Logo von der Rechtsanwaltskanzlei Cihan Kati
Produkte
Über uns
Referenzen
Blog
Partnerschaften
Jetzt loslegen!
Termin vereinbaren
JustitAIPreiseStreitschlichtungUpgradeKollisionprüfungPartnerschaften
Jetzt loslegen!
Termin vereinbaren
E-mail Icon
justitia@justitai.de
Rechtsanwalt in Hannover feiert Jubiläum

Künstliche Intelligenz und Recht: Aktuelle Rechtslage in EU und Deutschland (Stand Juni 2025)

Künstliche Intelligenz (KI) verändert Wirtschaft und Gesellschaft rasant – und auch das Recht zieht nach. In diesem Blogbeitrag geben wir einen Überblick über die aktuellsten gesetzlichen Entwicklungen rund um KI, verständlich erklärt für juristisch interessierte Laien. Was tut sich auf EU-Ebene mit der EU-KI-Verordnung (AI Act)? Welche Initiativen in Deutschland gibt es, etwa im Zivil- oder Arbeitsrecht oder beim Datenschutz? Und wie steht es um KI-generierte Inhalte und berufsspezifische Regelungen?

Wir beleuchten die wichtigsten neuen Regeln, Ziele und Folgen. Keine Sorge: Vorkenntnisse im Juristischen sind nicht nötig. Beispiele, kurze Definitionen und ein Fazit helfen, den Durchblick zu behalten.

Das EU-KI-Gesetz (AI Act): Europas Regelwerk für KI

Die Europäische Union hat 2024 als erste Region ein umfassendes KI-Gesetz beschlossen: den EU AI Act (auf Deutsch oft EU-KI-Verordnung genannt). Dieses Gesetz soll sicherstellen, dass KI-Systeme in Europa sicher, transparent und ethisch vertretbar sind. Dabei verfolgt die EU einen risikobasierten Ansatz: KI-Anwendungen werden je nach Risikostufe unterschiedlich streng geregelt – von kaum reguliert bis streng verboten. Ziel ist ein Balanceakt: den Schutz von Grundrechten, Gesundheit und Sicherheit zu gewährleisten, ohne Innovation abzuwürgen.

Risikoklassen: Von minimal bis hoch

Kernstück des AI Act ist die Einteilung von KI-Systemen in Risikoklassen:

  • Minimales oder geringes Risiko: Viele alltägliche KI-Anwendungen (z.B. Spam-Filter oder Routenplaner) gelten als geringes Risiko. Sie unterliegen keinen speziellen Auflagen des AI Act. Freiwillige Verhaltenskodizes sind möglich, aber keine Pflicht.
  • Begrenztes Risiko: KI-Systeme mit begrenztem Risiko müssen Transparenzpflichten erfüllen. Das heißt, wenn eine KI mit Menschen interagiert (etwa ein Chatbot auf einer Website) oder Inhalte generiert, muss darauf hingewiesen werden. Nutzer haben ein Recht zu wissen, dass sie es mit KI zu tun haben. Beispiel: Ein Chatbot sollte sich als KI-Assistent zu erkennen geben, und KI-generierte Bilder oder Texte sollen als solche gekennzeichnet werden, um Verwechslungen mit echten Inhalten zu vermeiden. (Eine Ausnahme gibt es für offensichtlich künstlerische oder satirische Inhalte.)
  • Hohes Risiko: Dies betrifft KI in sensiblen Bereichen, wo bei Fehlentscheidungen erhebliche Folgen drohen. Hochrisiko-KI-Systeme sind z.B. KI-Anwendungen in der medizinischen Diagnostik, der Personalentscheidung (etwa Software zur Bewerberauswahl), der Kreditwürdigkeitsprüfung oder in sicherheitskritischen Infrastrukturen. Solche Systeme werden nicht verboten, unterliegen aber strengen Auflagen. Anbieter müssen u.a. ein Risikomanagement, Qualitäts- und Sicherheitsprüfungen durchführen und die Konformität ihres Systems behördlich oder intern bewerten lassen. Zudem braucht es menschliche Überwachung und eine Dokumentation, damit Entscheidungen nachvollziehbar sind. Beispiel: Eine KI, die Bewerbungen vorsortiert, dürfte ab 2026 nur eingesetzt werden, wenn sie die EU-Vorgaben erfüllt – etwa hinsichtlich Datensicherheit, Diskriminierungsfreiheit und Transparenz gegenüber Bewerbern.
  • Unannehmbares (inakzeptables) Risiko: KI-Anwendungen, die die Grundrechte oder die Sicherheit gravierend bedrohen, werden EU-weit verboten. Diese Kategorie umfasst nur wenige, aber brisante Anwendungsfälle, die als ethisch nicht vertretbar gelten.

