Sicherer Einsatz von KI in Unternehmen: Wie man die Arbeit beschleunigt und die Kontrolle über Daten
Sicherer Einsatz von KI in Unternehmen: Wie man die Arbeit beschleunigt und die Kontrolle über Daten
Warum KI nicht mehr nur eine technologische Neuheit ist, sondern ein Thema von Sicherheit, Compliance und Risikomanagement in Unternehmen
Welche Risiken der unkontrollierte Einsatz von KI-Tools mit sich bringt und warum Unternehmen zunehmend mit dem Phänomen der Schatten-KI zu kämpfen haben
Wie man eine Organisation auf das KI-Gesetz vorbereitet und eine sichere, prüfbare und nachweisbare Nutzung von KI einrichtet
Künstliche Intelligenz ist nicht mehr nur ein technologisches Experiment. Mitarbeiter nutzen es beim Verfassen von E-Mails, beim Zusammenfassen von Dokumenten, beim Erstellen von Angeboten, beim Übersetzen von Verträgen und beim Umgang mit Daten. Dies eröffnet Unternehmen eine neue Chance, ihre Arbeit zu beschleunigen, aber auch ein neues Risiko: Sensible Inhalte können außerhalb der kontrollierten Umgebung gelangen, KI-Ergebnisse können ungenau sein, und der Einsatz von Tools ist oft nicht nachweisbar. Daher ist das Ziel nicht, KI zu verbieten. Das Ziel ist es, sie in einen sicheren, kontrollierten und auditierbaren Betrieb zu bringen.
KI ist bereits im Unternehmen. Man sieht das nur nicht oft.
Generative KI besitzt eine entscheidende Eigenschaft, die sie von vielen früheren technologischen Veränderungen unterscheidet: eine sehr niedrige Nutzungsbarriere. Ein Mitarbeiter braucht kein großes Projekt, kein großes Budget oder eine formale Umsetzung. Alles, was Sie brauchen, ist ein Webdienst, ein Browser-Add-on oder eine Funktion, die in ein bereits genutztes Tool integriert ist.KI ist heute in persönlichen Assistenten wie ChatGPT, Copilot oder Gemini zu finden, aber auch direkt in gängigen Unternehmensanwendungen. Es kann Teil einer E-Mail-, Office-Suite, CRM, HR-System, Kundensupport, Marketingtools oder Analysen sein. Darüber hinaus entwickelt sich auch agentenbasierte KI rasant, die nicht nur reagiert, sondern auch Aufgaben planen, APIs aufrufen, Prozesse ausführen und innerhalb eines festgelegten Ziels handeln kann.
Für das Management des Unternehmens führt dies zu einer einfachen Schlussfolgerung: Die Frage ist nicht mehr, ob man KI im Unternehmen begegnet. Die Frage ist, ob Sie wissen, wo, mit welchen Daten, zu welchem Zweck und unter wessen Verantwortung.
Das größte Risiko entsteht oft aus guten Absichten
Die meisten Probleme rund um KI entstehen nicht, weil Mitarbeiter dem Unternehmen schaden wollen. Oft ist die Motivation das Gegenteil: Sie wollen schneller und effizienter sein. Ein Vertriebsmitarbeiter möchte das Angebot verbessern, die Personalabteilung möchte Lebensläufe vergleichen, ein Anwalt will einen Vertrag kürzen, ein Projektleiter will das Protokoll einer Besprechung zusammenfassen und ein Entwickler möchte einen Teil des Codes überprüfen.Das Risiko entsteht, wenn Inhalte in ein KI-Tool eingefügt werden, das das Unternehmen nicht kontrolliert. Dies kann persönliche Daten, Kundendokumente, interne E-Mails, Geschäftsgeheimnisse, Preismodelle, Quellcode oder interne Methoden umfassen. Der Mitarbeiter beschleunigte die Arbeit, aber das Unternehmen verlor den Überblick darüber, wohin die Daten gingen, wer sie verarbeitete, ob sie gespeichert wurden, ob sie zur Verbesserung des Modells verwendet wurden und ob die Nutzung vertraglich und regulatorisch im Einklang stand.
Eine Faustregel für den täglichen Gebrauch lautet: Was du nicht per E-Mail an einen unbekannten Lieferanten senden würdest, gib kein nicht genehmigtes KI-Tool ein.
PRAXISREGEL
Was du nicht per E-Mail an einen unbekannten Anbieter senden würdest, solltest du kein nicht genehmigtes KI-Tool einbauen.
