Skip to main content

Digitalisierung im Mittelstand: Tipps & Tools von M2BC

Digital digest

Digital nachgefragt: KI im Unternehmen ohne Richtlinien? Dann viel Glück vor Gericht

Künstliche Intelligenz verändert die Arbeitswelt – doch ohne klare Richtlinien wird der Einsatz zur rechtlichen Zeitbombe. Unternehmen, die KI ohne festgelegte Vorgaben nutzen, riskieren Datenschutzverletzungen, Urheberrechtskonflikte und hohe Bußgelder. Die neue EU-KI-Verordnung (AI Act) verschärft die Anforderungen: Wer KI-Systeme ohne Compliance-Check einsetzt, kann mit Strafen von bis zu 7 % des weltweiten Jahresumsatzes oder 35 Millionen Euro rechnen. Ein klarer Handlungsbedarf für alle, die KI produktiv und rechtssicher nutzen wollen.

Warum Unternehmen ohne klare KI-Richtlinien hohe Risiken eingehen – und wie Sie sich jetzt absichern können  

Einleitung: KI im Unternehmen ohne Vorgaben – eine tickende Zeitbombe

Unternehmen setzen seit Jahren zunehmend auf KI-basierte Anwendungen, um Prozesse zu automatisieren, Entscheidungsfindungen zu beschleunigen und Wettbewerbsvorteile zu sichern. Doch dieser rasche Wildwuchs birgt erhebliche rechtliche Risiken: Ohne klar definierte Richtlinien für den Einsatz von KI drohen Datenschutzverletzungen, Urheberrechtsstreitigkeiten oder sogar Sanktionen aus der aktuellen EU-KI-Verordnung (AI Act). Gerade mittelständische Unternehmen mit mehr als 1 000 Mitarbeitenden und einem Jahresumsatz über 30 Mio. € sehen sich vor der Herausforderung, einerseits schnell KI-Potenziale zu nutzen und andererseits die Compliance-Anforderungen zu erfüllen.

In dieser Ausgabe unseres Newsletters „Digital Digest“ beleuchten wir die aktuellen Herausforderungen für den gehobenen Mittelstand und Großunternehmen, erläutern, warum fehlende KI-Vorgaben teuer werden können, und geben praxisnahe Empfehlungen, wie Unternehmen sich rechtzeitig absichern.

Aktueller Rechtsrahmen: Die EU-KI-Verordnung (AI Act)

 1. Wesentliche Eckdaten und Zeitplan 

Der AI Act ist am 1. August 2024 in Kraft getreten und wird in mehreren Stufen vollständig wirksam. So traten bereits am 2. Februar 2025 bestimmte Prohibitions- und Informationspflichten in Kraft, und ab dem 2. August 2025 gelten Regelungen für General-Purpose-AI-Modelle, während High-Risk-AI-Systeme bis zum 2. August 2027 in den Mitgliedstaaten vollständig implementiert sein müssen.

2. Risikobasierter Ansatz

Der AI Act unterscheidet vier Risikokategorien:

  • Unacceptable Risk: KI-Anwendungen, die eine klare Gefahr für Sicherheit, Grundrechte oder demokratische Werte darstellen (z. B. Social Scoring oder automatisierte Emotionserkennung am Arbeitsplatz), sind verboten.
  • High Risk: KI-Systeme in sicherheitsrelevanten oder hochsensiblen Bereichen (etwa kritische Infrastrukturen, HR-Rekrutierung oder Kreditwürdigkeitsprüfungen) unterliegen strikten Anforderungen wie Konformitätsbewertungen, menschlicher Aufsicht und regelmäßigen Risikoanalysen.
  • Limited Risk: Systeme mit moderaten Risiken, darunter Chatbots, müssen transparente Kennzeichnungspflichten erfüllen (z. B. Nutzer:innen müssen erkennen können, dass sie mit einer KI interagieren).
  • Minimal or No Risk: Anwendungen, die kaum Risiko bergen, sind weitgehend unreguliert.

Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen daher anhand einer Risikoanalyse kategorisieren und entsprechende Maßnahmen einleiten.

