Was ich nach 50 KI-Compliance-Gesprächen weiß

Inhalt
    Fügen Sie eine Überschrift hinzu, um mit der Erstellung des Inhaltsverzeichnisses zu beginnen

    Was ich nach 50 KI-Compliance-Gesprächen weiß

    Irgendwann beginnen sich Gespräche zu wiederholen. Nicht im schlechten Sinn – sondern weil Muster sichtbar werden, die in Einzelgesprächen unsichtbar sind.

    Nach mehreren Dutzend KI-Compliance-Gesprächen mit Unternehmen verschiedener Branchen und Größen kann ich sagen: Die Varianz ist geringer als ich erwartet hätte. Dieselben Fehlannahmen, dieselben Lücken, dieselbe Reihenfolge der Erkenntnis.

    Das ist kein Vorwurf. Es ist ein Muster, das sich erklären lässt.


    Muster 1: Das Inventar existiert nicht

    Wenn ich frage „Welche KI-Systeme nutzt ihr?“, bekomme ich selten eine vollständige Antwort in der ersten Runde.

    Typischerweise nennt jemand zwei, drei offensichtliche Anwendungen – GPT-Nutzung im Marketing, ein Übersetzungstool, vielleicht eine KI-Funktion in der CRM-Software. Dann, nach einigen Nachfragen, kommen mehr: Das Plugin in der Textverarbeitung. Die Bilderkennung im Wareneingang. Der automatische E-Mail-Sortierer, den die IT-Abteilung vor acht Monaten eingeführt hat.

    Das Inventar entsteht erst im Gespräch. Es existiert vorher oft nicht schriftlich.

    Das ist das erste Problem – denn alles andere (Risikoklassifizierung, DSGVO-Konformität, EU AI Act Compliance) setzt ein vollständiges Inventar voraus.


    Muster 2: „Wir haben ja keinen Hochrisiko-Einsatz“

    Das höre ich oft. Meistens stimmt es. Manchmal stimmt es nicht.

    Der häufigste Grenzfall: Systeme, die Personalentscheidungen unterstützen. Wenn ein KI-Tool CVs bewertet, Kandidaten vorschlägt oder Performance-Scores berechnet, ist das nach EU AI Act Annex III Bereich 4 potenziell Hochrisiko. Nicht wegen der Technologie – sondern wegen des Einsatzbereichs.

    Viele Unternehmen wissen nicht, dass ihre HR-Software bereits KI-Funktionen enthält. Und noch weniger wissen, dass das Annex-III-relevanz haben könnte.

    Das zweite häufige Beispiel: Kredit- oder Bonitätsbewertung, auch wenn das Wort „Kredit“ im internen System nicht vorkommt. Wer automatisch bewertet, ob Kunden Ratenzahlung bekommen, kann Annex III Bereich 5 streifen.


    Muster 3: Der Cloud Act ist kein Begriff

    Die Frage nach US-amerikanischen KI-Diensten führt fast immer zu: „Wir haben einen deutschen Server gewählt.“

    Dass der US Cloud Act für US-Unternehmen gilt – unabhängig vom Serverstandort – ist in der Mehrheit der Gespräche neu. Das ist verständlich: Das Gesetz hat keinen deutschen Namen, keine Berichterstattung in der Wirtschaftspresse, keine offensichtliche Relevanz für Unternehmen ohne US-Verbindung.

    Aber: Wer OpenAI, Microsoft Azure, Google Gemini oder AWS nutzt, ist US-Cloud-Kunde. Und damit ist der Cloud Act keine abstrakte Bedrohung – er ist ein strukturelles Merkmal des Vertragsverhältnisses.


    Muster 4: Die KI-Richtlinie ist ein Dokument, kein Prozess

    Einige Unternehmen haben eine schriftliche KI-Richtlinie. Meistens ist das ein Erfolg – es zeigt, dass das Thema ernst genommen wird.

