zum Shop

Warum Sie KI nicht verbieten sollten und welche Leitplanken Sie brauchen

mit Rechtsanwältin Esther Anna Watorowski

Darum geht's in dieser Folge

KI ist im Arbeitsalltag längst angekommen. Aber nicht immer offiziell. Die meisten nutzen sie schon, oft ohne Freigabe. Rechtsanwältin Esther Watorowski erklärt, worauf Unternehmen jetzt achten müssen und warum ein generelles KI-Verbot keine Lösung ist. Wir klären, warum kostenlose Tools problematisch sind, welche Daten niemals in einen Chatbot gehören und wann Transparenzpflichten greifen. Außerdem: Wer haftet, wenn’s schiefgeht? Und warum jedes Unternehmen jetzt eine KI-Richtlinie braucht – bevor die Mitarbeitenden im Schatten-Modus weitermachen.

Foto: privat

Esther Anna Watorowski ist Rechtsanwältin mit Schwerpunkt auf den rechtlichen Rahmenbedingungen des KI-Einsatzes, insbesondere Datenschutz, Urheberrecht und EU AI Act. Sie unterstützt Unternehmen bei der rechtssicheren KI-Nutzung und vermittelt durch Webinare und Online-Sessions praxisnahe KI-Kompetenz für den Unternehmensalltag.

Esther Watorowski auf LinkedIn

Die Realität

KI wird in Unternehmen bereits genutzt. Auch ohne Erlaubnis

Die Zahlen sprechen eine klare Sprache: Laut einer Microsoft-Umfrage aus dem Jahr 2024 verwenden 71 Prozent der Beschäftigten in Deutschland bereits KI-Tools ohne Freigabe durch das Unternehmen. Diese sogenannte Schatten-KI ist längst Realität in deutschen Unternehmen.

Das Problem: „Es ist ein bisschen so, als würde man vom Auto in eine Rakete einsteigen“, erklärt Esther Watorowski. „Wenn man in die Rakete einsteigt, dann würde man sich auch nicht sofort ans Steuer setzen, sondern erst mal überlegen: Wie gehe ich damit um, wie kann ich das unter Kontrolle halten?“ Die Herausforderung: Während Tools wie Excel oder Word z. B. datenschutzrechtlich überschaubar sind, bergen KI-Systeme völlig neue Risiken – vom falschen Umgang mit Geschäftsgeheimnissen und personenbezogenen Daten bis hin zu Urheberrechtsfragen.

Die Lösung liegt trotzdem nicht im Verbot, sondern in klaren Leitplanken. Denn eines ist sicher: Ihre Mitarbeitenden werden KI nutzen – mit oder ohne offizielle Erlaubnis.

"Die Mitarbeitenden wollen KI nutzen. Und sie werden sie nutzen. Irgendeine Alternative muss man präsentieren."
Esther Watorowski

Leitplanken im Unternehmen

Die KI-Richtlinie: Ihr wichtigstes Instrument für sichere KI-Nutzung

KI zu ignorieren oder im Unternehmen komplett zu verbieten, ist daher keine Lösung. Stattdessen sollten Unternehmen klare Leitplanken definieren. Eine interne KI-Nutzungsrichtlinie ist das zentrale Werkzeug, um Schatten-KI zu vermeiden und rechtssicher zu arbeiten. Watorowski empfiehlt: „Es sollte ein kurzes Dokument sein, ein lebbares Dokument, kein kompliziertes Pamphlet von 100 Seiten.“

Ihr Grundansatz ist dabei überraschend klar: Erst einmal alles verbieten, dann gezielt Ausnahmen schaffen. Das klingt streng, ist aber der einzige Weg, um Schatten-KI zu vermeiden.

Das Herzstück der KI-Richtlinie ist eine Whitelist: „Mindestens ein geprüftes Tool sollte man dem Team anbieten“, sagt Esther Watorowski. Genauso zentral ist die Regelung, welche Daten überhaupt hochgeladen werden dürfen. Hier macht es einen riesigen Unterschied, ob man ein On-Premise-Tool nutzt, das auf eigenen Unternehmens-Servern läuft, oder einen externen Dienst. Bei externen Tools gilt die Faustregel: keine personenbezogenen Daten, keine urheberrechtlich geschützten Werke, keine Geschäftsgeheimnisse.