Schatten-KI: ein Problem, das sich nicht von selbst meldet
Eines der häufigsten Risiken ist die sogenannte Schatten-KI, also der Einsatz von KI-Tools außerhalb der Aufsicht des Unternehmens. In der Praxis können dies öffentliche Chatbots, Übersetzer, Textgeneratoren, Dokumententools oder KI-Funktionen sein, die in Apps integriert sind und nicht offiziell genehmigt wurden.Das Problem ist, dass sich die Schatten-KI nicht selbst meldet. Das Unternehmen weiß oft nicht, wie viele Werkzeuge die Mitarbeiter tatsächlich verwenden, welche Dokumente sie einfügen und ob es eine vertragliche oder technische Kontrolle gibt. Es fehlt an Inventar, Protokollen, Genehmigungen, Aufbewahrungsregeln, Lieferantenbewertung und Nachweisen für die sichere Nutzung.
Ein pauschles Verbot von KI funktioniert langfristig meist nicht. Der Bedarf an Effizienz wird nicht verschwinden, sie wird sich nur aus der offiziellen Aufsicht entfernen. Eine bessere Möglichkeit ist es, genehmigte Werkzeuge, klare Regeln, Schulungen, einen Prozess für neue Anwendungsfälle und technische Grenzen anzubieten, um Menschen beim sicheren Einsatz von KI zu unterstützen.
KI-Gesetz: zuerst Inventur und Klassifizierung, dann Verpflichtungen
Der European AI Act baut auf einem riskanten Ansatz auf. Es stimmt nicht, dass jede Nutzung von KI dieselbe administrative Belastung mit sich bringt. Der spezifische Zweck der Nutzung, die Art der Daten, die Auswirkungen auf die Menschen und die Rollen der Organisation sind entscheidend. Dasselbe Tool kann für interne Brainstormings risikoarm sein, aber sensibel oder risikoreich in HR, Mitarbeiterbewertung, Kreditbewertung oder bei Entscheidungen über den Zugang zu Dienstleistungen.Daher besteht der erste Schritt darin, keine lange Direktive zu schreiben. Der erste Schritt besteht darin, KI-Systeme und Anwendungsfälle zu inventarisieren: Welche Werkzeuge das Unternehmen verwendet, wer sie besitzt, welche Daten gelangen, wer die Ergebnisse sieht, ob die Ergebnisse Kunden oder Mitarbeiter betreffen und welche Rolle die Organisation hat. Erst dann kann die Risikokategorie bewertet und spezifische Verpflichtungen zugewiesen werden.
Das KI-Gesetz wird schrittweise angewendet. Es ist jedoch bereits ratsam, das Fundament zu schaffen: Inventar, Klassifikation, KI-Kompetenz, interne Regeln, Genehmigungsprozesse, Lieferantenkontrolle, Erfassung und Beweisnachweise. Diese Elemente können nicht innerhalb einer Woche vor der Prüfung erstellt werden.
KI-Governance erfüllt Cybersicherheit, DSGVO und Kundenanforderungen
In der Praxis beschäftigen sich Unternehmen nicht mit nur einer einzigen Regulierung. KI-Governance ist eng mit dem Schutz personenbezogener Daten, Cybersicherheit, Lieferantenmanagement, interner Revision und vertraglichen Anforderungen der Kunden verknüpft. Zusätzlich zum KI-Gesetz kommen wir daher oft zu DSGVO, NIS2/ZKB, DORA, NIST CSF, ISO 27001 oder SOC 2.Diese Veränderung ist wichtig: Compliance ist nicht mehr nur ein Schutz gegen Geldstrafen. Es wird Teil des geschäftlichen Trusts. Kunden, Gruppen, Prüfer und Sicherheitsteams werden zunehmend fragen: Welche KI-Tools nutzen Sie? Verarbeiten Sie persönliche Daten? Haben Sie eine KI-Richtlinie? Wie schulen Sie die Mitarbeiter? Wie bewerten Sie Lieferanten? Kannst du beweisen, dass die Daten nicht zum Training des Modells verwendet werden?
Wer diese Fragen strukturiert und nachweisbar beantworten kann, gewinnt einen Vorteil. Diejenigen, die nur bei einer Prüfung oder im Kundenfragebogen nach Antworten suchen, stellen meist fest, dass ihnen nicht nur Dokumentation, sondern vor allem Belege fehlen.
Was jedes Unternehmen, das KI sicher nutzen möchte, haben sollte
Die Grundlage vertrauenswürdiger KI ist nicht komplex, aber sie muss verbunden sein. Eine Direktive allein reicht nicht aus. Training ohne Prüfungen reicht auch nicht aus. Und Inspektionen ohne Beweise sind nicht prüfbar.Das erste Element ist die KI-Politik: kurze und leicht verständliche Regeln, die besagen, welche Werkzeuge erlaubt sind, welche Daten nicht dazugehören, wer neue Anwendungen genehmigt und wann menschliche Aufsicht erforderlich ist. Das zweite Element ist KI-Kompetenz, also die praktische Schulung der Mitarbeiter. Die Menschen müssen wissen, was KI kann, was sie nicht kann, warum sie halluzinieren kann und wann sie die Ausgabe ohne Verifizierung nicht nutzen kann.
