Ethik in der IT: Algorithmen, KI und Verantwortung

Mit jedem Stück Software, das wir bauen oder betreiben, treffen wir auch Entscheidungen über andere Menschen. Welche Daten erfassen wir? Wer kommt durch unseren Filter? Welche Empfehlungen geben wir? Wer wird bevorzugt, wer benachteiligt? Lange Zeit galten diese Fragen als Nebensache, die irgendwo in Recht und Compliance landete. Heute ist Ethik in der IT ein zentrales Thema – nicht als akademische Übung, sondern weil die Wirkungen unserer Systeme real sind: jemand bekommt einen Kredit oder nicht, jemand wird zum Vorstellungsgespräch eingeladen oder nicht, jemand wird in der Polizeidatenbank markiert oder nicht.

Diese Lektion gibt dir einen kompakten Einstieg in die Ethik der IT: was Ethik überhaupt meint, wie Algorithmen Entscheidungen treffen und welche Probleme dabei entstehen (vor allem Bias und Black Box), wer für Folgen verantwortlich ist, was die EU-KI-Verordnung regelt, welche Berufskodizes es gibt, und was du als einzelne Person tun kannst, wenn du in deinem Job auf ethisch heikle Situationen stößt.

1) Was Ethik überhaupt bedeutet

Ethik ist die philosophische Disziplin, die sich mit der Frage beschäftigt, was richtig und was falsch ist – und vor allem mit der Begründung dieser Urteile. Das klingt akademisch, ist aber sehr praktisch. Im Berufsalltag stehen wir laufend vor Entscheidungen, in denen es nicht „den einen Weg" gibt: lade ich einen verdächtigen User-Log auf das interne Wiki, damit alle das Problem sehen können? Speichere ich Mitarbeiter-Daten länger, als rechtlich nötig, weil das Reporting-Tool das verlangt? Programmiere ich eine A/B-Tracking-Funktion in eine App ein, die Nutzende nicht wirklich verstehen?

Ethik ist nicht dasselbe wie Recht: was legal ist, kann ethisch fragwürdig sein (Daten kommerziell ausschlachten in den Grenzen des Erlaubten), und was illegal ist, kann ethisch geboten sein (Whistleblower, die Missstände aufdecken, brechen formal Verschwiegenheitspflichten). Recht ist die Minimalanforderung, Ethik geht darüber hinaus. Eine Faustregel: was du bei einer Live-Pressekonferenz unter Eid in einer halben Stunde nicht erklären könntest, ist meistens ethisch fragwürdig.

2) Algorithmen treffen Entscheidungen über Menschen

Eines der wichtigsten Themen der IT-Ethik der letzten Jahre: Algorithmen entscheiden immer öfter über Menschen. Das sind nicht nur die offensichtlichen Fälle wie Kreditvergabe oder Bewerbungs-Filter – es betrifft die Sortierung von Suchergebnissen, die Auswahl von Werbung, die Empfehlung von Filmen und Partner:innen, das Risiko-Scoring im Versicherungswesen, die Auswahl von Polizeieinsätzen in bestimmten Stadtteilen, die Priorisierung in Notaufnahmen.

Beispiele, die in den letzten Jahren öffentlich diskutiert wurden: Scoring bei der Schufa entscheidet darüber, ob du eine Wohnung mieten oder einen Vertrag bekommst. Predictive Policing sagt aus historischen Daten Verbrechen vorher – mit der Gefahr, dass schon einmal überproportional kontrollierte Stadtteile noch mehr kontrolliert werden, was die Statistik weiter verschärft. Recruitment-Algorithmen wie das 2018 abgeschaltete Amazon-Tool sortierten Frauen systematisch aus, weil die historischen Erfolgsbeispiele überwiegend Männer waren. COMPAS, ein in US-Gerichten eingesetztes Rückfallrisiko-Tool, ordnete schwarze Angeklagte überproportional als „hohes Risiko" ein.

