KI im Unternehmen: Produktivitätsschub mit neuen Haftungsrisiken
Wer dieser Tage durch die Produktionshallen von Automobilherstellern oder in die Rechtsabteilungen großer Konzerne schaut, merkt schnell: Künstliche Intelligenz ist längst kein Pilotprojekt mehr, sondern Betriebsrealität. Die Gewinne sind messbar, die Risiken werden es zunehmend auch – und zwar auf dem Klageweg.
Vom Experiment zum Kernprozess
Der Wandel vollzieht sich schneller als viele Führungskräfte noch vor drei Jahren erwartet hätten. Siemens setzt KI-gestützte Systeme in der Qualitätskontrolle ein und meldet deutlich reduzierte Fehlerquoten in der Fertigung. BMW nutzt maschinelles Lernen, um Lieferketten in Echtzeit zu steuern und Engpässe frühzeitig zu erkennen. Die Deutsche Bahn hat KI-Anwendungen in die Wartungsplanung integriert, um Ausfälle an Zügen und Infrastruktur vorherzusagen, bevor sie eintreten – sogenannte Predictive Maintenance.
Das sind keine Ausnahmen mehr. Laut einer Studie des Bitkom aus dem Jahr 2024 nutzen bereits mehr als die Hälfte der deutschen Unternehmen ab 20 Mitarbeitern KI-Anwendungen produktiv oder bereiten deren Einführung vor. Besonders im Mittelstand hat sich das Bild zuletzt verändert: Während viele kleine und mittlere Unternehmen noch 2022 skeptisch blieben, sind es heute oft genau sie, die mit schlanken KI-Lösungen schnell und beweglich agieren – gerade weil sie keine aufwändigen Legacy-Systeme mitschleppen müssen.
Produktivität mit Ansage
Die Versprechen der Anbieter sind bekannt. Doch was lässt sich tatsächlich belegen? In der Rechts- und Compliance-Abteilung etwa reduziert der Einsatz großer Sprachmodelle die Zeit für die Erstprüfung von Verträgen um bis zu 70 Prozent – so berichten mehrere mittelgroße Kanzleien und Industrieunternehmen, die entsprechende Piloten abgeschlossen haben. Im Kundenservice übernehmen KI-Agenten inzwischen Routineanfragen vollständig, während menschliche Mitarbeiter sich auf komplexe Fälle konzentrieren. Und im Finanzwesen beschleunigen automatisierte Auswertungen von Jahresberichten und Marktdaten die Due-Diligence-Prozesse erheblich.
Was dabei oft untergeht: Der eigentliche Produktivitätsgewinn liegt selten in der spektakulären Einzelanwendung, sondern in der stillen Beschleunigung von Routinearbeit. Wer sechzig Prozent der täglichen Schreibarbeit einer Sachbearbeiterstelle durch KI-Unterstützung automatisiert, hat einen erheblichen Kapazitätspuffer gewonnen – ohne eine einzige Stelle zu streichen. Das verändert Organisationsstrukturen grundlegend, auch wenn das nach außen kaum sichtbar ist.
Wenn die KI irrt – und wer dann haftet
Genau hier beginnt die juristische Grauzone. Denn KI-Systeme liefern keine Garantien, sie liefern Wahrscheinlichkeiten. Ein Sprachmodell, das einen Vertragsentwurf zusammenfasst, kann systematisch falsch liegen. Ein Bilderkennungssystem in der Qualitätskontrolle kann fehlerhafte Bauteile durchwinken. Und ein KI-gestütztes Kreditbewertungssystem kann diskriminierende Muster reproduzieren, die im Trainingsdatensatz verborgen lagen.
Die Haftungsfrage ist dabei alles andere als theoretisch. Nach geltendem deutschen Recht liegt die Verantwortung grundsätzlich beim Unternehmen, das ein KI-System einsetzt – nicht beim Hersteller der Software. Das gilt für Produktfehler, die durch KI-gestützte Qualitätskontrolle nicht erkannt wurden, ebenso wie für Fehlentscheidungen in der Personalauswahl oder im Kreditwesen. Die klassische Produzentenhaftung nach dem Produkthaftungsgesetz greift bei reinen Softwaresystemen zudem nur eingeschränkt, was Betroffene in manchen Fällen schlechtergestellt.
Der EU AI Act, der seit Sommer 2024 schrittweise in Kraft tritt, verschärft die Lage zusätzlich. Hochrisiko-KI-Systeme – definiert etwa in den Bereichen Personalwesen, Kreditvergabe, kritische Infrastruktur oder Bildung – unterliegen künftig strengen Anforderungen an Transparenz, Dokumentation und menschliche Aufsicht. Unternehmen, die hier fahrlässig handeln, riskieren Bußgelder von bis zu 30 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes.
Risikomanagement als Wettbewerbsfaktor
Viele Unternehmen behandeln KI-Compliance noch immer als IT-Problem. Das ist ein Fehler. Wer KI produktiv einsetzt, muss Haftungsrisiken genauso ernst nehmen wie Qualitätsmanagement oder Datenschutz – und das bedeutet organisatorische, nicht nur technische Antworten.
