Transparenzhinweis: Dieser Artikel ist auf der Website von SkillSprinters veröffentlicht. SkillSprinters ist Anbieter einer KI-Weiterbildung und steht damit in einem Wettbewerbsverhaeltnis zu einigen der hier genannten Anbieter bzw. deren Geschäftsfeldern. Wir bemuehen uns um eine faire Darstellung anhand öffentlich zugaenglicher Informationen, sind aber nicht neutral. Alle Angaben zu Preisen und Funktionen beruhen auf öffentlich zugaenglichen Herstellerangaben. Stand der Recherche: April 2026, Angaben ohne Gewaehr. Verbindlich sind ausschließlich die Angaben der jeweiligen Anbieter.
Je mehr KI-Tools Unternehmen einsetzen, desto draengender wird die Frage: Wer kontrolliert eigentlich die KI? Und wie dokumentieren wir, dass wir sie verantwortungsvoll einsetzen?
Das ist keine theoretische Frage. Der EU AI Act ist seit August 2024 in Kraft. Die KI-Kompetenzpflicht nach Art. 4 gilt seit dem 2. Februar 2025. Die Hochrisiko-Pflichten greifen ab August 2026. Unternehmen, die KI einsetzen, brauchen ein Governance-System: klare Regeln, dokumentierte Prozesse und nachweisbare Kontrollen. Wer das nicht hat, riskiert Bussgelder von bis zu 35 Millionen EUR oder 7 Prozent des weltweiten Jahresumsatzes.
Dieser Artikel zeigt, wie Sie ein KI-Governance-System aufbauen, wann eine Datenschutzfolgenabschätzung Pflicht ist und wie Sie beides pragmatisch umsetzen.
Was ist KI-Governance?
KI-Governance ist das Regelwerk, das festlegt, wie Ihr Unternehmen KI einsetzt, kontrolliert und verantwortet. Es beantwortet vier Kernfragen: Wer entscheidet, welche KI-Systeme eingesetzt werden? Welche Regeln gelten für den Umgang mit KI-Tools? Wie wird kontrolliert, ob die Regeln eingehalten werden? Und was passiert, wenn etwas schiefgeht?
In der Praxis laeuft das auf fuenf Saeulen hinaus.
| Saeule | Inhalt | Dokument |
|---|---|---|
| KI-Richtlinie | Grundregeln für den KI-Einsatz | Policy-Dokument |
| Risikoklassifizierung | Einstufung jedes KI-Systems nach Risiko | KI-Register |
| Datenschutz | DSFA, AVV, Betroffenenrechte | DSFA-Dokumentation |
| Verantwortlichkeiten | Wer ist für was zuständig? | RACI-Matrix |
| Monitoring und Audit | Regelmäßige Prüfung und Anpassung | Audit-Protokoll |
Schritt 1: KI-Richtlinie erstellen
Eine KI-Richtlinie ist das Fundament. Sie muss nicht 50 Seiten lang sein. Für ein KMU reichen drei bis fuenf Seiten.
Zweck und Geltungsbereich klaeren zuerst, für wen die Richtlinie gilt und welche Tools betroffen sind. In der Regel alle Mitarbeiter, die KI-Tools nutzen, und alles, was auf KI basiert: ChatGPT, Microsoft Copilot, Automatisierungstools, branchenspezifische Software.
Erlaubte und verbotene Nutzung
Erlaubt sind typischerweise Texterstellung und Zusammenfassung mit menschlicher Prüfung, Recherche und Datenanalyse, Automatisierung von Routineprozessen sowie Übersetzungen.
Nicht erlaubt oder nur unter Auflagen: die Eingabe personenbezogener Daten in nicht-freigegebene Tools, automatische Entscheidungen ohne menschliche Kontrolle bei HR-Themen, Kreditvergabe oder Vertragskuendigungen, sowie die Nutzung von KI für Überwachung am Arbeitsplatz.
Datenschutzregeln
Nur freigegebene KI-Tools verwenden (Whitelist). Keine personenbezogenen Daten in kostenlose oder nicht-AVV-gesicherte Tools. Ergebnisse vor Veröffentlichung prüfen. Keine vertraulichen Geschäftsinformationen in externe KI-Systeme eingeben. Das klingt banal, ist aber der häufigste Verstoss in der Praxis: Mitarbeiter kippen Kundendaten in ChatGPT, weil es gerade schnell gehen muss.