3) Bias – warum Algorithmen Vorurteile haben können

Algorithmen sind keine neutralen Werkzeuge. Sie übernehmen Bias aus den Trainingsdaten, aus den Entscheidungen der Entwickler:innen und aus den Zielen, auf die sie optimiert werden. Maschinelles Lernen tut nichts anderes, als Muster aus historischen Daten zu verallgemeinern – wenn diese Daten gesellschaftliche Ungleichheiten enthalten, reproduziert das Modell sie. Wenn in der Vergangenheit überwiegend Männer in Führungspositionen kamen, lernt ein Modell, dass „Führungskraft = männlich" ein guter Indikator ist.

Vier zentrale ethische Probleme bei KI / Algorithmen

⚖️

Bias / Diskriminierung

Trainingsdaten enthalten historische Ungleichheit; das Modell reproduziert sie und kann sie sogar verstärken.

🌫️

Black Box

Wir wissen nicht, warum ein Modell so entscheidet – auch die Entwickler:innen nicht im Detail. Erklärbarkeit fehlt.

❓

Verantwortung

Wer haftet, wenn ein KI-System schadet? Entwickler:in, Betreiber:in, Anwender:in, Hersteller des Trainingsdaten-Sets?

🔍

Transparenz

Betroffene wissen oft nicht, dass ein Algorithmus involviert war – geschweige denn, wie er funktioniert.

Bekannte Bias-Beispiele aus der Praxis

Fall

Was passierte

Amazon-Recruiter

Interner Algorithmus, der Bewerbungen vorsortierte. Wurde 2018 abgeschaltet, weil er weibliche Bewerbungen systematisch herabstufte. Grund: Trainingsdaten waren historische Einstellungen einer überwiegend männlichen Belegschaft.

COMPAS

In US-Gerichten eingesetztes Tool zur Rückfallrisiko-Bewertung. Eine ProPublica-Untersuchung zeigte 2016, dass schwarze Angeklagte überproportional als „hohes Risiko" eingestuft wurden.

Gesichtserkennung

Mehrere Studien (Joy Buolamwini, Timnit Gebru) zeigten, dass kommerzielle Gesichtserkennungs-Systeme bei dunkler Hautfarbe und weiblichen Gesichtern deutlich höhere Fehlerraten haben als bei hellen männlichen Gesichtern.

Sprach-Modelle

Frühe Übersetzungs-KIs übersetzten geschlechtsneutrale Berufsbezeichnungen aus dem Türkischen mit Klischees: „o bir doktor" → „he is a doctor", „o bir hemşire" → „she is a nurse".

Wichtig: solcher Bias ist meistens nicht das Werk böser Entwickler:innen, sondern Ergebnis ungesehener Annahmen. Genau deshalb braucht es diverse Teams (siehe Wertschätzung und Diversität) und systematische Tests auf Fairness in mehreren Subgruppen. Eine Genauigkeit von 95 % über alle Nutzenden hinweg sagt nichts darüber aus, ob das Modell bei einer Minderheit nur 50 % erreicht.

4) Black-Box-Problem und erklärbare KI

Bei klassischen Algorithmen kann man – mit Aufwand – nachvollziehen, warum ein bestimmtes Ergebnis herauskommt: man liest den Code, geht die Schritte durch, sieht die Logik. Bei modernen Machine-Learning-Modellen, insbesondere bei tiefen neuronalen Netzen, ist das viel schwerer. Das Modell ist eine Sammlung von Millionen oder Milliarden numerischer Gewichte, die durch Training entstanden sind. Selbst die Entwickler:innen können bei einer einzelnen Vorhersage oft nicht im Detail erklären, warum dieses Ergebnis kam.

Dieses Black-Box-Problem ist nicht nur akademisch lästig, es ist ein echtes Hindernis für Verantwortbarkeit. Wenn ein Algorithmus deinen Kreditantrag ablehnt, hast du als Antragsteller:in das Recht zu erfahren, warum – sowohl rechtlich (DSGVO Art. 22 zu automatisierten Entscheidungen) als auch ethisch. Wenn ein medizinisches KI-System eine Diagnose vorschlägt, sollten Ärzt:innen die Begründung verstehen können, bevor sie die Entscheidung übernehmen.

