complaid
Alle Artikel
DokumentationComplianceDSGVOPraxis

Wie Unternehmen KI-Nutzung intern dokumentieren

·5 Min. Lesezeit·Complaid Redaktion

Warum KI-Dokumentation kein Nice-to-have ist

Dein Team nutzt ChatGPT, Copilot, Midjourney und vielleicht noch drei weitere Tools, von denen du gar nichts weißt. Alles läuft — bis jemand fragt: Welche KI-Systeme setzt ihr ein? Wofür? Wer hat das freigegeben?

Spätestens dann wird klar: Ohne Dokumentation stehst du blank da. Und das ist nicht nur peinlich, sondern potenziell teuer. Der EU AI Act fordert Transparenz, die DSGVO verlangt Rechenschaftspflicht (Art. 5 Abs. 2), und dein Management will wissen, welche Risiken im Haus sind.

Die gute Nachricht: Du brauchst kein Enterprise-Tool und kein 50-seitiges Dokument. Du brauchst ein System, das funktioniert.

Was du dokumentieren solltest

Nicht alles muss auf Detailebene erfasst werden. Aber diese Kernbereiche solltest du abdecken:

1. KI-Inventar: Welche Tools sind im Einsatz?

Erstelle eine zentrale Übersicht aller KI-Systeme, die in deinem Unternehmen genutzt werden. Pro Tool solltest du erfassen:

  • Name und Anbieter (z. B. ChatGPT / OpenAI)
  • Einsatzzweck (z. B. Texterstellung, Code-Review, Kundensupport)
  • Nutzerkreis (welche Abteilungen, welche Rollen)
  • Datenkategorien (welche Daten fließen in das Tool)
  • Risikostufe (gering / mittel / hoch — orientiert am EU AI Act)
  • Freigabestatus (genehmigt / geduldet / nicht erlaubt)

2. Datenflüsse: Was geht rein, was kommt raus?

Besonders relevant für die DSGVO: Werden personenbezogene Daten an KI-Systeme übermittelt? Wenn ja:

  • Welche Datenkategorien (Namen, E-Mails, Kundendaten)?
  • Auf welcher Rechtsgrundlage?
  • Wo werden die Daten verarbeitet (EU / Drittland)?
  • Gibt es einen Auftragsverarbeitungsvertrag (AVV)?

3. Entscheidungsprozesse: Wer hat freigegeben?

Dokumentiere, wer den Einsatz eines KI-Tools genehmigt hat. Das kann informell gestartet sein — aber es sollte nachträglich formalisiert werden:

  • Wer hat die Entscheidung getroffen?
  • Auf welcher Grundlage (Bewertung, Test, Pilotphase)?
  • Gibt es Nutzungsbedingungen oder Einschränkungen?

4. Schulungen: Wer wurde wann geschult?

Im Zusammenhang mit der KI-Kompetenzpflicht aus Art. 4 EU AI Act:

  • Welche Schulungen wurden durchgeführt?
  • Wer hat teilgenommen?
  • Welche Inhalte wurden vermittelt?
  • Wann ist die nächste Auffrischung fällig?

Wie du die Dokumentation strukturierst

Variante 1: Einfache Tabelle

Für kleine und mittlere Unternehmen reicht oft ein strukturiertes Spreadsheet. Eine Google-Tabelle oder ein Excel-Dokument mit folgenden Spalten:

| Tool | Anbieter | Abteilung | Zweck | Daten | Risiko | Freigabe | AVV | Letzte Prüfung | |------|----------|-----------|-------|-------|--------|----------|-----|-----------------|

Vorteil: Sofort umsetzbar, keine Toolkosten. Nachteil: Wird bei vielen Tools schnell unübersichtlich.

Variante 2: KI-Register im Wiki

Wenn du Confluence, Notion oder ein ähnliches Wiki nutzt, lege eine dedizierte Seite an. Jedes Tool bekommt einen eigenen Eintrag mit strukturierten Feldern. Das macht Updates einfacher und die Suche schneller.

Variante 3: Spezialisierte Tools

Es gibt zunehmend Tools, die KI-Governance und Dokumentation unterstützen. Das lohnt sich vor allem, wenn du viele KI-Systeme im Einsatz hast oder regulatorisch besonders exponiert bist.

