KI-Compliance: Die wichtigsten Regeln und Pflichten im Überblick
Geschätzte Lesezeit: 14 Minuten
KI ist längst Teil des Geschäftsalltags – doch mit ihrem Einsatz wachsen auch die regulatorischen Anforderungen. KI-Compliance sorgt dafür, dass Unternehmen rechtlich auf der sicheren Seite sind, Vertrauen schaffen und Risiken minimieren. In diesem Ratgeber erfahren Sie, was KI-Compliance bedeutet, welche rechtlichen und ethischen Rahmenbedingungen gelten und wie Sie Schritt für Schritt eine belastbare AI-Compliance-Struktur aufbauen.
AI-Compliance: Das Wichtigste in Kürze
-
KI-Compliance stellt sicher, dass KI-Systeme rechtskonform, transparent und verantwortungsvoll genutzt werden.
-
Im Rahmen des EU AI Acts werden KI-Anwendungen risikobasiert eingestuft: Je höher das Risiko eines Use Cases, desto strenger die Anforderungen.
-
Neben der Einhaltung von rechtlichen Vorschriften sind Governance, technische Validierung, Fairness, Sicherheit und Audit-Readiness entscheidend für umfassende KI-Compliance.
-
Mit klaren Zuständigkeiten, definierten Prozessen, technischer Basis (MLOps) und einem schrittweisen Vorgehen lässt sich KI-Compliance strukturiert umsetzen.
-
Wer externe KI-Modelle nutzt, muss auf Verträge, Datenverarbeitung, Transparenz und Sicherheit beim Anbieter achten.
Was ist KI-Compliance?
Der Einsatz von KI in Unternehmen ist längst keine Seltenheit mehr und bietet enorme Potenziale: Effizientere Prozesse, datengestützte Entscheidungen und automatisierte Analysen sind nur einige Vorteile und Einsatzgebiete von KI. Doch was passiert, wenn die KI falsch liegt oder unbemerkt diskriminiert? Wenn ein Modell auf verzerrten Daten basiert, sensible Informationen verarbeitet oder Entscheidungen trifft, die sich später nicht erklären lassen? Genau an diesem Punkt wird aus Potenzial schnell ein Risiko: rechtlich, finanziell und reputationsbezogen.
Das Ziel von KI-Compliance ist es, genau diese Risiken zu minimieren. Unter dem Begriff werden alle organisatorischen, technischen und rechtlichen Maßnahmen zusammengefasst, mit denen Unternehmen sicherstellen, dass Künstliche Intelligenz rechtskonform, verantwortungsvoll und kontrolliert eingesetzt wird. AI-Compliance beinhaltet also nicht nur die Einhaltung gesetzlicher Vorgaben, sondern auch klare Governance-Strukturen, transparente Prozesse sowie den fairen und sicheren Umgang mit Daten und Modellen.
Die Serie beleuchtet Technik, Organisation und Governance – damit Sie KI sicher und skalierbar im Unternehmen verankern können.
Künstliche Intelligenz: Rechtliche Fragen im Überblick
KI arbeitet häufig schneller und skalierbarer, als es Menschen je könnten. Doch je mehr Verantwortung wir KI-Systemen übertragen, desto drängender werden die rechtlichen Fragen dahinter. Was ist erlaubt? Was ist verboten? Und welche Pflichten entstehen für Unternehmen, die KI einsetzen? Für den Aufbau einer KI-Compliance-Struktur ist es wesentlich, dass Sie die für Ihr Unternehmen relevanten rechtlichen und regulatorischen Rahmenbedingungen kennen und richtig einordnen können.
Der EU AI Act – Welche Vorschriften gelten jetzt?
Der EU AI Act soll dafür sorgen, dass KI in Europa sicher und vertrauenswürdig eingesetzt wird. Dafür schafft er einen EU-weit einheitlichen Rahmen, der festlegt, welche KI-Praktiken verboten sind und welche Anforderungen je nach Risikoklasse gelten. Dieser gilt nicht nur für Anbieter von KI-Systemen, sondern auch für Unternehmen als Betreiber/Nutzer, sobald KI in der EU eingesetzt wird oder Ergebnisse in der EU wirken (Marktortprinzip). Bei Verstößen drohen hohe Bußgelder, je nach Fall bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes.
