Einordnung und Quellenlogik
Dieser Leitfaden ist eine unternehmerische Entscheidungs- und Umsetzungsgrundlage für KMU. Er ersetzt keine individuelle Rechts-, Steuer-, Datenschutz- oder IT-Sicherheitsberatung. Gerade bei personenbezogenen Daten, Mitarbeiterdaten, Hochrisiko-KI, Berufsgeheimnissen oder Betriebsratsfragen sollte die finale Bewertung durch die jeweils zuständige Fachperson erfolgen.
Begriffsschärfe in diesem Dokument:
- Gesetzliche Pflicht: ausdrücklich oder unmittelbar aus Gesetz, Verordnung oder verbindlicher behördlicher Vorgabe ableitbar.
- Rechtliche Risikozone: nicht pauschal verboten, aber nur mit sauberer Rechtsgrundlage, Dokumentation, Verträgen und Verantwortlichkeiten vertretbar.
- Best Practice: fachlich sinnvoll, aber nicht in jedem Fall gesetzlich vorgeschrieben.
- Praktische Empfehlung: pragmatische Handlungsempfehlung für KMU, damit Unternehmer nach dem Durchgehen dieses Leitfadens konkrete nächste Schritte ableiten können.
Quellenlogik: Die im Text verlinkten Quellen verweisen nach Möglichkeit direkt auf Studien, Behördeninformationen, Gesetzestexte, Anbieterbedingungen oder dokumentierte Fälle. Eigene Einordnungen sind als solche formuliert und dienen der praktischen Anwendung für KMU.
Verständlichkeitsprinzip
Dieser Leitfaden verwendet Fachbegriffe nur dort, wo sie für eine Entscheidung wirklich nötig sind. Beim ersten Auftreten werden sie möglichst einfach erklärt. Wenn ein Begriff juristisch, technisch oder englisch klingt, gilt immer die praktische Frage: Was bedeutet das für mein Unternehmen konkret?
Die wichtigste Regel beim Lesen: Sie müssen nicht jeden Paragrafen oder jede technische Abkürzung auswendig kennen. Sie sollen erkennen, wo ein Risiko liegt, welche Mindestmaßnahme sinnvoll ist und wann externe Prüfung nötig wird.
KMU-Minipfad: Die 6 Kontrollfragen für das große Ganze
Wenn Sie keine Zeit für alle Spezialthemen haben, beantworten Sie zuerst diese Fragen.
In 2 Stunden:
- Wer darf neue KI-Tools freigeben?
- Welche KI-Prozesse wären bei einem Ausfall blockiert?
- Welche KI-Outputs gehen an Kunden oder Dritte?
- Welche Anbieter wären schwer ersetzbar?
- Welche Inhalte könnten urheberrechtlich, markenrechtlich oder lizenzrechtlich problematisch sein?
- Wo kann KI Menschen fachlich entlernen lassen, statt sie besser zu machen?
In 1 Tag:
- Erstellen Sie eine KI-Governance-Miniversion: Owner, Toolfreigabe, Datenregeln, Reviewpflicht.
- Dokumentieren Sie einen Exit-/Fallback-Plan für den wichtigsten KI-Anbieter.
- Definieren Sie Rot/Gelb/Grün-Risikoklassen für KI-Outputs.
Mini-Glossar: Begriffe in diesem Modul
6.1 — KI-Governance: Regeln und Zuständigkeiten für KI
Wer entscheidet im Unternehmen über KI — und nach welchen Regeln?
KI-Governance bedeutet in einfachen Worten: Es gibt klare Antworten darauf, wer KI-Tools einführen darf, wer die Verantwortung für Outputs trägt und was passiert, wenn etwas schiefläuft. Fehlt diese Struktur, entsteht KI-Wildwuchs — jede Abteilung macht ihr eigenes Ding, Daten fließen unkontrolliert nach außen, und niemand ist wirklich zuständig.
Warum relevant? Was passiert wenn ignoriert?
Das häufigste Bild in KMU ohne Governance: Der Vertrieb nutzt ChatGPT für Angebote, das Marketing einen anderen KI-Dienst für Social-Media-Posts, die Buchhaltung hat sich ein Excel-Plugin mit KI geholt — und die Geschäftsleitung weiß von nichts. Ein zentrales Risiko in solchen Szenarien: Mitarbeiter werden schnell zum „Endpunkt eines Algorithmus": Sie führen KI-Teilschritte aus, ohne den Gesamtzusammenhang zu verstehen. Wenn dann ein Datenschutzproblem auftaucht oder ein KI-Output einen Kunden verärgert, gibt es keine Zuständigkeit, keine dokumentierten Regeln — und damit volle Haftung für die Geschäftsführung.
Hinzu kommt: Je nach KI-System entstehen Transparenz-, Dokumentations-, Datenschutz- und Risikomanagementpflichten. Wer keine internen Governance-Strukturen hat, kann nicht verlässlich prüfen, welche Pflichten tatsächlich greifen.
Konkrete Lösungsbeispiele
- KI-Owner bestimmen. Ernennen Sie eine konkrete Person (nicht „die IT") zum internen KI-Verantwortlichen. Das kann der Geschäftsführer selbst sein, ein Abteilungsleiter oder ein engagierter Mitarbeiter. Diese Person koordiniert alle KI-Initiativen, hält den Überblick über eingesetzte Tools und ist erste Ansprechperson bei Problemen. Konzern-Titel wie „Chief AI Officer" braucht es dafür nicht.
