Stellen Sie sich vor, Sie fahren seit Jahren dieselbe Strecke — ohne Tempolimit, ohne Schilder, ohne dass jemand kontrolliert, was Sie tun. Dann, eines Morgens, stehen plötzlich Kameras. Schilder. Eine neue Verkehrsordnung gilt. Und die Bußgelder sind saftig.

Genau das passiert gerade im Bereich Künstliche Intelligenz.

Jahrelang konnten Unternehmen, Selbstständige und Einzelpersonen KI-Tools einsetzen, wie es ihnen passte. ChatGPT für Texte. Automatisierte Bewerbungsauswertung. KI-gestützte Kundenansprache. Niemand hat ernsthaft nachgefragt, ob das rechtlich in Ordnung war. Das ist vorbei — und die Spielregeln, die jetzt gelten, betreffen auch Sie.

Dieser Artikel gibt Ihnen einen fundierten Überblick über das neue Rechtsumfeld rund um KI: Was gilt wann, wen betrifft es, und was müssen Sie konkret tun. Er basiert auf meinem neuen Buch „KI Ohne Risiko", das genau diese Lücke schließt — zwischen dem, was im Gesetz steht, und dem, was das für Ihren Alltag bedeutet.

Drei Gesetze, die Sie jetzt kennen müssen

Der neue Rechtsrahmen rund um KI besteht nicht aus einem einzigen Gesetz. Er entsteht aus dem Zusammenspiel dreier Regelwerke.

1. Die DSGVO — schon immer da, jetzt schärfer

Die Datenschutz-Grundverordnung ist nicht neu. Seit 2018 gilt sie für jede Verarbeitung personenbezogener Daten in Europa. Was sich verändert hat: KI-Systeme verarbeiten in vielen Fällen personenbezogene Daten — und das auf eine Art, die die Anforderungen komplexer macht als je zuvor.

Wenn Sie Kundendaten in ein KI-Tool eingeben, wenn Ihre KI Mitarbeiterdaten auswertet, wenn Ihr Chatbot Nutzerverhalten speichert — dann ist die DSGVO im Spiel. Die Frage lautet heute nicht mehr: „Gilt die DSGVO für KI?" Sie lautet: „Wie setzen Sie sie um?"

Praxisbeispiel: Andrea, selbstständige Steuerberaterin, tippt ins ChatGPT-Fenster: Name, Adresse, Geburtsdatum, Einkommen und ein offenes Steuerverfahren ihres neuen Mandanten. Sie will eine strukturierte Übersicht für die Erstberatung. Drei Minuten später hat sie ihr Ergebnis — und einen handfesten DSGVO-Verstoß. Sie hat personenbezogene Daten an einen Dritten übertragen, ohne Rechtsgrundlage, ohne Auftragsverarbeitungsvertrag, ohne Prüfung, ob die Daten zum Training des Modells genutzt werden. Das passiert täglich tausendfach in deutschen Unternehmen. Nicht aus Böswilligkeit — sondern weil niemand es erklärt hat.

2. Der EU AI Act — die neue Spielordnung

Der EU AI Act wurde im Juli 2024 im Amtsblatt der EU veröffentlicht. Er ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz — keine weiche Empfehlung, kein freiwilliger Kodex, sondern eine verbindliche EU-Verordnung mit denselben Zähnen wie die DSGVO.

Die Verbote für besonders gefährliche KI-Praktiken gelten seit dem 2. Februar 2025. Die Pflicht, Mitarbeiter in KI-Kompetenz zu schulen, gilt ebenfalls seit diesem Datum. Die breiten Öffentlichkeitspflichten greifen vollständig ab dem 2. August 2026.

Wer denkt, das betrifft nur die großen Konzerne — das ist der teuerste Irrtum. Der EU AI Act kennt keine Bagatellgrenze für kleine Unternehmen, keine Ausnahme für Selbstständige. Wer KI einsetzt, ist Betreiber. Und Betreiber haben Pflichten.

3. Die Produkthaftungsreform — der stille Umbruch

Das dritte Regelwerk läuft fast unbemerkt: Die neue europäische Produkthaftungsrichtlinie muss in Deutschland bis zum 9. Dezember 2026 umgesetzt sein. Ab dann wird Software — und damit auch KI-Systeme — rechtlich einem physischen Produkt gleichgestellt. Wer KI einsetzt und damit Schäden verursacht, kann verschuldensunabhängig haftbar gemacht werden. Die Beweislast dreht sich bei komplexen Systemen sogar um: Der Betreiber muss nachweisen, dass sein System korrekt funktioniert hat.

Das Ampel-System: Vier Farben, eine Entscheidung

Das Herzstück des EU AI Acts ist ein Vier-Stufen-Modell. Der entscheidende Grundsatz dabei: Das Gesetz reguliert nicht die Technologie an sich — es reguliert den Zweck, für den sie eingesetzt wird. Dieselbe KI-Technologie kann je nach Einsatz in völlig verschiedenen Risikostufen landen.

