Welche rechtlichen Pflichten haben Unternehmen beim KI-Einsatz?

Was zeigt die Destatis-Erhebung 2025 zur KI-Nutzung in Unternehmen?

KI-Einsatz Hürden in der Destatis-Erhebung 2025 stellen eindrücklich dar: Rechtliche Unsicherheit ist einer der zentralen Hemmfaktoren beim Einsatz von Künstlicher Intelligenz in deutschen Unternehmen. 62 % der befragten Unternehmen geben an, dass die Unklarheit über rechtliche Folgen sie davon abhält KI einzusetzen.¹ Damit landet dieser Hinderungsgrund auf Platz 2 der meistgenannten Barrieren.

Das Risiko ist real, denn: Wer KI im Unternehmen einsetzt betritt ein rechtliches Neuland. Die Gefahr unwissentlich gegen Vorschriften zu verstoßen ist somit größer denn je.

Warum ist die Rechtslage beim KI-Einsatz so komplex?

Die Rechtslage ist komplex, weil KI gleichzeitig Software, Kommunikationssystem, Entscheidungswerkzeug und gesellschaftlicher Einflussfaktor ist, und weil bestehende Rechtsordnungen ursprünglich nicht für adaptive, generative Systeme entworfen wurden.

Wer haftet bei Schäden durch KI?

Nach dem Bürgerlichen Gesetzbuch gilt: KI ist kein Rechtssubjekt. Sie kann weder verklagt werden noch Verantwortung übernehmen.² Unternehmen müssen deshalb sicherstellen, dass ihre KI-Systeme nachvollziehbar, überprüfbar und kontrollierbar sind und dass es im Zweifel immer einen menschlichen Entscheidungsträger gibt, der Verantwortung übernehmen kann.

Was regelt der EU AI Act und welches Risiko gilt für Unternehmen?

Seit dem 1. August 2024 ist der EU AI Act³ in Kraft. Das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er gilt für alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder einsetzen. Unabhängig davon, ob das Unternehmen seinen Sitz in Europa hat.

Der EU AI Act unterscheidet KI-Systeme nach dem Risikopotenzial:

• Inakzeptables Risiko: Diese sind verboten, zum Beispiel Social Scoring durch Behörden oder manipulative KI-Systeme.
• Hohes Risiko: Zum Beispiel KI in der Personalauswahl, im Kreditwesen, in medizinischen Geräten oder in kritischer Infrastruktur. Hier gelten umfangreiche Dokumentations-, Transparenz- und Prüfpflichten.
• Begrenztes Risiko: Zum Beispiel bei Chatbots. Hier gilt die Transparenzpflicht: Nutzer müssen wissen, dass sie mit einer KI kommunizieren.
• Minimales Risiko: Dies ist weitgehend unreguliert. Ein Beispiel wären KI-gestützte Spam-Filter.

Für Unternehmen bedeutet das: Vor dem Einsatz eines KI-Systems steht zwingend die Einordnung in diese Risikokategorien. Wer ein Hochrisiko-System ohne die erforderliche Konformitätsbewertung betreibt, riskiert Bußgelder.

Wie schütze ich interne Daten vor KI?

Viele Unternehmen setzen auf KI-Tools, die über öffentliche APIs angebunden sind und bemerken dabei zu spät, welche Daten sie dabei aus der Hand geben. Wer sensible Geschäftsdaten, Strategiepapiere, Kundenlisten oder vertrauliche interne Prozesse in öffentliche KI-Systeme eingibt, riskiert:

• Verstöße gegen das Geschäftsgeheimnisschutzgesetz⁴, wenn Betriebsinterne Daten an Dritte gelangen.
• Haftungsrisiken gegenüber Kunden oder Partnern bei Weitergabe vertraglicher Informationen oder NDAs.
• den Verlust rechtlicher Handhabe, wenn unklar ist, wer die eingegebenen Daten weiterverarbeitet oder für Modelltraining nutzt.

Was können Unternehmen konkret für einen rechtssicheren KI-Einsatz tun?

Um die Anforderungen des EU AI Acts zu erfüllen und Haftungsrisiken zu minimieren reicht bloßes Abwarten nicht aus. Der Weg zu einem rechtssicheren und produktiven KI-Einsatz erfordert grundsätzlich zwei aufeinander aufbauende Bausteine: Eine systematische interne Risikobewertung sowie die Implementierung einer Software, die Unternehmenswissen strikt schützt und transparent verarbeitet.

Wie stufen wir unser KI-System nach dem EU AI Act richtig ein?

Bevor ein KI-System im Unternehmen eingesetzt wird, sollte eine systematische Risikoeinordnung stattfinden. Dazu gehören:

• Bestandsaufnahme: Welche KI-Systeme werden bereits eingesetzt oder sind geplant?
• Rollenklassifizierung: Welche Rolle spielt das Unternehmen im Bezug zur KI-Nutzung?
• Klassifizierung: In welche Risikokategorie fällt das jeweilige System?
• Maßnahmenplan: Welche Dokumentations-, Prüf- und Transparenzpflichten gelten?
• Verantwortlichkeiten: Wer im Unternehmen ist für die KI-Compliance zuständig?