Verbotene KI-Praktiken

Bereits seit Februar 2025 sind bestimmte KI-Praktiken mit unannehmbarem Risiko in der EU komplett verboten. Kein Unternehmen darf solche Systeme entwickeln oder nutzen. Verboten sind laut AI Act zum Beispiel:

  • Manipulative KI, die Menschen in ihrem Verhalten unterschwellig beeinflusst und ihren freien Willen untergräbt – insbesondere wenn sie gezielt vulnerable Gruppen ausnutzt. (Beispiel: Eine Shopping-KI, die Kinder durch psychologisches Profiling zu Käufen verleitet, wäre unzulässig.)
  • „Social Scoring“ nach dem Vorbild Chinas, also Systeme, die Menschen anhand ihres Verhaltens oder persönlicher Merkmale bewerten und in Kategorien einteilen.
  • Das massive heimliche Sammeln biometrischer Daten zur Identifizierung, etwa Gesichter in der Öffentlichkeit ohne Zustimmung zu scannen.
  • Emotionserkennung in sensiblen Bereichen, z.B. am Arbeitsplatz oder in Schulen, um Gefühle der Personen auszulesen.

Solche Anwendungen gelten als unverhältnismäßig gefährlich für die Freiheit und Würde. Sie müssen vom Markt verbannt werden – vorhandene Prototypen oder Dienste mussten spätestens Anfang 2025 eingestellt werden. Die Aufsichtsbehörden verstehen hier keinen Spaß: Verstöße gegen die Verbote können mit drastischen Strafen geahndet werden, z.B. Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes eines Unternehmens (je nachdem, was höher ist).

Zeitplan: Wann tritt was in Kraft?

Die EU-KI-Verordnung ist zwar schon formell in Kraft, aber viele Pflichten gelten erst nach Übergangsfristen. Die Umsetzung erfolgt schrittweise über mehrere Jahre:

  1. 1. August 2024 – Das Gesetz ist offiziell in Kraft getreten. Ab diesem Datum laufen die Fristen.
  2. 2. Februar 2025Verbotene KI-Systeme (s.o.) müssen bis dahin vom Markt verschwinden. Unzulässige Anwendungen dürfen ab diesem Stichtag nicht mehr betrieben werden.
  3. 2. August 2025 – Nach 12 Monaten greifen erste weitergehende Auflagen. Unter anderem treten Governance-Regeln in Kraft und Anbieter von großen KI-Grundmodellen (sogenannten Foundation Models, z.B. sehr große Sprachmodelle) müssen bestimmte Pflichten erfüllen. Unternehmen sollten bis zu diesem Datum interne Prozesse zur KI-Compliance aufsetzen, da dies der praktische Startschuss für viele Verpflichtungen ist.
  4. 2. August 2026 – Nach 24 Monaten wird der Großteil der Regelungen wirksam. Besonders alle Hochrisiko-KI-Systeme (gemäß Anhang III des AI Act) unterliegen dann den umfassenden Anforderungen. Auch die erwähnten Transparenzpflichten für begrenzt riskante KI (z.B. Kennzeichnung von KI-Inhalten) gelten ab diesem Datum verbindlich. Unternehmen haben also zwei Jahre Übergangszeit, um z.B. ihre HR-Software, Medizin-KI oder ähnliche Hochrisiko-Anwendungen AI-Act-konform zu machen.
  5. 2. August 2027 – Nach 36 Monaten greifen die letzten Bestimmungen. Darunter fallen einige Sonderfälle, etwa spezifische Regeln für Hochrisiko-KI in sehr sensiblen Sektoren (z.B. bestimmte Anwendungen in der Strafverfolgung oder im Justizwesen). Spätestens ab diesem Zeitpunkt ist das KI-Regelwerk vollumfänglich wirksam.

Diese Stufen zeigen: 2025 ist der Auftakt, aber richtig spürbar wird das EU-KI-Gesetz vor allem ab 2026 für viele Bereiche. Unternehmen und Behörden sollten die Zwischenzeit nutzen, um ihre KI-Systeme zu überprüfen. Frühzeitige Vorbereitung ist wichtig – zum einen um rechtzeitig compliant zu sein, zum anderen weil vertrauenswürdige KI auch einen Wettbewerbsvorteil darstellen kann.

Nationale Entwicklungen in Deutschland

Parallel zur EU-Verordnung gibt es auch in Deutschland Diskussionen und Initiativen, wie man den Umgang mit KI national regeln oder anpassen sollte. Vieles davon greift die EU-Vorgaben auf, doch es gibt auch spezifische deutsche Akzente in verschiedenen Rechtsgebieten – vom Zivilrecht über das Arbeitsrecht bis zum Datenschutz. Hier fassen wir die wichtigsten Punkte zusammen.

KI und Zivilrecht: Haftung und Verantwortung

Eine zentrale Frage: Wer haftet, wenn eine KI Schaden anrichtet? In Deutschland gibt es bislang kein eigenes „KI-Haftungsgesetz“, aber natürlich greifen die allgemeinen Regeln des Zivilrechts. Grundsätzlich gilt: KI-Systeme sind rechtlich keine eigenständigen „Personen“, sondern Werkzeuge. Verantwortlich für Fehler einer KI ist deshalb in der Regel der Mensch bzw. das Unternehmen dahinter – also der Hersteller, Betreiber oder Anwender, je nach Fall.