Das dritte Element sind technische Grenzen: genehmigte Werkzeuge, Unternehmenslizenzen, DLP-Regeln, Sensitivitätsetiketten, Zugriffskontrolle, MFA, Überwachung, Auditprotokolle und sichere Mietereinstellungen. Das vierte Element ist die Due Diligence des Lieferanten, also die Überprüfung von Lieferanten hinsichtlich Daten, Subunternehmer, Vorfälle, Modelltraining und Auditrechte.
Wo KI-Unternehmen typischerweise anfangen
Gute erste KI-Projekte sind nicht die größten und riskantsten. Der beste Pilot löst in der Regel ein kleines, spezifisches und messbares Problem. Es gibt einen klaren Eigentümer, verfügbare Daten, ein angemessenes Risiko, schnelles Feedback und eine Person, die die Ergebnisse überprüft.In der Praxis gehen Unternehmen oft einen von mehreren Wegen. Die erste ist ein interner Wissensassistent, der nach Richtlinien, Handbüchern, internem Know-how und FAQs sucht. Der zweite Bereich ist Dokumente und Verwaltung: Zusammenfassungen von Meetings, Erstellung von Dokumenten, Recherche, Vergleich von Versionen oder E-Mail-Entwürfen. Der dritte Bereich ist der Kundensupport, wie Ticketsortierung, Antwortvorschläge oder Anfrage-Routing.
Weitere geeignete Bereiche sind Backoffice und Finanzen, Personalwesen und interne Dienstleistung oder Compliance- und Prüfungsunterlagen. Es ist wichtig, dort zu beginnen, wo KI entwirft und ein Mensch es genehmigt. Erst nachdem die Vorteile und Risiken überprüft wurden, ist es sinnvoll, ein höheres Maß an Automatisierung oder agentenbasiertem Verhalten hinzuzufügen.
Die häufigsten Fehler beim Einsatz von KI in Unternehmen
Sehr ähnliche Fehler werden in der Praxis wiederholt. Das Unternehmen verfügt nicht über ein zentrales Inventar von KI-Tools und Anwendungsfällen. KI wird nur als IT-Thema behandelt, obwohl sie DSGVO, Verträge, Personalwesen, Sicherheit, Audit, Geschäftskommunikation und den Ruf betrifft. Die Richtlinie existiert, aber die Mitarbeiter wissen sie nicht oder wissen nicht, wie sie in einer bestimmten Situation angewendet werden soll.Ein weiterer häufiger Fehler ist das Fehlen menschlicher Überprüfung. KI-Ausgaben werden übernommen, weil sie professionell aussehen, nicht weil sie verifiziert wurden. Lieferanten werden nicht aus der Perspektive von KI- und Datenrisiken bewertet. Protokolle, DPIA, Genehmigungen, Schulungen und Prüfungsspuren fehlen. Und die Abwarten-und-Sehen-Strategie ist ebenfalls sehr verbreitet: Das Unternehmen wartet auf Regulierung, anstatt heute mit der Vorbereitung des Systems zu beginnen.
Eine einfache Selbstkontrolle lautet: Wissen wir, wie viele KI-Tools Mitarbeiter tatsächlich nutzen? Haben wir eine klare Regel, was nicht in KI eingefügt werden darf? Können wir KI-Literatur dokumentieren? Gibt es einen Genehmigungsprozess für neue KI-Anwendungsfälle? Können wir einen Nachweis vorlegen: Richtlinie, Protokoll, Überprüfung, Vertrag oder DPIA? Wenn die Antwort bei zwei oder mehr Punkten unsicher ist, ist dies ein guter erster Punkt für KI-Governance.
Das wichtigste Prinzip : Ohne Beweise gibt es keine Regierungsführung. Es ist einfach eine gute Absicht.
Von einer einmaligen Prüfung zu einem Live-System
Viele Unternehmen verwalten heute Compliance in Tabellenkalkulationen, E-Mails und geteilten Ordnern. Excel ist ein guter Ausgangspunkt, aber es reicht nicht für eine Audit-Trail, Dokumentenversionierung, Task-Ownership und das Verlinken auf spezifische Beweise. Eine einmalige Prüfung liefert einen Momentaufnahme des Status, aber nach Abschluss altert die Dokumentation erneut. Ein generischer KI-Chatbot kann bei Texten helfen, aber ohne Scope, Beweisrahmen, Versionen und menschliche Überprüfung kann er ein falsches Sicherheitsgefühl erzeugen.Der Zielzustand ist die Beweis-Engine: ein System, das Dokumente, Anfragen, Beweise, Fragen, Aufgaben und Berichte verbindet. Bei jeder Inspektion ist klar, welche Anforderungen bewertet werden, welche Beweise vorliegen, wie stark diese Evidenz ist, was fehlt, wer den nächsten Schritt machen sollte und wann
Die Grundproduktregel eines solchen Ansatzes lässt sich einfach zusammenfassen: kein Grün ohne Beweis. KI darf nicht einfach behaupten, dass die Überprüfung erfüllt ist. Sie müssen das Dokument, den relevanten Zitat, die Stärke der Beweise, die Begrenzung vorlegen und im Falle von Unsicherheiten das Ergebnis zur Überprüfung durch die Hand markieren.
