Rechtsgrundlagen für KI im Mittelstand: Mehr als nur der EU AI Act

Die Künstliche Intelligenz (KI) ist auf dem Weg, Geschäftsprozesse, Wertschöpfung und Innovationszyklen in kleinen und mittleren Unternehmen (KMUs) nachhaltig zu verändern. Doch wer als Entscheider:innen auf den KI-Zug aufspringt, muss mehr als nur den EU AI Act im Blick haben. KI-Systeme berühren eine Vielzahl von Rechtsbereichen – von Geschäftsgeheimnissen über Datenschutz und Haftung bis hin zu Vertragsrecht und Urheberrecht. Wer die wichtigsten Gesetze kennt und gezielt umsetzt, reduziert Risiken und sichert Wettbewerbsvorteile.

Der EU AI Act – das zentrale, aber nicht alleinige KI-Gesetz

Der AI Act ist der erste umfassende Rechtsrahmen für KI-Systeme in der EU und regelt Entwicklung, Bereitstellung und Nutzung von KI mit Fokus auf Risikomanagement, Transparenz und Verantwortlichkeit. Aber: Der AI Act ist nur ein Teil eines ganzen Rechtsökosystems. Wer KI einsetzt, muss zahlreiche weitere Vorschriften beachten. 

Veranstaltungshinweis

Geschäftsgeheimnisse und KI – Schutz braucht klare Regeln

Das Geschäftsgeheimnisgesetz (GeschGehG) schützt unternehmerisches Know-how, Patente, Produktideen und interne Daten – aber nur, wenn Unternehmen aktiv Geheimhaltungsmaßnahmen ergreifen. Die wichtigsten Voraussetzungen: 

• Nichtoffenkundigkeit: Die Information darf nicht allgemein bekannt oder leicht zugänglich sein. 

• Geheimhaltungsmaßnahmen: Zugriffsbeschränkungen, Verschlüsselung, Passwortschutz oder Geheimhaltungsvereinbarungen sind Pflicht. 

• Geheimhaltungsinteresse: Bereits das Streben nach einem Wettbewerbsvorteil reicht als Interesse. 

Praxisrelevant für KI: Wer sensible Informationen (Produktideen, interne Zahlen etc.) in KI-Tools wie ChatGPT oder Cloud-Anwendungen eingibt, läuft Gefahr, dass diese Daten nicht mehr als Geschäftsgeheimnis gelten – insbesondere, wenn der Anbieter sich in den AGB ein Nutzungsrecht für Trainingszwecke sichert. Tipp: Klare interne Richtlinien, Berechtigungskonzepte, vertragliche Absicherungen (Nutzungsrechte, Verbot der Weiterverarbeitung durch Anbieter) und technischer Schutz (z.B. Data Loss Prevention Tools) sind essenziell. 

Haftung: Wer trägt die Verantwortung für KI-Fehler?

Die Haftungsfrage bei KI ist zentral und betrifft mehrere Gesetze: 

• § 823 BGB (Deliktsrecht): Wer fahrlässig oder vorsätzlich Rechte anderer verletzt (z.B. durch eine fehlerhafte KI-Drohne), haftet für entstandene Schäden. 

• Produkthaftungsgesetz (ProdHaftG): Bisher beschränkte sich die verschuldensunabhängige Haftung auf physische Produkte. Mit der neuen EU-Richtlinie wird künftig auch Software und KI erfasst. Die Umsetzung in nationales Recht steht jedoch noch aus. 

Praxistipp: Betreiber und Anbieter müssen klare Haftungsregelungen treffen. Auch bei ausgelagerten KI-Services oder Open-Source-Lösungen bleibt das Unternehmen in der Verantwortung. 

Datenschutz (DSGVO) und KI: Ein Dauerthema

Sobald ein KI-System personenbezogene Daten verarbeitet, gilt die Datenschutz-Grundverordnung (DSGVO). Für Unternehmen bedeutet das: 

• Rechtmäßigkeit der Datenverarbeitung muss sichergestellt werden 

• Datenminimierung und Transparenz sind Pflicht 

• Betroffenenrechte müssen gewahrt bleiben 

• Verträge mit Anbietern müssen Datenschutzaspekte abdecken 

Achtung: Viele KI-Anbieter speichern und verarbeiten Daten außerhalb der EU. Verantwortliche müssen sicherstellen, dass Datenschutz und Datenübertragung DSGVO-konform sind. 

