der Umfang der Governance skaliert mit der Komplexität des KI-Einsatzes.
Wie aufwendig ist eine Datenschutzfolgenabschätzung?
Für eine typische KMU-Anwendung (z.B. KI-Chatbot oder Recruiting-Tool) dauert eine DSFA 2 bis 5 Arbeitstage. Es gibt Vorlagen und Tools, die den Prozess standardisieren. Aufwendiger wird es bei Hochrisiko-Anwendungen, die zusätzlich ein Risikomanagementsystem nach EU AI Act erfordern.
Was passiert, wenn ich keine KI-Governance habe?
Kurzfristig: nichts. Langfristig: erhöhtes Risiko bei Datenpannen (DSGVO-Bußgelder bis 20 Mio. EUR), Compliance-Verstöße gegen den EU AI Act (bis 35 Mio. EUR), und fehlende Nachweisbarkeit bei Haftungsfragen. Außerdem verlangen immer mehr Kunden und Geschäftspartner den Nachweis einer KI-Governance.
Kann ich KI-Governance selbst aufbauen oder brauche ich einen Berater?
Für die meisten KMU lässt sich ein pragmatisches Governance-System intern aufbauen. Die Voraussetzung: Jemand im Unternehmen hat die nötige KI-Kompetenz. Eine Weiterbildung im Bereich Digitalisierung und KI vermittelt genau dieses Wissen. Für Hochrisiko-Anwendungen empfiehlt sich zusätzlich eine juristische Beratung.
Muss ich jeden KI-Einsatz einzeln genehmigen?
Nein. Ihre KI-Richtlinie sollte eine Whitelist mit vorab genehmigten Tools enthalten (z.B. ChatGPT Team, Microsoft Copilot, Ihr CRM-System). Für diese Tools gelten die allgemeinen Regeln. Nur neue oder nicht gelistete Tools durchlaufen den Genehmigungsprozess.
Häufige Fragen
Braucht jedes Unternehmen KI-Governance?
Wie aufwendig ist eine Datenschutzfolgenabschätzung?
Was passiert, wenn ich keine KI-Governance habe?
Muss ich jeden KI-Einsatz einzeln genehmigen?
KI-Kompetenz für Ihr Unternehmen aufbauen
Kostenloser Schnupperkurs oder persönliche Beratung zur geförderten Weiterbildung.