• Frau am Laptop hält eine leuchtende Glühbirne mit digitalem Netzstruktur-Overlay
Insights

KI im Unternehmen rechtssicher einsetzen: EU AI Act, Datenschutz und Haftung im Überblick

Risikoklassen, Datenschutz und Verträge beim Einsatz von KI im Unternehmen.

| Lesedauer 6 min. | Autor: Sebastian Harschneck

KI-Compliance ist kein reines IT-Projekt. Der EU AI Act setzt den regulatorischen Rahmen, doch jede konkrete Anwendung berührt regelmäßig weitere Rechtsfragen. Werden personenbezogene Daten verarbeitet, gilt die DSGVO. Bei Eingaben und Ergebnissen generativer Systeme stellen sich Fragen zu Urheberrechten und Geschäftsgeheimnissen. Hinzu kommen Vertrags-, Haftungs- und Organisationspflichten. Unternehmen brauchen deshalb ein einheitliches Verfahren, das Anwendungen erfasst, Risiken bewertet und zulässige Nutzung verbindlich regelt.

Risikobasierter Ansatz des EU AI Act

Der AI Act knüpft die rechtlichen Anforderungen an Zweck, Einsatzumfeld und Risikopotenzial eines KI-Systems. Bestimmte Praktiken, etwa einzelne Formen manipulativer Beeinflussung oder Social Scoring, sind untersagt. Für Hochrisiko-KI gelten besonders strenge Anforderungen. Dazu können Anwendungen in sensiblen Bereichen wie Personalauswahl, Kreditwürdigkeitsprüfung oder kritischer Infrastruktur gehören. Je nach Rolle sind dann unter anderem Risikomanagement, technische Dokumentation, Daten-Governance, menschliche Aufsicht, Protokollierung und laufende Überwachung erforderlich.

Andere Systeme unterliegen vor allem Transparenzpflichten. Nutzer sollen beispielsweise erkennen können, dass sie mit einem KI-System interagieren oder dass Inhalte künstlich erzeugt oder verändert wurden. Viele Anwendungen mit geringem Risiko bleiben demgegenüber weitgehend frei von produktspezifischen Pflichten des AI Act. Das bedeutet jedoch nicht, dass ihr Einsatz rechtlich folgenlos wäre: Datenschutz, Arbeitsrecht, Urheberrecht, Geheimnisschutz und allgemeine Haftungsregeln gelten unabhängig von der Risikokategorie fort.

Für Unternehmen ist deshalb nicht die abstrakte Bezeichnung des Tools entscheidend, sondern der konkrete Use Case. Dasselbe System kann im Entwurf eines Marketingtexts wenig kritisch sein, in einer Bewerberauswahl oder bei einer sicherheitsrelevanten Entscheidung dagegen deutlich strengere Anforderungen auslösen.

Datenschutz, Urheberrecht und Geschäftsgeheimnisse

Sobald eine KI-Anwendung personenbezogene Daten verarbeitet, muss das Unternehmen Rechtsgrundlage, Zweckbindung, Datenminimierung und Löschung klären. Bei Anwendungen mit voraussichtlich hohem Risiko für die betroffenen Personen kann eine Datenschutz-Folgenabschätzung erforderlich sein. Besonders sensibel sind Beschäftigtendaten, Kundenprofile und Daten, die zur Bewertung oder Vorhersage menschlichen Verhaltens verwendet werden. Auch eine technisch zulässige KI-Anwendung darf nicht ohne datenschutzrechtliche Grundlage eingesetzt werden.

Generative KI wirft daneben urheberrechtliche Fragen auf. Unternehmen müssen prüfen, ob sie geschützte Inhalte als Input verwenden dürfen, welche Rechte an den erzeugten Ergebnissen bestehen und ob Outputs Rechte Dritter verletzen können. Gerade bei externer Veröffentlichung sollte das Ergebnis daher nicht ungeprüft übernommen werden.

Geschäftsgeheimnisse sind gefährdet, wenn Mitarbeitende interne Informationen in frei zugängliche oder unzureichend abgesicherte Systeme eingeben. Schutz entsteht durch eine Kombination aus vertraglichen Zusagen des Anbieters, technischen Einstellungen und einer klaren internen Nutzungsrichtlinie. Sie sollte festlegen, welche Datenkategorien nicht eingegeben werden dürfen und für welche Anwendungen freigegebene Enterprise-Lösungen zu verwenden sind.

Drittanbieter-KI: Vertrag und Rollenverteilung

Die meisten Unternehmen entwickeln keine eigenen Modelle, sondern nutzen KI-Funktionen externer Anbieter. Dadurch entfällt die eigene Verantwortung nicht. Zunächst ist zu klären, welche Rolle das Unternehmen nach dem AI Act einnimmt und ob es das System nur bestimmungsgemäß einsetzt, wesentlich verändert oder unter eigenem Namen weitergibt. Diese Einordnung beeinflusst Umfang und Tiefe der Pflichten.

