Während viele Unternehmen sich gerade erst an die DSGVO gewöhnt haben, steht mit dem „AI Act“ die nächste große Datenschutzherausforderung vor der Tür. Am 2. Februar 2025 trat die Verordnung zur Regulierung künstlicher Intelligenz in der Europäischen Union in Kraft. Ziel ist es, einen einheitlichen Rechtsrahmen für den Einsatz von KI-Systemen zu schaffen – insbesondere dort, wo automatisierte Entscheidungen direkte Auswirkungen auf Menschen haben. Anders als bei der DSGVO, die sich auf personenbezogene Daten konzentriert, betrachtet der AI Act vor allem den Risikograd einer KI-Anwendung. Die EU unterscheidet dabei zwischen inakzeptablem, hohem, begrenztem und minimalem Risiko. Systeme mit hohem Risiko – etwa biometrische Identifikationssysteme, Kreditwürdigkeitsprüfungen oder automatisierte Bewerbungsentscheidungen – unterliegen strengen Auflagen. Unternehmen, die solche Systeme einsetzen, müssen unter anderem Risikoanalysen durchführen, menschliche Kontrollinstanzen einbauen und die Entscheidungslogik dokumentieren. Das klingt zunächst nach einem Thema für Tech-Konzerne oder Großunternehmen. Doch in der Praxis betrifft es auch Mittelständler. Schon der Einsatz eines KI-gestützten Chatbots, der Kundenanfragen vorsortiert oder Auskünfte erteilt, kann unter bestimmten Umständen relevant sein – vor allem, wenn dabei Daten verarbeitet werden, die Rückschlüsse auf das Verhalten oder die Gesundheit der Nutzer zulassen.
Für Unternehmen bedeutet das: Sie müssen jetzt genau hinsehen. Welche Systeme kommen zum Einsatz? Welche Entscheidungen trifft die Software – und wie nachvollziehbar ist dieser Prozess für Betroffene? Transparenz und Nachvollziehbarkeit sind Kernanforderungen des AI Acts. Die Zeiten von „Black Box“-Modellen, die intern funktionieren, aber extern nicht erklärbar sind, neigen sich dem Ende zu. Gleichzeitig darf man nicht vergessen, dass die DSGVO auch weiterhin gilt. Das heißt: Wenn KI-Systeme personenbezogene Daten verarbeiten, gelten alle Grundprinzipien des Datenschutzes weiterhin. Das betrifft insbesondere die Informationspflichten, das Recht auf Auskunft und das Recht auf Widerspruch. Die Kombination aus DSGVO und AI Act führt dazu, dass Unternehmen ihre Prozesse doppelt prüfen müssen – auf Datenschutz- und auf KI-Konformität. An dieser Stelle zeigt sich erneut die Bedeutung externer Expertise. Bei MProtect haben wir uns frühzeitig auf das Zusammenspiel von KI und Datenschutz spezialisiert. Wir unterstützen Unternehmen dabei, ihre Systeme rechtssicher zu dokumentieren, Risiken zu bewerten und technische Schutzmaßnahmen umzusetzen – ob bei der Auswahl von Dienstleistern oder beim Einsatz eigener Algorithmen. Besonders wichtig ist uns dabei: Die Systeme müssen nicht nur gesetzlich konform sein, sondern auch das Vertrauen der Nutzer gewinnen. Denn Vertrauen ist die neue Währung im digitalen Zeitalter. Kunden, die wissen, dass ihre Daten sicher sind – auch bei automatisierten Prozessen – werden loyaler sein. Partner, die sich auf eine nachvollziehbare Datenverarbeitung verlassen können, werden langfristig kooperativer agieren. Und Mitarbeiter, die nicht durch KI ersetzt, sondern durch sie unterstützt werden, sind zufriedener. Der AI Act ist also kein Schreckgespenst – sondern eine Einladung, verantwortungsvoll mit Technologie umzugehen. Für Unternehmen, die frühzeitig handeln, kann das ein Wettbewerbsvorteil sein. Für alle anderen bleibt nur die Reaktion – mit all den Risiken, die daraus entstehen.