Kern der KI-Verordnung ist ein risikobasierter Ansatz, bei dem KI-Systeme je nach möglichem Schaden in vier Stufen eingeteilt werden. Für Unternehmen bedeutet das: Sie müssen ihre KI-Use-Cases und Systeme zunächst einordnen, um daraus die konkreten Maßnahmen abzuleiten.
Unannehmbares Risiko
In diese Stufe fallen KI-Anwendungen, die als grundsätzlich unvereinbar mit europäischen Werten gelten. Dazu zählen etwa manipulative KI-Systeme, Social Scoring oder bestimmte Formen der Emotionserkennung, insbesondere im Arbeits- oder Bildungsumfeld.
Folge: Diese KI-Systeme sind verboten und dürfen weder entwickelt noch eingesetzt werden. Unternehmen müssen sicherstellen, dass sie solche Anwendungen nicht nutzen – auch nicht über Drittanbieter.
Hohes Risiko
Hochrisiko-KI umfasst Systeme, die erhebliche Auswirkungen auf Rechte, Sicherheit oder Lebensverhältnisse von Menschen haben können. Dazu zählen zum Beispiel KI im Personalmanagement (Bewerberauswahl), in Bildung, kritischen Infrastrukturen und in bestimmten Finanz- oder Gesundheitsanwendungen.
Pflichten: Unternehmen müssen umfangreiche Anforderungen erfüllen, darunter Risikomanagement, hochwertige Daten, technische Dokumentation, menschliche Aufsicht, Protokollierung sowie regelmäßige Überwachung im Betrieb.
Begrenztes Risiko
KI-Systeme mit begrenztem Risiko sind Anwendungen, bei denen Nutzer wissen sollten, dass sie mit KI interagieren oder KI-generierte Inhalte sehen. Typische Beispiele sind Chatbots, Sprachassistenten oder KI-generierte Bilder, Texte oder Videos.
Pflichten: Hier gelten vor allem Transparenz- und Kennzeichnungspflichten. Nutzer müssen erkennen können, dass KI im Einsatz ist oder Inhalte künstlich erzeugt wurden. Weitere umfangreiche Compliance-Anforderungen bestehen in der Regel nicht.
Minimales Risiko
Die Mehrheit heutiger KI-Anwendungen fällt in diese Kategorie, etwa KI-gestützte Empfehlungssysteme, Spamfilter oder einfache Analyse-Tools.
Pflichten: Für diese KI-Systeme bestehen keine zusätzlichen gesetzlichen Anforderungen über bestehende Gesetze hinaus. Dennoch empfiehlt sich ein verantwortungsvoller Umgang, etwa durch freiwillige Governance- oder Compliance-Maßnahmen.
Achtung: KI-Modelle sind nicht per se „low“ oder „high risk“. Es kommt darauf an, wofür sie eingesetzt werden und ob die Entscheidungen überprüft werden oder nicht.
Praxisbeispiel: Der Einsatz eines Large Language Models wie ChatGPT kann harmlos sein, wenn Sie es verwenden, um einen Text für eine Grußkarte zu formulieren. Deutlich kritischer wird es, wenn dasselbe Modell nach konkreten Medikamentenempfehlungen gefragt wird. Relevant ist dabei nicht nur, für was das KI-System genutzt wird, sondern auch von wem: Fragt eine Apothekerin nach Details zu Medikamenten, kann sie die erhaltenen Informationen fachlich einordnen und prüfen. Als Laie können Sie das in der Regel nicht und falsche Aussagen hätten unter Umständen gesundheitliche Folgen.
Datenschutz – Welche Daten darf KI verwenden?
Beim Einsatz von KI ist vor allem die DSGVO der zentrale rechtliche Maßstab. Sobald Training, Test oder Betrieb eines KI-Systems personenbezogene Daten umfasst, greifen die Vorgaben der Datenschutz-Grundverordnung. Unternehmen müssen hier eine konkrete Rechtsgrundlage für die Verarbeitung nachweisen (z. B. Einwilligung, Vertrag oder berechtigtes Interesse) und die Datenschutzprinzipien wie Zweckbindung, Datenminimierung, Transparenz und Datensicherheit einhalten. Für besonders schützenswerte Daten, etwa aus dem Beschäftigten- oder Gesundheitskontext, gelten erhöhte Anforderungen.
