Orilian, Marketing & BeyondOrilian, Marketing & Beyond
Alle Beiträge

KI & Recht

KI im Unternehmen: Was Sie dürfen, was nicht und warum Sie eine KI-Richtlinie brauchen

Normen Daunderer
Normen Daunderer

08. Juli 2026 · 5 Min. Lesezeit

Team bespricht den Einsatz von KI-Werkzeugen im Unternehmen (Bild KI-gestützt erstellt)
Bild KI-gestützt erstellt

Das Wichtigste in Kürze

Unternehmen dürfen KI breit einsetzen, brauchen aber klare Regeln: KI-generierte Inhalte je nach Kontext kennzeichnen, keine vertraulichen Daten in offene Tools geben, KI-Output vor Veröffentlichung prüfen. Reiner KI-Output genießt in der Regel keinen Urheberschutz. Eine kurze, praxisnahe KI-Richtlinie schafft Sicherheit für alle Mitarbeiter, ohne den Nutzen der Werkzeuge auszubremsen.

In fast jedem Betrieb, den wir betreuen, wird inzwischen mit KI gearbeitet. Texte, Bilder, Übersetzungen, Angebotsentwürfe: Die Werkzeuge sind da und sie werden genutzt, oft ohne dass die Geschäftsführung davon weiß. Genau das ist das eigentliche Risiko. Nicht die KI selbst, sondern der ungeregelte Umgang mit ihr.

Wir führen seit einiger Zeit KI in die Geschäftsprozesse mittelständischer Unternehmen ein und sehen dabei immer dasselbe Muster: Die Mitarbeiter sind längst weiter als die offiziellen Regeln. Wer jetzt keine Leitplanken setzt, bekommt Schatten-KI: Jeder nutzt privat sein Lieblingstool und niemand weiß, welche Firmendaten dabei wohin fließen. Die gute Nachricht: Mit einer überschaubaren KI-Richtlinie lässt sich das Problem pragmatisch lösen, ganz ohne Panik und ohne Verbotskultur.

Kennzeichnungspflicht: Was der EU AI Act verlangt

Der EU AI Act bringt gestaffelte Pflichten, und für die meisten Betriebe ist vor allem die Transparenz relevant. Wer Deepfakes oder täuschend echte KI-Inhalte veröffentlicht, muss sie als künstlich erzeugt kennzeichnen. Auch Chatbots müssen sich als solche zu erkennen geben: Ihre Kunden dürfen nicht glauben, sie schreiben mit einem Menschen, wenn eine Maschine antwortet.

Für den Alltag heißt das: Ein KI-gestützt formulierter Blogbeitrag, den ein Mensch geprüft und verantwortet hat, ist etwas anderes als ein fotorealistisches KI-Bild, das eine reale Szene vortäuscht. Beim ersten reicht redaktionelle Verantwortung, beim zweiten gehört ein Hinweis dazu. Wir empfehlen unseren Kunden, im Zweifel großzügig zu kennzeichnen. Das kostet nichts, schafft Vertrauen und nimmt Kritikern von vornherein den Wind aus den Segeln.

Ein Beispiel aus unserer Arbeit: Bildwelten, die wir KI-gestützt für Websites erstellen, versehen wir mit einem entsprechenden Hinweis im Alternativtext oder Impressum. Kein Kunde hat sich je daran gestört, aber mehrere haben sich ausdrücklich bedankt, weil sie die Frage danach von eigenen Kunden gestellt bekamen und eine saubere Antwort hatten. Transparenz ist hier keine Last, sondern ein Verkaufsargument.

Urheberrecht: Wem gehört, was die KI erzeugt?

Hier liegt das größte Missverständnis. Nach deutschem Urheberrecht schützt das Gesetz persönliche geistige Schöpfungen von Menschen. Ein Bild oder Text, den eine KI ohne wesentlichen menschlichen Gestaltungsanteil erzeugt hat, genießt in der Regel keinen Urheberschutz. Das bedeutet: Sie können Wettbewerber kaum daran hindern, Ihr rein KI-generiertes Logo oder Ihre KI-Bilder zu übernehmen.

Umgekehrt lauert das Risiko auf der Eingangsseite: Wer die KI gezielt im Stil eines lebenden Künstlers oder mit fremden Markenlogos arbeiten lässt, kann bestehende Rechte verletzen. Für die Vermarktung von KI-Inhalten gilt deshalb eine einfache Faustregel: KI-Output als Rohmaterial behandeln, menschlich überarbeiten, keine fremden Stile oder Marken imitieren und bei zentralen Assets wie dem Firmenlogo weiterhin auf klassische Gestaltung mit sauberer Rechtekette setzen.

Prüfen Sie außerdem die Nutzungsbedingungen Ihrer Werkzeuge, bevor Sie Ergebnisse kommerziell verwenden. Die Anbieter unterscheiden sich erheblich darin, was sie für die geschäftliche Nutzung erlauben und welche Zusicherungen sie geben. Wer hier fünf Minuten liest, erspart sich später unangenehme Diskussionen.

Datenschutz: Welche Daten dürfen in welches Tool?

Die wichtigste Frage im Betriebsalltag lautet nicht, ob KI erlaubt ist, sondern welche Daten hinein dürfen. Kundennamen, Gesundheitsdaten, Vertragsdetails, Gehälter: All das hat in einem frei zugänglichen Chatbot mit Standardeinstellungen nichts verloren. Viele Anbieter nutzen Eingaben zum Training, sofern man dem nicht widerspricht oder eine Unternehmenslizenz mit entsprechenden Zusicherungen abschließt.

