Die EU KI-Verordnung (AI Act) gilt ab August 2026 vollständig, doch mittelständische Unternehmen in Deutschland sollten sich schon jetzt vorbereiten. Denn die neuen Regeln betreffen nicht nur große Konzerne, sondern auch Betriebe, die KI in Personalprozessen, Produktion, Vertrieb oder im Kundenservice einsetzen.

Zentrales Element der Verordnung ist die Einstufung von KI-Anwendungen in Risikoklassen. Für hochriskante Systeme, etwas in der Bewerberauswahl oder bei Finanzentscheidungen, gelten strenge Anforderungen:
Risikomanagement, transparente Dokumentation, Qualitätskontrollen und kontinuierliche Überwachung.

Für den Mittelstand bedeutet das: Eine interne KI-Leitlinie wird unverzichtbar. Darin sollten nicht nur Verantwortlichkeiten und Prozesse für den KI-Einsatz festgelegt werden, sondern auch klare Vorgaben zum Datenschutz:

• Rechtsgrundlagen: Jede KI-Anwendung muss DSGVO-konform sein, insbesondere wenn personenbezogene Daten verarbeitet werden.
• Datensparsamkeit und Zweckbindung: Nur Daten verarbeiten, die wirklich erforderlich sind.
• Transparenzpflichten: Mitarbeiter und Kunden müssen nachvollziehen können, wie ihre Daten in KI-Systemen genutzt werden.
• Datenschutz-Folgeabschätzung (DSFA): Bei hochriskanten Anwendungen Pflicht, um Risiken für Betroffene zu bewerten und abzusichern.
• Technische und organisatorische Maßnahmen: Zugriffskontrollen, Pseudonymisierung und Privacy by Design sollten verbindlich verankert werden.

Eine gut strukturierte KI-Leitlinie verbindet also die Vorgaben des AI Act mit den bestehenden Datenschutzpflichten. So entsteht ein Rahmen, der Rechtssicherheit schafft, die Compliance stärkt und Vertrauen bei Mitarbeitern und Kunden fördert.

Der nächste Schritt für Unternehmen: Bestandsaufnahme der eingesetzten KI, Bewertung der datenschutzrechtlichen Risiken und Aufbau einer Leitlinie, die KI- und Datenschutzvorgaben integriert.

Bei weitergehenden Fragen helfen wir Ihnen jederzeit gerne weiter, bitte senden Sie eine kurze E-Mail an datenschutz@dsb-ms.de.

Ihr DSB Münster Team