Die wichtigsten Aufgaben von KI Governance

KI Governance definiert im Allgemeinen, wie Künstliche Intelligenz (KI) im Unternehmen eingeführt, genutzt, überwacht und weiterentwickelt wird. Sie legt nicht nur fest, welche KI-Systeme (z.B. Google Gemini, ChatGPT, Copilot oder ähnliche LLMs) eingesetzt werden dürfen, auf welchen Daten sie basieren bzw. zugreifen dürfen, wer Entscheidungen freigibt (Stichwort: „Human in the Loop“) und wie Risiken durch den KI-Einsatz bewertet und kontrolliert werden.

Zu den zentralen und wichtigsten Aufgaben der KI Governance gehören beispielsweise

• die Entwicklung verbindlicher KI-Richtlinien,
• die klare Zuordnung von Rollen und Verantwortlichkeiten,
• die Dokumentation von Modellen und Einsatzkontexten sowie
• die Bewertung rechtlicher, ethischer und technischer Risiken.

Darüber hinaus umfasst KI Governance auch die kontinuierliche Überwachung bestehender KI-Anwendungen und KI-Integrationen in Prozesse und Produkte eines Unternehmens und deren Anpassung an neue regulatorische oder organisatorische Anforderungen. Damit ist KIG nicht nur eine Aufgabe der Geschäftsführung oder Unternehmensleitung, sondern auch in Fachabteilungen ein wichtiger und elementarer Teil der Prozesskette.

Kernprinzipien der KI Governance

KI Governance folgt klaren Steuerungsprinzipien, die den verantwortungsvollen Einsatz von KI im Unternehmen sicherstellen. Zentrales Element ist die Verantwortlichkeit: Zuständigkeiten, Entscheidungswege und Kontrollmechanismen müssen eindeutig definiert sein – das ist, wie oben beschrieben, Aufgabe einer klaren KI Governance Richtlinie. Darauf aufbauend sorgt Transparenz (z.B. durch Informations- und Dokumentationsprozesse) dafür, dass der Einsatz, die Funktionsweise und der Zweck von (implementierten) KI-Systemen nachvollziehbar dokumentiert sind.

Ein weiteres Grundprinzip ist der risikobasierte Ansatz, bei dem KI-Anwendungen abhängig von ihrem Einsatzkontext und ihrer potenziellen Wirkung unterschiedlich bewertet und gesteuert werden. Eine gute Orientierung bietet hier bereits das 4-Stufen Risiko-Modell zur Risikobewertung nach EU AI Act. Ergänzend dazu stellt Compliance-by-Design sicher, dass rechtliche und regulatorische Anforderungen bereits bei Einführung und Nutzung von KI berücksichtigt werden. Diese Prinzipien werden nicht statisch verstanden, sondern im Rahmen einer kontinuierlichen Überprüfung regelmäßig angepasst und weiterentwickelt.

Einordnung im Kontext von Governance, Risk und Compliance

In der GRC-Beratung ist KI Governance ein zentrales Bindeglied zwischen Governance, Risk und Compliance. Sie übersetzt regulatorische Anforderungen und interne Leitlinien in konkrete Steuerungs- und Kontrollmechanismen für KI-Systeme.

• Aus Governance-Sicht geht es um strategische Steuerung, Entscheidungsprozesse und unternehmensweite Leitlinien für den KI-Einsatz.
• Aus Risk-Sicht stehen Risiken wie Fehlentscheidungen, Bias, Haftungsfragen, Reputationsschäden oder die Verhinderung von Shadow AI im Fokus.
• Aus Compliance-Sicht stellt KI Governance sicher, dass gesetzliche Vorgaben, insbesondere DSGVO, EU AI Act und angrenzende IT- und Sicherheitsanforderungen, systematisch eingehalten und nachweisbar umgesetzt werden.

KI Governance macht KI damit zu einem steuerbaren und prüfbaren Bestandteil der unternehmerischen Gesamtsteuerung, die sich nicht nur auf das Level der Geschäftsführung beschränkt!

