Welche Gesetze regeln die KI-Nutzung in Deutschland?
Januar 2026
Die rechtliche Regulierung von KI in Deutschland ist kein Einzelgesetz, sondern ein Zusammenspiel verschiedener Regelwerke. Diese haben wir nach Wichtigkeit und praktischen Auswirkungen für Unternehmen gestaffelt. Darüber hinaus gibt es weitere bedeutsame Spezialgesetze, die den KI-Einsatz in bestimmten Branchen regeln.
1. Die KI-Verordnung
Die KI-Verordnung ist seit August 2024 in Kraft und gilt unmittelbar in allen EU-Mitgliedstaaten. Sie bildet das Fundament der KI-Regulierung und unterscheidet zwischen verschiedenen Rollen und Risikoklassen, an die sich die rechtlichen Folgen knüpfen.
Der AI Act unterteilt KI-Anwendungen nach Risiko:
Verbotene KI (Anwendungen, die Grundrechte verletzen),
Hochrisiko-KI (z. B. in der Personalgewinnung mit Pflichten wie Konformitätsbewertung, Risikomanagement, Transparenz, Datenqualität),
Transparenzpflichten (z. B. Chatbots oder Deepfakes)
Nicht geregelte KI (z. B. KI in Videospielen, nur allgemeine Anforderungen),
Ki-Modelle mit allgemeinem Verwendungszweck (auch GPAI genannt, für diese gelten Sonderregeln, die in erster Linie den Anbieter treffen).
2. Datenschutzrecht
Beim Einsatz von KI sind bereits jetzt die Datenschutzgesetze einzuhalten. Voraussetzung ist, dass der Anwendungsbereich der Datenschutzgesetze eröffnet ist, d. h. mit der KI personenbezogene Daten verarbeitet werden.
Die Grundsätze der DSGVO wie Rechtmäßigkeit, Zweckbindung, Transparenz, Datenminimierung, Richtigkeit müssen beachtet werden. Rechtmäßigkeit bedeutet, eine Datenverarbeitung muss durchgängig auf Rechtsgrundlagen gestützt werden können.
Besonders relevant ist Artikel 22 DSGVO, der festlegt, dass Entscheidungen, die ausschließlich auf automatisierter Verarbeitung beruhen und bedeutende Auswirkungen haben, grundsätzlich nur mit ausdrücklicher Einwilligung der betroffenen Person, zur Erfüllung eines Vertrags mit der jeweils betroffenen Person, oder aufgrund einer rechtlichen Verpflichtung zulässig sind.
Praktisch häufig spannend ist die Einbindung von Dienstleistern. Wenn Daten (auch) zur Weiterentwicklung der Modelle genutzt werden, ist besonderes Augenmerk auf die Abgrenzung zwischen Auftragsverarbeitung und gemeinsamer Verantwortung zu legen und der richtige Vertrag zu schließen. Da viele Anbieter in Drittstaaten außerhalb der EU, insbesondere den USA und China, sitzen, sind auch die Regelungen zum internationalen Datentransfer hoch relevant.
3. Urheberrecht und geistiges Eigentum
Das KI-Training kann unter den Begriff des Text und Data Mining gefasst werden. Die Vervielfältigungen können daher zulässig sein, ohne dass von betroffenen Rechteinhabern individuell eine Erlaubnis eingeholt werden muss. Allerdings gibt es eine wichtige Einschränkung: Die gesetzliche Erlaubnis kommt nur dann zur Anwendung, wenn kein Vorbehalt gegen die Nutzung der Werke abgegeben worden ist. Die Erklärung muss für online veröffentlichte Inhalte in maschinenlesbarer Form erfolgen.
Input-Daten klären
Die Nutzung von Daten als Input für KI-Systeme erfordert eine sorgfältige Rechteklärung auf mehreren Ebenen. Die Schrankenbestimmung für Text und Data Mining aus § 44b UrhG umfasst auch die Verwendung von Werken als Inputdaten für KI-Systeme. Diese werden nicht bei der Entwicklung, sondern bei der Anwendung einer KI als Berechnungsgrundlage zur Erzeugung konkreten Outputs genutzt.
