25.06.2025

In 5 Schritten zur systematischen AI Governance: KI rechtssicher nutzen

Die Regulierung von Künstlicher Intelligenz nimmt Fahrt auf – mit unmittelbaren Auswirkungen für Unternehmen. Wer KI künftig sicher und gesetzeskonform einsetzen möchte, braucht mehr als technische Kompetenz: Gefragt ist ein systematischer Governance-Ansatz.

Unverbindliches Erstgespräch vereinbaren

Inhalt

Ihr ISiCO-Experte für das Thema:
Dr. Philipp Siedenburg
Operating Partner

Die neue Realität: KI und Regulierung greifen ineinander

Mit dem stufenweise seit Februar 2025 geltenden EU AI Act kommen auf Anbieter und Betreiber von KI-Systemen umfassende Pflichten zu.

Dabei verfolgt der Gesetzgeber einen risikobasierten Ansatz: Je höher das Gefährdungspotenzial eines KI-Systems, desto umfangreicher und strenger fallen die Anforderungen an Risikomanagement, Cybersicherheit, Dokumentations- und Transparenzpflichten aus.

Für Unternehmen bedeutet das: Sie müssen den Überblick über eingesetzte KI behalten, Risiken frühzeitig erkennen und ihre Prozesse rechtskonform gestalten.

Kostenfreie Expertise im E-Mail-Postfach

Alle wichtigen Neuigkeiten zu Datenschutz, Informationssicherheit, KI und Datenstrategien einmal monatlich bequem im E-Mail-Postfach – natürlich kostenlos.

Bitte addieren Sie 1 und 4.

Mit Klick auf den Button stimmen Sie dem Versand unseres Newsletters und der aggregierten Nutzungsanalyse (Öffnungsrate und Linkklicks) zu. Sie können Ihre Einwilligung jederzeit widerrufen, z.B. über den Abmeldelink im Newsletter. Mehr Informationen: Datenschutzerklärung.

Die 5 Schritte zum rechtssicheren KI-Einsatz

Mit diesen fünf Schritten schaffen Sie eine strukturierte Grundlage für eine rechtssichere und verantwortungsvolle Nutzung von Künstlicher Intelligenz in Ihrem Unternehmen:

1. AI Management etablieren

AI Management ist die Gesamtheit der Regeln, Prozesse und Strukturen, die die Entwicklung, den Einsatz bzw. die Überwachung von KI in einer Organisation steuern. Dazu zählen die Festlegung von Verantwortlichkeiten und Prozessen innerhalb des Unternehmens sowie die Erstellung und Implementierung von Leit- und Richtlinien zum Einsatz von KI.

Soweit bereits ein Datenschutzmanagementsystem (DSMS) und/oder Informationssicherheitsmanagementsystem (ISMS) bestehen, empfiehlt es sich, das AI-Managementsystem (AIMS) integriert darin aufzubauen, um Synergien zu nutzen, Aufwand zu reduzieren und eine einheitliche Steuerung von Risiken und Compliance-Anforderungen sicherzustellen.

Die neue Norm ISO/IEC 42001 für KI-Managementsysteme folgt insoweit ebenfalls dem gleichen Grundaufbau wie die etablierten Normen ISO/IEC 27001 (Informationssicherheit) und ISO/IEC 27701 (Datenschutz).

2. Risikoklassifizierung durchführen

Zunächst hat für jede KI-Anwendung eine Risikoklassifizierung zu erfolgen.

Dabei sind folgende Risikoklassen zu unterscheiden:

  • KI-System mit inakzeptablem Risiko
  • KI-System mit hohem Risiko
  • KI-System mit systemischem oder mittlerem Risiko
  • KI-System mit geringem Risiko

Zudem ist die Rolle des Unternehmens (z. B. Anbieter oder Betreiber) zu bestimmen. Die richtige Einstufung der Risikoklasse und Rolle ist entscheidend dafür, welche konkreten Pflichten und Verantwortlichkeiten nach dem AI Act bestehen.

3. Dokumentation von Assets und Use-Cases

Unternehmen sollten alle relevanten Informationen zu den eingesetzten KI-Anwendungen dokumentieren. Hierdurch können nicht nur technische Dokumentationspflichten erfüllt, sondern auch Risikoprüfungen, etwa Datenschutzfolgenabschätzungen (DSFA), wesentlich erleichtert werden.

Die Dokumentation kann erfolgen in:

  • Asset-Verzeichnissen , in denen KI-Anwendungen anwendungsbasiert erfasst werden
  • Use-Case-Dokumentationen , in denen die konkreten Anwendungsfälle der KI in Anlehnung an das aus dem Datenschutz bekannte Verzeichnis von Verarbeitungstätigkeiten erfasst werden

4. Risikomanagement etablieren

Für Hochrisiko-KI ist ein Risikomanagementsystem nach Art. 9 KI-VO verpflichtend. Doch auch für alle anderen KI-Systeme ist es dringend zu empfehlen – insbesondere bei KI-Systemen, die auf intransparenten (sogenannten "Black-Box") Modellen basieren.

