15.April 2026 | Tanja | Thema: Datenschutz

KI-Regulierung & Datenschutz: Expertin Silja Nordmeyer-Andrez über KI-Compliance im Unternehmen

Schlagwörter: KI | Tipps

KI-VO unlimbphoto

Heute freuen wir uns, einen Gastbeitrag von Silja Nordmeyer-Andrez bei uns im Blog zu veröffentlichen. Als Expertin für die Schnittstelle von Recht und Technologie gibt sie uns spannende Einblicke in die aktuellen Herausforderungen der KI-Regulierung und den praktischen Einsatz von Künstlicher Intelligenz im Unternehmenskontext.

Silja Nordmeyer-Andrez ist eine technologieaffine Juristin mit einem vielseitigen Erfahrungshintergrund, der Stationen in internationalen Großkanzleien in London und Paris, einer EU-Institution, dem deutschen Startupbereich sowie einem internationalen Großkonzern umfasst. Seit Januar 2026 bekleidet sie den Posten als Senior Responsible AI Advisor für den HR-Tech-Konzern Phenom. Bereits in den Jahren zuvor war sie dort im Datenschutz tätig und beschäftigte sich vermehrt mit der rechtskonformen Entwicklung und dem Einsatz von Künstlicher Intelligenz (KI). Dass Positionen wie ihre nun fest etabliert werden, zeigt deutlich: KI-Governance ist gekommen, um zu bleiben. Da Unternehmen weltweit vor neuen Herausforderungen durch künstliche Intelligenz stehen, freuen wir uns besonders, dass Silja heute ihre Erfahrungen und Insights mit uns teilt.

1. Welche AI-Regulierungsthemen haben dich die letzten Wochen beschäftigt?

Risikoklassifizierung und Hochrisiko-KI: Hierbei beschäftigt mich insbesondere, ob und unter welchen Bedingungen es möglich und sinnvoll ist, sich auf eine Ausnahme zur Hochrisikoklassifizierung zu stützen. Spannend finde ich, dass sich in den Webinaren, an denen ich regelmäßig teilnehme, inzwischen deutlichere Tendenzen abzeichnen. Während im vergangenen Jahr noch vieles unklar war, sehe ich jetzt immer mehr Expert*innen Empfehlungen aussprechen. Eine der neuen Erkenntnisse ist dabei, dass das Ausreizen von Ausnahmeregelungen nicht immer sinnvoll ist. Meine Empfehlung an Unternehmen, die KI selbst entwickeln: Zuerst die eigene KI-Lösung im Detail verstehen und beschreiben. Das ist unerlässlich für die interne Compliance, den Dialog mit Behörden und auch für das Marketing. Immer mehr Kund*innen wollen genau wissen, was sie kaufen, welches Risiko besteht und wie sie dieses minimieren können.
Zusammenhang zwischen Risikoeinschätzung nach DSGVO und KI-VO: Mich beschäftigt gerade besonders, wie sich die technischen und organisatorischen Maßnahmen, die wir bisher im DSGVO-Kontext nutzen, sinnvoll in die Anforderungen der KI-VO integrieren lassen. Mir fällt auf, dass in letzter Zeit häufiger Nachfragen zu Datenschutz-Folgenabschätzungen kommen – oft im Zusammenhang mit Fragen zur Konformitätsbewertung nach KI-VO. Mein Wissen aus der DSGVO-Praxis kann ich jetzt auf die KI-VO übertragen, sehr spannend!
Anbietende (Provider) vs. Betreibende (Deployer) und ihre jeweiligen Pflichten: Das ist ein häufiges Thema in Kund*innenanfragen. Verständlich, denn die Frage, welche Rolle man nach der KI-VO einnimmt, wirkt sich auf die Pflichten aus. Gerade im Software-as-a-Service (SaaS)-Umfeld ist das interessant. Denn Kund*innen setzen eine SaaS häufig im eigenen Branding ein. Da kann schon mal eine Debatte entstehen, bis wann man noch Provider ist und ab wann man selbst zum Deployer wird. Mein Tipp: Unternehmen sollten für sich eine überzeugende Argumentation erarbeiten und proaktiv mit Informationsmaterialien auf Kund*innen zugehen. Das zeigt, dass man sich mit den Fragen wirklich auseinandergesetzt hat, und schafft Vertrauen.
KI-Kompetenz-Schulungen: Fragen, die sich hier stellen können, sind z. B.: Wie wollen wir sie durchführen? Was machen wir selbst, was kaufen wir ein? Was müssen wir in jedem Fall unternehmensspezifisch anpassen, was gehört zur generell bei uns gewünschten KI-Kompetenz?
KI-Richtlinie und Verhaltenskodex: Auch hier finde ich wichtig, dass sich Unternehmen der Realität stellen, dass KI genutzt wird. Es ist wesentlich sicherer, die Nutzung klar zu regeln, als sie einfach laufen zu lassen. Eine unternehmensinterne KI-Richtlinie und ein Verhaltenskodex sorgen für Orientierung und bieten Schutz – nicht nur rechtlich, sondern auch für Transparenz und eine verantwortungsvolle Unternehmenskultur.
Arbeiten in der KI-Governance-Taskforce: Aktuell überlege ich, wie sich Aufgaben und Verantwortlichkeiten in einer KI-Governance-Taskforce sinnvoll nach Kompetenzen und Fachgebieten verteilen lassen. Mich interessiert besonders, wie unterschiedliche Bereiche – Datenschutz, IT, Recht und Fachabteilungen – ineinandergreifen können. Priorisierung und Zeitplan sind dabei zentral, denn nur mit klarer Abstimmung lassen sich die vielen neuen Pflichten und Fragen rund um die KI-VO effizient und wirksam bearbeiten.

