Eines Mittwochabends nach dem Yoga saß ich neulich noch in meiner Küche und starrte auf eine E-Mail, die mir den Schlaf raubte. Ein Abteilungsleiter hatte ungefragt ein KI-Tool zur Leistungsbewertung bei 15 Mechanikern in unserer Fertigung 'getestet'. In diesem Moment traf mich die Angst vor der Haftung härter als jede Dehnübung zuvor.
Hinweis: Auf diesem Blog findest du gelegentlich Affiliate-Links zu Schulungen, die ich oder meine Kollegen ausprobiert haben. Wenn du darüber buchst, bekomme ich eine Provision — für dich ändert sich nichts am Preis. Ich verlinke hier nur Angebote wie den KI-Führerschein, den ich selbst getestet oder zu denen ich Kollegen aus unserer 78-köpfigen Belegschaft geschickt habe.
Die Angst vor dem Unbekannten: Wer hält den Kopf hin?
Als ich im Herbst 2025 zur AI-Act-Beauftragten ernannt wurde, hatte ich keine Ahnung, was das rechtlich für mich bedeutet. Ich bin keine Juristin, sondern habe BWL studiert und vier Jahre operative HR-Erfahrung. Aber plötzlich stand die Frage im Raum: Wenn die KI einen Fehler macht — zum Beispiel einen Mitarbeiter aufgrund voreingenommener Daten diskriminiert — wer haftet dann? Der ITler Tobias, der das Tool installiert hat? Unser Geschäftsführer, der es abgesegnet hat? Oder ich, weil ich die Richtlinien nicht streng genug formuliert habe?
Ich habe angefangen, mich durch die Texte der EU-KI-Verordnung zu wühlen. Mein erster großer Fehler war zu glauben, dass immer der Hersteller der Software schuld ist. Aber so einfach macht es uns der Gesetzgeber nicht. Es gibt eine klare Unterscheidung zwischen dem 'Anbieter' (Provider), der das System entwickelt, und dem 'Betreiber' (Deployer), also uns als Unternehmen, die das System im beruflichen Kontext nutzen.
Der Moment der Wahrheit: Mitte Februar
Während der ersten Audit-Planung Mitte Februar wurde mir klar: Wir als Betreiber haben massive Pflichten. Wenn wir ein System nutzen, müssen wir sicherstellen, dass es ordnungsgemäß angewendet wird und die menschliche Aufsicht gewährleistet ist. Wenn wir aber anfangen, ein Open-Source-Modell selbst anzupassen — was unsere Software-Entwickler liebend gerne tun —, rutschen wir ganz schnell in die Rolle des Anbieters. Und dann wird es richtig ungemütlich.
Ein verregneter Dienstag im April brachte die nächste Erkenntnis: Die Bußgelder sind astronomisch. Bei Verstößen gegen verbotene Praktiken (wie etwa biometrische Kategorisierung am Arbeitsplatz) drohen bis zu 7% des weltweiten Jahresumsatzes oder 35 Mio. €. Selbst bei 'einfacheren' Verletzungen von Betreiberpflichten sind es noch 3% oder 15 Mio. €. Für einen mittelständischen Maschinenbau-Zulieferer wie uns wäre das der absolute Ruin. Da hilft auch kein Schulterzucken nach dem Motto 'Das wusste ich nicht'.
Die Krux mit den Software-Entwicklern
Besonders kritisch sehe ich die Situation bei unseren Entwicklern. Oft werden individuelle Open-Source-Integrationen gebaut, ohne dass es interne Kontrollinstanzen gibt. Wenn da ein Fehler passiert, ist die Zurechenbarkeit oft fast unmöglich. Wer hat den Code-Schnipsel eingefügt? Wer hat die Datenquelle geprüft? In der Praxis verlagert das deutsche Arbeitsrecht die Haftung primär auf das Unternehmen als Arbeitgeber, solange der Mitarbeiter nicht vorsätzlich oder grob fahrlässig gehandelt hat.
Das bedeutet für mich in der HR: Ich muss dafür sorgen, dass jeder, der mit KI arbeitet, genau weiß, was er tut. Wir haben deshalb angefangen, die KI-Systeme nach Risikoklassen einzuteilen. Ein Tool zur Urlaubsplanung ist weniger riskant als eines, das bei der Personalauswahl hilft. Letzteres ist laut AI Act oft ein Hochrisiko-System, und da sind die Dokumentationspflichten extrem streng.
Praktische Lernschritte aus der letzten Woche
Letzte Woche bei der Durchsicht der neuen Arbeitsverträge habe ich gemerkt, dass wir eine Klausel zur 'KI-Kompetenz' brauchen. Ich kann niemanden mehr einfach so an diese Tools lassen. Unwissenheit schützt vor Strafe nicht, aber eine klare Dokumentation und geschulte Mitarbeiter sind unsere einzige Lebensversicherung gegen die 3-Prozent-Bußgeldfalle. Falls du dich fragst, wie man das angeht: Ich habe gute Erfahrungen damit gemacht, die Leute erst mal durch eine Basisschulung zu schicken, um ein gemeinsames Verständnis zu schaffen. Da hilft der KI-Führerschein enorm, weil er genau dieses Grundwissen vermittelt.
Ich habe auch gelernt, dass ich regelmäßig unsere Schatten-IT im Blick behalten muss. Frau Krüger aus der Fertigung hat neulich ganz stolz erzählt, wie sie mit einer kostenlosen KI ihre Schichtpläne optimiert. Mein Herz ist kurz stehen geblieben. Datenschutz? Haftung? Fehlanzeige. Wir müssen hier Leitplanken einziehen, die nicht nur auf dem Papier existieren, sondern gelebt werden.
Fazit: Haftung fängt bei der Ausbildung an
Rechtlich gesehen stehen wir als Unternehmen meistens in der ersten Reihe, wenn etwas schiefgeht. Ob es nun um Diskriminierung, Datenschutzverletzungen oder fehlerhafte Arbeitsergebnisse geht — die Ausrede 'Die KI war's' zählt vor Gericht nicht. Wenn du es ganz genau wissen willst, solltest du natürlich eine Anwältin für IT-Recht fragen, aber mein Weg als Nicht-Juristin ist bisher: Dokumentieren, Schulen, Kontrollieren.
Wir führen jetzt verbindliche Leitplanken ein. Haftung fängt bei der Kompetenz jedes Einzelnen an. Niemand darf mehr ohne Nachweis von Grundwissen an kritische Tools. Das nimmt mir zwar nicht alle Sorgen, aber ich kann zumindest wieder besser schlafen — auch ohne eine extra Stunde Yoga am Abend. Falls du noch keine KI-Richtlinien Vorlage hast, fang am besten dort an. Es ist der erste Schritt, um die Verantwortung von deinen Schultern auf ein strukturiertes System zu übertragen.
Möchtest du dein Team auch rechtlich absichern und die nötige Fachkompetenz aufbauen? Schau dir den KI-Führerschein an — das war für uns der Wendepunkt weg von der bloßen Angst hin zum kontrollierten Einsatz.