Das Forschungsfeld Explainable AI (XAI) entwickelt Techniken, um KI-Entscheidungen erklärbar zu machen: welche Features waren für eine bestimmte Vorhersage am wichtigsten? Welche Trainingsbeispiele ähneln dem aktuellen Input? In welcher Bandbreite schwankt das Modell unter kleinen Perturbationen? Diese Verfahren sind nicht perfekt, aber sie sind die Mindestvoraussetzung, um KI verantwortungsvoll einzusetzen.

5) Verantwortung – wer haftet?

Eine zentrale Frage der IT-Ethik ist die der Verantwortung. Wenn ein selbstfahrendes Auto in einen Unfall verwickelt wird, wer haftet? Der Fahrer, der das System aktiviert hat? Der Hersteller? Die Programmierer:innen der Steuerung? Der Lieferant der Sensoren? Die KI-Modell-Trainerin? Wenn ein KI-System in einer Bank Kredite vergibt und systematisch diskriminiert, wer ist verantwortlich?

Die juristische und ethische Antwort ist eine Verteilung der Verantwortung über eine ganze Kette, abhängig von Rolle und Wissen. Wer ein System mit klar erkennbaren Mängeln einsetzt, trägt mehr Verantwortung als jemand, der eine Standardlösung übernimmt. Wer eine Software baut, ohne über mögliche Schäden nachzudenken, kann sich nicht später hinter „ich habe das ja nicht so gemeint" verstecken. Das deutsche Produkthaftungsgesetz und das EU-Recht entwickeln sich aktuell weiter, um auch KI-Anwendungen abzudecken.

Für dich praktisch heißt das: als ITler:in trägst du Mitverantwortung für die Wirkungen der Systeme, an denen du arbeitest. Das ist kein „du musst alles wissen", aber „du musst dir die Fragen stellen". Ein:e Entwickler:in, die merkt, dass eine Funktion DSGVO-widrig Daten erhebt, hat eine Pflicht, das anzusprechen – nicht erst zu warten, bis es zum Skandal kommt.

6) Datenethik – wenn Recht nicht reicht

Eng verwandt mit Algorithmenethik ist die Datenethik. Was wir in unseren Systemen speichern, wie wir es verknüpfen und wofür wir es nutzen, ist nicht nur eine Frage der DSGVO. Auch innerhalb des rechtlich Erlaubten gibt es weite Spielräume für problematische Praktiken: Tracking von Nutzendem-Verhalten über viele Webseiten hinweg, Profiling für gezielte Werbung mit emotionalen Triggern, das Geschäft mit der Aufmerksamkeitsökonomie, in dem Plattformen darum konkurrieren, möglichst lange Bildschirmzeit zu binden.

Eine wichtige Frage in der Datenethik ist die nach Datensparsamkeit: brauche ich diese Daten wirklich, um meinen Zweck zu erfüllen? Oder sammle ich „auf Vorrat", weil es technisch möglich ist? Die DSGVO verlangt das Prinzip der Datenminimierung (Art. 5) und der Zweckbindung – ethisch ist es eine darüber hinausgehende Disziplin, sich diese Fragen auch dann zu stellen, wenn niemand kontrolliert.

Eng damit zusammen hängt das Konzept des Dark Pattern – UI-Designs, die Nutzende gezielt zu Entscheidungen drängen, die nicht in ihrem Interesse sind: Cookies-Pop-ups, in denen „Alle akzeptieren" groß und gefärbt ist, „Ablehnen" dagegen klein und grau versteckt. Abos, bei denen die Kündigung 5 Klicks braucht und die Buchung einen. Solche Praktiken sind oft legal, aber ethisch fragwürdig – sie nutzen psychologische Schwächen aus.

7) Die EU-KI-Verordnung (AI Act)

Die EU-KI-Verordnung (AI Act), 2024 in Kraft getreten, ist das weltweit erste umfassende Regelwerk für künstliche Intelligenz. Sie verfolgt einen risikobasierten Ansatz: je riskanter eine KI-Anwendung, desto strenger die Vorgaben. Die Verordnung wird in Stufen wirksam – manche Verbote gelten seit Februar 2025, weitere Pflichten greifen 2026 und 2027.

