BSI-Prüfkatalog für KI: Was KMU beachten sollten
Künstliche Intelligenz wird für viele kleine und mittlere Unternehmen immer relevanter. Ob in der Rechtsanwaltskanzlei, im Steuerbüro, bei Medienagenturen, in der Hotellerie oder im IT-Betrieb: KI-Systeme helfen dabei, Abläufe zu automatisieren, Informationen schneller auszuwerten und neue Services für Kunden bereitzustellen.
Gleichzeitig steigen die Anforderungen an Sicherheit, Transparenz, Datenschutz und Nachvollziehbarkeit. Gerade KMU stehen dabei vor der Frage: Wie kann KI sinnvoll genutzt werden, ohne unnötige rechtliche, technische oder organisatorische Risiken einzugehen?
Mit dem Community Draft der AI Audit and Assurance Assessment Architecture (A5) hat das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) einen neuen Prüfansatz für vertrauenswürdige KI-Systeme vorgestellt. Für österreichische Unternehmen ist dieser Katalog nicht automatisch verbindlich, er bietet aber eine wertvolle Orientierung, um KI-Systeme strukturiert zu bewerten und sicherer zu betreiben.
Warum vertrauenswürdige KI für KMU wichtig ist
Was bedeutet Vertrauenswürdigkeit bei KI?
Vertrauenswürdigkeit bedeutet, dass KI-Systeme nicht nur technisch funktionieren, sondern auch sicher, nachvollziehbar und verantwortungsvoll eingesetzt werden können. Für Unternehmen heißt das: Es muss klar sein, wofür eine KI verwendet wird, welche Daten verarbeitet werden, welche Risiken bestehen und wie Ergebnisse überprüft werden können.
Ein vertrauenswürdiges KI-System zeichnet sich unter anderem durch folgende Merkmale aus:
- Nachvollziehbarkeit: Entscheidungen, Empfehlungen oder Ergebnisse der KI können zumindest in angemessenem Umfang erklärt, dokumentiert und überprüft werden.
- Transparenz: Verantwortliche Personen wissen, welche KI-Systeme eingesetzt werden, welche Daten verarbeitet werden und welche Anbieter oder Dienste beteiligt sind.
- Sicherheit: Die eingesetzten Systeme sind gegen Missbrauch, Manipulation und unberechtigten Zugriff abgesichert.
- Datenschutz: Personenbezogene und vertrauliche Daten werden nur dort verarbeitet, wo dies zulässig und notwendig ist.
- Qualitätskontrolle: Ergebnisse werden regelmäßig geprüft, insbesondere wenn sie in Geschäftsprozesse oder Kundenkommunikation einfließen.
- Menschliche Kontrolle: Kritische Entscheidungen werden nicht ungeprüft vollständig an KI-Systeme ausgelagert.
Bedeutung für KMU
Für kleine und mittlere Unternehmen ist KI oft besonders attraktiv, weil sie mit überschaubarem Aufwand spürbare Effizienzgewinne bringen kann. Gleichzeitig fehlt häufig die Zeit, jedes eingesetzte Tool umfassend technisch, rechtlich und organisatorisch zu bewerten.
Genau hier wird ein strukturierter Umgang mit KI wichtig. Unternehmen sollten wissen, welche KI-Anwendungen im Einsatz sind, welche Daten dort verarbeitet werden und welche Risiken daraus entstehen können.
Vorteile für KMU:
- Mehr Rechtssicherheit: Eine saubere Dokumentation und Risikobewertung hilft dabei, regulatorische Anforderungen besser einzuordnen und umzusetzen.
- Schutz sensibler Daten: Gerade Kundendaten, Vertragsunterlagen, Personaldaten oder interne Unternehmensinformationen müssen besonders geschützt werden.
- Weniger Reputationsrisiko: Fehlerhafte, unfaire oder unkontrollierte KI-Ergebnisse können Vertrauen bei Kunden, Partnern und Mitarbeitenden schädigen.
- Bessere Entscheidungsgrundlage: Wer KI-Systeme dokumentiert und regelmäßig prüft, kann deren Nutzen und Grenzen besser bewerten.
- Wettbewerbsvorteil: Unternehmen, die KI verantwortungsvoll einsetzen, wirken professioneller und vertrauenswürdiger.
Der BSI-Prüfkatalog A5 im Überblick
Das deutsche Bundesamt für Sicherheit in der Informationstechnik hat mit der AI Audit and Assurance Assessment Architecture (A5) einen Community Draft für eine modulare Prüfarchitektur für KI-Systeme veröffentlicht.
Der A5-Prüfansatz soll dabei helfen, die Vertrauenswürdigkeit von KI-Systemen strukturiert zu bewerten. Im Mittelpunkt stehen unter anderem Sicherheit, Transparenz, Nachvollziehbarkeit, Robustheit, Governance und Risikomanagement.
Wichtig ist dabei die richtige Einordnung: Der BSI-Katalog ist für österreichische KMU nicht automatisch eine unmittelbar verbindliche Vorschrift. Er kann aber als praxisnahe Orientierung dienen, um eigene KI-Anwendungen besser zu dokumentieren, Risiken zu erkennen und Sicherheitsmaßnahmen abzuleiten.
Quelle und weitere Informationen: BSI – Künstliche Intelligenz
Verhältnis zum EU AI Act
Für Unternehmen in Österreich ist der EU AI Act der zentrale regulatorische Rahmen für den Einsatz von Künstlicher Intelligenz. Die Verordnung verfolgt einen risikobasierten Ansatz: Je nachdem, wie ein KI-System eingesetzt wird und welches Risiko daraus entsteht, gelten unterschiedliche Anforderungen.
Nicht jede KI-Anwendung ist automatisch hochriskant. Viele typische KMU-Anwendungen, etwa Textvorschläge, interne Recherche, Zusammenfassungen oder Unterstützung im Marketing, können unter geringere Risikokategorien fallen. Sobald KI aber in sensiblen Bereichen eingesetzt wird – etwa bei Personalentscheidungen, Bonitätsprüfungen, medizinischen Prozessen oder sicherheitskritischen Anwendungen – steigen die Anforderungen deutlich.
Der BSI-Prüfkatalog kann Unternehmen dabei helfen, diese Anforderungen praktisch greifbarer zu machen. Er ersetzt aber keine rechtliche Prüfung und keine individuelle Bewertung des konkreten KI-Einsatzes.
Quelle und weitere Informationen: Europäische Kommission – AI Act
Was der BSI-Prüfkatalog für Unternehmen abdeckt
Der Prüfkatalog beschäftigt sich mit Anforderungen, die helfen sollen, KI-Systeme sicherer, nachvollziehbarer und belastbarer zu machen. Für KMU sind vor allem folgende Themen relevant:
Dokumentation der KI-Systeme
Unternehmen sollten festhalten, welche KI-Systeme eingesetzt werden und wofür sie verwendet werden. Dazu gehören unter anderem:
- Name und Anbieter des KI-Tools
- Zweck des Einsatzes
- verarbeitete Datenarten
- betroffene Geschäftsprozesse
- verantwortliche Personen
- technische Schnittstellen
- getroffene Sicherheitsmaßnahmen
- bekannte Risiken und Einschränkungen
Diese Dokumentation muss nicht überkompliziert sein. Für viele KMU reicht im ersten Schritt bereits ein sauber gepflegtes KI-Verzeichnis.
Transparenz und Nachvollziehbarkeit
Wenn KI-Ergebnisse in Geschäftsprozesse einfließen, sollte nachvollziehbar sein, wie diese Ergebnisse zustande gekommen sind und wer sie geprüft hat. Das ist besonders wichtig, wenn KI bei Entscheidungen unterstützt, die Kunden, Mitarbeitende oder Geschäftspartner betreffen.
Beispiele:
- Wer hat einen KI-generierten Text freigegeben?
- Welche Daten wurden für eine Analyse verwendet?
- Wurde das Ergebnis von einer fachlich zuständigen Person geprüft?
- Gibt es eine klare Kennzeichnung von KI-generierten Inhalten?
Datenschutz und IT-Sicherheit
Ein zentraler Punkt ist die Frage, welche Daten an KI-Dienste übergeben werden. Besonders vorsichtig sollten Unternehmen bei personenbezogenen Daten, Mandantendaten, Finanzdaten, Zugangsdaten, Gesundheitsdaten und vertraulichen Dokumenten sein.
Wichtige Maßnahmen sind unter anderem:
- Prüfung der eingesetzten KI-Anbieter
- klare Regeln, welche Daten in KI-Tools eingegeben werden dürfen
- Zugriffsbeschränkungen und Berechtigungskonzepte
- Logging und Nachvollziehbarkeit der Nutzung
- sichere Authentifizierung, idealerweise mit MFA
- regelmäßige Updates und Patchmanagement
- vertragliche Prüfung bei Cloud-Diensten und Auftragsverarbeitung
Risikomanagement
Nicht jedes KI-Tool ist gleich kritisch. Ein Chatbot für interne Formulierungshilfen ist anders zu bewerten als ein System, das Bewerbungen vorsortiert oder Kundendaten automatisiert klassifiziert.
KMU sollten daher eine einfache Risikobewertung durchführen:
- Welche KI-Systeme sind im Einsatz?
- Welche Daten werden verarbeitet?
- Welche Personen oder Prozesse sind betroffen?
- Was passiert, wenn die KI falsche Ergebnisse liefert?
- Gibt es menschliche Kontrolle?
- Welche technischen und organisatorischen Maßnahmen sind notwendig?
Qualitätskontrolle
KI-Systeme können Fehler machen, veraltete Informationen verwenden oder überzeugend klingende, aber falsche Ergebnisse liefern. Deshalb braucht es klare Prüfprozesse.
Das gilt besonders für:
- rechtliche oder steuerliche Inhalte
- medizinische oder sicherheitsrelevante Informationen
- Kundenkommunikation
- Vertragsanalysen
- technische Empfehlungen
- öffentlich veröffentlichte Inhalte
KI sollte in diesen Bereichen unterstützen, aber nicht ungeprüft entscheiden.
Wichtige Aufgaben für KMU
Für kleine und mittlere Unternehmen ergeben sich aus dem BSI-Prüfansatz und dem EU AI Act vor allem praktische organisatorische Aufgaben.
1. KI-Anwendungen erfassen
Der erste Schritt ist eine Bestandsaufnahme. Viele Unternehmen nutzen bereits KI, ohne einen vollständigen Überblick darüber zu haben. Dazu zählen nicht nur offensichtliche Tools wie ChatGPT oder Microsoft Copilot, sondern auch KI-Funktionen in CRM-Systemen, Buchhaltungssoftware, Security-Produkten, Telefonanlagen, Marketing-Tools oder Office-Anwendungen.
2. Verantwortlichkeiten definieren
Es sollte klar geregelt sein, wer im Unternehmen für den KI-Einsatz verantwortlich ist. Je nach Unternehmensgröße kann das die Geschäftsführung, die IT-Leitung, der Datenschutzbeauftragte oder eine fachliche Abteilungsleitung sein.
Wichtig ist: KI darf nicht ausschließlich als „Tool-Thema“ betrachtet werden. Es betrifft Datenschutz, IT-Sicherheit, Compliance, Prozesse und oft auch Kundenkommunikation.
3. Interne Richtlinien erstellen
KMU sollten klare interne Regeln für die Nutzung von KI definieren. Diese müssen nicht übermäßig komplex sein, sollten aber verständlich und praxistauglich sein.
Beispiele für sinnvolle Regeln:
- Keine vertraulichen Kundendaten in frei zugängliche KI-Tools eingeben.
- KI-generierte Inhalte müssen vor Veröffentlichung geprüft werden.
- Kritische Entscheidungen dürfen nicht ausschließlich durch KI getroffen werden.
- Neue KI-Tools müssen vor Nutzung freigegeben werden.
- Mitarbeitende müssen wissen, welche Tools erlaubt sind und welche nicht.
4. Mitarbeitende schulen
Viele Risiken entstehen nicht durch die KI selbst, sondern durch falsche Nutzung. Schulungen und kurze Awareness-Einheiten helfen, typische Fehler zu vermeiden.
Wichtige Inhalte sind:
- Was darf in KI-Tools eingegeben werden?
- Wie erkennt man fehlerhafte KI-Ergebnisse?
- Wann ist menschliche Prüfung notwendig?
- Welche Tools sind im Unternehmen erlaubt?
