Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veroeffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschaeftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand oeffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf oeffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschliesslich die Angaben der jeweiligen Anbieter.
Je mehr KI-Tools Unternehmen einsetzen, desto draengender wird die Frage: Wer kontrolliert eigentlich die KI? Und wie dokumentieren wir, dass wir sie verantwortungsvoll einsetzen?
Das ist keine theoretische Frage. Der EU AI Act ist seit August 2024 in Kraft. Die KI-Kompetenzpflicht nach Art. 4 gilt seit dem 2. Februar 2025. Die Hochrisiko-Pflichten greifen ab August 2026. Unternehmen, die KI einsetzen, brauchen ein Governance-System: klare Regeln, dokumentierte Prozesse und nachweisbare Kontrollen. Wer das nicht hat, riskiert Bussgelder von bis zu 35 Millionen EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Dieser Artikel zeigt, wie Sie ein KI-Governance-System aufbauen, wann eine Datenschutzfolgenabschaetzung Pflicht ist und wie Sie beides pragmatisch umsetzen.
Was ist KI-Governance?
KI-Governance ist das Regelwerk, das festlegt, wie Ihr Unternehmen KI einsetzt, kontrolliert und verantwortet. Es beantwortet vier Kernfragen: Wer entscheidet, welche KI-Systeme eingesetzt werden? Welche Regeln gelten fuer den Umgang mit KI-Tools? Wie wird kontrolliert, ob die Regeln eingehalten werden? Und was passiert, wenn etwas schiefgeht?
In der Praxis laeuft das auf fuenf Saeulen hinaus.
| Saeule | Inhalt | Dokument |
|---|---|---|
| KI-Richtlinie | Grundregeln fuer den KI-Einsatz | Policy-Dokument |
| Risikoklassifizierung | Einstufung jedes KI-Systems nach Risiko | KI-Register |
| Datenschutz | DSFA, AVV, Betroffenenrechte | DSFA-Dokumentation |
| Verantwortlichkeiten | Wer ist fuer was zustaendig? | RACI-Matrix |
| Monitoring und Audit | Regelmaessige Pruefung und Anpassung | Audit-Protokoll |
Schritt 1: KI-Richtlinie erstellen
Eine KI-Richtlinie ist das Fundament. Sie muss nicht 50 Seiten lang sein. Fuer ein KMU reichen drei bis fuenf Seiten.
Zweck und Geltungsbereich klaeren zuerst, fuer wen die Richtlinie gilt und welche Tools betroffen sind. In der Regel alle Mitarbeiter, die KI-Tools nutzen, und alles, was auf KI basiert: ChatGPT, Microsoft Copilot, Automatisierungstools, branchenspezifische Software.
Erlaubte und verbotene Nutzung
Erlaubt sind typischerweise Texterstellung und Zusammenfassung mit menschlicher Pruefung, Recherche und Datenanalyse, Automatisierung von Routineprozessen sowie Uebersetzungen.
Nicht erlaubt oder nur unter Auflagen: die Eingabe personenbezogener Daten in nicht-freigegebene Tools, automatische Entscheidungen ohne menschliche Kontrolle bei HR-Themen, Kreditvergabe oder Vertragskuendigungen, sowie die Nutzung von KI fuer Ueberwachung am Arbeitsplatz.
Datenschutzregeln
Nur freigegebene KI-Tools verwenden (Whitelist). Keine personenbezogenen Daten in kostenlose oder nicht-AVV-gesicherte Tools. Ergebnisse vor Veroeffentlichung pruefen. Keine vertraulichen Geschaeftsinformationen in externe KI-Systeme eingeben. Das klingt banal, ist aber der haeufigste Verstoss in der Praxis: Mitarbeiter kippen Kundendaten in ChatGPT, weil es gerade schnell gehen muss.
Verantwortlichkeiten
Der KI-Verantwortliche genehmigt neue KI-Tools und fuehrt die Risikoklassifizierung durch. Der Datenschutzbeauftragte prueft DSFA-Pflicht und begleitet die Einfuehrung. Die Fachabteilung stellt sicher, dass Ergebnisse geprueft werden. Die Geschaeftsleitung traegt die Gesamtverantwortung.
