Partnertreffen zum Thema KI und Recht

Künstliche Intelligenz bietet für Unternehmen und Startups enormes Potenzial – sei es für effizientere Arbeitsabläufe, innovative Geschäftsmodelle oder neue kreative Möglichkeiten. Gleichzeitig tauchen bei der Verwendung von KI zahlreiche Fragen und Unsicherheiten auf. Grund genug für DAS KOMMT AUS BIELEFELD in Kooperation mit dem Startup-Paket der WEGE die Thematik „KI und Recht“ in Bezug auf Urheberrecht und Datenschutz sowie die europäischen Regularien des EU-AI-Acts näher zu beleuchten. Rechtsanwältin Nora Loof, Fachanwältin für Urheber- und Medienrecht und zertifizierte Datenschutzbeauftragte, sowie Rechtsanwalt Johannes Brückmann von der Wirtschaftskanzlei Streitbörger gaben praxisnahe Überblicke über die zentralen rechtlichen Anforderungen beim Einsatz von Künstlicher Intelligenz.

Zwischen Datenschutz und Urheberrecht

Künstliche Intelligenz ist für viele Unternehmen vom Experimentierfeld zum alltäglichen Werkzeug geworden. Ob Texte, Bilder oder Musik: Generative KI produziert Inhalte in Sekunden – und wirft gleichzeitig drängende rechtliche Fragen auf. Was ist erlaubt, was ist geschützt? Und worauf müssen Unternehmen wirklich achten?

„Das Urheberrecht schützt kreative Werke von Menschen“, stellt Fachanwältin Nora Loof klar. „Texte, Bilder oder Musik, die von einer KI generiert und unverändert übernommen wurden, sind nicht urheberrechtlich geschützt.“ „Wenn der Mensch das KI-Ergebnis weiterbearbeitet, kann daraus allerdings unter Umständen ein schützenswertes Werk entstehen. Allerdings erst dann, wenn eine bestimmte Schöpfungshöhe erreicht wurde. „Ein Werk muss sich vom ,Normalen‘ abheben“, so Nora Loof.

Sobald die KI mit geschützten Werken interagiert – oder Ergebnisse generiert, die bereits bestehenden Werken ähneln – kann es in puncto Urheberrecht kompliziert werden. Inhalte mit klar erkennbaren Bezügen zu einem Künstler oder Künstlerin, einer Marke oder einem geschützten Werk können schnell als Rechtsverletzungen gewertet werden. „Es ist wichtig zu wissen, dass der Urheber immer Urheber bleibt. Es können lediglich Lizenzen übertragen werden“, betont die Anwältin. „Man darf nicht einfach ein KI-geniertes Bild veröffentlichen, das stark an das Werk eines lebenden Künstlers erinnert. Man benötigt dafür eine entsprechende Lizenz bzw. Zustimmung des Urhebers.“ Anders verhält es sich bei freigegebenen oder gemeinfreien Werken, hierbei muss der Tod des Urhebers mindestens 70 Jahre zurückliegen. Deshalb darf eine KI auch problemlos beispielsweise Bilder Van Goghs reproduzieren.

Data-Mining grundsätzlich erlaubt

Das Training von KI-Systemen ist rechtlich möglich. Grundsätzlich erlaubt das Urheberrecht sogenanntes Text- und Data-Mining, es sei denn, der Rechteinhaber widerspricht ausdrücklich. Nora Loof rät Künstlerinnen und Künstlern ausdrücklich zu diesem Opt-out. Besonders heikel wird es dann, wenn KI-Systeme geschützte Inhalte ohne Erlaubnis reproduzieren.

