KI und Recht: Dein Handlungsbedarf heute

Eine neue Studie hat zwölf führende KI-Modelle auf ihre Konformität mit DSGVO und EU AI Act geprüft. Ergebnis: Keines besteht. Nicht knapp, sondern grundsätzlich.

Das klingt dramatisch, ist aber kein Grund zur Panik. Es ist ein Grund zur Klarheit. Die rechtliche Verantwortung für den Einsatz dieser Systeme liegt nicht bei OpenAI oder Google, sondern bei dir als Unternehmen. Das war schon immer so.

Was die Studie konkret beanstandet: Die Anbieter haben beim Training massenhaft Webseiten gescrapt, ohne rechtliche Grundlage. Amnesty International spricht von illegalem Web-Scraping in großem Stil. Hinzu kommen fehlende Transparenz über Trainingsdaten, unzureichende Dokumentation und mangelnde Mechanismen, mit denen Betroffene ihre Datenschutzrechte geltend machen könnten. Die Modelle wurden gebaut, bevor die Regeln standen, und niemand hat sauber nachgerüstet.

Ab 2. August gelten zudem neue Pflichten für Hochrisiko-KI. Wer solche Systeme einsetzt, etwa in der Personalentscheidung oder in sicherheitskritischen Bereichen, braucht dann eine Grundrechte-Folgenabschätzung. Für die meisten Mittelständler ist das noch kein Thema, aber es lohnt sich, das einmal ehrlich zu prüfen.

Was du praktisch tust: Keine personenbezogenen Daten in öffentliche KI-Modelle eingeben, die du nicht kontrollierst. Wenn du KI-Tools produktiv nutzt, dokumentiere Zweck und Datenbasis. Und prüfe, ob dein Anbieter einen Auftragsverarbeitungsvertrag anbietet, ohne den bewegst du dich auf dünnem Eis.

Die eigentliche Botschaft der Studie ist nicht, dass KI verboten gehört. Sie zeigt, dass die Branche bei der Compliance hinterherhinkt und der regulatorische Druck steigt. Wer KI sorgfältig und dokumentiert einsetzt, ist auf der sicheren Seite. Wer es unkritisch tut, trägt das Risiko allein.

• artificialintelligenceact.eu · 30. Mai 2026
• artificialintelligenceact.eu · 31. Mai 2026
• artificialintelligenceact.eu · 30. Mai 2026
• artificialintelligenceact.eu · 30. Mai 2026

Bevor du weiterliest: Das ist kein Grund zur Panik, sondern ein Lehrstück in schlechter Verwaltung. Wer Nutzungslimits einrichtet, hat dieses Problem schlicht nicht.

Ein großer Konzern soll laut Berichten rund 500 Millionen Dollar für die KI Claude ausgegeben haben, weil niemand die Mitarbeiternutzung begrenzt hatte. Kein Limit, kein Monitoring, keine Kostenkontrolle. Das Ergebnis: eine Rechnung, die außer Kontrolle geriet.

Für deinen Betrieb ist die Botschaft eindeutig: KI-Dienste wie Claude, ChatGPT oder Gemini sind keine Flatrates. Du zahlst pro Anfrage, pro verarbeitetem Text, pro generierter Antwort. Wer das nicht im Blick hat, erlebt böse Überraschungen auf der Monatsrechnung.

Die Lösung ist technisch unspektakulär. Alle großen Anbieter erlauben es, monatliche Ausgabenlimits zu setzen und Warnmeldungen ab einem bestimmten Schwellenwert zu aktivieren. Das dauert zehn Minuten und kostet nichts. Wer KI über eine zentrale Plattform wie Microsoft 365 Copilot einsetzt, kann die Nutzung pro Nutzer oder Abteilung steuern.

Der eigentliche Fehler in solchen Fällen ist kein technischer, sondern ein organisatorischer: KI wird eingeführt, aber niemand ist verantwortlich für Kosten und Kontrolle. Leg fest, wer in deinem Betrieb den Überblick hat. Eine Person, ein Dashboard, ein monatlicher Check reichen für die meisten mittelständischen Unternehmen völlig aus.

• golem.de · 31. Mai 2026

Kein Grund zur Panik, aber ein guter Anlass, eine Regel im Team klarzumachen: Geteilte ChatGPT- oder Claude-Chats, die dir jemand unaufgefordert schickt, einfach nicht anklicken.

Das Prinzip hinter dem Angriff ist nicht neu. Angreifer erstellen Chats, die aussehen wie echte Fehlermeldungen oder Installationsanleitungen, und teilen sie als Link. Weil der Link auf den Domains von OpenAI oder Anthropic liegt, stufen viele Sicherheitstools ihn als harmlos ein. Der Schaden entsteht, wenn jemand den Anweisungen im Chat folgt und dabei unwissentlich Schadsoftware installiert.

Für deinen Betrieb heißt das konkret: Geteilte KI-Chats sind kein vertrauenswürdiges Format für offizielle Anleitungen oder IT-Hinweise. Wer dir einen solchen Link schickt und sagt "Folg einfach den Schritten", sollte skeptisch machen. Das gilt besonders für Links aus E-Mails, WhatsApp oder unbekannten Quellen.

