Trends bei KI in Unternehmen — und bei der Regulierung
Deutsche Unternehmen betreffende KI-Regulierung findet momentan vornehmlich auf europäischer Ebene statt. Mit der KI-Verordnung ist hier im vergangenen Jahr ein erstes Gesetzespaket in Kraft getreten, dessen Anforderungen seit Anfang Februar 2025 in ganz Europa unmittelbar eingehalten werden müssen. Bei der KI-Verordnung steht der Gedanke des Grundrechtsschutzes im Mittelpunkt. Die Grundrechte aller in der EU lebenden Personen sollen besonders geschützt werden, sofern sie mit KI in Berührung kommen. Der EU-Gesetzgeber hat deshalb die KI-Kompetenz und die verbotenen KI-Praktiken in einer ersten Regulierungsstufe der KI-Verordnung in den Vordergrund gestellt.
Die KI-Kompetenz soll sicherstellen, dass KI nur von Unternehmen eingesetzt wird, dessen Mitarbeitenden sich ausreichend mit dem Thema KI beschäftigt und ausreichend geschult sind. Das Verbot bestimmter KI-Praktiken, wie insbesondere KI-Systeme, die absichtlich manipulativ handeln oder Personen absichtlich täuschen, soll sicherstellen, dass besonders gefährliche KI-Anwendungen innerhalb der EU gar nicht erst in Umlauf kommen.
Schrittweise werden in den nächsten Monaten und bis ins Jahr 2027 hinein weitere Regulierungsstufen der KI-Verordnung folgen. Der Gesetzgeber spannt für die Unternehmen damit ein immer enger werdendes Netz an Vorschriften, die es zu beachten gilt.
Die EU nimmt dabei zwar die Kritik an der starken Regulierung wahr. Das zeigt auch die kürzlich gescheiterte KI-Haftungsrichtlinie, die als Gesetzvorhaben zunächst vollständig aufgeben wurde. Unternehmen in Europa und damit auch in Deutschland müssen aber jedenfalls die KI-Verordnung mit ihren momentan schon geltenden und zukünftig noch hinzukommenden Verpflichtungen umsetzen.
Übrigens: Ein effizienter Weg zur Compliance könnte darin bestehen, dass KI-Lösungen zur Einhaltung dieser Verpflichtungen herangezogen werden, beispielsweise um Vorgaben im Unternehmen zu erstellen oder Dokumentationen vorauszufüllen. Hierbei dürften zunehmend die KI-Agenten in den Vordergrund rücken. Sie könnten ohne menschliches Eingreifen mehrschrittige Prozesse erledigen, beispielsweise eigenständig eine Datei öffnen, relevante Daten identifizieren und in einen E‑Mail-oder Tabellen-Entwurf übertragen.
Wie bereits geschildert, müssen Unternehmen bereits einige Verpflichtungen aus der KI-Verordnung erfüllen. Dass die Nichteinhaltung Konsequenzen haben kann, zeigt eine aktuelle Klage einer niederländischen Stiftung für Marktinformationsforschung. Am 5. Februar 2025 – und damit nur drei Tage nach dem Geltungsbeginn der KI-Verordnung zu verbotener KI – richtete sich die Klage gegen TikTok und X. Gegenstand sind Schadensersatzforderungen von potentiell betroffenen Nutzern, die sich auf eine Milliardenforderung summieren ließen. Grund sei laut der Klägerin die Personalisierung von Empfehlungssystemen auf Grundlage intimer persönlicher Informationen, insbesondere von Kindern und Jugendlichen. Die im Streit stehende KI sei manipulativ, irreführend und ausbeuterisch.
Der Ausgang dieses Verfahrens ist vollständig offen. Jedoch zeigt die Klageerhebung eines: Die Anforderungen der KI-Verordnungen sollten nicht auf die leichte Schulter genommen werden und sie sind Basis nicht für Behördenuntersuchungen, aber auch für private Kläger.
Viele unserer Mandanten haben bereits in den vergangenen Jahren mit der schrittweisen Umsetzung von Maßnahmen zur Compliance mit der KI-Verordnung begonnen. Es ist klar, dass Unternehmen eine Übergangsphase benötigen, um sich an neue Regulierungen anzupassen. Das hat schon die Einführung von DSGVO-Compliance-Maßnahmen gezeigt.
Es empfiehlt sich ein stetes und überlegtes Vorgehen, um nicht unter akuten Zugzwang zu geraten und Regulierungen überstürzt umsetzen zu müssen. Gleichzeitig können Unternehmen so auch besser auf die Neurungen für Mitarbeiter eingehen. Eine Kommunikation mit den Mitarbeitern über die Einhaltung neuer Verpflichtungen und auch über die Sorgen der Mitarbeiter, im Umgang mit neuen Technologien, können so besser adressiert werden.
