Künstliche Intelligenz im Betrieb: Die wichtigsten Pflichten nach EU AI Act und DSGVO

Künstliche Intelligenz ist mittlerweile überall. Sie ist an Board, wenn Angebote automatisiert verfasst werden, wenn wir die Routenplanung bemühen oder wenn Betriebe Chatbots auf der eigenen Website einsetzen. KI ist nicht mehr wegzudenken, denn sie unterstützt betriebliche Abläufe, erleichtert viele Arbeitsprozesse und ist ein schier unendlicher Wissenspool für alle, verständlich und zugänglich.

Ob ChatGPT, DeepL, Bildgeneratoren oder KI-gestützte Tools; der EU AI Act (REGULATION (EU) 2024/1689 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL) und die DSGVO geben klare Regeln vor. Dank des KI-Omnibus-Pakets (politische Einigung Mai 2026) gibt es spürbare Erleichterungen für KMU.

  1. Sind Sie „Betreiber“ (Deployer) einer KI?

Sehr wahrscheinlich ja. Denn nach Art. 3 Nr. 4 EU AI Act ist ein Deployer (Betreiber) jede natürliche oder juristische Person, die ein KI-System unter ihrer Verantwortung im beruflichen oder geschäftlichen Kontext verwendet

Für KMU bedeutet das:

  • Sie nutzen ChatGPT für Werbetexte, DeepL für Übersetzungen oder KI-Tools für Bilder/Social Media? Dann sind Sie sind Betreiber.
  • Dabei haften Sie nicht für die technische Entwicklung des Systems (das obliegt dem Anbieter wie OpenAI), sondern für den sachgerechten Einsatz in Ihrem Betrieb.

Wichtig: Wenn Sie jedoch ein KI-System tiefgreifend verändern, seinen Zweck ändern oder es unter eigenem Namen vermarkten, können Sie zum „Anbieter“ (Provider) werden. Dann gelten für Sie strengere Pflichten.

  1. Risikoklassen – Was gilt für die meisten KMU?

Der AI Act gilt formal seit dem 1. August 2024. Dabei gilt, je höher das Risiko einer KI-Anwendung für Menschen, desto strenger die Anforderungen. Das Gesetz unterscheidet vier Stufen:

  • Unannehmbares Risiko: Bestimmte Systeme (z. B. Emotionserkennung am Arbeitsplatz, Social Scoring) sind verboten.
  • Begrenztes Risiko (z. B. Chatbots, Text-/Bildgeneratoren wie ChatGPT, DeepL, Midjourney): Hier gelten Transparenzpflichten.
  • Hochrisiko (z. B. KI im Recruiting oder für Kreditentscheidungen): Strenge Pflichten, aber durch den KI-Omnibus auf 2. Dezember 2027 für stand-alone-Systeme verschoben (bzw. 2. August 2028 für eingebettete Systeme).
  • Minimales Risiko (z. B. Spamfilter, einfache Rechtschreibprüfung): Keine speziellen Pflichten.

KI-Kompetenz (AI Literacy)  (Art. 4): Bereits seit 2. Februar 2025 müssen Betreiber und natürlich auch die Provider „nach besten Kräften“ sicherstellen, dass Mitarbeiter und sonstige Personen, die mit KI arbeiten, ausreichend KI kompetent sind. Für KMU reicht eine praxisnahe, dokumentierte Unterweisung (z. B. internes Training mit Protokoll). Kleines Beispiel: So soll Mitarbeitern verdeutlicht werden, dass KI-Systeme halluzinieren können, was nichts anderes bedeutet, dass die Ergebnisse fehlerhaft und unvollständig sein können. Unabhängig davon, wie perfekt sie formuliert sind.

Auszug aus Artikel 4 Anbieter und Anwender von KI-Systemen treffen nach besten Kräften Maßnahmen, um sicherzustellen, dass ihre Mitarbeiter und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kenntnisse verfügen. Dabei sind deren technisches Wissen, Erfahrung, Ausbildung und Schulung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, auf die sich die KI-Systeme beziehen sollen, zu berücksichtigen.“

  1. Transparenzpflichten ab 2. August 2026 (Begrenztes Risiko)

Ab diesem Datum gelten für Betreiber folgende Pflichten:

  • Interaktive KI-Systeme (z. B. Chatbot auf der Website): Nutzer müssen zu Beginn der Interaktion klar und unmissverständlich darüber informiert werden, dass sie mit einem KI-System sprechen.
  • KI-generierte Bilder, Audio oder Video (Deepfakes): Die Betreiber müssen es kenntlich machen, dass der Inhalt künstlich erzeugt oder manipuliert wurde. Für Systeme, die schon am Markt sind, gilt hier eine Frist bis 2. Dezember 2026 (KI-Omnibus).
  • KI-generierte Texte: Betreiber müssen bei Texten, die mit dem Ziel der Information der Öffentlichkeit über Angelegenheiten von öffentlichem Interesse veröffentlicht werden, kenntlich machen, dass sie künstlich erzeugt wurden.