- KI-Richtlinie in einem Dokument (max. 2 Seiten). Regeln Sie mindestens: Welche KI-Tools sind freigegeben? Was darf nicht in KI-Prompts eingegeben werden (Kundendaten, Mitarbeiterdaten, Betriebsgeheimnisse)? Wer muss KI-generierte Outputs vor Versand/Veröffentlichung gegenlesen? Wie wird KI-Nutzung dokumentiert? Diese Richtlinie muss keine Anwaltsprosa sein — ein klar formuliertes Word-Dokument reicht.
- Freigabe-Prozess für neue Tools. Neue KI-Anwendungen dürfen erst eingesetzt werden, wenn der KI-Owner die DSGVO-Konformität und den Datenschutzvertrag geprüft hat. Das kostet 30 Minuten pro Tool und verhindert, dass Mitarbeiter gutgläubig Kundendaten in ungeprüfte Systeme eingeben.
- Quartalsrunde KI-Review. 60 Minuten, vier Mal im Jahr: Welche KI-Tools nutzen wir? Was funktioniert? Was bereitet Sorgen? Gibt es neue Pflichten aus dem EU AI Act? Diese Runde verhindert, dass Governance-Dokumente Staub ansetzen.
- Abteilungssilos verhindern. Wenn mehrere Abteilungen KI einsetzen wollen, koordiniert der KI-Owner einen gemeinsamen Austausch. Ziel: Doppelarbeiten vermeiden, Lizenzen bündeln, einheitliche Qualitätsstandards für KI-Outputs setzen.
Abb. 11 — KI-Governance kompakt: Vier Bausteine für eine pragmatische KI-Steuerung
6.2 — Anbieterabhängigkeit (Vendor Lock-in) & Ausstiegsplan
Was passiert, wenn OpenAI morgen die Preise verdoppelt — oder abgeschaltet wird?
Vendor Lock-in bezeichnet den Zustand, in dem ein Unternehmen so tief von einem einzelnen Anbieter abhängig ist, dass ein Wechsel schmerzhaft oder praktisch unmöglich wird. Bei KI ist das Risiko besonders hoch: Workflows, Prompts, Mitarbeiter-Skills, Fine-Tuned-Modelle und Datenbankverbindungen sind oft auf einen spezifischen Anbieter zugeschnitten.
Warum relevant? Was passiert wenn ignoriert?
Die fünf größten Risiken beim KI-Vendor-Lock-in sind: Preisexplosion ohne Warnung, Modell-Abschaltung (OpenAI hat GPT-3 abgekündigt, andere werden folgen), Unternehmensinsolvenz des Anbieters, regulatorische Einstellung (ein US-Anbieter könnte bei EU-Datenschutzverstößen gesperrt werden) und Datenpannen beim Anbieter mit Auswirkungen auf Ihre Kundendaten.
Erschwerend kommt hinzu: Standard-Vertragswerke von OpenAI, Microsoft Azure, Google Cloud oder Amazon AWS sind für den US-Markt optimiert — nicht für das DSGVO-Regime, den EU AI Act oder österreichisches/deutsches Vertragsrecht. Wer die Standardbedingungen einfach akzeptiert, akzeptiert im Zweifel auch, dass seine Eingabedaten zum Modelltraining verwendet werden dürfen.
Konkrete Lösungsbeispiele
- Red Flags in Verträgen erkennen. Fünf kritische Klauseln, die Sie ablehnen oder verhandeln sollten: (a) „Ihre Inputs dürfen für Modelltraining verwendet werden" — ablehnen oder für Business-Tarife abschalten; (b) keine Datenlöschungsverpflichtung nach Vertragsende; (c) einseitige Preisänderungen ohne Kündigungsrecht; (d) Gerichtsstand ausschließlich in den USA; (e) kein Recht auf Datenexport in Standardformaten.
- Datenportabilität von Anfang an einplanen. Alle KI-Outputs, Fine-Tuning-Daten, Prompt-Templates und Workflow-Dokumentationen sollten in standardisierten Formaten gespeichert werden — nicht nur im proprietären Format des Anbieters. Was Sie in ChatGPT Enterprise oder Microsoft Copilot eingeben, gehört Ihnen: Sichern Sie es regelmäßig.
- Multi-Vendor-Strategie für kritische Prozesse. Prozesse, die geschäftskritisch sind (z.B. Angebotserstellung, Kundensupport), sollten nicht ausschließlich auf einen KI-Anbieter aufbauen. Testen Sie für diese Prozesse mindestens einen Alternativanbieter parallel, sodass Sie im Notfall umschalten können.
- AVV (Auftragsverarbeitungsvertrag) abschließen. Sobald personenbezogene Daten durch einen KI-Dienstleister verarbeitet werden, ist in der Regel ein AVV/DPA nach Art. 28 DSGVO erforderlich. OpenAI, Microsoft und Google bieten diese an — aber Sie müssen sie aktiv abschließen. Ohne AVV dürfen personenbezogene Daten nicht in die KI eingegeben werden.
- Exit-Plan dokumentieren. Schreiben Sie in einem halben Tag auf: Welche Prozesse hängen an welchem KI-Anbieter? Welche Daten liegen wo? Welcher Alternativanbieter wäre in 30 Tagen einsatzbereit? Dieser Plan muss nicht perfekt sein — er muss existieren.
- Open-Source als Fallback prüfen. Modelle wie Llama (Meta) oder Mistral können lokal oder auf eigener Cloud-Infrastruktur betrieben werden. Für datensensitive Prozesse kann das die einzig datenschutzkonforme Option sein — und eliminiert gleichzeitig den Vendor-Lock-in.
6.3 — KI-Halluzinationen & Haftung
Wenn die KI selbstsicher Unsinn produziert — und wer dafür geradesteht.