Das BDSG (Bundesdatenschutzgesetz) ergänzt die DSGVO auf nationaler Ebene und ist immer dann relevant, wenn deutsches Recht anwendbar ist. Besonders wichtig ist das BDSG beim KI-Einsatz im Beschäftigungskontext (z. B. HR-Analytics, Bewerbermanagement, Leistungsbewertung), da § 26 BDSG spezielle Regeln für die Verarbeitung von Beschäftigtendaten enthält.
Zusätzlich spielt der EU Data Act eine Rolle, wenn KI mit Daten aus vernetzten Produkten oder digitalen Diensten arbeitet. Er regelt vor allem Zugriffs- und Nutzungsrechte an nicht-personenbezogenen Daten. Je nach Anwendungsfall können außerdem Vorschriften wie der EU AI Act, das Telekommunikation-Telemedien-Datenschutz-Gesetz (TTDSG) sowie arbeits- oder urheberrechtliche Vorschriften relevant werden.
Geistiges Eigentum – Wem gehören KI-generierte Inhalte?
Ob KI-generierte Inhalte urheberrechtlich geschützt sind, hängt maßgeblich vom menschlichen Beitrag ab. Nach geltendem Urheberrecht entsteht Schutz nur bei Werken, die eine „eigene geistige Schöpfung“ eines Menschen darstellen. Maßgeblich ist, dass ein Mensch durch freie kreative Entscheidungen den Inhalt prägt und darin seine Persönlichkeit zum Ausdruck kommt. Rein KI-generierte Texte, Bilder oder Musik erfüllen diese Voraussetzung in der Regel nicht und haben somit keinen Urheber im rechtlichen Sinne.
Urheberrechtlicher Schutz kann allenfalls dann entstehen, wenn der Nutzer die KI nur als Hilfsmittel einsetzt und durch eigene kreative Entscheidungen die konkrete Form des Ergebnisses maßgeblich bestimmt. Das muss jedoch stets im Einzelfall geprüft werden.
Auch beim Training von KI-Systemen mit urheberrechtlich geschützten Werken gelten klare Grenzen. Grundsätzlich dürfen solche Inhalte nur genutzt werden, wenn eine Rechtsgrundlage besteht, etwa durch Lizenzen oder gesetzliche Ausnahmen wie das Text- und Data-Mining. Diese Ausnahmen sind jedoch an Bedingungen geknüpft und können durch Rechteinhaber eingeschränkt werden.
Ethischer Einsatz von KI – Wie bleibt KI fair?
Ein fairer KI-Einsatz bedeutet in erster Linie, dass KI-Systeme keine Menschen benachteiligen, diskriminieren oder intransparent entscheiden. Unternehmen müssen deshalb gezielt prüfen, ob Trainingsdaten Verzerrungen enthalten und ob Entscheidungen bestimmte Gruppen systematisch schlechter stellen. Neben technischen Maßnahmen wie Bias-Analysen und Fairness-Checks ist auch wichtig, klare ethische Leitlinien festzulegen. Orientierung dafür liefern zum Beispiel die sechs ethischen Prinzipien des Bundesverbands Digitale Wirtschaft (BVDW). Diese werden dort wie folgt definiert:
-
Fairness: KI-Systeme sollen niemanden diskriminieren oder benachteiligen.
-
Transparenz: Die Funktionsweise von KI-Systemen soll einsehbar sein.
-
Erklärbarkeit: KI-Entscheidungen sollen erklärbar sein.
-
Datenschutz: Der Schutz personenbezogener Daten soll gewährleistet sein.
-
Sicherheit: Fehlfunktionen, Manipulationen und Missbrauch sollen verhindert werden.
-
Robustheit: KI-Systeme sollen auch unter unsicheren Bedingungen funktionieren.
Zusätzlich bietet die UNESCO-Empfehlung zur Ethik der KI einen globalen Referenzrahmen, der Werte wie Privatsphäre, Transparenz, Erklärbarkeit und Nicht-Diskriminierung betont und diese in konkrete Handlungsaufgaben übersetzt.
