← Alle Lessons | KI-Compliance-Basics – Was du darfst, was du musst, was du lässt

KI-Compliance-Basics – Was du darfst, was du musst, was du lässt

Schritt 1 von 8

Darf ich das eigentlich?

KI-Compliance ist keine Juristensache. Es sind drei Gewohnheiten, die dich vor den häufigsten Fehlern schützen.

Ampel an einer Kreuzung zwischen verschiedenen KI-Anwendungen

Drei Fehler, die täglich passieren

Das Problem entsteht an drei Stellen: Eingabe, Ausgabe, Veröffentlichung. Drei typische Szenarien aus dem Arbeitsalltag:

  1. Der Datenschutz-Fehler: Ein Projektbericht mit Partnernamen und Förderkennzeichen wird in ChatGPT eingefügt, um eine Zusammenfassung zu erstellen. Risiko: Datenabfluss.
  2. Die erfundene Quelle: ChatGPT liefert eine plausible Statistik für eine Pressemitteilung. Die Zahl ist frei erfunden. Die PM geht raus. Risiko: Reputation.
  3. Das Logo im Bild: Ein KI-generiertes Bild für Social Media enthält im Hintergrund ein erkennbares Markenlogo. Unbemerkt. Risiko: Markenrecht.

Alle drei Fehler passieren nicht aus böser Absicht. Sondern weil niemand gezeigt hat, worauf man achten muss.

Was du in dieser Lesson lernst

Keine Rechtsvorlesung. Stattdessen: Praktische Orientierung entlang deines tatsächlichen Workflows. Du lernst drei Prüfmomente kennen, die zur Gewohnheit werden.

Step Thema Kernfrage
1Die SpielregelnWas reguliert der EU AI Act?
2Was darf rein?Welche Daten dürfen in die KI?
3Was kommt raus?Wie prüfe ich Text-Outputs?
4Vorsicht, Bild!Welche Rechte gelten bei KI-Bildern?
5Die ChecklisteWie mache ich das zur Routine?
💡
Du brauchst keine Vorkenntnisse und keine juristische Vorbildung. Wenn du schon mal ChatGPT, Claude oder ein Bild-KI-Tool genutzt hast, reicht das. Diese Lesson ist keine Rechtsberatung. Sie gibt dir praktische Orientierung. Bei konkreten Rechtsfragen: Fachanwalt.
Takeaway
Grundprinzip: KI-Compliance hat drei Prüfmomente: vor der Eingabe, nach der Generierung, vor der Veröffentlichung. Wer diese drei Stellen im Griff hat, macht 90% richtig.
Schritt 2 von 8

Die Spielregeln

Was die EU reguliert — und was das konkret für dich im Büroalltag bedeutet.

Vier Risikostufen des EU AI Act als Ampelsystem

Stell dir vor, du fährst Auto. Du musst nicht wissen, wie der Motor funktioniert. Aber die Verkehrsregeln musst du kennen. Der EU AI Act ist die Straßenverkehrsordnung für KI. Seit 2024 tritt er stufenweise in Kraft.

Vier Risikostufen — Wo stehst du?

Risikostufe Beschreibung Beispiele
VerbotenUnannehmbares RisikoSocial Scoring, Emotionserkennung am Arbeitsplatz, kognitive Manipulation
HochrisikoStreng reguliertHR/Bewerberauswahl, Kreditvergabe, Bildungsentscheidungen, kritische Infrastruktur
Begrenztes RisikoTransparenzpflichtenChatbots, generative KI (Text/Bild), Deepfakes
Minimales RisikoKeine neuen PflichtenSpam-Filter, Videospiele, Inventory Management
💡
Die meisten Anwendungen im Büroalltag — ChatGPT für Texte, Bildgenerierung, Übersetzungen — fallen unter "Begrenztes Risiko" oder "Minimales Risiko". Das bedeutet: erlaubt, aber mit Transparenzpflichten.

Was muss gekennzeichnet werden?

