KI-Rechtsrisiken fuer Unternehmen vor dem Rollout
Die Kurzantwort
KI-Rechtsrisiken fuer Unternehmen in Deutschland liegen meist in fuenf Bereichen: DSGVO und Datenfluesse, Pflichten nach der EU-KI-Verordnung, IP und Vertraulichkeit, Vertrags- und Haftungsfragen sowie Arbeitsrecht bei mitarbeiterbezogenen Systemen. Vor dem Rollout braucht es deshalb eine strukturierte Risikobewertung mit Use-Case-Einordnung, Anbieterpruefung, Human Oversight und klaren Nutzungsgrenzen.
- Schon der Pilot mit Echtdaten kann DSGVO-, SCC- und AVV-Fragen ausloesen.
- Betreiberpflichten nach der KI-Verordnung muessen im Unternehmen selbst verankert werden.
- Vertragsmuster des Anbieters decken Vertraulichkeit, Output-Risiken und Bußgeldexposure oft nur unzureichend ab.
- HR- und Betriebsratsfragen sollten vor Freigabe und nicht erst vor Go-live geprueft werden.
KI-Rechtsrisiken fuer Unternehmen in Deutschland liegen beim Einsatz von KI meist gleichzeitig in DSGVO und Datenfluesse, Betreiberpflichten nach der EU-KI-Verordnung, IP und Vertraulichkeit, Vertrags- und Haftungsfragen sowie Arbeitsrecht und Mitbestimmung. Vor Pilot und Rollout sollten Rechtsabteilung, Datenschutz, Einkauf, IT-Security und die betroffenen Fachbereiche deshalb gemeinsam pruefen, ob der konkrete Use Case rechtlich und organisatorisch tragfaehig ist.
Genau dort scheitern viele Einfuehrungen: Nicht weil KI im Unternehmen generell unzulaessig waere, sondern weil ein konkretes Tool mit Echtdaten, sensiblen Workflows oder Mitarbeiterbezug zu spaet geprueft wird. Fuer deutsche Unternehmen reicht es daher nicht, nur auf Datenschutzhinweise oder ein Security-Fact-Sheet zu schauen. Entscheidend ist eine belastbare Risikobewertung vor dem Rollout.
Direkte Antwort: Welche KI-Rechtsrisiken sind vor dem Rollout zu pruefen?
Vor dem Rollout sollten Unternehmen in Deutschland vor allem diese fuenf KI-Rechtsrisiken pruefen:
- DSGVO- und Transfer-Risiken, wenn Personenbezug, Drittlandzugriffe, fehlende AVV-Regelungen oder Trainingsnutzung im Raum stehen.
- Pflichten nach der KI-Verordnung, wenn Transparenz, Logging, menschliche Aufsicht oder Hochrisiko-Kontexte relevant werden koennen.
- IP- und Vertraulichkeitsrisiken, wenn Vertriebsdaten, Vertraege, Produktplaene oder andere Geschaeftsgeheimnisse in das System gelangen.
- Vertrags- und Haftungsrisiken, wenn der Anbieter seine Verantwortung stark begrenzt und das wirtschaftliche Rest-Risiko beim Unternehmen bleibt.
- Arbeitsrechtliche und mitbestimmungsrechtliche Risiken, wenn Bewerber, Beschaeftigte, Leistung, Kommunikation oder Monitoring betroffen sind.
