DE EN

Konkretisierung von KI-Kompetenz im Software-Asset-Management

14/05/2025

Konkretisierung von KI-Kompetenz im Software-Asset-Management

Überwachung von Nutzungsdaten, Aufdeckung von Über- und Unterlizensierung, Erstellung von Bedarfsprognosen, Integration von Daten aus verschiedenen Quellen und Optimierung von Softwarekosten – unterstützt durch den Einsatz von KI. Ein Gedanke, der neue Effizienzgewinne und Einsparungen verspricht und bei vielen Lizenzmanagern Euphorie auslösen sollte.

Dass die Integration von KI weiterhin ganz oben auf der Prioritätenliste vieler Unternehmen steht, unterlegen auch aktuelle Zahlen: Der Anteil der IT-Entscheidungsträger, die KI als wichtigste strategische Aufgabe für das Jahr 2025 betrachten, ist im Vergleich zum Vorjahr von 35 % auf 46 % gestiegen – weit vor klassischen Themen wie Kostensenkung oder IT-Sicherheit. Das verdeutlicht: KI ist gekommen, um zu bleiben.

Doch hinter diesen technologischen Vorteilen verbergen sich auch zahlreiche rechtliche und ethische Anforderungen, die künftig durch den EU AI Act verbindlich geregelt sind. Diese Vorschriften betreffen nicht nur klassische KI-Produkte, sondern auch alle internen Tools und Anwendungen – insbesondere solche, die im Rahmen von SAM zur Überwachung, Analyse und Bewertung von Software eingesetzt werden.

Klassifizierung und Umsetzung von Maßnahmen

Ab dem 2. Februar 2025 sind Unternehmen dazu verpflichtet, sämtliche KI-Anwendungen gemäß EU AI Act zu identifizieren, zu bewerten und einer Risikokategorie zuzuordnen. Das betrifft auch KI-gestützte Systeme im Software-Asset-Management – etwa Tools zur automatisierten Lizenzanalyse, Vertragsprüfung oder Bedarfsprognose. Je nach Einsatzbereich, Datenzugriff und Entscheidungswirkung müssen diese von niedrig- bis hochrisikobehaftet klassifiziert werden.

Ein Beispiel: Ein Unternehmen nutzt ein KI-System, das historische Verbrauchsdaten auswertet, Lizenzmodelle interpretiert und Empfehlungen für die Lizenzierung ausspricht. Auch wenn diese Anwendung nicht sicherheitskritisch wirkt, bereitet sie Entscheidungen mit finanzieller Tragweite vor und greift auf sensible Unternehmensdaten zu – und fällt damit in den Anwendungsbereich des EU AI Acts.

Wird ein solches System als Hochrisiko-KI eingestuft, sind umfassende regulatorische Anforderungen zu erfüllen. Dazu gehören nicht nur die technische Nachvollziehbarkeit und Transparenz der Entscheidungslogik, sondern auch kontinuierliche Prüfprozesse, Sicherheitsvorkehrungen, menschliche Aufsicht sowie eine lückenlose Dokumentation.

Die reine Klassifikation ist dabei nur der erste Schritt. Unternehmen müssen darüber hinaus strukturelle, organisatorische und personelle Maßnahmen etablieren, um den konformen und verantwortungsvollen Einsatz ihrer KI-Systeme langfristig sicherzustellen – etwa durch gezielte Schulungen, interne Richtlinien, Kontrollmechanismen und klare Zuständigkeiten. Gerade im SAM-Bereich, in dem KI zunehmend Entscheidungen vorbereitet, ist ein bewusster Umgang mit diesen Anforderungen entscheidend für Rechtskonformität und nachhaltige Effizienzgewinne.

Umsetzungsstrategien

Doch wie können Unternehmen diese Anforderungen umsetzen? Oder schult uns die KI in Zukunft einfach selbst?

Die Gesetzgeber bleiben in ihrer Antwort bislang eher vage. In Artikel 4 Absatz 3 des EU AI Acts heißt es lediglich, dass Anbieter und Betreiber von KI-Systemen geeignete Maßnahmen ergreifen müssen, um sicherzustellen, dass ihr Personal – ebenso wie externe Dienstleister – über ein ausreichendes Maß an KI-Kompetenz verfügt. Dabei sollen insbesondere die technischen Kenntnisse, Schulung, Erfahrung sowie der konkrete Anwendungskontext berücksichtigt werden. Was das konkret bedeuten kann, zeigen folgende Handlungsempfehlungen:

  • Risikomanagement im Lizenzkontext
    Einführung eines strukturierten Klassifikationsprozesses für alle KI-basierten SAM-Tools – inklusive regelmäßiger Risikoanalysen, z. B. zur Abhängigkeit von Trainingsdaten, zur Vorhersagequalität von Bedarfsprognosen oder zur Einhaltung lizenzrechtlicher Vorgaben.
  • Technisches Verständnis der SAM-KI
    Lizenzverantwortliche und IT-Teams müssen verstehen, wie die KI funktioniert: Wie verarbeitet sie Lizenzdaten? Welche Quellen werden eingebunden? Welche Regeln nutzt das System zur Bewertung? Nur so lassen sich Risiken bei der Lizenzsteuerung erkennen und minimieren.
  • Dokumentation und Transparenz von Entscheidungslogiken
    Alle eingesetzten KI-Komponenten im SAM sollten vollständig dokumentiert sein – inklusive eingesetzter Algorithmen, Bewertungsmodelle und Entscheidungslogiken. Das betrifft vor allem automatisierte Risikoeinstufungen, Lizenzempfehlungen oder Vertragsinterpretationen.
  • Beschäftigtenschulung und Sensibilisierung
    Schulungen müssen auf SAM-spezifische KI-Themen eingehen – etwa den Umgang mit Bias-behafteten Trainingsdaten, Transparenzanforderungen bei automatisierter Vertragsbewertung oder den sicheren Einsatz von frei verfügbaren KI-Tools im Lizenzumfeld. Ziel ist es auch, die sogenannte Schatten-KI – also inoffiziell genutzte KI-Systeme – zu erkennen und einzuordnen.
  • Externe Kontrollen
    Eine regelmäßige externe Prüfung kann dabei helfen, die Konformität der SAM-KI mit regulatorischen Anforderungen nachzuweisen. Das gilt besonders für Unternehmen mit komplexen Lizenzmodellen oder besonders schützenswerten Datenbeständen.
  • Interne Richtlinien und KI-Verantwortung im Lizenzmanagement
    Unternehmen sollten verbindliche Richtlinien zum KI-Einsatz im SAM etablieren – einschließlich klarer Zuständigkeiten. Die Benennung eines KI-Verantwortlichen oder Beauftragten kann helfen, die Überwachung, Dokumentation und interne Kommunikation zu koordinieren. Diese Rolle kann auch zentrale Ansprechpartnerfunktion übernehmen – etwa für IT, Datenschutz, Einkauf und externe Prüfer.

Umsetzungsfrist

Bis zum 2. August 2025 müssen alle Unternehmen, die KI-Systeme nutzen – auch im Bereich Software Asset Management –, den Nachweis erbringen können, dass ihre Systeme regelkonform eingesetzt werden. Dazu gehören sowohl organisatorische Maßnahmen als auch technische Prüfungen. Wer die Anforderungen nicht erfüllt, riskiert empfindliche Sanktionen.

Verstöße gegen den AI Act können – je nach Schwere – mit Geldbußen von bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes geahndet werden. Auch Verstöße gegen Dokumentationspflichten oder die missbräuchliche Nutzung von Hochrisiko-KI können Strafen von bis zu 15 Millionen Euro oder 3% des Umsatzes nach sich ziehen. Irreführende Angaben gegenüber Aufsichtsbehörden wiederum schlagen mit bis zu 7,5 Millionen Euro oder 1,5% des Umsatzes zu Buche.

Das bedeutet, dass die Einordnung von SAM-KI-Anwendungen in die korrekte Risikoklasse bereits jetzt von großer Wichtigkeit wird.

Die Überwachung erfolgt durch nationale Behörden – in Deutschland sind derzeit u. a. das BSI, das Bundeskartellamt und Datenschutzbehörden im Gespräch. Auf EU-Ebene wird ein zentrales AI-Office eingerichtet, das die Umsetzung koordiniert und die einheitliche Anwendung innerhalb der Mitgliedsstaaten sicherstellen soll.

Fazit

Auch im Bereich Software-Asset-Management bringt KI nicht nur neue Möglichkeiten, sondern auch neue Pflichten mit sich. Wer heute vorbereitet ist, kann nicht nur rechtssicher handeln, sondern langfristig auch Vertrauen und Effizienz steigern. Unsere Experten unterstützen Sie gerne mit ihrem Fachwissen dabei – von der Klassifizierung über Richtlinienentwicklung bis hin zur Schulung Ihrer Lizenzverantwortlichen und weiteren Belegschaft.

Verfasser: Eric Löwenstein