Unternehmen müssen daher prüfen, welche Inhalte sie einer KI zur Verfügung stellen – und welche Ergebnisse sie später veröffentlichen. Besonders riskant ist der Einsatz von KI-generierten Inhalten, wenn beispielsweise Bilder den Stil, Figuren oder markenrechtlich geschützte Elemente bekannter Künstler nachahmen, Texte urheberrechtlich geschützte Passagen enthalten oder Musik charakteristische Sequenzen kopiert. In all diesen Fällen besteht ein erhöhtes Risiko, gegen bestehende Schutzrechte

Schon kleine Übereinstimmungen können Probleme auslösen und zu teuren Abmahnungen führen. Insgesamt empfiehlt es sich, die Urheberschaft zu überprüfen, bevor man Texte, Musik oder Bilder veröffentlicht. „Oft merken Unternehmen gar nicht, dass sie eine Rechtsverletzung begehen. Aber

sie sind am Ende diejenigen, die haften. Denn Unwissenheit schützt nicht vor Strafe.“

Trotzdem bleiben sehr viele Fragen offen, die künftig Gerichte beschäftigen werden. Wie beweise ich beispielsweise, dass ich einen Text geschrieben habe und nicht eine KI? Wer definiert die Schöpfungshöhe, die ein Werk erst schützenswert macht? Welchen Anteil an KI und welchen menschlichen Anteil muss ein Werk haben? Sind eventuell sogar Prompts eine schützenswerte kreative Leistung? „KI verändert die Kreativität“, sagt Nora LoofUnd vielleicht brauchen wir zukünftig auch neue Parameter, wie wir den Wert unserer Arbeit bemessen. Wenn beispielsweise künftig das Aufsetzen eines Arbeitsvertrags durch eine KI viel schneller erledigt werden könnte. „Noch sind die KIs im juristischen Bereich vergleichsweise fehleranfällig, aber das könnte sich bald ändern“, wagt Nora Loof einen Blick in eine nicht allzu ferne Zukunft. „Sind Stundenhonorare dann noch zeitgemäß? Der Wert unserer Arbeit entsteht durch Klarheit, Kohärenz, kreative Ausrichtung und nicht durch den Zeitaufwand.“

Datenschutz

Während das Urheberrecht vor allem die Werke schützt, schützt die DSGVO die Menschen. „Unternehmen dürfen personenbezogene Daten nur nach strengen Regeln verarbeiten, weil Menschen uns vertrauen“, erklärt Nora Loof die Bedeutung der Verordnung. Entscheidend ist: Nur personenbezogene Daten fallen unter die DSGVO. Unternehmensdaten wie „XY GmbH“ sind unkritisch. Sobald aber Namen, E-Mail-Adressen, Telefonnummern oder Fotos ins Spiel kommen, gilt strenges Datenschutzrecht. Gemäß der DSGVO ist die Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt, es sei denn, es ist im Gesetz anders geregelt. Die Datenverarbeitung ist unter folgenden Voraussetzungen erlaubt:

– mit Einwilligung

– zur Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen

– zur Erfüllung einer rechtlichen Verpflichtung

– zum Schutz lebenswichtiger Interessen

– zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt

– zur Wahrung berechtigter Interessen

Dabei sind an jeden einzelnen Aspekt weitere Bedingungen geknüpft. So muss die „Einwilligung“ z. B. freiwillig, nach vorheriger Information, eindeutig, nachweisbar, widerrufbar und vor der Verarbeitung der Daten erfolgen. Da Fotos von Mitarbeitenden personenbezogene Daten darstellen, ist eine Einwilligung nötig, wenn Unternehmen sie z. B. auf ihrer Website oder auf Social Media veröffentlichen möchten. Eine im Arbeitsvertrag verankerte Zustimmung gilt in der Regel nicht als freiwillig, weil sie unter dem Druck des Bewerbungs- oder Beschäftigungsverhältnisses steht. Wie

Das Verarbeiten personenbezogener Daten ist zur Erfüllung einer rechtlichen Verpflichtung erlaubt, wenn gesetzliche Aufbewahrungsfristen bestehen. Wichtig ist, dass spätestens beim Ausscheiden von Mitarbeitenden, die Daten von Mitarbeitenden gelöscht werden, die nicht aufbewahrt werden müssen, wie beispielsweise Abmahnungen.

Was ist ein berechtigtes Interesse?

