Der Einsatz von Künstlicher Intelligenz im Unternehmen umfasst ein breites Spektrum an Anwendungsfällen, von der einfachen Nutzung öffentlich zugänglicher Tools wie ChatGPT bis hin zur Entwicklung eigener KI-Systeme. Viele Unternehmen nutzen bereits generative KI-Modelle für die Content-Erstellung, Kundenkommunikation, Datenanalyse oder Prozessoptimierung. Die rechtliche Einordnung dieser Anwendungen ist komplex, da sie verschiedene Rechtsgebiete berühren. Die DSGVO gilt weiterhin, wenn KI-Systeme personenbezogene Daten verarbeiten, was bei den meisten praktischen Anwendungen der Fall ist. Unternehmen müssen daher prüfen, welche Daten in die KI-Systeme eingegeben werden und ob diese Verarbeitung auf einer zulässigen Rechtsgrundlage beruht.
Bei der Nutzung von Cloud-basierten KI-Diensten wie ChatGPT oder Claude stellt sich zudem die Frage nach der Datenhoheit und dem Datenexport in Drittstaaten. Die italienische Datenschutzbehörde hat ChatGPT im März 2023 vorübergehend verboten, was die Relevanz datenschutzrechtlicher Compliance verdeutlicht hat. Unternehmen sollten interne Richtlinien für den Einsatz von KI-Tools entwickeln, die klare Vorgaben zur Datenverarbeitung, zur Dokumentation und zur Verantwortlichkeit enthalten. Besonders sensibel ist die Verarbeitung von Geschäftsgeheimnissen oder vertraulichen Kundendaten in öffentlichen KI-Systemen, da diese Daten möglicherweise für das Training der Modelle verwendet werden könnten.
Die Implementierung eigener KI-Systeme erfordert eine noch gründlichere rechtliche Prüfung. Hierbei geht es nicht nur um den Datenschutz, sondern auch um Fragen des Urheberrechts an den Trainingsdaten, die Haftung für fehlerhafte Entscheidungen und die Einhaltung branchenspezifischer regulatorischer Anforderungen. Besonders in regulierten Branchen wie dem Finanzsektor oder der Gesundheitsbranche sind die Anforderungen besonders hoch. Die BaFin hat bereits Prinzipien für den Einsatz von Algorithmen in Entscheidungsprozessen veröffentlicht, die auch für KI-Systeme relevant sind. Unternehmen sollten daher frühzeitig eine KI-Compliance-Strategie entwickeln, die alle relevanten Rechtsbereiche berücksichtigt und ein ganzheitliches Risikomanagement ermöglicht.
Der Datenschutz gehört zu den wichtigsten Rechtsbereichen beim Einsatz von Künstlicher Intelligenz. KI-Systeme verarbeiten regelmäßig große Mengen personenbezogener Daten, sei es für das Training der Modelle oder für deren operativen Einsatz. Die DSGVO gilt uneingeschränkt auch für die Verarbeitung personenbezogener Daten durch KI-Systeme. Dies bedeutet, dass alle Grundsätze der DSGVO wie Zweckbindung, Datenminimierung und Transparenz beachtet werden müssen. Besonders kritisch ist die Frage der Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten. Die europäischen Datenschutzbehörden prüfen derzeit intensiv, inwieweit die bekannten Rechtsgrundlagen wie berechtigtes Interesse oder Einwilligung für das Training von Large Language Models ausreichen.
Ein zentrales Problem ist die sogenannte „Black Box“ vieler KI-Systeme, deren Entscheidungswege für Menschen nicht nachvollziehbar sind. Dies steht im Konflikt mit dem Auskunftsrecht der Betroffenen nach Art. 15 DSGVO, das Informationen über die logische Bedeutung der automatisierten Entscheidungen vorsieht. Zudem stellt sich die Frage der Datenrichtigkeit: KI-Systeme können falsche oder veraltete Informationen generieren, was gegen den Grundsatz der Richtigkeit personenbezogener Daten verstößt. (MMR) Unternehmen müssen Mechanismen implementieren, um die Qualität der KI-Generierten Ergebnisse zu überprüfen und Betroffenen Korrekturmöglichkeiten einzuräumen.
