KI Compliance & Governance

KI sicher einsetzen — nicht auf Verdacht.

Die Regulierung rund um künstliche Intelligenz entwickelt sich rasant. DSGVO-Pflichten gelten weiterhin, der EU AI Act wird schrittweise eingeführt, und Ihre Mitarbeitenden nutzen KI-Tools bereits — mit oder ohne interne Richtlinien. Dieser Service hilft mittelständischen Unternehmen, strukturiert, informiert und vorbereitet zu sein.

Die meisten Unternehmen tappen bei KI-Compliance im Dunkeln

Die KI-Nutzung in Unternehmen wächst schneller als die Richtlinien und Strukturen, die sie steuern sollen. Das Ergebnis ist nicht nur rechtliches Risiko — es ist Unsicherheit, Inkonsistenz und vermeidbares Risiko, das mit der Zeit größer wird.

Drei Schmerzpunkte, die wir sehen:

Keine KI-Nutzungsrichtlinie
Ihre Mitarbeitenden verwenden ChatGPT, Copilot und ein Dutzend anderer Tools. Niemand hat definiert, was erlaubt ist, was nicht — oder was mit den eingegebenen Daten passiert.
DSGVO-Lücken
KI-Tools verarbeiten, speichern und trainieren manchmal auf Basis von Daten. Die meisten Unternehmen haben kein klares Bild davon, ob ihr KI-Stack DSGVO-konform ist — oder wo die Lücken liegen.
Der EU AI Act
Der EU AI Act ist kein Zukunftsproblem. Die Pflichten werden jetzt stufenweise eingeführt. Viele Unternehmen wissen noch nicht, in welche Risikokategorie ihre KI-Systeme fallen — oder was das für sie bedeutet.

Was wir gemeinsam navigieren

Vier Bereiche, in denen die meisten mittelständischen Unternehmen Struktur, Klarheit und einen praktischen Ausgangspunkt benötigen.

1. DSGVO & Datenschutz im KI-Kontext

KI-Tools verändern, wie personenbezogene Daten durch Ihre Organisation fließen. Wir helfen Ihnen, zu kartieren, welche Tools mit personenbezogenen Daten interagieren, die anwendbaren Rechtsgrundlagen zu identifizieren und Datenflüsse so zu dokumentieren, dass sie einer Prüfung standhalten. Dazu gehören die Überprüfung von Auftragsverarbeitungsverträgen und die Bewertung, ob Ihre aktuelle KI-Nutzung mit Ihren bestehenden Datenschutzrichtlinien übereinstimmt.

2. EU AI Act Readiness

Der EU AI Act klassifiziert KI-Systeme nach Risikoniveau — und Ihre Pflichten hängen direkt davon ab, welche Kategorie auf Ihre Tools und Anwendungsfälle zutrifft. Wir helfen Ihnen, das Klassifizierungsrahmenwerk zu verstehen, zu identifizieren, welche Ihrer KI-Anwendungen darunter fallen, und die daraus resultierenden Anforderungen an Dokumentation, Transparenz und menschliche Aufsicht zu skizzieren. Keine Rechtsberatung — aber ein klares Bild, wo Sie stehen und was als nächstes zu tun ist.

3. Datensicherheit & KI-Tool-Bewertung

Nicht alle KI-Tools sind gleich, wenn es darum geht, wie sie mit Ihren Daten umgehen. Wir bewerten die Sicherheitslage der von Ihnen genutzten Plattformen: Datenaufbewahrungs-richtlinien, Opt-outs beim Modelltraining, vertragliche Schutzmaßnahmen mit Anbietern und interne Zugriffskontrollen. Das Ziel ist eine fundierte Einschätzung der Risikolage — damit Sie bessere Entscheidungen bei Beschaffung und Nutzung treffen können.

4. Interne KI-Richtlinien & Governance-Rahmen

Bevor Sie KI steuern können, brauchen Sie eine Richtlinie, die Ihre Mitarbeitenden tatsächlich befolgen können. Wir helfen Ihnen, praxisnahe, verständliche Leitlinien zu erarbeiten — Nutzungsrichtlinien, rollenbasierte Zugriffsregelungen und eine Governance-Struktur, die mit Ihrem Unternehmen wächst. Kein bürokratischer Overhead. Klare Regeln, die das Unternehmen schützen und den Mitarbeitenden die nötige Orientierung geben.

Wie wir vorgehen

Ein strukturierter Prozess — pragmatisch, nicht theoretisch.

Schritt 1

Schritt 2

Schritt 3

Analysieren

Wir beginnen mit einer strukturierten Bestandsaufnahme Ihrer KI-Tool-Landschaft, Datenflüsse und bestehenden Richtlinien. Das Ziel: eine ehrliche Lückenanalyse — wo sind Sie exponiert, und was fehlt?<br>

Strukturieren

Auf Basis der Analyse erstellen wir einen priorisierten Aktionsplan. Dazu gehören entworfene Richtliniendokumente, eine Compliance-Roadmap und klare Empfehlungen, die Ihr Team umsetzen kann — ohne Jurastudium.