Praxisrelevanz für Unternehmen

KI wird zunehmend in produktiven Prozessen eingesetzt, etwa bei Entscheidungsunterstützung, Automatisierung oder generativer KI. Ohne klare KI Governance entstehen schnell unkontrollierte Nutzungen, Datenschutzrisiken und regulatorische Lücken. Unternehmen benötigen daher verbindliche Regeln für den KI-Einsatz, klare Freigabeprozesse, Transparenz über genutzte Tools und Modelle sowie eine laufende Risikoüberwachung wie unseren KI Risiko Check.

KI Governance Beratung durch Elsen GRC

Elsen GRC unterstützt Unternehmen beim Aufbau und der Weiterentwicklung einer praxistauglichen KI Governance. Zu unserer Beratungsleistung gehören die Analyse bestehender KI-Nutzungen, die Entwicklung klarer KI-Richtlinien und Rollenmodelle, die Bewertung von Risiken und Compliance-Anforderungen sowie die Integration von KI Governance in bestehende GRC-Strukturen. Ziel ist es, KI rechtssicher, nachvollziehbar und wirtschaftlich sinnvoll einzusetzen und gleichzeitig Risiken wie Shadow AI oder regulatorische Verstöße zu vermeiden. Klingt passend? Dann vereinbaren Sie gerne eine unverbindliche KI Governance Erstberatung.

Bild: © Meritt Thomas – Unsplash.com

Quellen und Verweise:

• Europäische Kommission: EU AI Act
• OECD: AI Governance and Risk Management
• ENISA: Cybersecurity and Governance Frameworks

Der Beitrag KI Governance: Erklärung, Aufgaben und Prinzipien erschien zuerst auf ELSEN GRC.

Wie entsteht Shadow AI?

Shadow AI entsteht, wenn Mitarbeitende einer Organisation externe KI-Dienste, Chatbots oder generative KI-Tools für die Erledigung von Aufgaben verwenden, ohne dass es dafür eine offizielle Genehmigung oder Policy innerhalb der Organisation gibt. Häufig erfolgt die Nutzung von Shadow AI aus aus Effizienzgründen, jedoch ohne Einhaltung interner Sicherheits- oder Datenschutzvorgaben. Dies kann zum Abfluss sensibler Daten, Kontrollverlust über Geschäftsprozesse und ungewollten Compliance-Risiken führen. Ein klassisches Beispiel ist die Nutzung privater Accounts von ChatGPT am Arbeitsplatz.

Zentrale Risiken von Shadow AI

Neben der unkontrollierten Datenabfluss oder unklarer interner Rahmenbedingungen für die Nutzung von KI bringt Shadow AI eine weitere Reihe an zentralen Risiken mit sich:

• Datenschutz- und DSGVO-Verstöße: unbeabsichtigtes Hochladen personenbezogener oder vertraulicher Daten in Daten-verarbeitende Systeme außerhalb der Organisation
• Fehlende Transparenz: keine Nachvollziehbarkeit, welche Daten wohin übermittelt wurden
• Fehlender rechtlicher Rahmen: keine klaren rechtlichen Rahmbedingungen, wie z.B. das Vorhandensein konkret Auftragsverarbeitungsverträge (AVV-Verträge)
• Sicherheitsrisiken: Nutzung unsicherer oder manipulierbarer KI-Dienste
• Fehlende Governance: Modelle werden genutzt, ohne dass Richtlinien, Schulungen oder Kontrollprozesse existieren

Damit kann die unkontrollierte Entstehung von Schatten KI durchaus als elementarer Risikofaktor in einer AI-getriebenen Welt darstellen, der für Unternehmen ohne die richtigen, klar und verständlich formulierten KI-Leitlinien nur schwer in den Griff zu bekommen ist. Umso wichtiger ist es, dass sich Unternehmen, Behörden und sonstige Organisationen frühzeitig gegen das Entstehen von Schatten KI wappnen: Durch einen transparenten und offenen Umgang mit KI.

