Einordnung
KI im Unternehmen rechtlich sauber einordnen
Der Einsatz von ChatGPT, Copilots und anderen KI-Systemen kann Prozesse beschleunigen, Inhalte vorbereiten und Wissen zugänglich machen. Für Unternehmen entstehen damit aber nicht nur Effizienzgewinne, sondern auch Fragen zu Vertraulichkeit, Datenflüssen, Verantwortlichkeiten, Vertragsgestaltung und der Einordnung unter die KI-Verordnung.
Worum es hier geht
Der Beitrag ordnet die rechtlichen Risiken ein, die bei der Nutzung generativer KI im Unternehmensalltag typischerweise auftreten: vertrauliche Informationen, personenbezogene Daten, fehlerhafte Outputs, Governance und Haftung.
Für wen das relevant ist
Relevant ist das insbesondere für Geschäftsführungen, Compliance- und Datenschutzfunktionen, HR, Einkauf, Rechtsabteilungen, Marketing, Produktteams und alle Fachbereiche, die KI produktiv einsetzen oder einsetzen lassen.
Welche Rechtsfrage im Kern steht
Nicht jede KI-Nutzung ist gleich riskant. Maßgeblich sind vielmehr Tool, Rolle, Datenarten, Einsatzkontext, Kontrolltiefe und die Frage, ob aus unterstützender Nutzung ein regulierter oder haftungssensibler Prozess wird.
Was die Lektüre einordnet
Für die übergreifende rechtliche Einordnung von KI-Projekten, Haftung, Verträgen und Governance führt die Vertiefung zu KI-Recht für Unternehmen.
Das Wichtigste in Kürze
- Unternehmen sollten KI-Nutzung nicht nur als Tool-Frage behandeln, sondern als Organisationsfrage mit Bezügen zu Vertraulichkeit, Datenschutz, Vertragsrecht, Haftung und internen Freigaben.
- Nicht jede Nutzung von ChatGPT oder ähnlichen Systemen ist automatisch Hochrisiko-KI. Die Einordnung hängt vom konkreten Einsatzfall und der Rolle des Unternehmens im jeweiligen KI-Setup ab.
- Seit dem 2. Februar 2025 gilt Art. 4 KI-VO zur KI-Kompetenz bereits verbindlich. Für Unternehmen rücken damit Schulung, interne Leitlinien und dokumentierte Nutzungsregeln deutlich stärker in den Vordergrund.
- Wer KI in sensiblen Bereichen wie Beschäftigung, Bonität, Zugangsentscheidungen oder sonstigen grundrechtsnahen Konstellationen einsetzt, muss die Regulierung und Dokumentation erheblich genauer prüfen.
Stand April 2026
Der Kern des Beitrags bleibt tragfähig, der regulatorische Rahmen ist inzwischen jedoch dichter. Kapitel I und II der KI-Verordnung gelten seit dem 2. Februar 2025; weitere Regelungen für General-Purpose-AI-Modelle greifen seit dem 2. August 2025; die meisten übrigen Pflichten des AI Act werden ab dem 2. August 2026 relevant.
Für Unternehmen besonders wichtig ist Art. 4 KI-VO zur KI-Kompetenz. Die Europäische Kommission betont hierzu, dass kein bestimmtes Zertifikat und kein starres Einheitsformat vorgeschrieben sind. Gefordert sind vielmehr nachvollziehbare, kontextbezogene Maßnahmen, die Wissensstand, Rolle, Risiko und Einsatzumfeld der betroffenen Personen berücksichtigen.
Für die Praxis folgt daraus: Wer ChatGPT, Copilots oder andere KI-Systeme produktiv nutzt, sollte Systeme, Rollen, Datenarten, Freigaben, Schulungen und interne Leitlinien dokumentiert steuern. Zugleich sollte sauber getrennt werden zwischen allgemeiner Tool-Nutzung, transparenzpflichtigen Anwendungen und Konstellationen, in denen strengere Vorgaben für Hochrisiko-KI in Betracht kommen.