Schritt 2: KI-Register anlegen
Der EU AI Act verlangt, dass Unternehmen ihre KI-Systeme dokumentieren. Ein KI-Register muss fuer jedes System enthalten: Name und Anbieter des Systems, Einsatzzweck und betroffener Geschaeftsbereich, Risikoklasse nach EU AI Act (minimal, begrenzt, hoch, verboten), Art der verarbeiteten Daten, Verantwortlicher im Unternehmen sowie Datum der Einfuehrung und des letzten Reviews. Eine Excel-Tabelle oder eine Notion-Datenbank reichen. Kein aufwendiges Tool noetig.
Risikoklassifizierung nach EU AI Act
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Soziales Scoring, Emotionserkennung am Arbeitsplatz | Einsatz untersagt |
| Hochrisiko | KI im Recruiting, Kreditvergabe, Bildung | Risikomanagementsystem, DSFA, Audit |
| Begrenztes Risiko | Chatbots, Empfehlungssysteme | Transparenzpflicht (KI-Hinweis) |
| Minimales Risiko | Texterstellung, Uebersetzung, Analyse | Keine besonderen Pflichten |
Die meisten KI-Anwendungen in KMU wie ChatGPT, Automatisierung oder Textgenerierung fallen in die Kategorie minimales Risiko. Sobald KI bei Personalentscheidungen oder Kundenbewertungen mitentscheidet, steigt das Risiko sprunghaft.
Schritt 3: Datenschutzfolgenabschaetzung durchfuehren
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko fuer die Rechte und Freiheiten natuerlicher Personen birgt. Das ist bei KI besonders oft der Fall, wenn systematisches Profiling oder Scoring von Personen stattfindet, wenn besondere Datenkategorien wie Gesundheit oder Biometrie verarbeitet werden, wenn automatisierte Entscheidungen mit rechtlicher Wirkung getroffen werden, wenn umfangreiche Ueberwachung oeffentlicher Bereiche erfolgt oder wenn neue Technologien in grossem Umfang eingesetzt werden.
Ablauf einer DSFA
Eine DSFA laeuft in fuenf Phasen. Zuerst beschreiben Sie praezise, welche Daten zu welchem Zweck verarbeitet werden, welche KI-Systeme beteiligt sind und wer Zugriff hat. Anschliessend pruefen Sie, ob der KI-Einsatz fuer den Zweck ueberhaupt erforderlich ist und ob es weniger eingriffsintensive Alternativen gibt.
Die eigentliche Risikobewertung fragt: Welche Risiken bestehen fuer die Betroffenen? Wie wahrscheinlich ist ein Schadenseintritt? Wie schwer waere der Schaden? Aus dieser Analyse leiten Sie Massnahmen ab. Technisch sind das Verschluesselung, Pseudonymisierung und Zugriffskontrollen. Organisatorisch kommen Schulung, Richtlinien und Vier-Augen-Prinzip dazu. Vertraglich braucht es AVV und gegebenenfalls Standardvertragsklauseln. Am Ende wird alles schriftlich festgehalten und mindestens jaehrlich oder bei Aenderungen ueberprueft.
DSFA-Pflicht: Typische KI-Anwendungen
| KI-Anwendung | DSFA-Pflicht? | Begruendung |
|---|---|---|
| ChatGPT fuer Texterstellung (ohne personenbezogene Daten) | Nein | Kein Personenbezug |
| KI-Chatbot auf Website mit Name/E-Mail | Eher ja | Personenbezogene Daten + neue Technologie |
| KI-Vorauswahl im Recruiting | Ja | Profiling + automatisierte Entscheidung |
| KI-Analyse von Kundendaten fuer Marketing | Eher ja | Profiling |
| KI-gestuetzte Zeiterfassung | Eher ja | Beschaeftigtendaten + systematische Ueberwachung |
| n8n-Automatisierung ohne Personenbezug | Nein | Kein Personenbezug |
Das ist in der Praxis oft ein groesseres Thema als es auf dem Papier wirkt. Viele Unternehmen unterschaetzen, wie schnell ein harmlos wirkender Chatbot oder ein Recruiting-Filter in die DSFA-Pflicht rutscht. Wir sehen regelmaessig, dass erst nach dem ersten Audit klar wird, wie viele nicht dokumentierte KI-Faelle sich im Unternehmen angesammelt haben.
