Daten-Governance für AI-Projekte — Daten & AI — Interaktive AI Kurse

Daten-Governance für AI-Projekte 🔧

Seit Februar 2025 ist der EU AI Act in Kraft — und mit ihm die Pflicht, AI-Systeme zu registrieren, zu dokumentieren und zu überwachen. Unternehmen, die hier nicht vorbereitet sind, riskieren Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Doch Governance ist mehr als Compliance: Sie ist die Grundlage für vertrauenswürdige, skalierbare AI im Unternehmen.

🎯 Was Sie in dieser Lektion lernen

Die Risiko-Klassifizierung des EU AI Act verstehen und anwenden
DSGVO-Anforderungen bei AI-Projekten sicher umsetzen
Ein AI-Register für Ihr Unternehmen aufbauen
Ein praxistaugliches Governance-Framework implementieren

EU AI Act — Risiko-Klassifizierung 🇪🇺

📖 Definition: Der EU AI Act ist die weltweit erste umfassende AI-Regulierung. Er klassifiziert AI-Systeme nach ihrem Risikopotenzial und stellt je nach Stufe unterschiedliche Anforderungen.

Risikostufe	Beispiele	Pflichten	Frist
🚫 Verboten	Social Scoring, manipulative AI, biometrische Echtzeit-Überwachung	Nutzung untersagt	Seit Feb 2025
🔴 Hochrisiko	Recruiting-AI, Kreditscoring, medizinische Diagnostik	Registrierung, Audits, Human Oversight, Bias-Monitoring	Aug 2026
🟡 Begrenztes Risiko	Chatbots, AI-generierte Inhalte	Transparenzpflichten (AI-Kennzeichnung)	Aug 2026
🟢 Minimales Risiko	Spam-Filter, Empfehlungssysteme	Keine besonderen Pflichten	—

⚠️ Achtung: Auch wenn Ihr AI-Einsatz aktuell als "minimales Risiko" gilt — die Klassifizierung kann sich ändern, sobald Sie den Anwendungsbereich erweitern. Planen Sie Governance von Anfang an ein.

DSGVO und AI — was Sie wissen müssen 🔒

Die Datenschutz-Grundverordnung stellt eigene Anforderungen an AI-Projekte:

🎯 Zweckbindung: Daten dürfen nur für den definierten Zweck verarbeitet werden — "mal schauen, was die AI findet" ist nicht erlaubt
📉 Datenminimierung: Übergeben Sie nur die Daten an AI, die für den konkreten Zweck nötig sind — nicht die gesamte Kundendatenbank
🔍 Transparenz: Betroffene Personen müssen darüber informiert werden, wenn ihre Daten durch AI verarbeitet werden
🗑️ Löschpflicht (Recht auf Vergessenwerden): Gilt auch in AI-Systemen — Daten müssen auf Anfrage löschbar sein
🤖 Automatisierte Entscheidungen (Art. 22): Bei vollautomatisierten Entscheidungen mit rechtlicher Wirkung besteht ein Recht auf menschliche Überprüfung

💡 Tipp: Binden Sie Ihren Datenschutzbeauftragten frühzeitig in AI-Projekte ein — nicht erst kurz vor dem Launch. Das spart Verzögerungen und Nacharbeit.

AI-Register aufbauen 📋

Der EU AI Act verlangt für Hochrisiko-Systeme ein AI-Register. Aber auch für andere Systeme ist es eine Best Practice:

Was gehört ins AI-Register?

