Die KI-Verordnung (KI-VO) sorgt derzeit für viele Schlagzeilen – oft verbunden mit der Frage: Drohen jetzt neue Pflichten und Bürokratieberge für alle Unternehmen? Die Antwort ist differenzierter: Nicht jede Organisation ist betroffen, und dort, wo Pflichten greifen, lassen sie sich meist in vorhandene Strukturen integrieren. Dieser Beitrag zeigt, was § 4 wirklich bedeutet und wie Unternehmen pragmatisch damit umgehen können.
Wer ist denn überhaupt betroffen?
Die KI-VO unterscheidet grob zwei Rollen:
-
Anbieter: Wer KI-Systeme entwickelt, bereitstellt oder weitervermarktet.
-
Nutzer: Wer KI-Systeme im eigenen Geschäftsbetrieb verwendet, aber weder entwickelt noch anbietet.
In der Praxis sind die meisten Unternehmen Nutzer, nicht Anbieter. Aber Vorsicht: Wer KI-Komponenten intern eigenständig anpasst, trainiert oder sogar vermarktet, kann schnell in die Anbieterrolle rutschen – mit deutlich strengeren Pflichten. Ein Unternehmen sollte sich also kritisch prüfen und die Ergebnisse auch in der entsprechenden Dokumentation begründen.
Die Risikoklassen: Von "verboten" bis "minimal riskant"
Die KI-VO arbeitet mit vier Risikokategorien:
-
Verboten: z. B. Social-Scoring-Systeme oder manipulative KI-Verfahren.
-
Hochriskant: z. B. biometrische Systeme zur Identifizierung, kritische Infrastrukturen.
-
Begrenzt riskant: z. B. Chatbots oder KI-Tools, die menschliche Interaktion simulieren.
-
Minimal riskant: z. B. Rechtschreibkorrekturen oder Filter in E-Mail-Programmen.
Die Einordnung entscheidet, wie streng die Pflichten ausfallen. Für die meisten Unternehmen spielen wohl „begrenzte“ und „minimale“ Risiken die Hauptrolle.
§ 4 KI-VO: Was wirklich von den Unternehmen gefordert ist
Kern von § 4 sind keine völlig neuen Auflagen, sondern die Übertragung bewährter Prinzipien. Wer genau hinschaut, erkennt bekannte Muster aus allen Regeln zur Wahrung der Sicherheit von Daten, wie zum Beispiel im Datenschutz.
-
Sorgfalt und Verantwortung im Umgang mit KI.
-
Dokumentation: Welche Systeme werden genutzt, wofür und mit welchen Risiken?
-
Transparenz: Mitarbeitende müssen wissen, wenn sie mit KI interagieren.
-
Risikomanagement: Erkennen, bewerten und minimieren möglicher Gefahren.
-
Überprüfung & Nachjustierung: KI-Einsatz regelmäßig evaluieren, nicht nur einmalig festhalten.
Das Ziel: nachvollziehbare und überprüfbare Entscheidungen – keine Überforderung für Unternehmen.
Umsetzung in der Praxis
Statt alles neu zu erfinden, können Unternehmen an vorhandene Strukturen anknüpfen:
-
Datenschutzmanagementsystem (DSMS) und Informationssicherheitsmanagementsystem (ISMS) liefern bereits Vorlagen für Prozesse, Dokumentation und Verantwortlichkeiten. Diese Vorlagen können genutzt werden, um die Prüfung auf Betroffenheit, die genutzten KI-Systeme, die Prüfung auf Risikoklassen und auch Schulungen zu dokumentieren.
-
Wichtig ist die klare Zuweisung von Rollen: Wer dokumentiert, wer prüft, wer überwacht den Einsatz von KI? Wer möchte, könnte hier den "KI-Beauftragten" erkennen und auch implemementieren. Aber wichtig: Weder gibt es diese Rolle in der KI-VO, noch muss es eine definierte Person sein. ES kann genauso eine Rolle, ein Team oder ein Prozess sein, der dafür sorgt, dass die Aufgaben aus der KI-VO erfüllt werden.