Vertragsrecht: Rechte, Pflichten und Verantwortlichkeiten klären

Verträge rund um KI regeln Rechte, Pflichten und Verantwortlichkeiten – vor allem, wenn KI als externer Service bezogen wird. Entscheidend ist: 

• Haftung: Wer trägt die Verantwortung bei Fehlern, Falschinformationen oder Schäden durch die KI? 

• Zulässige Dateneingaben: Müssen Daten vor der Eingabe anonymisiert werden? Sind personenbezogene Daten ausgeschlossen? 

• Nutzungsrechte: Wem gehören die KI-Outputs (Texte, Bilder, Analysen)? Wie dürfen sie verwendet werden? 

• Löschung und Rückgabe: Was passiert mit den Daten bei Vertragsende? Müssen sie gelöscht oder zurückgegeben werden? 

• Updates & Weiterentwicklungen: Wer ist für Updates, Fehlerbehebung und Testphasen nach Software-Änderungen verantwortlich? 

Ein detailliertes Vertragswerk ist für jedes KI-Projekt Pflicht! 

Urheberrecht: KI-Outputs und deren Schutz

KI-generierte Inhalte stehen im Fokus der Rechtsprechung: 

• Kein Urheberrechtsschutz für vollautomatisierte KI-Outputs (Urteil Kammergericht Berlin 2020): Nur persönlich-geistige Schöpfungen werden geschützt. Wer KI als Werkzeug einsetzt und eigene Kreativität einbringt, kann weiterhin Urheberrechte beanspruchen. 

• Text- und Data-Mining (§ 60d UrhG): Gemeinnützige Organisationen dürfen unter engen Voraussetzungen Daten aus dem Internet zum Trainieren von KI verwenden. Für kommerzielle Zwecke gelten strengere Regeln. 

Praxistipp: Klären Sie Rechte und Pflichten an KI-Outputs vertraglich. Prüfen Sie, ob und wie Sie KI-generierte Inhalte rechtssicher nutzen können. 

Aufsichtsbehörden und Rechtsdurchsetzung

Für die Durchsetzung des AI Acts soll in Deutschland die Bundesnetzagentur als nationale KI-Aufsicht fungieren. Ergänzend sind je nach Sachverhalt weitere Behörden zuständig, darunter: 

• Datenschutzbehörden (DSGVO) 

• Bundeskartellamt (Wettbewerb) 

• Kraftfahrt-Bundesamt (z.B. bei autonomen Fahrzeugen) 

• Bundesinstitut für Arzneimittel und Medizinprodukte (KI in Medizinprodukten) 

• BaFin (KI in Finanzdienstleistungen) 

Diese Vielfalt zeigt: Die Rechtsaufsicht für KI ist komplex und vielfach verteilt. 

Aktuelle Rechtsprechung und internationale Entwicklungen

Entscheider:innen sollten Urteile zu KI kennen. Beispiele: 

• Haftung für KI-generierte Inhalte: Wer KI nutzt und veröffentlichte Fehler produziert, bleibt verantwortlich (LG Kiel 2024 – Störerhaftung). 

• Training mit fremden Inhalten: Gemeinnützige Zwecke bieten mehr Spielraum als kommerzielle. 

International entwickelt sich der Rechtsrahmen stetig weiter. Die G7-Staaten und OECD arbeiten am Hiroshima AI Reporting Framework für globale Standards zu KI-Risikomanagement. 

Compliance ist mehr als nur AI Act –Rechtssicherheit braucht Weitblick 

Für KMUs ist klar: Der AI Act ist nur ein Baustein für rechtssicheren KI-Einsatz. Wer Geschäftsgeheimnisse, Datenschutz, Haftung, Urheberrecht und Vertragsrecht nicht mitdenkt, riskiert hohe Bußgelder, Imageschäden und Innovationsbremsen. Empfehlenswert sind regelmäßige Schulungen, klare interne Prozesse, rechtssichere Verträge und der Blick auf neue Rechtsprechung.