Herausforderungen für Mittelstand und Großunternehmen

1. Unkontrollierte KI-Einsätze: Praxisbeispiele und Probleme

sTäglich entstehen neue KI-Use-Cases – vom Chatbot-Support über Predictive Maintenance bis hin zu Bild-Analysetools in der Qualitätskontrolle (z. B. in der Automotive-Fertigung).Ein beliebtes Beispiel ist der Einsatz von Chatbots im Kundenservice, um Anfragen automatisch zu beantworten und die Erreichbarkeit zu erhöhen. Gleichzeitig verlangen EU-Vorgaben, dass Chatbots eindeutig als KI deklariert werden und Nutzerdaten DSGVO-konform verarbeitet werden. Fehlen interne Richtlinien, wird häufig nicht ausreichend geprüft, ob die genutzten Trainingsdaten rechtmäßig sind (z. B. lizenzierte Datensätze oder personenbezogene Informationen).

2. Datenschutz und DSGVO-Konformität

KI-Modelle verarbeiten große Datenmengen, darunter oft personenbezogene Daten, um Vorhersagen zu treffen oder Texte zu generieren. Ohne klare Vorgaben entstehen erhebliche Datenschutzrisiken: Werden zum Beispiel Kundeninteraktionen über Chatbots protokolliert und anschließend für KI-Training verwendet, kann dies gegen Artikel 5 und 6 der DSGVO verstoßen, wenn keine Einwilligung vorliegt oder kein angemessenes Datenmanagement erfolgt . Aufgrund fehlender Transparenz lässt sich nicht immer nachverfolgen, aus welcher Quelle Daten stammen – das Risiko von Datenpannen und kostspieligen Bußgeldern steigt .

3. Urheberrechtskonflikte und geistiges Eigentum

Viele KI-Systeme greifen auf große, oft öffentlich verfügbare Datensätze zurück (Texte, Bilder, Code). Fehlen klare Richtlinien für die Validierung der Urheberrechte, drohen Klagen von Rechteinhabern, insbesondere wenn KI-generierte Inhalte kommerziell genutzt werden. So hat etwa der europäische Gerichtshof bereits mehrfach betont, dass das Training von KI-Modellen an urheberrechtlich geschütztem Material ohne entsprechende Lizenz problematisch ist . Lizenzen und Nutzungsrechte müssen daher explizit geprüft und dokumentiert werden.

4. Haftungsfragen und Reputationsrisiken

Wenn KI-Systeme unvorhersehbare Entscheidungen treffen – sei es bei Kreditentscheidungen, Diagnosen oder automatisierten HR-Entscheidungen – stellt sich stets die Frage nach der Haftung: Wer haftet, wenn KI-Entscheidungen zu Schäden führen? In vielen Fällen lassen sich Verantwortlichkeiten ohne klare Governance-Strukturen kaum festlegen. Dies kann zu langwierigen Rechtsstreitigkeiten und erheblichen Reputationsverlusten führen, gerade in Branchen wie Automotive und Insurance, in denen Präzision und Compliance essenziell sind .

Warum fehlende Richtlinien teuer werden können

1. Bußgelder und Sanktionen

Gemäß AI Act drohen bei Verstößen gegen Vorgaben besonders hoher Bußgelder: Für schwerwiegende Verstöße bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstöße gegen Transparenzpflichten (z. B. fehlende Kennzeichnung von Chatbots) können bis zu 20 Mio. € oder 4 % des Jahresumsatzes verhängt werden

2. Kosten durch Reputationsschäden

Falls eine KI-Lösung fehlerhafte Entscheidungen trifft – etwa im Underwriting-Prozess einer Versicherung – und Kund:innen dadurch Schäden erleiden, ist nicht nur die rechtliche Haftung relevant, sondern auch der Imageschaden, der zu Umsatzrückgängen führen kann.

3. Verlust von Wettbewerbsvorteilen

Unternehmen, die sich rechtzeitig um ein umfassendes KI-Governance-Framework kümmern, profitieren von einem raschen, aber sicheren Einsatz neuer Technologien und können so Innovationen schneller monetarisieren. Wer jedoch auf spontane „Proof of Concept“-Projekte ohne klare Richtlinien setzt, läuft Gefahr, bei regulatorischen Prüfungen ins Hintertreffen zu geraten und Spätfolgen schwer abfedern zu können.