Die Transparenzpflichten der DSGVO sind bei KI-Systemen besonders relevant. Betroffene müssen informiert werden, wenn KI-Systeme bei Entscheidungen über sie eingesetzt werden. Dies umfasst Informationen über die Funktionsweise des Systems, die Bedeutung der vorhersehbaren Ergebnisse und die Maßnahmen, die sie ergreifen können, um ihre Interessen zu wahren. Die KI-Verordnung (EU AI Act) wird diese Anforderungen ergänzen, insbesondere für Hochrisiko-KI-Systeme, die zusätzliche Transparenz- und Dokumentationspflichten vorsieht. Unternehmen sollten daher frühzeitig ein Datenschutzkonzept für ihre KI-Systeme entwickeln, das sowohl die Anforderungen der DSGVO als auch die kommenden Anforderungen des AI Act berücksichtigt.
Das Urheberrecht bereitet beim Einsatz von Künstlicher Intelligenz besondere Herausforderungen, insbesondere bei generativen KI-Systemen wie ChatGPT, Midjourney oder DALL-E. Die zentrale Frage ist, ob KI-generierte Inhalte urheberrechtlich geschützt sind. Nach der herrschenden Meinung in Deutschland und der EU setzt Urheberrechtsschutz eine persönliche geistige Schöpfung voraus, die nur von einem Menschen geschaffen werden kann. (Raue - Dreier/Schulze | UrhG § 2) KI-generierte Inhalte, bei denen die KI autonom agiert, genießen daher keinen urheberrechtlichen Schutz. Dies bedeutet, dass diese Inhalte gemeinfrei sind und von Dritten frei genutzt werden können, was die wirtschaftliche Verwertbarkeit erheblich einschränkt.
Ein weiteres Problem betrifft die Trainingsdaten der KI-Modelle. Viele generative KI-Systeme wurden mit urheberrechtlich geschützten Werken trainiert, ohne dass die Urheberrechte der Rechteinhaber berücksichtigt wurden. Dies kann zu Urheberrechtsverletzungen führen, wenn die KI Inhalte generiert, die geschützte Werke oder Teile davon reproduzieren. Getty Images hat beispielsweise Stability AI wegen Urheberrechtsverletzung verklagt, weil das Unternehmen urheberrechtlich geschützte Bilder ohne Erlaubnis für das Training seiner Bild-KI verwendet haben soll. Unternehmen, die KI-generierte Inhalte kommerziell nutzen, tragen das Risiko, dass diese Inhalte Rechte Dritter verletzen könnten.
Die rechtliche Situation bei der Nutzung von KI als Werkzeug ist anders. Wenn ein Mensch eine KI als Hilfsmittel verwendet und den kreativen Prozess kontrolliert, kann das Ergebnis urheberrechtlich geschützt sein. Dies ist insbesondere bei der Programmierung mit KI-Unterstützung relevant, wo der Mensch den Code überarbeitet und zu einer kohärenten Software zusammenfügt. Unternehmen sollten daher klare Richtlinien für den Einsatz von KI bei der Content-Erstellung entwickeln und vertragliche Regelungen mit KI-Anbietern treffen, die Haftungsfragen und Nutzungsvorbehalte klären. Dies umfasst insbesondere Klauseln, die die kommerzielle Nutzung einschränken, Überprüfungspflichten vorsehen und Transparenzvorgaben enthalten.
Die Haftung für fehlerhafte KI-Entscheidungen ist eine der wichtigsten Rechtsfragen für Unternehmen, die KI-Systeme einsetzen. KI-Systeme können Fehler machen, falsche Empfehlungen geben oder diskriminierende Ergebnisse produzieren. Die haftungsrechtliche Einordnung solcher Fehler ist komplex und hängt von verschiedenen Faktoren ab, darunter der Art des KI-Systems, dem Kontext des Einsatzes und der vertraglichen Beziehung zwischen den Beteiligten. Grundsätzlich haftet derjenige, der eine rechtswidrige Handlung begeht, also in der Regel der Betreiber des KI-Systems oder das Unternehmen, das die KI-Entscheidung in den Geschäftsprozess integriert hat.
Bei der Haftung für KI-Systeme ist zwischen verschiedenen Haftungsebenen zu unterscheiden. Auf vertraglicher Ebene können Unternehmen vertragliche Haftungsausschlüsse oder Haftungsbeschränkungen mit KI-Anbietern vereinbaren, allerdings sind solche Klauseln im B2B-Bereich nur unter bestimmten Voraussetzungen wirksam. Auf deliktischer Ebene greifen die allgemeinen deliktischen Haftungsgrundsätze, wobei die Beweislast für das Verschulden bei komplexen KI-Systemen schwierig sein kann. Besonders kritisch ist die Haftung für diskriminierende KI-Entscheidungen, die gegen das Allgemeine Gleichbehandlungsgesetz (AGG) verstoßen können. Unternehmen müssen daher sicherstellen, dass ihre KI-Systeme nicht diskriminieren und geeignete Maßnahmen zur Vermeidung algorithmischer Diskriminierung implementieren.