Feld	Beschreibung	Beispiel
📌 System-Name	Eindeutige Bezeichnung	"AI-Recruiting-Screening v2.1"
🎯 Zweck	Wozu wird das System eingesetzt?	Vorauswahl von Bewerbungen
⚖️ Risikoklasse	Einstufung nach EU AI Act	Hochrisiko
📊 Datenquellen	Welche Daten werden verarbeitet?	Bewerbungsunterlagen, LinkedIn-Profile
👤 Verantwortlicher	Wer ist accountable?	HR-Leitung + AI-Verantwortlicher
🔄 Monitoring	Wie wird überwacht?	Quartalsweise Bias-Audits, monatliche Accuracy-Reports
📅 Letzte Prüfung	Wann wurde zuletzt geprüft?	2026-01-15

🏢 Praxis-Beispiel: Ein Versicherungskonzern führte ein zentrales AI-Register für seine 47 AI-Systeme ein. Der Aufwand betrug 3 Personenmonate. Dafür konnte das Unternehmen bei der ersten Aufsichtsbehörden-Anfrage alle Informationen innerhalb von 48 Stunden bereitstellen — statt der sonst üblichen Wochen.

Datenlebenszyklus-Management für AI 🔄

Daten in AI-Projekten durchlaufen einen Lebenszyklus, der aktiv gesteuert werden muss:

1. Erhebung 📥 — Nur relevante Daten mit klarem Zweck erheben 2. Speicherung 💾 — Verschlüsselt, zugangsgeschützt, EU-Server bevorzugen 3. Verarbeitung ⚙️ — Dokumentiert, nachvollziehbar, mit Audit-Trail 4. Nutzung durch AI 🤖 — Unter definierten Richtlinien, mit Logging 5. Archivierung 📦 — Nach Nutzungsende in sicheres Archiv überführen 6. Löschung 🗑️ — Fristgerechte, nachweisbare Löschung

🔑 Merke: Der Lebenszyklus muss für jedes AI-Projekt dokumentiert sein. Fragen Sie sich bei jeder Phase: Wer hat Zugriff? Wie lange werden Daten gespeichert? Was passiert bei einem Datenleck?

Governance-Framework — Ihre Checkliste ✅

Ein praxistaugliches Governance-Framework für den sofortigen Einsatz:

Organisatorisch:

👤 AI-Verantwortlichen benennen (nicht der IT-Leiter "nebenbei")
📋 AI-Nutzungsrichtlinie erstellen und kommunizieren
👥 Mitarbeiter zu AI-Compliance schulen
🤝 Datenschutzbeauftragten in AI-Projekte einbinden

Technisch:

🗄️ Datenklassifizierung durchführen (öffentlich / intern / vertraulich / streng vertraulich)
📊 AI-Register anlegen und pflegen
🔄 Monitoring-Prozesse implementieren (Bias, Accuracy, Drift)
🔒 Zugriffskontrollen und Audit-Logs einrichten

Operativ:

📝 Genehmigungsprozess für neue AI-Use-Cases definieren
🏷️ AI-generierte Inhalte kennzeichnen (intern und extern)
📅 Regelmäßige Review-Zyklen festlegen (mindestens quartalsweise)
🚨 Incident-Response-Plan für AI-Fehler erstellen

💡 Tipp: Starten Sie nicht mit dem perfekten Framework — starten Sie mit den ersten drei Punkten jeder Kategorie und bauen Sie schrittweise aus. Governance ist eine Reise, kein Zielzustand.

📋 Zusammenfassung

Der EU AI Act klassifiziert AI-Systeme in vier Risikostufen mit steigenden Anforderungen
DSGVO-Prinzipien (Zweckbindung, Datenminimierung, Transparenz) gelten vollständig für AI-Projekte
Ein AI-Register und dokumentiertes Datenlebenszyklus-Management sind die Grundpfeiler jeder AI-Governance

🎯 Übung: Erstellen Sie die erste Version eines AI-Registers für Ihr Unternehmen. Listen Sie alle AI-Systeme auf, die bereits im Einsatz sind (auch wenn es "nur" ChatGPT im Browser ist). Bewerten Sie jedes System nach der EU AI Act Risikokategorie.

Herzlichen Glückwunsch! Sie haben den Kurs "Daten & AI" abgeschlossen. Sie verstehen jetzt die Grundlagen der Datenqualität, kennen die Risiken von Bias und Halluzinationen und haben ein Framework für verantwortungsvolle AI-Governance.