13. Juli 2025

    ChatGPT & KI in Unternehmen: Berufliche Risiken beim Einsatz

    Der Einsatz von KI-Systemen wie ChatGPT verspricht Unternehmen erhebliche Effizienz- und Innovationsgewinne. Doch bergen solche Technologien auch erhebliche rechtliche Risiken – insbesondere im Bereich des Berufs- und Unternehmensrechts. Dieser Artikel beleuchtet die wesentlichen Gefahren und bietet Handlungsempfehlungen für eine rechtskonforme Nutzung.

     

    1. Was ist ein KI-System?

     

    In Artikel 3 Abs. 1 des EU AI Act 2024/1689 des europäischen Parlaments und des Rates heißt es:

     

    „KI-System“ ist ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können."

     

    Die verschiedenen Modelle von OpenAI fallen unter diese Definition und gehören zu den sogenannten Generativen KI-Systemen (GKI). Diese können unter Verwendung von „Prompts“ (Ein Prompt ist eine Anweisung oder eine Eingabe, die an ein KI-System gerichtet ist, um eine bestimmte Antwort oder eine Aktion zu initiieren.) basierend aus bestehenden Daten neue Inhalte erstellen – beispielsweise Dokumentenentwürfe oder Zusammenfassungen juristischer Texte. Die Nutzung von Systemen wie ChatGPT in Rechtsanwaltskanzleien wirft wichtige berufsrechtliche Fragen auf, insbesondere hinsichtlich Vertraulichkeit, Gewissenhaftigkeit und Unabhängigkeit.

     

    2. Risiken in Unternehmens‑Kontext

     

    a) Vertraulichkeit & Geschäftsgeheimnisse

    Unternehmen stehen in der Pflicht, vertrauliche Informationen und Geschäftsgeheimnisse zu schützen. Beim Upload oder API-Einsatz von Kennzahlen, Verträgen oder Produktinformationen droht ein Datenabfluss auf externe Server – mit unkalkulierbaren Folgen: Verlust des Schutzes durch das Geschäftsgeheimnisgesetz oder gar Wettbewerbsnachteile.

     

    Vorsicht ist insoweit geboten, als dass durch den unbedachten Einsatz von KI–Tools in Zusammenarbeit mit Dritten („KI‑Washing“) Urheberrechte und Geschäftsgeheimnisse gefährdet werden.

     

    b) Compliance mit EU‑Recht

    Unternehmen, die personenbezogene Daten mittels KI auswerten, müssen sowohl die Vorgaben des AI Act (z. B. Transparenzpflichten, Klassifizierung als Hoch‑ oder General‑Purpose‑KI) als auch der DSGVO (z. B. Art. 22 DSGVO bei automatisierten Entscheidungen) erfüllen

    Beispiel: KI-gestützte Lebenslaufanalyse fällt unter Hochrisiko‑Regelung. Dies macht eine DSGVO-Folgenabschätzung und eine technische Dokumentationen erforderlich.

     

    c) Sorgfaltspflicht & Haftungsrisiko

    Unternehmen haften, wenn automatisierte Auskünfte, Entscheidungsunterstützungen oder Vertragsentwürfe fehlerhaft sind. Fehlt eine qualifizierte Prüfung des KI-Outputs, kann dies als Sorgfaltspflichtverletzung gelten und z. B. zu wettbewerbsrechtlichen Konsequenzen (§ 5 UWG) oder Vertragsstrafen führen.

     

    3. Maßnahmen zur risikominimierten KI‑Nutzung

     

    a) Strategische Systemauswahl

    Unternehmen sollten bei der Auswahl von KI‑Systemen besonderen Wert auf Lösungen legen, die datenschutzkonform und sicher sind. Open‑Source‑Modelle, lokal betriebene On‑Premise‑Lösungen oder speziell für Unternehmensbedürfnisse entwickelte Systeme bieten den Vorteil, dass Daten nicht automatisch extern zur Modellverbesserung genutzt werden. Diese Varianten ermöglichen Datensouveränität und minimieren unkontrollierten Datenfluss zu Drittanbietern – ein wesentlicher Faktor zur Vermeidung von Compliance- und Geheimnisschutzrisiken.