Praktisch bewährt hat sich bei unseren Kunden ein Ampelmodell. Grün: öffentliche Informationen und allgemeine Aufgaben, frei nutzbar. Gelb: interne, aber unkritische Inhalte, nur in freigegebenen Tools mit Geschäftsvertrag und Auftragsverarbeitung. Rot: personenbezogene und vertrauliche Daten, nur in geprüften Umgebungen oder gar nicht. Dieses Modell versteht jeder Mitarbeiter in fünf Minuten und es deckt die DSGVO-Grundfragen ab, ohne dass jeder Einzelfall juristisch diskutiert werden muss.

Die KI-Richtlinie: Was konkret hineingehört

Eine brauchbare KI-Richtlinie für den Mittelstand passt auf zwei bis drei Seiten. Hinein gehört erstens eine Liste der freigegebenen Tools mit den zugehörigen Accounts, denn Firmendaten gehören in Firmenaccounts, nicht in private Logins. Zweitens das Ampelmodell für Daten. Drittens die Kennzeichnungsregeln: Wann weisen wir auf KI-Einsatz hin, intern wie extern. Viertens der Grundsatz der menschlichen Endkontrolle: Kein KI-Ergebnis geht ungeprüft an Kunden, in Verträge oder auf die Website.

Dazu kommen Zuständigkeiten: eine Ansprechperson für neue Tools und Fragen, ein einfacher Weg, um Fehler oder Pannen zu melden, und ein fester Termin, um die Richtlinie regelmäßig zu überprüfen. Denn die Werkzeuge ändern sich schnell, und eine Richtlinie von gestern hilft morgen niemandem. Wichtig ist der Ton: Die Richtlinie soll den Einsatz von KI ermöglichen und absichern, nicht verhindern. Betriebe, die nur verbieten, treiben ihre Leute in die private Nutzung und verlieren jede Kontrolle.

Unsere Erfahrung nach vielen Einführungsprojekten: Der Aufwand ist überschaubar, der Effekt groß. Ein Workshop mit der Führungsebene, eine kurze Schulung für das Team, ein Dokument, das jeder versteht. Danach arbeiten alle schneller und die Geschäftsführung schläft besser. Genau so pragmatisch sollte man das Thema angehen.

Häufige Fragen

Müssen wir jeden KI-generierten Text auf der Website kennzeichnen?

Nein, eine pauschale Pflicht für redaktionell geprüfte Texte gibt es derzeit nicht. Kennzeichnen müssen Sie täuschend echte KI-Inhalte wie Deepfakes sowie Chatbots im Kundenkontakt. Wir empfehlen trotzdem, den KI-Einsatz transparent zu machen, weil das Vertrauen schafft und rechtlich auf der sicheren Seite liegt.

Dürfen Mitarbeiter private KI-Accounts für Firmenaufgaben nutzen?

Davon raten wir klar ab. In privaten Accounts fehlen Auftragsverarbeitungsvertrag, Trainingsausschluss und jede Kontrolle durch das Unternehmen. Stellen Sie stattdessen freigegebene Firmenaccounts bereit und regeln Sie die Nutzung in der KI-Richtlinie.

Können wir rein KI-generierte Bilder kommerziell verwenden?

Verwenden dürfen Sie sie in aller Regel, sofern die Nutzungsbedingungen des Anbieters das erlauben und keine fremden Rechte verletzt werden. Sie erhalten daran aber meist keinen eigenen Urheberschutz, andere könnten identische Motive nutzen. Für markenprägende Assets empfehlen wir deshalb menschliche Gestaltung oder deutliche menschliche Überarbeitung.

Braucht auch ein kleines Unternehmen mit wenigen Mitarbeitern eine KI-Richtlinie?

Ja, und gerade dort ist sie schnell erstellt. Sobald mehrere Personen KI-Tools nutzen, entstehen dieselben Fragen wie im Konzern: Welche Daten dürfen hinein, welche Tools sind freigegeben, was wird gekennzeichnet. Eine zweiseitige Richtlinie reicht völlig und verhindert, dass Firmendaten unkontrolliert in privaten Accounts landen.

Ab wann müssen wir uns um den EU AI Act kümmern?

Der EU AI Act tritt gestaffelt in Kraft, verschiedene Pflichten greifen zu unterschiedlichen Zeitpunkten. Für die meisten Betriebe sind vor allem die Transparenzpflichten relevant, etwa die Kennzeichnung von Deepfakes und Chatbots. Wer eine KI-Richtlinie mit klaren Kennzeichnungsregeln aufsetzt, ist auf diese Anforderungen vorbereitet, statt später hektisch nachzusteuern.

Wer haftet, wenn durch die Nutzung von KI ein Fehler oder Schaden entsteht?

Die Verantwortung bleibt beim Unternehmen und den handelnden Personen, nicht beim KI-Anbieter. Ein falscher Vertragstext oder eine fehlerhafte Auskunft geht auf das Konto dessen, der sie ungeprüft verwendet hat. Genau deshalb ist die menschliche Endkontrolle der wichtigste Grundsatz jeder KI-Richtlinie: Kein KI-Ergebnis geht ungeprüft an Kunden oder in Verträge.

Begriffe aus diesem Beitrag

Normen Daunderer

Über den Autor

Normen Daunderer

Gründer der Orilian UG, seit 1998 im Marketing, seit 1995 im Web. Er schreibt hier über das, was er täglich umsetzt.

Fragen zu diesem Thema in Ihrem Unternehmen?

Kurze Nachricht genügt, wir antworten mit einer ehrlichen Einschätzung statt einer Verkaufsshow.

Projekt anfragen

Weitere Beiträge