KI rechtskonform betreiben – EU AI Act, NIS2 und ISO 27001

Was jetzt wirklich zu tun ist – kompakt für Geschäftsführung, IT‑Leitung und Datenschutz

KI zahlt nur ein, wenn Governance, Sicherheit und Nachweisführung sitzen. 2025/26 verschärfen EU AI Act und NIS2 die Management‑Pflichten; DSGVO und ISO 27001 liefern das Grundgerüst. Dieser Artikel fasst das Entscheidungsrelevante auf Managementebene zusammen und schließt mit einem 6‑Monats‑Fahrplan als Checkliste am Beispiel einer Microsoft 365 Umgebung.

Warum jetzt?

  • Regulatorischer Takt: Der EU AI Act bringt risikobasierte Pflichten, NIS2 fordert systematisches Risikomanagement und Meldewege.
  • Geschäftlicher Druck: Produktivitätspotenziale sind real – aber ohne Leitplanken drohen Datenabfluss, Fehlentscheidungen und Rechtsrisiken.
  • Haftung & Reputation: Die Geschäftsführung bleibt in der Verantwortung; „wir nutzen halt ein Tool“ schützt nicht.

Was das Management wissen muss

  1. Risikoklassen statt One‑Size‑Fits‑All: Je kritischer der Anwendungsfall, desto strenger die Anforderungen (Datenqualität, Logging, Human Oversight).
  2. Dokumentation ist Pflicht, nicht Kür: Policies, Freigaben, Protokolle, Schulungen – ohne Nachweis entstehen rechtliche Risiken.
  3. Lieferkette entscheidet mit: Standort der Verarbeitung, Trainingsnutzung von Kundendaten, Modell‑Updates, Haftung – vertraglich regeln.
  4. Datenschutz bleibt Leitplanke: Rechtsgrundlagen, Datenminimierung, Betroffenenrechte, Datenschutzfolgeabschätzung bei hohem Risiko notwendig.
  5. Sicherheitsniveau messbar steuern: ISO 27001‑Kontrollen, Datenschutz‑Hardening, Rezertifizierungen und klare KPIs.

Governance by Design – der pragmatische Ansatz

  • Klare Rollen schaffen Verbindlichkeit: Data Owner (Inhalt), KI‑Product Owner (Use Cases), ISB/DSB (Risikoprüfung), IT Security (Kontrollen), Legal/Einkauf (Verträge).
  • Schlanke Artefakte für den schnellen Überblick: KI‑Policy (1–2 Seiten), Use‑Case‑Katalog, Risikomatrix, Label‑Schema, Kontroll‑Set, Protokollierung.
  • Einheitlicher Prozess auf allen Ebenen: Intake → Risiko/DSGVO‑Prüfung → Genehmigung → Umsetzung → Monitoring → Review.
  • Unabhängig der eingesetzten Tools: mit bestehender Infrastruktur (am Beispiel M365) als Backbone für Dokumente, Freigaben, DLP (Data-Loss-Prevention) und Audit‑Logs – Speziallösungen nur, wo nötig.

Wo Projekte kippen

  • Unklassifizierte Daten: „Public by default“ in SharePoint/Teams, dem Fileshare oder ähnliches.
  • Berechtigungswildwuchs: Kein Owner‑Review, keine Rezertifizierung.
  • Prompt‑Leaks: Vertrauliches landet in nicht freigegebenen Modellen.
  • Protokoll‑Lücken: KI‑Nutzung nicht nachvollziehbar.
  • Lieferanten‑Blindflug: Unklare Datenresidenz/Haftung, fehlende Exit‑Strategie.

Was nach 6 Monaten vorzeigbar sein muss

  • Freigegebene, dokumentierte Use Cases mit Risikoeinstufung und Human‑Oversight‑Regeln.
  • Aktive Kontrollen (DLP, Labels, Audit‑Log) – mit Stichproben‑Nachweisen.
  • Vertraglich geregelte Lieferkette (AV/SLA/Model‑Lifecycle).
  • KPI‑Dashboard für Management‑Steuerung.
  • Internes Audit & Management‑Review mit klaren Folgeentscheidungen.

