Wie KI-konform ist Ihr Unternehmen? – Ein Schnelltest zur Selbsteinschätzung mit Beispielen aus der Praxis


Seit Inkrafttreten der Verordnung (EU) 2024/1689 zur Regulierung von Künstlicher Intelligenz (KI-VO) stehen Unternehmen vor einer neuen Realität: Der Einsatz von KI – ob in Marketing, HR, Kundenservice oder Produktentwicklung – ist nur dann rechtlich zulässig, wenn klare Regeln eingehalten werden. Doch wie gut sind Organisationen auf diese Anforderungen vorbereitet?

Ein strukturierter Selbsttest kann helfen, erste Schwachstellen zu identifizieren. Im Folgenden stellen wir die fünf zentralen Prüffragen aus dem Leitfaden zur KI-Compliance vor – ergänzt durch konkrete Anwendungsbeispiele und erste rechtliche Einschätzungen.

1. Nutzen Sie KI-Tools – und kennen alle die Regeln?

Beispiel: Ein Unternehmen nutzt Chatbots, automatische Textgeneratoren und Predictive Analytics für die Marketingplanung. Doch es fehlt eine Übersicht darüber, welche Tools tatsächlich aktiv sind und von wem sie genutzt werden.

Rechtslage: Die KI-Verordnung verpflichtet Unternehmen gemäß Art. 28 ff. dazu, Rollen zu klären und Transparenz zu schaffen. Eine interne Tool-Liste und eine informierte Mitarbeiterschaft sind daher keine Kür, sondern Pflicht. Art. 4 der Verordnung fordert zudem eine ausreichende KI-Kompetenz („AI Literacy“) aller Beteiligten.

Praxistipp: Führen Sie ein „KI-Register“ ein und implementieren Sie verpflichtende Schulungen, z. B. für Marketing-Teams, die generative KI-Modelle zur Content-Produktion einsetzen.

2. Wie gehen Sie mit sensiblen Daten um?

Beispiel: Im Kundenservice werden Gesprächsanalysen per KI ausgewertet. Die Aufzeichnungen enthalten personenbezogene Daten – teilweise auch besonders geschützte Informationen (z. B. Gesundheitsdaten bei Versicherungen).

Rechtslage: Laut Art. 10 der KI-VO dürfen solche Daten nur verarbeitet werden, wenn die Qualität hoch, die Herkunft transparent und die Sicherheit nach Stand der Technik gewährleistet ist. Die DSGVO bleibt in vollem Umfang anwendbar (insb. Art. 6, 9, 32 DSGVO) .

Praxistipp: Prüfen Sie, ob technische Maßnahmen wie Pseudonymisierung, Zugriffskontrollen oder Audit-Protokolle aktiv sind. Falls nicht: akuter Handlungsbedarf.

3. Wie sichern Sie Qualität und Verantwortung?

Beispiel: Ein Marketingteam nutzt KI zur personalisierten Segmentierung und automatischen Texterstellung für Kampagnen. Fehlerhafte Zuordnungen führen zu diskriminierender Ansprache.

Rechtslage: Gemäß Art. 15 und 16 der KI-VO müssen Ergebnisse von KI-Systemen regelmäßig überwacht und Fehler dokumentiert werden. Für Hochrisiko-Systeme (z. B. bei Profilbildung im Beschäftigungskontext) gelten sogar strengere Anforderungen (Anhang III KI-VO).

Praxistipp: Definieren Sie Review-Prozesse für KI-generierten Content, dokumentieren Sie Korrekturen, und legen Sie Zuständigkeiten zur Fehlerbehandlung fest. Der Code of Practice empfiehlt dies auch für GPAI-Modelle .

4. Haben Sie Zuständigkeiten und Prozesse geklärt?

Beispiel: Ein internes Entwicklungsteam setzt ein Empfehlungssystem für Online-Shops auf Basis von Kundendaten um. Wer klärt, ob dies rechtlich zulässig ist? Wer prüft die Trainingsdaten?

Rechtslage: Art. 17 KI-VO fordert explizite Governance-Prozesse, insbesondere für Anbieter und Betreiber von KI-Systemen. Ohne festgelegte rechtliche Prüfung im Vorfeld kann ein Verstoß gegen EU-Recht vorliegen.

Praxistipp: Benennen Sie eine verantwortliche Person für KI-Compliance (z. B. „KI-Manager“) und definieren Sie verbindliche Freigabeprozesse – analog zur DSGVO-Praxis beim DSB.

5. Wie viele dieser Fragen beantworten Sie mit „Ja“?

Jede einzelne Verneinung ist ein Indikator für Handlungsbedarf. Bereits bei einem „Nein“ sollte eine gezielte Risikoanalyse erfolgen, bei mehreren ein strukturiertes KI-Compliance-Projekt. Auch im Marketingbereich, wo der Einsatz oft experimentell beginnt, sind Compliance-Fragen inzwischen erfolgskritisch – vor allem, wenn personenbezogene Daten oder automatische Entscheidungen im Spiel sind.

Dieser Selbsttest ersetzt keine vollständige Rechtsprüfung, bietet aber einen niedrigschwelligen Einstieg in die Welt der KI-Regulierung.

Ausblick: Rechtssichere KI-Nutzung braucht Struktur

Die gute Nachricht: Viele Risiken lassen sich mit überschaubarem Aufwand kontrollieren – wenn der Prozess frühzeitig beginnt. Neben internen Strukturen helfen Standards wie die ISO/IEC 42001 für KI-Managementsysteme und Instrumente wie das AI Risk Repository , um typische Gefahren zu erkennen und zu dokumentieren.

Empfehlung: Führen Sie diesen Selbsttest regelmäßig durch – etwa vierteljährlich – und verbinden Sie ihn mit konkreten Maßnahmen (z. B. Audit, Risikoabschätzung, Compliance-Schulung). So wird aus reaktiver Pflichterfüllung eine nachhaltige KI-Strategie mit echtem Mehrwert.