Ab dem 2. August 2026 werden Transparenzpflichten durchgesetzt:

  • Chatbots: Nutzer müssen wissen, dass sie mit einer KI interagieren.
  • KI-Texte und Bilder: Kennzeichnung als "KI-generiert" bei öffentlicher Nutzung.
  • Deepfakes: Maschinenlesbare Markierung verpflichtend. Für Menschen klar erkennbar kennzeichnen.
⚠️
Sanktionen: Bis zu 15 Mio. Euro oder 3% des weltweiten Jahresumsatzes. Das ist kein Kavaliersdelikt.

Quick-Check: Betrifft mich das?

Entscheidungsbaum
Nutzt du ein System, das eigenständig Inhalte generiert?
├── NEIN → Wahrscheinlich keine KI im Sinne der Verordnung
└── JA ↓

Analysiert es Emotionen am Arbeitsplatz oder macht Social Scoring?
├── JA → VERBOTEN. Sofort stoppen.
└── NEIN ↓

Wird es in HR, Kreditvergabe, Bildung oder kritischer Infrastruktur eingesetzt?
├── JA → Wahrscheinlich HOCHRISIKO. Compliance-Prüfung starten.
└── NEIN ↓

Interagiert es mit Menschen oder generiert Inhalte?
├── JA → TRANSPARENZPFLICHT. Kennzeichnung implementieren.
└── NEIN → Minimale Pflichten. Weiter so.
Übung

Aufgabe: Denke an die drei KI-Tools, die du am häufigsten nutzt. Ordne jedes einer Risikostufe zu.

  1. Tool-Name und Einsatzzweck notieren
  2. Risikostufe zuordnen (Verboten / Hochrisiko / Begrenzt / Minimal)
  3. Prüfen: Gelten Transparenzpflichten?

Zeitaufwand: ~3 Minuten

Takeaway
Regel #1: Der EU AI Act teilt KI in vier Risikostufen. Deine Büro-KI ist meist "Begrenztes Risiko" — erlaubt, aber mit Kennzeichnungspflicht. Ab August 2026 wird das durchgesetzt. Fang jetzt an, KI-Inhalte zu kennzeichnen.
Schritt 3 von 8

Was darf rein?

Personenbezogene Daten, Unternehmensgeheimnisse und die Zwei-Sekunden-Prüfung vor jedem Prompt.

Schleuse vor einem KI-Eingabefeld — was darf rein, was nicht

Du willst ein Protokoll zusammenfassen lassen. Im Text stehen Personalnummern, Krankmeldungen und der Name einer Kollegin. Darf das in ChatGPT? Kurze Antwort: Nein. Längere Antwort: Es kommt auf das Tool an.

Die roten Linien: Art. 9 DSGVO

Für diese Datenkategorien gilt ein grundsätzliches Verarbeitungsverbot. Sie dürfen unter keinen Umständen in externe KI-Tools eingegeben werden:

  • Gesundheitsdaten (Diagnosen, Krankschreibungen)
  • Ethnische Herkunft
  • Politische Meinungen / Religiöse Überzeugungen
  • Biometrische Daten
  • Sexuelle Orientierung

Personenbezogene Daten: Breiter als gedacht

Offensichtlich Oft übersehen
Name, Adresse, E-MailDateipfade (z.B. \\server\transfer\loschke\...)
Telefonnummer, IBANMetadaten in Word/PDF (Autor, Änderungsverlauf)
Personal-, AusweisnummernEXIF-Daten in Fotos (GPS, Geräte-ID)
Fotos vom Gesicht, AudioKombinationen: "PM Abt. Quantenoptik Dresden"
💡
Faustregel: Wenn jemand mit Zusatzwissen herausfinden könnte, wer gemeint ist, sind es personenbezogene Daten.

Nicht das Tool ist das Problem — sondern die Kombination

Datentyp Öffentliche KI (ChatGPT Free) Enterprise KI (mit DPA) Self-Hosted / Lokal
Allgemeine Recherche✅ Erlaubt✅ Erlaubt✅ Erlaubt
Interne Prozesse❌ Nicht erlaubt⚠️ Mit Richtlinie✅ Erlaubt
Geschäftsgeheimnisse❌ Nicht erlaubt⚠️ Prüfung nötig✅ Erlaubt
Personenbezogene Daten❌ Nicht erlaubt⚠️ Mit Rechtsgrundlage⚠️ Mit Rechtsgrundlage
Art. 9 Daten (sensibel)❌ Nicht erlaubt❌ Im Regelfall nicht⚠️ Einzelfallprüfung
Zweite Faustregel: Wenn ein Wettbewerber sich über die Information freuen würde, gehört sie nicht in ein externes KI-Tool.

