Rollen bei der Einführung von KI-Systemen im Unternehmen

Inhalt Anzeigen

Künstliche Intelligenz ist überall. Sie steckt in unseren Office-Programmen, schreibt E-Mails und trifft Entscheidungen. Die Begeisterung ist riesig. Doch wer übernimmt eigentlich die Verantwortung, wenn KI-Systeme ins Unternehmen einziehen? Und welche Sicherheitsrisiken entstehen dabei?

Die Antwort ist komplizierter als gedacht – denn verschiedene Regelwerke verwenden unterschiedliche Begriffe für dieselben Akteure. Das sorgt für Verwirrung und macht professionelle Beratung unverzichtbar.

Der Unterschied zwischen ISO-Standards und EU AI Act

Der EU AI Act ist im Elfenbeinturm in Brüssel entstanden und sieht primär die KI-Risiken, vor denen die EU als Kindermädchen ihre unmündigen Bürger schützen muss. Die EU verpflichtet beispielsweise alle Unternehmen, ihre Mitarbeiter zu KI weiterzubilden, statt diese Entscheidung dem Eigeninteresse und der Eigenverantwortung der Unternehmen zu überlassen.

Besonders problematisch ist, dass die EU zwischen dem Betreiber des KI-Systems im Sinne des Bereitstellers und dem Betreiber im Sinne des Prompt-Eingebers keine klare Unterscheidung trifft. Jeder, der ein KI-System benutzt und Eingaben tätigt, gilt als Betreiber mit einer langen Folge von Verpflichtungen. Vielen Unternehmen ist das noch gar nicht bewusst.

Die ISO-Arbeitsgruppe hingegen ist als internationales Standardisierungsgremium auch von Wissenschaftlern aus Amerika, China und anderen Ländern besetzt und hat deshalb einen anderen Schwerpunkt. Generell geht es im AIMS (Artificial Intelligence Management System) zwar auch um die Verantwortung für Personen, Gruppen und die Gesellschaft, aber nicht in Form von Verboten, sondern in Form von Risikobetrachtungen und individuellen Entscheidungen.

Die verschiedenen Rollenmodelle im Überblick

ISO-Standard (ISO 22989 – Concepts and Terminology)

  • AI Producer (Entwickler)
  • AI Provider (Anbieter)
  • AI Customer (Nutzer)
  • AI Partner (Systemintegrator)
  • AI Subject (Betroffene)

EU AI Act

  • Anbieter (Provider)
  • Betreiber (Deployer/User)
  • Bevollmächtigter
  • Importeur
  • Händler
  • Betroffene Personen

Die unterschiedlichen Begriffe führen zu Missverständnissen. Was die ISO als „Customer“ bezeichnet, nennt der EU AI Act „Betreiber“. Der ISO „Provider“ entspricht dem EU „Anbieter“. Diese terminologische Verwirrung macht klare Kommunikation schwierig.

Eine Vergleichstabelle zwischen ISO und EU-AI Act finden Sie unten im Anhang2

Rollen bei der Einführung von KI im Unternehmen nach ISO

Die ISO-Arbeitsgruppe JTC1/SC42 hat deshalb ein klares Rollenmodell entwickelt. Sechs zentrale Akteure bestimmen, wie KI erfolgreich und sicher im Unternehmen funktioniert. (In Klammern haben wir jeweils die Bezeichnung laut EU-AI Act geschrieben.)

OpenAI als AI Producer (Anbieter1)

Sie entwickeln die Grundmodelle und trainieren sie mit Milliarden von Parametern. Als AI Producer tragen sie die Verantwortung für technische Integrität und Sicherheit. Ist das Fundament fehlerhaft, wackelt das ganze System. Ihre Dokumentation und Risikobewertungen entscheiden maßgeblich über die Qualität der späteren Anwendungen.