KI-Halluzinationen sind sachlich falsche Ausgaben, die so formuliert werden, als wären sie korrekt. Sprachmodelle sind keine klassischen Wissensdatenbanken. Sie erzeugen Antworten aus gelernten Mustern, Kontextinformationen und Wahrscheinlichkeiten. Ob eine Antwort wahr ist, muss deshalb gerade bei Rechts-, Finanz-, Medizin-, Vertrags- oder Kundenaussagen geprüft werden.
Warum relevant? Was passiert wenn ignoriert?
Ein Unternehmensberater nutzt ChatGPT, um einen Kunden über steuerliche Regelungen zu informieren. Die KI liefert selbstbewusst eine falsche Rechtsauskunft. Der Kunde handelt danach — und erleidet einen Schaden. Wer haftet?
Nach aktueller Rechtslage (Stand 2026) haftet das Unternehmen, das die KI eingesetzt hat. Die EU-KI-Haftungsrichtlinie wurde im Februar 2025 zwar zurückgezogen, aber die neue EU-Produkthaftungsrichtlinie klassifiziert KI-Software erstmals als „Produkt": Hersteller haften verschuldensunabhängig für fehlerhafte KI-Systeme. Wer als Betreiber KI-Outputs ungeprüft weitergibt, haftet nach allgemeinen zivilrechtlichen Grundsätzen (BGB § 823, ABGB § 1295) für daraus entstehende Schäden.
Das Risiko ist dabei nicht überall gleich: Im Marketing-Kontext ist eine halluzinierte Produktbeschreibung ärgerlich, aber korrigierbar. In Medizin, Recht und Finanzen können halluzinierte Outputs existenzbedrohend sein.
Konkrete Lösungsbeispiele
- Human-in-the-Loop (Mensch prüft KI-Ergebnis) als Pflichtprozess. Kein KI-Output darf ohne menschliche Gegenlese-Kontrolle in kritischen Bereichen (Rechtsauskünfte, Finanzdaten, medizinische Informationen, Vertragsklauseln) direkt weiterverwendet werden. Das ist nicht nur beste Praxis — es ist die zentrale Haftungsminimierungsstrategie.
- Risikoklassen intern definieren. Teilen Sie KI-Anwendungen in drei Risikoklassen: ● Grün (Halluzination harmlos: Brainstorming, Erstentwürfe intern), ● Gelb (Halluzination korrigierbar: Marketingtexte, die Freigabe bekommen), ● Rot (Halluzination gefährlich: Rechtsauskünfte, Finanzdaten, Patienteninformationen). Für rote Prozesse gilt: keine direkte KI-Ausgabe an Kunden ohne Expertenprüfung.
- Temperatur und Prompting anpassen. Eine niedrigere „Temperature"-Einstellung (näher bei 0) kann kreative Abweichungen reduzieren, löst aber keine Quellen-, Daten- oder Retrieval-Probleme. Klare, strukturierte Prompts, Quellenpflichten und Prüfprozesse erhöhen die Zuverlässigkeit — ersetzen aber keine fachliche Kontrolle.
- RAG-Systeme für faktenkritische Anwendungen. Retrieval-Augmented Generation (RAG) bedeutet: Die KI durchsucht zunächst Ihre eigenen, geprüften Dokumente und nutzt diese als Kontext. Das reduziert Halluzinationen im Bereich Ihres eigenen Wissens deutlich, eliminiert sie aber nicht vollständig. Falsches Retrieval, veraltete Dokumente, schlechte Dokumentstruktur oder Parsing-Fehler bleiben Risiken.
- Outputs als KI-generiert kennzeichnen. Ab 2. August 2026 gelten die Transparenz- und Kennzeichnungspflichten des EU AI Act (Art. 50; Details und Übergangsfristen in Modul 3, Don't #4 und #7). Beginnen Sie jetzt mit der Kennzeichnung, um Gewöhnung zu erzeugen und Haftungsrisiken zu minimieren.
- Klare Kommunikation gegenüber Kunden. Wenn Kunden wissen, dass ein Text KI-unterstützt entstanden und von einem Experten geprüft wurde, reagieren sie in der Regel verständnisvoll. Was Vertrauen zerstört: KI-Output als reine Menschenleistung deklarieren, wenn das Gegenteil der Fall ist.
Abb. 12 — Halluzinations-Ampel: Wann KI-Ergebnisse vertrauenswürdig sind — und wann nicht
6.4 — KI in der Kundenkommunikation
Wo KI Kundenbeziehungen stärkt — und wo sie sie zerstört.
Kunden erwarten heute Schnelligkeit, Relevanz und das Gefühl, verstanden zu werden. KI kann auf den ersten beiden Punkten liefern — beim dritten ist menschliches Fingerspitzengefühl oft noch unersetzbar. Der Schlüssel liegt nicht im Ob, sondern im Wie und Wann.
Warum relevant? Was passiert wenn ignoriert?
Zwei Fehler beobachten wir in der Praxis am häufigsten: Erstens, der unkritische Masseneinsatz — KI antwortet auf alle Kundenanfragen, ohne Unterscheidung nach Komplexität oder emotionalem Kontext. Kunden merken das. Studien zeigen, dass Kunden KI-generierte Kommunikation als kälter und unpersönlicher wahrnehmen, besonders bei Reklamationen, sensiblen Themen oder langjährigen Kundenbeziehungen. Zweitens, der umgekehrte Fehler: KI wird gar nicht eingesetzt, obwohl sie bei Standardanfragen 80% Aufwand sparen und die Antwortzeit von 24 Stunden auf 5 Minuten reduzieren könnte.
Ab August 2026 gelten zudem die Transparenzpflichten des EU AI Act für KI-Kommunikation mit Kunden (Details in Modul 3, Don't #4) — wer heute keine Prozesse aufbaut, wird dann unter Zeitdruck handeln müssen.
