Home | Compliance-Blog #11: KI-Compliance & AI Act: Präventivberatung für verantwortungsvolle KI-Governance

Compliance-Blog #11: KI-Compliance & AI Act: Präventivberatung für verantwortungsvolle KI-Governance

Von der Vertragsanalyse über die Auswahl beim Recruiting bis hin zur Risikobewertung – Künstliche Intelligenz ist in den meisten Unternehmen längst Teil des operativen Alltags: KI-Systeme bereiten Entscheidungen vor, die Haftung und Reputation unmittelbar berühren können. Gerade weil viele Anwendungen schnell eingeführt wurden, fehlen häufig klare Zuständigkeiten, belastbare Governance-Strukturen und Leitlinien, die dem Einsatz von KI einen sicheren Rahmen setzen.

Doch genau das ist Pflicht: Der EU AI Act (KI-Verordnung) verschiebt den Einsatz von KI aus der Sphäre der IT in die Verantwortung der Unternehmensleitung. KI-Nutzung wird zur Frage ordnungsgemäßer Corporate Governance und Organhaftung – mit unmittelbaren Implikationen für Geschäftsführung, Vorstand und Aufsichtsrat. Für Entscheider stellt sich deshalb nicht mehr die Frage, ob sie sich mit KI-Compliance befassen müssen, sondern wie sie neben den Chancen, die die Nutzung von KI mit sich bringt, KI-Risiken vorausschauend, strukturiert, skalierbar und haftungsbewusst managen.

1. Rechtlicher Rahmen: EU AI Act

    Der EU AI Act schafft einen risikobasierten Rechtsrahmen für Entwicklung, Bereitstellung und Nutzung von KI-Systemen in der EU. Er unterscheidet insbesondere zwischen verbotenen KI-Praktiken, Hochrisiko-KI-Systemen, Systemen mit Transparenzpflichten und Anwendungen mit geringem Risiko. Die rechtliche Bewertung knüpft damit nicht primär an die Technologie selbst an, sondern an den konkreten Einsatzbereich und die Verantwortung des Unternehmens bei Entwicklung, Bereitstellung oder Nutzung des Systems.

    Für Unternehmen besonders relevant sind Hochrisiko-KI-Systeme, etwa in Personalprozessen, kritischer Infrastruktur, Bildung, Kreditwürdigkeitsprüfungen, Sicherheitskomponenten oder regulierten Produkten. In diesen Bereichen greifen Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht (Human Oversight) und Genauigkeit. Hinzu treten Konformitätsbewertungsverfahren, die in Produkt- und Haftungsstrategien eingebettet werden müssen.

    Zentral ist zudem die Verpflichtung, ein angemessenes Maß an KI-Kompetenz bei Personen sicherzustellen, die KI-Systeme im Auftrag der Organisation betreiben oder nutzen. Die vielfach als „AI Act Schulung“ oder „KI-Verordnung Schulungspflicht“ bezeichnete Pflicht ist kein Annex, sondern ein eigenständiger Baustein wirksamer KI-Compliance: Ohne Schulungs- und Governance-Strukturen wird sich der Nachweis pflichtgemäßer Organisation nur schwer führen lassen.

    Gleichzeitig endet KI-Compliance nicht beim EU AI Act. Datenschutz, Geschäftsgeheimnisschutz, Arbeits- und Antidiskriminierungsrecht, Produkthaftung, Informationssicherheit, ESG-Compliance sowie strafrechtliche Organisationspflichten bleiben weiterhin relevant. Die neue europäische Produkthaftungsarchitektur erweitert zudem den Blick auf Software, digitale Produkte und KI-gestützte Funktionen. Damit werden technische Dokumentation, Anbieterprüfung und Konformitätsbewertung auch haftungsstrategisch wichtiger.

    KI-Compliance ist daher nicht als isolierte Spezialmaterie zu verstehen, sondern als Querschnittsaufgabe der Gesamt-Compliance.

    2. Risikolage und typische Fehler beim KI-Einsatz

    Die wesentlichen Risiken entstehen nicht durch „KI an sich“, sondern durch deren unkontrollierten Einsatz, fehlende Governance und unzutreffende Annahmen über Verantwortlichkeiten. In der Praxis lassen sich immer wieder ähnliche Muster beobachten.