Zwei Techniken für den Soforteinsatz

Du musst nicht auf jede KI-Nutzung verzichten, nur weil sensible Daten im Spiel sind. Zwei einfache Techniken machen die meisten Texte KI-tauglich, ohne dass Informationen verloren gehen.

Technik 1: Maskierung

Bei der Maskierung ersetzt du konkrete Identifikatoren durch Platzhalter in eckigen Klammern. Der Trick: Die KI braucht die echten Namen nicht. Sie braucht nur die Struktur und die Rollen. Ob die Person "Marie Schmidt" oder "[PERSON_1]" heißt, ist für eine Zusammenfassung oder Analyse irrelevant.

Maskierung — Vorher / Nachher
Vorher:  Marie Schmidt, +49 170 12345, geb. 01.01.1970
Nachher: [NAME], [TELEFON], geb. [GEBURTSDATUM]

Vorher:  Herr Müller aus der Buchhaltung hat...
Nachher: [PERSON_1] aus [ABTEILUNG] hat...

Technik 2: Generalisierung

Generalisierung geht einen Schritt weiter: Statt Platzhalter zu setzen, machst du konkrete Details bewusst unscharf. Exakte Zahlen werden zu Größenordnungen, spezifische Abteilungen zu allgemeinen Beschreibungen, Firmennamen zu Rollen. Das Ergebnis bleibt für die KI genauso verwertbar — aber ein Rückschluss auf Personen oder Unternehmen wird unmöglich.

Generalisierung — Vorher / Nachher
Vorher:  Abt. Quantenoptik Dresden, Budget 67.432 €
Nachher: eine Fachabteilung, Budget ~65k €

Vorher:  die Fraunhofer Akademie hat beauftragt...
Nachher: unser Kunde hat beauftragt...
💡
Wann welche Technik? Maskierung eignet sich für einzelne Datenpunkte (Namen, Nummern, Daten). Generalisierung ist besser, wenn der gesamte Kontext zu spezifisch ist und Rückschlüsse durch Kombination möglich wären.
Das Modell braucht die konkreten Namen und Zahlen selten. Es braucht den Kontext und die Struktur. Maskierte und generalisierte Texte funktionieren fast immer genauso gut — oft sogar besser, weil die KI sich auf das Wesentliche konzentriert.
Übung

Aufgabe: Nimm einen Absatz aus einem internen Dokument (E-Mail, Protokoll, Bericht).

  1. Markiere alle personenbezogenen Daten und Geschäftsgeheimnisse
  2. Maskiere oder generalisiere jede Stelle
  3. Prüfe: Funktioniert der Text für die KI noch genauso gut?

Zeitaufwand: ~5 Minuten

Takeaway
Regel #2: Vor jeder Eingabe die Zwei-Sekunden-Prüfung: Stehen Personendaten, Geschäftsgeheimnisse oder Art.-9-Daten im Prompt? Falls ja: Maskieren, Generalisieren oder ein sichereres Tool wählen. Schnelltest: Würde ich das auf LinkedIn posten? Nein? Dann nicht in die Consumer-KI.
Schritt 4 von 8

Was kommt raus?

Urheberrecht, Halluzinationen und warum Copy-Paste doppelt riskant ist.

Lupe über einem KI-generierten Text — Faktencheck und Qualitätsprüfung

KI-Outputs sind Entwürfe, keine Ergebnisse. Das gilt rechtlich und inhaltlich. Zwei Risiken stecken in jedem generierten Text: Er könnte falsch sein. Und er könnte jemandem gehören.