Ein zentraler Bestandteil des Risikomanagements ist eine Risikoprüfung des konkreten KI-Systems.

Diese erfolgt in drei Schritten:

  • Identifikation von Risiken
  • Bewertung der Risiken
  • gegebenenfalls Umsetzung risikomindernder Maßnahmen

Diese Vorgehensweise orientiert sich an der Methodik der DSFA und kann, sofern durch die KI-Anwendung personenbezogene Daten verarbeitet werden, mit dieser kombiniert oder in sie integriert werden.

5. Transparenzanforderungen umsetzen

Sowohl als Anbieter als auch Betreiber eines KI-Systems müssen Sie verschiedenen Transparenzpflichten nach dem AI Act und der DSGVO nachkommen.

Diese Pflichten reichen von der Informationspflicht über den Einsatz und die Verarbeitung von personenbezogenen Daten, über die Offenlegungs- und Kennzeichnungspflicht von KI-generierten Inhalten (z. B. bei Texten, Bildern oder Entscheidungen), bis hin zur Bereitstellung von Gebrauchsanweisungen, die eine sachgerechte und sichere Nutzung des KI-Systems ermöglichen sollen.

Tipp: AI-Officer als zentrale Steuerungsrolle für KI im Unternehmen

Die Benennung eines AI-Officers bzw. KI-Beauftragten als zentrale Funktion ist rechtlich nicht verpflichtend, stellt jedoch eine zu empfehlende strategische Maßnahme dar, um die AI-Governance im Unternehmen zu etablieren.

Geeignet sind Abteilungen und Personen, die Erfahrung und Wissen bei der Operationalisierung rechtlicher Anforderungen in der Unternehmenspraxis haben.

Zu den zentralen Aufgaben des AI-Officers zählen unter anderem die Strategieentwicklung, Erstellung und Umsetzung von Leit- und Richtlinien, Projektplanung und -steuerung, interne Koordination regulatorischer Herausforderungen, Durchführung von Schulungen zur AI Literacy sowie die Kommunikation mit Behörden und externen Stakeholdern.

Unsere Leistungen: So unterstützen wir Sie beim rechtskonformen KI-Einsatz

Als spezialisierte Unternehmensberatung für KI-Compliance begleiten wir Sie umfassend bei der Umsetzung Ihrer AI Governance:

  • Stellung des externen KI-Beauftragten
  • Beratung zum Einsatz von KI-Anwendungen
  • Data & AI Governance
  • Schulung zu KI und Datenschutz
  • ISO 42001-Zertifizierung

Sprechen Sie uns an – gemeinsam machen wir Ihre KI-Strategie zukunfts- und compliance-sicher.

KI nutzen, aber richtig?

Wir machen Ihre Projekte rechtssicher, innovationsfreundlich und skalierbar.

Lassen Sie uns sprechen – unverbindlich und auf den Punkt.

Jetzt Erstgespräch vereinbaren

Zurück zur Newsübersicht

Weitere Neuigkeiten

08.01.2026

Müssen die neuen LEGO Smart Bricks den Cyber Resilience Act erfüllen?

LEGO sorgt aktuell für viel Aufmerksamkeit: Mit den neuen Smart Bricks verschmelzen klassische Bausteine mit digitaler Technik. Doch was auf den ersten Blick nach Spielspaß aussieht, wirft bei genauerem Hinsehen eine spannende regulatorische Frage auf: Fallen die Smart Bricks in den Anwendungsbereich des Cyber Resilience Act (CRA)?

Weiterlesen …

09.12.2025

Die 10 wichtigsten Fragen zur Datenstrategie

Daten sind (oder sollten) für jedes Unternehmen die wichtigste Grundlage für Geschäftsentscheidungen sein. Egal, ob im Marketing, Finanzen, Produktentwicklung oder HR – handfeste Zahlen und Fakten führen zu besseren Ergebnissen. Dafür müssen die Daten aber auch strukturiert und zugänglich sein. Das geht nur mit einer durchdachten Datenstrategie. Wir haben einmal die 10 wichtigsten Fragen zu diesem Thema für Sie zusammengefasst.

Weiterlesen …

08.12.2025

NIS2-Umsetzungsgesetz ist in Kraft getreten

Am 5. Dezember 2025 wurde das Gesetz zur Umsetzung der NIS-2-Richtlinie im Bundesgesetzblatt verkündet – und trat damit am 6. Dezember 2025 in Kraft. Damit beginnt eine umfassende Modernisierung des deutschen Cybersicherheitsrechts mit spürbar höheren Anforderungen an Unternehmen und öffentliche Einrichtungen.

Weiterlesen …