Eine weitere Ausnahme vom Verbot der Verarbeitung personenbezogener Daten bildet das sogenannte „berechtigte Interesse“. Folgende Fragen sind hierbei relevant:

Was ist das Ziel der Datenverarbeitung?

Ist die Verarbeitung erforderlich für das Ziel?

Welches Interesse hat der Verantwortliche?

Welches Interesse hat der Betroffene?

Abwägung der beiden Interessen

Insbesondere der Punkt: Interesse des Betroffenen bietet sehr viel Stoff für Diskussionen. So dürfen Unternehmen niemals ohne Einwilligung Werbung per Mail schicken. Das könnte neben datenschutzrechlichen Problemen auch als Störung des Geschäftsprozesses gewertet werden und kann zu einem Unterlassungsanspruch führen. Wenn jemand aber beispielsweise auf LinkedIn angeschrieben würde, könnte das anders gewertet werden, weil allein der Account bei diesem Netzwerk zeigt, dass ein Interesse an einer Kontaktaufnahme besteht. „Es kommt immer darauf an“, sagt Nora Loof und bringt damit einen unter Jurist:innen sehr gebräuchlichen Satz: Der Kontext entscheidet, ob eine Rechtsverletzung vorliegt. „Eine Kaltakquise ist aus juristischer Perspektive kaum sauber machbar“, betont die Fachanwältin. Weniger kompliziert erscheint da die KI-Nutzung im Hinblick auf die DSGVO. Personenbezogene Daten, wie Namen und Adressen von Kund:innen, Mitarbeitende, Lieferant:innen oder Gesundheitsdaten sowie sensible Unternehmensdaten sollten generell nicht eingespeist werden. Denn viele KI-Dienste verarbeiten Eingaben auf Servern außerhalb der EU. Die Modelle/Provider sollten vor ihrem Einsatz auf DSGVO-Konformität geprüft werden. Wenn KI-Tools Inhalte erzeugen, ist es nicht nur ratsam, diese kritisch zu prüfen, sondern das Vorgehen transparent zu kommunizieren und zu dokumentieren. Auch regelmäßige Schulungen der Mitarbeitenden in Bezug auf KI sind sehr wichtig für den sicheren Umgang mit den Tools im Arbeitsalltag. Sowohl das Urheberrecht als auch die Datenschutzgrundverordnung (DSGVO) stellen Unternehmen vor konkrete Pflichten – und Unwissen schützt nicht vor Haftung. Dasselbe gilt auch für die Regularien des EU-AI-ACTS.

Die EU-KI-Verordnung

Künstliche Intelligenz eröffnet ein enormes Potenzial – von effizienteren Prozessen über neue Geschäftsmodelle bis hin zu frischen kreativen Ansätzen. Gleichzeitig wirft ihr Einsatz viele Fragen auf. Deshalb haben DAS KOMMT AUS BIELEFELD und das Startup-Paket der WEGE einen besonderen Fokus auf die europäischen Vorgaben des EU-AI-Acts gelegt. Rechtsanwalt Johannes Brückmann von der Wirtschaftskanzlei Streitbörger bot dazu praxisnahe Einblicke in die zentralen rechtlichen Anforderungen rund um den Einsatz von Künstlicher Intelligenz.

Wissen kompakt: der AI Act

Welche Regelung ab wann für wen?

Die Europäische Union hat vor dem Hintergrund des verstärkten Einsatzes großer Sprachmodelle wie ChatGPT mit dem AI Act einen umfassenden Rechtsrahmen für den Einsatz von Künstlicher Intelligenz geschaffen. In seinem Vortrag „EU-KI-Verordnung (AI Act) kompakt“ widmet sich Johannes Brückmann, Rechtsanwalt bei Streitbörger PartGmbB, den konkreten Anforderungen der neuen Verordnung, deren Anwendung viele Fragen aufwirft: Für wen gilt der AI Act überhaupt? Welche Pflichten ergeben sich je nach Risikoklasse? Was muss dokumentiert, gekennzeichnet oder technisch umgesetzt werden – und wo besteht jetzt konkreter Handlungsbedarf?