Die Produkthaftung kann relevant werden, wenn KI-Systeme als Teil eines Produkts in den Verkehr gebracht werden und durch fehlerhafte KI-Entscheidungen Personen- oder Sachschäden entstehen. Die EU plant eine spezifische KI-Haftungsrichtlinie, die die Haftung für KI-Systeme harmonisieren soll. Bis zu deren Inkrafttreten gelten die allgemeinen produkthaftungsrechtlichen Grundsätze. Unternehmen sollten ein umfassendes Risikomanagement für ihre KI-Systeme implementieren, das technische Qualitätssicherung, regelmäßige Überprüfung der KI-Entscheidungen, Dokumentationspflichten und Versicherungslösungen umfasst. (Hessel, Callewaert, BKR 2025, 353) Dies ist insbesondere wichtig in sensiblen Bereichen wie dem Gesundheitswesen, der Finanzbranche oder der autonomen Mobilität, wo fehlerhafte KI-Entscheidungen schwerwiegende Folgen haben können.
KI-generierte Inhalte, bei denen die KI autonom agiert, genießen nach der herrschenden Meinung keinen urheberrechtlichen Schutz, da ihnen die persönliche geistige Schöpfung eines Menschen fehlt. Sie sind daher gemeinfrei und können von Dritten frei genutzt werden. Dies gilt jedoch nicht, wenn der Mensch die KI als Werkzeug verwendet und den kreativen Prozess kontrolliert – in diesem Fall kann das Ergebnis urheberrechtlich geschützt sein. Unternehmen sollten beachten, dass KI-generierte Inhalte dennoch Rechte Dritter verletzen können, wenn sie geschützte Werke reproduzieren.
Beim Einsatz von KI-Systemen sind alle Grundsätze der DSGVO zu beachten, insbesondere Zweckbindung, Datenminimierung und Transparenz. Unternehmen müssen eine zulässige Rechtsgrundlage für die Verarbeitung personenbezogener Daten haben und Betroffene über den Einsatz von KI-Systemen informieren. Besonders kritisch ist die Frage der Rechtsgrundlage für das Training von KI-Modellen mit personenbezogenen Daten. Zudem müssen Unternehmen sicherstellen, dass die KI-Entscheidungen transparent und nachvollziehbar sind, um dem Auskunftsrecht der Betroffenen gerecht zu werden.
Die Risiken beim Einsatz von KI umfassen Datenschutzverstöße, Urheberrechtsverletzungen, Haftungsfragen bei fehlerhaften Entscheidungen und Verstöße gegen den EU AI Act. KI-Systeme können falsche oder diskriminierende Ergebnisse produzieren, die zu Schäden für Betroffene führen können. Unternehmen, die KI-Systeme ohne Genehmigung nach dem AI Act in Verkehr bringen, riskieren Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Zudem können Verstöße gegen die DSGVO Bußgelder bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes nach sich ziehen.
Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende europäische Regulierung für Künstliche Intelligenz. Er verfolgt einen risikobasierten Ansatz und unterscheidet zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen, KI-Systemen mit geringem Risiko und allgemeinen KI-Systemen. Die Verordnung gilt ab 2026 mit Übergangsfristen und stellt strenge Anforderungen an Hochrisiko-KI-Systeme wie Risikomanagement, technische Dokumentation, Transparenz und menschliche Aufsicht. Unternehmen müssen ihre KI-Systeme kategorisieren und die entsprechenden Compliance-Anforderungen erfüllen.
Ja, der EU AI Act enthält Kennzeichnungspflichten für bestimmte KI-Systeme. Generative KI-Systeme müssen ihre Outputs so kennzeichnen, dass diese als künstlich generiert oder manipuliert erkennbar sind. Dies kann durch Wasserzeichen, Metadaten oder andere technische Maßnahmen erfolgen. Die Kennzeichnungspflicht dient der Transparenz und dem Schutz der Nutzer vor Täuschung. Verstöße gegen die Kennzeichnungspflichten können als Ordnungswidrigkeit geahndet werden. Unternehmen sollten sicherstellen, dass ihre KI-generierten Inhalte entsprechend gekennzeichnet werden, insbesondere bei kommerzieller Nutzung.