🔴 Rot — Verboten (seit 2. Februar 2025)

Manche KI-Anwendungen sind in Europa schlicht illegal. Nicht eingeschränkt, nicht mit Auflagen versehen — verboten. Verstöße kosten bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.

Verboten sind unter anderem: Social-Scoring-Systeme, die Menschen in einem Bereich benachteiligen, weil sie in einem anderen auffällig waren. Manipulation durch unterschwellige Techniken, die unter der Wahrnehmungsschwelle operieren. Emotionserkennung an Arbeitsplätzen und in Schulen. Echtzeit-Gesichtserkennung im öffentlichen Raum durch private Unternehmen.

🟠 Orange — Hochrisiko (Pflichten ab 2026)

Hochrisiko-KI ist nicht verboten — aber ihr Einsatz ist an harte Auflagen geknüpft. Betroffen sind vor allem KI-Anwendungen in diesen Bereichen: Personalauswahl und Bewerbungsscreening, Kredit- und Bonitätsprüfung, Bildung und Prüfungsbewertung, medizinische Diagnostik.

Praxisbeispiel: Markus, Personalleiter eines mittelständischen Unternehmens, nutzt seit einem Jahr eine Software, die Bewerbungen automatisch vorselektiert: Sie liest Lebensläufe, bewertet Qualifikationen und gibt eine Rangliste von 1–100. Praktisch. Zeitsparend. Und nach EU AI Act als Hochrisiko-KI eingestuft. Das bedeutet: Der Anbieter hätte das System in einer EU-Datenbank registrieren müssen. Markus als Betreiber muss sicherstellen, dass eine qualifizierte Person die KI-Entscheidungen überwacht. Und er muss abgelehnten Bewerbern auf Anfrage erklären, warum das System sie aussortiert hat. Hat er das gewusst? Nein.

Als Betreiber eines Hochrisiko-Systems haben Sie konkrete Pflichten: menschliche Aufsicht sicherstellen, Mitarbeiter schulen, ein Nutzungsprotokoll führen und die Betreiberpflichten Ihres Anbieters prüfen. Fehlt eine detaillierte Gebrauchsanweisung des Anbieters zu Risiken und Grenzen des Systems — ist das ein Warnsignal.

🟡 Gelb — Transparenzpflicht

Systeme auf dieser Stufe sind weder verboten noch besonders gefährlich — aber sie können Menschen täuschen. Deshalb verlangt das Gesetz Offenheit.

Konkret: Chatbots müssen beim ersten Kontakt klar kommunizieren, dass sie eine KI sind — ein kleines Sternchen in der Fußzeile reicht nicht. Deepfakes — also KI-generierte Inhalte, die eine reale Person, einen realen Ort oder ein reales Ereignis täuschend echt darstellen — müssen als solche gekennzeichnet sein.

Wichtig: Die Kennzeichnungspflicht gilt nicht pauschal für jeden KI-generierten Text oder jedes KI-Bild. Ein stilisierter Produktbanner: keine Pflicht. Ein Video, in dem ein Konkurrent Dinge sagt, die er nie gesagt hat: Kennzeichnung zwingend erforderlich.

🟢 Grün — Minimales Risiko

Die gute Nachricht: Die große Mehrheit aller KI-Anwendungen im unternehmerischen Alltag fällt in diese Kategorie. Spam-Filter, Rechtschreibkorrektur, Produktempfehlungen, Navigationssysteme, KI-Tools zur Erstellung von Marketingtexten — hier gibt es keine besonderen gesetzlichen Pflichten.

Wenn Sie ChatGPT nutzen, um einen Newsletter-Entwurf zu erstellen, und dabei keine Kundendaten eingeben — sind Sie im grünen Bereich.

Was viele nicht wissen: Sie sind bereits Betreiber

Sandra betreibt eine kleine Marketingagentur mit sieben Mitarbeitern. Als sie vom EU AI Act hört, ist ihre erste Reaktion: „Das betrifft uns doch gar nicht. Wir haben keine KI. Wir nutzen nur ein paar Tools."

Dann listet sie auf, was sie täglich einsetzt: ChatGPT für Textentwürfe. Canva mit KI-gestützter Bildgenerierung. Ein CRM-System, das automatisch Kundenpotenziale bewertet. Ein E-Mail-Tool, das den optimalen Versandzeitpunkt berechnet. Eine Software, die Social-Media-Kommentare nach Sentiment analysiert.

Sandra hat fünf KI-Systeme in ihrem Betrieb. Sie wusste es nur nicht.

Das ist kein Einzelfall — es ist die Regel. KI steckt längst tief in den Werkzeugen, die wir täglich nutzen. Wer nicht weiß, was KI juristisch bedeutet, kann nicht wissen, ob ihn der EU AI Act betrifft. Und wer das nicht weiß, kann sich nicht schützen.

Schnell-Check: Sind Sie Betreiber?