Unsere Managementperspektive: Kreativität und Compliance Hand in Hand

M2BC-Perspektive: Der Mensch als entscheidende Zutat

Als Führungskraft stehen Sie vor der Aufgabe, Innovationsdruck und Regulatorik gleichermaßen zu meistern. KI-Projekte sind keine rein technische Angelegenheit, sondern strategische Initiativen, die Unternehmenskultur, Prozesse und Governance verändern. Unser Management-Framework hilft Ihnen dabei, den Spagat zwischen Agilität und Rechtssicherheit zu schaffen:

  1. Strategische Verankerung
    Vision & Ziele: Legen Sie gemeinsam mit Executive Board und Bereichsleitern fest, welche Business-Outcome-Ziele Sie mit KI erreichen wollen (etwa Effizienzsteigerung, neue Geschäftsmodelle, bessere Kundenbindung).
    Risikotoleranz: Definieren Sie auf Management-Ebene eine klare Risikostrategie: In welchen Bereichen dürfen Sie experimentieren, wo sind strikte Kontrollen nötig?

  2. Governance-Struktur
    KI-Lenkungsausschuss: Richten Sie ein Steering Committee ein, das regelmäßig KI-Use-Cases prüft, Freigaben erteilt und Eskalationen steuert. Binden Sie dabei Compliance, IT, Datenschutz und Business Stakeholder ein.
    Entscheidungspfade: Etablieren Sie transparente Entscheidungsprozesse („Who decides what?“), damit sowohl technische als auch rechtliche Fragen in einem abgestimmten Gremium beantwortet werden.

  3. Kultur & Change Management
    Psychologische Sicherheit: Fördern Sie eine Fehlerkultur, in der Mitarbeitende Fehlentwicklungen offen ansprechen können, bevor sie in die Produktion gehen.
    Cross-funktionale Teams: Setzen Sie multidisziplinäre Projektteams auf, in denen Data Scientists, Juristen, Fachexperten und Change Manager gemeinsam arbeiten – so entstehen Lösungen, die sowohl innovativ als auch regelkonform sind.

  4. Governance-Tools & Metriken
    Dashboards & KPI: Definieren Sie Kennzahlen wie Anzahl der durchgeführten Impact-Assessments, Compliance-Score Ihrer Modelle oder durchschnittliche Time-to-Compliance eines neuen Use-Cases.
    Audit-Trails: Sorgen Sie dafür, dass jede KI-Entscheidung lückenlos dokumentiert ist – von den Datensätzen über Modell-Versionen bis hin zu Freigabeprotokollen.

  5. Investition & ROI
    Budgetierung: Planen Sie nicht nur für Technologie- und Lizenzkosten, sondern auch für Schulungen, externe Audits und juristische Begleitung.
    Wertbeitrag messen: Erfassen Sie den Mehrwert Ihrer KI-Projekte anhand konkreter Business-Kennzahlen (z. B. Kosten­einsparungen, Umsatzzuwachs, höhere Kundenzufriedenheit).

  6. Kontinuierliche Weiterentwicklung
    Review-Zyklen: Etablieren Sie halbjährliche Strategy Reviews, um Ihr KI-Portfolio auf neue regulatorische oder technologische Entwicklungen abzustimmen.
    Best-Practice-Sharing: Richten Sie Knowledge-Hubs ein, in denen erfolgreiche Use-Cases und Lessons Learned unternehmensweit verfügbar sind – so profitieren alle Bereiche von Ihrem Fortschritt.

Unsere Haltung bei M2BC: KI muss in den Arbeitsalltag integriert werden wie ein Kollege – mit klarer Rolle, Aufgaben und einem Verständnis für seine Stärken und Grenzen. Wer glaubt, einfach ein Tool „draufzuschalten“, ohne die Organisation mitzunehmen, wird scheitern.

Wir glauben: Unternehmen brauchen mehr Klarheit statt Vielfalt. Weniger Tool-Hopping, mehr Fokus. Und sie brauchen Räume, in denen ausprobiert werden darf. In denen Fehler erlaubt sind. Dort entstehen die produktivsten Lösungen – nicht im stillen Kämmerlein, sondern im echten Doing.

Unser Rat: Starten Sie klein, kommunizieren Sie offen – und vergessen Sie nie: Die besten KI-Ideen kommen selten von der Technikabteilung. Sondern oft von einer Kollegin, die eine lästige Aufgabe einfach nicht mehr machen möchte und sagt: „Kann das nicht auch eine KI übernehmen?“

Learn how we can BOOST your business now.