Urheberrecht: Die zwei Seiten der Medaille

Beides ist gleichzeitig wahr und beides betrifft dich:

  1. Kein Schutz für dich: Rein KI-generierte Inhalte erhalten keinen Urheberrechtsschutz. Wettbewerber können deine KI-Texte frei kopieren.
  2. Risiko für dich: KI kann geschütztes Material aus Trainingsdaten reproduzieren. Veröffentlichst du das, haftest du für Urheberrechtsverletzungen.

Das Spektrum: Wann sind KI-Outputs geschützt?

Szenario Beispiel Schutzfähig?
KI als WerkzeugRechtschreibprüfung, Formatierung, SEO-OptimierungJa — du bleibst Urheber
Mensch steuertIteratives Prompting, substanzielle NachbearbeitungGrauzone — möglich, aber nicht sicher
KI autonomEinfacher Prompt → erster OutputNein — nicht schutzfähig
⚠️
Immer überarbeiten, nie blind übernehmen. Substanzielle Bearbeitung stärkt Qualität UND Rechtsposition. Copy-Paste ist doppelt riskant: inhaltlich und rechtlich.

Halluzinationen: Warum KI "lügt"

Die KI will den Satz beenden, nicht die Wahrheit sagen. Sie greift nicht auf eine Datenbank zu. Sie berechnet Wahrscheinlichkeiten für das nächste Wort. Eine erfundene Tatsache kann sprachlich perfekt passen.

Aufgabentyp Risiko Warum
Erschaffen (aus wenig Input viel Output)HochJe mehr die KI "frei erzählt", desto mehr muss ich prüfen
Reduzieren (zusammenfassen, filtern)NiedrigInformation kommt von dir, nicht von der KI
Umwandeln (Format, Sprache ändern)GeringInhalt bleibt im Wesentlichen gleich

Wo halluziniert KI am häufigsten?

  • Quellen und Zitate: Erfindet plausible aber nicht-existente Quellen
  • Rechtliche Aussagen: Paragraphen und Fristen werden plausibel kombiniert, aber falsch
  • Zahlen und Statistiken: Konkrete Zahlen wirken seriös, sind aber oft geschätzt oder erfunden
  • Personen und Biografien: Mischt echte und erfundene Fakten
  • Aktuelles: Alles nach dem Trainings-Cutoff wird geraten
  • Fachliche Randbereiche: Je nischiger das Thema, desto mehr Erfindung
Übung

Aufgabe: Generiere einen faktischen KI-Output oder nimm einen, den du kürzlich verwendet hast. Zum Beispiel:

Nenne mir 5 aktuelle Statistiken zu Remote Work in Deutschland.

  1. Prüfe jede einzelne Behauptung mit einer Suchmaschine
  2. Wie viele Fakten stimmen? Wie viele sind erfunden?
  3. Bei welchen Kategorien (Zahlen, Quellen, Personen) lagen die Fehler?

Zeitaufwand: ~5 Minuten

Takeaway
Regel #3: KI-Output ist ein Entwurf, kein Ergebnis. Drei Prüfungen nach jeder Generierung: Stimmen die Fakten? Gibt es Verzerrungen durch meinen Prompt? Habe ich substanziell überarbeitet? Je mehr die KI "frei erzählt" hat, desto kritischer prüfen.
Schritt 5 von 8

Vorsicht, Bild!

Persönlichkeitsrechte, Markenlogos und das Ampelsystem für KI-generierte Bilder.

Ampelsystem für KI-Bilder — Grün, Gelb, Rot

Ein KI-generiertes Bild für Social Media. Im Hintergrund: ein erkennbares Markenlogo. Im Vordergrund: eine Person, die einer bekannten Politikerin ähnelt. Beide Probleme sind unsichtbar — bis jemand klagt.

Die typischen Risiken bei KI-Bildern

  • Markenrechte: Cola-Flasche, Porsche-Silhouette, Logos, Künstlerstile (Pixar, Banksy). Aktiv gegensteuern bei Bild-Prompts!
  • Persönlichkeitsrechte: Bekannte Persönlichkeiten, unbeabsichtigte Doppelgänger. Immer mit fiktiven Personen arbeiten!
  • Wettbewerbsrecht: Optimierte oder verzerrte Darstellung eigener Produkte.
  • Bias: Stereotype Darstellungen (z.B. CEO = männlich/weiß, Hochzeit = westlich).
  • Falsche Details: Technisch inkorrekte Darstellungen (z.B. falsche Maschinenteile).