Risikoklassen der EU-KI-Verordnung

🚫 Unzulässig

⚠️ Hochrisiko

📋 Begrenztes Risiko

✅ Minimales Risiko

Die Pyramide zeigt: die meisten KI-Anwendungen fallen unter „minimales Risiko" – nur wenige Anwendungen müssen die strengen Hochrisiko-Vorgaben erfüllen.

Beispiele zu den Risikoklassen

Unzulässig

Social Scoring durch Behörden (Bürger:innen nach Verhalten bewerten); manipulative Systeme, die Schaden anrichten können; biometrische Echtzeit-Überwachung im öffentlichen Raum (mit eng begrenzten Ausnahmen).

Hochrisiko

KI in kritischer Infrastruktur (Strom, Wasser), Bildung (Prüfungsbewertung), Beschäftigung (Bewerbungsfilter), Strafverfolgung, Gesundheit, Migrationskontrolle. Strenge Vorgaben zu Datenqualität, Transparenz, menschlicher Aufsicht.

Begrenztes Risiko

Chatbots, Deepfakes, Emotionserkennung. Transparenzpflicht: Nutzende müssen wissen, dass sie mit KI interagieren. Deepfakes müssen markiert werden.

Minimales Risiko

Die meisten Anwendungen: Spam-Filter, KI in Spielen, Empfehlungssysteme für Shopping. Keine besonderen Pflichten, freiwillige Verhaltenscodes empfohlen.

Was bedeutet das für IT-Berufe? Wer an KI-Systemen arbeitet, muss zunehmend prüfen, in welche Klasse das System fällt. Bei Hochrisiko-Anwendungen sind Risikomanagementsysteme, Datenqualitätsdokumentation, menschliche Aufsicht und technische Dokumentation Pflicht. Verstöße können Bußgelder im zweistelligen Millionen-Euro-Bereich oder bis zu 7 % des weltweiten Umsatzes nach sich ziehen – ähnlich scharf wie die DSGVO.

8) Mensch im Loop – Aufsicht über KI

Ein wichtiges Prinzip moderner KI-Ethik ist Human in the Loop: bei wichtigen Entscheidungen darf eine KI nicht das letzte Wort haben. Stattdessen schlägt sie etwas vor, und ein Mensch prüft, ergänzt oder verwirft. Das ist nicht nur ethisch sinnvoll, sondern für viele Bereiche rechtlich zwingend (DSGVO Art. 22 verbietet vollautomatisierte Entscheidungen mit erheblicher Wirkung auf Personen – mit Ausnahmen).

Entscheidungs-Flow mit Mensch in der Schleife

KI-System

Schlägt Entscheidung vor

→

Mensch

Prüft, ergänzt, übersteuert

→

Ergebnis

Begründet, dokumentiert

In der Praxis ist das nicht trivial. Wenn die KI in 95 % der Fälle „richtig" liegt, neigt der prüfende Mensch nach ein paar Wochen dazu, einfach durchzunicken – das nennt sich Automation Bias. Wirksame Aufsicht braucht klare Vorgaben, in welchen Fällen besonders genau geprüft wird, regelmäßige Stichproben, und Schulung der prüfenden Personen.

9) Berufskodizes: ACM, IEEE

Anders als Ärzt:innen oder Anwält:innen haben IT-Berufe in Deutschland keinen formellen Berufsstandeskodex, dessen Verletzung mit Berufsverbot bedroht ist. Aber es gibt freiwillige Kodizes, die auf internationaler Ebene Orientierung geben. Die bekanntesten sind der ACM Code of Ethics der Association for Computing Machinery und der IEEE Code of Ethics – beides weltweit anerkannte Branchenvereinigungen mit Sitz in den USA.

