.jpg)
Datenschutz Breakfast: AI Act, NIS2 und die neue Realität der AI Governance
Nach der Begrüßung durch Moritz Mirascija (Business Circle) und Lisa Glatzl (EQS) stand zunächst ein Impulsvortrag von Turan Celik, Group Data Protection Officer der Vitrea Group, im Mittelpunkt. Sein Thema: die datenschutzkonforme Nutzung von Künstlicher Intelligenz in der Praxis.
KI ist angekommen, auch Schatten-KI. Und Governance hinkt hinterher.
Celik machte deutlich, was viele Unternehmen derzeit erleben: KI wird längst eingesetzt, oft jedoch ohne klare Regeln. „Schatten-KI“ ist Realität. Frei verfügbare Tools werden von Mitarbeitern genutzt, teilweise ohne Wissen der Organisation und ohne datenschutzrechtliche Bewertung.
Die zentrale Herausforderung liegt daher weniger in der Technologie selbst als in der Governance. Datenschutzverantwortliche entwickeln sich zunehmend zu „Shepherds of AI Agents“: Sie müssen Orientierung geben, Leitplanken setzen und gleichzeitig Innovation ermöglichen.
Rechtlich gilt dabei: Die DSGVO bleibt auch im KI-Zeitalter die zentrale Grundlage. Sie ist technologieneutral. Ob Excel, Datenbank oder KI-Anwendung, die Prinzipien der Datenverarbeitung bleiben gleich. Gleichzeitig bringt der AI Act zusätzliche Anforderungen, etwa bei Transparenz, Risikobewertung und Kompetenzaufbau.
Von Use Case zu Governance, nicht umgekehrt
Ein zentrales Learning aus dem Vortrag: Unternehmen sollten KI nicht toolgetrieben einführen, weil es halt gerade der Hype ist. Sondern vom konkreten Anwendungsfall ausgehen. Erst definieren, was erreicht werden soll und dann prüfen, ob und welche KI sinnvoll ist. Man nimmtauch nicht excel, wenn man einen Brief schreiben will.
Konkrete To-dos für die Praxis
Celik zeigte anhand konkreter Beispiele, worauf es im Alltag ankommt. Dazu zählen unter anderem:
• Anpassung des Verarbeitungsverzeichnisses und Durchführung von Datenschutz-Folgenabschätzungen
• Sicherstellung von Transparenz- und Informationspflichten
• Prüfung technischer und organisatorischer Maßnahmen (TOMs)
• Klare Regelungen in Verträgen mit Dienstleistern, insbesondere zu Datenverarbeitung, Verschlüsselung und Trainingsnutzung
.jpg)
Paneldiskussion: Zwischen Aufbruch und Unsicherheit
In der anschließenden Paneldiskussion zusammen mit Turan Celik, Andreas Rohner von der Datenschutzbehörde und Sascha Meier von EQS wurde deutlich, dass viele Unternehmen noch am Anfang stehen. Laut Einschätzung der Diskutanten verfügen rund 80 % der Organisationen noch über keine ausgereiften AI-Governance-Strukturen.
Die Ergebnisse der Publikumsumfrage zeichneten dieses Bild:
• Rund 75 % der Unternehmen nutzen KI bereits aktiv
• Die größten Risiken sind Schatten-KI sowie unklare Zuständigkeiten zwischen Legal, IT, Compliance und Fachbereichen
• Governance-Strukturen sind zwar oft noch fragmentiert und nicht durchgängig etabliert, aber grundsätzlich zeigte sich hier ein überraschend positives Bild.
Neue Risikofelder, auch im HR-Bereich
Besondere Aufmerksamkeit gilt KI-Anwendungen im Recruiting und Personalmanagement. Der Einsatz von KI kann hier rasch in den Hochrisikobereich fallen. Selbst in Unternehmen, die ansonsten keine sensiblen Daten verarbeiten. Gleichzeitig ist gerade hier der Einsatz von „Schatten-KI“ besonders verbreitet.
Fazit: Datenschutz bleibt natürlich, es wird aber komplexer
Ein Fazit des Vormittags: KI verändert die Prozesse, aber nicht die Grundprinzipien. Wer die DSGVO erfolgreich umgesetzt hat, bringt bereits eine solide Basis mit, um auch den AI Act zu bewältigen.
Entscheidend wird sein, Governance-Strukturen konsequent aufzubauen, Zuständigkeiten klar zu definieren und die Zusammenarbeit zwischen Legal, IT, Compliance und Business zu stärken. Und dazu helfen die Tools von EQS und die Bildungsformate von Business Circle, wie es Lisa Glatzl und Moritz Mirascija zum Abschluss noch einmal auf den Punkt brachten.
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.png)
.svg)
.png)
.jpg)
.jpg)