Dieser Beitrag erschien zuerst in unserem Newsletter am 24. Juni 2025.

Herzlich willkommen zu unserem Newsletter #1.

Eine Frage dominiert derzeit unseren Beratungsalltag: Wie kann man künstliche Intelligenz („KI”) rechtssicher im Unternehmen einsetzen?

Die Antwort: Der zentrale rechtliche Baustein ist die KI-Richtlinie.

Die KI-Richtlinie ist Teil des Compliance-Systems und dient der Prävention, d.h. der Vermeidung von Rechtsverstößen, u.a.:

• Schutz vor Reputationsschäden des Unternehmens
• Schutz vor Haftung des Unternehmens
• Schutz vor persönlicher Haftung der Geschäftsführung

Wichtig für viele Unternehmen ist es aber auch, dass KI-Tools möglichst schnell eingesetzt werden können.

In den ersten Ausgaben unseres Newsletters wollen wir Ihnen zeigen, wie Sie in Ihrem Unternehmen eine KI-Richtlinie auf dem schnellsten Weg in drei Schritten ausrollen können.

Kurz gesagt:

Für jedes Unternehmen in Deutschland.

Ja, das hören wir häufiger, aber uns ist noch kein Unternehmen begegnet, das nicht – bewusst oder unbewusst – doch KI eingesetzt hätte.

Viele Beschäftigte verwenden heute bereits auch ohne das Wissen des Arbeitgebers z.B. ChatGPT, Midjourney, oder DeepL. Aber auch Standardsoftware wie Adobe Photoshop, Diktiersoftware, Firewalls, Anti-Viren-Systeme oder Data Loss Prevention Software verwenden heutzutage intern Künstliche Intelligenz.

In nur drei Schritten kann eine KI-Richtlinie vorbereitet, entworfen und kommuniziert werden:

1. Vorbereitung (der „Sachverhalt”)
2. Entwurf der KI-Richtlinie
3. Bekanntmachung der KI-Richtlinie

Zur Umsetzung dieser drei Schritte muss man diese drei Fragen beantworten:

1. Was will ich mit KI tun?
2. Was muss ich zur KI regeln?
3. Wie kommuniziere ich diese Regeln, damit sie gelten?

Diese Grafik zeigt den Prozess:

Im heutigen Newsletter geht es um Schritt 1: die Vorbereitungen der KI-Richtlinie.

Bevor wir damit starten, wollen wir kurz darstellen, was eine Richtlinie eigentlich ist und warum eine KI-Richtlinie für Unternehmen und insbesondere für die Geschäftsführung unverzichtbar ist.

Die Basics also.

Wenn Sie das schon wissen, dann überspringen Sie einfach diesen Teil.

Eine Richtlinie ist eine interne Regelung. 

Diese Regelung wird von der Geschäftsführung oder dem Vorstand erlassen und gibt den Beschäftigten Regeln für das Verhalten zu einem gewissen Themenkomplex vor.

In diesem Fall also das Verhalten beim Einsatz von und im Umgang mit KI.

Die KI-Richtlinie ist damit Teil des Compliance-Systems und dient der Prävention, d.h. der Vermeidung von Rechtsverstößen, u.a.: 

• Schutz vor Reputationsschäden des Unternehmens
• Schutz vor Haftung des Unternehmens
• Schutz vor persönlicher Haftung der Geschäftsführung

Sie gibt den Beschäftigten aber auch die notwendige Sicherheit beim Einsatz von KI und klärt die innovationshemmende Frage schlechthin:

„Was darf ich?”

Zum anderen ist die KI-Richtlinie ein wichtiges Instrument für die Geschäftsführung, um Ihre Pflichten zu erfüllen. 

So sieht etwa § 43 GmbHG die Haftung der Geschäftsführer und § 93 AktG die Haftung der Vorstände vor, wenn diese nicht durch eine angemessene Compliance-Organisation sicherstellen, dass die rechtlichen Vorgaben beachtet werden („Legalitätspflicht”). 