Sie möchten KI in Ihrem Unternehmen einsetzen, wissen aber nicht genau, worauf es dabei ankommt? Wir unterstützen Sie gerne.
Welche Aspekte umfasst KI-Compliance?
Die folgenden Aspekte zeigen Ihnen, wie Sie KI-Compliance in der Praxis überprüfen und welche Maßnahmen erforderlich sind, um KI-Systeme dauerhaft regelkonform zu betreiben. Gleichzeitig bilden sie die Grundlage für Audits und regulatorische Prüfungen und machen deutlich, dass KI-Compliance nur dann funktioniert, wenn Sie sie ganzheitlich angehen.
Governance-Artefakte
Auf der formalen Governance-Ebene ist besonders relevant, ob grundlegende Steuerungs- und Verantwortungsstrukturen existieren und dokumentiert sind. Dazu gehören insbesondere:
-
Model Cards und Data Sheets für jedes KI-Modell
-
nachvollziehbare Data Lineage (Herkunft, Verarbeitung, Weitergabe der Daten)
-
definierte Data Contracts
-
Model Governance Board, das regelmäßig Reviews durchführt, Modelle Risikoklassen zuordnet und über Freigaben entscheidet
-
klar benannte Verantwortlichkeiten (Data Owner, Model Owner, Reviewer)
-
dokumentierte Anforderungen, Risikobewertungen und Freigaben (Approvals)
-
standardisierte Approval-Pipeline (z. B. Development → Validation → Staging → Production) mit Gate-Checks
Technische Validierung
Bei der technischen Überprüfbarkeit geht es in erster Linie um die Nachvollziehbarkeit, Stabilität und Belastbarkeit des Modells. Geprüft werden unter anderem:
-
Reproduzierbarkeit: Kann das Training und Scoring reproduziert werden (Seeds, Umgebungen, Versionsstände)?
-
Performance-Tests: Metriken wie Accuracy, Precision/Recall, AUC und Konfidenzverteilungen.
-
Robustheits- und Belastungstests: Verhalten bei Edge-Cases, adversarial Inputs und in Lastsituationen.
-
Drift-Analysen: Überwachung von Daten-Drift und Concept Drift im laufenden Betrieb.
Fairness & Explainability
KI-Compliance umfasst zwingend auch die ethische Dimension. Unternehmen müssen nachweisen können, dass ihre KI keine systematischen Benachteiligungen erzeugt und Entscheidungen erklärbar sind. Relevant dafür sind zum Beispiel:
-
Bias-Analysen mit Fokus auf sensible Attribute
-
Einsatz von Fairness-Metriken
-
Erklärbarkeitsmethoden (z. B. SHAP, LIME, surrogate models)
-
dokumentierte Entscheidungslogiken für interne Stakeholder und Regulatoren
Datenschutz & DSGVO-Konformität
Bei der datenschutzrechtlichen Prüfung wird bewertet, ob die Datennutzung rechtlich zulässig und technisch abgesichert ist. Konkret umfasst das:
-
Datenschutz von Anfang an in System integrieren durch Privacy-by-Design (Pseudonymisierung, Anonymisierung, Consent Tracking)
-
Prüfung der Datenherkunft und Rechtsgrundlagen (Einwilligung, Vertrag, berechtigtes Interesse)
-
Umsetzung von Datenminimierung und Zweckbindung
-
klar definierte Aufbewahrungs- und Löschfristen
Sicherheit & Zugriffskontrolle
Bestandteil der KI-Compliance ist, dass Modelle, Daten und Schnittstellen vor unbefugtem Zugriff und Manipulation geschützt sind. Das gelingt zum Beispiel durch:
-
ganzheitliche Verankerung von Sicherheitsanforderungen durch Security-by-Design und Secure Software Development Lifecycle (SSDLC)
-
Secrets- und Key-Management (z. B. mit Verschlüsselungskonzept Bring Your Own Key, kurz: BYOK)
-
Einsatz von Hardware-Sicherheitsmodulen (HSM) bei besonders sensiblen Schlüsseln
-
sichere API-Authentifizierung
-
rollenbasierte Zugriffskontrollen (Role-Based Access Control, kurz: RBAC)
-
externe Validierung, zum Beispiel durch Penetrationstests
Regulatorische Nachweise & Audit-Readiness
Unternehmen müssen jederzeit belegen können, dass ihre KI-Systeme compliant betrieben werden. Erforderlich sind dafür unter anderem:
-
vollständige Audit-Artefakte (Logs, Reports, Deployment-Historien, Testergebnisse, Access-Records)
-
Nachweise zur Modell-Governance und Validierung
-
detaillierte Anleitungen (sogenannte Runbooks) für Incident Response und Rollbacks (Zurücksetzung von Änderungen)
Kurz gesagt ist ein KI-Compliance-Audit eine Kombination aus Governance-Check, technischer Validierung, Datenschutz- und Security-Review und regulatorischer Nachweisführung.
