AI Act
Der EU AI Act ist der europäische Rechtsrahmen für KI-Systeme. Für Unternehmen wichtig sind Risikoklassen, Transparenzpflichten, verbotene Praktiken, Hochrisiko-Systeme und interne Verantwortlichkeiten.
Glossar
KI-Begriffe für Unternehmensentscheidungen
Dieses Glossar erklärt zentrale Begriffe, die bei KI-Auswahl, Datenschutz, Governance, Beschaffung und Rollout regelmäßig auftauchen. Es ersetzt keine Beratung, hilft aber, Anbieterunterlagen und interne Prüffragen schneller einzuordnen.
Orientierung
Warum ein Glossar für KI-Beschaffung wichtig ist
Viele Anbieter verwenden dieselben Begriffe unterschiedlich. „Enterprise-ready” kann SSO, DPA, Audit-Logs und Datenresidenz bedeuten, oder nur eine größere Lizenz. „Governance” kann ein echtes Rollen- und Nachweissystem sein, oder nur ein Marketingbegriff. Das Glossar übersetzt diese Begriffe in konkrete Prüfpunkte.
Auftragsverarbeitung
Auftragsverarbeitung liegt vor, wenn ein Dienstleister personenbezogene Daten im Auftrag verarbeitet. Für KI-Tools ist dann meist ein AVV oder DPA nötig.
AVV / DPA
AVV ist die deutsche Abkürzung für Auftragsverarbeitungsvertrag, DPA die englische Variante. Das Dokument regelt Zweck, Datenarten, Subprozessoren, Löschung und Sicherheitsmaßnahmen.
Audit-Log
Ein Audit-Log dokumentiert, wer wann welche Aktion durchgeführt hat. Bei KI-Tools hilft es, Nutzung, Datenzugriffe, Änderungen und Sicherheitsvorfälle nachvollziehbar zu machen.
Berechtigungsvererbung
Berechtigungsvererbung bedeutet, dass ein KI-System nur Inhalte nutzen darf, die eine Person auch im Ursprungssystem sehen darf. Das ist zentral für Copilot, Glean und Enterprise Search.
Datenklasse
Datenklassen ordnen Informationen nach Sensibilität, zum Beispiel öffentlich, intern, vertraulich, personenbezogen oder besonders schutzbedürftig. Sie bestimmen, welche KI-Nutzung erlaubt ist.
Datenresidenz
Datenresidenz beschreibt, in welchem Land oder welcher Region Daten gespeichert oder verarbeitet werden. Für deutsche Unternehmen ist EU- oder Deutschland-Bezug oft ein Beschaffungskriterium.
DSFA
Die Datenschutz-Folgenabschätzung prüft Risiken für Betroffene bei besonders sensibler Datenverarbeitung. HR-KI, Profiling oder umfangreiche personenbezogene Auswertung können eine DSFA auslösen.
DSGVO
Die Datenschutz-Grundverordnung regelt den Umgang mit personenbezogenen Daten in der EU. Bei KI-Tools sind Zweckbindung, Rechtsgrundlage, Transparenz, Löschung und Betroffenenrechte relevant.
Enterprise Search
Enterprise Search verbindet interne Quellen wie SharePoint, Drive, Confluence, Jira, CRM oder Ticketsysteme und macht Wissen auffindbar. Entscheidend sind Rechte, Quellenqualität und Aktualität.
Fine-Tuning
Fine-Tuning passt ein Modell mit zusätzlichen Trainingsdaten an. Für Unternehmen ist entscheidend, welche Daten verwendet werden, wer Zugriff hat und ob dadurch neue Datenschutzrisiken entstehen.
GoBD
GoBD sind Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form. Für Steuer- und Accounting-KI ist Dokumentation zentral.
Grounding
Grounding bedeutet, dass eine KI-Antwort auf konkreten Quellen oder Unternehmensdaten basiert. Ohne Grounding steigt das Risiko frei erfundener oder nicht nachvollziehbarer Antworten.
Halluzination
Eine Halluzination ist eine plausibel klingende, aber falsche oder unbelegte KI-Antwort. Unternehmen brauchen deshalb Quellenprüfung, Freigaben und klare Regeln für kritische Einsatzfelder.
Human in the loop
Human in the loop bedeutet, dass ein Mensch KI-Ergebnisse prüft oder freigibt, bevor sie wirksam werden. Besonders wichtig ist das bei Recht, Steuer, HR, Medizin, Finanzen und Kundenkommunikation.
KI-Inventar
Ein KI-Inventar listet genutzte KI-Systeme, Anbieter, Zweck, Datenarten, Verantwortliche, Risiken und Freigaben. Es ist Grundlage für Governance und AI-Act-Vorbereitung.
Prompt Injection
Prompt Injection ist ein Angriff, bei dem externe Inhalte eine KI dazu bringen sollen, Regeln zu ignorieren, Daten offenzulegen oder unerwünschte Aktionen auszuführen.
RAG
Retrieval Augmented Generation verbindet ein Sprachmodell mit einer Suche über freigegebene Quellen. RAG hilft, Antworten mit Unternehmenswissen zu verknüpfen, ersetzt aber keine Rechteprüfung.
Retention
Retention beschreibt, wie lange Eingaben, Ausgaben, Logs oder Dateien gespeichert werden. Unternehmen sollten Aufbewahrung, Löschung und Export vor einem Rollout klären.
SCIM
SCIM automatisiert Nutzer- und Gruppenverwaltung zwischen Identitätssystemen und SaaS-Tools. Für Enterprise-KI ist SCIM wichtig, um Rollen sauber zu provisionieren und zu entziehen.
SSO
Single Sign-on ermöglicht Anmeldung über zentrale Identitätssysteme wie Entra ID, Okta oder Google Workspace. Ohne SSO sind Rollout, Offboarding und Zugriffskontrolle schwerer steuerbar.
Subprozessor
Subprozessoren sind weitere Dienstleister, die ein Anbieter für Verarbeitung, Hosting, Support oder Analyse nutzt. Unternehmen sollten die Liste vor Vertragsabschluss prüfen.
Training-Opt-out
Training-Opt-out bedeutet, dass Eingaben und Ausgaben nicht zum Training allgemeiner Modelle verwendet werden. Enterprise-Verträge sollten diese Frage ausdrücklich regeln.
§ 102 AO
§ 102 Abgabenordnung betrifft Auskunftsverweigerungsrechte bestimmter Berufsgruppen. Für Steuerberatung und sensible Mandatsdaten ist der Schutz beruflicher Vertraulichkeit relevant.
§ 203 StGB
§ 203 Strafgesetzbuch schützt Privatgeheimnisse bestimmter Berufsgruppen, etwa Rechtsanwälte, Ärzte und Steuerberater. KI-Nutzung darf Mandats- oder Berufsgeheimnisse nicht unkontrolliert offenlegen.
Nächster Schritt
Begriffe in eine Tool-Prüfung übersetzen
Wer ein KI-Tool beschafft, sollte aus den Begriffen konkrete Fragen ableiten: Gibt es SSO und SCIM? Werden Daten zum Training genutzt? Welche Subprozessoren sind beteiligt? Welche Logs gibt es? Wie werden Berechtigungen vererbt? Gibt es einen Lösch- und Exportprozess?
KI-Radar-Index öffnen