Der Anbieter-Vertrag sollte transparent regeln, ob Eingaben, hochgeladene Dateien und Nutzungsdaten für Training oder Produktverbesserung verwendet werden. Ebenso wichtig sind Vertraulichkeit, Löschung, Unterauftragnehmer, Datenstandorte, Sicherheitsstandards, Verfügbarkeit, Haftung und Unterstützung bei regulatorischen Anfragen. Werden personenbezogene Daten im Auftrag verarbeitet, ist zusätzlich ein Vertrag nach Art. 28 DSGVO erforderlich.

Bei geschäftskritischen Anwendungen sollte das Unternehmen außerdem prüfen, welche Dokumentation und Informationen der Anbieter bereitstellt. Ohne ausreichende Angaben zu Systemzweck, Grenzen, Datenverarbeitung und Kontrollmöglichkeiten kann der Betreiber seine eigenen Pflichten kaum erfüllen.

Ein praktikabler Weg zur KI-Compliance

Am Anfang steht ein vollständiges Inventar der tatsächlich eingesetzten KI-Anwendungen, einschließlich informell genutzter Tools einzelner Teams. Für jeden Use Case werden Zweck, Datenarten, Nutzergruppe, Anbieter und mögliche Auswirkungen dokumentiert. Auf dieser Grundlage erfolgt die Einordnung nach dem AI Act und die Prüfung, ob Datenschutz-Folgenabschätzung, besondere Transparenz oder weitere Kontrollen erforderlich sind.

Im nächsten Schritt werden Anbieter-Verträge, Auftragsverarbeitung, Trainingsnutzung, Vertraulichkeit und Haftung geprüft. Parallel legt eine interne KI-Richtlinie fest, welche Tools freigegeben sind, welche Informationen nicht eingegeben werden dürfen und wann eine menschliche Prüfung zwingend bleibt. Schulungen sollten nicht nur Verbote vermitteln, sondern konkrete, erlaubte Arbeitsweisen zeigen. Verantwortlichkeiten, Freigabeprozess und regelmäßige Überprüfung machen aus einzelnen Maßnahmen anschließend ein dauerhaftes Compliance-System.

Über den Autor

Rechtsanwalt Sebastian Harschneck, Partner bei Maxfeld.legal
Sebastian Harschneck
Rechtsanwalt · Managing Partner
Kontakt aufnehmen

Sebastian Harschneck berät Unternehmen im Wirtschafts- und Vertragsrecht mit Schwerpunkt im Handels-, Vertriebs- und IT-Recht sowie in der laufenden Beratung internationaler Mandanten.

Betonpfeiler und Fahrbahn eines Autobahnviadukts über bewaldeten Hügeln

KI im Unternehmen einführen und die Rechtslage klären?

Maxfeld.legal ordnet Ihre KI-Anwendungen nach dem EU AI Act ein, prüft Datenschutz und Verträge und baut Ihre KI-Compliance auf.

Kontakt aufnehmen

Häufige Fragen zum KI-Einsatz im Unternehmen

Für Anbieter, die KI-Systeme in der EU in Verkehr bringen, für Betreiber mit Sitz in der EU sowie für Anbieter und Betreiber aus Drittländern, deren KI-Ausgaben in der EU verwendet werden. Die Pflichten hängen von der Risikoklasse ab.

KI in sensiblen Bereichen wie Personalauswahl, Kreditvergabe oder kritischer Infrastruktur. Sie unterliegt strengen Anforderungen an Risikomanagement, Dokumentation und Aufsicht.

Nur mit Vorsicht. Ohne angemessene Schutzmaßnahmen und vertragliche Absicherung kann der Geschäftsgeheimnisschutz verloren gehen.

Wenn personenbezogene Daten verarbeitet werden, in der Regel ja, nach Art. 28 DSGVO.

Der AI Act wird gestuft wirksam; verbotene Praktiken und einzelne Pflichten greifen früher als die vollen Hochrisiko-Anforderungen. Der konkrete Zeitplan ist im Einzelfall zu prüfen.

Weitere Beiträge zum Thema

Kontakt

Kontakt aufnehmen

Schreiben Sie uns. Wir melden uns innerhalb eines Werktags bei Ihnen.

Oder rufen Sie uns an:

T +49 911 569 61-0
contact@maxfeld.legal

Maxfeld.legal

Rechtsanwaltsgesellschaft mbH
Leipziger Platz 21
90491 Nürnberg

Broschüre

Broschüre anfordern

Tragen Sie Ihre Kontaktdaten ein. Wir senden Ihnen die Broschüre umgehend per E-Mail zu.