     

    b) Daten‑Governance

    Ein durchdachtes Daten‑Governance‑System umfasst mehrere Säulen: Zunächst müssen sensible Unternehmensdaten durch Anonymisierung oder Pseudonymisierung geschützt werden, bevor sie in ein KI‑System gelangen. Dies reduziert das Risiko unbeabsichtigter Datenlecks erheblich. Zudem empfiehlt sich die Nutzung synthetischer Datensätze als Alternative, um eine realistische Nutzungssituation abzubilden, ohne den tatsächlichen Datenschutz zu gefährden. Nicht zuletzt ist eine vollständige Dokumentation aller eingesetzten KI‑Systeme erforderlich. Dabei sollten Unternehmen gezielt erfassen, welche Systeme im Einsatz sind, und anhand der Vorgaben des AI Act gemäß Art. 6 riskobasiert einstufen – insbesondere darauf achten, ob sie als Hochrisiko‑Systeme gelten oder nicht.

     

    c) Compliance‑Dokumentation

    Die Rechtskonformität jeder KI‑Lösung muss durch formale Prüfverfahren gestützt werden. Das beginnt mit einer Datenschutz-Folgenabschätzung (DSFA) gemäß Art. 35 DSGVO – und bei Hochrisiko‑KI-Systemen zusätzlich mit einer Governance-Risiko-Folgenabschätzung (GRFA) entsprechend Art. 27 AI VO. Parallel dazu muss jeder KI‑Einsatz technisch dokumentiert werden. Wesentliche Inhalte sind Umfang und Zweck der Nutzung, erkannte Limitationen sowie eingesetzte Kontrollmechanismen. Ergänzend sollten klare Betriebs‑ und Prozessrichtlinien erstellt werden, wie in Art. 13 AI VO gefordert, um Arbeitsabläufe eindeutig und nachvollziehbar zu regeln.

     

    d) Vertragliche Absicherung

    Rechtliche Klarheit lässt sich nicht zuletzt durch vertragliche Vorkehrungen sichern. Unternehmen sollten daher in AGB und internen Verträgen detailliert regeln, welche KI‑Systeme genutzt werden dürfen und wie mit resultierenden Informationen umzugehen ist. Insbesondere wenn sensible Daten im Spiel sind, sollten explizite Einwilligungsklauseln eingeholt werden – analog zu den Anforderungen an Berufsträger (§ 43e Abs. 5‑6 BRAO). Darüber hinaus sollte bei Kooperationen mit externen Dienstleistern im KI‑Bereich klar ausgewiesen sein, dass KI‑Einsatz erfolgt und welche Risiken damit verbunden sein könnten, z. B. im Rahmen von Forschungsprojekten oder Marketing‑Projekten.

     

    e) Kontrolle & Schulung

    Ein verantwortungsvoller Umgang mit KI erfordert ein regelmäßiges Monitoring der generierten Ergebnisse. Dabei liegt der Fokus sowohl auf automatisierten als auch auf manuellen Überprüfungen, um Fehler frühzeitig zu erkennen und Haftungsrisiken zu minimieren. Zugleich ist eine umfassende Schulung der Mitarbeitenden essenziell: Nur wer die datenschutz‑ und compliance-relevanten Grenzen der KI‑Nutzung kennt, kann diese sicher und vorschriftsgemäß einsetzen .

     

    4. Fazit

    KI-Systeme können Unternehmen ein starkes Digitalisierungspotenzial eröffnen – gleichzeitig sind die Risiken nicht von der Hand zu weisen. Insbesondere der Umgang mit vertraulichen Informationen, die Compliance mit EU‑Regeln und die Vertragsgestaltung spielen eine zentrale Rolle. 

    Eine sichere KI-Nutzung erfordert:

    1. bewusst gewählte technische Lösungen
    2. umfassende Daten‑ und Risiko‑Governance
    3. rechtssichere Dokumentation
    4. vertragliche Absicherung
    5. Schulungen und manuelle Kontrolle

     

     

    "ChatGPT & KI in Unternehmen: Berufliche Risiken beim Einsatz"

    von Odysseas Anastasiadis, wissenschaftlicher Mitarbeiter

    Tags: ki, künstliche intelligenz