Seit Februar 2025 sind Teile der Verordnung in Kraft, doch ihre volle Wirkung entfaltet sich schrittweise bis 2027. „Für Unternehmen bedeutet das vor allem eines: sich jetzt strukturiert mit der eigenen KI-Nutzung auseinanderzusetzen“, sagt Johannes Brückmann. „Die Regulierung ist umfangreich, komplex und risikobasiert – und sie kann finanzielle Folgen haben, die wehtun.“ Der Anspruch des Gesetzgebers ist ambitioniert. Die EU möchte einerseits die Grundrechte ihrer Bürger schützen, die Sicherheit von KI-Anwendungen gewährleisten und Missbrauch verhindern; andererseits soll die Verordnung Innovation im Bereich KI ermöglichen.

Der AI-Act betrifft alle

Fest steht, dass etwa 80 Prozent aller KI-Anwendungen grundsätzlich in den Anwendungsbereich der Verordnung fallen. Der AI Act erkennt zwar an, dass nicht jede KI per se gefährlich ist, betont aber klar, dass bestimmte Anwendungen aufgrund ihrer Auswirkungen streng reguliert werden müssen. Herzstück des branchenübergreifenden AI-Acts ist deswegen der risikobasierte Ansatz. Er unterscheidet KI-Systeme verschiedener Risikoklassen – von minimalen Risiken bis hin zu Hochrisikosystemen oder gar unannehmbaren Praktiken, die vollständig verboten sind.

Für Unternehmen besonders relevant sind die Hochrisikosysteme. Dazu gehören etwa bestimmte KI-Anwendungen in der Medizintechnik, in kritischen Infrastrukturen oder im Personalwesen, beispielsweise bei der automatisierten Auswahl oder Bewertung von Bewerbenden. Hier macht Johannes Brückmann klar: „An ein Hochrisikosystem sind für Anbieter solcher Systeme eine Vielzahl von Pflichten geknüpft – von der ,Vorab-Zulassung‘ im Sinne einer Konformitätsbewertung und organisatorische Anforderungen bis zu einem laufenden Monitoring.“

Unternehmen, die Hochrisikosysteme anbieten, müssen umfangreiche technische Unterlagen bereitstellen, ein Qualitäts- und Risikomanagement etablieren, Protokolle speichern und vieles mehr. Auch für Benutzer solcher Systeme ergeben sich konkrete Überwachungs- und Dokumentationspflichten. „Für die meisten klassischen Geschäftsbereiche und KI-Systeme wird das nicht zutreffen, doch allein die Pflicht zur korrekten Einordnung der Fähigkeiten eines Systems und der eigenen Rolle macht eine systematische Bestandsaufnahme unumgänglich“, betont der Jurist.

Genau klassifizieren

Zentrale Bedeutung bekommt im AI Act die Unterscheidung zwischen Anbietern und Betreibern zu. Vereinfacht gesagt: Anbieter entwickeln oder bringen ein KI-System in Verkehr, Betreiber setzen es ein. Damit ist weitestgehend jedes Unternehmen, das KI einsetzt, als Betreiber anzusehen. Und damit ist ebenfalls klar: Der AI Act betrifft jedes Unternehmen. Brisant ist zudem die sogenannte „Hochstufung“: Wenn ein Unternehmen ein Hochrisiko-KI-System unter eigener Marke anbietet oder es wesentlich verändert, gilt es automatisch als Anbieter – mit allen damit verbundenen Pflichten. Das kann beispielsweise Unternehmen betreffen, die Modelle weitertrainieren oder Hochrisiko-KI-Dienstleistungen unter ihrem Branding anbieten.

