Rechtliche Themen haben in der Praxis eine eigentümliche Wirkung: Entweder werden sie überschätzt und lähmen das Handeln, oder sie werden unterschätzt und schlicht ignoriert.
Im Umgang mit künstlicher Intelligenz ist derzeit der zweite Fall häufiger. Viele Unternehmen und Projektteams nutzen KI-Tools produktiv, ohne sich mit den rechtlichen Rahmenbedingungen ernsthaft befasst zu haben. Das ändert sich gerade, denn die Regulierung ist längst in Kraft.
Mit dem EU AI Act ist seit August 2024 das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz wirksam. Es entfaltet seine Pflichten schrittweise, aber verbindlich. Daneben gelten die Datenschutz-Grundverordnung und das Urheberrecht weiter und müssen für den KI-Kontext an manchen Stellen neu eingeordnet werden. Und es gibt einen praktischen Aspekt, der häufig übersehen wird: Wer KI im Projekt einsetzt und dabei Fehler macht, haftet dafür als Projektleiter, nicht das KI-System.
Dieser Beitrag gibt einen Überblick über die drei rechtlichen Bereiche, die für den Projektalltag heute tatsächlich relevant sind. Er ist kein juristisches Gutachten, sondern ein Orientierungsrahmen für Praktikerinnen und Praktiker.
Der EU AI Act: Was gilt wann
Der EU AI Act ist kein statisches Regelwerk, das an einem einzigen Stichtag vollständig in Kraft getreten ist. Er wird in Stufen wirksam, und jede Stufe aktiviert andere Pflichten. Die folgende Übersicht zeigt den Zeitplan im Überblick:
| Datum | Status | Was gilt |
| Aug. 2024 | In Kraft | EU AI Act tritt offiziell in Kraft |
| Feb. 2025 | Gilt jetzt | Verbote inakzeptabler KI-Praktiken; KI-Kompetenzpflicht (Art. 4) für alle Unternehmen, die KI-Systeme einsetzen |
| Aug. 2025 | Gilt jetzt | Pflichten für Anbieter allgemeiner KI-Modelle (GPAI), Governance-Strukturen, Sanktionen |
| Aug. 2026 | In Kürze | Vollständige Anwendung für Hochrisiko-KI-Systeme; Transparenzpflichten; Bußgelder bis 35 Mio. € oder 7 % des Jahresumsatzes |
| Aug. 2027 | Geplant | Restliche Bestimmungen; Übergangsfristen für ältere allgemeine KI-Modelle enden |
Was heute bereits gilt und häufig übersehen wird
Zwei Pflichten sind heute bereits verbindlich, finden in der Praxis aber noch zu wenig Beachtung.
Die KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025. Sie verpflichtet alle Unternehmen, die KI-Systeme einsetzen, sicherzustellen, dass die Mitarbeitenden, die mit diesen Systemen arbeiten, über ausreichendes KI-Verständnis verfügen. Der Gesetzgeber lässt dabei erheblichen Spielraum bei der Ausgestaltung: Weder Inhalte noch Formate von Schulungen sind verbindlich vorgeschrieben. Entscheidend ist jedoch, dass entsprechende Maßnahmen tatsächlich umgesetzt und nachweisbar dokumentiert werden. Wer heute KI-Tools im Unternehmen einsetzt, ohne dokumentierte Schulungsmaßnahmen, ist nach geltendem Recht bereits nicht compliant.
Das Verbot inakzeptabler KI-Praktiken gilt ebenfalls seit Februar 2025. Verboten sind insbesondere Social-Scoring-Systeme, die Menschen anhand ihres Sozialverhaltens bewerten, und biometrische Echtzeit-Identifikationssysteme im öffentlichen Raum. Für den typischen Projektalltag im Projektmanagement sind diese Verbote weniger direkt relevant, da solche Systeme im Projektalltag selten eingesetzt werden. Relevant wird es jedoch, wenn ein Projekt die Einführung oder Beschaffung solcher Systeme zum Inhalt hat.
Was ab August 2026 gilt
Ab dem 2. August 2026 treten die zentralen Vorschriften für sogenannte Hochrisiko-KI-Systeme in Kraft. Das sind KI-Anwendungen, die erhebliche Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Dazu zählen unter anderem KI-Systeme in der Personalauswahl, der Kreditwürdigenprüfung, dem Bildungswesen und der biometrischen Identifikation.
Für Projektleiter ist dabei eine Frage entscheidend: Ist das Projekt, das ich leite, an der Entwicklung, Beschaffung oder Einführung eines Hochrisiko-KI-Systems beteiligt? Wenn ja, sind die Compliance-Anforderungen erheblich und erfordern juristischen Rat. Wenn nein, wenn KI also lediglich als Produktivitätswerkzeug für Texterstellung, Recherche oder Automatisierung genutzt wird, sind die Anforderungen aus dem EU AI Act derzeit überschaubar. Dann gelten im Wesentlichen die Kompetenzpflicht und die allgemeinen datenschutzrechtlichen Anforderungen.
Die DSGVO im KI-Kontext: Drei Fragen, die sich jeder Projektleiter stellen sollte
Die Datenschutz-Grundverordnung ist seit 2018 geltendes Recht. Neu ist, dass KI-Tools in der Praxis systematisch dazu verleiten, datenschutzrechtliche Grenzen zu überschreiten, oft ohne dass es den Nutzern bewusst ist. Ein Prompt ist schnell geschrieben, und die Eingabe von Namen, Budgetzahlen oder Vertragsinhalten in ein KI-System stellt keine technische Hürde dar. Für den Projektalltag sind drei Fragen zentral.