Praxisrelevanz

Shadow AI betrifft nahezu alle Organisationen, die KI im Alltag einsetzen. Unternehmen und Behörden benötigen klare KI-Richtlinien, technische Kontrollen, Schulungen und Transparenzmechanismen, um eine sichere und regelkonforme Nutzung zu gewährleisten.

Beratung zu Shadow AI in Behörden und Unternehmen durch Elsen GRC

Elsen GRC hilft Unternehmen und Behörden dabei, Risiken unkontrollierter KI-Nutzung zu identifizieren, Richtlinien für sicheren KI-Einsatz einzuführen, Datenschutzanforderungen umzusetzen und Governance-Strukturen aufzubauen, die eine kontrollierte, transparente und verantwortungsvolle Verwendung von KI-Tools ermöglichen. Vereinbaren Sie ein unverbindliches Beratungsgespräch.

Bild: © David Werbrouck – Unsplash.com

Quellen: IBM – Shadow AI

Der Beitrag Shadow AI (Schatten-KI erklärt) – Definition und Erklärung erschien zuerst auf ELSEN GRC.

Betroffen sind dabei aber nicht mehr nur Betreiber kritischer Infrastrukturen (z. B. Energieversorgung, Verkehr, Gesundheit), sondern auch Cloud- und SaaS-Anbieter, Rechenzentrums-, Hosting- und Managed-Service-Provider, Post- und Abfallwirtschaft, Lebensmittelproduktion, öffentliche Verwaltung sowie Hersteller bestimmter digitaler Produkte (insb. Hard- und Software für kritische Infrastruktur). Die Anforderungen reichen von der Implementierung technischer und organisatorischer Sicherheitsmaßnahmen über verbindliche Meldepflichten bei Sicherheitsvorfällen bis hin zu umfangreichen Sanktionsmöglichkeiten, die vergleichbar mit der DSGVO ausgestaltet sind.

Für viele Unternehmen bedeutet NIS-2 dabei eine weitere Compliance-Pflicht im Bereich Informationssicherheit, die tief in bestehende Prozesse, IT-Systeme und Lieferketten eingreift. Die Mitgliedsstaaten müssen die Richtlinie bis spätestens 17. Oktober 2024 in nationales Recht umsetzen – in Deutschland geschieht dies durch das neue NIS-2-Umsetzungsgesetz (NIS2UmsuCG).

Was die NIS-2 Richtlinie regelt

NIS-2 legt verbindliche Mindeststandards für die Sicherheit von Netz- und Informationssystemen fest und definiert, wie Unternehmen Risiken erkennen, bewerten und mindern müssen. Sie stärkt die europaweite Zusammenarbeit zwischen den nationalen Cybersicherheitsbehörden und fordert den Aufbau von Melde-, Überwachungs- und Präventionsstrukturen. Ziel der Richtlinie ist ein einheitliches Sicherheitsniveau in der gesamten EU, das Cyberbedrohungen systematisch vorbeugt und Auswirkungen auf Wirtschaft und Gesellschaft minimiert.

Wichtige Grundprinzipien der NIS-2 Richtlinie

Die NIS-2-Richtlinie definiert verbindliche Grundprinzipien, die das Fundament eines einheitlichen europäischen Cybersicherheitsniveaus bilden sollen. Sie verschärft die bisherigen Anforderungen aus NIS-1 deutlich und weitet sie auf neue Branchen und Akteure aus. Im Zentrum stehen dabei Maßnahmen zur Prävention, Überwachung und Reaktion auf Cybervorfälle – mit besonderem Fokus auf Verantwortung, Meldepflichten und Risikomanagement entlang der gesamten digitalen Lieferkette:

• Erweiterter Geltungsbereich: Gilt für über zehn neue Sektoren und Dienstleister, darunter Cloud-Anbieter, Managed Services, Post- und Abfallwirtschaft, Lebensmittelproduktion und öffentliche Verwaltung.
• Pflicht zum Cyber-Risikomanagement: Einführung und Nachweis von Sicherheitsmaßnahmen auf organisatorischer, technischer und personeller Ebene (z. B. Zugriffskontrollen, Notfallmanagement, Schulungen).
• Verpflichtende Meldung von Sicherheitsvorfällen: Erstmeldung innerhalb von 24 Stunden, Abschlussmeldung binnen 72 Stunden nach Vorfall.
• Verantwortlichkeit der Unternehmensleitung: Geschäftsführung und Vorstand tragen die volle Verantwortung für die Umsetzung und Einhaltung.
• Aufsicht und Sanktionen: Nationale Behörden erhalten erweiterte Prüf- und Eingriffsrechte; Bußgelder bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes möglich.
• Lieferketten- und Drittparteirisiken: Sicherheitsanforderungen gelten ausdrücklich auch für Zulieferer, IT-Dienstleister und Auftragsverarbeiter.

Praxisrelevanz von NIS-2 – Wann sind Unternehmen betroffen?

Unternehmen sind direkt oder indirekt betroffen, sobald sie als „wesentliche“ oder „wichtige Einrichtungen“ eingestuft werden. Dazu zählen neben klassischen kritischen Infrastrukturen zunehmend auch digitale Dienstleister, SaaS-Anbieter, Hosting- und Cloud-Plattformen sowie mittelständische Industrie- und Logistikunternehmen, die datenbasierte Systeme betreiben (s.o.). Nach einer Faustregel sind Organisationen dann betroffen, wenn sie…

• IT- und Informationssicherheitsmanagementsysteme (ISMS) verwalten, nachweisen oder aufbauen,
• Lieferantenbewertungen und Cyber-Due-Diligence durchführen,
• Incident-Response-Prozesse (formale Prozess zu Reaktion auf IT-Sicherheitsvorfälle) und Meldeketten einrichten,
  Verantwortlichkeiten und Governance-Strukturen klar definieren.

Rechtliche Einordnung

• Rechtsgrundlage: Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022
• Inkrafttreten der Richtlinie: 16. Januar 2023
• Umsetzung in nationales Recht: bis spätestens 17. Oktober 2024
• Ziel: Harmonisierung der nationalen Cybersicherheitsstrategien in allen EU-Mitgliedsstaaten
• Bezug zu anderen Regelwerken: Ergänzt die DSGVO (Datenschutz), den Data Act (Datenzugang), den Cybersecurity Act (Zertifizierung) und DORA (Finanzsektor)

Beratung zur NIS-2-Richtlinie durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der praktischen Umsetzung der NIS-2-Anforderungen, von der Einstufung über die Durchführung von Gap-Analysen bis zum Aufbau eines Informationssicherheitsmanagementsystems (ISMS) nach ISO 27001 oder BSI-Grundschutz. Dabei werden Meldeprozesse, Lieferketten-Risiken und Governance-Strukturen gezielt integriert. Durch Schulungen, Mitarbeiter-Workshops und Audit-Vorbereitung sorgt Elsen GRC dafür, dass Organisationen die Vorgaben des NIS2-Umsetzungsgesetzes rechtssicher, effizient und nachvollziehbar erfüllen können und mit solider Cyber-Infrastruktur am Markt agieren. Vereinbaren Sie jetzt ein unverbindliches Beratungsgespräch.

NIS-2-Richtlinie – Zusammenfassung

NIS-2 ist auf Verpflichtung, Nachweis und Kontrolle ausgelegt – also auf Einhaltung, Koordination und Verantwortung, nicht nur Steuerung:

1. Verbindliche Sicherheitsmaßnahmen: Einführung von Cyber-Risikomanagement, Zugangskontrollen und Notfallplänen.
2. Meldepflichten: Sicherheitsvorfälle müssen fristgerecht gemeldet und dokumentiert werden.
3. Verantwortlichkeit der Unternehmensleitung: Die Geschäftsführung haftet für die Einhaltung der Pflichten.
4. Aufsicht & Sanktionen: Nationale Behörden dürfen prüfen, anordnen und sanktionieren.
5. Koordination & Resilienz: Förderung von EU-weiten Sicherheitsstandards und sektorübergreifender Zusammenarbeit.

