Zum Inhalt springen
N.terion
CHANGE READY Wiki
CHANGE READY · M8

KI rechtssicher einführen

Warum ein Verbot Schatten-KI nur verschlimmert, welche vier Datenschutzfragen beim KI-Einsatz gelten, wie der EU AI Act nach Risiko sortiert und was die KI-Kompetenzpflicht nach Artikel 4 für KMU bedeutet.

Prof. Dr. Alexander HoltermannStand: 6. Juni 20263 Min Lesezeit

Die letzte Lerneinheit ordnet das Gelernte in den rechtlichen Rahmen ein. Sie fällt auf den ersten Blick aus der Reihe und hält doch alles zusammen: Veränderungskompetenz ist heute nicht nur klug, sondern zunehmend Pflicht.

Schatten-KI: Strategie statt Verbot

Während Führungskräfte noch debattieren, ob man Künstliche Intelligenz einsetzen soll, nutzen die Mitarbeiter sie längst — nur unkontrolliert. Das nennt man Schatten-KI. Die entscheidende Erkenntnis: Ein Verbot treibt diese Nutzung nur tiefer in den Schatten, wo man sie nicht mehr sieht.

Verbot: Treibt die Nutzung in den Untergrund; Datenabfluss und Compliance-Lücken bleiben unsichtbar.

Bewusste Strategie: Erlaubte Werkzeuge, klare Regeln, sichere Wege. Sie holt die Schatten-KI ins Licht.

Schatten-KI ist also kein Disziplinproblem, sondern ein Strategieproblem. Das konkrete Werkzeug ist eine einseitige KI-Nutzungsrichtlinie mit drei Teilen: erlaubte Werkzeuge, klare Datenregeln (keine echten Personendaten, nur anonymisierte Beispiele) und sichere Pfade. Positiv formuliert als Ermöglichung, nicht als Verbotskatalog.

Datenschutz beim KI-Einsatz

Sobald personenbezogene Daten in ein KI-Werkzeug fließen, gelten dieselben Datenschutzregeln wie überall. Vier Fragen sind zu klären:

  1. Rechtsgrundlage — Auf welcher Grundlage verarbeiten Sie die Daten?
  2. Auftragsverarbeitung — Wer verarbeitet in Ihrem Auftrag wessen Daten, und gibt es dafür einen Vertrag?
  3. Klassifizierung — Welche Daten liegen wo, und wie schutzbedürftig sind sie?
  4. Löschkonzept — Wie lange werden Daten aufbewahrt, und wie verschwinden sie?

Datenschutz ist dabei kein Bremsklotz, sondern die Bedingung für Vertrauen — und das zahlt sich am Markt aus. Werkzeuge zur Datenklassifizierung wie der Mapper helfen, den Überblick zu schaffen, denn man kann nur schützen, was man kennt.

Der EU AI Act

Der EU AI Act, die KI-Verordnung der Europäischen Union, sortiert KI-Anwendungen nach Risiko:

  • Minimales Risiko (der Großteil des Alltags, z. B. ein Schreibassistent) — kaum Pflichten.
  • Begrenztes Risiko — Transparenzpflichten (Menschen müssen wissen, dass eine KI im Spiel ist).
  • Hohes Risiko (z. B. sensible Einsätze im Personalwesen) — umfangreiche Pflichten, menschliche Aufsicht.
  • Unannehmbares Risiko — verboten.

Die Verordnung gilt gestaffelt: Verbotene Praktiken und die Kompetenzpflicht seit Februar 2025, Pflichten für allgemeine KI-Modelle ab August 2025, die umfangreichen Hochrisiko-Pflichten ab August 2026. Wer die Stufen kennt, gerät nicht in Hektik — das ist Moving Target, angewandt auf die Regulierung.

Die KI-Kompetenzpflicht (Artikel 4)

Seit dem 2. Februar 2025 verlangt Artikel 4 des EU AI Act, dass Unternehmen die KI-Kompetenz ihrer Mitarbeiter sicherstellen — ausdrücklich auch kleinere und mittlere Unternehmen. Veränderungskompetenz ist die menschliche Seite genau dieser Pflicht: Ein Haus, das die fünf Dimensionen lebt, erfüllt sie ganz natürlich aus seiner Haltung heraus. Eine strukturierte Schulung wie dieser Kurs ist ein nachweisbarer Baustein zur Erfüllung.

Glossar

Schatten-KI: Die unkontrollierte Nutzung von KI-Werkzeugen durch Mitarbeiter — Gegenmittel ist Strategie, nicht Verbot.

KI-Nutzungsrichtlinie: Ein kurzes Dokument mit erlaubten Werkzeugen, klaren Datenregeln und sicheren Pfaden.

EU AI Act: Die KI-Verordnung der EU (2024/1689), die KI-Anwendungen nach Risiko klassifiziert.

KI-Kompetenzpflicht (Art. 4): Die seit 2. Februar 2025 geltende Pflicht, die KI-Kompetenz der Mitarbeiter sicherzustellen — auch für KMU.

Häufige Fragen

Sollten wir KI im Unternehmen lieber ganz verbieten?

Nein. Ein Verbot beseitigt das Risiko nicht, es macht es nur unsichtbar (Schatten-KI). Wirksamer ist eine bewusste Strategie mit erlaubten Werkzeugen und klaren Regeln, die einen sicheren Weg anbietet.

Sind kleine und mittlere Unternehmen vom EU AI Act betroffen?

Ja. Für die meisten KMU ist das allermeiste niedrig eingestuft, aber die KI-Kompetenzpflicht nach Artikel 4 trifft ausdrücklich auch sie — und gilt bereits seit dem 2. Februar 2025.

Was ist die wichtigste Datenschutzregel beim KI-Einsatz?

Keine echten personenbezogenen oder vertraulichen Daten in offene KI-Werkzeuge eingeben. Eine eingängige Faustregel: Behandeln Sie ein offenes KI-Werkzeug wie eine Postkarte — schreiben Sie nichts hinein, was nicht jeder lesen dürfte.

Was bedeutet „IT verkauft Technik, KI verkauft Zukunft"?

Der Verkaufs-Transfer für Reseller: Kunden kaufen kein Produkt, sondern ein Warum. Wer beim Warum des Kunden beginnt, verkauft einen sicheren Weg in dessen Zukunft — die Technik ist dann nur noch das Mittel. Compliance wird so vom Kostenfaktor zum Vertrauensvorsprung.

Quellen & Zitate

Primär-Quellen dieses Artikels

  • Verordnung (EU) 2024/1689 (EU AI Act), Art. 4 — KI-Kompetenz
    12. Juli 2024
    Quelle öffnen
  • Verordnung (EU) 2016/679 (DSGVO)
    27. April 2016
  • Alexander Holtermann — Digitale Realität (Regulatorik)
    1. Januar 2025