Die zentralen Prinzipien dieser Kodizes überschneiden sich stark: Beitrag zum Wohl der Gesellschaft leisten, Schaden vermeiden, ehrlich und vertrauenswürdig sein, fair handeln und Diskriminierung ablehnen, geistiges Eigentum respektieren, Privatsphäre achten, Vertraulichkeit wahren. Klingt banal, ist es aber nicht: im Konfliktfall geben diese Prinzipien Halt – wenn der Vorgesetzte verlangt, dass du etwas Unethisches programmierst, kannst du dich auf solche Kodizes berufen.

In Deutschland gibt es die Gesellschaft für Informatik (GI), die eigene ethische Leitlinien herausgegeben hat. Diese sind in Sprache und Beispielen näher am deutschen Kontext, decken aber ähnliche Prinzipien ab.

10) Whistleblowing und Gewissensfreiheit

Was tust du, wenn du in deinem Job auf etwas stößt, das du für ethisch falsch oder rechtlich problematisch hältst? Im glücklichen Fall kannst du es einfach intern ansprechen, die Sache wird geklärt, alles ist gut. Im schwierigen Fall stößt du auf Widerstand – die Sache soll vertuscht, ignoriert oder dir als „nicht dein Problem" zugewiesen werden. Dann stellt sich die Frage nach Whistleblowing.

In Deutschland gibt es seit 2023 das Hinweisgeberschutzgesetz (HinSchG), das umgesetzt EU-Recht: Beschäftigte, die Verstöße gegen bestimmte EU- und nationale Vorschriften melden, sind vor Vergeltungsmaßnahmen (Kündigung, Mobbing, Versetzung) geschützt. Unternehmen ab 50 Beschäftigten müssen interne Meldestellen einrichten. Bei schwerwiegenden Vergehen können Hinweisgeber:innen auch externe Stellen kontaktieren (z. B. Bundeskartellamt, Bafin) oder als letztes Mittel an die Öffentlichkeit gehen.

Praktisch: bevor du nach außen gehst, dokumentiere alles sehr sorgfältig (Datum, Beteiligte, was passiert ist), nutze interne Wege (Vorgesetzte:r, höhere Vorgesetzte:r, Compliance, Betriebsrat, interne Meldestelle), zieh anwaltlichen Rat hinzu. Whistleblowing ist eine wichtige gesellschaftliche Funktion, hat aber für die handelnde Person oft persönliche Kosten – realistisch sein.

11) Autonome Waffen und Dual-Use

Eine besondere Kategorie ethischer Fragen sind Dual-Use-Technologien: Software, die sowohl für friedliche wie für militärische oder repressive Zwecke verwendbar ist. Gesichtserkennung, die Sicherheitsbehörden hilft und gleichzeitig Demonstrationen überwacht. Drohnen-Software, die Brände erfasst und gleichzeitig Ziele markiert. Modelle, die medizinische Bilder analysieren und gleichzeitig zur Massenüberwachung taugen.

Eine sehr spezielle Diskussion betrifft autonome Waffensysteme (Lethal Autonomous Weapons, LAWS) – Systeme, die ohne menschliche Letztentscheidung tödliche Gewalt einsetzen. Internationale Organisationen wie die UN-Konvention über bestimmte konventionelle Waffen diskutieren seit Jahren über mögliche Beschränkungen oder Verbote; ein verbindlicher Vertrag fehlt bisher. Viele Forschende und Tech-Unternehmen haben sich verpflichtet, an solchen Systemen nicht zu arbeiten – die Wirkung dieser Selbstverpflichtungen ist allerdings begrenzt.

Für einzelne ITler:innen stellt sich praktisch selten die Frage nach autonomen Waffen, aber öfter die nach Dual-Use: arbeitest du an einer Technologie, die in heiklen Kontexten missbraucht werden kann? Hast du Mitsprache in solchen Entscheidungen? Diese Fragen sind im Berufseinstieg vielleicht abstrakt, werden aber in einer langen Karriere relevant.