Beispiel: Baut ein Autohersteller ein autonomes Fahrzeug und dieses verursacht einen Unfall, haften Hersteller und Halter nach den bestehenden Regeln (Produkthaftung, Straßenverkehrsgesetz usw.). Ähnlich wäre es, wenn eine KI-gestützte Medizinsoftware eine Fehldiagnose stellt – der Anbieter der Software oder der Arzt, der sie einsetzt, muss dafür geradestehen, nicht „die KI“ als solche.

Neue Gesetzesinitiativen gibt es in diesem Bereich vor allem auf EU-Ebene, was dann in nationales Recht einfließt. Die EU hatte 2022 einen Entwurf für eine KI-Haftungsrichtlinie vorgelegt, um die Beweislast bei KI-Schäden zu erleichtern. Allerdings wurde dieses Vorhaben im März 2025 überraschend zurückgezogen. Warum? Inzwischen hat die EU nämlich die Produkthaftungs-Richtlinie modernisiert, sodass diese nun auch Software und KI-Systeme erfasst. Mit anderen Worten: KI wird als Teil eines Produkts oder einer Dienstleistung angesehen, und wenn sie Schaden verursacht, greift die allgemeine Produkthaftung. Viele Experten meinten, damit und mit dem AI Act seien spezielle KI-Haftungsregeln entbehrlich. Zudem bieten die nationalen Deliktsrechte (also z.B. §§ 823 BGB in Deutschland) grundsätzlich Möglichkeiten, um Schadensersatzansprüche wegen KI-Fehlern durchzusetzen. Die EU-Kommission befürchtete wohl auch, ein extra KI-Haftungsgesetz könnte überregulieren und Innovation hemmen.

Für Deutschland heißt das: Vorerst bleibt es bei den bestehenden Haftungsregeln. Dennoch beobachtet die Bundesregierung aufmerksam, ob es Lücken gibt. Beispielsweise läuft eine Diskussion, ob man eine Gefährdungshaftung (verschuldensunabhängige Haftung) für bestimmte KI-Anwendungen einführen sollte – etwa ähnlich der Kfz-Haftung, wo der Halter haftet, auch ohne Verschulden, weil vom Auto eine besondere Gefahr ausgeht. Konkrete Gesetze dazu liegen aber noch nicht vor (Stand Juni 2025).

Ein Praxis-Tipp: Unternehmen sollten bei KI-Projekten vertraglich klar regeln, wer welches Risiko trägt, und ggf. Versicherungen abschließen. Entwickler komplexer KI-Systeme müssen an Produkthaftung und Gewährleistung denken – also ihre Systeme sorgfältig testen und dokumentieren. Und wer KI von Drittanbietern nutzt, sollte genau hinsehen, welche Garantien oder Haftungsausschlüsse dort gelten.

KI-generierte Inhalte verdienen ebenfalls Beachtung im Zivilrecht (insbesondere im Urheber- und Persönlichkeitsrecht). Dazu weiter unten mehr, im Abschnitt "KI-generierte Inhalte: Urheberrecht und Kennzeichnung".

KI im Arbeitsrecht: Was gilt am Arbeitsplatz?

Auch in der Arbeitswelt wirft KI neue Fragen auf. Können Betriebe einfach KI-Systeme einführen, um Mitarbeiter zu überwachen oder Personalentscheidungen zu automatisieren? Welche Rechte haben Arbeitnehmer und Betriebsräte dabei? Hier hat Deutschland bereits erste Anpassungen im Arbeitsrecht vorgenommen.

Bereits 2021 wurde das Betriebsverfassungsgesetz (BetrVG) an einigen Stellen explizit auf KI bezogen. Dadurch sollte klargestellt werden, dass Mitbestimmungsrechte des Betriebsrats auch bei KI-Anwendungen greifen. Wichtige Punkte sind:

  • Technische Überwachung: Wenn der Arbeitgeber ein technisches System einführt, das zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer geeignet ist, muss der Betriebsrat zustimmen (§ 87 Abs. 1 Nr. 6 BetrVG). Das gilt ausdrücklich auch für KI-Systeme. Beispielsweise wenn ein KI-Tool die Tippgeschwindigkeit von Mitarbeitern auswerten würde oder Kameras mit KI Auswertungen im Lager machen, ist das mitbestimmungspflichtig.
  • Informationsrechte: Der Arbeitgeber muss den Betriebsrat frühzeitig informieren, wenn er den Einsatz von KI-Systemen im Betrieb plant (§ 90 Abs. 1 Nr. 3 BetrVG). Der Betriebsrat soll also von Anfang an eingebunden werden, bevor eine KI angeschafft und installiert wird.
  • Sachverständige: Der Betriebsrat darf zur Beurteilung einer geplanten KI-Anwendung eigene Sachverständige hinzuziehen (§ 80 Abs. 3 BetrVG). Das ist wichtig, weil KI oft komplex ist – hier kann sich der Betriebsrat z.B. einen Informatiker oder Datenschutzexperten zur Unterstützung holen, und der Arbeitgeber muss das ermöglichen.
  • Personalauswahl: Werden Richtlinien für Personalentscheidungen (Einstellung, Versetzung, Kündigung) aufgestellt, hat der Betriebsrat ein Mitbestimmungsrecht (§ 95 BetrVG). Neu ist: Das gilt auch, wenn dabei KI zum Einsatz kommt (§ 95 Abs. 2 BetrVG). Wenn also ein Unternehmen etwa Software nutzt, die Bewerbungseingänge vorsortiert, muss der Betriebsrat bei den Kriterien mitreden.
  • Gesundheitsschutz und Arbeitsmethoden: Ändert sich durch KI wesentlich die Arbeitsweise im Betrieb, kann das eine Betriebsänderung sein (§ 111 BetrVG) – dann wären Interessenausgleich und Sozialplan zu verhandeln. Auch beim Thema Gesundheitsprävention (z.B. Stress durch ständige KI-Auswertung) kann der Betriebsrat Mitbestimmungsrechte geltend machen.

In der Praxis heißt das: Arbeitgeber sollten vor Einführung eines KI-Systems mit dem Betriebsrat sprechen und eine Betriebsvereinbarung schließen, welche die Nutzung regelt (z.B. was genau die KI auswertet, welche Daten erhoben werden, wie Ergebnisse verwendet werden, etc.). Betriebsräte wiederum sind gut beraten, sich technisch beraten zu lassen, um Chancen und Risiken der KI beurteilen zu können.

Ein erstes Gerichtsverfahren zu KI am Arbeitsplatz gab es Anfang 2024: Das Arbeitsgericht Hamburg entschied, dass der Betriebsrat kein Mitbestimmungsrecht hat, wenn Mitarbeiter freiwillig KI-Tools auf eigenen Accounts nutzen. In dem Fall hatten Angestellte mit Erlaubnis des Arbeitgebers privat ChatGPT genutzt, um sich bei Aufgaben helfen zu lassen. Das Gericht sagte: Weil dies nicht vom Arbeitgeber gesteuert und keine betriebliche Software war, liege keine mitbestimmungspflichtige Einführung einer technischen Einrichtung vor. Aber Achtung: Sobald der Arbeitgeber selbst ein KI-Tool bereitstellt oder dessen Nutzung im Betrieb organisiert, ist man wieder im Bereich der Mitbestimmung. Unternehmen sollten also genau prüfen: Wenn KI-Nutzung gewünscht ist, besser offiziell einführen mit Regeln, statt es ungesteuert „wild“ zuzulassen – schon um Datenschutzprobleme zu vermeiden (siehe nächster Abschnitt).

KI und Datenschutz: Personenbezogene Daten & KI

Datenschutzrecht spielt bei KI eine große Rolle, denn viele KI-Systeme verarbeiten Unmengen von Daten – darunter häufig personenbezogene Daten (z.B. Kundendaten, Gesichter auf Bildern, Texte von Nutzern usw.). In Deutschland und Europa gilt hier vor allem die EU-Datenschutz-Grundverordnung (DSGVO). Es gibt zwar (noch) kein spezielles KI-Datenschutzgesetz, aber die bestehenden Regeln lassen sich anwenden. Wichtige Eckpunkte:

  • Rechtsgrundlage und Zweckbindung: Wenn eine KI personenbezogene Daten nutzt, braucht es eine Rechtsgrundlage (Einwilligung, Vertrag, berechtigtes Interesse etc.) und der Zweck muss klar sein. Einfach alle verfügbaren Daten ins KI-Training zu kippen, ohne auf Zweck und Minimierung zu achten, verstößt gegen die DSGVO. Die Datenschutzkonferenz (DSK) – das Gremium der deutschen Aufsichtsbehörden – betont, dass vor dem Einsatz einer KI genau festgelegt werden muss, wofür sie eingesetzt wird und welche Daten dafür nötig sind. Privacy by Design ist auch bei KI Pflicht: Schon bei der Entwicklung sollte Datenschutz mitgedacht werden.
  • Automatisierte Entscheidungen: Art. 22 DSGVO gibt Personen ein Recht darauf, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu sein, wenn diese für sie rechtlich oder ähnlich erheblich ist. Das betrifft KI-Systeme, die z.B. vollautomatisch einen Kreditantrag ablehnen oder eine Bewerbung aussortieren. Solche Entscheidungen sind nur unter bestimmten Bedingungen zulässig (etwa mit Einwilligung, und es muss eine Möglichkeit zum Eingreifen eines Menschen geben). Unternehmen müssen also bei KI-Entscheidungsprozessen oft noch einen menschlichen Überwacher einschalten oder zumindest Transparenz und Anfechtungsmöglichkeiten bieten.
  • Datenschutz-Folgenabschätzung (DSFA): Viele KI-Anwendungen dürften einer DSFA bedürfen, da sie voraussichtlich ein hohes Risiko für die Rechte von Personen mit sich bringen (Art. 35 DSGVO). Die DSK hat 2019 in der “Hambacher Erklärung” schon klargestellt, dass KI-Dienste sorgfältig auf Datenschutzrisiken geprüft werden müssen. Konkret: Wer etwa ein neues KI-Tool einführt, das Kundenprofile erstellt, sollte vorher eine strukturierte Risikoanalyse durchführen – was kann schiefgehen, welche Maßnahmen gibt es zur Eindämmung?
  • Auftragsverarbeitung und Drittstaatentransfer: Nutzt man externe KI-Dienste (z.B. einen Cloud-KI-Service aus den USA), muss man die Auftragsdatenverarbeitung nach Art. 28 DSGVO regeln und bei Transfers in Drittländer (USA) die gesetzlichen Vorgaben einhalten. Stichwort: Standardvertragsklauseln oder das neue EU-US Data Privacy Framework – das muss auch für KI-Services beachtet werden.