Für Esther Watorowoski ist die KI-Richtlinie Chefsache. Sie gehört auf C-Level-Ebene angesiedelt, denn es geht um strategische Entscheidungen, Datenschutz und potenzielle Haftungsrisiken.

Vorlagen aus dem Internet können genutzt werden, allerdings rät sie dazu dazu, das Dokument einmal juristisch prüfen zu lassen. Denn jedes Unternehmen hat individuelle Anforderungen, besonders bei der Whitelist und den Zulassungskriterien für neue Tools.

Checkliste: Das gehört in die KI-Richtlinie

Grundsätzliches

  • Kurzes, verständliches Dokument in einfacher Sprache erstellen
  • Möglichst zeitnah einführen (nicht warten!)
  • Auf C-Level-Ebene ansiedeln
  • Juristische Prüfung durchführen lassen

Verbote & Erlaubnisse

  • Verbot der privaten Nutzung betrieblicher KI-Systeme
  • Verbot der Nutzung privater KI-Accounts
  • Whitelist mit mindestens einem geprüften Tool erstellen
  • Ausnahmen vom Verbot klar definieren

Datenregelungen

  • Festlegen, welche Daten hochgeladen werden dürfen
  • Unterscheidung zwischen On-Premise und externen Tools
  • Bei externen Tools: Keine personenbezogenen Daten, keine urheberrechtlich geschützten Werke, keine Geschäftsgeheimnisse

Prozesse & Standards

  • Ansprechpartner für neue KI-Tools benennen
  • Zulassungskriterien und Prüfprozesse definieren
  • Ethische Standards festlegen (z. B. keine Diskriminierung)
  • Beachtung von AI Act, DSGVO und weiteren Gesetzen verankern

Haftung & Schulung

  • Hinweise auf mögliche Haftungsrisiken aufnehmen
  • Konsequenzen bei Verstößen darstellen
  • Schulungsverpflichtung festlegen
  • Schriftlich dokumentieren, dass geschult wurde

Datenschutz

Was Sie über personenbezogene Daten wissen müssen

Personenbezogene Daten sind alle Informationen, die eine Person identifizieren oder identifizierbar machen. Das beginnt beim Namen und reicht über Personalausweisnummern, IBANs bis zu physischen Merkmalen. Besonders sensibel sind Artikel-9-Daten der DSGVO: politische Meinungen, religiöse Weltanschauungen, Gesundheitsdaten oder biometrische Informationen.

Das Problem: Viele nutzen KI-Tools wie eine Suchmaschine, ohne zu bedenken, dass die Systeme mit den eingegebenen Daten lernen können. „Selbst wenn ich es ausschalte, habe ich jetzt wirklich eine Garantie, dass das System niemals lernt?“, gibt Watorowski zu bedenken. Ein aktueller Fall des Datenschützers Max Schrems zeigt die Dimension: Er versuchte, sein falsch gespeichertes Geburtsdatum bei ChatGPT korrigieren zu lassen – nahezu unmöglich. „So richtig löschen, so richtig diese Betroffenenrechte durchsetzen, kann man bei so einem System schwierig.“

Für kostenlose Tools gilt: Sie bieten in der Regel keinen Auftragsverarbeitungsvertrag – eine datenschutzrechtliche Grundvoraussetzung. Aber auch kostenpflichtige Varianten sind kein Freifahrtschein. Watorowskis Faustregel für externe Tools: „Keine personenbezogenen Daten, keine urheberrechtlich geschützten Werke oder Geschäftsgeheimnisse hochladen.“

Die KI-Verordnung

Gesetzlicher Rahmen für die KI-Nutzung

Der EU AI Act ist das weltweit erste KI-Gesetz und gilt direkt in allen EU-Ländern. Er folgt einem risikobasierten Ansatz mit vier Stufen: verbotene KI, Hochrisiko-KI, begrenztes Risiko und minimales Risiko.