    Ein typischer Fehler ist der Einsatz generativer KI ohne geregelten Freigabeprozess. Mitarbeitende nutzen frei verfügbare Tools und geben Vertragsdaten, Kundendaten oder vertrauliche Strategiepapiere ein, ohne die datenschutz- und geschäftsgeheimnisschutzrechtlichen Konsequenzen beurteilen zu können. Aus vermeintlichen Effizienzgewinnen werden so schnell Compliance-Verstöße.

    Ein zweites Risikofeld ist der Einsatz von KI in HR-Prozessen. KI-gestützte Bewerberauswahl, Performance-Bewertungen oder Profilbildungen können mittelbare Diskriminierungseffekte erzeugen, obwohl das System formal neutral wirkt. Ohne belastbare Dokumentation, Explainable AI und menschliche Kontrolle drohen nicht nur individualrechtliche, sondern auch aufsichtsrechtliche und reputationsbezogene Folgen.

    Mangelnde Dokumentation und strategische Fehlannahmen

    Ein dritter Fehler liegt in der fehlenden Nachvollziehbarkeit. Wenn geschäftskritische Entscheidungen auf KI-Ergebnissen beruhen, aber weder Datenbasis noch Modelllogik, Gewichtung oder Kontrollmechanismen dokumentiert sind, wird aus technologischer Effizienz ein Haftungsrisiko. Organhaftung und strafrechtliche Verantwortung rücken in den Fokus, sobald sich die Frage stellt, ob angemessene Organisations-, Auswahl- und Überwachungspflichten erfüllt wurden.

    Besonders riskant sind strategische Fehlannahmen: etwa die Vorstellung, KI-Compliance betreffe nur Anbieter und Entwickler, nicht aber anwendende Unternehmen, oder die Annahme, datenschutzrechtliche Konformität decke sämtliche KI-Risiken ab. Tatsächlich reichen Themen wie Bias, Fairness, Produktsicherheit, Explainable AI, Governance, interne Untersuchungen und strafrechtliche Präventivberatung weit über Datenschutz hinaus: Sie betreffen die gesamte Compliance-Organisation.

    3. Strategische Einordnung: KI-Governance, Organpflichten und ESG

    Aus Governance-Perspektive ist KI-Compliance eine Leitungsentscheidung. Die Geschäftsleitung muss klären, welche KI-Systeme eingesetzt werden dürfen, in welchen Prozessen sie genutzt werden, welche Daten zulässig sind, wie menschliche Kontrolle ausgestaltet wird und welche Eskalationswege im Störfall greifen. Diese Fragen betreffen Unternehmenskultur, Organpflichten und Haftungsminimierung gleichermaßen.

    Für mittelständische Unternehmen stellt sich insbesondere die Frage, wie KI-Governance in bestehende Strukturen integriert werden kann, ohne ein paralleles System aufzubauen. Praktikabel ist die Anbindung an vorhandene Compliance-Management-Systeme, Datenschutzprozesse, Einkaufsfreigaben, IT-Sicherheitsstandards und Schulungsprogramme. So lässt sich KI-Compliance als eigenständiges, aber eingebettetes Modul der Gesamt-Compliance etablieren.

    In Konzernen sind KI-Risiken häufig breiter gestreut. Hier treten Fragen nach konzernweiten Mindeststandards, einem KI-Inventar, Risikoklassifizierungen, KI-Audits und konzernweiten Reporting- und Eskalationswegen in den Vordergrund. Schnittstellen zu Legal, Compliance, Datenschutz, HR, IT-Security, Internal Audit und ESG müssen definiert und operativ gelebt werden. Ein KI-Managementsystem nach Standards wie ISO/IEC 42001 kann helfen, Verantwortlichkeiten, Prozesse, Risikomanagement und kontinuierliche Verbesserung zu strukturieren – ersetzt aber keine rechtliche und strafrechtliche Präventivberatung.

    KI-Einsatz als ESG-Kriterium und die Rolle konkreter Leitlinien

    Aus ESG-Sicht ist KI-Einsatz längst ein Governance- und Social-Thema. Fragen der Fairness, Nichtdiskriminierung, Transparenz, Rechenschaftspflicht und ökologischen Auswirkungen von KI-Systemen werden zunehmend in ESG-Ratings, Berichterstattung und Stakeholder-Dialogen relevant. Unternehmen, die KI ohne Governance-Strukturen und ethische Leitlinien einsetzen, laufen Gefahr, nicht nur rechtliche, sondern auch ESG-bezogene Erwartungen von Investoren, Aufsichtsbehörden und Öffentlichkeit zu verfehlen.

