Rechtsrahmen 2026

KI im Unternehmen: Was ist erlaubt, was nicht? Der Rechtsrahmen 2026

Ein Geschäftsführer, 80 Mitarbeiter, produzierendes Gewerbe. Er fragt sein Team, ob jemand KI nutzt. Die Antwort: "Ja, seit Monaten. ChatGPT. Für E-Mails, Angebote, Reklamationen."

Kostenloser Account. Keine Richtlinien. Kundennamen in jedem zweiten Prompt.

Das ist kein Einzelfall. Laut aktuellen Studien haben 98 % der Unternehmen Mitarbeiter, die KI-Tools ohne Freigabe nutzen (Vectra AI/Varonis, 2026). Nur 23 % haben überhaupt KI-Regeln aufgestellt (Bitkom^[1], 2025).

In diesem Artikel zeige ich, welche vier Gesetze jetzt gleichzeitig greifen, was seit wann gilt und welche ersten Schritte du unternehmen kannst.

Schatten-KI^[2]: Das unsichtbare Risiko

Schatten-KI — oder Shadow AI — beschreibt die nicht genehmigte Nutzung von KI-Tools durch Mitarbeiter. Private ChatGPT-Accounts, die für Arbeitsaufgaben genutzt werden. Kundendaten in Prompts. Keine Dokumentation, kein Audit, keine Kontrolle.

Die Zahlen sprechen für sich:

• 98 % der Organisationen haben unautorisierte KI-Nutzung (Vectra AI/Varonis, 2026)

• Nur 26 % stellen offiziell generative KI bereit (Bitkom, 2025)

• Ein Shadow-AI-Breach kostet durchschnittlich 4,63 Mio. USD — 670.000 USD mehr als eine normale Datenpanne (IBM Cost of a Data Breach, 2025)

• 53 % der Unternehmen nennen rechtliche Verunsicherung als größtes KI-Hemmnis (Bitkom, 2025)

Microsoft und CrowdStrike haben auf der RSA Conference 2026 eine Offensive gegen Schatten-KI gestartet. Neue Governance-Plattformen von Teramind, Check Point und VORTIQ-X sollen die unkontrollierte KI-Nutzung eindämmen. Das Signal ist klar: Schatten-KI ist ein Top-Thema der IT-Security-Branche.

Der regulatorische Dreiklang: DSGVO, AI Act, NIS-2

Was viele nicht wissen: Es ist nicht ein Gesetz, das bei unkontrollierter KI-Nutzung greift. Es sind drei — gleichzeitig.

DSGVO (seit 2018): Die Datenschutz-Grundverordnung reguliert jede Verarbeitung personenbezogener Daten. Wenn Mitarbeiter Kundennamen in ChatGPT eingeben, braucht das eine Rechtsgrundlage (Art. 6 DSGVO). Verschiedene Verarbeitungsphasen — Training, Anwendung, Ergebnisnutzung — erfordern separate Rechtsgrundlagen (LfDI^[5] Baden-Württemberg). Bußgeld: bis 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.

EU AI Act (seit August 2024 in Kraft): Die weltweit erste KI-spezifische Verordnung bringt eigene Pflichten. Seit Februar 2025 gilt die KI-Kompetenzpflicht nach Artikel 4: Jedes Unternehmen, das KI einsetzt, muss seine Mitarbeiter schulen. Fünf Kernbereiche: AI Literacy, Recht & Compliance, Ethik, Datensicherheit und praktische Anwendung. Ab August 2026 greifen die Hochrisiko^[8]-Anforderungen. Bußgeld: bis 35 Millionen Euro oder 7 % des Umsatzes.

NIS-2 (seit Dezember 2025 im deutschen Recht): Die Cybersicherheitsrichtlinie betrifft über 30.000 Unternehmen in Deutschland. Die Schwelle: ab 50 Mitarbeitern oder 10 Millionen Euro Umsatz. Geschäftsführer haften persönlich für die Cybersicherheit. Die BSI^[6]-Registrierung ist seit März 2026 Pflicht. Bußgeld: bis 10 Millionen Euro.

Dazu kommt das BetrVG: Der Betriebsrat muss bei der Einführung von KI-Systemen einbezogen werden.

Timeline: Was gilt seit wann?

Die Regulierung kam nicht über Nacht. Hier der Überblick:

• Mai 2018: DSGVO tritt in Kraft

• August 2024: EU AI Act wird verabschiedet

• Februar 2025: KI-Kompetenzpflicht (Art. 4 AI Act) — gilt ab sofort

• August 2025: Verbotene KI-Praktiken (Social Scoring, biometrische Echtzeit-Überwachung)

• Dezember 2025: NIS-2 wird deutsches Recht

• März 2026: BSI-Registrierungsfrist für NIS-2

• August 2026: Hochrisiko-Anforderungen des AI Act

• August 2027: Übergangsfrist für Bestandssysteme endet

Was bei Verstoß droht: Die Bußgeld-Rechnung

Die Bußgelder kumulieren. Theoretisch kann ein einziger Vorfall mehrere Gesetze gleichzeitig verletzen:

• DSGVO: bis 20 Mio. EUR

• AI Act: bis 35 Mio. EUR

• NIS-2: bis 10 Mio. EUR

• Theoretisch kombiniert: bis 65 Mio. EUR

Die Praxis zeigt, dass die Behörden ernst machen. DSGVO-Bußgelder haben seit 2018 kumuliert 7,1 Milliarden Euro erreicht (Kiteworks^[4], 2026). Allein 2025 wurden 1,2 Milliarden Euro verhängt (DLA Piper^[3], Januar 2026). Die größte Einzelstrafe: TikTok mit 530 Millionen Euro wegen Datenübermittlung nach China.

KI-spezifische Bußgelder stehen noch am Anfang. Aber die Datenschutzkonferenz (DSK) fordert bereits jetzt spezifische Rechtsgrundlagen für KI-Systeme. Das Signal: Die Aufsichtsbehörden bereiten sich vor.

Erste Schritte: KI-Inventar, Richtlinie, Schulung

Was kannst du jetzt tun? Drei Sofortmaßnahmen:

1. KI-Inventar erstellen. Frage dein Team, welche KI-Tools sie nutzen. Dokumentiere alles — auch private Accounts. Nur was du kennst, kannst du steuern.

2. KI-Richtlinie verabschieden. Lege fest: Welche Tools sind erlaubt? Welche Daten dürfen eingegeben werden? Wer ist verantwortlich? Nur 23 % der Unternehmen haben das bisher getan.

3. Mitarbeiter schulen. Seit Februar 2025 ist die KI-Kompetenzpflicht in Kraft. 43 % der deutschen Unternehmen haben keinerlei KI-Schulungen. Die fünf Kernbereiche: Grundverständnis, Recht, Ethik, Datensicherheit und praktische Anwendung.

Wer diese drei Schritte heute startet, ist im August 2026 — wenn die Hochrisiko-Anforderungen greifen — vorbereitet.

Nächste Woche zeige ich detailliert, wie du KI in 5 Schritten DSGVO-konform einsetzt. Von der Rechtsgrundlage bis zur Anbieter-Auswahl.