Konkrete Lösungsbeispiele
- Segmentierung: Wann KI, wann Mensch? Erstellen Sie eine einfache Matrix: Standardanfragen (Öffnungszeiten, Lieferstatus, FAQ) — KI optimal. Komplexe Anfragen (Reklamationen, individuelle Beratung) — Mensch mit KI-Unterstützung. Emotionale Situationen (Beschwerden, Verluste, Krisen) — ausschließlich Mensch.
- KI als Assistenz, nicht als Ersatz. Statt den Kunden direkt mit KI zu kommunizieren, nutzen Sie KI, um Ihren Mitarbeitern vorzuschlagen, was sie antworten könnten. Der Mitarbeiter prüft, ergänzt und sendet. So erhalten Sie Effizienz ohne Authentizitätsverlust.
- Chatbots richtig einsetzen. Chatbots funktionieren gut für: strukturierte Prozesse (Terminbuchung, Bestellstatus), 24/7-Verfügbarkeit bei vorhersagbaren Fragen, und Erstqualifizierung von Anfragen. Was Kunden nervt: Chatbots, die nicht eskalieren können, die auf jede Frage mit einer vorgefertigten Antwort reagieren, oder die vorgeben, ein Mensch zu sein. Bauen Sie immer eine klare Übergabe an einen echten Mitarbeiter ein.
- Kennzeichnung jetzt implementieren. „Diese Antwort wurde mit KI-Unterstützung erstellt und von unserem Team geprüft." Dieser eine Satz schafft Transparenz und erleichtert die Erfüllung künftiger Pflichten. Ob er rechtlich ausreicht, hängt vom konkreten Inhalt und Einsatzkontext ab.
- B2B vs. B2C unterscheiden. Im B2B-Umfeld haben Kunden oft einen festen Ansprechpartner — KI darf hier das Bild nicht verwässern. Nutzen Sie KI zur Vorbereitung von Gesprächen und Angeboten, nicht als primären Kommunikationskanal. Im B2C-Massengeschäft ist KI in der Kommunikation hingegen oft willkommen, wenn sie schnell und präzise ist.
- Authentizität als Differenzierungsmerkmal. In einer Welt, in der alle KI nutzen, wird die echte menschliche Note zum Wettbewerbsvorteil. Ein handgeschriebener Geburtstagsgruß an einen langjährigen B2B-Kunden hat mehr Wert als 10 KI-generierte Newsletter.
6.5 — Nachhaltigkeit & CO2-Fußabdruck von KI
KI hat einen ökologischen Preis — und der ist größer als die meisten ahnen.
KI-Systeme verbrauchen signifikante Mengen an Strom und Wasser. Für Unternehmen mit ESG-Berichtspflichten ist das ein Reporting-Thema; für alle anderen ist es eine unternehmerische Frage des verantwortungsvollen Handelns.
Warum relevant? Was passiert wenn ignoriert?
Konkrete Zahlen sind mit Vorsicht zu behandeln: OpenAI veröffentlicht keine vollständigen Verbrauchsdaten für ChatGPT. Deshalb beruhen öffentlich zitierte Werte auf Hochrechnungen aus Nutzerzahlen, Modellannahmen und geschätztem Verbrauch pro Anfrage. Eine einzelne KI-Anfrage kann je nach Modell, Länge und Aufgabe sehr unterschiedlich viel Strom verbrauchen; kurze Textanfragen liegen in manchen Schätzungen im Bereich weniger Wattstunden, komplexe Dokument-, Code-, Bild- oder Analyseaufgaben deutlich darüber. Für den Jahresverbrauch existieren entsprechend stark abweichende Szenarien: konservative Schätzungen bewegen sich im Bereich einiger hundert Gigawattstunden, während sehr hohe Szenario-Rechnungen — etwa bei BestBrokers — auf zweistellige Terawattstunden-Werte pro Jahr kommen. Diese Werte sind keine gemessenen Verbrauchsdaten, sondern Näherungen mit hoher Unsicherheit. Für KMU ist daher nicht die einzelne Zahl entscheidend, sondern die Grundregel: KI gezielt einsetzen, unnötige Abfragen vermeiden und bei berichtspflichtigen Unternehmen Anbieter- und Nutzungsdaten dokumentieren (BestBrokers, Methodik-Einschränkung beachten).
Hinzu kommt Wasser: Rechenzentren kühlen ihre Server mit riesigen Mengen Wasser. Die Gesellschaft für Informatik schätzt den globalen Wasserverbrauch von Rechenzentren bis 2030 auf 664 Milliarden Liter pro Jahr — und das berücksichtigt noch nicht den indirekten Verbrauch bei der Stromerzeugung und Halbleiterproduktion. Microsoft, Google und Amazon mussten ihre Klimaziele angesichts des Rechenzentrumswachstums bereits revidieren.
Für KMU ab ca. 250 Mitarbeitern in Deutschland (CSRD (EU-Nachhaltigkeitsberichtspflicht)-Berichtspflicht) und in Österreich im NaDiVeG (österreichische Nachhaltigkeitsberichtspflicht)-Rahmen kann KI-Nutzung im ESG-Bericht relevant werden — spätestens, wenn Großkunden die CO2-Bilanz ihrer Lieferkette abfragen.
Konkrete Lösungsbeispiele
- KI bewusst und zielgerichtet einsetzen. Nicht jede Aufgabe braucht das leistungsstärkste Modell. GPT-4o für eine simple FAQ-Anfrage ist wie ein Achtzylinder für eine Fahrt zum Supermarkt. Nutzen Sie kleinere, spezialisiertere Modelle für Routineaufgaben — das spart Kosten und Energie.
