Nutzung von Künstlicher Intelligenz (KI) in Unternehmen

Der Einsatz von Künstlicher Intelligenz (KI) wird von vielen Unternehmen erwogen; zu Teilen bereits genutzt. Die rechtlichen Grundlagen hierzu sind weitgehend unbekannt. Das ist gefährlich, weil Pflichtverletzungen in diesen Bereichen mit harten staatlichen Sanktionen und Schadensersatzpflichten flankiert sind.

Beispiel: Einsatz von KI im Personalmanagement

(Bewerberauswahl, sprachübergreifende digitale Schulung)

Was ist zu tun? Wie gehen sie vor?

1. Schritt: Rollenzuweisungen

Sowohl die DS-GVO als auch die KI-VO knüpfen die Pflichten an bestimmte Akteure. Es ist damit wesentlich, die Rolle, die der jeweilige Beteiligte einnimmt, zu bestimmen. Kommt ihm keine Rolle nach DS-GVO oder KI-VO zu, unterliegt er keinen derartigen Pflichten.

a) DS-GVO
Zu unterscheiden sind

• „Verantwortlicher“
• bei mehreren: ob eine „gemeinsame Verantwortlichkeit“ vorliegt
• „Auftragsverarbeiter“

Der Arbeitgeber, in dessen Unternehmen KI zum Einsatz kommt, ist Verantwortlicher, weil er über den Zweck der Datenverarbeitung entscheidet. Hat nicht er, sondern der von ihm beauftragte externe Dienstleister das Know-how für den KI-Einsatz und entscheidet so der Dienstleister über die wesentlichen Mittel der Datenverarbeitung, sind sie „gemeinsame Verantwortliche“ und haben als solche beide die Pflichten nach der DS-GVO zu erfüllen.

b) KI-VO
Im Gegensatz zur DS-GVO kann der Arbeitgeber unter Umständen Risiken der KI-VO outsourcen. Dies erfordert, dass der gesamte digitale Geschäftsprozess (Bsp. Personalauswahl, digitale Schulung) hard- und softwareseitig auf einen externen Dienstleister ausgelagert wird (Business-Processes as a Service – BPaaS). Der Arbeitgeber verwendet danach nicht das KI-System, sondern nur die Ergebnisse des Prozesses. Er wäre danach weder Anbieter noch Betreiber des KI-Systems.

2. Schritt: Pflichten nach DS-GVO und KI-VO

a) DS-GVO
Auf die Pflichten nach der DS-GVO soll hier nicht näher eingegangen werden. Das würde den Rahmen sprengen. Erwähnt werden soll lediglich, dass gemeinsame Verantwortliche in einer Vereinbarung regeln müssen, wer welche Pflichten nach der DS-GVO konkret erfüllt. Der Arbeitgeber/das beauftragende Unternehmen sichert sich so notwendige Durchsetzungsrechte.

b) KI-VO
Die EU-Kommission hat erkannt, dass KMU-Unternehmen Schwierigkeiten haben, die Anforderungen nach der KI-VO zu erfüllen. Die EU-Kommission hat deswegen am 19.11.2025 eine „Digital-Omnibus-VO“ vorgeschlagen. Die Kommission kündigt u.a. Leitlinien, Muster und Standards an, die die Umsetzung für Unternehmen erleichtern sollen.

Die Kommission schlägt zudem vor, die Frist, ab der die KI-VO für sog. Hochrisiko-KI-Systeme (siehe unten) erstmals zur Anwendung kommt, vom bislang 02.08.2026 bis längstens 02.12.2027 zu verschieben. Diese beiden Daten sind für Unternehmen wichtig, weil für Hochrisiko-KI-Systeme, die bis zu diesem Datum zum Einsatz kommen, die KI-VO nicht gilt.

Risikoeinstufung:
Der Verordnungsgeber hat mit der KI-VO einen risikobasierten Ansatz gewählt. Je höher das mit dem KI-System verbundene Risiko ist, umso intensiver ist der Pflichtenkatalog.

Der kritische Bereich sind die sog. Hochrisiko-KI-Systeme.

Hochrisiko-KI-Systeme sind im Anhang I und im Anhang III zur KI-VO ausgewiesen. Für das Personalmanagement relevant: KI-Systeme, die für die Bewertung von Lernergebnissen eingesetzt werden (Anhang III Nr. 3 b) KI-VO) oder die die Einstellung, Beförderung oder Kündigung von Mitarbeitern beeinflussen, oder die für die Zuweisung von Aufgaben oder für die Beobachtung und Bewertung von Leistungen in Beschäftigungsverhältnissen verwendet werden (Anhang III Nr. 4 b) KI-VO), werden als Hochrisiko-KI-Systeme eingestuft.

Innovationskiller Art. 25 Abs. 1 c) KI-VO: „Mutation“ des „Betreibers“ zum „Anbieter“:

Ein rechtliches „Aufstiegsrisiko“ für Betreiber besteht, wenn sie ein KI-System mit (zunächst) allgemeinem Verwendungszweck so verändern und einsetzen, dass das betreffende KI-System danach als Hochrisiko-KI-System zu klassifizieren ist, Art. 25 Abs. 1 c) KI-VO.
Personalmanagement z.B. beim Einsatz von ChatGPT: ChatGPT ist zunächst ein KI-System mit allgemeinem Verwendungszweck. OpenAI als Anbieter von ChatGPT hat in seinen Nutzungsbedingungen festgeschrieben, dass erzielte Ergebnisse nicht für Bildungs- oder Beschäftigungsentscheidungen verwendet werden dürfen. Eine KI-gestützte Bewerberauswahl, Zuweisung von Aufgaben, digitale Schulung mit automatischer Lernerfolgskontrolle würde aber solche Bildungs- und Beschäftigungsentscheidungen beinhalten, sodass das Unternehmen, das ChatGPT hierfür einsetzt, selbst zum Anbieter – nunmehr - eines „Hochrisiko-KI-Systems“ mit allen Pflichten nach der KI-VO „aufsteigt“ (und OpenAI als Erstanbieter des KI-System nicht zur Kooperation mit dem einsetzenden Unternehmen verpflichtet wäre).

Fazit:

Wer erfolgreich und sicher KI-Systeme in seinem Unternehmen einsetzen will, kommt nicht umhin, die rechtlichen Grundlagen zum Datenschutz und zur KI-VO (und weitere wie AGG, BetrVG usw.) zu kennen. Diese sind zu Beginn des Projektes zu berücksichtigen (Privacy by Design) und fortlaufend zu aktualisieren. Lassen Sie uns Ihr Projekt gemeinsam entwickeln.

Prof. Dr. Junghanns
Rechtsanwalt
Fachanwalt für Steuerrecht
Fachanwalt für Handels- und Gesellschaftsrecht