-
Schulung der Mitarbeitenden: Beschäftigte müssen verstehen, wie KI funktioniert, welche Risiken bestehen und wie Ergebnisse kritisch überprüft werden. Zwar schreibt die KI-VO keine explizite Schulungspflicht vor, sie weckt aber eine klare Erwartung: Nur wenn Beschäftigte verstehen, wie KI funktioniert, welche Risiken bestehen und wie Ergebnisse kritisch geprüft werden, können die Anforderungen an Sorgfalt, Transparenz und Risikomanagement erfüllt werden. Ohne Schulung besteht daher die Gefahr von Fehlanwendungen, falschem Vertrauen in KI-Ergebnisse und damit erhöhtem Risiko. Die Schulung sollte, wie im Datenschutz auch, dokumentiert werden. Also was wurde vermittelt, wer hat teilgenommen. Das dient letztlich dem Unternehmen als Nachweis für die Erfüllung dieser Erwartung.
Was bringt eine Mitarbeiterunterweisung?
Chancen einer Schulung:
-
Beschäftigte nutzen KI-Tools effizienter und schöpfen deren Potenzial besser aus.
-
Das Bewusstsein für rechtliche und organisatorische Rahmenbedingungen steigt.
-
Fehler oder Fehleinschätzungen lassen sich frühzeitig vermeiden.
Risiken ohne Schulung:
-
Unkritisches Vertrauen in KI-Ergebnisse („Halluzinationen“ werden übersehen).
-
Falscher Umgang mit sensiblen Daten und Datenschutzverletzungen.
-
Fehlende Transparenz, wenn Mitarbeitende nicht wissen, wann KI im Einsatz ist.
Empfohlene Maßnahmen:
-
Grundlagenschulungen zu Funktionsweise, Chancen und Grenzen von KI.
-
Klare Vorgaben für die Eingabe von Daten (z. B. keine vertraulichen Inhalte).
-
Einführung von Review-Prozessen, um Ergebnisse zu prüfen und Erfahrungen zu sammeln.
So entsteht ein sicherer und verantwortungsvoller Umgang mit KI im Arbeitsalltag – genau das, was § 4 letztlich verlangt.
Beispiel: DeepL & Microsoft 365 Copilot
Viele Firmen nutzen KI bereits, ohne es so zu nennen: Übersetzungen mit DeepL oder Textunterstützung durch Microsoft 365 Copilot.
Chancen: Höhere Effizienz, Unterstützung im Alltag.
Risiken: Datenweitergabe, unklare Urheberrechte, falsche Ergebnisse („Halluzinationen“).
Wer solche Tools nutzt, sollte:
-
Vorgaben zur Eingabe sensibler Daten machen,
-
Ergebnisse prüfen lassen,
-
und eine Dokumentation führen, in welchem Umfang das Tool eingesetzt wird.
Fazit: KI pragmatisch einordnen
§ 4 der KI-VO ist weniger ein Schreckgespenst als ein Aufruf zu Sorgfalt und Transparenz. Unternehmen sollten jetzt starten mit:
-
Bestandsaufnahme: Welche KI-Tools werden eingesetzt?
-
Dokumentation: Welche Risiken sind damit verbunden?
-
Integration: Prozesse in DSMS/ISMS aufnehmen und Verantwortlichkeiten klären.
So wird KI nutzbar, ohne Panik und ohne unnötigen Aufwand.
FAQ
Gilt die KI-VO für jedes Unternehmen?
Theoretisch nicht, sie betrifft nur den Einsatz von KI-Systemen. Wer keine KI nutzt, ist nicht verpflichtet.
Müssen kleine Unternehmen genauso viel tun wie Konzerne?
Die Pflichten richten sich nach Risikoklassen, nicht nach Unternehmensgröße. Praktisch heißt das wohl oft: KMU sind meist im Bereich „begrenzt“ oder „minimal“, trotzdem muss geprüft werden, wie es sich in der Realität verhält,
Wie oft muss die Dokumentation aktualisiert werden?
Regelmäßig, am besten im Rahmen bestehender Reviews (z. B. Datenschutz- oder ISMS-Audits).
Was, wenn KI-Systeme sich im Betrieb ändern?
Dann sollte auch die Dokumentation nachgezogen werden – besonders, wenn Funktionen oder Risikoeinschätzungen wechseln.
Müssen Mitarbeitende geschult werden?
Ja. Zwar schreibt die KI-VO keine explizite Schulungspflicht vor. Aus § 4 ergibt sich aber indirekt eine klare Erwartung: Nur wenn Beschäftigte verstehen, wie KI funktioniert, welche Risiken bestehen und wie Ergebnisse kritisch geprüft werden, können die Anforderungen an Sorgfalt, Transparenz und Risikomanagement erfüllt werden.