KI im Unternehmen: Zentrale rechtliche Aspekte

Mar 13, 2026

IT-Recht
KI-Verordnung

Illustration: AI Usage

Der Einsatz von KI-Systemen gehört inzwischen in vielen Unternehmen zum Arbeitsalltag. Texte werden vorformuliert, Informationen verdichtet, E-Mails vorbereitet oder Ideen strukturiert. Es werden immer mehr verschiedene KI-Systeme auf dem Markt angeboten. Hierbei stellen sich nach der anfänglichen Euphorie viele Geschäftsleitungen die Frage, ob der Einsatz überhaupt erlaubt ist bzw. in welchem Kontext, mit welchen Daten und zu welchem Zweck das System verwendet werden darf.

Mittlerweile sind KI-Systeme und deren Einsatz in der EU insbesondere durch die Verordnung (EU) 2024/1689 („AI-Act“) reguliert. Der AI-Act folgt einem risikobasierten Ansatz, bei dem viele einfache unterstützende Anwendungen keiner strengen Regulierung unterfallen, während etwa KI-Systeme im Recruiting als Hochrisiko-KI-Systeme eingeordnet sein können.

Rechtlich problematisch wird der Einsatz auch dort, wo personenbezogene Daten, Geschäftsgeheimnisse, automatisierte Entscheidungen oder sensible Unternehmensprozesse betroffen sind.

I. Regulierung des KI-Einsatzes durch den AI-Act

Der AI-Act gilt nicht nur für Entwickler, sondern auch für Betreiber von KI-Systemen. Er erfasst also nicht nur den Anbieter eines Tools, sondern unter bestimmten Voraussetzungen auch das Unternehmen, das ein solches System in der Europäischen Union einsetzt. Art. 4 AI-Act verpflichtet Anbieter und Betreiber z. B. bereits seit dem 02. Februar 2025 dazu, Maßnahmen zur Sicherstellung eines ausreichenden Maßes an KI-Kompetenz zu treffen. Weitere Pflichten des AI-Act sollen nach der derzeitigen Rechtslage ab August 2026 anwendbar werden.

Für die meisten typischen Büroanwendungen generativer KI wird der AI-Act nicht sofort das zentrale Problem sein. Anders liegt es jedoch, wenn ein Unternehmen KI in Bereichen einsetzt, die der AI-Act als Hochrisikobereich einordnet. Hochrisiko-KI-Systeme unterliegen künftig besonders strengen regulatorischen Anforderungen.

Das ist für die Unternehmenspraxis hochrelevant. Wird ein KI-System etwa dazu eingesetzt, Bewerbungen zu filtern, Kandidaten zu bewerten oder die Kreditwürdigkeitsbewertung natürlicher Personen vorzubereiten oder zu unterstützen, kann das Unternehmen den Bereich bloßer Produktivitätshilfe verlassen und sich in Richtung eines regulierten Hochrisikoeinsatzes bewegen. Für Betreiber solcher Hochrisiko-KI-Systeme verlangt der AI-Act insbesondere die Nutzung entsprechend den Gebrauchsanweisungen, die Zuweisung menschlicher Aufsicht, die Beobachtung des Systembetriebs und je nach Einsatzkonstellation Informationspflichten gegenüber betroffenen Personen oder Beschäftigten.

Der AI-Act enthält zudem spezielle Transparenzpflichten insbesondere für bestimmte Systeme, die mit natürlichen Personen interagieren, sowie für bestimmte KI-generierte oder manipulierte Inhalte. Für die klassische interne Nutzung von KI-Systemen im Unternehmen ist das nicht immer sofort einschlägig. Praktische Relevanz gewinnt dies insbesondere dort, wo KI-Systeme nicht nur rein intern genutzt, sondern im Kontakt mit natürlichen Personen oder bei KI-generierten bzw. manipulierten Inhalten eingesetzt werden.

Schon daraus folgt für Unternehmen ein wichtiger Punkt: Wer generative KI im Unternehmen einführt, sollte das Thema nicht als bloße IT-Frage behandeln. Der Einsatz ist Teil von Compliance, Datenschutz, Informationssicherheit und interner Organisation.

II. Datenschutzrecht: Entscheidend ist, welche Daten eingegeben werden

Sobald Beschäftigte personenbezogene Daten in ein KI-System eingeben, handelt es sich zudem um eine Verarbeitung im Sinne der DSGVO. Es bedarf daher eigener Rechtsgrundlagen für diese Verarbeitung bzw. auch entsprechender Risikoabwägungen. Betroffene Personen sind transparent zu informieren und je nach Einsatzszenario sind zudem Beteiligungs- und Mitbestimmungsrechte des Betriebsrats zu prüfen.

Zunächst sollte geprüft werden, ob personenbezogene Daten überhaupt eingegeben werden müssen und dürfen. Eine wichtige Rolle spielt in diesem Zusammenhang, ob das KI-System selbst gehostet bzw. zumindest in einer geschützten Umgebung betrieben wird oder eine öffentliche Lösung ist.