12) Ökologische Verantwortung

Ein häufig vernachlässigter Aspekt der IT-Ethik ist die ökologische Dimension. Rechenzentren verbrauchen weltweit erhebliche Mengen Strom – Schätzungen liegen bei etwa 1–2 % des globalen Stromverbrauchs, mit steigender Tendenz durch KI-Training. Ein einzelnes Training eines großen Sprachmodells kann hunderttausende Kilowattstunden verbrauchen, viele Inferenz-Anfragen täglich nochmal mehr.

Für deinen Alltag heißt das nicht, dass du auf Programmieren verzichten sollst – aber es lohnt sich, ressourcenschonende Entscheidungen zu treffen: muss ein KI-Modell aufgerufen werden, wo eine simple Regel reicht? Können Server geplant heruntergefahren werden, wenn sie nicht gebraucht werden? Wo kommt der Strom des Rechenzentrums her? Solche Fragen werden in der nächsten Berufsdekade zunehmend zur Pflicht – auch durch Berichtspflichten wie die EU-Taxonomie und CSRD.

13) Was du als einzelne Person tun kannst

Du bist als Berufsanfänger:in keine Aufseherin der globalen Tech-Industrie, aber du hast in deinem Arbeitsalltag mehr Hebel, als man meint:

Fragen stellen: „Welche Daten brauchen wir wirklich? Sind wir DSGVO-konform? Was passiert mit Edge Cases?" – diese Fragen kosten 30 Sekunden und können großen Schaden verhindern
Über Bias nachdenken, wenn du an Modellen oder Filtern arbeitest: wer fällt unter den Radar? An wem teste ich nicht?
Eigene Grenzen setzen: wenn du an etwas arbeiten sollst, das du klar für unethisch hältst, intern aufzeigen. In letzter Konsequenz Job wechseln
Dokumentation ernst nehmen: wer warum was entschieden hat, wird später wichtig – sowohl für Audits als auch für ethische Aufarbeitung
Sich weiterbilden: Themen wie KI-Verordnung, Datenethik, Dark Patterns bewusst lernen – nicht nur die Technik
Diversität im Team fördern, weil sie blinde Flecken aufdeckt
In der Berufsverband (GI, ACM) Mitglied werden – netz dich mit Menschen, die ähnliche Fragen stellen
In Code-Reviews ethische Punkte mitprüfen: nicht nur, ob der Code funktioniert, sondern was er macht

⚠ Wichtig: Du musst nicht jeden Konflikt allein ausfechten. Die meisten ethischen Fragen in IT-Projekten brauchen Gespräch im Team, nicht Heldentum einer Einzelperson. Aber du hast eine Stimme – nutze sie.

💡 Praxis-Tipp: Eine gute Übung im Team ist die Black-Mirror-Frage: stell dir vor, dein Produkt erscheint in einer dystopischen Netflix-Folge – was wäre der schlimmste Missbrauch deiner Technologie? Diese Übung deckt erstaunlich oft echte Risiken auf, an die im Alltag niemand denkt. Tech-Unternehmen wie Microsoft, Google und IBM haben ähnliche Werkzeuge unter Namen wie „Ethical Threat Modeling" formalisiert.

Zusammenfassung

Ethik in der IT ist die Frage nach Richtig und Falsch jenseits des rein Rechtlichen. Algorithmen treffen zunehmend Entscheidungen über Menschen – mit den vier Hauptproblemen Bias, Black Box, Verantwortung und Transparenz. Bias in ML-Modellen reproduziert historische Ungleichheit; erklärbare KI (XAI) soll Entscheidungen nachvollziehbar machen. Die EU-KI-Verordnung regelt seit 2024 KI-Systeme nach vier Risikoklassen (unzulässig, hoch, begrenzt, minimal). Der Grundsatz Human in the Loop verlangt menschliche Letztentscheidung bei kritischen Entscheidungen. Berufskodizes von ACM, IEEE und der GI geben Orientierung. Das Hinweisgeberschutzgesetz schützt Whistleblower:innen. Auch ökologische Verantwortung und Dual-Use-Fragen gehören zur IT-Ethik. Du hast als einzelne Person Einfluss durch gute Fragen, klare Grenzen und sorgfältige Dokumentation.