Verantwortlichkeiten
Der KI-Verantwortliche genehmigt neue KI-Tools und fuehrt die Risikoklassifizierung durch. Der Datenschutzbeauftragte prüft DSFA-Pflicht und begleitet die Einführung. Die Fachabteilung stellt sicher, dass Ergebnisse geprüft werden. Die Geschäftsleitung traegt die Gesamtverantwortung.
Schritt 2: KI-Register anlegen
Der EU AI Act verlangt, dass Unternehmen ihre KI-Systeme dokumentieren. Ein KI-Register muss für jedes System enthalten: Name und Anbieter des Systems, Einsatzzweck und betroffener Geschäftsbereich, Risikoklasse nach EU AI Act (minimal, begrenzt, hoch, verboten), Art der verarbeiteten Daten, Verantwortlicher im Unternehmen sowie Datum der Einführung und des letzten Reviews. Eine Excel-Tabelle oder eine Notion-Datenbank reichen. Kein aufwendiges Tool nötig.
Risikoklassifizierung nach EU AI Act
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Soziales Scoring, Emotionserkennung am Arbeitsplatz | Einsatz untersagt |
| Hochrisiko | KI im Recruiting, Kreditvergabe, Bildung | Risikomanagementsystem, DSFA, Audit |
| Begrenztes Risiko | Chatbots, Empfehlungssysteme | Transparenzpflicht (KI-Hinweis) |
| Minimales Risiko | Texterstellung, Übersetzung, Analyse | Keine besonderen Pflichten |
Die meisten KI-Anwendungen in KMU wie ChatGPT, Automatisierung oder Textgenerierung fallen in die Kategorie minimales Risiko. Sobald KI bei Personalentscheidungen oder Kundenbewertungen mitentscheidet, steigt das Risiko sprunghaft.
Schritt 3: Datenschutzfolgenabschätzung durchführen
Nach Art. 35 DSGVO ist eine DSFA Pflicht, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natuerlicher Personen birgt. Das ist bei KI besonders oft der Fall, wenn systematisches Profiling oder Scoring von Personen stattfindet, wenn besondere Datenkategorien wie Gesundheit oder Biometrie verarbeitet werden, wenn automatisierte Entscheidungen mit rechtlicher Wirkung getroffen werden, wenn umfangreiche Überwachung öffentlicher Bereiche erfolgt oder wenn neue Technologien in großem Umfang eingesetzt werden.
Ablauf einer DSFA
Eine DSFA laeuft in fuenf Phasen. Zuerst beschreiben Sie praezise, welche Daten zu welchem Zweck verarbeitet werden, welche KI-Systeme beteiligt sind und wer Zugriff hat. Anschließend prüfen Sie, ob der KI-Einsatz für den Zweck überhaupt erforderlich ist und ob es weniger eingriffsintensive Alternativen gibt.
Die eigentliche Risikobewertung fragt: Welche Risiken bestehen für die Betroffenen? Wie wahrscheinlich ist ein Schadenseintritt? Wie schwer waere der Schaden? Aus dieser Analyse leiten Sie Maßnahmen ab. Technisch sind das Verschluesselung, Pseudonymisierung und Zugriffskontrollen. Organisatorisch kommen Schulung, Richtlinien und Vier-Augen-Prinzip dazu. Vertraglich braucht es AVV und gegebenenfalls Standardvertragsklauseln. Am Ende wird alles schriftlich festgehalten und mindestens jaehrlich oder bei Änderungen überprüft.
DSFA-Pflicht: Typische KI-Anwendungen
| KI-Anwendung | DSFA-Pflicht? | Begründung |
|---|---|---|
| ChatGPT für Texterstellung (ohne personenbezogene Daten) | Nein | Kein Personenbezug |
| KI-Chatbot auf Website mit Name/E-Mail | Eher ja | Personenbezogene Daten + neue Technologie |
| KI-Vorauswahl im Recruiting | Ja | Profiling + automatisierte Entscheidung |
| KI-Analyse von Kundendaten für Marketing | Eher ja | Profiling |
| KI-gestuetzte Zeiterfassung | Eher ja | Beschäftigtendaten + systematische Überwachung |
| n8n-Automatisierung ohne Personenbezug | Nein | Kein Personenbezug |
Das ist in der Praxis oft ein größeres Thema als es auf dem Papier wirkt. Viele Unternehmen unterschaetzen, wie schnell ein harmlos wirkender Chatbot oder ein Recruiting-Filter in die DSFA-Pflicht rutscht. Wir sehen regelmäßig, dass erst nach dem ersten Audit klar wird, wie viele nicht dokumentierte KI-Fälle sich im Unternehmen angesammelt haben.
