Unsere Veröffentlichungen zu Datenschutz, Compliance, Informationssicherheit und IT-Security

Wie wir Unternehmen beim Aufbau wirksamer KI-Richtlinien unterstützen

Unternehmen nutzen heute bereits zahlreiche KI-Tools – oft unbewusst und ohne klare Regeln. Dadurch entstehen Risiken in Datenschutz, Informationssicherheit und Compliance, die leicht vermeidbar wären. Eine KI-Richtlinie sorgt für Orientierung und legt fest, wie KI im Unternehmen eingesetzt werden darf.
Wir begleiten Firmen dabei, diese Richtlinien strukturiert und praxisnah aufzubauen

1. Ist-Analyse: Wo kommt KI heute tatsächlich vor?

Bevor Regeln definiert werden, muss klar sein, welche KI-Anwendungen bereits genutzt werden. Viele Organisationen stellen erst in Workshops fest, dass Mitarbeitende längst Tools verwenden, die nie offiziell freigegeben wurden. Genau hier setzen wir an: Wir schaffen Transparenz über die tatsächliche Nutzung.

Wir prüfen insbesondere:

• Welche KI-Tools im Einsatz sind (z. B. Copilot, ChatGPT, Fireflies, Transkription usw.)

• Ob personenbezogene oder vertrauliche Daten verarbeitet werden

• Welche „inoffiziellen“ Workflows existieren („Shadow-AI“)

• Welche Systeme bereits KI-Funktionalitäten integriert haben (z. B. M365)

2. Risiko- und Schutzbedarfsprüfung

Die Nutzung von KI bringt spezifische Risiken mit sich, die nicht immer offensichtlich sind. Daten können in externe Systeme gelangen, Modelle können falsche Ergebnisse liefern, oder Compliance-Pflichten werden unbeabsichtigt verletzt. Durch eine strukturierte Analyse bewerten wir, welche Formen der KI-Nutzung verantwortbar sind.

Dabei betrachten wir unter anderem:

• Datenarten, Informationsklassen und betroffene Systeme

• Regulatorische Anforderungen (z. B. DSGVO, Vertragsvorgaben, Geheimhaltung)

• Risiken wie Fehlklassifikationen, Halluzinationen oder Datenabfluss

• Sicherheit, Zugriffskontrollen und technische Schutzmaßnahmen

3. Erstellung der KI-Richtlinie

Auf Basis der Analyse entsteht eine Richtlinie, die nicht nur formal korrekt, sondern operativ nutzbar ist. Sie beschreibt klar, was erlaubt, was eingeschränkt und was verboten ist. Ziel ist ein Dokument, das Mitarbeitende im Alltag wirklich anwenden können – ohne Komplexität, aber mit klaren Regeln.

Typische Inhalte der Richtlinie:

• Grundsätze und Ziele des KI-Einsatzes

• Verantwortlichkeiten und Entscheidungswege

• Freigegebene vs. ausgeschlossene Anwendungsfälle

• Umgang mit personenbezogenen und vertraulichen Informationen

• Vorgaben für Prompting und Ergebnisdokumentation

• Anforderungen für Eigenentwicklung oder Modelltraining

4. Anpassung auf die Unternehmenspraxis

Jedes Unternehmen hat eigene Strukturen, Systeme und Arbeitsweisen. Eine KI-Richtlinie ist nur dann wirksam, wenn sie diese Realität widerspiegelt. Darum passen wir die Inhalte an bestehende Prozesse, Rollen und technologische Gegebenheiten an.

Wir berücksichtigen dabei:

• Branchenanforderungen (Finance, IT, Industrie, B2C usw.)

• Rollenverteilung (IT, Datenschutz, ISB, Management)

• Technischen Reifegrad, ISMS, DSMS

• Bereits eingesetzte Tools, Workflows und Sicherheitsmechanismen

5. Einbettung in Prozesse & Schulung

Eine Richtlinie entfaltet erst dann Wirkung, wenn sie in die Organisation integriert wird. Mitarbeitende müssen wissen, wie sie KI korrekt nutzen und wann sie Rücksprache halten müssen. Führungskräfte benötigen klare Vorgaben, um Entscheidungen zu treffen und Risiken zu steuern.

Wir unterstützen bei:

• Schulungen für Mitarbeitende und Führungskräfte

• Integration in Onboarding- und Freigabeprozesse

• Entwicklung eines KI-Tool-Freigabeprozesses

• Erstellung praxisnaher Checklisten und Hilfsmaterialien

Warum wir das tun können

Auch wenn der Begriff „KI-Richtlinie“ neu wirkt, beruhen die wesentlichen Inhalte auf Datenschutz, Informationssicherheit und organisatorischen Vorgaben – unseren Kernkompetenzen. Dadurch können wir Unternehmen eine saubere, rechtlich belastbare und gleichzeitig praxistaugliche Lösung anbieten.

