Zwischen Innovationsdruck und rechtlicher Unsicherheit: Wie Datenschutz den KI-Einsatz zum Balanceakt macht.
Stellen Sie sich vor, Sie sitzen im Cockpit eines modernen Jets aber die Instrumente sind ausgefallen. Sie wissen, wohin Sie wollen, doch ob Sie wirklich sicher landen, bleibt unklar. Genau so fühlt sich der Umgang mit Künstlicher Intelligenz (KI) im Unternehmensalltag aktuell für viele Menschen an: Die Technologie verspricht Geschwindigkeit, Effizienz und Wettbewerbsvorteile. Doch rechtlich wie auch ethisch fliegen viele Entscheider im Blindflug.
Was wir in Projekten erleben: Die zentrale Frage, die immer wieder gestellt wird, lautet „Wie ist das eigentlich mit dem Datenschutz?“ und direkt dahinter folgt die Unsicherheit, ob die eingesetzten KI-Lösungen überhaupt rechtskonform sind. Datenschutz ist dabei das Dauerthema. Die Skepsis ist berechtigt, denn die rechtlichen Spielregeln sind oft schwammig und ändern sich ständig. Unternehmen wollen schneller, höher, weiter, aber das Recht hält mit dem Tempo der Technologie kaum Schritt. Oder es wird gemacht wie in den USA: Dort werden Innovationen wie KI selten ausgebremst, sondern bekommen freie Fahrt – aus Innovationssicht werden keine Steine in den Weg gelegt. Ist das der richtige Weg? Die Antwort fällt hierzulande selten eindeutig aus. Denn auch wenn der Wunsch nach Fortschritt groß ist, bleibt die Verantwortung für Daten und deren Schutz ein zentrales Thema.
Das Ergebnis: Viele kleine Unternehmen verzichten vorerst aus Unsicherheit auf KI beachten und verlieren damit ggf. echten Wettbewerbsvorteil oder nutzen KI ohne rechtliche Absicherung. Während andere längst Prozesse automatisieren, bleibt man selbst im Status quo stecken. Angst vor Fehlern, Haftung und Datenschutz-Bußgeldern blockiert Innovation. Dabei gibt es längst eine erste Orientierung: Der AI-Act der EU setzt erstmals verbindliche Regeln für KI-Systeme, die DSGVO regelt den Umgang mit personenbezogenen Daten. Entscheider müssen diese Rahmen kennen und aktiv gestalten, statt abzuwarten. Denn wer jetzt Verantwortung übernimmt, macht sein Unternehmen zukunftssicher.
„Zwischen Angst und Aktionismus liegt Verantwortung. Wer sich vor Entscheidungen drückt, entscheidet trotzdem: nur eben für den Status quo.“
– Leonie Otto, ITSM-Consultant
Wer heute Künstliche Intelligenz im Unternehmen einsetzen will, betritt ein neues Spielfeld. Die Regeln? Klarer als früher, aber auch anspruchsvoller. Der EU AI Act ist das erste Gesetz weltweit, das KI nicht nur definiert, sondern in Risikoklassen einteilt und für jede Klasse verbindliche Anforderungen festlegt. Das Ziel: Risiken minimieren, Vertrauen schaffen, Innovation ermöglichen.
Aber was genau steckt dahinter?
Der AI-Act verfolgt einen risikobasierten Ansatz: Je höher das Risiko für Grundrechte, Sicherheit oder Gesundheit, desto strenger die Pflichten. Vier Kategorien bilden den Kern:
Abbildung 1, Risikoklassen des EU AI Acts
Quelle: eigene Abbildung
Was bedeutet das für Unternehmen?
Zunächst müssen Unternehmen unterscheiden, ob sie als Anbieter oder als Betreiber von KI-Systemen agieren.
Anbieter (= Entwickler oder Vertreiber von KI-Lösungen) sind verpflichtet, ihre Systeme vor dem Inverkehrbringen einer Risikoklassifizierung zu unterziehen und – je nach Einstufung – umfangreiche Anforderungen zu erfüllen: Dazu zählen Risikomanagement über den gesamten Lebenszyklus, Datenqualitäts-Governance, technische Dokumentation (inklusive Trainingsdaten und Algorithmen), Konformitätsbewertung, Registrierung in der EU-Datenbank sowie CE-Kennzeichnung.
Betreiber (= Unternehmen, die KI-Systeme einsetzen) müssen sicherstellen, dass sie nur konforme Systeme nutzen, die Pflichten im laufenden Betrieb einhalten und insbesondere bei Hochrisiko-KI eine menschliche Kontrolle gewährleisten.