Das Ampelsystem

🟢
Sicher (Grün): Abstrakte Designs, Konzeptskizzen (intern), generische Umgebungen ohne Marken. Freigabe: du selbst.
🟡
Vorsicht (Gelb): KI-Bilder für externe Kommunikation, fotorealistische fiktive Personen, wissenschaftliche Visualisierungen. Freigabe: 4-Augen-Prinzip.
🔴
Stopp (Rot): Erkennbare reale Personen, sichtbare Markenlogos, Prompts mit echten Namen, Fotorealismus ohne Kennzeichnung. Freigabe: Rechtsabteilung.

Drei Szenarien aus der Praxis

Szenario Ampel Warum
"Elon Musk testet unser Produkt"🔴 RotPersönlichkeitsrecht + unlauterer Wettbewerb
Nike-Logo im Hintergrund eines KI-Bildes🔴 RotMarkenverletzung nach § 14 MarkenG
Fotorealistische fiktive Person für Website🟡 GelbRestrisiko Doppelgänger + Kennzeichnungspflicht
Übung

Aufgabe: Öffne dein Bild-KI-Tool und generiere ein Bild für einen fiktiven Social-Media-Post deiner Firma.

  1. Prüfe das Ergebnis mit dem Ampelsystem: Grün, Gelb oder Rot?
  2. Enthält es erkennbare Personen? Markenlogos? Bekannte Gebäude?
  3. Wie würdest du das Bild kennzeichnen?

Zeitaufwand: ~5 Minuten

Takeaway
Regel #4: Jedes KI-Bild vor Veröffentlichung durch das Ampelsystem prüfen. Grün = go. Gelb = zweite Meinung. Rot = Finger weg. Die zwei entscheidenden Fragen: Ist eine reale Person erkennbar? Ist ein Markenlogo sichtbar? Beide mit Nein beantworten können.
Schritt 6 von 8

Die Checkliste

Input, Output, Publish — drei Momente, eine Routine. Plus der 4-Fragen-Test für Grauzonen.

Drei Prüfmomente als Workflow-Diagramm

Du hast jetzt das Wissen. Jetzt braucht es eine Gewohnheit. Die gute Nachricht: Drei Fragen an drei Stellen reichen aus, um die häufigsten Compliance-Fehler zu vermeiden.

Die drei Prüfmomente

Moment Frage Prüfe auf
1. Vor dem InputWas gebe ich ein?Personendaten maskiert? Art. 9 ausgeschlossen? Geschäftsgeheimnisse gefiltert? Passendes Tool gewählt?
2. Nach der GenerierungWas kommt raus?Fakten verifiziert? Quellen gegengeprüft? Bias und Stereotype geprüft? Substanziell überarbeitet?
3. Vor der VeröffentlichungDarf das raus?Urheberrecht geklärt? Personen/Marken im Bild geprüft? Als KI-generiert gekennzeichnet?

Kompakt-Checkliste zum Mitnehmen

Vor dem Input

  • Personenbezogene Daten maskiert?
  • Art. 9 Daten (Gesundheit, Religion etc.) ausgeschlossen?
  • Geschäftsgeheimnisse gefiltert?
  • Passendes Tool (Enterprise vs. Consumer) gewählt?

Nach der Generierung

  • Fakten und Zahlen verifiziert?
  • Quellenangaben gegengeprüft?
  • Auf Bias und Stereotype geprüft?
  • Substanziell überarbeitet (nicht nur Copy-Paste)?

Vor der Veröffentlichung

  • Text: 4-Augen-Prinzip bei externen Texten?
  • Bild: Personen und Marken geprüft (Ampelsystem)?
  • Als KI-generiert gekennzeichnet?
  • Transparenzpflichten erfüllt?