2. Warum sollten sich KMU mit dem AI Act beschäftigen?

DSK-Orientierung unlimphoto blue AI

KI ist längst ein fester Bestandteil in vielen Unternehmen – auch in KMU. Unabhängig davon, ob sie sich aktiv mit Regulierung beschäftigen oder nicht, trifft sie die KI-Verordnung durch ihre breite Anwendung. Die Verpflichtung, Mitarbeitende seit Februar dieses Jahres mit ausreichender KI-Kompetenz auszustatten, ist inzwischen aktuell und sollte zügig umgesetzt werden.

Außerdem empfehle ich eine gut formulierte KI-Richtlinie. Sie dient KMU dabei nicht nur als Absicherung gegen rechtliche Risiken, sondern schafft auch klare Transparenz darüber, was im Umgang mit KI-Technologie erlaubt ist – insbesondere zu Datenschutz, Geschäftsgeheimnisschutz, geistigem Eigentum und potenziellen Rechtsverletzungen.

Wichtig ist für KMU zudem, genau zu prüfen, in welcher Rolle sie KI tatsächlich nutzen: Treten sie ausschließlich als Betreibende (Deployer) oder auch als Anbietende (Provider) auf? Gerade im SaaS-Umfeld sind diese Grenzen fließend und haben direkte Auswirkungen auf die Pflichten.

Abschließend gilt für KMU, sich bewusst zu machen, welche KI-Lösungen im eigenen Unternehmen eingesetzt werden und welche Risiken und Verpflichtungen hiermit verbunden sind. Dieses Bewusstsein bildet die Grundlage für eine verantwortungsvolle und sichere KI-Anwendung.

3. Welche konkreten Fragen sollten unsere Kund*innen Anbietenden stellen, bevor sie eine KI-Lösung beauftragen oder in ihr Unternehmen integrieren?

Ich rate dazu, bei allen Anbietenden gezielt nach der eingesetzten KI-Technologie zu fragen. Denn heutzutage integrieren die meisten Unternehmen zumindest eine generative KI in ihre Lösungen.

Die konkreten Fragen, die ich empfehlen würde:

Wird in der Lösung KI verwendet?
Wenn ja, welche Art von KI? (Generative KI, Chatbots, Hochrisiko-KI z. B. im Bewerbungsprozess)
Trifft die KI automatisierte Entscheidungen?
Handelt es sich um eine Hochrisiko-KI? Wurde eine Konformitätsbewertung durchgeführt oder ist diese geplant?
Kann die Konformitätsbewertung eingesehen werden? Falls nicht, warum nicht?
Welche Maßnahmen zur Risikominderung sind implementiert?
Gibt es eine Zertifizierung der KI-Lösung? Wenn ja, welche und kann diese geteilt werden?
Werden Unternehmensdaten genutzt, um die KI allgemein oder speziell weiterzuentwickeln?
Wie werden Betroffenenrechte gewährleistet? Gibt es z. B. Möglichkeiten, der KI-Nutzung aktiv zuzustimmen oder zu widersprechen?

Diese Fragen sind ein guter Ausgangspunkt, ersetzen aber keine individuelle Beratung. Ich empfehle, sich Unterstützung zu holen – von Vorlagen etablierter Anbietender über speziell zugeschnittene Fragebögen bis hin zu Compliance-Tools und professioneller Beratung. In jedem Fall würde ich empfehlen, das Rad nicht neu zu erfinden und auf bewährte Materialien und Expertise zu setzen.