Unsere Basis:

• Datenschutz-Expertise und DSMS

• ISMS-Erfahrung und technische Sicherheitsbewertung

• Prozessberatung & Governance-Strukturen

• Kombination aus juristischem, organisatorischem und technischem Know-how
  
  

Gemeinsam zur sicheren KI-Nutzung

Wir entwickeln KI-Richtlinien, die zu Ihren Prozessen und Tools passen – pragmatisch, verständlich und anschlussfähig. Wenn Sie einen ersten Überblick oder eine konkrete Umsetzung möchten, melden Sie sich jederzeit bei uns - Ihren Datenschutz- und Informationssicherheits-Experten. 

---

Rechtlicher Hinweis & Haftungsausschluss

Dieser Beitrag stellt keine Rechtsberatung dar. Er dient der allgemeinen Information und ersetzt keine individuelle rechtliche Prüfung. Die konkrete Umsetzung im Unternehmen muss immer anhand der tatsächlichen Gegebenheiten bewertet werden.

Fachliche Einordnung des Urheberrechtsstreits und Auswirkungen auf den KI-Einsatz in Unternehmen

Der Rechtsstreit zwischen der GEMA und OpenAI sorgt für zahlreiche Rückfragen bei Unternehmen. In Medienberichten wird häufig der Eindruck vermittelt, KI-Systeme könnten künftig rechtliche Risiken verursachen oder gar unzulässig werden. Dieser Fachbeitrag ordnet das Urteil sachlich ein, erklärt die Positionen beider Parteien und zeigt, welche Bedeutung der Fall für Datenschutz, Compliance und den Einsatz von KI-Tools in Unternehmen tatsächlich hat.

1. Ausgangspunkt des Verfahrens: KI-Training und urheberrechtlich geschützte Inhalte

OpenAI verwendet große Textmengen, um Sprachmodelle wie ChatGPT zu trainieren. Die GEMA warf dem Unternehmen vor, dass dabei Liedtexte deutscher Künstler ohne Lizenz verwendet wurden und später teilweise in erkennbarer Form aus dem Modell abrufbar waren.

Im Mittelpunkt stand also nicht der alltägliche KI-Einsatz, sondern die Frage:

Sind Training und mögliche Reproduktion geschützter Inhalte urheberrechtlich relevante Vervielfältigungen – und wenn ja, wer trägt dafür die Verantwortung?

2. Standpunkt der GEMA: Unzulässige Nutzung geschützter Werke

Die GEMA argumentierte unter anderem:

• Geschützte Liedtexte wurden ohne Lizenz genutzt.

• Das Modell konnte Teile dieser Texte nahezu wörtlich wiedergeben.

• Damit gehe die Nutzung über zulässiges Text- und Data-Mining hinaus.

• Das Verhalten sei als urheberrechtliche Vervielfältigung zu werten.

• Für diese Form der Nutzung wären Lizenzen zwingend notwendig.

Die GEMA sah in der Funktionsweise des Modells eine unzulässige Nutzung der Werke ihrer Mitglieder.

3. Standpunkt von OpenAI: Statistische Rekonstruktion statt Speicherung

OpenAI hielt dagegen:

• Das Modell speichere keine konkreten Texte, sondern arbeite auf Basis statistischer Muster.

• Wiedererkennbare Passagen seien nicht Ergebnis einer Speicherung, sondern der Funktionsweise großer Sprachmodelle.

• Das Training stütze sich auf öffentlich verfügbare Quellen und sei durch die TDM-Ausnahmen gedeckt.

• Eine vollständige Lizenzierung aller Trainingsdaten sei technisch kaum umsetzbar.

Aus Sicht von OpenAI liegt keine Vervielfältigung im urheberrechtlichen Sinn vor.

4. Kernaussagen des Urteils: Einzelfall, kein Grundsatz

Das Landgericht München I folgte im Ergebnis der Argumentation der GEMA. Das Gericht stellte fest:

• Das Modell hat einzelne Werke in erkennbarer Form wiedergegeben.

• Dies überschreitet nach Ansicht des Gerichts die Grenzen des Text- und Data-Minings.

• Für solche Inhalte wären Lizenzen erforderlich gewesen.

Wichtig ist jedoch:
Das Urteil beschränkt sich auf einige konkrete, untersuchte Fälle und ist keine pauschale Bewertung aller KI-Modelle oder Trainingsmethoden.

5. Rechtslage: Das Urteil ist nicht rechtskräftig

Für Unternehmen entscheidend:

• Das Urteil ist nicht rechtskräftig.

• OpenAI wird voraussichtlich Rechtsmittel einlegen.