Wer intern KI-Chats teilt, etwa um Prozesse zu dokumentieren, sollte das über eigene, kontrollierte Kanäle tun. Ein geteilter Chat ist kein Dokument, er kann jederzeit verändert oder missbraucht werden.

Die gute Nachricht: Wer keine fremden Anleitungen aus unbekannten Quellen ausführt, ist durch diesen Angriff nicht gefährdet. Das ist keine neue Bedrohungskategorie, sondern eine alte Masche in neuem Gewand.

• the-decoder.de · 30. Mai 2026

Schnell eingeführt, dann vergessen: Genau das passiert gerade mit KI-Agenten in vielen Betrieben. Studien zeigen, dass über die Hälfte der laufenden Agenten niemanden hat, der sie regelmäßig prüft. Die Lösung ist nicht kompliziert: Mach einmal im Quartal einen kurzen Bestandscheck. Welche Agenten laufen? Wer ist verantwortlich? Liefern sie noch das, wofür sie gebaut wurden?

Das klingt nach Verwaltungsaufwand, ist aber das Gegenteil. Ein Agent, der unbemerkt fehlerhafte Ausgaben produziert oder auf veralteten Daten arbeitet, kostet mehr als die zehn Minuten, die ein Check dauert. Ein konkretes Beispiel: Ein Agent, der Angebote auf Basis veralteter Preislisten verschickt, verursacht entweder direkte Verluste oder beschädigt das Vertrauen beim Kunden. Beides ist teurer als ein kurzer Blick ins System.

Beim Quartalsscheck lohnen sich vier Punkte: Erstens, arbeitet der Agent noch auf aktuellen Daten? Zweitens, wie hoch ist die Fehlerquote bei seinen Ausgaben? Drittens, werden seine Ergebnisse irgendwo validiert, bevor sie weiterverwendet werden? Viertens, hat sich der Prozess, in den er eingebettet ist, seit der Einführung verändert?

Das Muster ist bekannt aus der klassischen IT: Software wird eingeführt, läuft eine Weile gut, dann ändert sich die Umgebung, und niemand merkt es rechtzeitig. Bei KI-Agenten ist das Risiko höher, weil sie eigenständig handeln und Fehler sich schneller multiplizieren.

Für die meisten mittelständischen Betriebe bedeutet das konkret: Leg für jeden Agenten fest, wer ihn verantwortet, und setz dir eine Erinnerung, ihn alle paar Monate anzuschauen. Keine große Governance-Struktur nötig, keine externe Beratung. Eine einfache Liste reicht.

• t3n.de · 31. Mai 2026

Produktivitätsmessung per Software, automatische Auswertung von Kommunikation, Bewegungsprofile im Homeoffice: Viele Unternehmen setzen solche Tools ein, oft ohne zu wissen, wo die rechtliche Grenze liegt. Datenschutzbehörden und Arbeitsgerichte ziehen diese Grenze gerade deutlich schärfer.

Das Grundproblem ist nicht neu, aber es spitzt sich zu. KI-gestütztes Monitoring kann sehr schnell in den Bereich eingreifen, den das Datenschutzrecht schützt: die Persönlichkeitsrechte von Beschäftigten. Wer Tastenanschläge zählt, Screenshots automatisiert oder Kommunikationsverläufe auswertet, braucht dafür eine klare Rechtsgrundlage, in der Regel eine Betriebsvereinbarung und eine wasserdichte Datenschutzfolgenabschätzung.

Was Gerichte konkret beanstanden: fehlende Transparenz gegenüber den Beschäftigten, keine nachvollziehbare Zweckbindung und Auswertungen, die über das hinausgehen, was für den Betrieb tatsächlich notwendig ist. In mehreren Fällen wurden Abmahnungen und Kündigungen, die auf solchen Daten basierten, vor Gericht gekippt, weil die Datenerhebung selbst unzulässig war.

Für deinen Betrieb heißt das: Schau dir an, welche Tools ihr einsetzt, die Verhalten oder Leistung von Mitarbeitenden erfassen. Das können spezialisierte Monitoring-Lösungen sein, aber auch Funktionen in Projektmanagement-Software oder Videokonferenz-Tools, die Aktivitätsdaten sammeln. Prüfe, ob ihr darüber transparent informiert habt und ob eine Rechtsgrundlage dokumentiert ist.

Wer einen Betriebsrat hat, muss diesen ohnehin einbinden. Wer keinen hat, sollte trotzdem dokumentieren, was erhoben wird und warum. Das schützt nicht nur vor Bußgeldern, sondern auch davor, dass Personalentscheidungen später angreifbar werden.

Kurz gesagt: Monitoring ist nicht verboten, aber es muss transparent, verhältnismäßig und dokumentiert sein. Wer das nicht prüft, riskiert, dass seine Daten vor Gericht wertlos sind.

• artificialintelligenceact.eu · 31. Mai 2026

Dein Daily Morning Briefing. Direkt ins Postfach.

Jeden Morgen das Wichtigste aus dem KI-Maschinenraum, in 5 Minuten gelesen. Von Basti persönlich zusammengestellt.

15 Min Gespräch, kostenlos.

Wir schauen, wo KI in deinem Betrieb sofort Stunden spart.