Fuer die operative Erstpruefung hilft die folgende Matrix:
| Risikobereich | Typischer Ausloeser | Was Unternehmen vor Go-live klaeren sollten |
|---|---|---|
| DSGVO und BDSG | Kunden-, Mitarbeiter-, Support- oder Vertragsdaten im Tool | Rollen, Rechtsgrundlage, AVV, SCC, Loeschung, DSFA |
| KI-Verordnung | Chatbots, HR-KI, Scoring, sensible Entscheidungsunterstuetzung | Betreiberrolle, Transparenz, Dokumentation, Hochrisiko-Naehe |
| IP und Vertraulichkeit | Prompts mit internen Unterlagen, Code, Vertragsmustern oder Roadmaps | Training, Wiederverwendung, Geheimnisschutz, Output-Nutzung |
| Vertrag und Haftung | Standardbedingungen mit niedrigen Caps und breiten Ausschluessen | Freistellungen, Incident-Prozesse, Audit, Bußgeld- und Schadensrisiken |
| Arbeitsrecht | Recruiting, Performance, Schichtplanung, Monitoring | § 26 BDSG, AGG, Betriebsrat, Human Review |
Wenn Sie den Datenschutz- und Beschaffungspfad zuerst strukturieren moechten, bauen unsere Leitfaeden zur KI-Beschaffung unter DSGVO und AI Act, zur DSGVO-Checkliste fuer KI-Tools und zur KI-Anbieter-Due-Diligence darauf auf.
Governance-Landkarte: DSGVO, KI-Verordnung, Vertraulichkeit, Arbeitsrecht und Einkauf
Eine saubere Governance-Landkarte hilft, bevor einzelne Teams aneinander vorbeipruefen. Denn das rechtliche Risiko entsteht oft gerade an den Schnittstellen.
Die wichtigsten Ebenen sind:
- DSGVO und BDSG Wer ist Verantwortlicher, wer Auftragsverarbeiter, welche Daten duerfen in das Tool, wo wird verarbeitet und ob eine Datenschutz-Folgenabschaetzung noetig ist.
- EU-KI-Verordnung Ob Transparenzpflichten, Betreiberpflichten oder eine Naehe zu Anhang III-Konstellationen besteht und welche Unterlagen dafuer vorliegen.
- IP und Vertraulichkeit Ob Prompts, Dateien und Outputs Geschaeftsgeheimnisse, urheberrechtlich sensibles Material oder vertrauliche Vertragsinformationen betreffen.
- Einkauf und Vertrag Ob Haftung, Auditierbarkeit, Subprozessoren, Incident-Meldung, Trainingsnutzung und Exit-Rechte zum realen Unternehmensrisiko passen.
- Arbeitsrecht und Mitbestimmung Ob Beschaeftigtendaten, Recruiting, Leistungsbeurteilung oder Monitoring betroffen sind und der Betriebsrat eingebunden werden muss.
Ein allgemeines KI-Policy-Dokument kann diese Landkarte vorbereiten. Es ersetzt aber nicht die konkrete Freigabepruefung fuer ein einzelnes Tool.
So fuehren Unternehmen vor dem Go-live eine KI-Risikobewertung durch
Fuer die Praxis braucht es keinen abstrakten Grossprozess, sondern eine belastbare Vorab-Pruefung. Diese sieben Schritte haben sich fuer Unternehmen in Deutschland bewaehrt:
- Use Case und Owner festlegen Welcher Fachbereich will das Tool wofuer einsetzen, welche Systeme werden angebunden und welche Outputs sollen entstehen?
- Rechtliche Relevanz klassifizieren Betrifft der Einsatz Mitarbeiter, Bewerber, Kundenkommunikation, Scoring oder andere sensible Entscheidungen?
- Datenfluesse erfassen Welche personenbezogenen Daten, internen Dokumente und Geschaeftsgeheimnisse koennen in das System gelangen?
- Anbieterunterlagen pruefen AVV, SCC, Subprozessorenliste, Trainingsnutzung, Retention, Security-Unterlagen und AI-Act-bezogene Informationen einsammeln.
- Human Oversight und interne Kontrollen festlegen Welche Outputs muessen zwingend von Menschen freigegeben werden und wie werden Vorfaelle oder Policy-Verstoesse eskaliert?
- Vertragliche Risikoverteilung bewerten Haftungscaps, Vertraulichkeit, Audit-Rechte, Incident-Pflichten, IP-Klauseln und Loeschung gemeinsam lesen.
- Nutzungsgrenzen dokumentieren Festhalten, welche Daten erlaubt sind, welche Abteilungen zugreifen duerfen und wann ein Re-Assessment ausgeloest wird.