    Aber: Ob die Richtlinie bekannt ist, ob sie gelebt wird, ob sie einen Freigabeprozess enthält – das ist eine andere Frage. Typische Lücken:

    Kein Freigabeprozess. Die Richtlinie sagt, welche Tools erlaubt sind – aber wie wird ein neues Tool freigegeben? Wer entscheidet? In welchem Zeitraum? Wenn dieser Prozess fehlt, entscheiden Mitarbeiter selbst. So entsteht Shadow KI.

    Keine Kommunikation. Die Richtlinie wurde erstellt, aber nie aktiv kommuniziert. Sie liegt irgendwo im Intranet. Wer sie kennt, ist Zufall.

    Keine Revision. Eine KI-Richtlinie von 2023 enthält nicht die Tools von 2025. Ohne regelmäßige Revision veraltet sie still.


    Muster 5: Shadow KI ist strukturell, nicht individuell

    Wenn ich frage „Nutzen eure Mitarbeiter nicht-freigegebene KI-Tools?“, kommt oft: „Ich hoffe nicht“ oder „Wir haben das verboten.“

    Verbot und Umsetzung sind nicht dasselbe. In fast allen Unternehmen, die ich befragt habe, gibt es nicht-freigegebene KI-Nutzung. Nicht weil die Mitarbeiter böswillig sind – sondern weil die freigegebenen Tools die Aufgabe nicht lösen oder die Freigabe zu langsam ist.

    Shadow KI ist kein Disziplinproblem. Es ist ein Prozessdesign-Problem.

    Wenn der Freigabeprozess zwei Wochen dauert und die Aufgabe morgen fertig sein muss – nutzt der Mitarbeiter das naheliegende Tool. Das ist rational. Die Compliance-Konsequenzen trägt das Unternehmen.


    Muster 6: Der EU AI Act wird verwaltet, nicht verstanden

    Die meisten Unternehmen haben „gehört, dass da etwas kommt.“ Einige haben bereits Maßnahmen ergriffen. Wenige haben verstanden, was konkret auf sie zutrifft.

    Das liegt an der Komplexität der Verordnung – Annex III hat acht Bereiche, die Risiko-Klassifizierung ist mehrstufig, und die Unterscheidung zwischen Anbieter und Betreiber ist nicht intuitiv.

    Das häufigste Missverständnis: „Wir entwickeln keine KI, also betrifft uns das nicht.“ Aber Betreiber – also Unternehmen, die KI einsetzen – haben eigene Pflichten. Human Oversight, Logging, Transparenz gegenüber Betroffenen. Das gilt unabhängig davon, ob man selbst entwickelt.


    Was sich daraus ableiten lässt

    Diese Muster sind keine Kritik. Sie sind ein Bild davon, wo Unternehmen heute stehen – bei einem Thema, das sich in kurzer Zeit von „interessant“ zu „regulatorisch relevant“ entwickelt hat.

    Wer die Lücken kennt, kann sie schließen. Die meisten davon sind keine technischen Probleme – sie sind Organisations- und Prozessprobleme. Kein Inventar haben ist kein technisches Problem. Keinen Freigabeprozess haben ist kein technisches Problem. Keine Richtlinie kommuniziert zu haben ist kein technisches Problem.

    Das ist eigentlich eine gute Nachricht.


    Weitere Ressourcen

    Wenn du wissen willst, wo du selbst stehst:

    KI-Compliance Self-Assessment (8 Fragen) – brain-maze.de

    Wenn du Shadow KI konkret angehen willst:

    Shadow KI im Unternehmen: Risiken, Erkennung und Gegenmaßnahmen

    Wenn du die Struktur einer KI-Richtlinie verstehen willst:

    KI-Richtlinie Pflichtinhalte – brain-maze.de

    Und wenn du das strukturiert und mit Festpreis angehen willst:

    KI-Compliance Audit – brain-maze.de

    Bild von Ingo Janßen

    Ingo Janßen

    Nicht einfach nur programmieren. Probleme lösen und Aufgaben automatisieren!

    Das könnte dich auch interessieren

    Nach oben scrollen