Ein Praxisbericht für Datenschutz- und Compliance-Verantwortliche

Seit Inkrafttreten der EU-KI-Verordnung herrscht in vielen Unternehmen vor allem eines: Unsicherheit.

Wie lassen sich die neuen Anforderungen rechtskonform und gleichzeitig praxisnah umsetzen – ganz ohne Erfahrungswerte oder Blaupause?

Auch wenn die konkreten Pflichten stufenweise bis 2027 greifen, müssen Unternehmen jetzt aktiv werden. Wir geben in dieser Serie Einblick in unsere Arbeit als Compliance-Berater:innen – am Beispiel einer fiktiven Mandantin, basierend auf realen Projekten.

Schritt 4 – Vom Risiko zur Whitelist

Im letzten Teil haben wir gezeigt, wie aus einer Mitarbeiterbefragung ein KI-Register mit Risikobewertung entsteht. Jetzt heißt es: Entscheidungen treffen!

Welche KI-Systeme und Anwendungsfälle sollen künftig erlaubt sein – und welche nicht? Die Risikobewertung liefert die Grundlage, aber jetzt braucht es Klarheit und Mut zur Auswahl.

Pauschale Verbote wie „Keine personenbezogenen Daten in KI-Systeme eingeben“ wirken oft lähmend und schließen sinnvolle Anwendungen, z. B. im HR, pauschal aus. Besser: Iteratives Vorgehen mit konkreten, risikoarmen Use Cases.

Wir starten bottom-up:

• KI-Systeme mit geringem oder keinem Risiko werden auf die meistgenutzten reduziert
• Diese Use Cases werden konkret beschrieben und in die Richtlinie aufgenommen

Hochrisiko-Systeme – etwa im HR-Bereich – erfordern hingegen Risikominderung und sorgfältige Auswahl. Dabei helfen folgende Leitfragen:

· Was eignet sich für den Einstieg? Nicht gleich mit komplexen Interviews starten. Besser: Ein KI-gestützter HR-Service-Desk, der Mitarbeitende bei Routinefragen unterstützt.

· Wie sichern wir die menschliche Letztentscheidung ab? Human-in-the-Loop ist Pflicht. Die KI liefert Vorschläge, aber der Mensch entscheidet – nachvollziehbar und dokumentiert. Diese Prozesse müssen klar geregelt sein – idealerweise in der Richtlinie oder per Bereichsanweisung.

· Wie sieht ein schlanker Umsetzungsprozess aus?

Am Beispiel HR in drei Schritten:

1. Zieldefinition & Use Case-Auswahl – Wozu soll die KI beitragen? Effizienz im Recruiting? Bessere Personalentwicklung? Nur sinnvolle, zielführende Anwendungen setzen sich durch.

2. Interdisziplinäre Risikoanalyse & rechtliche Prüfung – Juristische, ethische und technische Risiken sollten frühzeitig bewertet werden, insbesondere Prüfung auf Hochrisikoeinstufung nach KI-VO, DSGVO-Konformität und Mitbestimmungsfragen.

3. Pilotierung & Transparenzsicherung – Start mit einem messbaren, überschaubaren Projekt. Frühzeitige Einbindung aller Stakeholder (HR, Compliance, IT, Betriebsrat) ist entscheidend.

Schritt 5 – Von der Whitelist zur Richtlinie

Stehen die erlaubten Use Cases fest, ist die Grundlage für eine KI-Richtlinie geschaffen.

Was gehört in eine gute Richtlinie?

📌 Zweck, Geltungsbereich und Verantwortlichkeiten

📌 Rechtliche Grundlagen & ethische Prinzipien – verständlich erklärt. Dazu gehören auch die Grundsätze der Nutzung, beispielsweise auch ethische Überlegungen, dass KI nur durch entsprechend geschulte Mitarbeiter eingesetzt werden darf oder dass von den definierten Einsatzzwecken nicht abgewichen werden darf, also nicht das KI-Tool ist erlaubt, sondern das KI-Tool in Kombination mit dem definierten Einsatzzweck.

📌 Globale Regeln – z. B. Verbot von sensiblen oder vertraulichen Unternehmensdaten in öffentlich zugänglichen KI-Tools oder dass die Nutzung kostenloser bzw. privater Accounts untersagt ist.

📌 Use Case-Beschreibungen – was ist erlaubt, was ist untersagt. Wenn z.B. die Transkriptionsfunktion in Zoom genutzt werden soll muss vorher von allen Teilnehmern der Videokonferenz eine Einwilligung eingeholt werden. Wir erlauben auf der einen Seite also den Einsatz der Transkriptions-KI, stellen aber Bedingungen daran.

📌 Klare Bedingungen für jeden Use Case – z. B. Einwilligungspflicht bei Zoom-Transkription

📌 Prozesse für neue Tools oder Use Cases – inkl. Freigabeverfahren für die Nutzung neuer KI-Systeme oder neuer Use Cases.

Hammer Home your Message

Die Richtlinie steht – doch wie bringen wir sie in die Köpfe der Mitarbeitenden?

Im nächsten Teil zeigen wir, wie Unternehmen die Kompetenzanforderungen der KI-Verordnung konkret umsetzen und so eine wirklich gelebte KI-Strategie aufbauen.