KI und Recht: Die Balance zwischen Innovation und Compliance

Jessica Kase • 01.03.2025 • 5 Minuten
Eine Gruppe von Fachleuten arbeitet an KI-Projekten in einem modern gestalteten Büro.

Künstliche Intelligenz ist überall – und das rasend schnell. Für Unternehmen bedeutet das vor allem eines: Sie müssen innovative KI-Lösungen finden, die aber auch rechtlich auf sicheren Beinen stehen. Keine leichte Aufgabe! Ist die europäische KI-Verordnung ein Innovationskiller oder bietet sie vielleicht sogar Chancen für verantwortungsvolle Innovation?

Die KI-Verordnung: Mehr als nur Bürokratie

Seit Februar 2025 gelten weitere Teile der europäischen KI-Verordnung - und damit neue Regeln, die viele Unternehmen zunächst als zusätzliche Bürde wahrnehmen. Die Sorge ist verständlich: Bevor der erste Euro mit KI verdient wird, müssen zunächst Ressourcen in Compliance-Maßnahmen investiert werden.

Doch die KI-Verordnung kann auch als logische Weiterentwicklung der Datenschutzgrundverordnung (DSGVO) betrachtet werden. Sie bietet Unternehmen einen strukturierten Rahmen, um KI-Anwendungen sicher und nachhaltig zu implementieren. Entscheidend ist der Ansatz: Wer die Verordnung als bürokratisches Monster behandelt, wird in endlosen Compliance-Schleifen stecken bleiben. Wer hingegen pragmatisch vorgeht, kann innerhalb überschaubarer Zeit Rechtssicherheit erlangen und dann innovativ durchstarten.

Alle sind betroffen – nicht nur die Tech-Giganten

Ein weit verbreitetes Missverständnis ist, dass die KI-Verordnung nur für Technologieunternehmen gilt, die KI-Lösungen entwickeln. Die Wahrheit ist: Jedes Unternehmen, das KI-Tools einsetzt – sei es ChatGPT für das Bewerbungsmanagement oder eine KI-gestützte Lösung zur Vertriebsoptimierung oder den Einkauf – ist Adressat der Regulierung.

Dies bedeutet, dass vom kleinen Handwerksbetrieb bis zum multinationalen Konzern alle Unternehmen, die KI nutzen, sich mit den Anforderungen der Verordnung auseinandersetzen müssen. Eine unbequeme Wahrheit, aber eine, die besser früh als spät erkannt wird.

Das unterschätzte Risiko: Geschäftsgeheimnisse in Gefahr

Ein oft übersehener Aspekt bei der Nutzung von KI-Tools betrifft den Schutz von Geschäftsgeheimnissen. Die eingegebenen Daten werden von den Anbietern der KI-Tools gespeichert und potenziell für das Training ihrer Modelle verwendet. Im schlimmsten Fall könnte dies bedeuten, dass vertrauliche Informationen in die Hände von Wettbewerbern gelangen oder dass die KI-Anbieter selbst ähnliche Lösungen entwickeln.

Besonders brisant wird es, wenn vertraglich geschützte Informationen betroffen sind. Was passiert, wenn ein Softwareentwicklungsunternehmen, das eine Geheimhaltungsvereinbarung mit einem Kunden unterzeichnet hat, Informationen aus diesem Projekt in ChatGPT eingibt? Die rechtlichen Konsequenzen können gravierend sein: Vertragsstrafen, Schadensersatzforderungen, Reputationsschäden.

Die drei Säulen der rechtlichen Absicherung

Bei der rechtlichen Betrachtung von KI-Projekten stehen drei zentrale Rechtsbereiche im Fokus:

  1. Urheberrecht: Welche Inhalte dürfen für das Training von KI-Modellen verwendet werden? Wem gehören die von KI generierten Inhalte?
  2. Datenschutzrecht: Wie werden personenbezogene Daten verarbeitet? Werden die Betroffenenrechte gewahrt?
  3. Schutz von Geschäftsgeheimnissen: Wie wird verhindert, dass vertrauliche Unternehmensinformationen durch die Nutzung von KI-Tools kompromittiert werden?

Diese drei Bereiche bilden das Fundament für eine rechtssichere KI-Strategie. Wer sie ignoriert, baut auf Sand – und riskiert, dass das gesamte Projekt bei der ersten rechtlichen Prüfung einstürzt.

Der pragmatische Weg zur KI-Compliance

Wie können Unternehmen nun konkret vorgehen, um KI-Anwendungen rechtskonform zu implementieren? Ein pragmatischer Fünf-Stufen-Plan hat sich in der Praxis bewährt:

Stufe 1: Die Spielregeln definieren

Am Anfang steht die Entwicklung einer unternehmensweiten KI-Richtlinie. Diese gibt den Mitarbeitenden klare Regeln an die Hand: Welche KI-Tools dürfen genutzt werden? Welche Daten dürfen eingegeben werden? Welche Sicherheitsmaßnahmen sind zu beachten?