Einsatz von KI-Systemen wie ChatGPT
KI-Recht. Der Einsatz von KI-Systemen wie ChatGPT verspricht Unternehmen erhebliche Effizienz- und Innovationsgewinne. Doch bergen solche Technologien auch erhebliche rechtliche Risiken – insbesondere im Bereich des Berufs- und Unternehmensrechts. Dieser Artikel beleuchtet die wesentlichen Gefahren und bietet Handlungsempfehlungen für eine rechtskonforme Nutzung.
1. Was ist ein KI-System?
In Artikel 3 Abs. 1 des EU AI Act 2024/1689 des europäischen Parlaments und des Rates heißt es:
„KI-System“ ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können."
Die verschiedenen Modelle von OpenAI fallen unter diese Definition und gehören zu den sogenannten Generativen KI-Systemen (GKI). Diese können unter Verwendung von „Prompts“ (Ein Prompt ist eine Anweisung oder eine Eingabe, die an ein KI-System gerichtet ist, um eine bestimmte Antwort oder eine Aktion zu initiieren.) basierend aus bestehenden Daten neue Inhalte erstellen – beispielsweise Dokumentenentwürfe oder Zusammenfassungen juristischer Texte. Die Nutzung von Systemen wie ChatGPT in Rechtsanwaltskanzleien wirft wichtige berufsrechtliche Fragen auf, insbesondere hinsichtlich Vertraulichkeit, Gewissenhaftigkeit und Unabhängigkeit.
2. Risiken in Unternehmens-Kontext
a) Vertraulichkeit & Geschäftsgeheimnisse
Unternehmen stehen in der Pflicht, vertrauliche Informationen und Geschäftsgeheimnisse zu schützen. Beim Upload oder API-Einsatz von Kennzahlen, Verträgen oder Produktinformationen droht ein Datenabfluss auf externe Server – mit unkalkulierbaren Folgen: Verlust des Schutzes durch das Geschäftsgeheimnisgesetz oder gar Wettbewerbsnachteile.
Vorsicht ist insoweit geboten, als dass durch den unbedachten Einsatz von KI-Tools in Zusammenarbeit mit Dritten („KI-Washing“) Urheberrechte und Geschäftsgeheimnisse gefährdet werden.
b) Compliance mit EU-Recht
Unternehmen, die personenbezogene Daten mittels KI auswerten, müssen sowohl die Vorgaben des AI Act (z. B. Transparenzpflichten, Klassifizierung als Hoch- oder General-Purpose-KI) als auch der DSGVO (z. B. Art. 22 DSGVO bei automatisierten Entscheidungen) erfüllen.
Beispiel: KI-gestützte Lebenslaufanalyse fällt unter Hochrisiko-Regelung. Dies macht eine DSGVO-Folgenabschätzung und eine technische Dokumentationen erforderlich.
c) Sorgfaltspflicht & Haftungsrisiko
Unternehmen haften, wenn automatisierte Auskünfte, Entscheidungsunterstützungen oder Vertragsentwürfe fehlerhaft sind. Fehlt eine qualifizierte Prüfung des KI-Outputs, kann dies als Sorgfaltspflichtverletzung gelten und z. B. zu wettbewerbsrechtlichen Konsequenzen (§ 5 UWG) oder Vertragsstrafen führen.
3. Maßnahmen zur risikominimierten KI-Nutzung
a) Strategische Systemauswahl
Unternehmen sollten bei der Auswahl von KI-Systemen besonderen Wert auf Lösungen legen, die datenschutzkonform und sicher sind. Open-Source-Modelle, lokal betriebene On-Premise-Lösungen oder speziell für Unternehmensbedürfnisse entwickelte Systeme bieten den Vorteil, dass Daten nicht automatisch extern zur Modellverbesserung genutzt werden. Diese Varianten ermöglichen Datensouveränität und minimieren unkontrollierten Datenfluss zu Drittanbietern – ein wesentlicher Faktor zur Vermeidung von Compliance- und Geheimnisschutzrisiken.