Diese Checkliste schafft nicht nur Compliance, sondern auch Nachvollziehbarkeit gegenueber Management, Einkauf, Datenschutzaufsicht oder interner Revision.
Use Case, Zweckbestimmung und Einordnung nach der KI-Verordnung
Die Bewertung sollte immer mit dem konkreten Einsatz starten, nicht mit der Etikette des Anbieters. Ein “allgemeiner Copilot” kann rechtlich harmlos oder hochsensibel sein, je nachdem ob er auf anonymisierten Vorlagen arbeitet oder auf Bewerbungen, Personalakten, Vertragsarchiven oder Kundenkommunikation zugreift.
Fragen Sie deshalb zuerst:
- Welcher Zweck ist vorgesehen?
- Wer nutzt das Tool und in welchem Prozess?
- Bereitet es Entscheidungen ueber Mitarbeiter, Bewerber, Kunden oder Zugang zu Leistungen vor?
- Wird mit Echtdaten gearbeitet?
- Koennte der Einsatz in einen Anhang-III-Kontext der KI-Verordnung fallen?
Mit Stand 22. Mai 2026 sollte die Zeitleiste sauber benannt werden. Die KI-Verordnung ist am 1. August 2024 in Kraft getreten. Verbotene Praktiken und KI-Kompetenzpflichten gelten seit dem 2. Februar 2025. Governance-Regeln und GPAI-bezogene Pflichten gelten seit dem 2. August 2025. Die Verordnung gilt grundsaetzlich ab dem 2. August 2026, waehrend Art. 6 Abs. 1 und korrespondierende Pflichten ab dem 2. August 2027 greifen. Fuer die Fristen im Detail verweisen wir auf unsere EU-AI-Act-Fristenseite.
Datenfluesse, AVV, SCC, Retention und Subprozessoren
Die naechste Risikoschicht liegt in den Datenfluessen. Genau hier entstehen haeufig die ersten Rechtsverstosse, oft schon im Pilot.
Geprueft werden sollten mindestens:
- ein belastbarer AVV nach Art. 28 DSGVO,
- Speicher- und Zugriffsorte,
- SCCs oder andere Drittlandmechanismen,
- eingebundene Subprozessoren,
- Loesch- und Retention-Einstellungen,
- Regeln zur Trainings- oder Verbesserungsnutzung von Prompts, Uploads, Dateien und Outputs,
- moegliche DSFA-Pflichten nach Art. 35 DSGVO.
Besonders sensibel wird der Einsatz bei Bewerber- und Beschaeftigtendaten. Dann kommen § 26 BDSG, moegliche AGG-Risiken und oft auch die Mitbestimmung des Betriebsrats hinzu.
Human Oversight und interne Kontrollmechanismen
KI-Rechtsrisiken lassen sich nicht nur ueber Dokumente steuern. Das Unternehmen braucht auch interne Regeln dafuer, wie mit dem Tool gearbeitet werden darf.
Typische Mindestkontrollen sind:
- Pflicht zur menschlichen Pruefung bei HR-, Legal-, Finance- oder Kunden-Outputs,
- Rollen- und Zugriffsbeschraenkungen,
- Logging fuer sensible Workflows,
- Eskalationspfade fuer Halluzinationen, Vorfaelle oder Bias-Hinweise,
- erneute Freigabe bei Modellwechseln, neuen Integrationen oder geaenderter Trainingsnutzung.
Gerade bei generativer KI ist der Kern des Rechtsrisikos oft nicht das System selbst, sondern die unkontrollierte Uebernahme von Outputs in echte Unternehmensentscheidungen.
Vertragliche Risikoverteilung, Haftung und Change Management
Viele Anbieterbedingungen sind fuer Standard-SaaS konzipiert und nicht fuer sensible KI-Rollouts. Unternehmen sollten deshalb vor allem diese Punkte gemeinsam lesen:
- Haftungscaps und Carve-outs,
- Vertraulichkeit und Geheimnisschutz,
- Rechte an Inputs und Outputs,
- Freistellungen fuer IP-Ansprueche,
- Incident- und Breach-Meldung,
- Audit-Rechte oder belastbare Ersatznachweise,
- Umgang mit neuen Subprozessoren, neuen Modellen oder geaenderten Nutzungsbedingungen,
- Export-, Loesch- und Exit-Regeln.