Unsere Mandanten schulen derzeit Mitarbeiter, bauen also „KI-Kompetenz“ auf. Sie prüfen aber auch zu entwickelnde KI frühzeitig auf die Frage, ob sie einem Verbot unterliegt oder als Hochrisiko-KI einem besonderen Risikomanagement unterworfen werden muss. Auch die Dokumentationsanforderungen sind dann streng. Neben der KI-Verordnung sind selbstverständlich weiterhin auch sonstige Vorschriften zum Datenschutz, der Cybersicherheit und dem Geschäftsgeheimnisschutz zu beachten. Die Regulierungsanforderungen sind also vielfältig und müssen in den Unternehmen ebenfalls umgesetzt werden.
Diese ergeben sich vor allem aus der Vielzahl der Regulierungen für Unternehmen und deren inhaltlichen Überlappungen. Ein Beispiel: Sowohl die KI-Verordnung als auch die DSGVO und der Data Act enthalten Informations- und Dokumentationspflichten, die sich teilweise überschneiden teilweise aber auch schwer unter einen Hut zu bringen sind. In einigen Konstellationen sind sie dennoch gleichzeitig anwendbar.
Wieder andere Anforderungen ergeben sich beispielsweise aus der Produktsicherheit oder der Produkthaftung. Aus rechtlicher Sicht ist dabei klar: alle Anforderungen müssen rechtzeitig und im Sinne der Unternehmenscompliance umfassend eingehalten werden. In der Praxis kann aber nicht für jede neue Regulierung eine neue Position geschaffen und eine neue Arbeitskraft eingestellt werden. Jedenfalls wäre das kaum wirtschaftlich umzusetzen. Es wird dann meist auf eine Risikoabwägung der Geschäftsführung hinauslaufen, die vorhandenen Ressourcen bestmöglich einzusetzen und schnellstmöglich die Anforderungen umzusetzen.
Um für eine Risikoentscheidung im Nachhinein nicht in die Haftung genommen oder im schlimmsten Fall sogar strafrechtlich belangt zu werden, können sich die Verantwortlichen nur absichern, in dem sie gut begründete und dokumentierte Entscheidungen treffen und nachweisen können, dass die Entscheidungen zum damaligen Zeitpunkt gut vertretbar und keinesfalls vorwerfbar waren. Die Dokumentation dient an dieser Stelle quasi wie eine „Versicherung“ zur Absicherung der Entscheidung zu den konkreten Fragen der Unternehmensorganisation und der Produktentwicklung.
Eine weitere Herausforderung – aber auch eine Chance – sehe ich beim Data Act, auf den ich noch kurz zusprechen kommen möchte. Der Data Act soll die Datenökonomie fördern und dafür sorgen, dass Unternehmen die von ihren Produkten generierte Daten dem Nutzer zur Verfügung stellen. Aber auch anderen Unternehmen muss unter gewissen Voraussetzungen Zugang zu den „Datenschätzen“ gewährt werden. Die erste Reaktion ist oft: „Wie können wir das verhindern?“ oder „Das ist eine ganz schlechte Idee!“. Diese Reaktionen sind aus der Sicht des Dateninhabers nachvollziehbar. Ich möchte an dieser Stelle aber auch für die Chance werben, die sich aus dem Data Act ergibt: Deutsche Unternehmen sollten frühzeitig überlegen, welche Rohdaten sie von anderen Unternehmen (in der EU) brauchen könnten, um neue Geschäftsfelder und Geschäftsmodelle zu kreieren. Wenn das gelingt, können sie sich auf neuen Märkten als Vorreiter positionieren. Ich jedenfalls glaube daran, dass eine „Data Economy — Made in Germany“ den deutschen Wirtschaftsstandort nach vorne bringen kann.
Herr Dr. Siebert ist seit 1999 deutscher Rechtsanwalt in Berlin, studierte in Kiel und Münster und an der Emory University in Atlanta/Georgia (USA). Im Jahr 1998 wurde er an der Universität Konstanz promoviert. Von 1999 bis 2024 war er Anwalt und seit 2004 Partner der Sozietät Büsing, Müffelmann & Theye (BMT). Seit Januar 2025 ist er Managing Partner bei WIPIT Partnerschaft mbB Rechtsanwälte Steuerberater. Herr Dr. Siebert ist spezialisiert auf den gewerblichen Rechtsschutz und das Technikrecht.
Er berät vor allem Unternehmen aus den Bereichen Automotive, Maschinenbau und IT. Schwerpunkte seiner Beratungstätigkeit liegen im Bereich Forschung und Entwicklung, hier insbesondere in der Vertragsgestaltung und in der technischen Compliance. Seit 2009 berät er intensiv zur eDiscovery in internationalen Produkthaftungs- und Patentverletzungsfällen. Datenschutz, KI- Regulierung und das Recht der Digitalisierung im Allgemeinen nehmen in seiner Beratung immer mehr Raum ein.