KI-Governance

Mit dem Inkrafttreten der EU-KI-Verordnung gewinnen bestehende Datenschutzanlagen eine neue Bedeutung. Während die DSGVO den Schutz personenbezogener Daten in den Mittelpunkt stellt, zielt die KI-VO auf die Regulierung von Risiken durch KI-Systeme. Doch beide Regelwerke überschneiden sich, wie unter anderem bei Transparenzpflichten, Risikobewertung und Dokumentation. Eine Überführung von Datenschutzmanagement und KI-Governance in ein integriertes System könnte also lohnen.

Datenschutz-Managementsysteme sind oftmals bereits robust, bewährt und langjährig erprobt. Es besteht also die Möglichkeit, Synergien zu bündeln. Das verspricht weniger aufwändig zu sein als verschiedene Systeme parallel zu pflegen. Beide Verordnungen stellen ähnliche Anforderungen an die Pflichtbereiche, wodurch sich anbietet, eine Verbindung herzustellen. So kann Doppelarbeit vermieden werden.

Neue internationale Normen als Bausteine

Aktualisierte internationale Normen liefern nützliche Orientierungspunkte, um Datenschutz und KI-Governance strukturiert einzubetten:

  • ISO/IEC 27701 erweitert ISO 27001 um Datenschutzanforderungen und definiert ein Privacy Information Management System (PIMS). Dieses unterstützt Organisationen dabei, die Verarbeitung personenbezogener Daten systematisch zu steuern und die Einhaltung globaler Datenschutzrechte nachzuweisen.
  • ISO/IEC 42001 ist seit Dezember 2023 der erste internationale Standard für ein Artificial Intelligence Management System (AIMS). Er legt Anforderungen für verantwortungsbewusste, robuste und nachvollziehbare KI Nutzung fest.
  • ISO/IEC 38507 richtet sich an Führungskräfte und Vorstände und legt Grundsätze für die Steuerung der KI-Nutzung in Organisationen fest.

Künstliche Intelligenz (KI/AI) Online Schulung

Drei Prinzipien für eine integrierte Datenschutz- und KI-Governance

Für ein tragfähiges Zusammenwirken von Datenschutz und KI Management bieten sich drei Leitsätze an:

  1. Rollen und Risikoorientierungs-Verpflichtungen ergeben sich sowohl aus der Rolle des Unternehmens (als Verantwortlicher oder Auftragsverarbeiter) als auch aus der individuellen Risikobetrachtung. Dies lässt sich organisatorisch abbilden, indem Zuständigkeiten klar definiert und zentral gemanagt werden.
  2. Daten und System-Lebenszyklusdenken: Compliance muss sich von der Konzeption bis zur Außerbetriebnahme durch alle Phasen eines KI-Systems ziehen. Kontinuierliche Bewertung, Dokumentation und Verbesserungen sind unerlässlich.
  3. Nachweis und Dokumentationsfokus: Rechenschaft fordert KI-VO ebenso wie DSGVO. Ein konsolidiertes System zur Nachweisführung erleichtert interne und externe Kontrollen und stärkt die Transparenz.

Shop-Produkt KI-Beauftragter

Praxisrelevante Pflichtbereiche bei Datenschutz und KI-Governance

Eine integrierte Strategie könnte folgendermaßen aussehen:

  • Compliance-Management-System: Ein gemeinsames System, das sowohl Datenschutz als auch KI-Risiken umfasst.
  • Folgenabschätzung: Data Protection Impact Assessment (DPIA) kann mit KI-Risk Impact Assessment verbunden werden.
  • Dokumentation & Nachweis: Ein zentrales Register dokumentiert Verarbeitungsschritte, Entscheidungen und Maßnahmen.
  • Informationspflichten: Transparenz gegenüber Betroffenen und Nutzern muss DSGVO-konform sein und zugleich die Nutzerfreundlichkeit von KI sichtbar machen.
  • Lieferantenmanagement: KI-Provider oder Datenlieferanten müssen kontrolliert und vertraglich eingebunden werden.
  • Sicherheit & Maßnahmen: Technische Maßnahmen wie Verschlüsselung, Zugriffsschutz und De-Identification betreffen beides.
  • Vorfallmeldung: Datenschutzverletzungen und KI bezogene Vorfälle werden der gleichen Stelle gemeldet.
  • Datengovernance & Datenqualität: Datenqualität ist Kernanforderung bei KI und Datenschutz.
  • Schulung & Kompetenz: Mitarbeitende benötigen Wissen sowohl zu Datenschutzvorgaben als auch zur KI Verantwortung.

Bereit für GEO mit dem Summer of Compliance

Wie Sie Synergien konkret heben können

Ein Unternehmen könnte beispielsweise sein bestehendes ISMS nach ISO 27001 und PIMS nach ISO 27701 um die KI Managementstruktur nach ISO 42001 ergänzen. ISO 38507 sorgt zusätzlich für Governance Leitlinien auf Ebene der Unternehmensführung.

Strategisches Vorgehen

  • Bestandsaufnahme: Welche Datenschutzprozesse bestehen bereits? Welche KI-Anwendungen sind geplant oder im Einsatz?
  • Gap Analyse: Wie weit decken bestehende Systeme (DSGVO-Compliance, ISO 27001/27701) bereits KI Pflichten ab?
  • Priorisierung: Pflichtbereiche mit hohem Synergiepotential zuerst angehen, etwa DPIA & Risikoanalyse.
  • Integration: Ein gemeinsames Steuerungsgremium für Datenschutz und KI Governance etablieren.
  • Standardnutzung: ISO/IEC 42001 implementieren als Brücke zwischen technischem Management und Governance Vorgaben. ISO/IEC 38507 unterstützt auf Vorstandsebene, ISO/IEC 27701 stärkt Datenschutz Legitimierung.
  • Zertifizierung: Externe Nachweise durch Audit und Zertifizierung (bei Bedarf ISO 42001, 27701) für Vertrauensbildung.

Fazit: Nachhaltige Compliance durch vereinte Strukturen

Ein integriertes Datenschutz- und KI Governance System kann Doppelarbeit reduzieren, klarere Verantwortlichkeiten schaffen, stärkere Rechenschaftsnachweise erbringen und ermöglicht effizienten Ressourceneinsatz. Normen wie ISO/IEC 27701, ISO/IEC 42001 und ISO/IEC 38507 bilden dabei das Rückgrat.

Wenn Sie Unterstützung bei der Umsetzung wünschen oder eigene Governance Systeme evaluieren möchten, kontaktieren Sie uns gerne.

  • Dieses Feld dient zur Validierung und sollte nicht verändert werden.
Hat Ihnen dieser Beitrag gefallen? Dann teilen Sie ihn!
Hermine Klehm
Hermine Klehm
Veröffentlicht am 28. Juli 2025

Hermine Klehm ist Content-Managerin mit einem Hintergrund in Deutscher Literatur und Philosophie. Sie verfasst Inhalte für Blogs und Websites. Mit einem feinen Gespür für Sprache und Struktur verbindet sie kreative Textarbeit mit strategischem Content-Marketing.

Tags: