KI-Verordnung trifft digitale Souveränität: Europas Chancen sind vorhanden

Die Diskussion rund um die Umsetzung der KI-Verordnung gewinnt an Reife. Wo vor einem Jahr noch Verunsicherung dominierte, zeichnen sich heute konkrete Lösungswege ab. Die finale Podiumsdiskussion auf der Prisec Germany von Business Circle mit Vertretern aus Aufsicht, Industrie und Cloud-Anbietern hat gezeigt, wie viel Bewegung in der Debatte steckt und welches Potenzial sich für europäische Unternehmen eröffnet.

Datenschutz als Ermöglicher, nicht als Bremse

Ein zentraler Konsens des Panels: Datenschutz und Innovation sind keine Gegensätze. Dieter Kugelmann, Landesbeauftragter für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz, hat einen modularen Ansatz zur Erfüllung der KI-Verordnung skizziert, der die Anforderungen der DSGVO mitabdeckt. Wer die Pflichten aus Art. 9 bis Art. 15 KI-VO sauber umsetzt, erfüllt damit zugleich wesentliche Teile von Art. 32 DSGVO und Art. 35 DSGVO. Diese Sichtweise reduziert Komplexität und schafft Planbarkeit.

Oliver Draf von Volkswagen ergänzte den Gedanken um den unternehmerischen Blickwinkel: Rechtsklarheit ist die Voraussetzung dafür, dass Mittelständler überhaupt investieren. Die Aufsichtsbehörden arbeiten in informellen Knotenpunkten zwischen Datenschutz-, Wettbewerbs- und Marktaufsicht an einheitlichen Antworten. Das ist eine gute Nachricht für jeden, der heute eine GPAI-Integration (General Purpose AI) plant.

Die Schulungspflicht ist gelebte Praxis

Art. 4 KI-VO gilt seit dem 2. Februar 2025 und verlangt, dass alle Personen, die mit KI-Systemen umgehen, über ausreichende KI-Kompetenz verfügen. In der Praxis heißt das: Dienstanweisungen, dokumentierte Awareness-Programme, klare Freigabeprozesse für KI-Tools. Wer hier strukturiert vorgeht, senkt nicht nur Haftungsrisiken, sondern erhöht auch die Akzeptanz im Team.

Rheinland-Pfalz geht voraus und stellt Schulungsprogramme für Schulen bereit. Auf Unternehmensseite zeigt sich: Wer Schulung als Teil des Risikomanagements begreift und nicht als Pflichtübung, gewinnt doppelt. Mitarbeitende verstehen, warum bestimmte Tools intern bereitgestellt und andere blockiert werden. Schatten-IT verliert ihren Reiz.

Digitale Souveränität als strategisches Ziel

Antonia Bruhn von AWS hat einen wichtigen Punkt gesetzt: Souveräne Cloud-Lösungen müssen technisch auf Augenhöhe mit globalen Angeboten sein. Das ist keine Selbstverständlichkeit, aber machbar. Die European Sovereign Cloud, lokale Rechenzentren und kontrollierte Service-Auswahl nach Risikoklasse sind heute realistische Bausteine einer souveränen Architektur.

Spannend ist die Kombination mit europäischen Initiativen. Gaia-X liefert die Standards, Catena-X zeigt im Automotive-Sektor, dass branchenübergreifender Datenaustausch funktioniert. Im Energiesektor entstehen vergleichbare Modelle. Souveränität bedeutet hier nicht Abschottung, sondern Wahlfreiheit auf Basis klarer Standards.

Vertrauen als Marktfaktor

Vertrauenswürdige KI-Produkte werden zum Wettbewerbsvorteil. Besonders für KMU, die keine eigene Data-Science-Abteilung haben, sind fertige, geprüfte Lösungen mit europäischem Datenschutzniveau attraktiv. Wer als Anbieter Transparenz über Trainingsdaten, Hosting-Modell und Subdienstleister liefert, gewinnt. Wer es nicht tut, verliert Ausschreibungen.

Für Unternehmen lohnt sich der Aufbau einer Bewertungsmatrix für KI-Anbieter. Kriterien können sein: Hosting-Region, Verschlüsselung, Auditierbarkeit, Konformitätsbewertung nach Art. 43 KI-VO, Zertifizierungen nach ISO/IEC 42001 oder ISO/IEC 27001. Diese Matrix lässt sich elegant in bestehende Lieferantenbewertungen einbetten.

Cybersecurity wird vermehrt KI-gestützt

Cybersicherheit war ein wiederkehrendes Thema. KI verändert beide Seiten: Angreifer skalieren ihre Kampagnen, Verteidiger automatisieren Detection und Response. Wer heute SOC-Prozesse aufbaut, sollte KI-Komponenten von Anfang an mitdenken, ohne die menschliche Letztentscheidung aufzugeben. Die Verzahnung mit NIS2 und DORA macht diesen Schritt regulatorisch ohnehin notwendig.

Was Unternehmen jetzt konkret tun sollten

Aus dem Panel lassen sich klare Handlungslinien ableiten:

1. KI-Inventar aufbauen und nach Risikoklassen der KI-VO einordnen.
2. Schulungspflicht aus Art. 4 KI-VO operationalisieren, dokumentiert und rollenbezogen.
3. Modularen Ansatz fahren: Pflichten aus DSGVO, KI-VO und ggf. NIS2 einmal sauber mappen, statt parallele Silos zu bauen.
4. Cloud-Strategie nach Datenkategorie und Risikoklasse priorisieren, souveräne Optionen als gleichwertige Alternative prüfen.
5. Datenräume als Geschäftschance verstehen, nicht nur als Compliance-Thema.

Mein Fazit aus dem Panel (und dem Event insgesamt)

Europa hat alle Karten in der Hand, um KI verantwortungsvoll und gleichzeitig wettbewerbsfähig zu gestalten. Der regulatorische Rahmen wird klarer, die technischen Optionen werden besser, und das Bewusstsein für Vertrauen als Marktfaktor wächst. Wer jetzt strukturiert vorgeht, profitiert von einem belastbaren Fundament für die nächsten Jahre. Die Diskussion hat mir Mut gemacht, dass wir genau dort hin kommen können.

Mrak Consulting begleitet Unternehmen bei der Umsetzung der KI-Verordnung, beim Aufbau einer souveränen Datenarchitektur und bei der Verzahnung mit DSGVO, NIS2 und DORA. Verantwortung umgesetzt.