Die deutschen Behörden sind hier sehr aufmerksam. Jüngstes Beispiel: Die Organisation NOYB (European Privacy Association) hat 2023 eine Beschwerde gegen OpenAI (den Betreiber von ChatGPT) bei europäischen Datenschutzbehörden eingereicht. Der Vorwurf: ChatGPT verletze diverse DSGVO-Vorgaben, etwa weil Personenbezogenes ungeklärt verarbeitet wird und falsche Aussagen (“Halluzinationen”) über Personen entstehen können. In Italien wurde ChatGPT zeitweise sogar gesperrt, bis Anpassungen erfolgten. In Deutschland prüft der Bundesdatenschutzbeauftragte zusammen mit anderen EU-Stellen die Sachlage. Solche Fälle zeigen, dass KI-Anbieter – ob groß oder klein – datenschutzrechtlich angreifbar sind, wenn sie die Regeln ignorieren.

Um Unternehmen und Behörden Orientierung zu geben, hat die DSK im Mai 2024 eine ausführliche “Orientierungshilfe zum datenschutzkonformen Einsatz von KI” veröffentlicht. Darin gibt es praxisnahe Checklisten, was beim Einkauf, der Implementierung und Betrieb von KI-Systemen zu beachten ist. Ein Schwerpunkt liegt auf großen Sprachmodellen wie ChatGPT & Co, da diese aktuell viele Fragen aufwerfen. Die Botschaft der Aufsichtsbehörden: KI-Einsatz ist möglich, aber man muss Datenschutz by design umsetzen – vom Training (Datenauswahl) bis zur Nutzung (z.B. keine sensiblen Daten unnötig eingeben, Auskunftsrechte der Betroffenen sichern etc.).

Wer kontrolliert das Ganze? Mit Inkrafttreten des EU-AI Act stellt sich die Frage, welche Behörde in Deutschland für die Überwachung der KI-Regeln zuständig sein wird. Die DSK hat dazu im Mai 2024 ein Positionspapier veröffentlicht und sich bereit erklärt, die Überwachung der KI-Verordnung zu übernehmen. Da die Datenschutzbehörden schon jetzt als Marktüberwacher im digitalen Bereich agieren und viel Erfahrung mitbringen, wollen sie diese Kompetenz ausbauen. Es könnte also sein, dass z.B. der Bundesdatenschutzbeauftragte oder die Landesbehörden künftig nicht nur Datenschutz-, sondern auch KI-Regeln durchsetzen. Die endgültige Entscheidung dazu steht aber noch aus – hier wird die Bundesregierung einen oder mehrere “zuständige Behörden” bestimmen müssen, bevor der AI Act voll wirksam wird.

Fazit in Kürze: Datenschutzrecht setzt KI klare Grenzen, damit Persönlichkeitsrechte gewahrt bleiben. Für Unternehmen bedeutet das oft einen Spagat: Sie wollen die Power von Daten nutzen, dürfen aber nicht über’s Ziel hinausschießen. Eine gute Datenschutz-Compliance wird somit zum Enabler – wer hier sauber aufgestellt ist, kann KI innovativ und trotzdem legal einsetzen.

KI-generierte Inhalte: Urheberrecht und Kennzeichnung

Ein spannendes Thema, das immer mehr ins Rampenlicht rückt, sind KI-generierte Inhalte – also Texte, Bilder, Musik oder Videos, die von einer KI geschaffen wurden (man denke an ChatGPT-Texte, KI-Kunstwerke oder Deepfake-Videos). Rechtlich ergeben sich hier vor allem Fragen des Urheberrechts und der Persönlichkeitsrechte, aber auch Pflichten zur Kennzeichnung solcher Inhalte werden diskutiert.