Führende Unternehmen bauen deshalb interne KI-Governance-Strukturen auf: mit klaren Verantwortlichkeiten, dokumentierten Entscheidungsprozessen und regelmäßigen Audits der eingesetzten Modelle. Siemens etwa hat konzernweit Leitlinien für den verantwortungsvollen KI-Einsatz definiert, die sowohl ethische Prinzipien als auch konkrete Prüfpflichten umfassen. Ähnliche Rahmenwerke entstehen in anderen DAX-Unternehmen – teils freiwillig, teils als Reaktion auf regulatorischen Druck.
Für den Mittelstand ist das eine größere Herausforderung. Wer keine eigene Rechtsabteilung und keine KI-Ethikkommission unterhält, muss trotzdem sicherstellen, dass gekaufte oder lizenzierte KI-Systeme den gesetzlichen Anforderungen genügen. Das verlangt vor allem eines: sorgfältige Vertragsgestaltung gegenüber KI-Anbietern, klare SLAs hinsichtlich Modellperformance und Erklärbarkeit sowie dokumentierte Überprüfungsprozesse im Betrieb. Wer das versäumt, kauft sich nicht nur ein Werkzeug, sondern auch dessen Haftungsrisiken gleich mit.
Datenschutz trifft Trainingsdaten
Ein weiteres, häufig unterschätztes Risiko betrifft die Datengrundlage. Unternehmen, die eigene KI-Modelle trainieren oder anpassen, müssen sicherstellen, dass die verwendeten Trainingsdaten DSGVO-konform erhoben und verarbeitet wurden. Das klingt trivial, ist es in der Praxis aber nicht. Kundendaten, interne Kommunikation, Produktionsprotokolle – all das kann sensible personenbezogene oder vertrauliche Informationen enthalten, deren Weitergabe an externe Modelltraining-Umgebungen rechtlich problematisch ist.
Mehrere europäische Datenschutzbehörden haben in den vergangenen Monaten entsprechende Verfahren gegen Unternehmen eingeleitet, die KI-Tools großzügig mit internen Daten gespeist hatten, ohne die Rechtsgrundlagen sauber zu prüfen. Das ist kein abstrakter Regulierungseifer – das sind handfeste Unternehmensrisiken mit realen Konsequenzen.
Strategische Weichenstellung jetzt
Wer KI als reines Effizienzwerkzeug begreift, denkt zu kurz. Die Unternehmen, die in den nächsten Jahren Wettbewerbsvorteile durch KI erzielen werden, sind nicht unbedingt jene mit den größten Modellen oder den lautesten Ankündigungen. Es werden diejenigen sein, die Produktivitätsgewinne konsequent realisieren und gleichzeitig Haftung, Compliance und Governance als strategische Dimensionen begreifen – nicht als bürokratische Pflichtübung.
Das erfordert Entscheidungen auf Vorstandsebene, nicht nur im IT-Referat. Welche Prozesse dürfen vollständig automatisiert werden, wo bleibt menschliche Entscheidung unabdingbar? Wie sichern wir Erklärbarkeit und Nachvollziehbarkeit von KI-Entscheidungen gegenüber Kunden, Behörden und Gerichten? Welche Anbieter erfüllen die Anforderungen des EU AI Act, und welche schlicht noch nicht? Wer diese Fragen heute nicht beantwortet, beantwortet sie später – unter deutlich ungünstigeren Bedingungen.
Häufig gestellte Fragen
Wer haftet, wenn eine KI im Unternehmen einen Fehler macht?
Nach geltendem deutschen Recht haftet grundsätzlich das Unternehmen, das die KI einsetzt – nicht der Softwarehersteller. Ausnahmen können sich aus vertraglichen Regelungen oder dem Produkthaftungsgesetz ergeben, das bei reinen Softwaresystemen jedoch nur eingeschränkt greift. Unternehmen sollten deshalb Verträge mit KI-Anbietern sorgfältig auf Haftungsklauseln prüfen.
Was fordert der EU AI Act konkret von Unternehmen?
Der EU AI Act stuft KI-Systeme nach Risikoklassen ein. Hochrisiko-Anwendungen – etwa in der Personalentscheidung, Kreditvergabe oder kritischen Infrastruktur – müssen transparent, dokumentiert und mit menschlicher Aufsicht betrieben werden. Bei Verstößen drohen Bußgelder von bis zu 30 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes. Die Anforderungen greifen schrittweise ab 2024.
Wie können mittelständische Unternehmen KI-Risiken praktisch managen?
Mittelständler ohne eigene KI-Governance-Strukturen sollten vor allem auf drei Punkte achten: erstens klare vertragliche Vereinbarungen mit KI-Anbietern zu Leistung, Erklärbarkeit und Datenschutz; zweitens dokumentierte interne Prüfprozesse für KI-gestützte Entscheidungen; drittens eine sorgfältige Prüfung, ob eingesetzte Daten für das KI-Training DSGVO-konform verwendet werden dürfen. Externe Beratung durch spezialisierte Kanzleien ist bei Hochrisikoanwendungen empfehlenswert.