- Prompts optimieren. Ein klar strukturierter, präziser Prompt liefert bessere Ergebnisse und benötigt weniger Recheniterationen. Je kürzer und fokussierter, desto weniger Energie. Das ist gleichzeitig eine Qualitäts- und Nachhaltigkeitsmaßnahme.
- Anbieter mit Klimazielen bevorzugen. Microsoft, Google und AWS haben öffentliche Klimaverpflichtungen — prüfen Sie diese bei der Anbieterwahl. Prüfen Sie bei jedem Anbieter konkrete Angaben zu Energiebezug, Rechenzentrumsstandort und Nachhaltigkeitsberichten, statt aus dem Sitz des Unternehmens automatisch auf die Umweltbilanz zu schließen.
- Lokale Modelle für datensensitive Prozesse. Kleinere Open-Source-Modelle, die auf eigener Hardware oder in der eigenen Cloud laufen, haben einen messbaren Energie-Vorteil gegenüber großen Cloud-APIs — und eliminieren gleichzeitig Datenschutzrisiken.
- KI-Nutzung im ESG-Reporting erfassen. Wenn Sie bereits ESG-Berichte erstellen, erfassen Sie die KI-Nutzung als eigene Kategorie (Anbieter, Nutzungsvolumen, Energiebezugsquelle). Selbst wenn die Zahlen heute noch klein sind — der Aufbau der Messinfrastruktur heute erspart Ihnen Stress, wenn Kunden oder Investoren danach fragen.
6.6 — KI-Ethik & Bias
Wenn KI diskriminiert — und niemand es merkt.
Algorithmischer Bias bedeutet: Ein KI-System trifft systematisch schlechtere Entscheidungen für bestimmte Personengruppen, weil seine Trainingsdaten die Vorurteile und Ungleichgewichte der Vergangenheit widerspiegeln. Das Gefährliche daran: Weil ein Algorithmus entschieden hat, wirkt die Entscheidung „objektiv" — obwohl sie es nicht ist.
Warum relevant? Was passiert wenn ignoriert?
Ein konkretes Beispiel: Ein Unternehmen trainiert eine KI zur Vorauswahl von Bewerbern mit historischen Einstellungsdaten. In der Vergangenheit wurden für Führungspositionen zu 80% Männer eingestellt. Die KI lernt: Männliche Merkmale im Lebenslauf = höhere Erfolgswahrscheinlichkeit. Ergebnis: Die KI schließt Frauen systematisch aus — ohne dass jemand diesen Befehl gegeben hat. Amazon hat dieses Problem in der Praxis erlebt und sein KI-Recruiting-Tool 2018 abschalten müssen.
Kreditvergabe-Algorithmen, Kundensegmentierung, KI-gestützte Preisgestaltung — überall dort, wo KI mit historischen Daten arbeitet, können vergangene Ungleichgewichte automatisch perpetuiert werden. Das ist „Bias-Laundering": Die Diskriminierung wird nicht weniger, sie wird unsichtbar.
Rechtlich ist das ein ernstes Problem: Der EU AI Act stuft KI in der Personalauswahl als Hochrisiko-System ein; nach der vorläufigen Digital-Omnibus-Einigung sollen die zugehörigen Pflichten voraussichtlich ab 2. Dezember 2027 gelten. Verbindlich ist erst die formale Annahme und Veröffentlichung (Fristenübersicht in Modul 3). Verstöße gegen das AGG (Deutschland) bzw. GlBG (Österreich) durch KI-gestützte Diskriminierung können Schadenersatzansprüche auslösen. Der EU AI Act sieht bei schwerwiegenden Verstößen Geldbußen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes vor.
Konkrete Lösungsbeispiele
- Hochrisiko-Bereiche identifizieren. Bias-Risiko ist besonders hoch bei: KI-gestützter Personalauswahl und -beurteilung, automatisierten Kreditentscheidungen, Kundensegmentierung und -priorisierung sowie KI-basierter Leistungsüberwachung von Mitarbeitern. Diese Bereiche verlangen explizite Bias-Prüfung vor und nach dem Einsatz.
- Trainingsdaten kritisch hinterfragen. Bevor Sie ein KI-System auf eigenen Daten trainieren oder fine-tunen: Spiegeln Ihre Historikdaten Ungleichheiten wider, die Sie perpetuieren würden? Haben Sie ausreichend diverse Datenpunkte? Wer überprüft die Datenqualität?
- Bias-Audits einplanen. Für Hochrisiko-KI-Systeme schreibt der EU AI Act regelmäßige Überprüfungen vor. Auch ohne Pflicht gilt: Testen Sie KI-Entscheidungen regelmäßig auf ihre Auswirkungen für verschiedene Gruppen (Alter, Geschlecht, Herkunft).
- Menschliche Letztentscheidung bei personenbezogenen Entscheidungen. KI kann eine Empfehlung geben — die finale Entscheidung über Einstellung, Beförderung oder Kreditvergabe muss beim Menschen liegen und muss begründbar sein. Das ist nicht nur ethisch geboten, es ist auch rechtlich die sicherere Position.
- Transparenz intern kommunizieren. Erklären Sie Mitarbeitern, wenn KI bei Entscheidungen eine Rolle spielt, die sie betreffen. Heimliche Leistungsüberwachung durch KI zerstört Vertrauen und ist in Unternehmen mit Betriebsrat mitbestimmungspflichtig (§ 87 BetrVG in Deutschland).
Abb. 13 — Der Bias-Kreislauf: Historische Vorurteile in Daten verstärken sich durch KI-Training
6.7 — KI und Urheberrecht / Geistiges Eigentum
Wem gehört, was die KI schreibt, malt oder programmiert?
