← Zurück zum Blog
KI2. Juli 20269 Min. Lesezeit

KI ohne Risiko: Was Unternehmen beim Einsatz künstlicher Intelligenz beachten müssen

DSGVO, EU AI Act, Tool-Auswahl und menschliche Kontrolle — ein Überblick für Unternehmen ohne Compliance-Abteilung.

Softwareentwicklerin arbeitet konzentriert an mehreren Bildschirmen mit Quellcode in einem hellen Büro
KI kann Zeit sparen — aber nur, wenn Daten, Rollen und Verantwortlichkeiten klar geregelt sind.Foto: ThisIsEngineering — Pexels

Künstliche Intelligenz verspricht Tempo: Texte in Sekunden, Anfragen automatisch sortieren, Dokumente zusammenfassen. Gleichzeitig lesen Geschäftsführer und Teamleitungen von Bußgeldern, Datenlecks und dem EU AI Act — und fragen sich zu Recht: Wie nutzen wir KI, ohne uns reinzulegen?

Die Antwort ist nicht „KI verbieten“. Es ist: Risiken kennen, passende Tools wählen, Prozesse dokumentieren und Menschen in der Verantwortung lassen.

Zwei Regelwerke, die parallel gelten

Für die meisten Unternehmen sind zwei Rechtsrahmen relevant:

  • DSGVO — sobald personenbezogene Daten verarbeitet werden (fast immer)
  • EU AI Act (Verordnung EU 2024/1689) — seit 2024 in Kraft, mit gestaffelten Pflichten bis 2026/2027

Die Europäische Kommission fasst die Stufen so zusammen: Verbotene Praktiken und KI-Kompetenzpflicht gelten seit 2. Februar 2025. Transparenzregeln treten im August 2026 in Kraft. Hochrisiko-Pflichten für viele Anwendungsfälle wurden durch den „AI Omnibus“ auf Dezember 2027 verschoben.

Risikoklassen — und was sie für Sie bedeuten

  • Verboten (Art. 5): z. B. Social Scoring, manipulative Techniken — für die meisten KMU selten relevant, aber gut zu kennen
  • Hochrisiko: z. B. KI in Bewerbungsverfahren, Bonitätsbewertung — strenge Pflichten, menschliche Aufsicht, Dokumentation
  • Begrenztes Risiko: z. B. Chatbots — Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
  • Minimales Risiko: z. B. Spam-Filter, einfache Textvorschläge ohne Personenbezug — weniger Formalien, trotzdem Schulung sinnvoll

Datenschutz: Die häufigsten Stolpersteine

  • Kundendaten in US-Tools ohne AVV eingeben
  • KI-Ausgaben ungeprüft nach außen senden (halluzinierte Fakten, falsche Zitate)
  • Keine Löschkonzepte für Chat-Verläufe und Uploads
  • Fehlende Einwilligungen bei besonderen Datenkategorien
  • Schatten-IT: Mitarbeitende nutzen private KI-Konten für Firmendaten

Die IHK München weist darauf hin, dass Unternehmen als Verantwortliche gelten — auch wenn ein externer KI-Anbieter die Technik liefert. Der Anbieter kann Auftragsverarbeiter sein, aber die Pflicht zur rechtmäßigen Nutzung bleibt beim Betrieb.

Tool-Auswahl: Worauf es ankommt

  1. Wo werden Daten verarbeitet? (EU/EWR bevorzugt)
  2. Gibt es einen AVV nach Art. 28 DSGVO?
  3. Werden Eingaben zum Training genutzt? (bei Business-Lizenzen meist nein)
  4. Können Sie Daten löschen und Zugriffe protokollieren?
  5. Ist der Anbieter im EU-US Data Privacy Framework gelistet — falls US-Transfer?
  6. Passt das Tool zum Risiko des Use Cases?

Für sensible Daten sind EU-basierte Modelle oder self-hosted Lösungen (z. B. n8n auf deutschem Server mit lokalem LLM) oft die sicherere Wahl — auch wenn sie etwas mehr Setup brauchen.

Menschliche Kontrolle ist kein Nice-to-have

KI-Systeme irren. Sie erfinden Quellen, verwechseln Namen und spiegeln Verzerrungen aus Trainingsdaten. Für Unternehmen gilt deshalb:

  • Keine automatischen Entscheidungen über Menschen ohne Prüfung
  • Vier-Augen-Prinzip bei Verträgen, Satzungen, Pressemitteilungen
  • Klare Eskalation, wenn die KI „unsicher“ ist
  • Regelmäßige Stichproben bei automatisierten Antworten

Ein einfacher Fahrplan in 6 Schritten

  1. KI-Inventar: Welche Tools nutzt wer wofür?
  2. Risiko einstufen: Minimal, begrenzt oder hoch?
  3. Richtlinie schreiben: Erlaubte und verbotene Daten, Beispiele
  4. Schulung durchführen und dokumentieren (Art. 4 AI Act)
  5. Verträge prüfen: AVV, Sub-Auftragsverarbeiter, Löschfristen
  6. Pilot starten: Ein Use Case, messen, dann skalieren

Laut Sage Advice Deutschland müssen Unternehmen bei Prüfungen nachweisen können, dass Schulungen stattgefunden haben. Ein einseitiges Protokoll mit Datum, Teilnehmenden und Themen reicht für den Start.

Auch Vereine und andere Organisationen mit ehrenamtlichen Strukturen sollten die Richtlinie in einfacher Sprache halten und bei einem Vorstandswechsel klar regeln, wer Zugänge und Verantwortung übernimmt — die Grundprinzipien bleiben aber dieselben.

KI ohne Risiko gibt es nicht — aber KI mit überschaubarem Risiko ist für die meisten Unternehmen erreichbar. Der Schlüssel ist nicht mehr Technologie, sondern mehr Struktur.

Praxis bei Hercoon

KI nutzen — mit Struktur statt Bauchgefühl

Hercoon hilft Unternehmen, KI praktisch einzusetzen: von der Risiko-Einschätzung über DSGVO-konforme Tool-Auswahl bis zu Chatbots und Automatisierungen auf EU-Infrastruktur. Auch Vereine setzen bei uns auf diese Grundlagen.

Wir bauen keine Black Box — Sie behalten die Kontrolle über Daten, Prozesse und Ergebnisse.

  • KI-Beratung mit Fokus auf sinnvolle Use Cases statt Hype
  • DSGVO-konforme Integration in Website und Tools
  • EU-basierte Hosting- und Tool-Auswahl, Automatisierung mit n8n oder custom