Doch die urheberrechtliche Zulässigkeit von Daten, die aus Text und Data Mining stammen, ist nur ein Aspekt. Bei KI-Anwendungen, die auf Unternehmensdaten trainiert werden oder diese verarbeiten, müssen Unternehmen sicherstellen, dass sie über die notwendigen Rechte verfügen. Dies betrifft insbesondere Kundendaten, Vertragsdokumente, E-Mails, Präsentationen oder andere Geschäftsunterlagen.
Wenn Kunden oder Geschäftspartner Daten oder Werke bereitstellen (z. B. Texte, Bilder, Designs), ist vertraglich zu klären, ob diese für KI-Training oder KI-gestützte Verarbeitung genutzt werden dürfen. Die ursprünglichen Verträge decken eine solche Nutzung oft nicht ab.
Output-Prüfung auf urheberrechtliche Dopplungen
Die kommerzielle Nutzung KI-generierter Inhalte birgt Haftungsrisiken, wie ein Urteil des Landgerichts München I zeigt. Im entschiedenen Fall hatte ein Musikverlag geklagt, weil ChatGPT auf entsprechende Aufforderung hin geschützte Liedtexte vollständig oder nahezu vollständig wiedergegeben hatte. Das Gericht stellte fest, dass die Werke in ihren wesentlichen Zügen im Sprachmodell wiedererkennbar gespeichert waren.
Das Gericht bewertete sowohl das Training des KI-Systems mit den geschützten Werken als auch die Ausgabe der Liedtexte als Output als unzulässige Vervielfältigung und öffentliche Zugänglichmachung. Entscheidend war, dass die KI die Texte nicht nur ähnlich, sondern in ihrer konkreten Ausgestaltung wiedergab.
Dieses Urteil macht deutlich: Wer KI-generierte Inhalte nutzt, muss aktiv überprüfen, ob diese geschützte Werke reproduzieren. Die bloße Behauptung, man habe nicht gewusst, dass die KI fremde Inhalte ausgebe, schützt nicht vor Haftung.
Bei der Veröffentlichung von KI-Outputs ist große Sorgfalt geboten. Es ist stets für den Einzelfall zu prüfen, inwieweit der Inhalt mit bereits bestehenden Werken übereinstimmt. Ist kein hinreichender Abstand zu bereits bestehenden Werken gegeben, muss der Output noch einmal derart verändert werden, dass die Veränderung selbst eine eigene Schöpfung darstellt, oder eine Erlaubnis zur Nutzung beim Urheber eingeholt werden.
Unternehmen sollten daher systematische Prüfprozesse etablieren: KI-generierte Texte durch Plagiatsscanner laufen lassen, Bilder durch Rückwärtssuche prüfen und bei kommerzieller Nutzung zusätzliche manuelle Kontrollen durchführen. Die Dokumentation dieser Prüfungen schafft Nachweisbarkeit im Streitfall.
KI-generierte Werke ohne Urheberrechtsschutz
In der Regel sind KI-generierte Inhalte und Materialien nicht urheberrechtlich geschützt, sondern gemeinfrei. Das liegt daran, dass das Urheberrecht ein personenbezogenes Schutzrecht ist. Es gilt nur für persönliche, geistige Schöpfungen eines Menschen.
Auch der Anwender einer KI erwirbt regelmäßig kein Urheberrecht. Nicht ausreichend ist das sogenannte "prompten", die Fragestellung an die KI, sei sie auch noch so detailliert. Meist enthalten die Anweisungen an die KI nur reine Ideen, die noch keinen eigenständigen Schutz genießen und erst durch die KI ausgestaltet werden.
Das bedeutet: Weder der Anbieter einer KI noch deren Nutzer noch die KI selbst sind Inhaber von Urheberrechten an den KI-generierten Inhalten. Dies hat zur Folge, dass KI-generierte Werke häufig nicht urheberrechtlich geschützt sind.
Werden KI-generierte Outputs menschlich weiterverarbeitet, wird es spannend. Damit ein Urheberrecht besteht, muss eine sogenannte "Schöpfungshöhe" erreicht werden. Ob dies der Fall ist, wird häufig eine Einzelfallentscheidung sein.