Microsoft als AI Provider (Anbieter1)

Microsoft nimmt OpenAIs Technologie, verpackt sie in Copilot und bringt sie an den Kunden. Theoretisch sollen sie dabei kosteneffizient, wirtschaftlich und nachhaltig agieren. Praktisch erleben wir aggressives Upselling und explodierende Energiekosten in den Rechenzentren. Nachhaltigkeit steht bisher nicht auf der Prioritätenliste.

Ihr Unternehmen als AI Customer (Betreiber1)

Sie setzen die KI-Tools ein und übernehmen damit eine Menge Verantwortung. Der EU AI Act verpflichtet Sie zu Transparenz, Risikoanalysen und lückenloser Dokumentation. Die Realität zeigt: Nur wenige Unternehmen sind darauf vorbereitet. Compliance wird oft erst zum Thema, wenn es schon zu spät ist.

Systemintegratoren als AI Partner

Beratungsfirmen und Reseller implementieren die Lösungen und schulen Ihre Mitarbeiter. Sie sind das Bindeglied zwischen Technologie und Praxis. Doch die volle Kontrolle über das System haben sie nicht. Manchmal sind sie die Brücke zum Erfolg, manchmal der Flaschenhals bei Problemen.

Ihre Mitarbeiter als AI Subjects (Betroffene Personen1)

Alle, die von KI-Entscheidungen betroffen sind. Mitarbeiter, Kunden, Partner. Sie geben Daten preis und werden durch Algorithmen beeinflusst. Der EU AI Act stellt ihren Schutz in den Mittelpunkt. Innovation soll keine Lizenz für Grundrechtsverletzungen sein.

Die EU als Authority

Mit dem AI Act setzt sie klare Regeln für alle Beteiligten. Dokumentation, Risikomanagement und Transparenz sind Pflicht. Während Regulierer Sicherheit fordern, drücken Provider ihre Services weiter aggressiv in den Markt.

1Bezeichnung laut EU-AI-Act

Stakeholder bei der Einführung von KI im Unternehmen laut ISO

Professionelles KI-Management

Die Rollen sind definiert, die Risiken bekannt. Trotzdem dominiert in der Praxis der Hype. Unternehmen führen KI ein, ohne Machbarkeit, Wirtschaftlichkeit oder Sicherheit ausreichend zu prüfen. Im Ergebnis haben Sie verschwendetes Geld, kompromittierte Daten, beschädigte Reputation.

Die Lösung liegt in professionellem KI-Management. Nicht projektweise, sondern systematisch. Das Artificial Intelligence Management System (AIMS) nach ISO/IEC 42001 bietet dafür einen strukturierten Rahmen. Es umfasst Governance-Strukturen, kontinuierliche Risikoanalyse und systematische Verbesserungsprozesse.

Die Lösung liegt in professionellem KI-Management. Nicht projektweise, sondern systematisch.

Die Neutraliätslücke bei ISO und EU-AI Act

Die Neutralitätslücke im KI-Geschäft entsteht genau an dem Punkt, wo klassische Stakeholder wie Producer und Partner ihr Eigeninteresse verfolgen. Der Producer will sein KI-Modell verkaufen. Der Partner verdient am Vertrieb und der Implementierung. Auch der KI-Beauftragte hat eine klare Aufgabe und ist intern für die Einhaltung des EU AI Act und aller regulatorischen Vorschriften verantwortlich.

Die Notwendigkeit eines externen neutralen KI-Beraters

Was fehlt, ist ein neutraler KI-Berater. Das ist der inoffizielle siebte Akteur bei der Einführung von KI im Unternehmen. Der neutrale KI-Berater bewertet den echten Nutzen wie auch die Kosten eines KI-Systems aus technischer, wirtschaftlicher und rechtlicher Perspektive. Das macht er unabhängig von Produktinteressen und internen Zielen. Der KI-Berater unterstützt Unternehmen mit einer objektiven Auffassung, ob die geplante KI-Implementierung tatsächlich tragfähig ist und zu den Unternehmenszielen passt.