Urheberrechtliche Einordnung: In Deutschland (wie in den meisten Ländern) kann nur ein Mensch Urheber eines Werkes sein. Voraussetzung für Urheberschutz ist eine “persönliche geistige Schöpfung” (§ 2 Abs. 2 UrhG) – sprich, ein Mensch muss etwas individuell-kreativ geschaffen haben. Eine KI hingegen ist kein Mensch und handelt nicht mit eigenem Bewusstsein, sondern nach Algorithmen. Die Konsequenz: Rein von KI erzeugte Werke genießen keinen Urheberrechtsschutz. Weder die KI selbst, noch der Programmierer, noch der Nutzer, der einen Prompt eingegeben hat, gelten als Urheber, wenn das Ergebnis überwiegend automatisch von der KI generiert wurde. Das klingt erstmal erstaunlich: Ein tolles KI-Bild oder ein elaborierter KI-Text wären demnach „gemeinfrei“ – jeder könnte sie nutzen, kopieren, verändern, ohne den „Ersteller“ um Erlaubnis zu fragen.

Allerdings gibt es Grauzonen: Hat ein Mensch einen KI-Output wesentlich mitgestaltet oder nachbearbeitet, kann durchaus Urheberrecht an der veränderten Version entstehen. Zum Beispiel, wer ein von KI generiertes Bild manuell überarbeitet, Elemente hinzufügt und ein individuelles Gepräge verleiht, könnte für das bearbeitete Bild Urheber sein. Aber ein minimaler Input (z.B. nur ein kurzer Prompt oder winzige Korrekturen am Text) reicht nicht aus. Da es hier bislang keine eindeutige Rechtsprechung gibt, bleibt im Einzelfall abzuwägen, ob der menschliche Einfluss groß genug war.

Praktische Folgen des fehlenden Schutzes: Einerseits können KI-Ergebnisse frei verwendet werden – man verletzt kein Urheberrecht, weil keins besteht. Andererseits gibt es Risiken:

  • Haftung: Wer KI-Inhalte nutzt, haftet für deren Inhalt. Lässt man etwa eine KI eine Stellenausschreibung formulieren und diese ist diskriminierend (verstößt z.B. gegen das Allgemeine Gleichbehandlungsgesetz), haftet das Unternehmen, das sie veröffentlicht hat. „Die KI war’s“ zählt nicht als Ausrede.
  • Plagiate: KI erzeugt zwar Neues, kann aber bestehenden Werken ähneln. Sollte ein KI-generiertes Bild z.B. stark einem geschützten Foto oder Logo gleichen, kann das eine Urheberrechtsverletzung oder Markenverletzung sein. Dann drohen dem Verwender Abmahnungen und Schadenersatzforderungen. Unternehmen sind daher gut beraten, KI-Inhalte vor Nutzung zu prüfen – etwa durch Reverse Image Search oder Plagiatsscanner.
  • Keine Exklusivität: Weil KI-Ergebnisse nicht geschützt sind, können auch Dritte denselben Output nutzen. Es kann passieren, dass ein anderes Unternehmen per Zufall einen ähnlichen Prompt verwendet und denselben KI-Text erhält – und nichts hindert es, diesen ebenfalls zu veröffentlichen. Man hat also keine Monopolstellung auf KI-Kreationen, außer man schließt vertraglich etwas mit dem KI-Anbieter ab (manche Plattformen bieten kostenpflichtige Abos mit garantierter Exklusivität bestimmter Outputs).

Kennzeichnung von KI-Inhalten: Rechtlich gibt es derzeit (Stand Mitte 2025) kaine allgemeine Kennzeichnungspflicht für KI-generierte Inhalte. Das heißt, es ist (noch) nicht per Gesetz vorgeschrieben, dass man z.B. unter einen KI-generierten Blogtext schreibt „erstellt von KI“ oder dass auf einem KI-Bild ein Wasserzeichen sein muss. Aber: Das kommende EU-KI-Gesetz wird hier gewisse Pflichten bringen. Insbesondere müssen Anbieter von KI-Systemen ihre generierten Outputs so gestalten, dass diese als KI-Erzeugnis erkennbar sind. Beispielsweise könnten KI-Bildgeneratoren künftig automatisch ein digitales Wasserzeichen einfügen. Für Nutzer solcher Inhalte sieht der AI Act eine Kennzeichnungspflicht vor, wenn es sich um synthetische Medien handelt, die echt wirken könnten – also vor allem Deepfakes (KI-erzeugte Videos oder Stimmen, die reale Personen imitieren) oder automatisierte Texte zu Themen von öffentlichem Interesse. Solche Inhalte sollen klar als KI-erstellt markiert werden, um Täuschung und Desinformation vorzubeugen. Ausnahme: zu künstlerischen oder humoristischen Zwecken darf man es weiterhin ungekennzeichnet verwenden, solange kein betrügerischer Kontext besteht.

