Die Nutzung von Künstlicher Intelligenz verspricht enorme Zeitersparnis, bringt aber rechtliche Stolpersteine mit sich. Seit 2026 ist das europäische KI-Gesetz (EU AI Act) voll wirksam. Viele kleine und mittlere Unternehmen (KMU) sind verunsichert: Welche Tools dürfen Mitarbeiter noch nutzen? Drohen Bußgelder? Und wie schützt man sensible Kundendaten?
Die 3 wichtigsten Risikoklassen für KMU
Der EU AI Act teilt KI-Systeme in Risikoklassen ein. Für die meisten KMU sind folgende drei Stufen im Alltag relevant:
- Minimales Risiko (z. B. Spam-Filter, Übersetzungstools): Keine besonderen Auflagen. Können bedenkenlos genutzt werden.
- Begrenztes Risiko (z. B. ChatGPT, Bildgeneratoren, Chatbots): Hier gelten strenge Transparenzpflichten. Nutzer müssen wissen, dass sie mit einer KI interagieren. Zudem müssen urheberrechtlich geschützte Daten deklariert werden.
- Hohes Risiko (z. B. KI-gestützte Bewerberauswahl, Kreditwürdigkeitsprüfung): Extrem strenge Auflagen, Qualitätsmanagement und Registrierungspflichten. Für KMU ohne spezialisierte IT-Begleitung kaum machbar.
Pragmatische Checkliste für Geschäftsführer
- KI-Inventar erstellen: Dokumentieren Sie, welche Mitarbeiter welche KI-Tools (ChatGPT, Copilot, DeepL, Canva etc.) nutzen.
- Interne Richtlinie einführen: Klären Sie Ihre Mitarbeiter darüber auf, dass keine personenbezogenen Kundendaten oder vertraulichen Quellcodes in öffentliche KI-Systeme kopiert werden dürfen.
- Verträge prüfen: Nutzen Sie Enterprise-Lizenzen, die vertraglich zusichern, dass Ihre Daten nicht zum Training der globalen KI-Modelle verwendet werden.
🛠️ Technische Umsetzung: Lokale LLMs & API-Gateways
Für IT-Administratoren stellt sich die Aufgabe, die Einhaltung des AI Acts und der DSGVO technisch zu erzwingen, anstatt sich auf Richtlinien auf Papier zu verlassen. Zwei Lösungswege bieten sich an:
Lösung 1: Lokales Hosting von Open-Source-Modellen (On-Premises)
Der sicherste Weg, DSGVO- und AI-Act-Konformität zu garantieren, ist das Hosten von Modellen (z. B. Llama-3 oder Mistral) auf eigener Hardware oder in einer dedizierten, privaten Cloud-Umgebung. Dadurch verlassen keine Daten das kontrollierte Unternehmensnetzwerk.
# Docker-basiertes Deployment eines lokalen LLM-Gateways via Ollama docker run -d -v ollama:/root/.ollama -p 11434:11434 --name ollama ollama/ollama docker exec -it ollama ollama run llama3
Mitarbeiter greifen über eine Web-UI (z. B. Open-WebUI) auf den lokalen Server zu. Es findet kein Datentransfer zu OpenAI, Microsoft oder Google statt.
Lösung 2: API-Proxy mit Data Loss Prevention (DLP)
Wenn kommerzielle Modelle wie GPT-4 genutzt werden sollen, sollte der Zugriff über ein zentrales API-Gateway geroutet werden. Dieses Gateway filtert Anfragen in Echtzeit:
- Automatische Maskierung von personenbezogenen Daten (PII) wie Namen, Adressen, Telefonnummern via Regex oder Named Entity Recognition (NER).
- Protokollierung aller API-Aufrufe (Logging) zur Einhaltung der Dokumentationspflichten des AI Acts.
- Erzwingung der Nutzung von APIs mit Zero-Data-Retention-Richtlinien (z. B. Azure OpenAI Service mit deaktiviertem Abuse Monitoring).
Sichern Sie Ihre KI-Infrastruktur ab. Wir unterstützen Sie bei der Implementierung von lokalen Modellen und der Absicherung Ihrer Schnittstellen.
Haben Sie Fragen zu diesem Thema?
Wir unterstützen kleine und mittelständische Unternehmen bei der Absicherung, Cloud-Migration und gesamten IT-Betreuung.