b) Daten-Governance
Ein durchdachtes Daten-Governance-System umfasst mehrere Säulen: Zunächst müssen sensible Unternehmensdaten durch Anonymisierung oder Pseudonymisierung geschützt werden, bevor sie in ein KI-System gelangen. Dies reduziert das Risiko unbeabsichtigter Datenlecks erheblich. Zudem empfiehlt sich die Nutzung synthetischer Datensätze als Alternative, um eine realistische Nutzungssituation abzubilden, ohne den tatsächlichen Datenschutz zu gefährden. Nicht zuletzt ist eine vollständige Dokumentation aller eingesetzten KI-Systeme erforderlich. Dabei sollten Unternehmen gezielt erfassen, welche Systeme im Einsatz sind, und anhand der Vorgaben des AI Act gemäß Art. 6 riskobasiert einstufen – insbesondere darauf achten, ob sie als Hochrisiko-Systeme gelten oder nicht.
c) Compliance-Dokumentation
Die Rechtskonformität jeder KI-Lösung muss durch formale Prüfverfahren gestützt werden. Das beginnt mit einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO – und bei Hochrisiko-KI-Systemen zusätzlich mit einer Governance-Risiko-Folgenabschätzung (GRFA) entsprechend Art. 27 AI VO. Parallel dazu muss jeder KI-Einsatz technisch dokumentiert werden. Wesentliche Inhalte sind Umfang und Zweck der Nutzung, erkannte Limitationen sowie eingesetzte Kontrollmechanismen. Ergänzend sollten klare Betriebs- und Prozessrichtlinien erstellt werden, wie in Art. 13 AI VO gefordert, um Arbeitsabläufe eindeutig und nachvollziehbar zu regeln.
d) Vertragliche Absicherung
Rechtliche Klarheit lässt sich nicht zuletzt durch vertragliche Vorkehrungen sichern. Unternehmen sollten daher in AGB und internen Verträgen detailliert regeln, welche KI-Systeme genutzt werden dürfen und wie mit resultierenden Informationen umzugehen ist. Insbesondere wenn sensible Daten im Spiel sind, sollten explizite Einwilligungsklauseln eingeholt werden – analog zu den Anforderungen an Berufsträger (§ 43e Abs. 5-6 BRAO). Darüber hinaus sollte bei Kooperationen mit externen Dienstleistern im KI-Bereich klar ausgewiesen sein, dass KI-Einsatz erfolgt und welche Risiken damit verbunden sein könnten, z. B. im Rahmen von Forschungsprojekten oder Marketing-Projekten.
e) Kontrolle & Schulung
Ein verantwortungsvoller Umgang mit KI erfordert ein regelmäßiges Monitoring der generierten Ergebnisse. Dabei liegt der Fokus sowohl auf automatisierten als auch auf manuellen Überprüfungen, um Fehler frühzeitig zu erkennen und Haftungsrisiken zu minimieren. Zugleich ist eine umfassende Schulung der Mitarbeitenden essenziell: Nur wer die datenschutz- und compliance-relevanten Grenzen der KI-Nutzung kennt, kann diese sicher und vorschriftsgemäß einsetzen.
4. Fazit
KI-Systeme können Unternehmen ein starkes Digitalisierungspotenzial eröffnen – gleichzeitig sind die Risiken nicht von der Hand zu weisen. Insbesondere der Umgang mit vertraulichen Informationen, die Compliance mit EU-Regeln und die Vertragsgestaltung spielen eine zentrale Rolle.
Eine sichere KI-Nutzung erfordert:
- bewusst gewählte technische Lösungen
- umfassende Daten- und Risiko-Governance
- rechtssichere Dokumentation
- vertragliche Absicherung
- Schulungen und manuelle Kontrolle
Was Unternehmen daraus mitnehmen können
- Interne KI-Nutzung sollte inventarisiert werden. Ohne Überblick über eingesetzte Tools, Datenarten, Teams und Freigaben bleiben Risikoanalyse und Verantwortungszuordnung zu grob.
- Schulungen allein reichen häufig nicht. Praktisch belastbar wird die Organisation erst durch ein Zusammenspiel aus Leitlinien, Freigabewegen, Rollenklärung, Dokumentation und menschlicher Kontrolle.
