Rechtssicherer Einsatz von KI

Für die Unternehmen der Lebensmittelwirtschaft kann KI in der Praxis äußerst hilfreich sein, und dies entlang der gesamten Wertschöpfungskette – von der automatisierten Qualitätskontrolle über die intelligente Lagerverwaltung bis zur personalisierten Ernährung, um nur einige Beispiele zu nennen. Während diese Entwicklungen erhebliche Effizienzsteigerungen und Innovationspotenziale versprechen, wirft KI zugleich komplexe rechtliche Fragen auf. Das war auch ein thematischer Baustein des digitalen pro agro-Seminars vom 28. Mai 2025, mit dessen Inhalt wir unsere dreiteilige Mini-Serie über KI fortsetzen. Kathrin Schürmann (Foto) von der Berliner Technologie-Kanzlei Schürmann Rosenthal Dreyer, die über das Thema referiert hatte, stellt im folgenden Beitrag für unsere Leser noch einmal die wichtigsten Punkte zusammen.

In der Lebensmittelbranche gibt es viele Anwendungsmöglichkeiten für KI. Damit aus guten Ideen keine rechtlichen Baustellen werden, hilft ein Blick auf die Regulatorik. Die folgenden sieben Schritte sind die wichtigsten Stellschrauben, um KI im Unternehmen rechtssicher und effizient einzusetzen.

1. Überblick verschaffen

Starten Sie mit einer internen Liste aller eingesetzten KI-Systeme. Dieses Verzeichnis macht sichtbar, wo KI läuft, welche Daten verarbeitet werden, welche Modelle genutzt werden und wer verantwortlich ist.

Das ist keine gesetzliche Pflicht, aber „Best Practice“ und die Basis jeder „KI-Governance“, also des strategischen Rahmens aus Richtlinien, Prozessen und Strukturen, die den verantwortungsvollen Einsatz von KI sicherstellt. Geführt werden kann das Verzeichnis einfach als Tabelle oder in einer Softwarelösung. Vorteile: besseres Risikomanagement, klarere Zuständigkeiten, leichteres Reporting.

Mit einer vollständigen Übersicht über die genutzten KI-Systeme in Ihrem Unternehmen können Sie Ihre rechtlichen Pflichten und Risiken ableiten und die sogenannte Schatten-KI vermeiden. Dabei handelt es sich um die unbekannte KI-Nutzung innerhalb eines Betriebs, die zu vielen Problemen führen kann.

2. Interne KI-Richtlinien einführen

Ohne klare Spielregeln drohen Datenschutzverstöße, Schatten-KI und Reputationsschäden. Eine KI-Nutzungsrichtlinie definiert,

welche Tools erlaubt sind,
wofür sie genutzt werden dürfen,
welche Daten eingegeben werden dürfen und
welche technischen/organisatorischen Schutzmaßnahmen gelten (z. B. Upload-Sperren, Zugriffsrechte, Protokollierung, Verschlüsselung).

Formulieren Sie Ihre KI-Nutzungsrichtlinie einfach, klar und knapp. Denn Ihre Beschäftigten müssen Sie verstehen können, um sich daran zu halten.

3. KI-Kompetenz sicherstellen

Unternehmen, die KI anbieten oder betreiben, müssen seit 2. Februar 2025 sicherstellen, dass beteiligte Beschäftigte ausreichend rechtlich, technisch und ethisch im Umgang mit KI geschult sind – zugeschnitten auf Vorkenntnisse und Einsatzszenarien.

Praktisch heißt das: maßgeschneiderte Trainings, interne Standards, Weiterbildungsangebote sowie interne Anlaufstellen (z. B. KI-Beauftragter).

4. Risikoklassen bestimmen

Die EU-Verordnung zu KI („AI Act“) arbeitet risikobasiert: je höher das Risiko, desto strenger die Anforderungen.

Sie unterscheidet verbotene Praktiken, Hochrisiko-Systeme, Systeme mit begrenztem/mittlerem Risiko sowie KI-Modelle mit allgemeinem Verwendungszweck (GPAI). Beispiele für Verbote: manipulatives Design, Ausnutzung schutzbedürftiger Gruppen, Social Scoring (d.h. Bewertung des Verhaltens von Menschen oder Unternehmen), anlasslose biometrische Datenbanken.

Die richtige Bestimmung des Risikos eines KI-Systems ist also entscheidend, um auch die eigenen Pflichten zu kennen und einhalten zu können. Tipp: Die Abgrenzung ist anspruchsvoll – lassen Sie Klassifizierung und Pflichten idealerweise rechtlich prüfen.

5. Rolle klären: Anbieter oder Betreiber?

Anbieter im Sinne des AI Act ist grob gesagt, wer ein KI-System entwickelt und unter eigenem Namen in Verkehr bringt. Betreiber nutzen ein KI-System unter eigener Autorität, z. B. ein zugekauftes Tool im Kundenservice.

Warum ist die Unterscheidung wichtig? Beide Rollen müssen zwar gewisse Compliance-Pflichten wie geltende Gesetze, Vorschriften, interne Regeln und ethische Standards einhalten. Für Anbieter sind diese aber deutlich umfangreicher.

In der Praxis sind die meisten Unternehmen Betreiber, weil sie externe Lösungen einkaufen – mit entsprechend reduziertem, aber nicht geringem Pflichtenumfang.

6. Urheberrecht bedenken

In diesem Zusammenhang sind folgende Fragen entscheidend:

Ist KI-Output urheberrechtlich geschützt? Nach deutschem Urheberrecht sind nur menschliche Schöpfungen geschützt. Reine KI-Ausgaben sind grundsätzlich nicht geschützt – außer, wenn es nachträglich entscheidend von Menschen bearbeitet wurde.
Können KI-Inhalte gegen Urheberrecht verstoßen? Ja, wenn ein KI-generierter Inhalt einem bestehenden geschützten Werk zu stark ähnelt oder daraus abgeleitet ist.
Was darf nicht in die KI? Urheberrechtlich geschützte Werke, wie Fachartikel, Fotos, Videos, Songs etc.

7. Datenschutz beachten

Achten Sie bei der KI-Nutzung darauf, ob personenbezogene Daten verarbeitet werden. Das ist nur mit einer Rechtsgrundlage (z.B. Einwilligung oder berechtigtes Interesse) erlaubt. Wichtig ist auch, dass Sie den Grundsatz der Datenminimierung einhalten. Das heißt, so wenig Daten wie möglich, so viele wie nötig.

In den meisten Fällen ist vor dem Rollout eines KI-Systems eine Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Bei der reinen Nutzung von KI-Tools wie ChatGPT sollten Sie auf eine datenschutzfreundliche Einstellung achten. In der Regel können Sie die Personalisierung und das Training mit Ihren Daten verhindern.

Was heißt das jetzt für Sie?

Wenn Sie die neuen Möglichkeiten Künstlicher Intelligenz für Ihr Unternehmen nutzen möchten, sollten Sie sich eine sogenannte „KI-Governance“ aufbauen, die die oben genannten Schritte beinhaltet.

Lassen Sie sich beraten zur rechtssicheren KI-Nutzung. Egal, ob sie Microsoft Copilot, ein KI-gestütztes HR-Tool oder ein individuelles KI-System nutzen möchten – räumen Sie mit Hilfe von Beratung die rechtlichen Fallstricke aus dem Weg, setzen Sie Ihre KI-Governance auf oder schulen Sie Ihre Beschäftigten, um die geforderte KI-Kompetenz nachweisen zu können.