Diese Überschrift, dass jede Sache zwei Seiten hat, wirkt bei Künstlicher Intelligenz weniger wie eine Floskel als wie eine methodische Warnung.
Wer heute über KI spricht, gerät schnell in eine Einbahnstraße:
Entweder dominiert die Erzählung vom Produktivitätssprung, von effizienteren Prozessen und neuen Geschäftsmodellen, oder es überwiegt die Sorge vor Kontrollverlust, Betrug, Rechtsverletzungen und sozialer Spaltung. In der Praxis sind beide Perspektiven gleichzeitig zutreffend, und genau darin liegt die Herausforderung. KI ist kein einzelnes Werkzeug, das man einführt oder ablehnt, sondern eine technische Infrastruktur, die Entscheidungen, Informationen, Kommunikation und Wertschöpfung verschiebt. Damit verändert sie auch die Risikolandschaft in Datenschutz und Informationssicherheit.
Die vorteilhafte Seite ist leicht zu benennen. In vielen Organisationen lassen sich Routinetätigkeiten beschleunigen, Texte, Code, Analysen und Übersetzungen entstehen schneller, und Wissensarbeit kann an Stellen entlastet werden, an denen zuvor Zeit in Standardkommunikation oder Dokumentation gebunden war. Besonders dort, wo Informationen ohnehin schon digital vorliegen, wirkt generative KI wie ein Verstärker vorhandener Digitalisierung. Das kann zu besserer Servicequalität, kürzeren Durchlaufzeiten und niedrigeren Fehlerquoten führen, sofern der Einsatz kontrolliert erfolgt und Ergebnisse überprüfbar bleiben.
Die problematische Seite beginnt dort, wo man KI als verlässlich oder neutral behandelt, obwohl ihr Charakter grundlegend probabilistisch ist und ihre Leistungsfähigkeit stark vom Kontext abhängt. In der Informationssicherheit verschiebt generative KI das Kräfteverhältnis, weil Angreifer weniger Aufwand benötigen, um überzeugende Inhalte zu erzeugen. Social Engineering lebt davon, Menschen zu schnellen Entscheidungen zu bewegen. Wenn Sprache, Stil und Kontextbezug nahezu beliebig automatisiert werden können, wird das Grundproblem nicht nur größer, sondern alltäglicher. Täuschungen werden nicht zwingend raffinierter im Einzelfall, aber massenhaft plausibel, personalisiert und variabel. Damit wird ein klassisches Verteidigungsprinzip, nämlich das Erkennen typischer Muster von Betrugsnachrichten, deutlich weniger wirksam. Für Unternehmen bedeutet das, dass Sicherheit nicht mehr primär an der Erkennung verdächtiger Formulierungen hängen darf, sondern an robusten Prozessregeln, starken Authentisierungsmechanismen und konsequenten Freigabewegen für sensible Vorgänge.
Eng verbunden damit sind Deepfakes. Sobald Stimme und Video glaubhaft synthetisierbar sind, wird Identität als Sicherheitsanker instabil. Das betrifft nicht nur spektakuläre Betrugsfälle, sondern alltägliche interne Abläufe wie Zahlungsfreigaben, Lieferantenwechsel, Passwortzurücksetzungen oder Personalangelegenheiten. Je stärker Organisationen in Richtung digitaler Kommunikation gehen, desto wichtiger wird die Frage, wie Identität verlässlich bestätigt wird, wenn visuelle und akustische Eindrücke nicht mehr genügen. Hier reicht es nicht, Mitarbeitende zu sensibilisieren. Es braucht technische und organisatorische Kontrollen, die unabhängig vom Kommunikationskanal greifen, etwa transaktionsgebundene Mehrfachfreigaben, kryptographisch abgesicherte Identitätsnachweise und saubere Trennung von Rollen und Berechtigungen.
Die arbeitsmarktbezogene Seite wird häufig entweder dramatisiert oder verharmlost. Seriöser ist es, von Verschiebungen auszugehen, die je nach Branche und Tätigkeit unterschiedlich ausfallen, aber in Summe Verteilungseffekte erzeugen. Empirische Forschung zu Industrierobotern zeigt, dass Automatisierung in betroffenen Regionen und Berufsgruppen Beschäftigung und Löhne drücken kann, jedenfalls kurzfristig und lokal deutlich messbar. Das ist kein Beweis, dass KI zwingend zu Massenarbeitslosigkeit führt, aber ein belastbarer Hinweis darauf, dass Produktivitätsgewinne nicht automatisch sozial gerecht verteilt werden. Für generative KI ist der zentrale Punkt, dass nicht nur manuelle Routinen, sondern auch kognitive Routinen betroffen sind, etwa Textproduktion, Standardanalyse, Dokumentation und Teile juristischer oder administrativer Arbeit. Daraus folgt eine Governance Frage: Wie werden Qualifizierung, Aufgabenverschiebung und organisatorische Verantwortung so gestaltet, dass der Nutzen nicht auf Kosten der Verwundbarkeit und Ungleichheit entsteht.