4. Geschäftsgeheimnisschutz
Nach § 2 Nr. 1 GeschGehG ist ein Geschäftsgeheimnis eine Information, die geheim ist und aufgrund dieser Geheimhaltung einen wirtschaftlichen Wert hat, Gegenstand von angemessenen Geheimhaltungsmaßnahmen ist und ein berechtigtes Interesse an der Geheimhaltung besteht.
Die entscheidende Voraussetzung: Der Inhaber des Geschäftsgeheimnisses muss dieses durch angemessene Geheimhaltungsmaßnahmen schützen. Hierunter fallen rechtliche Maßnahmen wie beispielsweise Geheimhaltungsverträge mit Vertragsstraferegelung für den Fall der Zuwiderhandlung, aber auch technisch-organisatorische Maßnahmen wie Zutrittskontrollen zum Betriebsgelände, Passwortschutz und Verschlüsselung digitaler Informationen. Alle getroffenen Maßnahmen müssen genauestens dokumentiert werden, damit diese im Streitfall dargelegt und bewiesen werden können.
Trifft das Unternehmen keine oder keine ausreichenden Geheimhaltungsmaßnahmen, unterfällt es nicht mehr dem Schutz des Geschäftsgeheimnisgesetzes. Es gilt der Grundsatz: Nur wer schützt, wird auch geschützt.
Ein unbedachter Mitarbeiter kann ausreichen: Das Ende des Geheimnisschutzes
Die größte Schwachstelle vieler Unternehmen liegt nicht in der Technik, sondern im menschlichen Faktor. Wenn Mitarbeiter Geschäftsgeheimnisse in das Dialogfenster von ChatGPT eingeben, könnte der Mitarbeiter als Rechtsverletzer gelten, sofern dies eine unrechtmäßige Offenlegung darstellt. OpenAI speichert Eingaben und nutzt diese zur Verbesserung ihrer Dienste.
Die Konsequenz: Die eingegebenen Informationen könnten nicht nur gegenüber OpenAI offengelegt werden, sondern eventuell sogar gegenüber anderen Nutzern von ChatGPT, wenn die Geschäftsgeheimnisse diesen gegenüber als Folge eines Prompts wieder ausgegeben werden.
Das bedeutet konkret: Sobald vertrauliche Informationen eingegeben werden, sind sie potenziell für jeden abrufbar und damit nicht mehr geheim. Der Geschäftsgeheimnisschutz ist verloren.
Schutzmaßnahmen: Dreifacher Ansatz erforderlich
Um Geschäftsgeheimnisse zu schützen, müssen Unternehmen auf drei Ebenen aktiv werden: Interne Richtlinien, die genau regeln, welche Informationen nicht in KI-Tools eingegeben werden dürfen, technische Maßnahmen wie die Sperrung bestimmter Dienste oder die Nutzung nur mit deaktivierten Trainingsfunktionen sowie vertragliche Absicherung durch Auftragsverarbeitungsverträge und Geheimhaltungsklauseln mit KI-Dienstleistern.
5. Schutz vor Diskriminierung: AGG
Arbeitgeber sind gemäß § 12 Allgemeines Gleichbehandlungsgesetz (AGG) verpflichtet, Maßnahmen zum Schutz vor Benachteiligungen wegen der in § 1 AGG genannten Gründe zu ergreifen. Nach § 1 AGG sollen Benachteiligungen aus Gründen der Rasse, der ethnischen Herkunft, des Geschlechts, der Religion oder Weltanschauung, einer Behinderung, des Alters oder der sexuellen Identität verhindert oder beseitigt werden.
Ein KI-System, das mit historischen Bewerbungsdaten trainiert wurde, könnte lernen, männliche Bewerber automatisch positiver zu bewerten, wenn das Unternehmen in der Vergangenheit beispielsweise deutlich häufiger männliche Bewerber eingestellt hat. Solche Verzerrungen (Bias) können zu AGG-Verstößen führen.
6. Haftungsrecht: Produkthaftung und zivilrechtliche Verantwortung
Bereits nach geltendem Recht haftet jeder für seine eigenen Aussagen, Handlungen und Produkte. Für die von KI generierten Inhalte haftet der Verwender, im Zweifel also das Unternehmen, das KI-generierte Texte und Bilder im eigenen Namen nutzt bzw. sich die Ergebnisse einer KI zu eigen macht. Die KI selbst haftet hingegen nicht. Es fehlt ihr bereits an einer eigenen Rechtspersönlichkeit.