Schritt 4: Verantwortlichkeiten festlegen
Der EU AI Act verlangt keinen expliziten KI-Beauftragten, aber er verlangt KI-Kompetenz nach Art. 4. In der Praxis empfiehlt es sich, eine Person zu benennen, die die KI-Governance koordiniert. Das kann der Datenschutzbeauftragte mit erweiterten Aufgaben sein, ein Digitalisierungsmanager oder KI-Projektmanager oder ein IT-Leiter mit entsprechender Qualifikation.
RACI-Matrix fuer KI-Governance
| Aufgabe | Geschaeftsleitung | KI-Verantwortlicher | DSB | Fachabteilung |
|---|---|---|---|---|
| KI-Richtlinie genehmigen | A | R | C | I |
| Neues KI-Tool freigeben | I | R/A | C | R |
| DSFA durchfuehren | I | C | R/A | C |
| Mitarbeiter schulen | I | R | C | A |
| KI-Register pflegen | I | R/A | C | I |
(R = Responsible, A = Accountable, C = Consulted, I = Informed)
Schritt 5: Monitoring einrichten
KI-Governance ist kein einmaliges Projekt. Vierteljaehrlich sollte das KI-Register aktualisiert und neue Tools geprueft werden. Jaehrlich gehoeren DSFA-Aktualisierung, Richtlinien-Check und Auffrischungsschulungen auf die Agenda. Anlassbezogen wird bei Datenpannen, neuen Gesetzen oder wesentlichen Aenderungen am KI-Einsatz nachgezogen.
Wer systematisch eine Person im Unternehmen fuer diese Rolle qualifizieren will, kommt mit einer strukturierten Weiterbildung im Bereich Digitalisierung und KI am schnellsten dorthin.
Haeufige Fragen
Braucht jedes Unternehmen KI-Governance? Sobald ein Unternehmen KI-Tools einsetzt, braucht es mindestens eine KI-Richtlinie und die Pruefung, ob eine DSFA noetig ist. Das gilt auch fuer die Nutzung von ChatGPT durch einzelne Mitarbeiter. Der Umfang der Governance skaliert mit der Komplexitaet des KI-Einsatzes.
Wie aufwendig ist eine Datenschutzfolgenabschaetzung? Fuer eine typische KMU-Anwendung wie einen KI-Chatbot oder ein Recruiting-Tool dauert eine DSFA zwei bis fuenf Arbeitstage. Es gibt Vorlagen und Tools, die den Prozess standardisieren. Aufwendiger wird es bei Hochrisiko-Anwendungen, die zusaetzlich ein Risikomanagementsystem nach EU AI Act erfordern.
Was passiert, wenn ich keine KI-Governance habe? Kurzfristig: nichts. Langfristig: erhoehtes Risiko bei Datenpannen mit DSGVO-Bussgeldern bis 20 Mio. EUR, Compliance-Verstoesse gegen den EU AI Act bis 35 Mio. EUR, und fehlende Nachweisbarkeit bei Haftungsfragen. Ausserdem verlangen immer mehr Kunden und Geschaeftspartner den Nachweis einer KI-Governance.
Kann ich KI-Governance selbst aufbauen oder brauche ich einen Berater? Fuer die meisten KMU laesst sich ein pragmatisches Governance-System intern aufbauen. Die Voraussetzung: Jemand im Unternehmen hat die noetige KI-Kompetenz. Fuer Hochrisiko-Anwendungen empfiehlt sich zusaetzlich eine juristische Beratung.
Muss ich jeden KI-Einsatz einzeln genehmigen? Nein. Ihre KI-Richtlinie sollte eine Whitelist mit vorab genehmigten Tools enthalten. Fuer diese Tools gelten die allgemeinen Regeln. Nur neue oder nicht gelistete Tools durchlaufen den Genehmigungsprozess.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.