    KI-Leitlinien sollten daher nicht nur abstrakte Werte formulieren, sondern konkrete Entscheidungshilfen geben: Welche Daten dürfen nicht verwendet werden? In welchen Prozessen bleibt eine rein automatisierte Entscheidung ausgeschlossen? Wann ist eine menschliche Prüfung zwingend? Welche KI-Nutzung widerspricht der Unternehmenskultur, auch wenn sie technisch möglich wäre? Erst wenn diese Fragen operativ beantwortet sind, werden ethische Leitlinien zu einem wirksamen Governance-Instrument.

    4. Handlungsempfehlungen: Präventivberatung als Steuerungsinstrument

    Unternehmen sollten KI-Compliance nicht als einmalige Rechtsprüfung, sondern als fortlaufendes Präventions- und Steuerungsprojekt verstehen. Zwei Punkte bieten sich für eine übersichtliche Priorisierung besonders an:

    Strukturelle Grundlagen schaffen

    • Systematische Erhebung eines KI-Inventars: Welche KI-Systeme werden wo eingesetzt, welche Daten werden verarbeitet, welche Entscheidungen werden getroffen oder vorbereitet?
    • Risikoklassifizierung nach Einsatzkontext und AI Act-Risikoklassen, mit besonderem Blick auf verbotene Praktiken, Hochrisiko-KI-Systeme und Transparenzpflichten.
    • Festlegung von Rollen, Verantwortlichkeiten und Freigabeprozessen – einschließlich klarer Zuständigkeiten in Geschäftsleitung, Fachbereichen, Compliance und IT.
    • Entwicklung einer unternehmensweiten KI-Richtlinie, die Nutzung generativer KI, zulässige Datenkategorien, Human Oversight, Dokumentation und Eskalationswege regelt.
    • Aufbau eines Schulungskonzepts, das die Anforderungen der KI-Verordnung mit bestehenden Compliance-Schulungsstrukturen verzahnt und Zielgruppen nach Funktion und Risiko adressiert.

    Prävention, Reaktion und Ermittlungsfähigkeit verbinden

    • Integration von KI-Compliance in bestehende Risk-Management- und Compliance-Management-Systeme.
    • Verankerung von KI-Aspekten in Lieferanten- und Dienstleistermanagement, insbesondere bei der Auswahl und vertraglichen Einbindung von KI-Anbietern.
    • Implementierung eines Reaktions- und Krisenmanagementkonzepts für KI-bezogene Vorfälle – von Fehlentscheidungen über Datenschutzverletzungen bis hin zu diskriminierenden Ergebnissen.
    • Etablierung klarer Prozesse für interne Untersuchungen bei Verdachtsfällen, um Sachverhalte schnell, rechtssicher und ergebnisoffen aufzuklären.
    • Regelmäßige Überprüfung und Anpassung von KI-Governance und ethischen Leitlinien an technologische, regulatorische und unternehmensstrategische Entwicklungen.

    Für kleine und mittlere Unternehmen empfiehlt sich ein fokussierter Einstieg über einen KI-Compliance-Check mit Bestandsaufnahme, Risikopriorisierung, Sofortmaßnahmen und einer schlanken, aber verbindlichen KI-Richtlinie. Größere Unternehmen sollten darüber hinaus ein formelles KI-Governance-System mit Auditmechanismen, Berichtslinien und konsistenten konzernweiten Standards implementieren.

    5. Warum Präventivberatung und warum Pragal Rechtsanwälte?

    Die Erfahrung aus Compliance, internen Untersuchungen und Wirtschaftsstrafrecht zeigt: Der größte Fehler im Umgang mit KI liegt darin, Compliance erst dann einzubeziehen, wenn ein Tool längst produktiv läuft oder der Vorfall bereits eingetreten ist. Präventivberatung schafft die Grundlage, um KI-Einsatz rechtlich tragfähig, organisatorisch beherrschbar und strafrechtlich abgesichert auszugestalten – bevor aufsichts- oder strafrechtliche Verfahren den Handlungsspielraum einengen.

