Zum Inhalt springen
Startseite » Fachbeiträge » KI im Unternehmen: Wer trägt die Verantwortung?

KI im Unternehmen: Wer trägt die Verantwortung?

Künstliche Intelligenz ist in vielen Unternehmen längst Teil des Arbeitsalltags. Textgeneratoren, Analyse-Tools, KI-gestützte Auswertungen oder automatisierte Entscheidungsprozesse werden genutzt – oft schneller, als organisatorische Strukturen nachziehen können.

Doch eine zentrale Frage wird dabei häufig unterschätzt:

Wer trägt eigentlich die Verantwortung für den Einsatz von KI im Unternehmen?

Diese Frage ist keine technische. Sie ist rechtlich und organisatorisch.

KI ist kein IT-Projekt – sondern Organisationsverantwortung

Der Einsatz von KI-Systemen betrifft regelmäßig:

  • personenbezogene Daten (DSGVO),
  • unternehmensinterne Informationen,
  • Geschäftsgeheimnisse,
  • strategische Entscheidungsprozesse.

Damit liegt die Verantwortung nicht allein bei der IT-Abteilung.
Nach Art. 24 DSGVO ist die Unternehmensleitung verpflichtet, geeignete technische und organisatorische Maßnahmen zu implementieren.

Auch im Kontext von Informationssicherheit gilt:
Verantwortung für Sicherheit ist eine Leitungsaufgabe – keine rein operative Aufgabe.

KI-Systeme müssen daher in bestehende Governance-Strukturen eingebunden werden.

Datenschutzrechtliche Verantwortlichkeit nach der DSGVO

Sobald ein KI-System personenbezogene Daten verarbeitet, gelten die Anforderungen der DSGVO:

  • Rechtsgrundlage nach Art. 6 DSGVO
  • Transparenzpflichten nach Art. 13, 14 DSGVO
  • Auftragsverarbeitung nach Art. 28 DSGVO
  • Sicherheit der Verarbeitung nach Art. 32 DSGVO
  • ggf. Datenschutz-Folgenabschätzung nach Art. 35 DSGVO

Die Verantwortung hierfür trägt der Verantwortliche im Sinne des Art. 4 Nr. 7 DSGVO – also das Unternehmen, vertreten durch die Geschäftsleitung.

Eine „Schattennutzung“ von KI-Tools durch einzelne Fachabteilungen entbindet nicht von dieser Verantwortung.

Informationssicherheit: KI als Risikofaktor

KI-Systeme können neue Sicherheitsrisiken erzeugen, etwa:

  • unkontrollierte Datenabflüsse,
  • Weiterverarbeitung durch Drittanbieter,
  • fehlende Zugriffskontrollen,
  • Manipulation durch fehlerhafte Trainingsdaten,
  • Abhängigkeiten von externen Anbietern.

Aus Sicht eines Informationssicherheitsmanagementsystems (ISMS) ist KI daher als eigener Risikofaktor zu bewerten.

Die Einbindung in Risikoanalyse, Schutzbedarfsfeststellung und Maßnahmenplanung ist zwingend erforderlich.

NIS-2 und die Verantwortung der Leitungsebene

Für bestimmte Unternehmen verschärfen sich die Anforderungen zusätzlich durch die NIS-2-Richtlinie.

Diese verpflichtet Leitungsorgane ausdrücklich zur:

  • Billigung von Sicherheitsmaßnahmen,
  • Überwachung ihrer Umsetzung,
  • Teilnahme an Schulungen,
  • persönlichen Verantwortlichkeit bei Pflichtverstößen.

Auch wenn KI nicht ausdrücklich genannt wird, fällt ihr Einsatz unter die allgemeinen Anforderungen an Risikomanagement und IT-Sicherheit.

Die Leitungsebene kann diese Verantwortung nicht delegieren – sie kann nur Aufgaben übertragen, nicht die Haftung.

Typische Organisationsfehler beim KI-Einsatz

In der Praxis zeigen sich wiederkehrende Problemfelder:

  1. Keine zentrale Entscheidung zur Einführung von KI-Tools
  2. Fehlende Dokumentation der eingesetzten Systeme
  3. Keine vertragliche Prüfung der Anbieter
  4. Keine Risikoanalyse
  5. Unklare Zuständigkeiten zwischen IT, Fachabteilung und Datenschutz

Diese Lücken führen nicht nur zu Compliance-Risiken, sondern auch zu strategischen Unsicherheiten.

Was Unternehmen jetzt konkret tun sollten

Ein strukturierter Umgang mit KI beginnt mit:

  1. Bestandsaufnahme aller eingesetzten KI-Systeme
  2. Rechtlicher Einordnung der jeweiligen Verarbeitung
  3. Prüfung von Auftragsverarbeitungsverträgen
  4. Bewertung im Rahmen des ISMS
  5. Festlegung klarer Verantwortlichkeiten
  6. Dokumentation der Entscheidungsprozesse

KI erfordert keine Innovationsbremse – sondern Organisationsklarheit.

Fazit: Verantwortung ist nicht delegierbar

Der Einsatz von KI-Systemen ist kein isoliertes Digitalisierungsprojekt.
Er betrifft Datenschutz, Informationssicherheit und Unternehmensführung gleichermaßen.

Die Verantwortung liegt beim Unternehmen – und damit bei der Leitungsebene.

Wer KI strategisch einführen will, braucht klare Zuständigkeiten, belastbare Dokumentation und eine saubere Einbindung in bestehende Compliance- und Sicherheitsstrukturen.

Nur so wird aus technischer Möglichkeit organisatorische Stabilität.

Hat Ihnen der Beitrag gefallen?

Neue Fachbeiträge per E-Mail erhalten → Newsletter abonnieren