Eine solche Richtlinie schafft Klarheit und verhindert, dass Mitarbeitende aus Unwissenheit Fehler begehen – etwa indem sie urheberrechtlich geschützte Werke für das Training von KI-Modellen verwenden oder vertrauliche Kundendaten in öffentliche KI-Tools eingeben.

Stufe 2: Die Anwendungsfälle definieren

Im zweiten Schritt werden konkrete Anwendungsfälle (Use Cases) definiert: Wie genau soll KI im Unternehmen eingesetzt werden? Typische Beispiele sind:

  • Optimierung des Bewerbungsmanagements
  • Automatisierung von Vertriebsprozessen
  • Verbesserung des Controllings durch KI-gestützte Datenanalyse
  • Erstellung von Marketinginhalten mit generativer KI

Für jeden Use Case wird ein kurzes Konzeptpapier erstellt, das die technischen und organisatorischen Aspekte beschreibt: Welche Daten werden verarbeitet? Welche KI-Tools kommen zum Einsatz? Wer ist verantwortlich?

Stufe 3: Die rechtliche Weichenstellung

Mit diesen Use Cases im Gepäck geht es nun zum Rechtsexperten. Dieser führt eine Ersteinschätzung durch: Ist der Use Case rechtlich unbedenklich? Sind Anpassungen erforderlich? Oder ist er in der geplanten Form nicht umsetzbar?

Diese Prüfung umfasst insbesondere:

  • Die Einstufung des Risikos gemäß KI-Verordnung
  • Die Prüfung datenschutzrechtlicher Anforderungen
  • Die Bewertung möglicher Risiken für Geschäftsgeheimnisse

Je nach Komplexität des Use Cases dauert diese Prüfung zwischen einer und fünf Stunden. Das Ergebnis ist eine klare Handlungsempfehlung: grünes Licht, Anpassungsbedarf oder rotes Licht.

Stufe 4: Die Umsetzung mit Augenmaß

Wenn klar ist, welche Use Cases wie umgesetzt werden können, werden die entsprechenden Compliance-Maßnahmen implementiert. Dazu gehört etwa die Benennung eines qualifizierten KI-Officers oder KI-Managers, der den Lebenszyklus der KI-Anwendungen überwacht.

Wichtig ist dabei ein pragmatischer Ansatz: Der KI-Officer/KI-Manager sollte nicht zum Bremsklotz werden, sondern als Enabler fungieren, der mit technischem Verständnis den Prozess begleitet und in Zusammenarbeit mit externen Rechtsexperten die Umsetzung der rechtlichen Vorgaben sicherstellt. Seine Aufgabe ist es, die Balance zwischen Innovation und Compliance zu wahren, ohne dass eines von beiden zu kurz kommt.

Stufe 5: Schulung und Befähigung der Anwender

Der letzte, aber entscheidende Schritt ist die umfassende Schulung aller Mitarbeitenden, die mit den KI-Tools arbeiten werden. Diese Schulungen sollten folgende Aspekte umfassen:

  • Grundlegendes Verständnis der eingesetzten KI-Technologien
  • Konkrete Handlungsanweisungen zum datenschutzkonformen Umgang mit den Tools
  • Klare Richtlinien, welche Daten eingegeben werden dürfen und welche nicht
  • Sensibilisierung für den Schutz von Geschäftsgeheimnissen
  • Praktische Übungen zur effektiven und sicheren Nutzung der KI-Anwendungen

Empfehlung für einen Grundlagenkurs

Bevor spezifische Anwendungsschulungen stattfinden, empfiehlt sich ein allgemeiner KI-Grundlagenkurs für alle Mitarbeitenden. Ein solcher Kurs schafft ein gemeinsames Verständnis und erhöht die Akzeptanz und Nutzungsbereitschaft erheblich.

Ein guter KI-Grundlagenkurs sollte folgende Elemente enthalten:

  • Basiswissen über KI-Technologien und ihre Funktionsweise
  • Überblick über verschiedene KI-Anwendungsbereiche im Unternehmen
  • Chancen und Grenzen von KI-Systemen
  • Ethische und rechtliche Grundlagen im Umgang mit KI
  • Praktische Einführung in gängige KI-Tools wie ChatGPT, Copilot oder branchenspezifische Lösungen

Für Unternehmen, die einen solchen Kurs nicht selbst entwickeln können, bietet sich ein Basis-Videokurs mit etwa 25 Themen-Videos an, der die wichtigsten Grundlagen abdeckt. Dieser kann als Voraussetzung für weiterführende, spezifischere Schulungen dienen und sorgt dafür, dass alle Mitarbeitenden auf einem vergleichbaren Wissensstand sind.

