KI Compliance - Thorsten Rottmann

KI-Compliance & EU AI Act: Sicherheit und Datenhoheit in der Automatisierung

Fokus: EU AI Act, DSGVO, Lokale LLMs, AI Literacy (Schulungspflicht) & Risikomanagement

Die Herausforderung: Machbarkeit vs. Compliance

Der Markt wird aktuell mit KI-Tools überschwemmt und die Möglichkeiten der Prozessautomatisierung scheinen nahezu unbegrenzt. Doch die technologische Machbarkeit stößt in der Praxis schnell an harte regulatorische Grenzen: Den EU AI Act, die DSGVO und branchenspezifische Compliance-Richtlinien.

Ein prominentes Warnsignal liefert aktuell die Situation bei einem großen Anbieter für Datenverarbeitung in der Steuer- und Wirtschaftsprüfung. Dort wurde eine Cloud-Lösung eines US-Anbieters integriert, die die Nutzung eines LLMs (Large Language Model) in einer Version beinhaltet, welche keine Audits erlaubt. Eine hochgradig kritische Entscheidung: Kunden, insbesondere aus regulierten Hochrisiko-Bereichen, stehen nun vor dem massiven Dilemma, ob sie diesen Service überhaupt noch rechtssicher nutzen dürfen, ohne gegen eigene Compliance-Vorgaben zu verstoßen.

Die Grundregel für Unternehmen lautet daher: Keine KI-Automatisierung ohne vorherige Compliance-Evaluation.

Der EU AI Act: Verlässlicher Rahmen statt Innovationsbremse

Mit dem Inkrafttreten des EU AI Acts existiert nun ein klarer rechtlicher Rahmen. Der große Vorteil für heimische Unternehmen: Er gilt branchenübergreifend und EU-weit. Da sich auch Nicht-EU-Unternehmen an diese strengen Vorgaben halten müssen, wenn sie ihre Systeme hier vertreiben wollen, schafft das Gesetz dringend benötigte Chancengleichheit auf dem Markt.

Lösungsansatz: Datenhoheit durch lokale LLMs

Um Compliance-Risiken (insbesondere bei sensiblen Unternehmensdaten) komplett zu umgehen, setze ich in Projekten zunehmend auf lokale LLMs. Die Entwicklung in diesem Bereich ist rasant: Lokale Modelle sind längst nicht mehr nur für Big-Tech-Konzerne erschwinglich, sondern bieten auch für KMUs enorme Vorteile:

100 % Datenhoheit (Privacy by Design): Keine sensiblen Daten verlassen die eigenen Server.
Kostenkontrolle: Die Integration in alltägliche Automatisierungen (z. B. via n8n) eliminiert laufende API-Kosten an Drittanbieter. Die anfänglichen Investitionskosten für die lokale Infrastruktur amortisieren sich dadurch überraschend schnell.

Der blinde Fleck: Die KI-Schulungspflicht (AI Literacy)

Ein oft übersehener Aspekt des EU AI Acts ist die gesetzliche Schulungspflicht (Artikel 4). Unternehmen sind verpflichtet, ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen. Ein weit verbreiteter Irrtum ist, dass dies nur Entwickler oder Nutzer spezieller KI-Software betrifft. Fakt ist: Man ist bereits KI-Nutzer, sobald man alltägliche Werkzeuge wie MS Teams, Slack, Microsoft Office (Copilot) oder moderne Firmen-Smartphones bedient, in die KI-Funktionen zunehmend fest integriert sind. Der proaktive Aufbau von KI-Kompetenz im gesamten Team ist daher nicht nur ein Innovations-, sondern ein harter Compliance-Faktor.