Da dieser Prozess sehr aufwendig ist, empfehlen wir Ihnen, diesen mit einer Machine-Learning-Operations-Plattform (MLOps-Plattform) und vordefinierten Prüfungen zu automatisieren.
Gerne unterstützen wir Sie auf Ihrem Weg zur KI-Compliance. Nehmen Sie dafür einfach unverbindlich Kontakt zu uns auf.
5 Schritte, um KI-Compliance im Unternehmen sicherzustellen
KI-Compliance ist komplex und kann sich schnell ein bisschen überfordernd anfühlen. Die gute Nachricht: Sie müssen nicht alles auf einmal lösen. Damit Sie ins Tun kommen, statt in Checklisten zu versinken, geben wir Ihnen im nächsten Abschnitt einen praxisnahen 5-Schritte-Plan an die Hand.
1. Ermitteln Sie Ihren Status quo
Bevor Richtlinien oder technische Maßnahmen greifen, sollten Sie verstehen, wo Sie stehen und welche Risiken es aktuell gibt. In der Praxis bewährt sich dafür ein KI-Readiness-Check oder Scoping-Workshop. Dabei werden Datenlage, bestehende Prozesse, Skills und Infrastruktur analysiert und erste Risiken identifiziert. Besonderes Augenmerk liegt dabei auf KI-Modellen, die rechtliche oder finanzielle Auswirkungen haben könnten (High-Risk-Use-Cases).
Unsere Experten analysieren, wo Ihr Unternehmen heute steht, welche Risiken bestehen und welche KI-Anwendungen priorisiert werden sollten.
2. Schaffen Sie klare Governance-Strukturen
Viele Compliance-Risiken entstehen nicht durch die KI selbst, sondern durch unklare Zuständigkeiten. Legen Sie deshalb fest, wer bei Daten, Modellen, Datenschutz und Sicherheit die Verantwortung trägt und verankern Sie diese Rollen verbindlich in Ihrer Organisation:
-
Data Owner: Verantwortlich für Qualität, Herkunft, Nutzung und Schutz der Daten, die für KI-Systeme verwendet werden.
-
Model Owner: Trägt die fachliche und operative Verantwortung für ein KI-Modell über seinen gesamten Lebenszyklus hinweg.
-
DPO (Datenschutzbeauftragter): Stellt sicher, dass der Einsatz von KI-Systemen den Anforderungen der DSGVO entspricht und Datenschutzrisiken frühzeitig adressiert werden.
-
Security Owner: Verantwortlich für die IT- und Informationssicherheit der KI-Systeme, einschließlich Zugriffsschutz, Bedrohungsanalysen und Sicherheitsmaßnahmen.
3. Definieren Sie Prozesse für den Einsatz von KI
Das Aufsetzen eines minimalen, verbindlichen Modell-Lifecycle-Prozesses sorgt dafür, dass neue KI-Modelle nicht unkontrolliert, sondern entlang klar definierter Phasen entwickelt, geprüft, eingesetzt und überwacht werden. Ergänzend dazu übernimmt ein Model Governance Board die Steuerung auf Entscheidungsebene: Es führt regelmäßige Reviews durch, ordnet Modelle Risikoklassen zu und entscheidet über Freigaben, Weiterbetrieb oder Stilllegung.
