+499921 807780

Dr. Stefan Spörrer

Unternehmen sprießen aus dem Boden, die KI-Lösungen verkaufen – doch die rechtlichen Grundlagen bleiben erschreckend oft auf der Strecke

Derzeit erlebt der Markt für Künstliche Intelligenz einen enormen Aufschwung. Kaum ein Monat vergeht, ohne dass neue Anbieter, Beratungen oder „Experten“ KI-Lösungen für Unternehmen versprechen – vom internen Chatbot über automatisierte Prozesse bis hin zu vollständig KI-gesteuerten Geschäftsabläufen. Die Dynamik ist beeindruckend. Aus Sicht eines Datenschutzbeauftragten ist sie aber auch besorgniserregend. Denn während sich viele Anbieter auf technische Raffinesse und Marketing konzentrieren, bleiben die rechtlichen Grundlagen häufig nahezu unberührt.

Genau das ist eines der größten Risiken für Unternehmen, die solche Lösungen unkritisch übernehmen.

Warum das problematisch ist

Die Einführung eines KI-Systems ist niemals nur eine technische Entscheidung. Sie ist immer auch eine rechtliche, datenschutzrechtliche und organisatorische Herausforderung. Doch viele junge KI-Unternehmen werben damit, dass die Integration „schnell“, „unkompliziert“ oder „sofort einsatzbereit“ sei. Häufig fehlt dabei jeder Hinweis darauf, welche Pflichten Unternehmen tatsächlich haben, wenn personenbezogene Daten verarbeitet werden.

Drei typische Probleme lassen sich aktuell besonders häufig beobachten:

  1. Fehlende Klarheit über personenbezogene Daten
    Viele KI-Anbieter werben mit internen Chatbots, automatisierten Auswertungen oder Wissensdatenbanken, ohne zu erwähnen, dass dadurch zwangsläufig personenbezogene Daten verarbeitet werden. Von E-Mails über Protokolle bis hin zu Kundendaten: KI verarbeitet meist weit mehr Informationen, als Unternehmen vermuten. Ohne eine klare Rechtsgrundlage nach Art. 6 DSGVO und ohne Risikoanalyse ist der Einsatz unzulässig.
  2. Keine Risikobewertung nach DSGVO und AI Act
    Ein datenschutzkonformer KI-Einsatz setzt zwingend voraus, dass Unternehmen vorab die Risiken prüfen, insbesondere mittels Datenschutzfolgenabschätzung nach Art. 35 DSGVO. Gleichzeitig schreibt der AI Act klare Regeln zur Risikoklassifizierung und zu Dokumentationspflichten vor. Viele Anbieter erwähnen diese Pflichten nicht einmal. Dadurch entsteht der gefährliche Eindruck, KI ließe sich ohne juristische Prüfung einfach „installieren“.
  3. Missachtung grundlegender Compliance-Pflichten
    Unternehmen müssen nach Art. 5 Abs. 2 DSGVO jede Datenverarbeitung aktiv nachweisen können. Das umfasst:
    – Verarbeitungsverzeichnis,
    – TOMs,
    – Zweckbindung,
    – Löschkonzepte,
    – Speicherorte,
    – Cloud-Transfers,
    – Auftragsverarbeitungsverträge.
    Viele KI-Produkte sind jedoch so konzipiert, dass diese Anforderungen nachträglich kaum noch sauber abbildbar sind. Genau hier beginnt ein erhebliches Haftungsrisiko für Unternehmen.

Warum die aktuelle Entwicklung gefährlich ist

Der Markt wächst schneller, als die Compliance-Strukturen hinterherkommen. KI-Unternehmen drängen in den Markt, ohne die komplexen europäischen Regulierungen zu berücksichtigen. Unternehmen, die solche Lösungen einsetzen, riskieren:

  • Unzulässige Datenverarbeitung
  • Erhöhte Bußgelder
  • Verlust von Kundenvertrauen
  • Verstöße gegen AI Act und DSGVO,
  • Haftungsprobleme bei Fehlentscheidungen von KI-Systemen.
  • In einigen Fällen fehlt sogar jede Transparenz darüber, wie die KI trainiert wurde, wo Daten gespeichert werden oder ob personenbezogene Eingaben in Modelle einfließen.

Was Unternehmen jetzt tun müssen

Bevor irgendeine KI-Lösung eingeführt wird, gilt:

  • Zweck klären: Wozu wird die KI eingesetzt?
  • Rechtsgrundlage prüfen: Gibt es eine tragfähige Basis nach Art. 6 DSGVO?
  • Risikobewertung durchführen: DSGVO und AI Act verpflichten dazu.
  • Datenfluss dokumentieren: Speicherung, Empfänger, Cloud-Transfers, Zugriffe.
  • Auftragsverarbeitung absichern: Art. 28 DSGVO ist zwingend.
  • Interne Prozesse anpassen: Schulungen, Richtlinien, Rollenrechte, Löschkonzepte.

Wer diese Schritte umgeht oder sie nur oberflächlich behandelt, setzt sein Unternehmen einem unnötigen Risiko aus.

Mein Fazit als Datenschutzbeauftragter, Wirtschaftsjurist mit zusätzlichem Master of Arts in Risk and Compliance:

Es gibt hervorragende KI-Lösungen am Markt. Aber es gibt ebenso viele, die rechtlich unzureichend konzipiert sind. Unternehmen sollten sich nicht von schnellen Versprechungen blenden lassen. Eine technisch beeindruckende KI ist wertlos, wenn sie rechtlich nicht tragfähig ist.

Oder schlimmer: wenn sie Unternehmen in eine klare Haftungsfalle bringt.

Deshalb mein Appell:
KI kann enorme Chancen bieten. Aber sie braucht eine solide rechtliche Grundlage – und zwar von Anfang an. Nur wenn Technik, Recht und Compliance zusammengedacht werden, entsteht eine Lösung, die nicht nur funktioniert, sondern auch langfristig sicher und rechtskonform ist.

    Fordern Sie hier Ihre Checkliste „KI rechtssicher einführen“ bei uns an!

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Suche

    Archiv

    Kategorien

    Aktuelle Beiträge

    Tags