Immer mehr Unternehmen setzen auf Künstliche Intelligenz (KI), doch mit den Chancen wachsen auch die rechtlichen Anforderungen. Die Europäische Union reagiert mit der neuen EU-KI-Verordnung (KI-VO), die den Einsatz von KI-Systemen umfassend reguliert und die bestehenden Datenschutzregeln wie die DSGVO ergänzt. Für Unternehmensleitungen bedeutet das: KI-Kompetenz im eigenen Haus ist kein Nice-to-have mehr, sondern ein Muss. Dieser Beitrag zeigt auf, warum AI Literacy (KI-Kompetenz) nun unerlässlich ist, wie KI-VO und DSGVO zusammenhängen und welche strategische Rolle Datenschutzbeauftragte dabei spielen. Um die Wichtigkeit der AI Literacy zur betonen wurde hierzu von der EU ein Q&A veröffentlicht.
DSGVO und KI-VO: Gemeinsame Prinzipien und doppelter Rahmen
Die Datenschutz-Grundverordnung regelt seit 2018 den Schutz personenbezogener Daten, unabhängig von der Technologie. Die neue KI-Verordnung baut hierauf auf und schafft zusätzliche Regeln für einen sicheren, grundrechtskonformen KI-Einsatz. Beide Regelwerke verfolgen dabei ähnliche Grundprinzipien: Transparenz, Zweckbindung, Risikominimierung und Rechenschaftspflicht stehen im Mittelpunkt.
- Transparenz: Sowohl DSGVO als auch KI-VO verlangen, dass der Einsatz von Daten und KI nachvollziehbar ist. Unternehmen müssen Betroffene klar informieren, wenn KI-Systeme ihre Daten verarbeiten oder automatisierte Entscheidungen getroffen werden. Unter der KI-VO kommen weitere Transparenzpflichten hinzu – etwa müssen KI-Anbieter Benutzerhandbücher bereitstellen und KI-Systeme mit Transparenzrisiko klar kennzeichnen.
- Zweckbindung und Datenminimierung: Nach DSGVO dürfen personenbezogene Daten nur für definierte Zwecke verwendet und nicht unbegrenzt weiterverarbeitet werden. KI-Systeme hingegen „hungern“ oft nach großen Datenmengen. Entwickler und Betreiber müssen daher besonders darauf achten, nur erforderliche Daten zu nutzen und den Einsatzzweck präzise festzulegen. So wird verhindert, dass KI-Projekte die Grundsätze der DSGVO (z.B. Datenminimierung) unterlaufen.
- Risikobewertung: Beide Verordnungen verlangen proaktive Risikoanalysen. Unter der DSGVO sind bei riskanten Datenverarbeitungen Datenschutz-Folgenabschätzungen (DSFA) Pflicht, um Datenschutzrisiken frühzeitig zu erkennen. Die KI-VO fordert für Hochrisiko-KI-Systeme eine Grundrechte-Folgenabschätzung (GRFA), die mögliche Auswirkungen auf Freiheit, Diskriminierungsfreiheit & Co. bewertet. Wo KI-Systeme personenbezogene Daten verarbeiten, lassen sich DSFA und GRFA sogar verbinden, um Datenschutz und ethische Risiken gemeinsam zu prüfen.
- Rechenschaftspflicht: Bereits die DSGVO schreibt vor, dass Unternehmen die Einhaltung aller Pflichten nachweisen können müssen (Accountability-Prinzip nach Art. 5 Abs. 2 DSGVO). Analog dazu verlangt die KI-VO, dass KI-Anbieter und -Betreiber umfassende Dokumentationen und Protokolle führen. Technische Dokumentationen (Art. 11 KI-VO) und Log-Dateien (Art. 12 KI-VO) dienen dazu, jederzeit belegen zu können, dass die KI-Regeln eingehalten werden. Für Unternehmen bedeutet das noch mehr Dokumentationsaufwand, der aber auch Synergien bietet: Viele vorhandene DSGVO-Dokumentationen (Verarbeitungsverzeichnisse, DSFA-Berichte etc.) können als Grundlage dienen, um die neuen KI-VO-Unterlagen effizient zu erstellen.