4. Bauen Sie eine technische Compliance-Basis auf
Um KI-Compliance zu erreichen, braucht es eine MLOps-Grundausstattung. Stellen Sie sicher, dass Code, Daten und Modellversionen konsequent versioniert werden, damit jederzeit nachvollziehbar ist, welche Version mit welchen Daten trainiert und produktiv eingesetzt wurde. Ergänzend sollten Sie eine laufende Überwachung etablieren, die Veränderungen bei Daten, Modellverhalten und Ergebnissen früh sichtbar macht. Legen Sie außerdem fest, welche Qualitäts- und Sicherheitsprüfungen ein Modell vor dem Go-live (und bei Updates) standardmäßig durchlaufen muss.
5. Entwickeln Sie einen Pilot-Plan für kritische Use-Cases
Statt KI-Compliance direkt für alle Modelle gleichzeitig umzusetzen, empfiehlt sich ein fokussierter Pilotansatz. Wählen Sie ein oder zwei kritische KI-Use-Cases aus und setzen Sie Compliance-Anforderungen dort vollständig um.
Für diese Anwendungsfälle wird ein Pilot-Plan erstellt, der den gesamten Lebenszyklus abdeckt: von Entwicklung und Validierung über den produktiven Einsatz bis hin zum Monitoring. Bestandteil des Plans sollte eine konkrete Audit-Checkliste sein, die festlegt, welche Dokumentationen, Tests, Logs und Nachweise erforderlich sind.
Dieser Proof of Concept hat zwei Vorteile: Zum einen schaffen Sie schnell ein auditierbares Referenzmodell, an dem Sie Prozesse, Dokumentation und Kontrollen erproben können. Zum anderen lassen sich die Learnings aus diesem Pilotprojekt anschließend effizient auf weitere KI-Systeme übertragen.
AI-Compliance erreichen mit MaibornWolff
KI-Systeme rechtssicher, fair und technisch solide zu gestalten, ist eine große Aufgabe. Vor allem dann, wenn Use-Cases komplexer werden, Vorschriften sich ändern oder externe Anbieter im Spiel sind. Genau hier zeigt sich, wie wertvoll ein durchdachtes KI-Compliance-Fundament ist: Es schützt nicht nur vor regulatorischen Risiken, sondern stärkt auch das Vertrauen in Ihre KI – intern wie extern.
Unsere Erfahrung aus zahlreichen KI-Projekten zeigt: Unternehmen profitieren am meisten, wenn Governance, Technik und Organisation von Anfang an zusammengedacht werden. Bei MaibornWolff begleiten wir Sie dabei entlang der gesamten KI-Wertschöpfungskette: Von der strategischen Bewertung Ihrer Use-Cases, über eine passgenaue KI-Strategie bis hin zur technischen Umsetzung.
Sorgen Sie dafür, dass Ihre KI-Systeme nicht nur leistungsfähig, sondern auch rechtssicher, erklärbar und verantwortungsvoll betrieben werden. Wir unterstützen Sie mit durchdachten Compliance-Strukturen, klaren Prüfprozessen und praxisnaher Expertise.
FAQ: Häufig gestellte Fragen zu KI-Compliance
Gelten die KI-Regeln auch für kleine Unternehmen und Start-ups?
Ja, Verordnungen wie der EU AI Act gelten grundsätzlich auch für kleine Unternehmen und Start-ups, sofern sie KI-Systeme in der EU einsetzen oder anbieten. Die Pflichten richten sich nach dem Risiko der KI-Anwendung, nicht nach der Unternehmensgröße.
Wie baue ich eine AI-Compliance-Struktur auf?
Erfassen Sie zunächst Ihre KI-Anwendungsfälle und bewerten Sie deren Risiken. Anschließend definieren Sie klare Verantwortlichkeiten, Prozesse und Governance-Regeln für Entwicklung, Einsatz und Überwachung von KI. Technische Kontrollen wie Tests, Monitoring und Dokumentation sorgen dafür, dass Vorgaben im Alltag eingehalten werden. Wichtig ist zudem, Compliance regelmäßig zu überprüfen und an neue Anforderungen oder Änderungen im KI-Einsatz anzupassen.Was muss ich in puncto Compliance beachten, wenn ich KI von externen Anbietern nutze?
