Für kurze Zeit: SWPplus für 1 €
E-Paper

SONNTAG Group
KI-Tools rechtssicher im Unternehmen einführen

AnzeigeKünstliche Intelligenz eröffnet Unternehmen enorme Möglichkeiten; ihr Einsatz wirft aber auch viele offene Rechtsfragen auf.
Von
pm
Ulm
Julian N. Modi (links), Partner und Rechtsanwalt bei SONNTAG. Nils Luks (rechts), Business Development Manager bei SONNTAG IT Solutions

Julian N. Modi (links), Partner und Rechtsanwalt bei SONNTAG. Nils Luks (rechts), Business Development Manager bei SONNTAG IT Solutions.

SONNTAG

Ob zur Automatisierung, zur Qualitätsverbesserung oder Erschließung neuer Geschäftsfelder: Künstliche Intelligenz eröffnet Unternehmen enorme Möglichkeiten; ihr Einsatz wirft aber auch viele offene Rechtsfragen auf. Insofern braucht es mit wachsender Verbreitung von KI-Anwendungen einen einheitlichen regulatorischen Rahmen, der mit dem sogenannten EU AI Act geschaffen wurde. Verstöße dagegen treffen die oft unterschätzte Schnittstelle zwischen Recht, IT-Abteilung und Unternehmensführung hart. Wir zeigen auf, worauf Unternehmen beim KI-Einsatz achten sollten.

Wie drei Rollen maßgeblich zu KI-Compliance beitragen

Die Verantwortung für den KI-Einsatz im Unter- nehmen, rechtlich wie strategisch, trägt die Unternehmensführung. Ihre IT-Abteilung muss KI-Systeme so klassifizieren, dokumentieren und betreiben, dass alle Anforderungen nachweislich erfüllt werden.

In der Praxis votiert die Geschäftsführung oft für KI-Tools, ohne alle technischen und rechtlichen Anforderungen zu kennen. Die IT-Abteilung setzt Entscheidungen ohne saubere Dokumentation um. Das Unternehmen steuert damit auf regulatorische Lücken mit nicht unerheblichen Haftungsrisiken zu. Denn erst das integrierte Trio aus rechtlicher Expertise, Compliance-Know- how und technischer Umsetzung macht einen Betrieb KI-sicher. Die SONNTAG Group verbindet diese Kompetenzen in der Praxis, durch Beratung in rechtlichen Themen und technische Implementierung von KI Use Cases. Auch kostenfreie SONNTAG Webinare, etwa zum EU AI Act, geben Antworten auf aktuelle unternehmerische Herausforderungen.

Das Risikomodell des EU AI Act

Der EU AI Act verfolgt einen risikobasierten Ansatz und teilt KI-Systeme in vier Klassen. Je höher das Risiko, desto umfangreicher die Pflichten und desto stärker sind IT, Recht und Management gefordert:

  • Unannehmbares Risiko (Klasse 1): Verbotene Systeme – z. B. manipulative KI, Social Scoring oder Emotionserkennung an Schulen. Kein Einsatz.
  • Hohes Risiko (Klasse 2): HR, Bonitätsbewertung, Medizin. Strenge Transparenz-, Dokumentations- und Prüfpflichten. Enge Verzahnung von IT und Compliance erforderlich.
  • Begrenztes Risiko (Klasse 3): Chatbots, virtuelle Assistenten, KI-Inhalte. Transparenzpflichten gegenüber Nutzern – je nach Anwendung auch höheres Risiko möglich.
  • Minimales Risiko (Klasse 4): Weitgehend unreguliert. Ohne Tool-Überblick keine Sicherheit über die Risikoklasse.

Was der EU AI Act in der Praxis verlangt

Der EU AI Act unterscheidet zwischen den Rollen der Anbieter (entwickelt und vermarktet KI) und Betreiber (setzt fremde KI beruflich ein). Für Unternehmen, die KI lizenzieren, ist fast nur die Betreiberrolle relevant.

Anbieterpflichten wie technische Dokumentation, Risikomanagement oder Daten-Governance müssen Betreiber nicht selbst erfüllen. Sie müssen aber gewissenhaft und nachweisbar prüfen, ob ihr Anbieter sie erfüllt.

Zeitplan für die Betreiberpflichten:

  • Februar 2025: Verbotene KI-Systeme (Art. 5 EU AI-Act) dürfen nicht eingesetzt werden.
  • August 2025: KI-Kompetenz der Mitarbeitenden (Art. 4 EU AI-Act) nachweisbar sicherstellen und dokumentieren.
  • August 2026: Pflichten für Hochrisiko- Systeme (Art. 26 EU AI-Act): zweckgemäßer Einsatz, menschliche Aufsicht, Überwachung, Protokollierung und Meldung schwerwiegender Vorfälle.

Für Chatbots und KI-generierte Inhalte gilt die Transparenzpflicht (Art. 50 EU AI-Act): Nutzer müssen erkennen, dass sie mit KI interagieren.

Die allgemeine Grundlage bildet eine Inventarisierung vorhandener KI-Anwendung. Ohne eine strukturierte Übersicht über alle eingesetzten Systeme, Datenflüsse und Risikoklassen ist keine Klassifizierung, und damit rechtskonformes Verhalten (Compliance), möglich.

KI souverän betreiben

Neben regulatorischen Anforderungen müssen IT-Abteilungen die zentrale Frage beantworten: Welche Daten verlassen das Unternehmen bei der KI-Nutzung? Öffentliche Dienste wie ChatGPT bieten ohne Enterprise-Vertrag keine vertragliche Garantie über den Datenverbleib. Bei Kundendaten, Vertragsdetails oder Geschäftsgeheimnissen keine akzeptable Ausgangslage, und aus Sicht der KI-VO machen unkontrollierte Datenflüsse die Betreiberpflichten nach Art. 26 faktisch nicht erfüllbar: Wer nicht weiß, wohin Daten fließen, kann weder Zweckbindung noch Überwachung nachweisen. IT-Abteilungen müssen also kontrollierte Alternativen bereitstellen.

Drei alternative Wege für Ihre KI

  • Bestehende Cloud-Infrastrukturen nutzen: KI-Modelle von Hyperscalern wie Microsoft als isolierter Dienst im Unternehmenstenant. Mit EU-Rechenzentren, vertraglichem Ausschluss der Trainingsnutzung, direkter Integration in bestehende Zugriffssteuerung und Logging-Infrastruktur. Wer in der Umgebung arbeitet, schafft schnell eine konforme Alternative, die die KI-VO-Protokollierungsanforderungen erfüllt
  • Europäische Cloud-Anbieter unter europäischem Recht: Sie ermöglichen den Betrieb leistungsfähiger Open-Source-Sprachmodelle ohne nicht-europäische Anbieter. Vor allem für Branchen mit hohen Datenschutzanforderungen und kritischer Rechtsgrundlage für Datenübermittlungen interessant.
  • Das eigene Rechenzentrum: Open-Source-Modelle auf der eigenen Hardware betreiben. Diese wird mit browserbasierter Benutzeroberfläche zur internen KI-Umgebung, die für Mitarbeitende so einfach nutzbar ist wie externe Dienste – ohne dass Daten das Unternehmensnetzwerk verlassen. So bleiben Datenflüsse und Systemverhalten transparent.

SONNTAG Group

Julian N. Modi julian.modi@sonntag-partner.de

Nils Luks nils.luks@sp-it.de

Syrlinstraße 38
89073 Ulm
www.sonntag-partner.de