Sprich mit uns

Freitagnachmittag, 15:30 Uhr: Wenn der Chef KI entdeckt

Inhaltsverzeichnis

Datenschutz oder AI Act?

Justin
Justin · Head of Di­gital Dis­rup­tion · 15:32 Uhr
Hey Sa­bine 🚀 Haben ge­rade 'n geiles neues LLM-Tool für die CV-Ana­lyse ein­ge­kauft. Das Ding screent Be­werber nach Mi­kro­mimik im Video. Mega sick! Kannst du da kurz deinen DSGVO-Stempel drauf­ma­chen? Und wegen diesem neuen EU AI Act… da bist du doch jetzt auch Lead, oder? Schönes WE! 🍻 
Sa­bine · Da­ten­schutz­be­auf­tragte · 15:34 Uhr
Hallo Justin. Freitag, 15:32 Uhr. Ein her­vor­ra­gender Zeit­punkt für den Kauf un­ge­prüfter Soft­ware. Kurze Frage vorab: Hast du das Tool "ein­ge­kauft" oder "eva­lu­iert"?
Sabine
Justin
Justin · 15:35 Uhr
Ein­ge­kauft! 😎 War 'n mega Deal, SaaS-Mo­dell. Die KI checkt via Webcam, ob die Be­werber beim Thema Ge­halt lügen oder ge­stresst re­agieren. Das spart HR lo­cker 20 Stunden die Woche! Brauche echt nur noch das Go von dir wegen Pri­vacy und so. Ist ja nur 'ne API. 
Sa­bine · 15:38 Uhr
"Nur eine API." Justin, du hast so­eben eine Soft­ware li­zen­ziert, die bio­me­tri­sche Daten (Mi­kro­mimik) zur au­to­ma­ti­sierten Be­wer­tung von Men­schen nutzt. Das be­rührt Art. 22 DSGVO, er­for­dert eine Da­ten­schutz-Fol­gen­ab­schät­zung vorab, den Be­triebsrat und… wo stehen die Server? 
Sabine
Justin
Justin · 15:39 Uhr
Puh, chill, Sa­bine 🧘‍♂️. Der Vendor sagt, das ist 100% com­pliant. Server sind in der Cloud. AWS glaube ich. Oder Azure. Ir­gendwas in den USA, aber die haben da so 'n Zer­ti­fikat. Alles safe. Aber wegen AI Act: Du hast da doch si­cher schon ein Frame­work, oder? 
Sa­bine · 15:42 Uhr
Justin, mein Blut­druck-Frame­work ist ge­rade im roten Be­reich. Warum genau gehst du davon aus, dass ich für den EU AI Act zu­ständig bin? 
Sabine
Justin
Justin · 15:43 Uhr
Na ja, KI sind doch auch nur Daten. Du bist für Daten zu­ständig. 🤷‍♂️ Ist doch quasi DSGVO 2.0, oder? So ein biss­chen Pa­pier­kram, Cookie-Banner für Ro­boter, fertig. Machst du doch mit links! 
Sa­bine · 15:48 Uhr
Nein. Die DSGVO schützt die Grund­rechte von Men­schen bei der Da­ten­ver­ar­bei­tung. Der AI Act ist Pro­dukt­si­cher­heits­recht. Das Tool, das du ge­kauft hast, ist im HR-Kon­text ein ast­reines "Hoch­ri­siko-System". Da geht es um Ri­si­ko­ma­nage­ment­sys­teme, Data Go­ver­nance, Bias-Tests und sta­tis­ti­sche Va­li­dität. Hast du dir die Trai­nings­daten des Mo­dells an­ge­sehen, um sys­te­ma­ti­sche Dis­kri­mi­nie­rung, etwa bei Frauen oder Min­der­heiten, auszuschließen? 
Sabine
Justin
Justin · 15:50 Uhr
Bro… ich bin Head of In­no­va­tion, kein Data Sci­en­tist! 😅 Die KI ist voll ob­jektiv, die sieht ja keine Haut­farbe, nur Mus­kel­zu­ckungen. Die Ma­schine ist neutral! 
Sa­bine · 15:54 Uhr
Ich bin nicht dein "Bro". Und ich bin eben auch keine Data Sci­en­tistin. Genau des­halb bin ich NICHT euer Mäd­chen für alles, wenn es um KI geht. Ich kann dir sagen, ob du die Daten ver­ar­beiten darfst (Spoiler: Nein). Ich kann aber nicht ma­the­ma­tisch eva­lu­ieren, ob euer neu­ro­nales Netz hal­lu­zi­niert. Ihr braucht ein KI-Com­pli­ance-Budget und Leute, die Al­go­rithmen prüfen können. Nicht nur die Frau, die den News­letter absegnet. 
Sabine
Justin
Justin · 15:56 Uhr
Oha. Okay, klang im Sales-Pitch ir­gendwie ein­fa­cher. Let's sync am Montag! Ich schick dir 'nen In­vite für ein Ali­gnment-Mee­ting. 8:00 Uhr passt? 📅 
15:57 Uhr · Sa­bine ist offline.

Spaß beiseite: Warum Sabine recht hat

Was hier frei­tag­nach­mit­tags als über­spitzter Chat­ver­lauf statt­findet, ist ein hand­festes struk­tu­relles Pro­blem. Der EU AI Act ist kein "Da­ten­schutz light" und KI-Tools sind keine ge­wöhn­liche SaaS-Lö­sung. Wer die Ver­ant­wor­tung dafür ein­fach beim Da­ten­schutz­be­auf­tragten (DSB) ab­lädt, ris­kiert nicht nur dessen Burnout, son­dern mas­sive recht­liche Probleme.