Für Grauzonen: Der 4-Fragen-Test

Nicht alles ist schwarz oder weiß. Wenn die Checkliste nicht weiterhilft, stell dir vier Fragen:

  1. Transparenz-Test: Wäre ich bereit, öffentlich zu erklären, wie wir die KI hier einsetzen?
  2. Fairness-Test: Behandeln wir alle Betroffenen fair und respektvoll?
  3. Konsequenz-Test: Was passiert, wenn alle Organisationen so handeln würden?
  4. Bauchgefühl-Test: Fühlt sich die Entscheidung richtig an? Unbehagen ernst nehmen.
💡
Entscheidungsregel: Alle 4 "Ja" = vertretbar. Ein "Nein" oder "Unsicher" = Pause und Rücksprache.
Übung

Aufgabe: Nimm ein konkretes KI-Projekt aus deinem Alltag — einen Text, ein Bild, eine Analyse.

  1. Gehe die Kompakt-Checkliste Punkt für Punkt durch
  2. Notiere, wo du unsicher bist
  3. Wende bei Unsicherheit den 4-Fragen-Test an
  4. Entscheide: Veröffentlichen, überarbeiten oder verwerfen?

Zeitaufwand: ~5 Minuten

Takeaway
Regel #5: Mach die Drei-Punkte-Prüfung zur Gewohnheit: Input prüfen, Output prüfen, Veröffentlichung prüfen. Für Grauzonen gibt es den 4-Fragen-Test. Compliance ist kein einmaliges Projekt, sondern ein Reflex.
Schritt 7 von 8

KI nutzen, aber richtig

Alle Regeln auf einen Blick — und drei Schritte, die du heute noch umsetzen kannst.

Grüne Ampel leuchtet — bereit für den sicheren KI-Einsatz

KI-Compliance klingt nach Bürokratie. In Wahrheit sind es fünf Regeln und drei Gewohnheiten. Du hast jetzt beides.

Die fünf Regeln dieser Lesson

# Regel Kurzfassung
1Die Spielregeln kennenEU AI Act: 4 Risikostufen, Kennzeichnungspflicht ab August 2026
2Input prüfenZwei-Sekunden-Prüfung: Personendaten maskieren, richtiges Tool wählen
3Output prüfenKI-Output = Entwurf. Fakten prüfen, substanziell überarbeiten
4Bilder prüfenAmpelsystem: Grün = go, Gelb = zweite Meinung, Rot = Finger weg
5Routine entwickelnDrei-Punkte-Check + 4-Fragen-Test für Grauzonen

Dein Minimal-Setup: Drei Schritte für heute

  1. Prüfe deine Tools: Welche KI-Tools nutzt du? Consumer-Version oder Enterprise? Ist ein Auftragsverarbeitungsvertrag vorhanden?
  2. Maskiere ab sofort: Bei jedem Prompt mit internen Daten — Personennamen ersetzen, Geschäftsgeheimnisse generalisieren.
  3. Kennzeichne proaktiv: KI-generierte Inhalte ab heute als solche markieren. Nicht auf den Stichtag 2026 warten.
Du musst nicht alles auf einmal umsetzen. Starte mit dem Input-Check (Regel #2). Das hat den größten Sofort-Effekt und wird schnell zur Gewohnheit.

Ausblick: Governance im Team

Wenn du KI nicht nur allein nutzt, sondern im Team oder in der Organisation einführen willst, braucht es zwei Dokumente: Eine schlanke Compliance-Richtlinie (Was darf, was nicht? Max. 5-10 Seiten, selten aktualisiert) und ein lebendiges Anwenderhandbuch (Wie nutzen wir KI richtig? Wiki-Stil, wächst durch Mitarbeitende). Die Richtlinie schützt. Das Handbuch befähigt. Beides zusammen ist die Basis für professionellen KI-Einsatz im Team.

Takeaway
Fazit: KI-Compliance ist kein Hindernis, sondern die Voraussetzung für professionellen KI-Einsatz. Drei Prüfmomente, fünf Regeln, ein Ampelsystem. Du bist jetzt ausgestattet, um KI sicher und selbstbewusst zu nutzen. Starte heute mit dem Input-Check.
Schritt 8 von 8

Begriffe & Fragen

Die Begriffe und Fragen unten sind redaktionell gepflegt und verlinken zu ausführlichen Erklärungen im Glossar und FAQ. Nutze sie zum Nachschlagen und zur Vertiefung.