• Grundsätzliche Fragen zum Verhältnis von KI-Training, Urheberrecht und TDM-Ausnahmen werden erst in höheren Instanzen oder auf europäischer Ebene verbindlich geklärt.

Aktuell hat das Urteil daher keine unmittelbare rechtliche Wirkung für den normalen KI-Einsatz in Unternehmen.

6. Konsequenzen für Unternehmen: Keine Einschränkung erforderlich

Der operative Einsatz von KI-Tools bleibt weiterhin zulässig.

Gründe:

• Die urheberrechtlichen Fragen betreffen das Training der Modelle – nicht die Nutzung durch Unternehmen.

• Unternehmen haften nicht für mögliche Urheberrechtsverstöße eines KI-Anbieters.

• Es besteht keine rechtliche Verpflichtung, KI-Systeme abzuschalten oder einzuschränken.

Für Datenschutz, Informationssicherheit und Compliance ändert dieses Urteil aktuell nichts.

7. Handlungsempfehlungen aus Datenschutz- und Compliance-Sicht

Auch unabhängig vom GEMA-Verfahren empfiehlt sich ein strukturierter Umgang mit KI-Systemen:

• KI-Einsätze dokumentieren: Tools, Zwecke, Verantwortlichkeiten.

• Personenbezogene Daten schützen: Nur an Anbieter übermitteln, die klare Sicherheitszusagen machen.

• Ausgabequalität prüfen: KI-Ergebnisse immer fachlich bewerten.

• Interne Richtlinien weiterentwickeln: Rollen, Freigaben, Einsatzgrenzen definieren.

Diese Maßnahmen erhöhen die Sicherheit – unabhängig vom Ausgang des Verfahrens.

Fazit: Rechtliche Klärung läuft – KI bleibt nutzbar

Der Fall GEMA gegen OpenAI ist ein wichtiger Baustein in der rechtlichen Entwicklung rund um Künstliche Intelligenz. Für Unternehmen ist die Lage jedoch klar:

• Der Einsatz von KI bleibt zulässig.

• Kein aktueller Handlungsdruck.

• Die Verantwortung liegt beim Anbieter, nicht beim Anwender.

Wir beobachten die weitere Entwicklung und informieren, sobald rechtliche Änderungen entstehen, die Auswirkungen auf Unternehmen haben.

---

Rechtlicher Hinweis & Haftungsausschluss

Die in diesem Fachbeitrag bereitgestellten Informationen wurden nach bestem Wissen zusammengestellt und dienen ausschließlich der allgemeinen fachlichen Orientierung. Sie stellen keine Rechtsberatung dar und können eine individuelle Prüfung des Einzelfalls nicht ersetzen.

Welche rechtlichen Risiken decken professionelle Websiteüberprüfungen wirklich auf? 

Unternehmen verlassen sich gerne darauf, dass ihre Agentur die Website datenschutzkonform einrichtet – und genau das ist einer der gefährlichsten Irrtümer. Agenturen aktivieren Plugins, Schriftarten, Tracking-Lösungen, Analysetools und CDNs aus technischer Routine, ohne die datenschutzrechtlichen Folgen zu prüfen oder Verantwortung dafür zu übernehmen. Während nach außen der Eindruck entsteht, „alles sei erledigt“, trägt die Geschäftsleitung die volle Haftung für genau die Fehler, die diese technische Vorgehensweise erzeugt. Erst ein Website-Scan zeigt, welche Daten im Hintergrund tatsächlich verarbeitet werden – oft mit Ergebnissen, die Verantwortliche so nicht erwartet haben. 

Warum die Schutzbedarfsfeststellung der erste Schritt ist

Immer noch oft unterbewertet: Informationssicherheit und Datenschutz sind heute Grundvoraussetzung für den Betrieb jeder Organisation. Unternehmen müssen sicherstellen, dass Informationen korrekt, vollständig und vertraulich behandelt werden. Gleichzeitig ist es unverzichtbar, dass die technischen Systeme, auf denen diese Informationen gespeichert, verarbeitet oder übertragen werden, zuverlässig funktionieren und wirksam gegen eine Vielzahl an Gefährdungen geschützt sind – von klassischen Angriffen bis zu immer neu entstehenden Bedrohungen.

Wie Unternehmen rechtssicher reagieren, ohne unnötige Risiken einzugehen

Unternehmen erhalten immer wieder Anfragen von Ermittlungsbehörden zu Beschäftigtendaten – etwa bei Betrugsverdacht, Verkehrsunfällen mit Firmenwagen oder internen Delikten. Die Herausforderung: kooperativ bleiben und rechtskonform handeln, ohne unnötige Risiken einzugehen. Wichtig ist, weder in Panik zu verfallen, noch untätig zu bleiben. In der Regel sind Anfragen berechtigt, aber auch hier gibt es klare Spielregeln für beide Seiten.