Gerade im Unternehmensalltag werden diese Umstände oft unterschätzt. Viele Unternehmen versuchen diese Prüfung durch die einfache Entfernung des Namens der betroffenen Personen zu umgehen. Die reine Entfernung von Namen genügt jedoch oftmals nicht um aus dem Anwendungsbereich der DSGVO zu entkommen, wenn sich aus dem Kontext weiterhin ein Personenbezug herstellen lässt. Das ist für KI-Systeme besonders relevant, weil solche Systeme gerade darauf ausgelegt sind, Zusammenhänge auch aus unstrukturierten Daten zu erkennen. Der Einsatz von KI-Systemen kann in diesem Zusammenhang auch eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO auslösen.

In diesem Zusammenhang empfiehlt es sich, interne Verantwortlichkeiten verbindlich festzulegen, klare Regelungen zu schaffen und Beschäftigte durch Schulungen zu sensibilisieren.

Sofern es sich um ein öffentliches oder von Dritten gehostetes KI-System handelt, ist ein Blick in das Vertragswerk des Anbieters des KI-Systems wichtig. Bei öffentlich zugänglichen oder von Dritten betriebenen KI-Systemen ist insbesondere zu prüfen, ob eingegebene Informationen nach den Vertragsbedingungen oder technischen Voreinstellungen für Trainings-, Analyse- oder Verbesserungszwecke genutzt werden können.

Ein rechtssicherer KI-Einsatz beginnt daher regelmäßig nicht mit dem Prompt, sondern mit einer Governance-Entscheidung:

Wer darf welche Tools nutzen, für welche Zwecke, mit welchen Daten und unter welchen Freigabe- oder Kontrollmechanismen? Genau hier liegt häufig die eigentliche Risikosteuerung.

III. Geschäftsgeheimnisse und Vertraulichkeit

Dies führt zu einem in der Praxis häufig unterschätzten Punkt. Viele Unternehmen achten mittlerweile darauf, personenbezogene Daten nicht unkontrolliert in KI-Systeme einzugeben. Weniger beachtet wird dagegen, dass auch Informationen ohne Personenbezug rechtlich und wirtschaftlich hochsensibel sein können.

Neben dem Datenschutz ist deshalb auch der Schutz vertraulicher Unternehmensinformationen ein erhebliches Risiko beim Einsatz generativer KI. Betroffen sein können etwa Vertragsentwürfe, interne Stellungnahmen, Verhandlungsstrategien, Preiskalkulationen, technische Entwicklungen, Quellcodes, M&A-Unterlagen, Sicherheitskonzepte, Produkt-Roadmaps oder sonstiges geschäftskritisches Know-how. Gerade in beratungsintensiven oder technologiegetriebenen Unternehmen kann die Eingabe solcher Informationen in ein extern betriebenes KI-System erhebliche Risiken auslösen, auch wenn keine personenbezogenen Daten verarbeitet werden.

Das gilt insbesondere bei öffentlich zugänglichen oder zentral durch Dritte betriebenen KI-Systemen. Denn dort stellt sich regelmäßig die Frage, ob und in welchem Umfang eingegebene Inhalte serverseitig verarbeitet, gespeichert, protokolliert oder für Trainings- oder Verbesserungszwecke verwendet werden. Bereits diese Unsicherheit kann aus Sicht des Unternehmens problematisch sein. Bei selbst gehosteten oder in einer kontrollierten Umgebung betriebenen Lösungen kann die Risikolage zwar deutlich beherrschbarer sein. Auch dort entfällt aber nicht die Pflicht, intern festzulegen, welche Informationen eingegeben werden dürfen und welche nicht.

Rechtlich relevant ist dies nicht nur aus wirtschaftlicher Sicht, sondern auch im Hinblick auf den Schutz von Geschäftsgeheimnissen. Nach dem GeschGehG setzt der gesetzliche Schutz eines Geschäftsgeheimnisses unter anderem voraus, dass die Information Gegenstand angemessener Geheimhaltungsmaßnahmen ist. Gibt ein Unternehmen sensible Informationen ohne klare Regeln, technische Schutzmaßnahmen oder Freigabeprozesse in externe KI-Systeme ein, kann sich daher nicht nur ein faktisches Risiko des Informationsabflusses stellen. Es kann sich auch die Frage stellen, ob der Geheimnisschutz organisatorisch ausreichend abgesichert war.

Der Einsatz generativer KI erfordert eine klare vertraulichkeitsrechtliche Freigabelogik. Es bietet sich an zu definieren, welche Arten von Informationen in externe Systeme niemals eingegeben werden dürfen, für welche Inhalte nur freigegebene Tools genutzt werden dürfen und in welchen Fällen eine interne oder selbst gehostete Lösung vorzugswürdig ist. Nicht alles, was technisch in ein KI-System eingegeben werden kann, darf auch rechtlich oder geschäftlich eingegeben werden.