Quellen:

• EUR-Lex – Directive (EU) 2022/2555 of the European Parliament (Abruf: 09.11.25)
• NIS2 Directive: securing network and information systems (Abruf: 09.11.25)
• enisa – Network and Information Systems Directive 2 (NIS2) (Abruf: 09.11.25)

Bild: Sajad Nori – Unsplash.com

Der Beitrag NIS-2 Richtlinie – Definition, Bedeutung & Pflichten erschien zuerst auf ELSEN GRC.

Hintergrund der 4 Risikostufen im EU AI Act

Der EU AI Act regelt erstmals umfassend KI-Systeme in der Europäischen Union unter einem einheitlichen Rahmen. Zentral ist dabei die risikobasierte Systematisierung von KI-Anwendungen – denn nicht jede KI-Lösung wirft gleich hohe Risiken für Gesundheit, Sicherheit oder Grundrechte auf.

Die Klassifikation gliedert sich in vier Kategorien:

1. Unacceptable Risk (inakzeptables Risiko)
2. High Risk (Hochrisiko)
3. Limited Risk (Begrenztes Risiko)
4. Minimal / no Risk (Minimales bzw. geringes oder kein Risiko)

Die Einordnung orientiert sich an den möglichen Auswirkungen eines KI-Systems auf Leben, Sicherheit, gesellschaftliche Grundrechte oder demokratische Prozesse. Je höher das Risiko, desto strenger die regulatorischen Anforderungen.

Die vier Risikostufen im EU AI Act im Detail

Die Klassifizierung der vier Risikostufen lässt sich in vier Abstufungen beschreiben:

1. Inakzeptables Risiko

Diese Kategorie umfasst alle KI-Systeme, deren Einsatz als unvereinbar mit den Grundwerten und Grundrechten der EU gilt, etwa weil sie Menschen manipulieren, überwachen oder diskriminieren oder bewerten. Der EU AI-Act verbietet solche Systeme vollständig.

Beispiele:

• Systeme zur sozialen Bewertung von Personen („Social Scoring“),
• Emotionserkennung in Bildungs- oder Arbeitskontexten,
• Echtzeit-biometrische Identifikation in öffentlich zugänglichen Räumen.

2. Hochrisiko

KI-Systeme, die erhebliche Gefahren für Gesundheit, Sicherheit oder Grundrechte und Grundwerte mit sich bringen, fallen in diese Kategorie. Dazu zählen Anwendungen in kritischen Infrastrukturen, in der Bildung, in der Personalauswahl, bei Krediten, in Justiz oder Grenzkontrolle. Für diese Systeme gelten umfassende Anforderungen, wie ein professionelles  Risikomanagement, Daten-Governance, ausführliche Dokumentation, regelmäßige menschliche Aufsicht, Robustheit und Konformitätsbewertung. Auch eine DSFA (Datenschutz-Folgeabschätzung) kann notwendig sein, wenn personenbezogene Daten betroffen sind. Genaueres dazu regeln Anhang I und III des EU AI Act.

Beispiele:

• Medizinprodukte mit KI-Integrationen
• KI-Systeme in kritischer Infrastruktur (Energie, Telekommunikation, Versorgung…)
• Autonome Fahrzeuge
• KI-gestützte Bewerbungsverfahren
• Spielzeuge

3. Begrenztes Risiko

Umfasst KI-Systeme, bei denen das Risiko geringer ist, aber Transparenz- und Informationspflichten bestehen. Hier ist vor allem die Offenlegungspflicht relevant, d.h. ein Benutzer muss erkennen können, dass er mit einer KI kommuniziert, z.B. durch entsprechende Hinweise wie „Sie kommunizieren mit einem KI-Agenten“.

Beispiele:

• KI-Chatbots oder AI-Agenten
• Generative KIs, die Inhalte (Texte, Bilder, Videos, Audio) erzeugen
• KI-basierte Ticketsysteme mit automatischer Verarbeitung von personenbezogenen Informationen

4. Minimales oder kein Risiko

Diese Kategorie umfasst KI-Anwendungen mit sehr geringem Risiko. Sie bleiben vom AI Act weitgehend unreguliert, ohne spezifische Pflichten im Rahmen der Verordnung. Dennoch gelten allgemeine Prinzipien wie Fairness, Transparenz oder Datenschutz weiter, insbesondere im Rahmen der DSGVO.