Fazit für die Praxis: Wo KI-Systeme personenbezogene Daten verarbeiten, gelten DSGVO und KI-VO nebeneinander. Die Überschneidungen sind erheblich, denn KI-Anwendungen (von Chatbots bis Gesichtserkennung) basieren oft auf großen Datensätzen. Unternehmensleitungen sollten diese gemeinsamen Prinzipien verinnerlichen – sie bilden den ethischen und rechtlichen Rahmen für vertrauenswürdige KI.
Neue Pflichten für Unternehmen: Von TOM bis Schulung
Mit der KI-Verordnung kommen zusätzliche Pflichten auf alle Unternehmen zu, die KI-Systeme entwickeln, einsetzen oder auch nur Ergebnisse von KI nutzen. Wichtig ist, dass diese Pflichten sofort angegangen werden – einige gelten bereits seit 2. Februar 2025 und weitere treten bis 2026 in Kraft. Drei zentrale Bereiche sollten Führungskräfte auf dem Schirm haben:
1. Technische und organisatorische Maßnahmen (TOM)
Die DSGVO fordert in Art. 32 schon lange angemessene technische und organisatorische Maßnahmen zum Schutz von Daten. Jetzt muss auch der KI-Einsatz darin berücksichtigt werden. Konkret heißt das, Sicherheitsmaßnahmen und Prozesse an die besonderen Risiken von KI anzupassen – zum Beispiel Vorkehrungen gegen verzerrte Trainingsdaten (Bias), gegen Manipulation von KI-Modellen oder gegen unerwünschte Datenmuster durch allzu umfangreiche Analysen. Unternehmen sollten ihr Datenschutz- und IT-Sicherheitskonzept überprüfen und erweitern: Sind unsere Algorithmen vor Manipulation geschützt? Haben wir Mechanismen, um Fehlentscheidungen oder Diskriminierung durch KI aufzudecken? Solche Fragen gehören jetzt zur organisatorischen KI-Compliance. Auch eine klare interne Dokumentation aller eingesetzten KI-Systeme (eine Art KI-Inventarliste) ist notwendig, damit jederzeit bekannt ist, wo und wofür KI im Unternehmen im Einsatz ist.
2. Risiko- und Qualitätsmanagement:
Für Hochrisiko-KI (etwa KI in Bewerbungsverfahren, Kreditprüfung, Medizin) schreibt die KI-VO strenge Risikomanagement-Systeme und Qualitätskontrollen vor. Unternehmen müssen hier frühzeitig Prozesse etablieren, um KI-Systeme vor dem Einsatz gründlich zu testen und laufend zu überwachen. Dazu gehört auch, bei Bedarf externe Prüfungen oder Zertifizierungen in Betracht zu ziehen. Gleichzeitig bleiben natürlich die DSGVO-Vorgaben gültig: Wenn etwa eine KI personalisierte Entscheidungen trifft, muss geprüft werden, ob dies mit Art. 22 DSGVO vereinbar ist (Verbot automatisierter Einzelentscheidungen) und wie Betroffenenrechte gewahrt werden. Kurz gesagt: KI-Projekte brauchen ein solides Risiko- und Qualitätsmanagement, das Datenschutz und Grundrechte von Anfang an mitdenkt.
3. Schulungspflichten und KI-Compliance-Management
Ein neues Pflichtfeld durch die KI-VO ist der Aufbau von KI-Kompetenz im Unternehmen. Laut Artikel 4 KI-VO müssen Unternehmen „angemessene technische und organisatorische Maßnahmen“ ergreifen, um sicherzustellen, dass alle Mitarbeiter, die mit KI-Systemen arbeiten, über das erforderliche Wissen und Verständnis verfügen. Diese Schulungspflicht gilt ab Februar 2025 für alle Unternehmen, Selbständigen und Behörden, die KI nutzen – unabhängig von Branche oder Risikoklasse. Praktisch bedeutet das:
- Es sind regelmäßige Mitarbeiterschulungen durchzuführen und deren Inhalte zu aktualisieren. Nicht nur die IT-Abteilung, sondern Fachbereiche, Führungskräfte und die Geschäftsleitung selbst müssen mit den Grundlagen und Risiken von KI vertraut gemacht werden.