Verboten sind Systeme, die gegen EU-Grundwerte verstoßen wie Social Scoring oder Emotionserkennung am Arbeitsplatz. Bei Missachtung drohen hohe Geldstrafen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

Hochrisiko-KI betrifft Systeme in stark regulierten Bereichen wie kritische Infrastruktur oder Medizinprodukte sowie Systeme, die stark in Gesundheit, Sicherheit oder Grundrechte eingreifen. Hier gelten strenge Anforderungen: Risikomanagementsystem, Datengovernance, menschliche Aufsicht (Human in the Loop), Cybersecurity-Vorgaben. Verstöße kosten bis zu 15 Millionen Euro oder 3 Prozent des Umsatzes.

Die gute Nachricht: „Es sind nur etwa 5 bis 15 Prozent der KI-Systeme nach einer Auskunft der Bundesregierung, die unter diese Kategorie fallen“, erklärt Watorowski. Der Rest ist kaum reguliert. Bei begrenztem Risiko wie Chatbots gelten Transparenzpflichten. Minimales Risiko wie Spamfilter oder Videospiele bleibt praktisch unreguliert.

Ab August 2026 treten die Hochrisiko-Regelungen in Kraft. Kontrolliert wird unter anderem durch die Bundesnetzagentur und branchenspezifische Behörden wie die BaFin.

Schulung und Kompetenz

KI-Kompetenz ist Pflicht, aber flexibel umsetzbar

Der AI Act verpflichtet Unternehmen zur KI-Kompetenz bei allen Mitarbeitenden, die mit KI-Systemen arbeiten. Das klingt aufwendig, ist aber pragmatischer als gedacht. „Das ist keine Schulungspflicht, sondern eine KI-Kompetenzpflicht“, erklärt Watorowski. Der Unterschied: Sie müssen nicht zwingend externe Schulungen oder Zertifikate vorweisen.

Entscheidend ist, dass die nötige Kompetenz im Unternehmen vorhanden ist. „Es kann sein, dass einzelne Mitarbeitende die anderen mitziehen können und mittrainieren können“, so Watorowski. Auch für kleine Unternehmen ohne Budget für teure Weiterbildungen gibt es also Lösungen. Wichtig ist nur: Halten Sie fest, dass geschult wurde.

Die Pflicht gilt übrigens breiter als viele denken. Selbst wenn Sie kein generatives KI-Tool offiziell nutzen: KI steckt mittlerweile in vielen Standard-Officeprogrammen. Sobald Mitarbeitende hier KI-Anwendungen vorfinden, greift Artikel 4 der KI-Verordnung. 

Haftung & Praxis

Leitplanken statt Angst. So gelingt der sichere Einstieg

Wer haftet, wenn trotz KI-Richtlinie etwas schiefgeht? Grundsätzlich das Unternehmen. Es trägt das Risiko und ist für Arbeitsmittel und Schulungen verantwortlich. Aber: Es gibt einen innerbetrieblichen Schadensausgleich. „Wenn der Arbeitnehmer vorsätzlich oder grob fahrlässig gehandelt hat, dann besteht die Möglichkeit, dass der Arbeitnehmer haftet oder zumindest teilweise haften kann“, erklärt Watorowski. Fehlen Schulungen oder Compliance-Strukturen, können sogar Geschäftsführer persönlich mit ihrem Vermögen haften.

Doch die Expertin warnt vor übertriebener Vorsicht: „Ich glaube, diese Leitplanken sind ganz übersichtlich. So kompliziert finde ich es eigentlich gar nicht.“ Innerhalb klarer Regeln bleibt viel Raum zum Ausprobieren.

Jetzt Episode hören auf:

wvgw
Wirtschafts- und 
Verlagsgesellschaft
Gas und Wasser mbH
Josef-Wirmer-Str. 3
53123 Bonn

Tel.: +49 228 9191-40

Mo – Do: 8:00 – 17:00 Uhr
Fr: 8:00 – 14:00 Uhr

KAI.news: alle 14 Tage in Ihrem Postfach

Künstliche Intelligenz verändert Gesellschaft und Unternehmen. Unser Newsletter hilft Ihnen, diese Entwicklung einzuordnen – ohne Hype und Techniksprech, aber mit klarem Fokus auf Ihre Praxis. 

Jetzt hier kostenlos abonnieren und immer auf dem Laufenden bleiben.