- Besondere Aufmerksamkeit verdienen HR-, Scoring-, Zugangs-, Bewertungs- und sonstige Entscheidungen mit spürbaren Folgen für natürliche Personen. Dort können DSGVO- und AI-Act-Pflichten deutlich schneller verdichten.
Für viele Unternehmen liegt der eigentliche Mehrwert deshalb nicht in einer abstrakten KI-Debatte, sondern in sauberen Freigabe- und Nutzungsregeln für konkrete Tools und Prozesse.
Offizielle Quellen und weiterführende Hinweise
- Verordnung (EU) 2024/1689 im EUR-Lex – zentral für Definitionen, KI-Kompetenz, Hochrisiko-Systeme, Transparenzpflichten und Anwendungsfristen.
- Europäische Kommission: AI Act – offizielle Übersicht zu Struktur, Risikologik und zeitlicher Anwendung der KI-Verordnung.
- Europäische Kommission: AI Literacy – Questions & Answers – Konkretisierung zu Mindestinhalten, Dokumentation und Organisation der KI-Kompetenz.
- Bundesnetzagentur: KI-Kompetenz – deutsche Orientierung zu Maßnahmen, Dokumentation und fehlender Zertifizierungspflicht.
- Bundesnetzagentur: KI-Compliance Kompass – Einordnungshilfe zur Frage, ob ein KI-System unter die KI-Verordnung fällt und welcher Risikokategorie es zugeordnet werden kann.
- EDPB: Automated decision-making and profiling – Ausgangspunkt für die Einordnung automatisierter Entscheidungen nach Art. 22 DSGVO.
FAQ
Ist jede Nutzung von ChatGPT im Unternehmen automatisch Hochrisiko-KI?
Nein. Die Einordnung hängt vom konkreten Einsatzfall ab. Viele Standardnutzungen sind nicht automatisch Hochrisiko-KI. Deutlich sensibler wird es aber, wenn KI in Bereichen wie Beschäftigung, Bonität, Zugang zu Leistungen oder sonstigen grundrechtsnahen Entscheidungen eingesetzt wird.
Reicht es aus, Mitarbeitenden die Nutzung sensibler Daten in KI-Tools einfach zu untersagen?
Meist nicht. Sinnvoll sind zusätzlich ein Tool- und Prozessinventar, abgestufte Freigaben, dokumentierte Leitlinien, passende Vertragsprüfung, Schulung und eine nachvollziehbare Kontrolle der produktiven Nutzung.
Wann wird aus allgemeiner KI-Nutzung ein operatives AI-Act-Projekt?
Spätestens dann, wenn Rollen, Risikoklasse, Transparenzpflichten, Dokumentation, Governance oder Freigabeprozesse nicht mehr nur punktuell, sondern strukturiert geregelt werden müssen. Das gilt insbesondere bei sensiblen Daten, wiederkehrenden Workflows, externen Ausgaben oder einsatzkritischen Entscheidungen.
Vertiefung und praktische Anschlussfragen
Wenn aus interner KI-Nutzung ein belastbares Pflichtenprogramm mit Inventar, Richtlinien, Freigabewegen, Schulungskonzept und Governance werden soll, führt die Vertiefung zu AI Act / KI-Verordnung umsetzen. Für die engere Frage der KI-Kompetenz im Unternehmen passt außerdem der Beitrag Art. 4 KI-VO heute eingeordnet.
Zuständige Rechtsanwälte bei ITMR
Die hier behandelten Fragen liegen an der Schnittstelle von KI-Recht, IT-Recht, Datenschutz und Governance. Fachlich passt das Thema bei ITMR insbesondere zu:
Jean Paul P. Bohne, LL.M., MM
Rechtsanwalt + Mediator | Partner, Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht, AI Officer | KI-Beauftragter [DEKRA].
Dr. Alexander Pleh
Rechtsanwalt | Partner, Fachanwalt für IT-Recht, AI Officer | KI-Beauftragter [DEKRA], mit fachlicher Nähe zu KI-Recht, IT-Recht und Datenschutz.
ChatGPT und KI in Unternehmen: Berufliche Risiken beim Einsatz