Als Teil des Compliance-Systems sind Richtlinien deshalb ein wirksames und nachweisbares Instrument zur Absicherung der Geschäftsführung.

Wir Juristen unterscheiden zwei wesentliche Bereiche: 

1. Sachverhalt
2. Rechtliche (Be-)Wertung

Der Sachverhalt ist das, was tatsächlich passiert ist (oder zukünftig oder passieren soll).

Der Sachverhalt ist die Antwort auf die Frage:

Welche Informationen werden benötigt, um die KI-Richtlinie erstellen zu können?

Sie müssen zuerst klären, was tatsächlich passiert (oder künftig passieren soll), bevor Sie eine rechtliche Bewertung vornehmen und den Entwurf der KI-Richtlinie in Angriff nehmen können.

Je besser und präziser Sie den Sachverhalt herausarbeiten, desto besser und präziser wird die rechtliche Bewertung und Ihre KI-Richtlinie.

Aus der rechtlichen Bewertung ergibt sich dann also, was Sie in der KI-Richtlinie regeln sollten.

Was also müssen Sie konkret tun, um die KI-Richtlinie vorzubereiten?

Sie müssen folgende fünf zentrale Fragen beantworten:

1. Welche KI-Systeme wollen Sie im Unternehmen einsetzen?
2. Wer ist „Anbieter” des KI-Systems?
3. Zu welchen Zwecken wollen Sie die KI-Systeme einsetzen?
4. Welche Beschäftigten sollen die KI-Systeme einsetzen?
5. Auf welche Daten dürfen die KI-Systeme zugreifen?

Hierfür stellen wir Ihnen unsere Vorlage zur Vorbereitung Ihrer KI-Richtlinie zur Verfügung (hier geht’s zum Download als DOCX-Datei).

Öffnen Sie am besten die Vorlage in einem eigenen Fenster und legen Sie den Newsletter und die Vorlage nebeneinander. Damit können Sie die Vorgehensweise am besten nachvollziehen.

Ausgangspunkt für die Vorbereitung der KI-Richtlinie ist die Frage, welche KI-Systeme eingesetzt werden sollen.

Da stellt sich nun die Frage, was ein „KI-System” eigentlich ist. 

Manchmal ist es ohnehin klar, z.B. bei ChatGPT.

Manchmal ist es aber nicht so eindeutig und man ist sich vielleicht ein wenig unsicher.

Auch die gesetzliche Definition in Art. 3 Nr. 1 KI-VO hilft nur bedingt weiter: 

„KI-System“ ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.

Wie gehen Sie mit der Frage am besten um?

Unser Rat:

Gehen Sie jedenfalls in der Vorbereitungsphase im Zweifel von einem KI-System aus und übernehmen Sie das System in die Liste.

Finden Sie nun genau heraus, wer die KI-Systeme anbietet.

Der Begriff des „Anbieters” ist in Art. 3 Nr. 3 KI-VO definiert:

„Anbieter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI‑System oder ein KI‑Modell mit allgemeinem Verwendungszweck entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer Handelsmarke in Verkehr bringt oder das KI‑System unter ihrem eigenen Namen oder ihrer Handelsmarke in Betrieb nimmt, sei es entgeltlich oder unentgeltlich;

Der „Anbieter” ist also derjenige, der ein KI-System in Verkehr bringt oder in Betrieb nimmt. Meistens sind das also Dienstleister wie OpenAI, Google oder Microsoft.

Durchforsten Sie dazu die Nutzungsverträge mit dem jeweiligen Dienstleister.

Für die rechtliche Bewertung kann es später sehr wichtig sein, zu erfahren, wo der Anbieter sitzt.

Tragen Sie deshalb den Anbieter mit Namen, Rechtsform und vollständiger Adresse ein, z.B.: „OpenAI Ireland Ltd, 1st Floor, The Liffey Trust Centre, 117-126 Sheriff Street Upper, Dublin 1, D01 YC43, Ireland”.

Laden Sie die Verträge unbedingt herunter und speichern Sie diese ab. Das wird später Teil der notwendigen Dokumentation.