Free initial consultation

As independent experts for digital business and agile transformation, we show you appropriate solutions according to your requirements, available budgets and IT conditions – many of which are also eligible for federal and state funding.

Book a meeting

Handlungsempfehlungen: So vermeiden Sie die rechtliche Zeitbombe

Wie können Unternehmen nun ganz praktisch mit der unüberschaubaren KI-Vielfalt umgehen, ohne in Entscheidungsstarre zu verfallen?

Die folgenden Tipps helfen, Struktur in das KI-Thema zu bringen und die Einführung Schritt für Schritt zu meistern:

1. KI-Governance-Framework etablieren

  • Risikoklassifizierung: Identifizieren Sie sämtliche KI-Projekte und klassifizieren Sie sie nach dem AI Act (Unacceptable, High, Limited, Minimal).
  • Dokumentation und Transparenz: Legen Sie fest, welche Datenquellen für Training und Inferenz genutzt werden. Belegen Sie, dass für Chatbots und andere Limited-Risk-Anwendungen die Nutzer:innen über den KI-Einsatz informiert werden.
  • Verantwortlichkeiten klären: Definieren Sie Rollen für Data Protection Officer (DPO), KI-Entwickler:innen, Compliance-Teams und Management, damit im Fehlerfall klar ist, wer welche Entscheidungen verantwortet.

2. Datenschutz und Urheberrecht

  • Datenschutz-Audit: Führen Sie ein Audit durch, um zu prüfen, ob KI-Datenverarbeitungsprozesse DSGVO-konform sind. Achten Sie auf Einwilligungen, Zweckbindung und Löschkonzepte.
  • Lizenzprüfung: Überprüfen Sie, ob alle Trainingsdaten urheberrechtlich unbedenklich sind. Legen Sie klare Richtlinien fest, welche Datensätze genutzt werden dürfen.
  • Vertragsgestaltung: Ergänzen Sie Lieferanten- und Partnerverträge um KI-spezifische Klauseln, die Haftungs- und Lizenzfragen regeln.

3. Technische und organisatorische Maßnahmen

  • KI-Impact-Assessments: Erstellen Sie für jedes High-Risk-System eine systematische Bewertung der potenziellen Auswirkungen auf Menschenrechte, Datenschutz und Ethik.
  • Human-in-the-Loop: Implementieren Sie Mechanismen, die menschliche Überprüfungen von KI-Entscheidungen ermöglichen, um Bias und Fehlfunktionen zu minimieren.
  • Monitoring und Updates: Führen Sie kontinuierliche Prüfungen der KI-Modelle durch, um Drift zu erkennen und das Modell alle 6 Monate neu zu evaluieren.

4. Schulung und Sensibilisierung

  • Workshops und E-Learnings: Schulen Sie Entwickler:innen, Data Scientists und Fachabteilungen in den rechtlichen Grundlagen der KI und in Best Practices zur Datensicherheit.
  • Awareness-Kampagnen: Informieren Sie regelmäßig Mitarbeitende per Intranet-Posts oder Kurzvideos über aktuelle rechtliche Entwicklungen (z. B. neue AI-Act-Guidelines).

Risiko:  Warum Unternehmen jetzt handeln müssen

  • Rechtliche Risiken minimieren
    Die AI Act verpflichtet Unternehmen, KI-Systeme zu klassifizieren und entsprechende Compliance-Maßnahmen zu ergreifen. Ohne interne Richtlinien drohen hohe Bußgelder und Haftungsrisiken.
  • Datenschutz und Urheberrecht wahren
    Ohne klare Vorgaben können KI-Systeme unbeabsichtigt personenbezogene Daten verarbeiten oder urheberrechtlich geschützte Inhalte nutzen, was zu rechtlichen Auseinandersetzungen führen kann.
  • Vertrauen schaffen
    Eine transparente KI-Strategie stärkt das Vertrauen von Kunden, Partnern und Aufsichtsbehörden. Unternehmen, die KI verantwortungsvoll einsetzen, positionieren sich als Vorreiter in Sachen Compliance und Ethik.

Tags:

Close Menu