Der EU AI Act Compliance Checker⁵ hilft Ihnen dabei, Ihre Rolle und die Risikokategorie einzuordnen und die relevanten Anforderungen zu identifizieren.

Wie nutzen wir KI ohne die Kontrolle über unsere Daten zu verlieren?

Wer KI im Unternehmen nutzen möchte, ohne dabei die Kontrolle über seine Daten zu verlieren, braucht eine Lösung, die von Grund auf Sicherheit, Transparenz und Nachvollziehbarkeit ausgelegt ist. Genau hier setzt Drupal Wiki KI an.

Drupal Wiki KI ist ein Chatbot, der geschützt und kontrolliert Zugriff auf internes Wissen Ihres Unternehmens hat. Dem Wissen, das bereits in Ihrem Drupal Wiki gepflegt wird oder werden kann.

• Die Haftungsfrage ist vertraglich klar geregelt.
  Die Verantwortlichkeiten zwischen Anbieter und Unternehmen sind eindeutig abgegrenzt. Es entstehen keine unklaren Nutzungsbedingungen. Wie die KI genutzt werden darf und wer dafür haftet, ist vollständig dokumentiert und nachvollziehbar.
• Internes Wissen bleibt intern.
  Der Chatbot greift ausschließlich auf Inhalte Ihres eigenen Wikis zurück. Keine Datenspeicherung und kein Risiko, dass vertrauliche Informationen in fremde Trainingsdaten einfließen.
• Nutzer-Rechte werden gespiegelt.
  Die Rechteverwaltung Ihres Drupal Wikis gilt direkt auch für den KI-Chatbot. Wer im Wiki keinen Zugriff auf bestimmte Inhalte hat, bekommt diese Informationen auch vom Chatbot nicht. Automatisch und ohne zusätzlichen Konfigurationsaufwand.
• Quellennachweis bei jeder Antwort.
  Jede Antwort des Chatbots enthält einen direkten Verweis auf die Wiki-Seite, aus der die Information stammt. Das schafft Nachvollziehbarkeit, fördert das Vertrauen der Mitarbeitenden und ist gleichzeitig ein wichtiger Baustein für die Einhaltung der Transparenzpflichten des EU AI Acts.

Was ist im EU AI Act in Hinblick auf Hochrisiko-Systeme zu beachten?

Drupal Wiki KI wird nicht als Hochrisiko-System eingestuft. Dennoch entbindet der EU AI Act auch dann nicht von allen Pflichten, es gilt:

1. Transparenz.
   Mitarbeitende müssen wissen, dass sie mit einer KI interagieren und nicht mit einem menschlichen Ansprechpartner. Drupal Wiki KI macht das von Anfang an sichtbar: Bereits beim Öffnen des Chats ist klar gekennzeichnet, dass es sich um einen KI-Chat handelt.
2. Kennzeichnung von KI-Inhalten.
   Werden Inhalte mit Hilfe des Chatbots erstellt und nach außen kommuniziert, müssen diese als KI-generiert gekennzeichnet sein.
3. KI-Kompetenz im Team.
   Das Unternehmen ist verpflichtet sicherzustellen, dass alle Mitarbeitenden, die mit dem System arbeiten, ein grundlegendes Verständnis von KI mitbringen. Angepasst an ihre Rolle und ihren Einsatzkontext.

Wie führen Unternehmen KI trotz rechtlicher Unsicherheit sicher ein?

62 % der Unternehmen nennen rechtliche Unsicherheit als Hindernis, aber die Lösung liegt nicht im Abwarten. Sie liegt in der Wahl der richtigen Plattform. Wer KI auf Basis einer strukturierten, vertraglich abgesicherten Wissensplattform einführt, minimiert das regulatorische Risiko und schafft gleichzeitig die Grundlage für nachhaltigen KI-Einsatz.

Disclaimer

Diese Seite ist redaktioneller Natur und stellt keine Rechtsberatung dar. Der AI Act wird von nationalen Behörden und dem EU AI Office durchgesetzt. Konsultieren Sie Ihren Datenschutzbeauftragten und externe Rechtsberater, bevor Sie die Compliance-Angaben eines Anbieters für einen regulierten Einsatz als Grundlage nutzen.

Quellen

[1] Statistisches Bundesamt (Destatis), Erhebung zur Nutzung von Informations- und Kommunikationstechnik in Unternehmen, https://www-genesis.destatis.de/datenbank/online/statistic/52911/details

[2] Bürgerliches Gesetzbuch (BGB) §1 Beginn der Rechtsfähigkeit, https://www.gesetze-im-internet.de/bgb/__1.html

[3] Der AI Act Explorer, https://artificialintelligenceact.eu/de/ai-act-explorer/

[4] Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG), https://www.gesetze-im-internet.de/geschgehg/BJNR046610019.html

[5] EU AI Act Compliance Checker, https://artificialintelligenceact.eu/de/bewertung/eu-ai-act-compliance-checker/