Der neutrale KI Berater prüft folgende Bereiche:

  • Ist das KI-Projekt technisch machbar?
  • Rechnet sich die Investition wirklich?
  • Passt die Lösung in Ihre Sicherheitsarchitektur?
  • Wie nachhaltig ist der Ansatz langfristig?
  • Welche Compliance-Anforderungen müssen erfüllt werden?

Neutraler KI-Berater und der ISB

Besonders wichtig ist die enge Zusammenarbeit zwischen KI-Beauftragten, KI-Berater und Informationssicherheitsbeauftragtem (ISB). Diese Rollen ergänzen sich perfekt. Der ISB verfügt über tiefes Know-how zu bestehenden Sicherheitsarchitekturen und Schutzmaßnahmen, der KI-Berater bringt seine Expertise zu Chancen und Risiken von KI-Systemen ein, und der KI-Beauftragte sorgt für die Einhaltung regulatorischer Vorgaben.

Gemeinsam entwickeln sie:

  • Sicherheitsrichtlinien speziell für KI-Anwendungen
  • Risikoanalysen, die technische und rechtliche Aspekte berücksichtigen
  • Schutzkonzepte für sensible Daten in KI-Prozessen
  • Incident-Response-Pläne für KI-spezifische Sicherheitsvorfälle
  • Monitoring-Systeme zur kontinuierlichen Überwachung

Diese Partnerschaft stellt sicher, dass KI-Projekte von Anfang an sicherheitskonform geplant werden. Nicht als nachträglicher Zusatz, sondern als integraler Bestandteil der Implementierung.

NESEC als vertrauensvoller Partner für KI-Governance

Wir begleiten Sie bei der sicheren und wirtschaftlich sinnvollen Einführung von KI-Systemen. Als neutraler KI-Berater prüfen wir Ihre Projekte auf Machbarkeit, Wirtschaftlichkeit, Informationssicherheit und Compliance. Dabei setzen wir auf etablierte Standards wie ISO/IEC 42001 (AIMS) und kombinieren diese mit praxisnahen Methoden zur Risikoanalyse.

2Anhang: Vergleichstabelle ISO-Arbeitsgruppe vs. EU AI Act

Aspekt ISO-Arbeitsgruppe JTC1/SC42 EU AI Act
Entstehung Internationales Standardisierungsgremium mit Wissenschaftlern aus USA, China, etc. Brüsseler Elfenbeinturm mit regulatorischem Schutzfokus
Fokus Technische Standards und Risikobetrachtungen Bürgerschutz und Risikominimierung
Ansatz Risikobasiert mit individuellen Entscheidungen Verbots- und verpflichtungsbasiert
Geltungsbereich Global anwendbar EU-Mitgliedstaaten
Stakeholder-Rollen Producer, Provider, Customer, Partner, Subject Anbieter, Betreiber, Bevollmächtigter, Importeur, Händler
Regulierungsart Freiwillige Standards Rechtlich verbindliche Verordnung
Zielgruppe Unternehmen und Entwickler weltweit Alle KI-Akteure in der EU
Implementierung ISO 42001 AIMS (Artificial Intelligence Management System) Direkte rechtliche Verpflichtungen
Strafen Keine direkten Strafen, nur Zertifizierungsfolgen Bußgelder bis zu 35 Mio. € oder 7% des Jahresumsatzes
Flexibilität Hoch – anpassbar an lokale Bedürfnisse Gering – starre Vorgaben
Dokumentation ISO 22989 kostenlos verfügbar Umfangreiche Dokumentationspflichten
Risikobewertung Kontinuierliche Risikobetrachtung und Verbesserung Verpflichtende Risikobewertung mit festen Kategorien

NESEC besser kennenlernen

Neugierig, überzeugt, interessiert?

Vereinbaren Sie ein unverbindliches Gespräch mit einem unserer Mitarbeiter.
Wir sind gespannt, welche Herausforderungen Sie zur Zeit beschäftigen.
Beachten Sie auch unseren aktuellen Veranstaltungen und Webinare.

Erstgespräch

Mehr Informationen

5 + 11 =