Aus Sicht des Datenschutzrechts ist die zweite Seite oft weniger spektakulär, aber juristisch unmittelbar. Generative KI wird in Organisationen häufig über Schnittstellen genutzt, die Eingaben protokollieren, auswerten oder für Qualitätszwecke speichern. Sobald in Prompts oder Anhängen personenbezogene Daten enthalten sind, handelt es sich um Datenverarbeitung mit allen dazugehörigen Pflichten. Maßgeblich sind insbesondere die Grundsätze der Zweckbindung, Datenminimierung, Transparenz, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Wer KI in Prozesse einbindet, muss daher vorab klären, welche Datenkategorien verarbeitet werden, welche Rollen Verantwortliche und Auftragsverarbeiter einnehmen, welche Drittlandbezüge bestehen, welche Löschkonzepte gelten und wie Betroffenenrechte praktisch erfüllt werden können. In risikoreichen Konstellationen ist zusätzlich eine Datenschutz Folgenabschätzung naheliegend, weil KI Systeme in ihrer Wirkung oft schwerer zu überblicken sind als klassische Software und weil Fehler oder Lecks schnell skaliert werden können.
Hinzu kommen urheberrechtliche und persönlichkeitsrechtliche Konflikte. In der Praxis sind zwei Ebenen relevant:
Erstens die Herkunft der Daten, mit denen Systeme trainiert oder feinjustiert werden, und zweitens die Outputs, die im Einzelfall fremde Inhalte zu nahe reproduzieren oder Stil und Identität Dritter nachbilden können. Europarechtlich sind Regeln zum Text und Data Mining in der DSM Richtlinie angelegt, die Ausnahmen und Opt-out-Mechanismen kennen und in den Mitgliedstaaten umgesetzt werden. Das macht die Lage nicht automatisch klarer, aber es markiert, dass Datenbeschaffung und Nutzung nicht bloß eine technische Frage ist. Für Unternehmen folgt daraus, dass Lizenzketten, Datenquellen, Nutzungsrechte und Output Kontrollen organisatorisch abgesichert werden müssen, statt sich auf pauschale Annahmen über Zulässigkeit zu verlassen.
Regulatorisch verschiebt sich der Rahmen ebenfalls. Mit dem europäischen AI Act existiert ein risikobasierter Ordnungsrahmen, der Pflichten je nach Einsatzkontext anordnet. Parallel stehen technische und organisatorische Standards und Frameworks bereit, die als Brücke zwischen Technik, Recht und Management dienen können. Entscheidend ist dabei nicht das formale Abhaken von Anforderungen, sondern die Fähigkeit, konkrete Risiken im Lebenszyklus zu steuern, von der Datenbeschaffung über Entwicklung und Test bis zum Betrieb, Monitoring und Incident Response. Gerade in Datenschutz und Informationssicherheit ist die Kernfrage nicht, ob KI genutzt wird, sondern ob sie so genutzt wird, dass Verantwortlichkeit, Nachvollziehbarkeit und Schutzmaßnahmen mitwachsen.
Damit bleibt KI ein Phänomen mit doppelter Wirkung, auch wenn der öffentliche Diskurs gerne nach einfachen Erzählungen verlangt. Wer KI als reinen Fortschritt verkauft, wird von Betrugswellen, Compliance Problemen und Vertrauensverlust eingeholt. Wer KI pauschal ablehnt, verschenkt Effizienz und Innovationspotenzial, ohne die Technologieentwicklung aufzuhalten.
Verantwortlich ist eine dritte Position:
KI dort einsetzen, wo Nutzen und Risiken konkret abgewogen sind, wo Prozesse robust gegen Täuschung gebaut sind, wo Datenschutzprinzipien eingehalten werden und wo Sicherheit nicht als nachträglicher Aufkleber, sondern als Architekturprinzip verstanden wird. Nur dann ist die konstruktive Seite dieser doppelten Wirkung mehr als ein Werbeversprechen.
Werden sich daran auch wirklich alle halten, wenn bereits globale Rechte und Gesetze ins Wanken geraten?
Dr. Stefan Spörrer
QUELLEN:
Acemoglu, D., & Restrepo, P. (2020). Robots and jobs: Evidence from US labor markets. Journal of Political Economy, 128(6), 2188–2244.
Directive (EU) 2019/790 of the European Parliament and of the Council of 17 April 2019 on copyright and related rights in the Digital Single Market and amending Directives 96/9/EC and 2001/29/EC. (2019). Official Journal of the European Union, L 130, 92–125.
International Organization for Standardization. (2023). ISO/IEC 42001:2023 Artificial intelligence management system.
National Institute of Standards and Technology. (2023). Artificial Intelligence Risk Management Framework (AI RMF 1.0) (NIST AI 100 1). U.S. Department of Commerce.
Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). (2016). Official Journal of the European Union, L 119, 1–88.
Regulation (EU) 2024/1689 of the European Parliament and of the Council of 13 June 2024 laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). (2024). Official Journal of the European Union.