Stellen Sie sich für jedes Tool, das Sie täglich einsetzen, drei Fragen: Lernt dieses System aus Daten, oder folgt es nur starren Regeln? Fließen dort personenbezogene Daten hinein — Namen, E-Mail-Adressen, Finanzdaten, Mitarbeiterinformationen? Beeinflusst das System Entscheidungen, die andere Menschen betreffen? Wenn Sie eine dieser Fragen mit Ja beantworten, sind Sie mit hoher Wahrscheinlichkeit Betreiber im Sinne des EU AI Acts.

Die DSGVO-Falle: Auftragsverarbeitung und KI

Einer der häufigsten und gleichzeitig gefährlichsten Fehler im KI-Alltag ist die unreflektierte Eingabe personenbezogener Daten in externe KI-Dienste. Das Problem: Wenn Sie Kundendaten, Personalakten oder Besprechungsprotokolle in ein KI-Tool eingeben, übertragen Sie diese Daten an einen Dritten — den Anbieter des Tools.

Das ist nach DSGVO eine Auftragsverarbeitung. Und für diese brauchen Sie einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter. Fehlt dieser Vertrag, handeln Sie rechtswidrig — unabhängig davon, ob der Anbieter die Daten tatsächlich für Training verwendet oder nicht.

Die gute Nachricht: Seriöse Anbieter wie OpenAI, Anthropic und Google bieten AVVs an — oft direkt in den Nutzungsbedingungen oder auf Anfrage. Wer keinen anbietet oder auf diese Frage ausweicht, ist kein verlässlicher Partner für datenschutzsensible Anwendungen.

Sechs DSGVO-Grundregeln, die im KI-Kontext besonders wichtig sind:

Für wen das Buch geschrieben ist

„KI Ohne Risiko" ist kein juristisches Lehrbuch und kein Tech-Handbuch. Es ist ein Praxisleitfaden, der sieben konkrete Berufswelten beleuchtet — weil „KI-Recht" für einen Freelancer mit Kundendaten auf dem Laptop andere Konsequenzen hat als für einen HR-Manager, der KI in die Personalauswahl einführt.

Das Buch begleitet unter anderem:

Und es liefert nicht nur Theorie — sondern fertige Werkzeuge: vorgefertigte KI-Richtlinien, die Sie nur noch anpassen müssen. Eine Checklisten-Matrix vom einmaligen Setup bis zum Jahres-Review. Einen Ernstfall-Plan für Datenpannen, Abmahnungen und Behördenanfragen. Und einen 90-Tage-Aktionsplan, um Ihr Unternehmen schrittweise „AI-Ready" zu machen.

Was Sie heute tun können — ohne das Buch gelesen zu haben

Drei konkrete Sofortmaßnahmen, die Sie heute umsetzen können:

1. KI-Bestandsaufnahme machen. Schreiben Sie auf, welche KI-Tools Sie oder Ihr Team aktuell einsetzen — auch inoffiziell. ChatGPT, Copilot, Bildgeneratoren, automatisierte E-Mail-Antworten, KI-gestützte Buchhaltungstools. Diese Liste ist Ihr Ausgangspunkt.

2. Datenflüsse markieren. Für jedes Tool auf Ihrer Liste: Geben Sie dort personenbezogene Daten ein? Namen, Adressen, Finanzdaten, Gesundheitsdaten, Mitarbeiterinformationen? Markieren Sie diese Tools — sie brauchen besondere Aufmerksamkeit.

3. AVV-Status prüfen. Für jedes markierte Tool: Besteht ein Auftragsverarbeitungsvertrag mit dem Anbieter? Falls nein — das ist Ihr dringlichster Handlungsbedarf, noch vor EU AI Act, noch vor allem anderen.

Der Merksatz: KI nutzen ohne die Regeln zu kennen ist wie Autofahren ohne Führerschein — meistens geht es gut. Bis es nicht mehr geht. Wer jetzt handelt, handelt nicht aus Angst, sondern aus Kalkül: Die Unternehmen, die heute verstehen, was gilt, haben morgen einen echten Wettbewerbsvorteil.

KI Ohne Risiko — das Buch

Dieser Artikel kratzt an der Oberfläche eines Themas, das in der Praxis weit mehr Tiefe braucht. In meinem Buch „KI Ohne Risiko: Der Rechts- und Datenschutz-Leitfaden für alle, die KI im Berufsalltag einsetzen" gehe ich durch alle 22 Kapitel — von den Grundlagen des EU AI Acts über branchenspezifische Handlungsempfehlungen bis zu fertigen Vorlagen, Checklisten und dem Ernstfall-Plan.

Kein Anwalt nötig. Kein Studium erforderlich. Für alle verständlich.

KI Ohne Risiko — Buchcover
Neu erschienen

KI Ohne Risiko

Der Rechts- und Datenschutz-Leitfaden für alle, die KI im Berufsalltag einsetzen. 22 Kapitel, 9 Praxisbeispiele, fertige Vorlagen und Checklisten.

Jetzt auf Amazon kaufen →

Haben Sie Fragen zum EU AI Act oder zur DSGVO-konformen KI-Nutzung in Ihrem Unternehmen? Sprechen Sie uns an — wir helfen Ihnen, den richtigen Rahmen zu setzen.