Für diejenigen, die tiefer in die Materie eintauchen und ihre KI-Kenntnisse umfassend erweitern möchten, empfehlen wir den KI-Kurs-Hub von Bloola. Dieser bietet eine Vielzahl von Kursen, die von Grundlagen bis hin zu fortgeschrittenen Anwendungen reichen und Ihnen helfen, KI-Technologien effektiv zu meistern.

Nur wenn die Anwender wissen, wie sie die KI-Tools rechtskonform und effektiv einsetzen können, wird das Unternehmen den vollen Nutzen aus der Technologie ziehen können, ohne dabei rechtliche Risiken einzugehen. Die Investition in eine solide Grundausbildung zahlt sich durch effizientere Nutzung und Vermeidung kostspieliger Fehler mehrfach aus. Regelmäßige Auffrischungsschulungen und Updates bei Änderungen der Tools oder rechtlichen Rahmenbedingungen runden das Schulungskonzept ab.

Ein realistischer Zeitrahmen

Wie lange dauert ein solcher Compliance-Prozess? In der Praxis zeigt sich, dass bei mittelständischen Unternehmen im Durchschnitt etwa ein Monat vergeht, bis man zu einer verbindlichen Aussage kommt, ob ein Use Case geht, nicht geht oder wie er modifiziert werden muss.

Verglichen mit den üblichen Projektlaufzeiten in Unternehmen ist das ein überschaubarer Zeitraum – und eine sinnvolle Investition, um später nicht mit kostspieligen Nachbesserungen oder gar rechtlichen Konsequenzen konfrontiert zu werden.

Best Practices für den Alltag mit ChatGPT & Co.

Für den alltäglichen Umgang mit generativen KI-Tools wie ChatGPT haben sich folgende Praktiken bewährt:

  • Anonymisieren statt Risikieren: Keine personenbezogenen Daten eingeben, sondern diese vorher anonymisieren.
  • Die Kronjuwelen schützen: Keine Geschäftsgeheimnisse oder vertrauliche Unternehmensinformationen ungefiltert eingeben.
  • Teilen und herrschen: Komplexe Prozesse aufteilen und verschiedene Tools für unterschiedliche Teilaufgaben nutzen, um die Risiken zu streuen.
  • Mit offenen Karten spielen: Transparenz gegenüber Kunden und Partnern schaffen, wenn KI-Tools für gemeinsame Projekte eingesetzt werden.

Die europäische Chance

Während in den USA ein Experiment (Weiterentwicklung von "AutoRIF" - Automated Reduction in Force) für Aufsehen sorgt, bei dem eine KI darüber entscheiden soll, welche Regierungsangestellten entlassen werden, zeigt sich der Wert des europäischen Ansatzes: Ja, die Regulierung mag manchmal als Bremse erscheinen. Aber sie schützt auch vor Exzessen und schafft Vertrauen – ein Wert, der in der digitalen Wirtschaft zunehmend zum Wettbewerbsvorteil wird.

Die europäische KI-Verordnung ist keine Innovationsbremse, sondern eine Leitplanke für verantwortungsvolle Innovation. Unternehmen, die dies verstehen und einen pragmatischen Ansatz zur Compliance entwickeln, können das Beste aus beiden Welten vereinen: die transformative Kraft der KI und die Rechtssicherheit eines klaren regulatorischen Rahmens.

Fazit: Die PS auf die Straße bringen

Die Herausforderung für Unternehmen besteht darin, eine Balance zu finden: Einerseits müssen sie innovativ sein und KI-Technologien einsetzen, um wettbewerbsfähig zu bleiben. Andererseits müssen sie die rechtlichen Rahmenbedingungen einhalten.

Weder ein "Innovation first, rechtliche Absicherung später"-Ansatz noch ein endloses Kreisen um Regulierungsfragen ohne tatsächliche Umsetzung führen zum Erfolg. Stattdessen braucht es einen pragmatischen Mittelweg, der sowohl Innovation als auch Rechtssicherheit ermöglicht.

Es geht darum, "die PS auf die Straße zu bringen" – mit einem strukturierten, aber pragmatischen Ansatz zur KI-Compliance können Unternehmen genau das erreichen und die europäischen Regulierungen nicht als Hindernis, sondern als Leitplanke für verantwortungsvolle Innovation nutzen.

Die KI-Verordnung mag auf den ersten Blick komplex erscheinen, aber mit dem richtigen Ansatz kann sie zu einem Wettbewerbsvorteil werden. Unternehmen, die KI rechtskonform einsetzen, schaffen nicht nur Vertrauen bei ihren Kunden, sondern schützen auch ihre eigenen Geschäftsgeheimnisse und minimieren Haftungsrisiken. Der Schlüssel liegt in einem pragmatischen Vorgehen, das weder die rechtlichen Anforderungen ignoriert noch in überbordender Bürokratie versinkt.