6‑Monats‑Fahrplan als Checkliste

Monat 1 – Leitplanken setzen

  • KI‑Policy (1-2 Seiten) verabschieden
  • Use‑Case‑Inventur & Risikoprofil je Anwendungsfall
  • Datenklassifizierung aktualisieren, Sensitivity‑Labels definieren

Monat 2 – Basiskontrollen aktivieren

  • Microsoft 365‑Hardening: DLP‑Baseline, Audit‑Log, eDiscovery, Gastzugriff‑Policy, MFA/PIM
  • Owner‑Review & Rezertifizierung für kritische Bereiche
  • Zentrales KI‑Nutzungslog starten (wer/wann/wofür)

Monat 3 – Lieferkette absichern

  • Anbieter/Modelle prüfen: Datenresidenz, Training auf Kundendaten, Löschkonzepte, Updates
  • AV‑Verträge und SLA ergänzen; Exit‑Plan festlegen
  • Prozess für Modell‑Versionierung/Change dokumentieren

Monat 4 – kontrollierte Pilotversuche

  • 2–3 priorisierte Use Cases freigeben (mit Erfolgskriterien)
  • Human‑in‑the‑Loop und Vier‑Augen‑Prinzip definieren
  • Zielgruppenspezifische Schulungen durchführen

Monat 5 – Wirksamkeit zeigen

  • KPI‑Reporting live (siehe unten), CAPA bei Abweichungen
  • Automatisierungen: Owner‑Reviews, Site‑Lifecycle, Label‑Erzwingung
  • Audit‑Probenachweise erzeugen

Monat 6 – Audit‑Readiness und Skalierung

  • Internes Audit gegen Policy & Kontrollen
  • Management‑Review: Reifegrad, Risiken, Roadmap und Budget
  • Go/No‑Go für breitere Ausrollung

KPIs, die auf das Management‑Dashboard gehören

  • Time‑to‑Approval: Ø Tage vom Antrag bis Freigabe
  • Policy‑Violations/Monat: DLP, Label‑Pflicht, Gastzugriffe
  • Rezertifizierungs‑Quote: % Bereiche mit aktuellem Owner‑Review
  • Sensitive Docs ohne Label: % in definierten Bereichen
  • Audit‑Findings/Release: Anzahl & Schweregrade

Weiterführende Quellen (Auswahl)

  • EU Artificial Intelligence Act (Risikobasierter Ansatz, Transparenz‑ und Nachweispflichten)
  • Richtlinie (EU) 2022/2555 – NIS2 (Risikomanagement, Meldepflichten, Management‑Verantwortung)
  • DSGVO (Art. 5, 6, 25; DPIA nach Art. 35)
  • ISO/IEC 27001:2022 & ISO/IEC 27002:2022 (Informationssicherheits‑Management & Kontrollen)
  • ISO 9001:2015 (Prozessorientierung, Wirksamkeitsnachweise)
  • ISO 14001:2015 (Umweltaspekte; Energie/CO₂ von Workloads als Kennzahl)

Fazit

Führen Sie KI wie jedes geschäftskritische System: klar geregelt, nachweisbar, skalierbar. Starten Sie klein, aber belastbar – und messen Sie den Fortschritt. So bleibt der Nutzen im Fokus und die Risiken im Griff.

Der Bereich Datenschutz ist auch hier unerlässlich und bietet gleichzeitig einen guten Orientierungspunkt, wie ein KI System dokumentiert und kontrolliert werden sollte. So lässt sich die Performance der KI nutzen, ohne geschäftliche Risiken außer acht zu lassen oder die persönliche Haftung als Geschäftsführer zu riskieren.

Sprechen Sie uns an: Quick‑Scan (30 Min), IMS‑Blueprint, 90‑Tage‑Governance‑Kickstart – jeweils mit messbaren Ergebnissen nach vier Wochen.

(Beitrag und Bild wurden mit Unterstützung von KI erstellt)