Interessanterweise greifen einige Plattformen bereits vor: Große soziale Netzwerke wie Facebook, TikTok oder YouTube haben in ihren Nutzungsregeln Vorgaben, dass KI-generierte Inhalte (insbesondere Deepfakes) entsprechend gekennzeichnet oder verboten sein können. Hier reagiert die Industrie also schon auf das Problem, um Vertrauen zu erhalten.

Zwischenfazit: Wer KI-generierte Inhalte produziert oder nutzt, bewegt sich in einem aktuell noch etwas ungeklärten Rechtsbereich. Sicher ist: Man sollte transparent und verantwortungsvoll damit umgehen. Aus Compliance-Sicht empfiehlt es sich, KI-Inhalte zumindest intern als solche zu markieren und deren Einsatz zu dokumentieren. Und beim Umgang mit anderen KI-Werken (z.B. KI-Kunst aus dem Netz) gilt es aufzupassen: Nur weil etwas keinen Urheber hat, heißt nicht, dass keine Rechte Dritter berührt sind (Bildnisse echter Personen könnten z.B. Persönlichkeitsrechte verletzen).

Zum guten Ton – und möglicherweise bald Gesetz – gehört es jedenfalls, Offenheit über KI-Autorschaft zu üben: Wenn ein Artikel, ein Kundenchat oder ein Video ganz oder teilweise aus KI-Feder stammt, sollte man das den Empfängern mitteilen. Das fördert Vertrauen und erfüllt den Grundsatz der Transparenz, den EU-Regulierung wie auch deutsche Behörden von “vertrauenswürdiger KI” erwarten.

Berufsrecht und Regulierungsvorhaben: KI in der Praxis

Abschließend ein Blick auf zwei weitere Aspekte: Wie reagieren bestimmte Berufsgruppen auf KI und welche politischen Strategien verfolgt Deutschland?

Anpassungen im Berufsrecht: In regulierten Berufen (z.B. Anwälte, Ärzte, Steuerberater) gibt es besondere Berufspflichten – etwa Verschwiegenheit, Sorgfalt, eigenverantwortliche Arbeit. KI kann hier unterstützen, darf aber nicht dazu führen, dass Berufspflichten verletzt werden. Ein Beispiel ist der Rechtsanwaltsberuf: Die Bundesrechtsanwaltskammer (BRAK) hat Ende 2024 einen Leitfaden zum KI-Einsatz für Kanzleien herausgegeben. Darin wird klargestellt, dass anwaltliche Verschwiegenheit auch beim Gebrauch von Tools wie ChatGPT oberste Priorität hat. Vertrauliche Mandanteninformationen dürfen nur dann an KI-Dienste gegeben werden, wenn strenge Voraussetzungen erfüllt sind (ähnlich wie bei Auslagerung von IT-Diensten). Konkret empfiehlt die BRAK, wenn überhaupt, dann nur anonymisierte oder abstrahierte Daten in KI-Systeme einzugeben. Zudem darf der Einsatz von KI nicht dazu führen, dass der Mandant den Eindruck bekommt, eine persönliche Prüfung durch den Anwalt finde gar nicht mehr statt – Juristen müssen also weiterhin die Ergebnisse der KI selbst verantworten und prüfen, bevor sie sie z.B. in einer Rechtsberatung verwenden. Eine Verpflichtung, KI zu nutzen, besteht übrigens (noch) nicht – obwohl es Fälle geben mag, wo der Einsatz zur Effizienzsteigerung geboten sein könnte (Massenvorgänge etc.). Ähnliches gilt für andere Berufe: Ärzte etwa experimentieren mit Diagnose-KI, doch letztlich muss der Arzt die Entscheidung treffen und haftet auch dafür. Berufskammern beobachten genau, wie KI die Berufsausübung verändert, und werden ggf. ihre Standesregeln präzisieren.

Digitalstrategie der Bundesregierung: Auf höherer Ebene hat die deutsche Regierung in ihrer KI-Strategie und Digitalstrategie betont, dass sie eine “menschenzentrierte und gemeinwohlorientierte” KI-Entwicklung fördern will. Schon die nationale KI-Strategie von 2018 formulierte das Leitbild “KI made in Germany” als Gütesiegel für vertrauenswürdige KI, die europäischen Werten entspricht. Deutschland investiert massiv in KI-Forschung und -Förderung – bis 2025 etwa 5 Milliarden Euro an öffentlichen Mitteln. Gleichzeitig setzt die Regierung auf europäische Kooperation (Stichwort „AI made in Europe“) und begrüßt ausdrücklich die EU-Regulierung. In der politischen Diskussion hierzulande wird KI oft mit Chancen für Wirtschaft und Verwaltung verknüpft (Automatisierung, neue Geschäftsmodelle) – aber immer unter dem Vorzeichen, dass ethische Leitplanken nötig sind. So wurde beim Digital-Gipfel 2023 viel über KI-Ethik debattiert und man war sich einig, dass Regeln wie der AI Act essentiell sind, um Vertrauen in KI zu schaffen (Stichwort: Ohne Akzeptanz keine Innovation).