Die „Zwecke” behandeln die Frage, „wozu” oder „warum” die KI-Systeme eingesetzt werden sollen.

Was ist das konkrete Ziel des Einsatzes des jeweiligen KI-Systems (es können auch mehrere, verschiedene Ziele sein)?

Klarheit hinsichtlich der Zwecke ist wichtig für die KI-Strategie, für die Prozesse und letztlich für die Compliance.

Ergänzen Sie die Liste mit Positionen und/oder Abteilungen im Unternehmen, die die KI-Systeme jeweils nutzen sollen.

Manche KI-Systeme werden möglicherweise von allen Mitarbeitern eingesetzt, andere nur von einigen ausgewählten.

Machen Sie sich hier einige Gedanken, denn eine generelle Erlaubnis für alle Beschäftigten für den Einsatz von KI ist nicht immer der richtige Weg.

Die Feststellung, welche Beschäftigten KI einsetzen sollen, hat auch praktische Auswirkungen auf den Schulungsbedarf der Beschäftigten nach Art. 4 der KI-VO. 

Aber dazu kommen wir sicher noch in den nächsten Newslettern.

Machen Sie sich Gedanken, welche Daten von den Beschäftigten in die KI-Systeme eingegeben werden dürfen und welche nicht.

Fragen Sie sich außerdem, auf welche Datenquellen ein KI-System jeweils Zugriff hat. Ein Zugriff kann direkt oder indirekt möglich sein. So kann etwa ChatGPT mittels der Suchfunktion indirekt Zugriff auf alle durch Suchmaschinen auffindbare Informationen im Internet erhalten. Dagegen hat der Copilot von Microsoft in der Regel direkten Zugriff auf sämtliche Daten, auf die der jeweilige MS 365 Nutzer auch Zugriff hat.

Diese Fragen hängen freilich eng mit den Zwecken (Frage 3) zusammen. Prinzipiell empfehlen wir, nur solche Daten zu verwenden, die für den gewählten Zweck auch erforderlich sind.

Ein wichtiges Beispiel ist die Frage, ob Beschäftigte personenbezogene Daten eingegeben dürfen bzw. ob ein KI-System Zugriff auf solche Daten erhalten soll.

Ein Verbot der Eingabe von personenbezogenen Daten entschärft datenschutzrechtliche Probleme deutlich. Das bedeutet weniger Aufwand für die Datenschutz-Compliance.

Trotzdem ist daran zu denken, dass auch bei der „bloßen Nutzung” des KI-Systems personenbezogene Daten der Beschäftigten verarbeitet werden (z.B. Accountinformationen oder Nutzungsdaten) und insofern eine datenschutzrechtliche Rechtsgrundlage nach Art. 6 DSGVO erforderlich ist.

Denken Sie auch über ein Verbot der Eingabe von Geschäftsgeheimnissen und Informationen, die etwa vertraglich der Verschwiegenheit unterliegen (NDAs), nach.

Machen Sie sich bewusst:

Die KI-Richtlinie wird Ihr Ziel nur erreichen, wenn die Beschäftigten wirklich wissen, was sie dürfen und was sie nicht dürfen. Diese Vorarbeit ist daher sehr wichtig.

Nun haben Sie das Werkzeug an der Hand, um die KI-Richtlinie vorzubereiten. 

Im nächsten Newsletter geht es weiter mit dem 2. Schritt: Der Beantwortung der Frage „Was muss ich zur KI regeln?” – Der Entwurf der KI-Richtlinie.

Wenn Sie die drei Schritte zur KI-Richtlinie für Ihr Unternehmen gerne mit unseren Anwälten von Steger & Pfahler gemeinsam gehen möchten, unterstützen wir Sie gerne im Rahmen unseres „KI Legal Starter Pakets”.

Wir bedanken uns für das Lesen unseres Newsletters und freuen uns auf Ihr Feedback (gerne an kanzlei@stegerpfahler.de).

Ihr

RA Dejan Steger
RA David Pfahler