Die dreistufige Urheberrechts-Warnung: Was viele KMU nicht wissen
Jenseits der Frage, wem KI-generierter Content gehört, gibt es drei spezifische Fallen, die regelmäßig übersehen werden:
Die häufigste Fehlannahme: Ein bezahlter "Pro"-Plan erlaubt automatisch die kommerzielle Nutzung. Das stimmt nicht. Zwei prägnante Beispiele (Stand Juni 2026):
- Perplexity Pro: Laut Enterprise-Preisseite für persönliche, nicht-kommerzielle Nutzung positioniert. Für Teams und Organisationen bietet Perplexity eigene Enterprise-Pläne mit Datenschutz- und Administrationsfunktionen an.
- You.com Standard: Für den Standard-Plan gilt eine Non-commercial-Einschränkung. Für kommerzielle Nutzung steht der kostenpflichtige „Pro"- oder „Teams"-Plan zur Verfügung. ToS vor Einsatz prüfen.
Regel: Lesen Sie die Nutzungsbedingungen jedes Tools, das Sie kommerziell einsetzen. Suchen Sie explizit nach dem Begriff "commercial use" — nicht nach "for business".
Viele KMU nutzen KI nicht direkt über Anbieter-APIs, sondern über Aggregatoren, Middleware oder "All-in-One"-Plattformen. Diese haben eigene Nutzungsbedingungen, die sich mit den Bedingungen der zugrunde liegenden Modelle überlagern:
- n8n (Sustainable Use License): Interne Nutzung kann kostenlos erlaubt sein. Wenn Automatisierungen als Service für Kunden gebaut, eingebettet oder kommerziell weiterverwertet werden, muss die Lizenzlage genau geprüft werden; je nach Modell kann eine Enterprise-Lizenz erforderlich sein.
- Make.com: Das MSA (Master Subscription Agreement) erlaubt Agenturen explizit, Automatisierungen für Kunden zu bauen — hier ist die Lage günstiger.
- Writing-Tools (Writesonic, Jasper u.a.): Eigene ToS addieren sich zur Modell-ToS (z.B. OpenAI) — beide Dokumente müssen eingehalten werden.
Regel: Plattform-ToS + Modell-ToS + weitere eingebundene APIs = die Gesamtverantwortung liegt beim KMU. Eine ToS-Verletzung beim Aggregator kann zur Kontosperrung und Rückforderung von Zahlungen führen.
Was passiert, wenn ein Unternehmen KI nutzt, um ein bekanntes, bestehendes System nachzubauen — etwa einen Persönlichkeitstest, ein Scoring-Modell oder ein Bewertungssystem?
- Das Konzept (z.B. "Persönlichkeit in 4 Typen einteilen") ist nicht schützbar — Ideen gehören niemandem
- Die spezifischen Fragen und Items sind urheberrechtlich geschützt: MBTI®-Fragen (Myers-Briggs), das DiSC®-Profil von Wiley, proprietäre Assessment-Systeme — hier liegt eine klare Verletzungsgrenze
- Markennamen, Logos, Systematiken sind zusätzlich durch Marken- und Designrecht geschützt
Leitfall: Das Landgericht München I hat am 11.11.2025 entschieden (GEMA gegen OpenAI, Az. 42 O 14139/24; nicht rechtskräftig, OpenAI hat Berufung eingelegt): Bereits die Speicherung geschützter Werke im KI-Modell und ihre Wiedergabe im Output verletzen das Urheberrecht — verantwortlich dafür ist der Anbieter, hier OpenAI (LTO-Bericht). Für Sie als Unternehmen ist das aber keine Entwarnung: Wer KI-Outputs, die geschütztes Material reproduzieren, kommerziell weiterverwendet oder veröffentlicht, haftet für diese Nutzung nach allgemeinen Grundsätzen selbst. Das Urteil verlagert die Verantwortung für das Modell zum Anbieter — nicht die Verantwortung für Ihre Verwendung der Inhalte.
Hochrisiko-Sonderfall: Scoring-Systeme zur Kreditwürdigkeit, Mitarbeiterbewertung oder Kundensegmentierung fallen unter den EU AI Act als Hochrisiko-Systeme (Anhang III) — mit Bußgeldern bis zu 35 Millionen Euro.
Faustregel: Lassen Sie sich von einem Anwalt beraten, bevor Sie ein KI-System auf Basis eines bekannten Bewertungs- oder Assessment-Systems entwickeln. Die Grenze zwischen "inspired by" und Urheberrechtsverletzung ist juristisch, nicht intuitiv.
Warum relevant? Was passiert wenn ignoriert?
Das österreichische Urheberrecht schützt „eigentümliche geistige Schöpfungen natürlicher Personen". KI-generierte Inhalte, die ohne wesentlichen menschlichen Schöpfungsbeitrag entstehen (reines Prompt → Übernahme), sind in Österreich und Deutschland nach aktueller Rechtslage nicht urheberrechtlich geschützt. Das bedeutet: Sie können diese Inhalte kommerziell nutzen, aber sie können sich auch niemand anderes exklusiv aneignen — was in bestimmten Branchen (Agenturen, Content-Erstellung) die Wertschöpfung kompliziert.
Das größere Risiko liegt auf der anderen Seite: Wenn eine KI auf urheberrechtlich geschütztem Material trainiert wurde und dieses in ihren Outputs reproduziert, haften Sie als Nutzer möglicherweise für Urheberrechtsverletzungen. Mehrere laufende Gerichtsprozesse in den USA und Europa (u.a. gegen Stability AI und OpenAI) werden diese Frage in den nächsten Jahren klären.
Die EU AI Act Transparenzpflichten für GPAI-Modelle (ab August 2025 wirksam) verpflichten Anbieter, eine Zusammenfassung der Trainingsdaten und der Urheberrechts-Compliance bereitzustellen. Das schützt Nutzer jedoch nicht automatisch — es schafft nur Transparenz.