4. In welchen Unternehmensbereichen begegnen dir KI-Lösungen aktuell am häufigsten – und wie reif sind diese Anwendungen wirklich?

KI begegnet mir inzwischen überall im Unternehmen, vor allem dort, wo repetitive Aufgaben unterstützt oder Texte generiert werden. Besonders wichtig ist für mich, dass Mitarbeitende die vom Unternehmen ausgewählten KI-Lösungen mit ihren Firmen-Logins nutzen. Für Unternehmen, die Single-Sign-On-Lösungen verwenden, kann das nahtlos dargestellt werden.

Sehr ausgereift sind meiner Erfahrung nach KI-Lösungen zur Textgenerierung. Ich selbst erlebe oft, wie KI meine Schreiben ergänzt. So schlug mir eine KI kürzlich eine Antwort-E-Mail vor, die prompt meinen Stil traf. Obwohl ich gut und auch gern selbst schreibe, hatte ich tatsächlich nichts anzupassen – das hat mich beeindruckt. Auch in meinem Textverarbeitungsprogramm werden KI-Funktionen angeboten, die gut helfen, wenn ich eigene Texte erweitern will.

Was ich besonders schätze, sind KI-Tools mit Quellenangaben. Damit geht Recherche schneller als mit einer herkömmlichen Suchmaschine. Als Juristin muss und will ich Quellen natürlich weiterhin intensiv prüfen, aber der Zeitgewinn ist enorm und die Recherche gewinnt an Qualität. Ich bin überzeugt, dass solche Tools sich weiter verbessern werden.

Weniger begeistert bin ich von internen Chatbots, die ausschließlich auf Unternehmensdaten basieren. Das liegt vermutlich an widersprüchlichen Informationen, mit denen solche Chatbots „gefüttert“ werden. Die Antworten müssen oft geprüft oder an Fachabteilungen weitergegeben werden. Was die Chatbots aber gut können: Inhalte schreiben und strukturieren. In jedem Fall warne ich davor, KI-Antworten unkontrolliert zu vertrauen – das Risiko inhaltlicher Fehler ist real.

5. Wer trägt im Unternehmen die Verantwortung für Datenschutz und Sicherheit, wenn KI-Systeme eingesetzt werden – und wo entstehen dabei typische Lücken?

Gibt es in deinem Umfeld schon Chief AI Accountability Officers (CAIOs) oder sind wir noch in der „Compliance-macht-das-schon-Phase“?

In meinem Umfeld sehe ich sehr unterschiedliche Ansätze. CAIOs sind bislang eher selten. Diese Rolle ist vor allem in größeren oder stark regulierten Unternehmen zu finden, wo man sich die spezialisierten Expert*innen leisten kann und will. Häufiger beobachte ich, dass die Verantwortung auf bereits etablierte Positionen verteilt wird, etwa auf die Datenschutz- oder Informationssicherheitsbeauftragten, die Rechts- oder Complianceabteilung.

Aus meiner Sicht ist das größte Problem oft nicht die formale Benennung, sondern dass tatsächlich klare Verantwortung übernommen wird. Bestehende Anbieter sollten im regelmäßigen Turnus überprüft werden. Fehlen klar definierte Abläufe und Verantwortlichkeiten, entstehen leicht organisatorische Lücken, die Risiken erhöhen.

Letztlich ist es eine Abwägung, bei der Risiken und Chancen gleichermaßen bewertet werden müssen. Non-Compliance kann teuer werden. Compliance im Gegenzug kann zum Wettbewerbsvorteil werden – für Anbietende wie auch für die Nutzenden von KI. Für mich gilt: Wir müssen nicht entweder KI-Fans oder Skeptiker sein. Eine ausgewogene Mischung aus beidem ist der Schlüssel zu einem verantwortungsvollen und produktiven Umgang mit KI.

Herzlichen Dank an Silja Nordmeyer-Andrez für diese spannenden Einblicke! Wir freuen uns sehr, dass wir diese wertvolle Expertise hier in unserem Blog teilen durften.

Weitere Links und Hinweise:

Silja Nordmeyer-Andrez | Mehr von Silja Nordmeyer-Andrez auf LinkedIn
procado Datenschutz | Erfahren Sie mehr über unsere Beratungsleistungen zum Datenschutz bei procado
zurück
Themen
procado BLOGt: rss-feed
Schlagwörter
ISBISO27001IT-SicherheitNIS-2AkademieNews-IT-SicherheitPhishingsecKITippsGirls-Dayprocado-internDatenschutzEU-RichtlinieRechtsprechungMicrosoft 365NewsIT-SupportDSGVOSocial MediaRechtsgrundlagenkleine ReiheManaged Service ProviderSocial EngeneeringHistorischesJob