Der Einsatz externer KI-Dienste wie Software as a Service (SaaS), APIs oder LLMs erfordert zusätzliche Sorgfalt. Neben einem klar geregelten Data Processing Agreement (DPA) und Service Level Agreements (SLAs) kommt es vor allem auf die Transparenz der Datenverarbeitung an: Wo werden Daten gespeichert? Wer verarbeitet sie? Und kann der Anbieter rechtliche Verpflichtungen eingehen (z. B. Haftung, Audit-Support)?
Gerade bei Models-as-a-Service gilt: Als Unternehmen müssen Sie dem Anbieter in vielen Punkten vertrauen, etwa was Trainingsdaten, Modellverhalten oder Sicherheitsmaßnahmen betrifft. Provider wie Azure übernehmen im Gegenzug aber auch einen Teil der Verantwortung. Das ist besonders für viele kleinere und mittlere Unternehmen eine gute Lösung, da diese häufig nicht die finanziellen Mittel haben, KI-Modelle selbst zu trainieren.
Zusammenfasend lässt sich sagen: Die Nutzung externer KI muss vertraglich und technisch so abgesichert sein, dass alle Governance-Artefakte und Audit-Zugänge gewährleistet sind. Halten Sie außerdem bei sensiblen Daten idealerweise die Verschlüsselungsschlüssel selbst (Bring Your Own Key), nutzen Sie hybride Schlüsselmodelle (Hold Your Own Key) oder On-premise deployments. Einige Anbieter oder Modelle dürfen auch generell nicht für hochkritische Entscheidungen verwendet werden.
Wie oft müssen KI-Systeme überprüft oder auditiert werden?
In welchen Abständen KI-Systeme auf Compliance überprüft werden sollten, hängt davon ab, wofür sie eingesetzt werden. Bei Low-Risk-Anwendungsfällen ist ein laufendes, automatisiertes Monitoring der zentraler Betriebskennzahlen wie Modell-Drift, Datenqualität, Performance, Latenz und Ausfallraten sowie ein umfassendes jährliches Review in der Regel ausreichend.
Wird der Anwendungsfall kritischer, etwa weil Entscheidungen finanzielle, rechtliche oder regulatorische Folgen haben, müssen die Prüfungen deutlich enger getaktet sein. Für solche High-Risk-Anwendungsfälle sind, neben dem kontinuierlichen Monitoring, regelmäßige operationale Health-Checks (täglich bis wöchentlich) und strukturierte Reviews (quartalsweise bis halbjährlich) der produktiven Modelle sinnvoll. Ergänzt werden sollte diese laufende Überprüfung durch jährliche externe Audits und anlassbezogene Audits. Zum Beispiel bei signifikanten Änderungen, neuen regulatorischen Anforderungen oder nach Sicherheitsvorfällen sowie bei deutlichen Performance-Einbrüchen.
Wie überprüfe ich, ob ein KI-Modell den aktuellen Compliance-Vorgaben entspricht?
Ein KI-Compliance-Audit besteht aus mehreren Elementen:
-
Governance-Check: Sind Model Cards/Data Sheets, Verantwortlichkeiten, Risikobewertung und Freigaben vollständig und sauber dokumentiert?
-
Technische Validierung: Ist das Modell reproduzierbar und arbeitet es stabil?
-
Datenschutz- und Security-Review: Ist die Datennutzung DSGVO-konform und sind Systeme sowie Zugriffe sicher abgesichert?
-
Regulatorische Nachweisführung: Liegen alle erforderlichen Audit-Nachweise vor
MaibornWolff Expertentipp: Automatisieren Sie diesen Audit mit Hilfe einer MLOps-Plattform und vordefinierten Prüfungen.
-
Kyrill Schmid ist Lead AI Engineer im Bereich Data and AI bei MaibornWolff. Der promovierte Machine Learning Experte ist spezialisiert darauf, die Potenziale künstlicher Intelligenz auf Unternehmensebene zu identifizieren, zu entwickeln und nutzbar zu machen. Er begleitet und unterstützt Organisationen im Aufbau von innovativen KI-Lösungen wie Agenten-Anwendungen und RAG-Systemen.