Für KI-Anwendungen mit begrenztem Risiko gilt: KI-generierte Inhalte müssen für Nutzer klar erkennbar und entsprechend gekennzeichnet sein.
Ein Sonderfall sind sogenannte GPAI-Systeme (=General Purpose AI). So werden KI-Systeme bezeichnet, die für eine Vielzahl von Aufgaben entwickelt wurden und nicht von vornherein auf einen bestimmten Zweck beschränkt sind. Werden solche Systeme für spezifische Hochrisiko-Anwendungen angepasst, greifen zusätzliche Transparenz- und Dokumentationspflichten wie in Kapitel 5 des EU AI Acts aufgeführt. Unternehmen müssen dann besonders sorgfältig nachweisen, wie sie Risiken adressieren und welche Maßnahmen sie zur Einhaltung der gesetzlichen Vorgaben ergreifen.
Gerade weil die möglichen Auswirkungen hoch sind, sind auch die Sanktionen bei Verstößen drastisch: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes können bei besonders schweren Verstößen gegen den EU AI Act fällig werden, für weniger gravierende Verstöße gelten abgestufte Sanktionen. Wer jetzt handelt, reduziert nicht nur Risiken, sondern schafft auch Vertrauen bei Kunden und Partnern.
Parallel bleibt die DSGVO der Maßstab für den Umgang mit personenbezogenen Daten. Sie fordert „Privacy by Design“ und „by Default“. Das heißt: Datenschutz muss von Anfang an Teil der Entwicklung und Einführung sein – nicht erst, wenn das System live ist. Für Unternehmen bedeutet das:
Prozesse dokumentieren
Verantwortlichkeiten klären
Technische und organisatorische Maßnahmen umsetzen
Ja, das ist Aufwand. Aber es ist vor allem eine Frage der Haltung: Will ich gestalten oder abwarten? Wer KI einsetzt, muss zwingend wissen, welche Daten verarbeitet werden, wie sie geschützt sind und wer im Zweifel haftet. Die DSGVO zwingt dadurch die Unternehmen, sich klar zu positionieren: das stärkt das Vertrauen und kann zum Wettbewerbsvorteil werden.
Sind diese Regeln Innovationsbremsen?
Nein. Sie bieten Orientierung, wo bisher Unsicherheit herrschte. Wer abwartet, bleibt im Status quo stecken. Wer gestaltet, kann KI verantwortungsvoll und zukunftssicher nutzen. Es geht nicht darum, jedes Risiko auszuschließen, sondern Klarheit zu schaffen:
Welche Anwendungen bringen echten Mehrwert?
Wo liegen die Risiken und wie gehen wir damit um?
Welche Daten werden wie verarbeitet?
Wer übernimmt Verantwortung, wenn etwas schiefgeht?
Praxisbeispiel
Gerade bei der Bearbeitung von Kundenanfragen zeigt sich, wie eng Effizienz und rechtliche Verantwortung bei KI zusammenhängen: Wird ein System eingesetzt, das jährlich 50.000 Anfragen automatisiert vorsortiert, spart das bis zu 3.300 Arbeitsstunden (bei der Annahme das pro Anfrage 4 Minuten benötigt werden) – ein echter Wettbewerbsvorteil. Doch rechtlich ist Präzision gefragt: Für Standardanfragen gilt meist die Kategorie „begrenztes Risiko“ (Art. 52 EU AI Act). Hier müssen Unternehmen Transparenzpflichten erfüllen, z. B. die Kennzeichnung KI-generierter Antworten. Sobald die KI aber Entscheidungen mit erheblicher Tragweite trifft – etwa bei Vertragskündigungen oder Bonitätsprüfungen – greift die Kategorie „hohes Risiko“ (Art. 6, 9, 11 EU AI Act). Dann sind umfangreiche Dokumentationspflichten, Risikomanagement und menschliche Kontrolle vorgeschrieben. Wer diese Vorgaben kennt und umsetzt, nutzt KI nicht nur effizient, sondern auch rechtssicher und ethisch verantwortungsvoll.
Fazit
Der AI-Act und die DSGVO sind keine Innovationsbremse, sondern ein Kompass. Sie geben Orientierung, schaffen Klarheit und ermöglichen es Unternehmen, KI verantwortungsvoll einzusetzen. Entscheider sind jetzt gefragt: Nicht abwarten, sondern gestalten. Wer Verantwortung übernimmt, schafft Vertrauen – bei Kunden, Partnern und im eigenen Team. Und genau das ist der entscheidende Wettbewerbsvorteil im Zeitalter der Künstlichen Intelligenz.
Titelbild: © freepik/freepik.com