Konkrete Lösungsbeispiele
- KI-Nutzung dokumentieren. Halten Sie fest: Welcher KI-Dienst wurde genutzt? Welches Modell? Welche Eingaben wurden gemacht? Diese Dokumentation ist im Streitfall Ihr wichtigstes Verteidigungsmittel und hilft, den menschlichen Schöpfungsbeitrag zu belegen.
- Vertragsklausel beim Anbieter prüfen. OpenAI garantiert in seinen Enterprise-Bedingungen, dass der Nutzer die Eigentumsrechte an seinen Outputs behält und bietet einen „Copyright Shield" (Freistellung bei Klagen). Prüfen Sie, ob Ihr Anbieter ähnliche Schutzklauseln hat — und ob Sie den richtigen Tarif nutzen, der diesen Schutz einschließt.
- KI-Bilder besonders vorsichtig behandeln. Bildgenerierungs-KI (Midjourney, DALL-E, Stable Diffusion) trägt derzeit das höchste Risiko, auf urheberrechtlich geschütztem Bildmaterial trainiert zu sein und stilistisch erkennbare Reproduktionen zu erzeugen. Für kommerzielle Nutzung: Anbieter mit klaren Lizenzmodellen bevorzugen (z.B. Adobe Firefly, das nur auf lizenziertem Material trainiert ist).
- Menschlichen Schöpfungsbeitrag dokumentieren. Wenn Sie KI-generierte Inhalte urheberrechtlich schützen möchten, muss ein nachweislicher menschlicher Schöpfungsbeitrag vorliegen: eigene Prompts, eigene Auswahl und Bearbeitung, eigene kreative Kombination. Halten Sie diesen Prozess fest.
- Code besonders prüfen. KI-generierter Code kann unter Open-Source-Lizenzen (GPL, MIT, Apache) stehen, wenn er aus lizenzierten Quellen stammt. Das bedeutet möglicherweise Pflichten zur Offenlegung oder Lizenzweitergabe, die sich auf Ihre Software-Produkte auswirken. Lassen Sie kritischen KI-Code durch einen Entwickler mit Lizenz-Expertise prüfen.
- Kennzeichnungspflicht ab August 2026 einhalten. Der EU AI Act verpflichtet ab dann zur Kennzeichnung bestimmter KI-generierter Inhalte — vor allem Bilder, Audio und Video (technisches Watermarking, Übergangsfrist bis Dezember 2026 für Bestandssysteme) sowie veröffentlichte Texte zu Themen von öffentlichem Interesse (Details in Modul 3, Don't #7). Bauen Sie jetzt die Prozesse dafür auf — nicht erst im Juli 2026 unter Zeitdruck.
6.8 — KI-Resilienz: Weiterarbeiten, wenn KI ausfällt
Was passiert, wenn OpenAI heute für 4 Stunden ausfällt — und 30% Ihrer Prozesse daran hängen?
KI-Systeme werden zunehmend Teil der Unternehmensinfrastruktur. Genau deshalb dürfen sie nicht mit einer ungeprüften Verfügbarkeitsannahme behandelt werden. OpenAI hatte 2023 und 2024 mehrere mehrstündige Ausfälle. Microsoft Copilot war bei größeren Azure-Incidents stundenlang nicht erreichbar. Wer seine Prozesse ohne Fallback gebaut hat, steht dann still.
Warum relevant? Was passiert wenn ignoriert?
Das Risiko wächst proportional zu Ihrer KI-Integration. Wenn KI für einzelne Tätigkeiten genutzt wird (Notizenzusammenfassung, Textentwürfe), ist ein Ausfall ärgerlich, aber verkraftbar. Wenn KI in Kernprozesse integriert ist — automatische Angebotserstellung, KI-gestützte Kundenkommunikation, automatisierte Buchhaltungsprozesse — ist ein mehrstündiger Ausfall ein betriebliches Notfallereignis.
Ein zentrales Risiko aus den zugrunde liegenden Forschungsdokumenten: Wenn Mitarbeiter den Gesamtprozess nicht mehr verstehen, weil sie nur noch KI-Teilschritte ausführen, können sie im Ausfallfall nicht einmal manuell einspringen. Das „De-Skilling"-Risiko — der Verlust von Kompetenzen durch Überabhängigkeit von KI — ist real und durch Forschung belegt (ausführlich, mit Studienlage und Gegenmaßnahmen: Modul 2, Baustein 2.6). Mitarbeiter, die nur noch „reviewen", was die KI produziert, verlieren sukzessive ihr Verständnis des Gesamtprozesses. In der Medizin ist dieses Phänomen bereits als konkretes Risiko diskutiert: Kliniker, die zu sehr auf KI-Diagnosevorschläge vertrauen, verlernen das eigenständige Denken.
Konkrete Lösungsbeispiele
- Abhängigkeits-Audit durchführen. Erstellen Sie eine Liste: Welche Prozesse in Ihrem Unternehmen wären bei einem 4-stündigen Ausfall Ihres KI-Hauptanbieters beeinträchtigt? Teilen Sie in drei Kategorien: Nicht betroffen / Beeinträchtigt, aber arbeitsfähig / Blockiert. Alles in der dritten Kategorie braucht einen Fallback-Plan.
- Fallback-Prozeduren dokumentieren. Für kritische Prozesse gilt: Der manuelle oder semi-manuelle Ablauf muss dokumentiert sein und von Mitarbeitern durchgeführt werden können. Das klingt anachronistisch — aber eine halbe Seite „Wie erstellen wir ein Angebot ohne KI" kann im Notfall eine Kundenbindung retten.