Wer ist verantwortlich?

Die Frage „Wer pflegt das?" ist entscheidend. Ohne klare Zuständigkeit stirbt jede Dokumentation leise vor sich hin. Bewährte Modelle:

Dezentrale Erfassung, zentrale Steuerung

  • Fachabteilungen melden neue KI-Tools und deren Einsatz
  • IT / Compliance / Datenschutz prüfen, bewerten und pflegen das zentrale Register
  • Eine verantwortliche Person (KI-Beauftragter, Compliance-Manager) hält alles zusammen

Anlassbezogene Aktualisierung

Dokumentation sollte nicht nur einmal im Jahr aktualisiert werden. Trigger für Updates:

  • Neues KI-Tool wird eingeführt
  • Einsatzzweck ändert sich
  • Neue Datenkategorien werden verarbeitet
  • Regulatorische Änderungen treten in Kraft
  • Mitarbeitende melden Shadow-AI-Nutzung

Der Zusammenhang mit der DSGVO

Die DSGVO-Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) besagt: Du musst nicht nur datenschutzkonform handeln — du musst es auch nachweisen können. Für KI bedeutet das konkret:

  • Verarbeitungsverzeichnis (Art. 30 DSGVO) muss KI-gestützte Verarbeitungen enthalten
  • Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) kann bei risikoreichen KI-Anwendungen erforderlich sein
  • Informationspflichten (Art. 13/14 DSGVO) müssen erfüllt werden, wenn KI-Systeme personenbezogene Daten verarbeiten

Deine KI-Dokumentation und dein DSGVO-Verarbeitungsverzeichnis sollten also nicht in Silos existieren. Im Idealfall ergänzen sie sich oder sind direkt verknüpft.

Typische Fehler bei der KI-Dokumentation

  • Nur offiziell freigegebene Tools erfassen: Die größten Risiken liegen bei den nicht genehmigten Tools. Erfasse auch Shadow AI.
  • Einmal erstellen, nie aktualisieren: Ein veraltetes KI-Register ist fast so schlecht wie keines.
  • Zu granular starten: Du musst nicht jede einzelne Prompt-Eingabe dokumentieren. Starte auf Tool-Ebene und verfeinere bei Bedarf.
  • Keine Verantwortlichkeiten definieren: Ohne Owner wird nichts gepflegt.
  • IT und Fachabteilung arbeiten getrennt: Die IT kennt die technischen Details, die Fachabteilung den Nutzungskontext. Beide Perspektiven müssen zusammenkommen.

Pragmatisch starten: Dein 5-Schritte-Plan

  1. Sammeln: Frag in jeder Abteilung nach genutzten KI-Tools — auch den inoffiziellen
  2. Strukturieren: Leg ein einfaches Register an (Tabelle reicht)
  3. Bewerten: Ordne jedem Tool eine Risikostufe und Datenkategorien zu
  4. Zuordnen: Definiere eine verantwortliche Person für die Pflege
  5. Planen: Setze einen Rhythmus für Reviews (z. B. quartalsweise)

Das Ganze dauert für ein mittelständisches Unternehmen einen bis zwei Arbeitstage. Der Return: Compliance-Sicherheit, Transparenz und ein deutlich besseres Gefühl bei der nächsten Audit-Frage.

Fazit: Dokumentation ist dein Sicherheitsnetz

KI-Nutzung zu dokumentieren klingt nach Bürokratie. In der Praxis ist es dein bestes Werkzeug, um Risiken zu erkennen, Compliance nachzuweisen und fundierte Entscheidungen zu treffen. Fang einfach an, halte es aktuell und verknüpfe es mit deiner bestehenden DSGVO-Dokumentation.

Du willst ein fertiges Framework für deine KI-Dokumentation? Complaid unterstützt dich mit Vorlagen, Prozessen und Schulungen — damit Dokumentation nicht zum Selbstzweck wird. Mehr erfahren auf complaid.de

Hinweis: Dieser Artikel dient der allgemeinen Orientierung und ersetzt keine Rechtsberatung.

KI-Compliance in deinem Unternehmen sicherstellen?

Complaid schult Mitarbeitende im sicheren Umgang mit KI — mit Lernpfaden, Leitplanken und dokumentierbaren Nachweisen.

Kurs ansehen →Risiko-Check starten