 

Was „KI-Compliance“ im Unternehmen wirklich bedeutet

KI-Com­pli­ance geht weit über das Ein­holen einer Ein­wil­li­gungs­er­klä­rung hinaus. Sie um­fasst vier we­sent­liche Säulen:

  • Ri­si­ko­ma­nage­ment: Der EU AI Act teilt KI-Sys­teme in Ri­si­koklassen ein. Ein Tool zur Le­bens­lauf­ana­lyse oder bio­me­tri­schen Er­ken­nung fällt oft in die Hoch­ri­siko-Ka­te­gorie. Das er­for­dert ein pro­ak­tives System, um Ri­siken für Grund­rechte und Si­cher­heit kon­ti­nu­ier­lich zu be­werten und zu minimieren.

  • Tech­ni­sche Be­wer­tung: Es reicht nicht zu wissen, wo die Daten liegen. Man muss ver­stehen, wie die Ma­schine ent­scheidet. Sind die Trai­nings­daten frei von Bias (Vor­ein­ge­nom­men­heit)? Wie hoch ist die Feh­ler­quote? Neigt das Mo­dell zum Hal­lu­zi­nieren? Ein DSB kann diese ma­the­ma­tisch-tech­ni­schen Fragen oft gar nicht al­lein beantworten.

  • In­terne Pro­zesse: Wer darf im Un­ter­nehmen KI-Tools be­schaffen ("Schatten-KI" ver­hin­dern)? Wer prüft den Use-Case vor dem Kauf? Es braucht feste Frei­ga­be­pro­zesse, bevor "Justin" den Kaufen-Button drückt.

  • Schu­lung und Sen­si­bi­li­sie­rung: Mit­ar­beiter müssen wissen, wie sie mit KI um­gehen. Das reicht vom Verbot, ver­trau­liche Kun­den­daten in öf­fent­liche LLMs (wie ChatGPT) ein­zu­geben, bis hin zum kri­ti­schen Hin­ter­fragen KI-ge­ne­rierter Ergebnisse.

Ein schlankes Governance-Modell für den Mittelstand

Nicht jedes Un­ter­nehmen kann sich eine Heer­schar an "AI Com­pli­ance Of­fi­cern" leisten. Für den Mit­tel­stand braucht es prag­ma­ti­sche Lösungen:

  • Zen­trale Steue­rung: Statt den DSB als Ein­zel­kämpfer ins Feld zu schi­cken, sollte ein in­ter­dis­zi­pli­näres "KI-Board" (z. B. aus IT, Legal/DSB, HR und Fach­ab­tei­lungen) ge­gründet werden.

  • Klare Rollen: Der DSB prüft die DSGVO-Kon­for­mität. Die IT be­wertet die In­for­ma­ti­ons­si­cher­heit und Ar­chi­tektur. Der Fach­be­reich ver­ant­wortet die Qua­lität der Er­geb­nisse und den ethi­schen Einsatz.

  • Prag­ma­ti­sche Do­ku­men­ta­tion: Keine 100-sei­tigen Hand­bü­cher, son­dern pra­xis­nahe Check­listen für den Ein­kauf. Ein Am­pel­system (Grün = un­be­denk­lich, Gelb = Prü­fung nötig, Rot = Hochrisiko/Verboten) hilft den Mit­ar­bei­tern enorm.

  • Re­gel­mä­ßige Re­view-Schleifen: KI-Mo­delle ver­än­dern sich durch Up­dates oder neue Daten. Eine ein­ma­lige Frei­gabe reicht oft nicht. Die Sys­teme müssen in re­gel­mä­ßigen Ab­ständen auf ihre an­hal­tende Kon­for­mität ge­prüft werden.

Das Ziel: Struktur statt Aktionismus

Wer das Thema KI-Com­pli­ance stra­te­gisch und nicht erst am Frei­tag­nach­mittag an­geht, pro­fi­tiert gleich dreifach:

  • Ver­mei­dung von Buß­gel­dern: Ver­stöße gegen den EU AI Act (und par­allel die DSGVO) können Mil­lionen kosten oder pro­zen­tual an den welt­weiten Jah­res­um­satz ge­kop­pelt sein.

  • Schutz in­terner Ex­perten: Fach­kräfte wie Sa­bine werden ge­schützt und können sich auf ihre ei­gent­li­chen Kern­auf­gaben im Da­ten­schutz kon­zen­trieren, an­statt an Auf­gaben zu schei­tern, für die sie weder aus­ge­bildet noch zu­ständig sind.

  • Zu­kunfts­fä­hige KI-Or­ga­ni­sa­tion: Nur wenn der recht­liche und ethi­sche Rahmen steht, kann ein Un­ter­nehmen KI-Tools wirk­lich wert­schöp­fend und ska­lierbar ein­setzen, ohne bei jedem neuen Up­date den Ste­cker ziehen zu müssen.
Bild von Anja
Anja
Anja Juliette Eder ist Gründerin der KI-Botschafter und Marketing- & KI-Strategieberaterin für KMU. Die Diplom-Kommunikationswirtin blickt auf eine über 25-jährige Expertise zurück, u.a. im technischen Vertrieb der Siemens AG sowie seit 2012 bei Eder Consulting. Sie schreibt auf diesem Blog über KI in der betrieblichen Praxis, mit Schwerpunkt auf Datenschutz, Schatten-KI, KI-Agenten, ethische KI und Mitarbeiterschulung.
Beitrag teilen :

Ähnliche Beiträge