- Mitarbeiter-Skills nicht verkümmern lassen. Nutzen Sie KI als Assistenz, nicht als Vollersatz. Mitarbeiter, die einen Prozess nur noch „reviewen", verlieren ihr Verständnis für ihn. Planen Sie bewusst Übungen ein, bei denen kritische Aufgaben ohne KI erledigt werden — analog zum Flugtraining ohne Autopilot.
- SLA (Service Level Agreement) mit KI-Anbietern prüfen. Was garantiert Ihr Anbieter vertraglich an Verfügbarkeit? Was passiert bei Unterschreitung? OpenAI Enterprise-Verträge enthalten SLAs — überprüfen Sie, ob diese Ihren Anforderungen entsprechen und ob Schadensersatz bei Ausfällen geregelt ist.
- Redundanz durch Zweit-Anbieter. Für kritische KI-Funktionen: Halten Sie einen Zweitanbieter einsatzbereit. Das muss kein identischer Funktionsumfang sein — ein einfacherer, zuverlässigerer Service als Notfall-Fallback reicht. Wer Microsoft Copilot als primäres Tool nutzt, kann Claude oder Gemini als konfiguriertes Backup halten.
- Business Continuity Plan (BCP) für KI ergänzen. Wenn Sie bereits einen BCP haben: Ergänzen Sie ihn um KI-Ausfallszenarien. Wenn nicht: Der KI-BCP kann ein guter Startpunkt für einen allgemeinen BCP sein. Mindestinhalte: Kontaktliste der KI-Anbieter, Eskalationspfade, Fallback-Prozesse, maximale tolerierbare Ausfallzeit pro Prozess (RTO).
Zusammenfassung: Die 8 Bausteine auf einen Blick
| Baustein | Kern-Risiko wenn ignoriert | Erste Maßnahme |
|---|---|---|
| 6.1 Governance | Datenschutzverstöße, keine Verantwortung | KI-Owner benennen + 2-seitige Richtlinie |
| 6.2 Vendor Lock-in | Preisexplosion, kein Ausstieg möglich | Red-Flag-Klauseln im Vertrag prüfen |
| 6.3 Halluzinationen & Haftung | Haftung für falsche KI-Outputs | Human-in-the-Loop für Risikoklasse Rot |
| 6.4 Kundenkommunikation | Vertrauensverlust, Kennzeichnungspflicht | Segmentierungs-Matrix erstellen |
| 6.5 Nachhaltigkeit | ESG-Lücken, Lieferkettendruck | KI-Nutzung erfassen, effiziente Prompts |
| 6.6 Bias und Ethik | Diskriminierung, EU AI Act Bußgelder | Hochrisiko-Anwendungen identifizieren |
| 6.7 Urheberrecht | Lizenzstreitigkeiten, fehlender Schutz | Dokumentation + Anbieter-Copyright-Shield |
| 6.8 Resilienz | Prozessstillstand bei Ausfall | Abhängigkeits-Audit + Fallback dokumentieren |
Impressum & Quellen
Impressum
Herausgeber: x10aix.tech — Projekt der Dräxler Versicherungsberatung GmbH
Anschrift: Hetzendorfer Strasse 73a, 1120 Wien
Kontakt: contact@x10aix.tech
Verantwortlich für den Inhalt: Michael Dräxler
Publikationsdatum: Juni 2026 | Version 2.6 (Quellenrevision, KMU-Minipfad ergänzt, Lizenz-/RAG-/Nachhaltigkeitsaussagen vorsichtiger formuliert)
Quellen:
- EU AI Act Volltext
- EU-Kommission: AI Literacy — Questions & Answers
- Rat der EU: Digital Omnibus / AI-Act-Vereinfachung
- OpenAI Data Controls FAQ
- OpenAI ChatGPT Business Privacy
- n8n Sustainable Use License
- Perplexity Enterprise Pricing / Data Privacy
- LG München I, 11.11.2025, Az. 42 O 14139/24 (GEMA/OpenAI, nicht rechtskräftig)
- BestBrokers: AI's Power Demand (ChatGPT-Stromverbrauch)
- WKO: AI Act und Kennzeichnungspflichten
- WKO Kennzeichnungspflicht KI-Inhalte
- TS Rechtsanwälte Wien: KI Urheberrecht 2026
- Kliemt.blog: Haftung bei KI-Nutzung
- Skill-Sprinters: KI Exit-Strategie Mittelstand
- Kauz.ai: Vendor Lock-in bei KI vermeiden
- AGEV: ChatGPT-Stromverbrauch
- GI-Studie Wasser und KI (2025)
- Microsoft: Nachhaltigkeit in Rechenzentren
- Grant Thornton Österreich: EU AI Act Diskriminierungsfreiheit
- WorkIdentity: KI in der Personalauswahl - Bias
- Bundesstiftung Gleichstellung: AGG und algorithmische Entscheidungssysteme
Haftungsausschluss:
Diese Publikation wurde mit Unterstützung von KI-Systemen erstellt und von Michael Dräxler inhaltlich geprüft. Sie stellt allgemeine, unverbindliche Information dar und ersetzt keine individuelle rechtliche oder unternehmerische Beratung. Jede Haftung für Schäden, die direkt oder indirekt aus der Nutzung dieser Informationen entstehen, wird ausgeschlossen. Angaben zum Stand: Juni 2026.
Benachrichtigung bei neuer Version — keine Werbung, kein Spam.
Sie wollen wissen, wo Ihr Unternehmen aktuell steht?
In einem AI Sounding Board prüfen wir gemeinsam, welche KI-Nutzung bei Ihnen bereits stattfindet, wo Risiken entstehen und welche nächsten Schritte wirtschaftlich sinnvoll sind.
▸ AI Sounding Board anfragen