Künstliche Intelligenz ist in der Unternehmenspraxis angekommen – aber wer sie verantwortungsvoll einsetzen will, braucht zunächst ein sauberes Begriffsverständnis und ein Gespür dafür, wo die größten Risiken liegen.
KI im Unternehmen – und plötzlich stellen sich viele Fragen
KI unterstützt heute beim Verfassen von Texten, sortiert Bewerbungen vor, fasst Kundengespräche zusammen oder erstellt Code. Der Einsatz wächst schnell – das regulatorische Umfeld wächst mit. Die EU-KI-Verordnung (KI-VO) setzt den unmittelbaren Rahmen; je nach Anwendungsfall greifen zusätzlich DSGVO, Data Act, Urheberrecht oder Persönlichkeitsrecht.
Bevor rechtliche Vorgaben sinnvoll umgesetzt werden können, muss jedoch eine grundlegende Frage beantwortet sein: Was genau wird im Unternehmen eigentlich eingesetzt?
Die KI-VO unterscheidet zwischen KI-Modell (der technischen Grundlage, z. B. einem Large Language Model wie GPT-5) und KI-System (der konkreten Anwendung mit Benutzeroberfläche und Datenanbindung, z. B. ChatGPT). Erst das System ist für Endnutzer verwendbar. Diese Trennung ist keine Spitzfindigkeit – sie bestimmt, welche Pflichten greifen.
Ebenso entscheidend ist die Frage nach der eigenen Rolle in der Wertschöpfungskette. Anbieter, die Systeme entwickeln oder entwickeln lassen, tragen den Löwenanteil an Pflichten. Betreiber, die ein fertiges System in eigener Verantwortung verwenden, tragen deutlich weniger. Wer ein eingekauftes System jedoch wesentlich verändert – etwa durch Fine-Tuning oder tiefe Integration –, kann unbemerkt vom Betreiber zum Anbieter werden. Genau deshalb ist ein Rollencheck vor dem Einsatz unerlässlich.
Hinzu kommen systemische Risiken, die unabhängig vom Einsatzbereich auftreten: Blackbox-Effekte erschweren Auskunfts- und Dokumentationspflichten. Bias in Trainingsdaten kann in sensiblen Bereichen wie dem Recruiting zu diskriminierenden Ergebnissen führen. Halluzinationen – plausibel klingende, aber falsche Inhalte – landen ohne Gegenmechanismen in Memos oder Angeboten. Und Datenlecks entstehen, wenn vertrauliche Informationen über Prompts oder Anhänge an Drittanbieter gelangen.
Was Unternehmen jetzt konkret tun sollten
Drei Maßnahmen schaffen die Grundlage für einen rechtssicheren KI-Einsatz.
Erstens: ein KI-Asset-Register. Erfassen Sie alle eingesetzten oder geplanten Systeme mit Zweck, Datenquellen, Schnittstellen, Nutzerkreisen und Verantwortlichen. Das Register reduziert das Risiko unkontrollierter Schatten-KI erheblich und schafft eine belastbare Entscheidungs- und Dokumentationsgrundlage.
Zweitens: eine Rollenmatrix mit schriftlicher Begründung. Prüfen Sie Ihre Rolle nach der KI-VO und ob geplante Anpassungen – Fine-Tuning, tiefe Systemintegration – diese Rolle verändern. Das Ergebnis muss dokumentiert sein.
Drittens: gezielte Schutzmaßnahmen gegen die typischen KI-Risiken. Eine klare KI-Policy mit Audit-Trail adressiert Blackbox-Effekte. Regelmäßige Datenprüfungen und laufendes Monitoring wirken Bias entgegen. Der Grundsatz „KI unterstützt, entscheidet aber nicht allein“ reduziert Halluzinationsrisiken. Klare Eingaberegeln, Rollen- und Rechtekonzepte sowie vertragliche Zusicherungen der Anbieter (kein Training mit Eingaben, transparente Speicherorte, definierte Löschfristen) schützen vor Datenlecks.
Ab August 2026 treten zudem weitere KI-VO-Pflichten in Kraft, etwa zur Kennzeichnung von KI-Einsätzen. Wer jetzt beginnt, die Grundlagen zu legen, spart sich später erheblichen Aufwand – Sanktionen greifen unabhängig davon, ob Pflichten bekannt waren oder nicht.
Wie KREMER LEGAL und KLTO GmbH Sie dabei unterstützen
KREMER LEGAL begleitet Unternehmen mit technischer und rechtlicher Expertise bei allen Fragen rund um den rechtssicheren KI-Einsatz: von der Risikoklassifizierung und Rollenzuordnung nach der KI-VO über die Prüfung von Vertragsbedingungen großer KI-Anbieter bis hin zur Erstellung von KI-Richtlinien und Maßnahmenplänen. Dabei werden neben der KI-spezifischen Regulierung stets auch Datenschutz, Urheberrecht, Persönlichkeitsschutz und Arbeitsrecht mitgedacht.
KLTO – Kremer Legal Tech & Operations – ergänzt die rechtliche Beratung auf der operativen Seite: mit strukturierten Workshops zur KI-Einführung, der Entwicklung interner KI-Policies und Governance-Frameworks sowie der technischen Umsetzung von Compliance-Anforderungen in praxistaugliche Prozesse und Tools.
Gemeinsam decken KREMER LEGAL und KLTO den gesamten Weg ab – von der rechtlichen Einordnung bis zur gelebten KI-Strategie im Unternehmen.
Sie haben Fragen zum rechtssicheren KI-Einsatz in Ihrem Unternehmen? Nehmen Sie Kontakt auf: info@kremer.legal