Legal Breakfast am 17. März. Wer KI verantwortungsvoll nutzen will, muss sie verstehen: Technisch, rechtlich und organisatorisch.

Rasch wurde deutlich: Künstliche Intelligenz ist im Unternehmensalltag angekommen. Mit ihr entsteht ein regulatorisches Spannungsfeld, das schneller wächst, als viele Compliance-Strukturen Schritt halten können.

Der Einstieg war bewusst pointiert: KI kann heute Code schreiben, Bilder generieren und Texte verfassen – doch sobald es um Haftung geht, ist sie wieder ein Fall für Juristen. Genau hier setzt der regulatorische Zugriff des AI Act an: Je höher das Risiko einer Anwendung, desto dichter das Pflichtenprogramm. Besonders tückisch sind dabei Konstellationen, in denen Unternehmen „unbewusst“ in den Hochrisikobereich rutschen – etwa beim Einsatz von KI im HR-Kontext.

Teufelskreis aus Wildwuchs, Schatten-KI und fehlender Abstimmung

Ein zentrales Motiv zog sich durch den gesamten Vortrag: KI ist weder ein reines IT- noch ein reines Legal-Thema, sondern eine strategische Managemententscheidung. In der Praxis zeigt sich jedoch häufig ein anderes Bild Es entsteht ein Teufelskreis aus Wildwuchs, Schatten-KI und fehlender Abstimmung zwischen Fachabteilungen, IT und Rechtsabteilung. Ohne klare Governance-Strukturen laufen Unternehmen Gefahr, regulatorisch permanent hinterherzuhinken. Oder zugespitzt formuliert: Nichtstun ist der größte Fehler – aber unkoordiniertes Handeln ist nur unwesentlich besser.

Technologisch verschärft wird diese Gemengelage durch neue Entwicklungen wie KI-Agenten, bei denen sich Fehler entlang von Prozessketten potenzieren können. Hinzu kommt die zunehmende Angriffsfläche: Wird ein System kompromittiert, steht unter Umständen die gesamte Daten- und Entscheidungsarchitektur zur Disposition. Die klassische Frage nach der Verantwortlichkeit – Modell oder Systemumgebung – ist rechtlich wie praktisch oft schwer aufzulösen.

Ein weiterer Schwerpunkt lag auf Deepfakes und Transparenzpflichten. Die Referenten betonten, dass die rechtliche Einordnung stark von der Täuschungsabsicht abhängt. Gleichzeitig sinken die technischen Hürden, während die Qualität der Fälschungen steigt. Heute kann quasi jeder einen Deepfake generieren. Damit stellt sich eine grundsätzliche Herausforderung für das Rechtssystem, das in einer Zeit ohne synthetische Medien entstanden ist. Regulatorisch reagiert die EU mit erweiterten Transparenzanforderungen und dem Prinzip „Human in the Loop“, doch technische „Allheilmittel“ gibt es nicht. Umso wichtiger wird die unternehmensinterne Sensibilisierung – Stichwort AI Literacy.

Im Bereich Datenschutz und internationaler Datenflüsse deutete sich bereits die nächste regulatorische Baustelle an: Wenn Trainingsdaten oder KI-Services außerhalb der EU genutzt werden, rückt ein mögliches „Schrems III“-Szenario in greifbare Nähe. Unkontrollierte Datenflüsse und überprivilegierte Tools zählen hier zu den größten Risiken.

Don’t just copy, paste and ship

Dann folgten noch die Ausführungen zum Urheberrecht: Die Nutzung generativer KI wirft komplexe Fragen entlang der gesamten Wertschöpfungskette auf – von Trainingsdaten über Inputs bis hin zu Outputs. Geschützt ist dabei nicht die Idee oder der Stil, sondern die konkrete Ausformung. Gleichzeitig bleibt oft unklar, auf welchen Daten ein System tatsächlich zugreift. Für Unternehmen bedeutet das erhöhte Vorsicht, insbesondere bei der Nutzung KI-generierter Inhalte in Marketing, Kommunikation oder Softwareentwicklung. Die Empfehlung: Don’t just copy, paste and ship, also KI als Werkzeug nutzen – nicht als Ersatz für eigene schöpferische Leistung.

Auch Vertragsgestaltung und Vendor Management wurden behandelt. Klassische IT-Klauseln greifen zu kurz, wenn es um KI geht. Zentrale Fragen betreffen insbesondere den Umgang mit Daten: Werden Kundendaten für Trainingszwecke verwendet (was plausibel wäre um möglichst nah an der Praxis zu sein)? Welche Kontroll- und Auditrechte bestehen? Viele regulatorische Anforderungen lassen sich nur über entsprechend angepasste Vertragswerke entlang der Lieferkette absichern.

Schließlich spannten die Vortragenden den Bogen zur aktuellen regulatorischen Entwicklung rund um den AI Act und mögliche Deregulierungsansätze im Rahmen von „Omnibus“-Initiativen. Die Dynamik bleibt hoch und verstärkt den Handlungsdruck auf Unternehmen zusätzlich.

Das Fazit des Morgens: KI erfordert Governance. Ohne Strategie, klare Verantwortlichkeiten und strukturierte Prozesse scheitern Projekte – nicht an der Technologie, sondern an der Organisation. Gleichzeitig wird ein vollständiges Verbot im Unternehmen nicht funktionieren; dafür ist die Nutzung bereits zu tief im Arbeitsalltag verankert. Umso wichtiger sind tone-from-the-top, Leitplanken, Schulung und laufender Austausch.

Danach wurde beim Frühstück im gastlichen Ambiente noch lange weiterdiskutiert.

‍