- Die vermittelten KI-Kenntnisse sollten Themen abdecken wie sichere Nutzung und Kontrolle von KI, das Erkennen von Risiken und Bias in automatischen Entscheidungen sowie die Einhaltung der rechtlichen und ethischen Standards. So stellen Sie sicher, dass Mitarbeiter KI-Systeme verantwortungsvoll einsetzen und Grenzen kennen.
- Unternehmen müssen ein KI-Compliance-Managementsystem etablieren und dokumentieren, dass geschult wurde. Im Falle einer Prüfung durch Aufsichtsbehörden sollte nachweisbar sein, welche Schulungen stattgefunden haben und wie die KI-Kompetenz intern gewährleistet wird.
All diese Maßnahmen – von technischen Vorkehrungen über Risikoprüfungen bis zu Schulungskonzepten – verursachen Aufwand. Doch sie sind unverzichtbar, um Rechtskonformität sicherzustellen und Haftungsrisiken zu reduzieren. Die EU macht deutlich, dass es ihr ernst ist: Verstöße gegen KI-VO-Pflichten können mit Bußgeldern von bis zu 7 % des weltweiten Jahresumsatzes geahndet werden – zum Vergleich: bei DSGVO-Verstößen sind es bis zu 4 %. Neben finanziellen Risiken drohen Reputationsverlust und Vertrauensbruch bei Kunden und Mitarbeitern, wenn KI-Systeme unkontrolliert Schaden anrichten. Proaktives Handeln ist daher die beste Strategie.
AI Literacy: Warum KI-Kompetenz im Unternehmen essenziell ist
KI-Kompetenz (auch AI Literacy genannt) bedeutet mehr als nur technische Fähigkeiten – es geht darum, die Funktionsweise, Grenzen und Auswirkungen von KI zu verstehen. Warum ist das so wichtig für ein Unternehmen? Erstens, weil es vom Gesetzgeber verlangt wird (siehe oben Artikel 4 KI-VO). Zweitens, weil nur ein aufgeklärtes Team KI verantwortungsvoll nutzen kann.
In der Praxis zeigt sich, dass Mitarbeiter KI-Tools wie Chatbots oder Analysesysteme immer häufiger einsetzen möchten, um effizienter zu arbeiten. Ohne ausreichendes Verständnis könnten jedoch Fehler passieren – etwa die Verwendung personenbezogener Daten in einem KI-System ohne Rechtsgrundlage, oder das Verlassen auf eine automatisierte Entscheidung, die verzerrt oder falsch ist. KI-Kompetenz schafft hier Bewusstsein: Geschulte Beschäftigte wissen, welche Daten sie einer KI anvertrauen dürfen, erkennen mögliche Verzerrungen im Output und beziehen menschliches Urteilsvermögen mit ein. Dadurch werden Risiken minimiert und Chancen besser genutzt.
Für die Geschäftsführung bedeutet AI Literacy, informierte strategische Entscheidungen treffen zu können. Wenn das Management die Potenziale und Risiken von KI versteht, kann es gezielt investieren, sinnvolle Anwendungsfälle identifizieren und zugleich rote Linien ziehen (z. B. Verbot von KI-Systemen, die nicht mit den Unternehmenswerten vereinbar sind). Diese ganzheitliche Kompetenz im Umgang mit KI wird zu einem Wettbewerbsfaktor: Unternehmen, die ihre Mitarbeiter frühzeitig qualifizieren, sind agiler bei der Einführung neuer KI-Technologien und genießen mehr Vertrauen bei Kunden und Partnern. Kurz: KI-Kompetenz ist ein Schlüssel, um Innovation und Compliance in Einklang zu bringen.
