Hey Sabine 🚀 Haben gerade 'n geiles neues LLM-Tool für die CV-Analyse eingekauft.
Das Ding screent Bewerber nach Mikromimik im Video. Mega sick! Kannst du da kurz
deinen DSGVO-Stempel draufmachen? Und wegen diesem neuen EU AI Act… da bist du
doch jetzt auch Lead, oder? Schönes WE! 🍻
Hallo Justin. Freitag, 15:32 Uhr. Ein hervorragender Zeitpunkt für den Kauf
ungeprüfter Software. Kurze Frage vorab: Hast du das Tool "eingekauft" oder
"evaluiert"?
Eingekauft! 😎 War 'n mega Deal, SaaS-Modell. Die KI checkt via Webcam, ob die
Bewerber beim Thema Gehalt lügen oder gestresst reagieren. Das spart HR locker
20 Stunden die Woche! Brauche echt nur noch das Go von dir wegen Privacy und so.
Ist ja nur 'ne API.
"Nur eine API." Justin, du hast soeben eine Software lizenziert, die biometrische
Daten (Mikromimik) zur automatisierten Bewertung von Menschen nutzt. Das berührt
Art. 22 DSGVO, erfordert eine Datenschutz-Folgenabschätzung vorab, den Betriebsrat
und… wo stehen die Server?
Puh, chill, Sabine 🧘♂️. Der Vendor sagt, das ist 100% compliant. Server sind in
der Cloud. AWS glaube ich. Oder Azure. Irgendwas in den USA, aber die haben da so
'n Zertifikat. Alles safe. Aber wegen AI Act: Du hast da doch sicher schon ein
Framework, oder?
Justin, mein Blutdruck-Framework ist gerade im roten Bereich. Warum genau gehst du
davon aus, dass ich für den EU AI Act zuständig bin?
Na ja, KI sind doch auch nur Daten. Du bist für Daten zuständig. 🤷♂️ Ist doch
quasi DSGVO 2.0, oder? So ein bisschen Papierkram, Cookie-Banner für Roboter,
fertig. Machst du doch mit links!
Nein. Die DSGVO schützt die Grundrechte von Menschen bei der Datenverarbeitung.
Der AI Act ist Produktsicherheitsrecht. Das Tool, das du gekauft hast, ist im
HR-Kontext ein astreines "Hochrisiko-System". Da geht es um Risikomanagementsysteme,
Data Governance, Bias-Tests und statistische Validität. Hast du dir die Trainingsdaten
des Modells angesehen, um systematische Diskriminierung, etwa bei Frauen oder
Minderheiten, auszuschließen?
Bro… ich bin Head of Innovation, kein Data Scientist! 😅 Die KI ist voll objektiv,
die sieht ja keine Hautfarbe, nur Muskelzuckungen. Die Maschine ist neutral!
Ich bin nicht dein "Bro". Und ich bin eben auch keine Data Scientistin. Genau deshalb
bin ich NICHT euer Mädchen für alles, wenn es um KI geht. Ich kann dir sagen, ob du
die Daten verarbeiten darfst (Spoiler: Nein). Ich kann aber nicht mathematisch
evaluieren, ob euer neuronales Netz halluziniert. Ihr braucht ein KI-Compliance-Budget
und Leute, die Algorithmen prüfen können. Nicht nur die Frau, die den Newsletter
absegnet.
Oha. Okay, klang im Sales-Pitch irgendwie einfacher. Let's sync am Montag!
Ich schick dir 'nen Invite für ein Alignment-Meeting. 8:00 Uhr passt? 📅
15:57 Uhr · Sabine ist offline.
Spaß beiseite: Warum Sabine recht hat
Was hier freitagnachmittags als überspitzter Chatverlauf stattfindet, ist ein handfestes strukturelles Problem. Der EU AI Act ist kein "Datenschutz light" und KI-Tools sind keine gewöhnliche SaaS-Lösung. Wer die Verantwortung dafür einfach beim Datenschutzbeauftragten (DSB) ablädt, riskiert nicht nur dessen Burnout, sondern massive rechtliche Probleme.Was „KI-Compliance“ im Unternehmen wirklich bedeutet
KI-Compliance geht weit über das Einholen einer Einwilligungserklärung hinaus. Sie umfasst vier wesentliche Säulen:- Risikomanagement: Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Ein Tool zur Lebenslaufanalyse oder biometrischen Erkennung fällt oft in die Hochrisiko-Kategorie. Das erfordert ein proaktives System, um Risiken für Grundrechte und Sicherheit kontinuierlich zu bewerten und zu minimieren.
- Technische Bewertung: Es reicht nicht zu wissen, wo die Daten liegen. Man muss verstehen, wie die Maschine entscheidet. Sind die Trainingsdaten frei von Bias (Voreingenommenheit)? Wie hoch ist die Fehlerquote? Neigt das Modell zum Halluzinieren? Ein DSB kann diese mathematisch-technischen Fragen oft gar nicht allein beantworten.
- Interne Prozesse: Wer darf im Unternehmen KI-Tools beschaffen ("Schatten-KI" verhindern)? Wer prüft den Use-Case vor dem Kauf? Es braucht feste Freigabeprozesse, bevor "Justin" den Kaufen-Button drückt.
- Schulung und Sensibilisierung: Mitarbeiter müssen wissen, wie sie mit KI umgehen. Das reicht vom Verbot, vertrauliche Kundendaten in öffentliche LLMs (wie ChatGPT) einzugeben, bis hin zum kritischen Hinterfragen KI-generierter Ergebnisse.
Ein schlankes Governance-Modell für den Mittelstand
Nicht jedes Unternehmen kann sich eine Heerschar an "AI Compliance Officern" leisten. Für den Mittelstand braucht es pragmatische Lösungen:- Zentrale Steuerung: Statt den DSB als Einzelkämpfer ins Feld zu schicken, sollte ein interdisziplinäres "KI-Board" (z. B. aus IT, Legal/DSB, HR und Fachabteilungen) gegründet werden.
- Klare Rollen: Der DSB prüft die DSGVO-Konformität. Die IT bewertet die Informationssicherheit und Architektur. Der Fachbereich verantwortet die Qualität der Ergebnisse und den ethischen Einsatz.
- Pragmatische Dokumentation: Keine 100-seitigen Handbücher, sondern praxisnahe Checklisten für den Einkauf. Ein Ampelsystem (Grün = unbedenklich, Gelb = Prüfung nötig, Rot = Hochrisiko/Verboten) hilft den Mitarbeitern enorm.
- Regelmäßige Review-Schleifen: KI-Modelle verändern sich durch Updates oder neue Daten. Eine einmalige Freigabe reicht oft nicht. Die Systeme müssen in regelmäßigen Abständen auf ihre anhaltende Konformität geprüft werden.
Das Ziel: Struktur statt Aktionismus
Wer das Thema KI-Compliance strategisch und nicht erst am Freitagnachmittag angeht, profitiert gleich dreifach:- Vermeidung von Bußgeldern: Verstöße gegen den EU AI Act (und parallel die DSGVO) können Millionen kosten oder prozentual an den weltweiten Jahresumsatz gekoppelt sein.
- Schutz interner Experten: Fachkräfte wie Sabine werden geschützt und können sich auf ihre eigentlichen Kernaufgaben im Datenschutz konzentrieren, anstatt an Aufgaben zu scheitern, für die sie weder ausgebildet noch zuständig sind.