Ganz unabhängig von der Risikoklasse gilt seit Februar 2025 die Schulungspflicht nach Artikel 4 des AI Acts. „Unternehmen müssen sicherstellen, dass Mitarbeitende, die KI-Anwendungen bedienen, überwachen oder weiterentwickeln, über ein hinreichendes Maß an KI-Kompetenz verfügen. Ein oberflächlicher und allgemeiner Online-Kurs reicht hier nicht per se, wenn man das ernst nimmt – denn je nach Nutzergruppe im Unternehmen kann der notwendige Kompetenzgrad variieren“, so Johannes Brückmann. Der Hintergrund ist klar: Wenn es zu einem Schaden kommt, spielt die durchgeführte Schulung eine zentrale Rolle. Unternehmen sollten in solchen Fällen belegen können, dass sie ihren Pflichten nachgekommen sind.

Pflicht zur Transparenz

Zunehmend relevant werden auch Transparenz- und Kennzeichnungsanforderungen. Nutzer müssen ab dem 02. August 2026 darüber informiert werden, wenn sie mit einem KI-System interagieren. Außerdem müssen synthetisch erzeugte Inhalte wie Bilder, Audioaufnahmen oder Videos klar erkennbar als KI-generiert markiert werden. Bei KI-generierten Texten, die zur Information der Allgemeinheit über Angelegenheiten von allgemeinem Interesse bestimmt sind, besteht die Pflicht zur Kennzeichnung oder zu einer redaktionellen Überprüfung durch einen Menschen. „Grundsätzlich ist es empfehlenswert, KI-generierte Inhalte immer als solche zu kennzeichnen. Die öffentliche Diskussion über Deepfakes, manipulierte Aufnahmen oder automatisch generierte Medien hat diesen Bereich besonders in den Fokus gerückt“, sagt Johannes Brückmann.

Ein weiteres Feld, in dem Unternehmen aktiv werden müssen, betrifft interne Prozesse und Verantwortlichkeiten. Der Einsatz von KI sollte nicht dem Zufall überlassen bleiben, sondern zentral dokumentiert und überwacht werden. Der Rechtsanwalt spricht hier ein typisch unterschätztes Risiko an: „Wir müssen wissen, welche KI-Systeme im Unternehmen genutzt werden – auch faktisch, nicht nur offiziell.“ Schatten-IT oder das „inoffizielle“ Nutzen von KI-Tools durch Mitarbeitende kann zu Compliance-Verstößen führen, wenn Unternehmen nicht nachvollziehen können, welche Systeme mit welchen Daten gefüttert werden.

Sorgfältige Analyse der eigenen KI-Nutzung

Die Erstellung interner Dokumentationen, Protokolle, Nutzungsanleitungen und Risikobewertungen können Unternehmen dabei helfen, mehr Klarheit über den eigenen Umgang mit KI zu erlangen. Aufgaben wie Haftungsverteilung, Mitwirkungspflichten oder Datenbereitstellung müssen klar geregelt werden, da der AI Act potentiell entlang der gesamten Wertschöpfungskette wirkt.

Um die Betroffenen zur Einhaltung der Verpflichtungen anzuhalten, sieht der AI Act verschiedene Sanktionsmechanismen vor. Verstöße gegen die Pflichten bei Hochrisikosystemen oder allgemeinen Modellen können mit bis zu 15 Mio. Euro oder drei Prozent des weltweiten Jahresumsatzes geahndet werden, falsche Auskünfte an Behörden mit einem Prozent. Hinzu kommt die mittelbare Haftungsgefahr, wenn Schulungs- oder Sorgfaltspflichten verletzt wurden. „Zwar sollten Unternehmen nicht in Panik geraten, doch ignorieren lässt sich der rechtliche Rahmen keinesfalls“,

so Johannes Brückmann. Trotz aller Pflichten sieht der Rechtsanwalt in der Umsetzung auch Potenzial für die Unternehmen selbst. Sein Fazit: „Die Einhaltung des AI Acts kann ein Wettbewerbsvorteil sein, denn Compliance schafft Vertrauen bei Investor:innen, Kund:innen und in Aufsichtsgremien. In einer globalen Landschaft, in der die EU als eine der ersten großen Staatengemeinschaften eine umfassende KI-Regulierung geschaffen hat, kann konforme Technologie ein Qualitätssiegel werden.“