Konkrete Regulierungsvorhaben in Deutschland sind neben den genannten Bereichen (Haftung, Arbeitsrecht, Datenschutz) etwa:

  • Die Bundesregierung prüft, ob weiteres nationales Recht angepasst werden muss, z.B. im Zivilrecht (etwa Klarstellungen im Haftpflichtrecht) oder im Wettbewerbsrecht (Thema Kartellrecht und KI, Diskriminierungsverbote durch Algorithmen).
  • Es gibt Überlegungen, ein Gütesiegel oder freiwillige Zertifizierungen für KI-Produkte einzuführen, bis die EU-Vorgaben greifen, um Verbrauchern Orientierung zu geben.
  • Im Medien- und Strafrecht wird diskutiert, ob man das Verbreiten täuschend echter KI-Fakes (Deepfakes zu Personen des öffentlichen Lebens, Fake-News aus KI) unter Strafe stellen oder spezifisch regeln sollte. Hier greift ab 2024 teils schon der EU Digital Services Act, der großen Plattformen auferlegt, gegen manipulative Inhalte vorzugehen – das ergänzt sich mit KI-Aspekten.
  • Auch das Bildungsrecht schaut auf KI: Könnte ChatGPT z.B. das Prüfungswesen verändern? Erste Hochschulen erarbeiten Regeln für den Umgang mit KI-Texten in Hausarbeiten (Kennzeichnungspflicht, Ehrenkodex etc.), auch wenn das keine Gesetze, sondern interne Regelungen sind.

Insgesamt lässt sich sagen: Deutschland setzt stark auf den EU-Rahmen und versucht, nationale Gesetze möglichst europäisch abgestimmt zu entwickeln. Das große Rad dreht sich in Brüssel (AI Act, Data Act, neue Urheberrechtsdiskussionen auf EU-Ebene bzgl. KI-Training und -Inhalten), während Berlin vor allem flankierend tätig wird, um Vollzug und Umsetzung sicherzustellen. Dabei behält man die Wettbewerbsfähigkeit im Blick: Man will kein „zu strenges“ Sonderrecht schaffen, das hiesige Unternehmen benachteiligt, aber auch nicht im Wilden Westen ohne Regeln enden.

Fazit

KI und Recht – das bleibt auch über 2025 hinaus ein dynamisches Feld. Die EU-KI-Verordnung markiert einen Meilenstein: Erstmals gibt es ein umfassendes Regelwerk, das KI je nach Risikograd reguliert, Missbrauch verbietet und Transparenz schafft. Für Unternehmen und Nutzer bedeutet das zunächst Anpassungsaufwand, langfristig aber auch Rechtssicherheit und Vertrauen in KI-Anwendungen. Deutschland unterstützt diesen Kurs und passt punktuell nationales Recht an, wo nötig – etwa im Betriebsverfassungsrecht oder durch Leitlinien der Behörden.

Für Laien ist wichtig zu wissen: KI ist kein rechtsfreier Raum. Was eine KI tut, wird rechtlich immer einem Verantwortlichen zugerechnet – sei es einem Hersteller, Betreiber oder Anwender. Grundrechte und bestehende Gesetze (vom Datenschutz bis zur Produkthaftung) gelten auch im KI-Zeitalter weiter. Neu hinzukommen spezifische Pflichten, etwa dass man KI-Einsatz offenlegen muss und risikoreiche KI nur nach strengen Vorgaben einsetzen darf.

Gleichzeitig sollen Innovation und Nutzen der KI nicht gebremst werden. Deutschland und die EU verfolgen daher das Leitbild der “vertrauenswürdigen KI”: KI, der wir als Gesellschaft vertrauen können, weil sie Transparent, fair und sicher ist. Der Gesetzgeber schafft Rahmenbedingungen – und es liegt an den Entwicklern, Unternehmen und auch uns als Nutzern, diese mit Leben zu füllen.

Man kann es so zusammenfassen: KI kann vieles revolutionieren, aber sie entbindet nicht von Verantwortung. Die neuesten gesetzlichen Entwicklungen zielen darauf ab, genau diese Verantwortung klar zuzuordnen und die Chancen der KI ohne blinde Flecken zu nutzen. Für juristisch Interessierte bleibt es spannend, wie sich die Rechtspraxis entwickeln wird – etwa wenn die ersten Gerichtsentscheidungen zu KI-Fällen fallen. Klar ist schon jetzt: KI und Recht werden in Zukunft Hand in Hand gehen, um Fortschritt und Werte in Einklang zu bringen.

Zu allen Inhalten
Zu allen Inhalten
Justitia
Noch Fragen?
Schreiben Sie Justitia - Ihre KI-Rechtsassistentin von JustitAI.
Jetzt loslegen
Termin vereinbaren