IV. Bestehen Haftungsrisiken für die Geschäftsleitung bei unkontrolliertem KI-Einsatz?

Der Einsatz generativer KI ist nicht nur eine Frage operativer Effizienz, sondern auch ein Thema der ordnungsgemäßen Unternehmensorganisation. Nimmt sich die Geschäftsleitung des Themas nicht an, kann das rechtliche Folgen haben. Das betrifft zunächst regelmäßig das Unternehmen selbst: Je nach Einzelfall drohen datenschutzrechtliche Maßnahmen und Bußgelder, Schadensersatzansprüche betroffener Personen, der Verlust von Geschäftsgeheimnissen sowie Fehlentscheidungen in sensiblen Unternehmensprozessen.

Gerade beim Einsatz von nicht selbst gehosteten KI-Systemen liegt das Risiko häufig darin, dass personenbezogene Daten, vertrauliche Informationen oder geschäftskritische Inhalte ohne ausreichende Regeln verarbeitet werden. Bleiben angemessene organisatorischen Maßnahmen aus, steigt das Risiko, dass ein KI-Einsatz nicht mehr als kontrollierter Geschäftsprozess, sondern als Compliance-Defizit bewertet wird.

Entsprechend obiger Ausführungen ist nach dem GeschGehG eine Information nur dann als Geschäftsgeheimnis unter diesem Gesetz geschützt, wenn sie unter anderem Gegenstand angemessener Geheimhaltungsmaßnahmen ist. Werden sensible Informationen ohne ausreichende Vorgaben in externe KI-Systeme eingegeben, kann das nicht nur praktisch gefährlich sein, sondern auch die Frage aufwerfen, ob der Geheimnisschutz organisatorisch hinreichend abgesichert war.

Auch die sich aus dem AI-Act ergebenden Anforderungen verstärken die Notwendigkeit, den Einsatz von KI-Systemen auf Leitungsebene organisatorisch zu steuern, mit geeigneten technischen und organisatorischen Maßnahmen abzusichern und durch Kontrollmechanismen zu begleiten.

Für die Geschäftsleitung liegt der zentrale Haftungspunkt deshalb insbesondere im Innenverhältnis zur Gesellschaft. Geschäftsführer einer GmbH müssen nach § 43 GmbHG die Sorgfalt eines ordentlichen Geschäftsmannes anwenden; Vorstandsmitglieder einer AG haben nach § 93 AktG die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Verletzen sie diese Pflichten, haften sie der Gesellschaft auf Ersatz des entstandenen Schadens. Übertragen auf den KI-Einsatz bedeutet das: Wenn erhebliche rechtliche und tatsächliche Risiken erkennbar sind, kann ein vollständiges Unterlassen von Governance, Richtlinien, Zuständigkeiten, Schulungen und Kontrollen pflichtwidrig sein.

V. Handlungsbedarf für Unternehmen und Geschäftsleitungen beim KI-Einsatz

Aus juristischer Sicht spricht derzeit wenig dafür, den Einsatz generativer KI pauschal zu verbieten. Ebenso wenig spricht allerdings dafür, ihn ungesteuert zuzulassen. Die aktuelle Rechtslage läuft vielmehr auf ein klares Organisationsgebot hinaus.

Wer generative KI lediglich als Schreib- oder Recherchehilfe ohne Personenbezug und ohne sensible Unternehmensinformationen nutzt, bewegt sich regelmäßig in einem deutlich beherrschbareren Rahmen. Sobald jedoch personenbezogene Daten, Geschäftsgeheimnisse, Personalentscheidungen, Kundenbewertungen oder andere sensible Prozesse betroffen sind, steigen die rechtlichen Anforderungen erheblich.

Sinnvoll ist insbesondere eine unternehmensinterne KI-Richtlinie, die festlegt, welche Tools genutzt werden dürfen, welche Daten tabu sind, wann eine Freigabe erforderlich ist, in welchen Fällen Ergebnisse zwingend menschlich geprüft werden müssen und wie mit Dokumentation, Datenschutz und Informationssicherheit umzugehen ist.

Der rechtssichere Weg besteht deshalb nicht in einem pauschalen Ja oder Nein, sondern in einer sauberen Governance des KI-Einsatzes. Genau daran wird sich in den kommenden Jahren messen lassen, ob Unternehmen KI nicht nur effizient, sondern auch rechtskonform einsetzen.

Hinweis

Dieser Beitrag dient ausschließlich der allgemeinen Information und ist keine abschließende Darstellung aller denkbaren Konstellationen und Umstände. Er ersetzt keine individuelle Rechtsberatung und kann eine Prüfung des Einzelfalls nicht ersetzen.

Trotz sorgfältiger Erstellung wird keine Haftung für die inhaltliche Richtigkeit, Vollständigkeit oder Aktualität übernommen. Für eine rechtliche Bewertung oder konkrete Umsetzungsempfehlungen im Einzelfall sollte Rechtsrat eingeholt werden.

Kontakt.

Get in touch

Für Ihre rechtlichen Anliegen oder ein unverbindliches Erstgespräch stehe ich Ihnen gerne zur Seite. Kontaktieren Sie mich direkt per Telefon oder E-Mail.

Kontaktmöglichkeiten

E-Mail: info@kanzlei-happel.de
Tel.: +49 (6106) 639 24 25
Beratung per E-Mail, Telefon, Videokonferenz oder nach Vereinbarung.