    Pragal Rechtsanwälte verbindet hierfür mehrere Perspektiven: Die Kanzlei berät Unternehmen umfassend im Bereich Compliance und Corporate Governance, mit einem Schwerpunkt auf der strukturellen Ausgestaltung und Überprüfung von Compliance-Management-Systemen sowie der Einbindung regulatorischer Anforderungen – etwa im Zusammenhang mit ESG oder dem Einsatz Künstlicher Intelligenz. Zudem verfügt Pragal Rechtsanwälte über besondere Erfahrung in der Konzeption und Durchführung interner Untersuchungen, Criminal Due Diligences und im Krisenmanagement, insbesondere bei Compliance- und Strafrechtskrisen.

    Rechtsanwältin Kristina Konrad ist nicht nur zertifizierte Compliance-Officerin (Univ.), sondern auch zertifizierte KI-Compliance-Beauftragte. Sie bringt langjährige Inhouse-Erfahrung in Rechts-, Compliance- und Corporate-Governance-Abteilungen großer und mittelständischer Unternehmen ein und kennt die Handlungs- und Entscheidungslogiken auf Unternehmensseite aus erster Hand. Ihr Fokus liegt auf dem Aufbau, der Implementierung und Weiterentwicklung von Compliance-Management-Systemen, Corporate-Governance-Strukturen und internen Untersuchungen – einschließlich der Einbindung von KI-Compliance in bestehende Strukturen.

    Dr. Oliver Pragal ergänzt diese Governance- und Compliance-Perspektive durch ausgewiesene Expertise im Wirtschafts- und Steuerstrafrecht, in der Unternehmensverteidigung, in cross-border investigations und im strategischen Krisenmanagement. Für Unternehmen ist diese Verbindung praxisrelevant, weil KI-Compliance nicht nur regulatorisch, sondern zugleich aus Sicht möglicher Ermittlungsrisiken, Organhaftung und strafrechtlicher Prävention bewertet wird. So entsteht eine Beratung, die Prävention, Investigations-Readiness und ESG-Perspektive verbindet und Entscheidungsträgern belastbare Orientierung gibt.

    6. Fazit: KI braucht Führung – Präventivberatung macht den Unterschied

    KI-Compliance & AI Act sind keine Spezialthemen für Technikaffine, sondern Kernfragen moderner Unternehmensführung. Wer KI im Unternehmen einsetzt, muss nachvollziehbar darlegen können, welche Systeme genutzt werden, auf welcher Datenbasis sie arbeiten, wer die Verantwortung trägt und wie Fehlentwicklungen verhindert oder aufgeklärt werden. Governance-Strukturen, ethische Leitlinien und wirksame Präventivberatung bilden dafür die Grundlage.

    Die entscheidende Frage lautet daher nicht mehr, ob die KI-Verordnung auf das eigene Unternehmen anwendbar ist. Entscheidend ist, welche KI-Governance-Struktur notwendig ist, um Innovation wirtschaftlich sinnvoll und gleichzeitig rechtssichereinzusetzen – und wie Organhaftungs- und Strafbarkeitsrisiken im Vorfeld minimiert werden können.

    Wer KI-Compliance frühzeitig strukturiert, verschafft sich nicht nur regulatorische Sicherheit. Er schafft Entscheidungsfähigkeit: gegenüber Aufsichtsbehörden, Geschäftspartnern, Investoren und den eigenen Organen. Präventivberatung ist damit kein Bremsfaktor für KI-Innovation, sondern ihre rechtliche und organisatorische Voraussetzung.

    Kontakt

    FAQ zu KI-Compliance, AI Act und Präventivberatung

    KI-Compliance bezeichnet die rechtssichere, transparente und verantwortliche Nutzung von KI-Systemen im Unternehmen. Sie umfasst insbesondere Risikobewertung, Datenschutz, Geschäftsgeheimnisschutz, Dokumentation, menschliche Kontrolle, Schulung, ethische Leitlinien und klare Zuständigkeiten. Ziel ist es, KI-Einsatz mit rechtlichen Vorgaben, Governance-Anforderungen und unternehmensinternen Werten in Einklang zu bringen.

    Der AI Act regelt Entwicklung, Bereitstellung und Nutzung von KI-Systemen anhand eines risikobasierten Ansatzes. Verbotene Praktiken und Hochrisiko-KI-Systeme unterliegen besonders strengen Anforderungen, daneben bestehen Transparenz-, Dokumentations- und Schulungspflichten. Für Unternehmen bedeutet dies, dass sie ihre Rolle im KI-Lebenszyklus und den Einsatzkontext der Systeme klar bestimmen und die daraus folgenden Pflichten strukturiert umsetzen müssen.