- Was ist bei Datenschutz und Kundendaten zu beachten?
5. Bestehende IT- und Compliance-Prozesse nutzen
KI-Compliance muss nicht komplett neu erfunden werden. Viele Anforderungen lassen sich in bestehende Prozesse integrieren, etwa in:
- Datenschutzmanagement
- IT-Sicherheitsrichtlinien
- Berechtigungsmanagement
- Lieferantenprüfung
- Incident Response
- Patchmanagement
- Risikoanalyse
- NIS2-Vorbereitung
Tipp: Eine strukturierte Risikoanalyse ist nicht nur für KI-Systeme sinnvoll, sondern auch im Rahmen der NIS2-Richtlinie Compliance empfehlenswert.
Praktische Beispiele für verschiedene Branchen
Rechtsanwälte und Steuerberater
In Kanzleien und Steuerbüros können KI-Systeme bei Recherche, Dokumentenanalyse, Vertragsprüfung oder Textentwürfen unterstützen. Gleichzeitig werden hier besonders sensible Daten verarbeitet.
Wichtig sind daher:
- klare Regeln zur Verarbeitung von Mandantendaten
- Prüfung, ob Daten an externe KI-Dienste übermittelt werden
- nachvollziehbare Freigabeprozesse
- keine ungeprüfte Übernahme rechtlicher oder steuerlicher Einschätzungen
- Dokumentation, wo KI im Arbeitsprozess eingesetzt wurde
Verlage und Medienagenturen
Medienunternehmen und Agenturen nutzen KI häufig für Texterstellung, Bildbearbeitung, Recherche, Kampagnenplanung oder SEO. Hier geht es vor allem um Qualität, Urheberrecht, Transparenz und Schutz vor Falschinformationen.
Sinnvolle Maßnahmen:
- Kennzeichnung und Prüfung KI-generierter Inhalte
- Kontrolle von Fakten und Quellen
- klare Freigabeprozesse vor Veröffentlichung
- Prüfung von Bildrechten und Trainingsdatenrisiken
- Schutz interner Kunden- und Kampagnendaten
Hotels und Tourismusbetriebe
In der Hotellerie kann KI bei Gästekommunikation, Buchungsprozessen, Bewertungen, Übersetzungen oder Marketing unterstützen. Dabei werden häufig personenbezogene Daten verarbeitet.
Wichtig sind:
- Datenschutz bei Gästedaten
- klare Vorgaben für automatisierte Kommunikation
- menschliche Kontrolle bei Beschwerden oder Sonderfällen
- sichere Integration in Buchungs- und CRM-Systeme
- Schulung des Personals im Umgang mit KI-Tools
Allgemeine KMU-IT
Auch im IT-Betrieb selbst spielt KI eine immer größere Rolle, etwa bei Monitoring, Security, Ticketanalyse, Automatisierung oder Dokumentation.
Dabei sollten Unternehmen besonders auf folgende Punkte achten:
- Zugriff auf Logdaten und Systeminformationen begrenzen
- KI-Tools nicht unkontrolliert mit Administratorrechten ausstatten
- Schnittstellen und API-Zugriffe dokumentieren
- Ergebnisse von KI-gestützten Security-Tools fachlich bewerten
- KI in bestehende IT-Sicherheitsprozesse integrieren
Nutzen Sie unsere IT-Betreuung und Managed Services, um KI-Systeme sicher in Ihre bestehende IT-Umgebung einzubinden.
Konkreter Fahrplan für KMU
Für die praktische Umsetzung empfiehlt sich ein pragmatischer Einstieg:
Schritt 1: KI-Bestandsaufnahme
Erfassen Sie alle KI-Systeme und KI-Funktionen, die im Unternehmen eingesetzt werden. Dazu gehören auch Tools, die einzelne Mitarbeitende eigenständig nutzen.
Schritt 2: Daten und Risiken bewerten
Prüfen Sie, welche Daten verarbeitet werden und welche Risiken entstehen können. Besonders kritisch sind personenbezogene, vertrauliche oder geschäftskritische Informationen.
Schritt 3: Richtlinien definieren
Legen Sie fest, welche KI-Tools erlaubt sind, welche Daten verarbeitet werden dürfen und welche Ergebnisse zwingend geprüft werden müssen.