Befähigen

Wir übergeben alles in einem Format, das Ihr Team selbst pflegen und weiterentwickeln kann. Sie sind nicht dauerhaft von uns abhängig — die Ergebnisse sind Frameworks und Dokumentationen, die in Ihrer Organisation verbleiben.

Wichtiger Hinweis zur Art dieses Angebots

Ralf Hug und Shifu Marketing sind keine Rechtsanwälte und bieten keine Rechtsberatung an. Nichts in diesem Service stellt eine rechtliche Beratung, eine formelle Compliance-Zertifizierung oder ein verbindliches Rechtsgutachten dar.
Was wir anbieten, ist strategische und operative Begleitung: Wir helfen Ihnen, die regulatorische Landschaft zu verstehen, Lücken in Ihrer Organisation zu identifizieren, bessere Fragen an Ihre Rechtsabteilung oder Ihren Anwalt zu stellen und interne Strukturen aufzubauen, die Best Practices widerspiegeln.
Für verbindliche Rechtsauskünfte, die Bestellung eines Datenschutzbeauftragten oder eine formelle Compliance-Bestätigung benötigen Sie einen qualifizierten Rechtsanwalt oder zertifizierten Datenschutzbeauftragten. Wir helfen Ihnen gerne dabei, die richtigen Fragen für dieses Gespräch zu formulieren.

Betrachten Sie dieses Engagement als Ihren Compliance-Startpunkt — nicht als Ersatz für rechtliche Expertise.

Bereit für Klarheit über Ihre KI-Compliance?

Sie müssen nicht alles bereits gelöst haben, bevor wir sprechen. Die meisten Unternehmen kommen mit dem Gefühl, dass etwas getan werden muss — und gehen mit einem konkreten Plan, wie es umzusetzen ist.

Häufig gestellte Fragen (FAQ)

1. Muss mein Unternehmen den EU AI Act einhalten?

Wenn Ihr Unternehmen in der EU tätig ist, an EU-Kunden verkauft oder KI-Systeme einsetzt, die EU-Bürger betreffen, gilt der EU AI Act — unabhängig vom Unternehmensstandort. Die entscheidende Frage ist, in welche Risikokategorie Ihre KI-Systeme fallen, da dies Ihre konkreten Pflichten bestimmt. Genau dabei helfen wir Ihnen.

2. Wir haben bereits eine DSGVO-Richtlinie. Brauchen wir zusätzliche Maßnahmen für KI?

Bestehende DSGVO-Richtlinien berücksichtigen in der Regel nicht, wie KI-Tools personenbezogene Daten verarbeiten, speichern oder möglicherweise für das Training verwenden. Die meisten Standardrichtlinien wurden verfasst, bevor KI-Tools zum Alltag wurden. Wir prüfen, ob Ihre aktuelle Dokumentation Ihre tatsächliche KI-Nutzung abdeckt — und schließen Lücken, wo nötig.

3. Ist dies ein rechtlicher Service? Erhalte ich ein Compliance-Zertifikat?

Nein. Ralf Hug und Shifu Marketing sind keine Rechtsanwälte und bieten keine Rechtsberatung oder formelle Compliance-Zertifizierungen an. Was Sie erhalten, ist strategische und operative Begleitung — ein klares Bild Ihrer Compliance-Situation, einen priorisierten Aktionsplan und praxistaugliche Richtliniendokumente. Für verbindliche Rechtsgutachten benötigen Sie einen qualifizierten Anwalt oder zertifizierten DSB.

4. Wie lange dauert ein typisches Compliance-Engagement?

Die meisten Engagements beginnen mit einer strukturierten Analyse, die je nach Unternehmensgröße und Anzahl der genutzten KI-Tools 1–2 Wochen dauert. Die anschließende Entwicklung von Richtlinien und einem Governance-Rahmen hängt vom Umfang ab — die meisten mittelständischen Unternehmen haben innerhalb von 4–6 Wochen ein funktionsfähiges Dokumentenset.

5. Unsere Mitarbeitenden nutzen bereits KI-Tools. Ist es zu spät für eine Richtlinie?

Nein — und das ist tatsächlich die häufigste Situation, die wir antreffen. Nachträgliche Governance ist sehr gut umsetzbar. Der Ausgangspunkt ist immer eine ehrliche Bestandsaufnahme der genutzten Tools und deren Verwendung, gefolgt von einem Rahmenwerk, das Bewährtes formalisiert und Lücken schließt. Spät anzufangen ist deutlich besser als gar nicht anzufangen.