Schritt 4: Verantwortlichkeiten festlegen
Der EU AI Act verlangt keinen expliziten KI-Beauftragten, aber er verlangt KI-Kompetenz nach Art. 4. In der Praxis empfiehlt es sich, eine Person zu benennen, die die KI-Governance koordiniert. Das kann der Datenschutzbeauftragte mit erweiterten Aufgaben sein, ein Digitalisierungsmanager oder KI-Projektmanager oder ein IT-Leiter mit entsprechender Qualifikation.
RACI-Matrix für KI-Governance
| Aufgabe | Geschäftsleitung | KI-Verantwortlicher | DSB | Fachabteilung |
|---|---|---|---|---|
| KI-Richtlinie genehmigen | A | R | C | I |
| Neues KI-Tool freigeben | I | R/A | C | R |
| DSFA durchführen | I | C | R/A | C |
| Mitarbeiter schulen | I | R | C | A |
| KI-Register pflegen | I | R/A | C | I |
(R = Responsible, A = Accountable, C = Consulted, I = Informed)
Schritt 5: Monitoring einrichten
KI-Governance ist kein einmaliges Projekt. Vierteljaehrlich sollte das KI-Register aktualisiert und neue Tools geprüft werden. Jaehrlich gehören DSFA-Aktualisierung, Richtlinien-Check und Auffrischungsschulungen auf die Agenda. Anlassbezogen wird bei Datenpannen, neuen Gesetzen oder wesentlichen Änderungen am KI-Einsatz nachgezogen.
Wer systematisch eine Person im Unternehmen für diese Rolle qualifizieren will, kommt mit einer strukturierten Weiterbildung im Bereich Digitalisierung und KI am schnellsten dorthin.
Häufige Fragen
Braucht jedes Unternehmen KI-Governance? Sobald ein Unternehmen KI-Tools einsetzt, braucht es mindestens eine KI-Richtlinie und die Prüfung, ob eine DSFA nötig ist. Das gilt auch für die Nutzung von ChatGPT durch einzelne Mitarbeiter. Der Umfang der Governance skaliert mit der Komplexitaet des KI-Einsatzes.
Wie aufwendig ist eine Datenschutzfolgenabschätzung? Für eine typische KMU-Anwendung wie einen KI-Chatbot oder ein Recruiting-Tool dauert eine DSFA zwei bis fuenf Arbeitstage. Es gibt Vorlagen und Tools, die den Prozess standardisieren. Aufwendiger wird es bei Hochrisiko-Anwendungen, die zusätzlich ein Risikomanagementsystem nach EU AI Act erfordern.
Was passiert, wenn ich keine KI-Governance habe? Kurzfristig: nichts. Langfristig: erhoehtes Risiko bei Datenpannen mit DSGVO-Bussgeldern bis 20 Mio. EUR, Compliance-Verstoesse gegen den EU AI Act bis 35 Mio. EUR, und fehlende Nachweisbarkeit bei Haftungsfragen. Außerdem verlangen immer mehr Kunden und Geschäftspartner den Nachweis einer KI-Governance.
Kann ich KI-Governance selbst aufbauen oder brauche ich einen Berater? Für die meisten KMU laesst sich ein pragmatisches Governance-System intern aufbauen. Die Voraussetzung: Jemand im Unternehmen hat die nötige KI-Kompetenz. Für Hochrisiko-Anwendungen empfiehlt sich zusätzlich eine juristische Beratung.
Muss ich jeden KI-Einsatz einzeln genehmigen? Nein. Ihre KI-Richtlinie sollte eine Whitelist mit vorab genehmigten Tools enthalten. Für diese Tools gelten die allgemeinen Regeln. Nur neue oder nicht gelistete Tools durchlaufen den Genehmigungsprozess.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.