_ Seit dem 2. Februar 2025 gelten erste verpflichtende Maßnahmen für Anbieter und Betreiber von KI-Systemen. Besonders hervorzuheben sind folgende Punkte:
- Verbot bestimmter risikoreicher KI-Praktiken
- Verpflichtende Schulungen für Mitarbeitende im Umgang mit KI
- Erweiterte Rechenschaftspflichten
Die vollständige Verordnung tritt am 2. August 2026 in Kraft.
Neue Anforderungen neben der DSGVO
Die DSGVO bleibt weiterhin der maßgebliche Rahmen für den Schutz personenbezogener Daten. Die KI-VO ergänzt diese Vorschriften, insbesondere bei Anwendungen mit hohem Risiko. Typische Herausforderungen:
- Automatisierte Entscheidungen bei Bewerbungen oder Kreditvergaben können zu unzulässigen Profilbildungen führen.
- Datenweitergabe an Dritte ohne klare Herkunftsprüfung birgt rechtliche Risiken.
- Fehlende Transparenz bei Black-Box-Modellen erschwert die Nachvollziehbarkeit von Entscheidungen.
- Zugriff auf vertrauliche Daten durch ungeschultes Personal kann Sicherheit gefährden.
Unternehmen müssen sicherstellen, dass alle relevanten Mitarbeitenden ausreichend geschult sind. Dazu zählen:
- Entwickler und Techniker, die KI-Systeme erstellen oder anpassen.
- Anwender im Kundenservice, Marketing oder Vertrieb.
- Führungskräfte, die KI-basierte Analysen in Entscheidungen einbeziehen.
Eine strukturierte Schulung ist nicht nur eine gesetzliche Pflicht, sondern auch ein strategischer Vorteil.
Welche KIs sind betroffen?
Die KI-VO betrifft eine Vielzahl von Anwendungen – auch solche, die bereits heute im Alltag vieler Betriebe zum Einsatz kommen: Chatbots & Sprachassistenten (z. B. für Kundenanfragen), automatisierte Entscheidungssysteme (z. B. Bewerberauswahl), Bilderkennungssysteme (z. B. für Qualitätskontrolle), Predictive Analytics & Empfehlungssysteme (z. B. in der Vertriebssteuerung), Spracherkennung & Transkription (z.B. Sprachassistenten).
Handlungsempfehlungen
Unternehmen sollten sich auf vier zentrale Maßnahmen konzentrieren:
- Schulungen: Alle, die mit KI arbeiten, müssen über Risiken Bescheid wissen.
- Eine Risikoanalyse identifiziert Datenschutzgefahren und ermöglicht Gegenmaßnahmen.
- Datenschutz-Folgenabschätzung (DPIA): Verpflichtend, wenn KI-Systeme personenbezogene Daten verarbeiten.
- Technische & organisatorische Maßnahmen (TOMs): Datenschutz durch Technikgestaltung (Privacy by Design & Default), Datenminimierung, Verschlüsselung und klare Zugriffsregelungen sind Pflicht.
- Überprüfung der Auftragsverarbeitung (AVV): Falls KI Anwendungen von externen Dienstleistern genutzt werden, müssen Verträge zur Auftragsverarbeitung geprüft und gegebenenfalls aktualisiert werden.
Die KI-VO ist kein Zukunftsthema mehr. Wer frühzeitig handelt, verringert rechtliche Risiken und stärkt gleichzeitig das Vertrauen von Kunden, Partnern und Mitarbeitenden. Die SMK Group unterstützt Unternehmen – gemeinsam mit ihrem Partner GDPC GbR – bei der Entwicklung und Umsetzung individueller Schulungskonzepte.
Ausführlichere Informationen finden Sie im Insight (smk-group.de/insight/ki-verordnung-2025/) der SMK Group.
Der Autor
Foto: SMK Versicherungsmakler AG
