Ein Praxisbericht für Compliance-Verantwortliche

Seit Inkrafttreten der EU-KI-Verordnung stellen sich viele Unternehmen dieselbe Frage:

Wie setzen wir die neuen Anforderungen um – ohne Erfahrungswerte, ohne Blaupause?

Auch wenn die konkreten Pflichten stufenweise bis 2027 greifen, müssen Unternehmen jetzt aktiv werden. Wir geben in dieser Serie Einblick in unsere Arbeit als Compliance-Berater:innen – am Beispiel einer fiktiven Mandantin, basierend auf realen Projekten.

Wir wissen, dass wir nichts wissen

Im ersten Teil unserer Fallstudie haben wir beschrieben, wie wir mit einer internen Umfrage starten. Ziel: Herausfinden, welche KI-Tools die Mitarbeitenden bereits nutzen – und zu welchem Zweck.

• Erwartung: 5 bis 7 Tools.
• Realität: Über 25 Tools, darunter mehrere Versionen von ChatGPT, Gemini, Perplexity, Midjourney, Grok und Co.
• Die Erkenntnis: Niemand hatte den Überblick. Weder über die Tools noch über die Einsatzzwecke. Jetzt ist Aufräumen angesagt!

Schritt 2 – Register erstellen

Bei der Sichtung der Umfrageergebnisse wird schnell klar, dass viele der genannten Tools in mehreren Abteilungen und zu unterschiedlichen Zwecken eingesetzt werden. Wir erfassen also zunächst alle Tools in einer Liste und ordnen sie Einsatzzweck-Clustern zu, um eine bessere Übersicht zu erhalten. Die Einsatzzweck-Cluster ergeben sich dabei aus den in der Umfrage genannten Einsatzzwecken, die wir zu Überschriften verallgemeinert haben, z.B. Code-Generierung, Transkription, (Text-)Content-Generierung, Bild- und Videogenerierung, etc. In einer weiteren Spalte erfassen wir dann alle in der Umfrage genannten Detailzwecke. Dadurch können wir die Liste nach Einsatzzweck-Cluster filtern, ohne dabei Informationen zu verlieren.

Auch die Art des Zugangs erfassen wir, ebenso wie die Information, ob im genutzten Modell die durch den Nutzer eingegebenen Daten durch den Anbieter für das Training der KI genutzt werden, sowie Anbieter und den Standort der Datenspeicherung.

Das war der einfache Teil.

Schritt 3 – Risikobewertung

Mit dem KI-Register in der Hand wagen wir uns an die erste Risikoeinschätzung. Die gute Nachricht: Die KI-Verordnung liefert bereits ein Klassifikationssystem mit. Das ist hilfreich, wenn auch nicht ganz trivial:

• Verbotene Praktiken (Art. 5 KI-VO) (z. B. emotionserkennende Systeme am Arbeitsplatz)
• Hochrisiko-KI (Art. 6 KI-VO) (z. B. HR-Tools mit Einfluss auf Einstellungen/Beförderungen)
• Begrenztes Risiko (Art. 50 KI-VO) (z. B. Deepfakes oder interaktive KI-Systeme)
• Kein Risiko – alle in den o.g. Risikoklassen nicht enthaltenen Anwendungen

Wir ordnen die Tools und Einsatzzwecke entsprechend zu – und atmen durch: Viele der im Unternehmen genutzten Anwendungen fallen unter „kein“ oder „begrenztes Risiko“. Nur einzelne Tools im HR-Kontext müssen wir genauer prüfen. So kommen wir am Ende zu einer eigentlich ganz erfreulichen Liste und dem Schluss, dass wir auf Basis dessen, was die KI-VO vorgibt und fordert, keine Brände zu löschen haben.

Aber reicht diese Risikobetrachtung eigentlich aus?

Neue Horizonte

Natürlich nicht ganz. Denn die KI-VO definiert nur den regulatorischen Rahmen – nicht alle unternehmerischen Risiken. Also werfen wir einen erweiterten Blick:

• Datenschutz: Werden personenbezogene Daten eingegeben? Ist eine Einwilligung erforderlich?
• Geheimnisschutz: Werden vertrauliche Dokumente analysiert? Wohin wandern diese Daten?
• Urheberrecht: Wer haftet, wenn fremde Inhalte verarbeitet werden?
• Datenstandorte: Was passiert mit meinen Daten in den USA, China oder Russland?
• Private Accounts: Sollen diese weiterhin im Unternehmenskontext erlaubt sein?

Diese Fragen sind nicht Teil der KI-VO – aber zentral für eine belastbare KI-Strategie.

Wie wir mit den identifizierten Risiken außerhalb der Risikoklassen der KI-VO umgehen und diese durch eine unternehmensspezifische KI-Richtlinie mitigieren – und wir daraus einer rechtssichere KI-Strategie wieder einen Schritt näher kommen  –, erfahren Sie im nächsten Beitrag.