Beispiele:

• Spam-Filter und KI-gestützte alltägliche Sicherheitsmechanismen
• KI-gestützte Schreibassistenten
• automatische Textvorschläge

Auswirkungen auf Unternehmen & Behörden

Die Einordnung in eine Risikostufe entscheidet über Umfang und Art der regulatorischen Pflichten, daher sollten Unternehmen und Behörden frühzeitig ihre KI-Use-Cases analysieren und entsprechend dieser 4 Stufen klassifizieren. Für Anbieter und Betreiber von Hochrisiko-KI bedeutet das z. B., passende Prozesse aufzusetzen: Dokumentation, Audit-fähige Nachweise, Datenqualität, menschliche Kontrolle, Cyber-Security & Risk Management. Für KI mit begrenztem Risiko insbesondere Informations- und Transparenzpflichten. Bei verbotenen Anwendungen ist der Einsatz aber ohnehin ausgeschlossen!

Behörden und öffentliche Einrichtungen, die KI-Systeme einsetzen, beschaffen oder auf sonstige Wiese bereitstellen, müssen ihre Governance- und Beschaffungsprozesse anpassen – insbesondere bei Hochrisiko- oder verbotenen Anwendungen. Gerne beraten wir Sie hier.

Bezug zu Governance, Risk & Compliance (GRC)

Die vier Risikostufen bilden eine unmittelbare Verbindung zu den GRC-Dimensionen:

• Governance: Wer verantwortet die Klassifizierung einer KI-Anwendung? Wie sind Zuständigkeiten und Prozesse geregelt?
• Risk: Welche Risiken bringt die KI mit sich? Insbesondere welche für Rechte, Reputation, Sicherheit? Wie werden sie gemanagt?
• Compliance: Welche regulatorischen Anforderungen gelten je Risikostufe? Welche Nachweise müssen konkret erbracht oder vorgehalten werden?

Ein systematischer GRC-Ansatz hilft, KI-Systeme effizient und rechtssicher in bestehende Management-Systeme einzubetten und bewahr vor bösen Überraschungen im AI-Daily-Business.

Fachliche Einschätzung

In Sachen Einstufung war die EU-Kommission also einigermaßen klar, denn die vier-stufige Klassifikation im AI Act bietet einen pragmatischen Rahmen für die Praxis und Beratung. Allerdings bleibt die Herausforderung: Viele Use-Cases lassen sich nicht sofort eindeutig einer Kategorie zuordnen oder haben große Schnittmengen (insbesondere im medizinischen Sektor). Hier zählt der Kontext! Zudem wird die regulatorische Landschaft durch ergänzende Vorgaben (z. B. zu General-Purpose KI) zunehmend komplex. Eine frühzeitige Analyse und Governance-Aufbau sind deshalb strategisch absolut ratsam.

Beratung zu den Risikostufen im EU AI Act

Elsen GRC begleitet Unternehmen, SaaS-Anbieter und Behörden bei der sicheren und gesetzeskonformen Umsetzung des EU AI Act und der Einstufung der vier Risikostufen. Wir analysieren und klassifizieren Ihre KI-Anwendungen, entwickeln passgenaue Governance-Strukturen und integrieren die Anforderungen in bestehende Compliance- und Management-Systeme. Natürlich inklusive praxisnaher Dokumentationsprozesse und Schulungen von Mitarbeiter und Management.

Quellen:

• Europäische Kommission: „EU AI Act – Risikobasierter Ansatz“
• RTR-KI-Servicestelle: „KI-Systeme und die vier Risikostufen“
• Intellias: „EU AI Act: Decoding risk levels for AI systems“

Bild: Eugene Tkachenko – Unsplash.com

Der Beitrag 4 Risikostufen im EU AI Act – Definition und Bedeutung erschien zuerst auf ELSEN GRC.