Unter deutschem Recht sollte diese Pruefung immer auch die AGB-Kontrolle nach §§ 305 bis 310 BGB mitdenken. “Marktueblich” bedeutet nicht automatisch angemessen fuer einen rechtlich sensiblen Unternehmensprozess.
Wann ein allgemeines KI-Framework nicht mehr ausreicht
Ein allgemeines Framework ist sinnvoll fuer Grundregeln, Schulung und Eskalation. Es reicht aber nicht mehr aus, wenn:
- ein konkretes Tool mit echten Kunden-, Vertrags- oder Mitarbeiterdaten arbeiten soll,
- das System in HR, CRM, interne Wissenssuche oder Kundenkommunikation integriert wird,
- der Anbieter eigene Trainingsrechte beansprucht,
- Outputs fuer rechtlich oder wirtschaftlich relevante Entscheidungen genutzt werden,
- Transparenz- oder Hochrisiko-Fragen nach der KI-Verordnung aufkommen.
Dann braucht es eine tool-spezifische KI-Anbieter-Due-Diligence sowie haeufig auch die procurement-nahe Vertiefung zu Beschaffungsanforderungen nach der KI-Verordnung.
FAQ
Was sind die wichtigsten KI-Rechtsrisiken fuer Unternehmen?
Typischerweise DSGVO- und Transfer-Risiken, Pflichten nach der KI-Verordnung, IP- und Vertraulichkeitsfragen, vertragliche Regressluecken sowie arbeitsrechtliche und mitbestimmungsrechtliche Themen. Welche Punkte dominieren, haengt stark vom konkreten Einsatz und den Datenfluessen ab.
Reicht ein AVV aus, um KI-Rechtsrisiken zu steuern?
Nein. Ein AVV ist noetig, aber nur ein Teil der Pruefung. Zusaetzlich muessen Training, SCC, KI-Verordnungsbezug, Human Oversight, Haftung und Beschaeftigtenbezug bewertet werden.
Seit wann ist die KI-Verordnung fuer Unternehmen relevant?
Seit dem Inkrafttreten am 1. August 2024 entwickelt sich der Anwendungsrahmen stufenweise. Verbotene Praktiken und KI-Kompetenzpflichten gelten seit dem 2. Februar 2025, Governance- und GPAI-Pflichten seit dem 2. August 2025, die Verordnung grundsaetzlich ab dem 2. August 2026 und Art. 6 Abs. 1 samt korrespondierender Pflichten ab dem 2. August 2027.
Wann muss der Betriebsrat bei KI-Tools eingebunden werden?
Hauefig frueh, sobald Verhalten oder Leistung von Beschaeftigten betroffen sein koennen. Dann sollte die Mitbestimmung parallel zu Datenschutz, Einkauf und Security geprueft werden.
Wann reicht ein allgemeines KI-Framework nicht mehr aus?
Sobald ein konkretes Tool mit Echtdaten oder in sensiblen Workflows eingesetzt werden soll. Dann braucht es eine spezifische Anbieterpruefung, Vertragsanalyse und dokumentierte Nutzungsgrenzen.
Naechster Schritt fuer Unternehmen
Wenn Ihr Unternehmen KI in HR, Legal, Vertrieb, Support oder internen Wissenssystemen einsetzen will, sollte die Rechtspruefung vor Pilot und Einkauf beginnen. Unsere Seite zur KI-Rechtsberatung fuer Unternehmen zeigt, wie Compound Law KI-Governance, DSGVO- und AVV-Pruefung, KI-Anbieter-Due-Diligence, EU-AI-Act-Readiness und die Abstimmung mit HR und Betriebsrat in einem Mandat verbindet.
Dieser Beitrag enthaelt allgemeine rechtliche Informationen und ersetzt keine Beratung zum konkreten Einzelfall.