    Auch rein anwendende Unternehmen können als Betreiber von KI-Systemen Pflichten treffen. Entscheidend sind Rolle, Einsatzbereich und Risikoprofil des jeweiligen Systems. Wer KI etwa in HR, Kreditwürdigkeitsprüfung, kritischer Infrastruktur oder sicherheitsrelevanten Produkten einsetzt, bewegt sich schnell im Bereich der Hochrisiko-KI mit entsprechenden Anforderungen an Governance, Dokumentation und Human Oversight.

    Sobald KI geschäftskritische Prozesse beeinflusst, wird der Umgang mit ihr Teil der Organisations- und Überwachungspflichten von Geschäftsleitung und Aufsichtsorganen. Es genügt nicht, KI-Anwendungen „laufen zu lassen“. Erforderlich sind bewusste Entscheidungen zu Einsatzbereichen, Freigabeprozessen, Kontrollen, Eskalationswegen und Verantwortlichkeiten. Werden diese Pflichten vernachlässigt, können im Krisenfall Organhaftung und strafrechtliche Verantwortlichkeit im Raum stehen.

    Ethische Leitlinien konkretisieren rechtliche und Governance-Vorgaben und machen Erwartungen an Fairness, Nichtdiskriminierung, Transparenz und Rechenschaftspflicht für Mitarbeitende und Dienstleister greifbar. Sie sind damit ein zentraler Baustein von KI-Governance und ESG-Compliance. Ohne klar formulierte Leitlinien droht KI-Nutzung in der Praxis an individuellen Abwägungen zu fragmentieren, was Steuerbarkeit und Haftungsminimierung erheblich erschwert.

    Strafrechtlich ausgerichtete Präventivberatung analysiert, ob Organisation, Auswahl und Überwachung von KI-Einsatz so gestaltet sind, dass wirtschaftsstrafrechtliche Risiken minimiert werden. Sie bezieht insbesondere Fragen der Unternehmensverteidigung, interner Untersuchungen und des Umgangs mit Ermittlungsbehörden ein. Gerade bei KI-Systemen mit Schnittstellen zu regulierten Bereichen oder kritischer Infrastruktur kann diese Perspektive entscheidend sein, um Krisen vorzubeugen oder zumindest kontrollierbar zu halten.

    Unternehmen sollten zunächst Transparenz über ihren tatsächlichen KI-Einsatz schaffen. Ausgangspunkt ist ein KI-Inventar, das erfasst, welche Systeme in welchen Abteilungen genutzt werden, welche Daten verarbeitet werden und ob KI Entscheidungen trifft oder vorbereitet. Darauf aufbauend sollten Risikoklassen, Verantwortlichkeiten, Freigabeprozesse, Schulungsbedarf und Vorgaben zur Nutzung generativer KI definiert werden. Gerade für mittelständische Unternehmen empfiehlt sich ein pragmatischer KI-Compliance-Check, der Sofortmaßnahmen priorisiert und eine schlanke, aber verbindliche Governance-Struktur schafft.

    KI-Audits helfen Unternehmen, den Einsatz von KI-Systemen regelmäßig zu überprüfen und dokumentierbar zu machen. Sie können insbesondere klären, ob Risikoklassifizierungen aktuell sind, Anbieterpflichten ausreichend berücksichtigt wurden, technische Dokumentationen vorliegen, Human Oversight funktioniert und ethische Leitlinien tatsächlich eingehalten werden. Ein KI-Audit ersetzt keine rechtliche Einzelfallprüfung, kann aber ein wichtiger Bestandteil eines belastbaren Compliance-Management-Systems sein und Geschäftsleitungen dabei unterstützen, Organisations- und Überwachungspflichten nachvollziehbar zu erfüllen.

    Pragal Rechtsanwälte

    Brooktorkai 20
    20457 Hamburg


    LinkedIn

    Kontakt

    T +49 40 286 682 20
    F +49 40 286 682 220
    mail@pragal-rechtsanwaelte.de
    Kontakt
    Impressum
    Datenschutz

    Kanzlei

    Dr. Oliver Pragal

    Kristina Konrad

    Julian Werner

    Kompetenzen

    Strafverteidigung

    Compliance

    Internal Investigations

    Krisenmanagement