Das Landgericht Kiel entschied, dass für die Veröffentlichung falscher Informationen der Betreiber der Plattform als Verwender der Software haftet. Er habe sich zur Beantwortung der Suchanfragen auf seiner Website willentlich einer eigenen KI-basierten Software bedient.
Das Neue bei KI: Autonome Agenten und selbstständige Handlungen
Die besondere Herausforderung liegt in der Autonomie moderner KI-Systeme. KI-Agenten sind in der Lage, eigenständig Entscheidungen zu treffen und Aktionen auszuführen. Sie können nicht nur auf Prompts reagieren, sondern eigenständig Entscheidungen treffen.
Das Risikoprofil kann sich damit erheblich von anderen KI-Systemen unterscheiden, denn während LLMs bislang primär Text generierten, können KI-Agenten aktiv in Geschäftsabläufe eingreifen und Handlungen mit realwirtschaftlichen Konsequenzen auslösen. Beispiele: Ein KI-Agent in der Buchhaltung genehmigt eigenständig eine Zahlung auf Basis fehlerhafter Daten, ein KI-Recruiting-System lehnt qualifizierte Bewerber diskriminierend ab oder ein Logistik-Agent steuert einen Lagerroboter falsch.
Wer sich auf Output verlässt, trägt Verantwortung
In der Regel trägt das Unternehmen, das KI-Modelle einsetzt, die Verantwortung für deren Handlungen, heißt, auch für deren Fehler. Tritt ein Schaden auf, weil Ihr KI-Agent einen Fehler macht, etwa durch falsche Datenverarbeitung, eine fehlerhafte Beratung oder einen Datenschutzverstoß, verbleibt die rechtliche Verantwortung für Schäden in der Regel bei Ihnen als Unternehmen.
Auch für Geschädigte wird es anspruchsvoll
Die Beweisführung für Geschädigte gestaltet sich schwierig. Es ist oft schwierig, den kausalen Zusammenhang zwischen einem Schaden und einem Fehler in der KI nachzuweisen. Wer hat den Schaden verursacht: der Hersteller des KI-Modells, der Anbieter der konkreten Anwendung oder der Nutzer, der das System falsch konfiguriert hat?
7. Betriebsverfassungsrecht: Mitbestimmung des Betriebsrats
Der Betriebsrat hat beim KI-Einsatz weitreichende Rechte. Dabei ist der Arbeitgeber verpflichtet, den Betriebsrat rechtzeitig und umfassend über den geplanten Einsatz von KI-Systemen sowie über deren Auswirkungen auf die Arbeitsabläufe zu unterrichten und relevante Unterlagen vorzulegen.
In der Regel muss der Betriebsrat bei der Einführung und Anwendung von technischen Einrichtungen mitbestimmen, da diese dazu geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Bei software- oder webbasierten KI-Anwendungen handelt es sich grundsätzlich um technische Einrichtungen in diesem Sinne.
In der Praxis bedeutet dies häufig, dass eine Betriebsvereinbarung geschlossen werden muss. Die Verhandlungen hierfür können sich, gerade bei komplexerer Technologie, als langwierig gestalten. Hier kann externe juristische Beratung helfen.
Fazit: Ein komplexes Regelwerk, das strategisches Handeln erfordert
Die Regulierung von KI in Deutschland ist vielschichtig und betrifft nahezu alle Unternehmensbereiche. Erfolgreiche Unternehmen verstehen, dass KI-Compliance kein isoliertes Thema ist, sondern eine Querschnittsaufgabe: Datenschutz, Arbeitsrecht, IP-Schutz und Produktsicherheit greifen ineinander.
Wer diese Anforderungen frühzeitig strukturiert und systematisch umsetzt, schafft nicht nur Rechtssicherheit, sondern auch Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern. KI-Governance wird so zum strategischen Vorteil.
MAINLY unterstützt mittelständische Unternehmen und Startups dabei, KI rechtssicher einzusetzen und alle relevanten Rechtsgebiete von der KI-Verordnung über Datenschutz bis zum Haftungsrecht in einem ganzheitlichen Compliance-Konzept zu integrieren.