Wie BDO helfen kann
BDO hilft Unternehmen, die geschäftlichen Vorteile von KI mit Sicherheit, Governance und nachweisbarer Compliance zu verknüpfen. Es geht nicht nur darum, ein Instrument auszuwählen. Es ist wichtig, den richtigen Anwendungsfall zu wählen, Risiken zu bewerten, Regeln zu setzen, technische Grenzen, Verantwortlichkeiten und einen Beweisweg zu erstellen.
Ein typischer erster Schritt kann in Form einer zwei- bis vierwöchigen Entdeckung erfolgen. In der ersten Woche gibt es Interviews mit Management-, IT-/Sicherheits-, Datenschutz- und Geschäftsinhabern sowie eine schnelle Sammlung von KI-Tools und Szenarien. In der zweiten Woche folgt die Klassifizierung von Wert, Daten, Risiken, regulatorischer Sensibilität und Lieferantenaufbau. In der dritten Woche werden die Grundregeln, Rollen, der Genehmigungsprozess, die Ausbildung und die technischen Grenzen vorgeschlagen. In der vierten Woche werden eine Pilot-Roadmap, schnelle Erfolge, ein Managementergebnis und ein Entscheidungspunkt für den nächsten Schritt erstellt.
Konkret können wir bei der Bewertung des Potenzials von Digitalisierung und Automatisierung, der Entwicklung von Automatisierung mittels KI, KI-Strategien und sicherer Ausrollung, der Sicherheit von KI-Systemen, der Bereitschaft der KI-Gesetze, der Prüfung von KI-Systemen sowie der Erstellung einer Evidenzkarte helfen. Das Ziel ist, dass KI einen messbaren Einfluss auf das Unternehmen hat, aber gleichzeitig handhabbar, sicher und auditierbar ist.
SCHRITT EINS: Wählen
Sie ein Pilot-Scope und erstellen Sie innerhalb weniger Wochen Ihre erste KI-Karte von Chancen, Risiken, schnellen Erfolgen und Beweisen.
Fazit: Sichere KI ist eine Voraussetzung für Wachstum
KI-Compliance ist keine Bremse für Innovation. Es handelt sich um einen Sicherheitsgurt, der es einem Unternehmen ermöglicht, ohne unnötiges Risiko zu beschleunigen. KI ist bereits in Unternehmen vorhanden – selbst dort, wo sie noch nicht formell verwaltet wird. Schatten-KI ist eine Realität, keine Ausnahme.
Die größten Risiken betreffen nicht nur die Technologie. Sie betreffen Daten, geistiges Eigentum, Lieferanten, unkontrollierte Ausgaben, mangelnde Verantwortlichkeit und fehlende Beweise. Daher verwandeln das KI-Gesetz und die damit verbundene Cyberregulierung die KI-Governance in ein nachweisbares, prüfbares System.
Ein Unternehmen, das KI wirklich sicher einsetzen möchte, sollte einfach anfangen: Die tatsächliche Nutzung von KI kartieren, Regeln für Daten festlegen, den ersten geeigneten Piloten auswählen, einen Genehmigungsprozess einrichten, Mitarbeiter schulen und mit der Beweiserhebung beginnen. Es geht nicht darum, mehrere Dokumente zu erstellen. Es geht darum, ein System zu schaffen, das es ermöglicht, KI mit Vertrauen zu nutzen.
Kurze Checkliste für das Geschäftsmanagement
- Haben wir ein zentrales Inventar von KI-Tools und Anwendungsfällen?
- Wissen wir, welche Daten in KI-Tools gelangen und wem sie gehören?
- Haben wir eine klare KI-Richtlinie und wissen die Mitarbeiter davon?
- Gibt es einen Prozess zur Genehmigung neuer KI-Anwendungsfälle?
- Haben wir menschliche Überwachung für sensible Ausgaben eingerichtet?
- Bewerten wir Lieferanten hinsichtlich Daten, Sicherheit und Auditrechte?
- Können wir Schulungen, Genehmigungen, Protokolle, DPIA oder Sicherheitsüberprüfungen anbieten?
- Wissen wir, welcher erste KI-Pilot einen klaren Nutzen und ein angemessenes Risiko hat?