Wichtige Ausnahme (Art. 50 Abs. 4): Diese Kennzeichnungspflicht gilt nicht, wenn der Inhalt einem Prozess der menschlichen Überprüfung oder redaktionellen Kontrolle unterzogen wurde und eine natürliche oder juristische Person die redaktionelle Verantwortung für die Veröffentlichung trägt.

https://eur-lex.europa.eu/eli/reg/2024/1689/oj/eng

Auszug Art.50 Absatz4. Deployers of an AI system that generates or manipulates image, audio or video content constituting a deep fake, shall disclose that the content has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offence. Where the content forms part of an evidently artistic, creative, satirical, fictional or analogous work or programme, the transparency obligations set out in this paragraph are limited to disclosure of the existence of such generated or manipulated content in an appropriate manner that does not hamper the display or enjoyment of the work.

Deployers of an AI system that generates or manipulates text which is published with the purpose of informing the public on matters of public interest shall disclose that the text has been artificially generated or manipulated. This obligation shall not apply where the use is authorised by law to detect, prevent, investigate or prosecute criminal offences or where the AI-generated content has undergone a process of human review or editorial control and where a natural or legal person holds editorial responsibility for the publication of the content”

 

Wichtig: Bei Werbetexten, Blogbeiträgen oder Angeboten, die ein Mitarbeiter korrigiert, anpasst und freigibt, muss man in der Regel nicht kennzeichnen.

  1. Die DSGVO – die greift hier auch!

Der AI Act regelt nicht den Datenschutz. Die DSGVO gilt uneingeschränkt weiter.

Rechtswidrig ist in der Regel die Eingabe personenbezogener Daten (Namen, E-Mail-Adressen, Kundendaten, Telefonnummern etc.) in die kostenlose oder Standard-Version öffentlicher KI-Tools wie ChatGPT oder DeepL im geschäftlichen Kontext.

Gründe:

  • Fehlende Rechtsgrundlage (Art. 6 DSGVO) und meist kein Auftragsverarbeitungsvertrag (Art. 28 DSGVO).
  • Mögliche Weiterverwendung der Daten zum Training.
  • Schwierigkeiten beim „Recht auf Vergessenwerden“.

Das Risiko ist real: Selbst große Konzerne wie IBM und viele Universitäten haben die Nutzung der öffentlichen Versionen von ChatGPT & Co. stark eingeschränkt oder verboten und setzen stattdessen auf eigene, abgeschottete Lösungen. Dies zeigt deutlich, wie „löchrig“ die allgemeinen öffentlichen KI-Systeme aus Datenschutz- und Sicherheitssicht sind.

Das können KMU also tun bzgl. des Datenschutzes

  • Texte vor der Eingabe anonymisieren (z. B. „Kunde A“ statt echtem Namen)
  • für geschäftliche Daten Business-/Enterprise-Versionen mit gültigem AVV nutzen. Soll heißen, dass Sie Software nicht mit privaten Konten oder Gratis-Versionen nutzen, sondern spezielle Tarife für Firmen buchen, die den gesetzlichen Datenschutz garantieren
  • Bei sensiblen Daten EU-basierte oder lokale Modelle bevorzugen.
  • Eine kurze interne KI-Nutzungsrichtlinie erstellen (Was darf wo eingegeben werden?).

… und sonst noch

  • Alle genutzten KI-Tools in einer Übersicht aufführen und dokumentieren.
  • Dokumentieren Sie Ihre Schulungen zur KI-Nutzung gemäß (Art. 4).
  • Bei Anwendungen, die möglicherweise in den Hochrisikobereich fallen (z. B. Recruiting) frühzeitig prüfen (Pflichten ab Ende 2027).
  • Beachten Sie die Transparenzpflichten (ab August 2026)

 

Der EU AI Act soll Innovation ermöglichen und nicht behindern. Für KMU bietet der Omnibus spürbare Erleichterungen. Wer seine Grundregeln (vor allem DSGVO + Transparenz) einhält, kann die Vorteile der KI ohne Befürchtung nutzen.

Hinweis: Dieser Artikel wurde sorgfältig auf Basis der aktuellen Rechtslage (EU AI Act – Regulation (EU) 2024/1689 und KI-Omnibus-Vereinbarung 2026) geprüft. Er dient jedoch nur zu Informationszwecken und ersetzt keine individuelle Rechtsberatung. Die konkrete Anwendung hängt von den Umständen des Einzelfalls ab. Für verbindliche Auskünfte sollten Sie einen Rechtsanwalt oder Datenschutzbeauftragten konsultieren und stets den aktuellen Stand des Gesetzes prüfen.

Offizieller Gesetzestext: Regulation (EU) 2024/1689 – EU AI Act (EUR-Lex)

 

Anne d'Angelico

Anne d'Angelico

weitere Neuigkeiten

Anzeigen

Lichtwerber Deutschland e.V.
Postfach 1107
71687 Freiberg
Telefon: +49 (0) 7141 2582240
E-Mail: mail@lwd24.de

Verband

Über den LWD
Mitgliedschaft
Vorstand
Satzung

Themen

Aktuelles
Branchenvergleich
Innovationspreis

Mitglieder

Mitgliedersuche
Mitgliederbereich

Mitglied werden

Service

Veranstaltungen
Newsletter
TechNews

Internationales Netzwerk

Medienpartner

Internationales Netzwerk

Medienpartner