Compliance-Herausforderungen werden konkret
Künstliche Intelligenz transformiert Geschäftsprozesse branchenübergreifend und steigert Effizienz. Gleichzeitig entstehen rechtliche Risiken. Mit der vollständigen Anwendung des EU AI Act ab August 2026 müssen Unternehmen neue komplexe Compliance-Anforderungen erfüllen.
Der am 1. August 2024 in Kraft getretene EU AI Act bildet zusammen mit der DSGVO, dem Data Act und nationalen Datenschutzgesetzen das regulatorische Fundament für einen rechtskonformen KI-Einsatz in Europa. Für Compliance-Verantwortliche bedeutet dies eine neue Dimension: Sie müssen KI-Systeme nicht nur überwachen, sondern aktiv bei deren rechtskonformer Gestaltung mitwirken.
Umsetzungszeitrahmen: Seit 2025 müssen bestimmte KI-Praktiken EU-weit eingehalten werden, sowie bestimmte Governance Regeln, Sanktionen und Verpflichtung für Foundation-Modelle. Ab August 2026 müssen alle Vorgaben angewendet werden, sofern nicht anders angegeben. Einige Hochrisiko-Systeme, die bereits anderen EU-Regeln unterworfen sind, bekommen bis August 2027 Zeit.
Definition und Risikoklassen
Die KI-Verordnung definiert KI-Systeme als maschinengestützte Systeme mit drei Kernmerkmalen:
- Autonome Entscheidungsfindung
- Anpassungsfähigkeit nach der Inbetriebnahme
- Inferenz – das Ableiten von Ergebnissen aus Eingaben
Abgrenzung zu klassischer Software: KI-Systeme können aus Daten lernen und sich selbst adaptieren, während klassische Software regelbasierte, statische Anweisungen ausführt.
Ein KI-System ist eine Hochrisiko-KI, die (1) ein eigenständiges Produkt oder eine Sicherheitskomponente von Produkten ist, die unter die Rechtsvorschriften aus Anhang I fallen (z. B. Fahrzeuge, Medizinprodukte) oder (2) die in sensiblen Bereichen wie kritischer Infrastrukturen, Bildung oder biometrische Identifizierung eingesetzt wird (Anhang III). Bevor ein solches Produkt auf den Markt eingeführt werden darf, muss eine Konformitätsbewertung durch Dritte erfolgen.
Kernpflichten: Hieraus leiten sich u.a erforderliche Maßnahmen ab wie Dokumentation, Transparenz, Human-in-the-loop, Privacy by Design und eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO.
Unternehmen sind verpflichtet, sämtliche KI-Anwendungen systematisch zu inventarisieren, deren Risikoklasse zu bestimmen und bereits im Entwicklungsprozess Datenschutz, Fairness und Sicherheit technisch wie organisatorisch zu verankern. Im Unterschied zu klassischer Software sind KI-Systeme lern- und anpassungsfähig, weshalb Bestimmungen für Datenqualität und Nachvollziehbarkeit eine zentrale Rolle spielen.
DSGVO und AI-Act – doppelte Compliance
KI-Systeme müssen zugleich DSGVO- und AI Act-Anforderungen erfüllen. Der datenschutzkonforme Umgang mit Trainings- und Anwendungsdaten ist einzelfallbezogen zu prüfen. Insbesondere bei sensiblen Daten oder Profiling bestehen hohe Hürden. Betroffenenrechte, Transparenz und praktikable Löschkonzepte sind zentrale Aufgaben, vor allem bei großen Datenmengen und Data Lakes.
ACHTUNG! Neu ist Art. 57: KI kann in regulatorischen Sandboxes getestet werden, bevor sie in die Praxis übergeht.
Ethische Leitplanken und CDR
Rechtskonformität genügt nicht: Die KI-Verordnung betont ethische Kriterien wie Fairness und Diskriminierungsfreiheit. Unternehmen können diese über Corporate Digital Responsibility (CDR), Dialogformate und interne Leitlinien verankern – ein Wettbewerbsvorteil in sensiblen Bereichen. Für Hochrisiko-KI gilt: menschliche Aufsicht während des gesamten Lebenszyklus ist verpflichtend (Human-in-the-loop).
Praxisherausforderungen
Ist ein KI-System als Hochrisiko-KI-System eingestuft, ist grundsätzlich davon auszugehen, dass nach den Maßstäben der datenschutzrechtlichen Bemessung eine Datenschutz-Folgenabschätzung (DSFA) unerlässlich ist. In diesem Rahmen sollte eine Schwellwertanalyse zur Feststellung der Notwendigkeit einer DSFA durchgeführt werden.
Zusätzlich verlangt die KI-Verordnung eine Grundrechte-Folgenabschätzung (FRIA), die Risiken für Grundrechte frühzeitig adressiert und Minderungsmaßnahmen vorgibt. Diese Bewertung dient dem präventiven Schutz der Grundrechte betroffener Personen und ergänzt die DSFA, stellt also eine eigenständige und zusätzliche Compliance-Anforderung dar. Ziel ist es, potenzielle Risiken für Grundrechte frühzeitig zu erkennen und geeignete Minderungsmaßnahmen umzusetzen, bevor das KI-System in Betrieb genommen wird.
Die entscheidende Leitfrage lautet: KI-Innovation auf Autopilot – aber wie halten Unternehmen das Steuer?
Die Regulierung ist gesetzt, offen bleibt nur, wie gut Unternehmen darauf vorbereitet sind. Wer die Transformation als Chance begreift und Compliance-Strukturen risikobasiert und konsequent aufbaut, macht rechtskonforme KI-Nutzung zum Wettbewerbsvorteil.
Mit Ihnen am Steuer und Protiviti als Co-Pilot wird Compliance nicht zur Pflichtbremse, sondern zum Motor für erfolgreiche KI. Wir navigieren Sie sicher durch den EU-AI-Act und verankern Datenschutz als festen Bestandteil Ihrer Route – damit Sie Kurs auf Innovation und nachhaltigen Geschäftserfolg halten.
Bei Fragen steht Ihnen das Team von Protiviti auf dem Bundeskongress Compliance (06./07. November in Berlin) gern persönlich zur Verfügung.