Schritt 4: Technische Schutzmaßnahmen umsetzen
Dazu zählen unter anderem MFA, Berechtigungskonzepte, Logging, sichere Schnittstellen, Patchmanagement und klare Trennung zwischen Test- und Produktivumgebungen.
Schritt 5: Mitarbeitende sensibilisieren
Schulen Sie Ihre Mitarbeitenden im sicheren und verantwortungsvollen Umgang mit KI. Kurze, praxisnahe Schulungen sind oft wirkungsvoller als lange Richtliniendokumente.
Schritt 6: Regelmäßig überprüfen
KI-Systeme, Anbieter und regulatorische Anforderungen entwickeln sich schnell weiter. Daher sollten KI-Nutzung und Sicherheitsmaßnahmen regelmäßig überprüft werden.
Fazit: KI sicher nutzen, ohne unnötige Komplexität
KI bietet KMU große Chancen. Gleichzeitig sollten Unternehmen nicht unkontrolliert jedes neue Tool einsetzen, ohne Datenflüsse, Risiken und Verantwortlichkeiten zu kennen.
Der BSI-Prüfkatalog A5 bietet eine gute Orientierung, um KI-Systeme strukturiert zu bewerten. Für österreichische Unternehmen ist vor allem der EU AI Act als regulatorischer Rahmen relevant. In Kombination helfen beide Ansätze dabei, KI sicherer, nachvollziehbarer und verantwortungsvoller einzusetzen.
Für KMU geht es dabei nicht darum, sofort ein komplexes Compliance-Projekt zu starten. Entscheidend ist ein pragmatischer erster Schritt: Überblick schaffen, Risiken bewerten, klare Regeln definieren und Mitarbeitende sensibilisieren.
Ihre Vorteile auf einen Blick:
- Sie behalten den Überblick über eingesetzte KI-Systeme.
- Sie schützen vertrauliche und personenbezogene Daten.
- Sie reduzieren rechtliche, technische und organisatorische Risiken.
- Sie schaffen klare Regeln für Mitarbeitende.
- Sie stärken das Vertrauen von Kunden, Partnern und Mitarbeitenden.
Wir unterstützen Sie gerne bei allen Schritten – von der KI-Bestandsaufnahme über Risikoanalyse und Richtlinien bis hin zur sicheren technischen Integration in Ihre bestehende IT-Umgebung.
Nehmen Sie Kontakt mit uns auf für ein individuelles Beratungsgespräch: Kontakt aufnehmen | Kostenloses Erstgespräch
Häufige Fragen
Was ist der BSI-Prüfkatalog A5?
Der BSI-Prüfkatalog A5 ist ein Community Draft des deutschen Bundesamts für Sicherheit in der Informationstechnik. Er beschreibt eine modulare Prüfarchitektur, mit der die Vertrauenswürdigkeit von KI-Systemen bewertet werden kann.
Ist der BSI-Prüfkatalog für österreichische KMU verpflichtend?
Nein, der BSI-Prüfkatalog ist für österreichische KMU nicht automatisch unmittelbar verpflichtend. Er bietet aber eine hilfreiche Orientierung für den sicheren und nachvollziehbaren Einsatz von KI-Systemen.
Welche Rolle spielt der EU AI Act?
Der EU AI Act ist der zentrale regulatorische Rahmen für KI in der Europäischen Union. Er unterscheidet verschiedene Risikoklassen und legt je nach Einsatzbereich unterschiedliche Anforderungen fest.
Muss jedes Unternehmen sofort alle KI-Systeme prüfen?
Unternehmen sollten zumindest wissen, welche KI-Systeme sie einsetzen und welche Daten dort verarbeitet werden. Eine vollständige Prüfung sollte risikobasiert erfolgen. Kritische Systeme und sensible Daten sollten zuerst betrachtet werden.
Was ist der wichtigste erste Schritt?
Der wichtigste erste Schritt ist eine Bestandsaufnahme: Welche KI-Tools werden eingesetzt, wofür werden sie genutzt, welche Daten werden verarbeitet und wer ist intern dafür verantwortlich?
Sie wünschen sich eine persönliche Beratung oder möchten mehr erfahren? Kontakt aufnehmen | Rückruf anfordern