Begriffe aus dieser Lesson

  • Auftragsverarbeitungsvertrag — Ein Auftragsverarbeitungsvertrag (AVV) regelt, wie ein KI-Anbieter mit den personenbezogenen Daten umgeht, die du ihm zur Verarbeitung gibst. Ohne AVV keine DSGVO-konforme Nutzung mit personenbezogenen Daten.
  • DSGVO im KI-Kontext — Die DSGVO regelt den Umgang mit personenbezogenen Daten, auch wenn KI-Tools involviert sind. Solange keine personenbezogenen Daten in die KI fließen, greift die DSGVO nicht. Sobald sie fließen, braucht es eine Rechtsgrundlage.
  • EU AI Act — Der EU AI Act ist die erste umfassende KI-Regulierung weltweit. Er klassifiziert KI-Systeme nach Risikoklassen (verboten, hoch, begrenzt, minimal) und definiert Pflichten für Anbieter und Betreiber.
  • Prompt Injection — Prompt Injection ist ein Sicherheitsproblem, bei dem Nutzer-Input die System-Anweisungen eines KI-Systems manipuliert. Das Modell folgt dann den eingeschleusten Anweisungen statt den vorgesehenen.

Passende Fragen

  • Betrifft der EU AI Act nur KI-Entwickler?
    Nein. Der AI Act reguliert auch Betreiber, also Anwender. Wer KI im Unternehmen einsetzt, hat Transparenzpflichten und muss Risikoklassen beachten. Sich als „reiner Nutzer" aus der Verantwortung zu nehmen, funktioniert rechtlich nicht.
  • Ist das Ersetzen von Namen schon Anonymisierung?
    Nein. Namen durch „Person A" zu ersetzen ist Pseudonymisierung, nicht Anonymisierung. Die DSGVO gilt weiterhin, weil ein Rückschluss auf die echte Person noch möglich ist, zum Beispiel über den Kontext der Daten.
  • Ist der API-Zugang zu KI automatisch sicherer als die App?
    Nicht unbedingt. Entscheidend ist, ob ein Auftragsverarbeitungsvertrag vorliegt, wo die Daten verarbeitet werden und ob sie für das Training genutzt werden. Die Schnittstelle allein sagt über Sicherheit wenig aus.
  • Ist Open-Source-KI nicht vom AI Act reguliert?
    Nur teilweise. Die Open-Source-Ausnahme des AI Act gilt für Systeme mit minimalem und begrenztem Risiko. Bei Hochrisiko-Anwendungen gelten dieselben Pflichten wie für kommerzielle Modelle.
  • Sind KI-generierte Texte urheberrechtlich geschützt?
    In der Regel nein. Ein einfacher Prompt reicht nicht, um ein eigenes Werk zu schaffen. Erst substanzielle menschliche Bearbeitung begründet Urheberschutz. Wer KI-Texte direkt weiterverwendet, hat oft keine exklusiven Rechte daran.
  • Verbietet die DSGVO KI-Nutzung?
    Nein. Die DSGVO setzt Bedingungen für die Verarbeitung personenbezogener Daten, verbietet KI aber nicht. KI-Nutzung mit anonymisierten oder öffentlichen Daten ist unproblematisch. Wer personenbezogene Daten verarbeitet, braucht eine saubere Rechtsgrundlage.
Rico Loschke

Rico Loschke

KI-Stratege & Übersetzer zwischen Tech und Business

15+ Jahre Digitalisierung, 4+ Jahre KI. Ich übersetze zwischen Technologie und Unternehmensstrategie, berate und trainiere Organisationen auf ihrem KI-Weg. Hier teile ich, was ich dabei lerne.

loschke.ai. Visionen, Konzepte, Meinungen →
unlearn.how

Diese Lessons gibt es auch als Team-Training.

Workshops, Seminare und Begleitung für Unternehmen, die KI nicht nur verstehen, sondern anwenden wollen.

Mehr erfahren →