Die Künstliche Intelligenz (KI) ist auf dem Weg, Geschäftsprozesse, Wertschöpfung und Innovationszyklen in kleinen und mittleren Unternehmen (KMUs) nachhaltig zu verändern. Doch wer als Entscheider:innen auf den KI-Zug aufspringt, muss mehr als nur den EU AI Act im Blick haben. KI-Systeme berühren eine Vielzahl von Rechtsbereichen – von Geschäftsgeheimnissen über Datenschutz und Haftung bis hin zu Vertragsrecht und Urheberrecht. Wer die wichtigsten Gesetze kennt und gezielt umsetzt, reduziert Risiken und sichert Wettbewerbsvorteile.
Der AI Act ist der erste umfassende Rechtsrahmen für KI-Systeme in der EU und regelt Entwicklung, Bereitstellung und Nutzung von KI mit Fokus auf Risikomanagement, Transparenz und Verantwortlichkeit. Aber: Der AI Act ist nur ein Teil eines ganzen Rechtsökosystems. Wer KI einsetzt, muss zahlreiche weitere Vorschriften beachten.
Veranstaltungshinweis
Das Geschäftsgeheimnisgesetz (GeschGehG) schützt unternehmerisches Know-how, Patente, Produktideen und interne Daten – aber nur, wenn Unternehmen aktiv Geheimhaltungsmaßnahmen ergreifen. Die wichtigsten Voraussetzungen:
Nichtoffenkundigkeit: Die Information darf nicht allgemein bekannt oder leicht zugänglich sein.
Geheimhaltungsmaßnahmen: Zugriffsbeschränkungen, Verschlüsselung, Passwortschutz oder Geheimhaltungsvereinbarungen sind Pflicht.
Geheimhaltungsinteresse: Bereits das Streben nach einem Wettbewerbsvorteil reicht als Interesse.
Praxisrelevant für KI: Wer sensible Informationen (Produktideen, interne Zahlen etc.) in KI-Tools wie ChatGPT oder Cloud-Anwendungen eingibt, läuft Gefahr, dass diese Daten nicht mehr als Geschäftsgeheimnis gelten – insbesondere, wenn der Anbieter sich in den AGB ein Nutzungsrecht für Trainingszwecke sichert. Tipp: Klare interne Richtlinien, Berechtigungskonzepte, vertragliche Absicherungen (Nutzungsrechte, Verbot der Weiterverarbeitung durch Anbieter) und technischer Schutz (z.B. Data Loss Prevention Tools) sind essenziell.
Die Haftungsfrage bei KI ist zentral und betrifft mehrere Gesetze:
§ 823 BGB (Deliktsrecht): Wer fahrlässig oder vorsätzlich Rechte anderer verletzt (z.B. durch eine fehlerhafte KI-Drohne), haftet für entstandene Schäden.
Produkthaftungsgesetz (ProdHaftG): Bisher beschränkte sich die verschuldensunabhängige Haftung auf physische Produkte. Mit der neuen EU-Richtlinie wird künftig auch Software und KI erfasst. Die Umsetzung in nationales Recht steht jedoch noch aus.
Praxistipp: Betreiber und Anbieter müssen klare Haftungsregelungen treffen. Auch bei ausgelagerten KI-Services oder Open-Source-Lösungen bleibt das Unternehmen in der Verantwortung.
Sobald ein KI-System personenbezogene Daten verarbeitet, gilt die Datenschutz-Grundverordnung (DSGVO). Für Unternehmen bedeutet das:
Rechtmäßigkeit der Datenverarbeitung muss sichergestellt werden
Datenminimierung und Transparenz sind Pflicht
Betroffenenrechte müssen gewahrt bleiben
Verträge mit Anbietern müssen Datenschutzaspekte abdecken
Achtung: Viele KI-Anbieter speichern und verarbeiten Daten außerhalb der EU. Verantwortliche müssen sicherstellen, dass Datenschutz und Datenübertragung DSGVO-konform sind.
Verträge rund um KI regeln Rechte, Pflichten und Verantwortlichkeiten – vor allem, wenn KI als externer Service bezogen wird. Entscheidend ist:
Haftung: Wer trägt die Verantwortung bei Fehlern, Falschinformationen oder Schäden durch die KI?
Zulässige Dateneingaben: Müssen Daten vor der Eingabe anonymisiert werden? Sind personenbezogene Daten ausgeschlossen?
Nutzungsrechte: Wem gehören die KI-Outputs (Texte, Bilder, Analysen)? Wie dürfen sie verwendet werden?
Löschung und Rückgabe: Was passiert mit den Daten bei Vertragsende? Müssen sie gelöscht oder zurückgegeben werden?
Updates & Weiterentwicklungen: Wer ist für Updates, Fehlerbehebung und Testphasen nach Software-Änderungen verantwortlich?
Ein detailliertes Vertragswerk ist für jedes KI-Projekt Pflicht!
KI-generierte Inhalte stehen im Fokus der Rechtsprechung:
Kein Urheberrechtsschutz für vollautomatisierte KI-Outputs (Urteil Kammergericht Berlin 2020): Nur persönlich-geistige Schöpfungen werden geschützt. Wer KI als Werkzeug einsetzt und eigene Kreativität einbringt, kann weiterhin Urheberrechte beanspruchen.
Text- und Data-Mining (§ 60d UrhG): Gemeinnützige Organisationen dürfen unter engen Voraussetzungen Daten aus dem Internet zum Trainieren von KI verwenden. Für kommerzielle Zwecke gelten strengere Regeln.
Praxistipp: Klären Sie Rechte und Pflichten an KI-Outputs vertraglich. Prüfen Sie, ob und wie Sie KI-generierte Inhalte rechtssicher nutzen können.
Für die Durchsetzung des AI Acts soll in Deutschland die Bundesnetzagentur als nationale KI-Aufsicht fungieren. Ergänzend sind je nach Sachverhalt weitere Behörden zuständig, darunter:
Datenschutzbehörden (DSGVO)
Bundeskartellamt (Wettbewerb)
Kraftfahrt-Bundesamt (z.B. bei autonomen Fahrzeugen)
Bundesinstitut für Arzneimittel und Medizinprodukte (KI in Medizinprodukten)
BaFin (KI in Finanzdienstleistungen)
Diese Vielfalt zeigt: Die Rechtsaufsicht für KI ist komplex und vielfach verteilt.
Entscheider:innen sollten Urteile zu KI kennen. Beispiele:
Haftung für KI-generierte Inhalte: Wer KI nutzt und veröffentlichte Fehler produziert, bleibt verantwortlich (LG Kiel 2024 – Störerhaftung).
Training mit fremden Inhalten: Gemeinnützige Zwecke bieten mehr Spielraum als kommerzielle.
International entwickelt sich der Rechtsrahmen stetig weiter. Die G7-Staaten und OECD arbeiten am Hiroshima AI Reporting Framework für globale Standards zu KI-Risikomanagement.
Für KMUs ist klar: Der AI Act ist nur ein Baustein für rechtssicheren KI-Einsatz. Wer Geschäftsgeheimnisse, Datenschutz, Haftung, Urheberrecht und Vertragsrecht nicht mitdenkt, riskiert hohe Bußgelder, Imageschäden und Innovationsbremsen. Empfehlenswert sind regelmäßige Schulungen, klare interne Prozesse, rechtssichere Verträge und der Blick auf neue Rechtsprechung.