Strategische Rolle des Datenschutzbeauftragten bei KI-Compliance
Angesichts der Verzahnung von Datenschutz und KI-Regulierung rückt der Datenschutzbeauftragte (DSB) in eine zentrale strategische Position. Bereits jetzt überwacht und berät der DSB in Sachen DSGVO – künftig wird er diese Expertise auf KI-Systeme ausweiten müssen. Für Unternehmensleitungen ist der DSB damit ein wichtiger Ansprechpartner, um die neuen Anforderungen effizient umzusetzen. Konkret kann die oder der Datenschutzbeauftragte folgende Aufgaben übernehmen:
- Unterstützung bei Risikoanalysen: Datenschutzbeauftragte helfen, Risiken von KI-Systemen systematisch zu bewerten. Sie begleiten Datenschutz-Folgenabschätzungen nach DSGVO und die neuen Grundrechte-Folgenabschätzungen der KI-VO oder prüfen diese auf Vollständigkeit. So wird sichergestellt, dass vor dem Einsatz einer KI die Auswirkungen auf Datenschutz und Grundrechte ausreichend beleuchtet sind.
- Beratung zu Schulungs- und Informationspflichten: Die DSB-Stelle kann darauf hinwirken, dass die Schulungspflichten eingehalten werden, und inhaltlich beraten, welche Kenntnisse den Mitarbeitern vermittelt werden müssen. Ebenso achtet sie darauf, dass Transparenzpflichten erfüllt sind – etwa dass Betroffene informiert werden, wenn KI im Spiel ist.
- Prüfung von TOM und Qualitätsmaßnahmen: Datenschutzbeauftragte überwachen die Wirksamkeit der implementierten technischen und organisatorischen Maßnahmen im Kontext KI. Sie prüfen z.B., ob Datenschutz durch Technik (Privacy by Design) bei KI-Projekten berücksichtigt wurde, ob Zugriffsrechte passen und die Datenqualität der Trainingsdaten stimmt. Auch etablierte Qualitätsmanagement-Systeme für KI (zur Vermeidung von Fehlern oder Bias) können vom DSB kritisch begleitet werden.
- Protokollierung und Dokumentation: Ein weiterer Schwerpunkt ist die Dokumentation aller KI-bezogenen Prozesse. Der DSB wirkt daran mit, dass Unterlagen zur KI-Compliance nahtlos ins Datenschutz-Management-System integriert werden. Dazu zählt ein Verzeichnis der eingesetzten KI-Systeme, Dokumentationen zu deren Zweck, Funktionsweise und Risiken, sowie die Einrichtung von Protokollen/Logs über KI-Entscheidungen. Diese Dokumente sind Gold wert, falls das Unternehmen seine Compliance nachweisen oder gegenüber Aufsichtsbehörden Bericht erstatten muss.
- Beratung der Führungsebene: Nicht zuletzt steht der Datenschutzbeauftragte der Geschäftsführung beratend zur Seite, wenn es um strategische Entscheidungen rund um KI geht. Er oder sie kann einschätzen, ob ein geplanter KI-Einsatz datenschutzrechtlich zulässig ist, wo ggf. Nachbesserungen nötig sind oder welche Policies festgelegt werden sollten (z. B. interne KI-Richtlinien). So fließen Datenschutz- und Ethik-Aspekte von Beginn an in Innovationsprojekte ein – anstatt erst im Nachhinein als Korrektiv.
Um diese vielfältigen Aufgaben zu meistern, bauen viele Datenschutzbeauftragte bereits jetzt ihre eigene KI-Expertise aus. Empfohlen wird eine Weiterbildung in KI-Ethik, technischen Grundlagen von KI und den neuen Rechtsrahmen, damit der DSB kompetent in der Schnittstelle zwischen Datenschutz und KI agieren kann. Für das Unternehmen zahlt sich das aus: Ein versierter Datenschutzbeauftragter wird Ihnen dabei helfen, KI-Technologie rechtskonform und verantwortungsvoll einzuführen, anstatt sie zu bremsen.