KI-Compliance – ein neues Buzzword der Compliance-Community oder ein ernst zu nehmendes Thema für unsere Kunden* im Mittelstand und der öffentlichen Hand? Nun, die Antwort lautet „sowohl als auch“.

KI-Compliance ist (noch) nicht mit Feldern wie dem Datenschutz vergleichbar, was die alltäglichen Verpflichtungen angeht. Aber: Die Grundlage von KI-Compliance, die neue KI-Verordnung, bringt strenge Pflichten für Anbieter und Betreiber von KI-Systemen.

Unternehmen, die KI wie ChatGPT oder Microsoft-Tools mit KI-Funktionen nutzen, müssen Risiken minimieren, Datenschutz einhalten und Mitarbeitende schulen, um Innovation und Rechtskonformität zu sichern.

Es ist zu erwarten, dass künftig alle verfügbaren Anwendungen im IT-Sektor KI-Funktionen und -Prozesse enthalten werden, dies nicht zuletzt um wettbewerbsfähig zu bleiben. Dieser Umstand erfordert umfassende Kenntnisse und Prüfungen, um die Anforderungen des EU AI Act zu erfüllen und die Compliance sicherzustellen.

I. Wichtigste rechtliche Anforderungen

1. Wer gilt als „Betreiber“ von KI-Systemen?

Betreiber sind Unternehmen oder Organisationen, die KI-Systeme nutzen, bereitstellen oder in eigene Produkte integrieren. Dazu zählen:

  • Unternehmen, die KI-Plattformen wie Microsoft verwenden: Dazu zählen Nutzer von Microsoft-Diensten (z. B. Copilot in Office 365), die durch Zusatzprogramme KI-Funktionen in ihre Arbeitsabläufe integrieren.
  • Unternehmen, die KI-Anwendungen verwenden: z. B. der Einsatz eines KI-Chatbots wie ChatGPT im Kundenservice oder in der internen Kommunikation.
  • Unternehmen, die KI-Systeme anpassen: z. B. Finetuning von Modellen für spezifische Anforderungen.
  • Firmen, die KI-Lösungen in Produkte integrieren: z. B. Implementierung eines KI-Tools in eine App oder Unternehmenssoftware.
  • Dienstleister: z. B. IT-Firmen, die KI-basierte Anwendungen für Kunden bereitstellen.

Wichtig: Auch Unternehmen, die keine eigenen KI-Modelle entwickeln, sondern lediglich KI-gestützte Dienste nutzen, gelten unter Umständen als Betreiber und müssen die gesetzlichen Anforderungen erfüllen.

2. Best Practices für KI-Compliance

Wir starten bei unseren Mandanten stets mit einer Bestandsaufnahme der aktuell genutzten KI-Anwendungen. Diese Bestandsaufnahme beinhaltet sämtliche Arbeitsabläufe, von Recht, IT über HR zu Einkauf. Die unterschiedlichen Bereiche sollten – mit unserer Unterstützung – ein zentrales Verzeichnis zu den in der Organisation genutzten KI-Anwendungen zusammentragen.

3. Tabelle: To-do-Liste für KI-Compliance

Aufgabe Details Frist
Bestandsaufnahme
Risikoanalyse durchführen
Einführung KI-Verarbeitungsverzeichnis. Alle KI-Anwendungen bewertenSofort
Richtlinien entwickelnBasis- und Bereichsrichtlinien erstellenQ1/2025
Mitarbeiterschulungen organisieren Grundlagen- und SpezialschulungenAb 02/2025
Datenschutz prüfenEinwilligungen und Datennutzung überprüfen Laufend
Betriebsrat einbindenFrühzeitige AbstimmungFortlaufend
VertragsprüfungKI-Verträge auf rechtliche Fallstricke prüfenAb sofort
KI-Governance etablierenRollen und Reporting-Pflichten definierenBis Q2/2025

II. Fazit

Wir alle müssen uns mit KI-Compliance auseinandersetzen. Unsere Strategie bei Compliance Rechtsanwälte für Rechtssicherheit bei uns selbst und unseren Mandanten zielt darauf ab, mit vernünftigem Einsatz das Notwendige zu tun, um keine Risiken einzugehen. Wir behalten die Entwicklungen natürlich im Blick und informieren über Neuerungen.

Angebot: Kostenfreies Gespräch mit unseren Experten

Sie haben allgemeine oder konkrete Fragen zur KI-Compliance und ob und wie Ihr Unternehmen betroffen ist? Wir beraten bereits mehr als 350 Unternehmen und öffentliche Einrichtungen und helfen Ihnen gerne bei der erfolgreichen Umsetzung in Ihrem Unternehmen.

Kontakt

Sprechen Sie mit unseren Experten – unverbindlich und kostenlos.

E-Mail: info@compliancerechtsanwaelte.de
Telefon: 089 2152 7445

Unsere Experten

Autoren dieses Artikels: RA Dr. Maximilian Degenhart, Geschäftsführer der Compliance Beratung + Service Rechtsanwaltsgesellschaft mbH.

RA Markus Meurer, Rechtsanwalt

Compliance Rechtsanwälte ist eine Spezialkanzlei für Compliance, die in den Kernbereichen Compliance-Organisation, KI-Compliance, Datenschutz, ESG, Geldwäsche, IT-Recht, Strafrecht, Hinweisgebersystemen, Lieferketten und Schulungen tätig ist. Das Team von Compliance Rechtsanwälte berät eine breite Vielfalt an Mandanten. Dazu gehören aufstrebende mittelständische Unternehmen genauso wie die öffentliche Hand und Konzerne. Compliance Rechtsanwälte ist eine der führenden Adressen für Compliance in Deutschland.

* Zur besseren Lesbarkeit verzichten wir auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d). Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.