Der EU Data Act ist eine europäische Verordnung, die den fairen Zugang zu Daten sowie die Nutzung von Daten innerhalb der Europäischen Union regelt. Ziel ist es, Daten aus vernetzten Geräten (z.B. Smartphones, SmartTVs, Autos mit digitaler Kommunikation), industriellen Anwendungen und digitalen Diensten besser nutzbar zu machen – sowohl für Verbraucher als auch für Unternehmen. Der Data Act ist Teil der europäischen Digitalstrategie und ergänzt den Data Governance Act sowie die DSGVO.

Was der EU Data Act bzw. die EU-Datenverordnung regelt

Der EU Data Act definiert Rechte und Pflichten rund um die Nutzung, Weitergabe und Portabilität von Daten. Er verpflichtet die Hersteller und Anbieter von vernetzten Geräten und Cloud-Diensten, seinen Nutzern und Geschäftspartnern Zugriff auf die generierten Daten zu ermöglichen – unabhängig davon, ob sie personenbezogen sind oder nicht.

Wichtige Kernpunkte der Verordnung:

1. Zugangsrechte: Die Nutzer von vernetzten Geräten (z. B. Maschinen, Fahrzeuge, Sensoren) erhalten Anspruch auf die Daten, die durch ihre Nutzung entstehen.
2. Datenteilung: Unternehmen müssen technische Schnittstellen schaffen, um Daten zwischen Geschäftspartnern oder Behörden sicher austauschen zu können (Interoperabilität).
3. Vertragliche Fairness: Der EU Data Act verpflichtet zu fairen Bedingungen bei der Datennutzung, insbesondere zwischen großen und kleinen Unternehmen (KMU).
4. Cloud-Portabilität: Kunden sollen ihre Daten und Anwendungen leichter zwischen Cloud-Anbietern wechseln können (soll „Vendor Lock-in“ vermeiden).
5. Schutz sensibler Daten: Der EU Data Act schränkt die Weitergabe in Länder außerhalb der EU ein, wenn dort kein gleichwertiges Datenschutzniveau besteht.

Hinweis: Im Rahmen der DSGVO wurde von der EU eine Liste von sicheren Drittstaaten für die Datenübermittlung veröffentlicht, die hier als Orientierung dienen kann!

Praxisrelevanz

Der Data Act betrifft nahezu alle Unternehmen, die Daten aus Geräten, Plattformen oder Cloud-Systemen generieren oder nutzen. Besonders betroffen sind Industrie 4.0-, SaaS-, IoT- und Cloud-Anbieter. Für Datenschutzbeauftragte und IT-Verantwortliche bedeutet das: Datenflüsse müssen neu bewertet, Verträge angepasst und technische Schnittstellen überprüft werden.

Rechtliche Einordnung

Die Verordnung (EU) 2023/2854 wurde am 22. Dezember 2023 im Amtsblatt der EU veröffentlicht und trat am 11. Januar 2024 in Kraft. Sie gilt nach einer Übergangsfrist ab dem 12. September 2025 unmittelbar in allen Mitgliedstaaten. Der EU Data Act ergänzt bestehende Regelwerke wie die DSGVO (personenbezogene Daten), den Data Governance Act (Datenzugangsmechanismen) und den EU AI Act (KI-Regulierung).

Beratung zum EU Data Act durch Elsen GRC

Elsen GRC unterstützt Unternehmen bei der Bewertung und Umsetzung der Anforderungen des EU Data Acts. Dazu gehören nicht nur die Analyse bestehender Datenflüsse und Prozesse, sondern auch die Optimierung von Verträgen und Cloud-Vereinbarungen, die technische Prüfung von Drittlandsübermittlungen sowie der Aufbau transparenter Daten-Governance-Strukturen. Ziel ist es, rechtliche Sicherheit zu schaffen und gleichzeitig die Potenziale datengestützter Innovation verantwortungsvoll zu nutzen. Vereinbaren Sie einfach ein unverbindliches Gespräch für eine Beratung zum EU Data Act.

Der Beitrag EU Data Act (EU-Datenverordnung) – Definition, Bedeutung & Pflichten für Unternehmen erschien zuerst auf ELSEN GRC.

Was der EU AI Act regelt

Der AI Act definiert, was als KI-System gilt, und ordnet diese nach ihrem spezifischen Anwendungs-Risiko ein. Je höher das Risiko für Grundrechte, Sicherheit oder Datenschutz, desto strenger die Anforderungen. Die Verordnung gilt für alle Anbieter, Importeure, Händler und Nutzer von KI-Systemen innerhalb der EU – unabhängig davon, ob die Systeme in der EU entwickelt wurden oder nicht. Das beutetet, auch Unternehmen, die KI (z.B. die API von Open AI, also ChatGPT) in Ihre Anwendungen, Websites oder Produkte integrieren, müssen die Verordnung berücksichtigen.

Risikokategorien des EU AI Act

1. Unzulässige KI-Systeme – etwa Social-Scoring oder manipulative Systeme, die verboten werden (auch z.B. Emotionserkennung am Arbeitsplatz)
2. Hochrisiko-KI-Systeme – z. B. Anwendungen in kritischen Infrastrukturen, Beschäftigung, Bildung, Justiz oder biometrischer Identifizierung.
3. Begrenztes Risiko – Systeme, die Transparenzpflichten erfüllen müssen (z. B. Chatbots, die offengelegt werden müssen).
4. Minimales Risiko – Anwendungen, die keine besonderen Pflichten haben.

Anforderungen für Hochrisiko-Systeme

Anbieter solcher Systeme müssen ein umfassendes Risikomanagement-System, Daten- und Qualitätsmanagement, technische Dokumentation sowie Konformitätsbewertung nachweisen. Sie sind verpflichtet, menschliche Aufsicht sicherzustellen und Transparenz gegenüber Nutzern zu gewährleisten.

Praxisrelevanz für Unternehmen

Für Unternehmen bedeutet der AI Act, dass jede KI-Anwendung künftig hinsichtlich ihrer Risikoklasse geprüft und dokumentiert werden muss. Insbesondere SaaS- und Cloud-Anbieter, die KI-Funktionen integrieren, müssen Compliance-Prozesse etablieren, um die Anforderungen frühzeitig zu erfüllen.

Rechtliche Einordnung

Die Verordnung über Künstliche Intelligenz (AI Act) ist Teil der Digitalstrategie der EU und ergänzt bestehende Regelwerke wie die DSGVO und den Data Act. Nach der finalen Zustimmung des Europäischen Parlaments im Jahr 2024 tritt sie voraussichtlich 2025 mit Übergangsfristen von bis zu zwei Jahren in Kraft.

Beispielhafte Artikelverweise:

• Artikel 5 ff. – Verbotene KI-Praktiken
• Artikel -.7 – Hochrisiko-Systeme
• Artikel 8-15 – Pflichten der Anbieter
• Artikel 69  – Sanktionen bei Verstößen

Beratung im Rahmen des EU AI Act durch Elsen GRC

Elsen GRC unterstützt Unternehmen dabei, ihre KI-Systeme frühzeitig auf AI-Act-Konformität zu prüfen und erforderliche Governance-Strukturen aufzubauen. Dazu gehören Risikoanalysen, die Zuordnung zu Risikoklassen, der Aufbau von Nachweis- und Dokumentationspflichten sowie die Integration des Themas KI-Compliance in bestehende Datenschutz- und ISMS-Strukturen. Ziel ist es, regulatorische Sicherheit zu schaffen, ohne Innovation zu bremsen.

News zum EU AI Act

• EU AI Act Übergangsfristen für Hochrisiko-KI bis 2027 verlängert (05.11.25)

Quellen:

• EUR-Lex: Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (LINK)
• EU Commission News: “AI Act enters into force” – 1. August 2024 (LINK)
• “The Act Texts | EU Artificial Intelligence Act” – artificialintelligenceact.eu (12 Juli 2024), (LINK)

Bild von ALEXANDRE LALLEMAND – Unsplash.com

Der Beitrag EU AI Act – Definition, Bedeutung & Pflichten für Unternehmen erschien zuerst auf ELSEN GRC.