Wer verarbeitet die Daten, die ich eingebe?
Wer Informationen in ein KI-System eingibt, überträgt diese an den Anbieter des Systems. Ob und wie dieser Anbieter die Daten nutzt, hängt vom Vertrag ab. Consumer-Versionen wie ChatGPT Free oder Claude.ai schließen in der Regel keinen Auftragsverarbeitungsvertrag ein, den sogenannten AVV, der vertraglich regelt, dass die übermittelten Daten nicht für das Training der Modelle genutzt werden dürfen. Ohne diesen Vertrag ist die Verarbeitung von Unternehmensdaten oder personenbezogenen Informationen datenschutzrechtlich nicht zulässig. Business-Versionen wie ChatGPT Team oder Microsoft Copilot für M365 schließen solche Verträge ein und bieten damit die nötige datenschutzrechtliche Grundlage.
Welche Daten dürfen eingegeben werden, welche nicht?
Personenbezogene Daten, also Informationen, die sich auf eine identifizierbare natürliche Person beziehen, dürfen nur dann in ein KI-System eingegeben werden, wenn dafür eine Rechtsgrundlage besteht und ein geeigneter Vertrag mit dem Anbieter vorliegt. Im Projektalltag bedeutet das: Namen und Kontaktdaten von Teammitgliedern, Leistungsdaten einzelner Personen, Informationen aus Bewerbungsunterlagen sowie Kundendaten gehören nicht in ein nicht-abgesichertes KI-System. Wer Prompts konsequent mit Platzhaltern und anonymisierten Bezeichnungen formuliert, kann KI trotzdem produktiv einsetzen, ohne datenschutzrechtliche Grenzen zu überschreiten.
Praktische Faustregel: Was du nicht auf einem öffentlichen Aushang sehen möchtest, gehört nicht in ein nicht-abgesichertes KI-System. Diese Faustregel trifft die wesentlichen DSGVO-Anforderungen für den Projektalltag gut genug, um im täglichen Umgang mit KI als Orientierung zu dienen.
Was gilt für KI-gestützte Entscheidungen über Personen?
Artikel 22 der DSGVO regelt das Recht auf einen menschlichen Entscheidungsträger bei automatisierten Entscheidungen, die erhebliche Auswirkungen auf eine Person haben. Wer KI nutzt, um Entscheidungen über die Personalauswahl, die Leistungsbewertung von Mitarbeitenden oder die Kreditgewährung zu unterstützen, muss sicherstellen, dass die abschließende Entscheidung von einem Menschen getroffen wird und nicht allein durch das KI-System. Im Projektalltag ist das vor allem dann relevant, wenn KI in HR-bezogenen Prozessen eingesetzt wird.
Urheberrecht: Wem gehört, was KI erstellt?
Das Urheberrecht im Kontext von KI ist derzeit eine der ungeklärtesten Rechtsfragen überhaupt. Für Projektleiter sind dabei zwei Aspekte praktisch relevant.
Schutzstatus KI-generierter Inhalte
In Deutschland und den meisten europäischen Ländern entsteht urheberrechtlicher Schutz nur bei schöpferischer menschlicher Leistung. Ein Text, der ausschließlich von einer KI generiert wurde, ist nach derzeitiger Rechtslage nicht urheberrechtlich geschützt und kann von niemandem beansprucht werden. Das klingt zunächst unproblematisch, hat aber eine praktische Konsequenz: Wer KI-generierte Inhalte unverändert in Dokumenten verwendet, kann sich nicht auf einen Urheberschutz berufen. Eine wesentliche menschliche Bearbeitung begründet hingegen eigene Schutzrechte. Für den internen Gebrauch ist das meist unerheblich. Für veröffentlichte Inhalte, Berichte und externe Dokumente ist es relevant.
Trainingsmaterial und Drittrechte
KI-Systeme wurden auf großen Textmengen trainiert, die urheberrechtlich geschütztes Material enthalten können. Ob und inwieweit die Anbieter dafür Lizenzen benötigen oder bereits haben, ist in mehreren Ländern rechtlich ungeklärt und Gegenstand laufender Verfahren. Für den Projektleiter ergibt sich daraus eine einfache Konsequenz: Wer KI-generierten Text in externen Veröffentlichungen verwendet, sollte sicherstellen, dass der Text wesentlich überarbeitet ist und keine wiedererkennbaren Passagen aus geschützten Quellen enthält.
Einschätzung für die Praxis: Für den typischen internen Projektalltag, also Statusberichte, Protokolle, Risikolisten und interne Kommunikation, sind die urheberrechtlichen Fragen weniger dringend als die datenschutzrechtlichen. Bei extern veröffentlichten Inhalten empfiehlt sich eine wesentliche menschliche Bearbeitung als Standard.
Was ein Projektleiter jetzt konkret tun kann
Aus den drei beschriebenen Rechtsbereichen lassen sich vier Handlungsempfehlungen ableiten, die ohne juristische Expertise umsetzbar sind.
1: Kläre, welche KI-Tools offiziell freigegeben sind. Nur Tools, für die ein Auftragsverarbeitungsvertrag vorliegt oder die anderweitig datenschutzrechtlich abgesichert sind, eignen sich für die Verarbeitung von Unternehmensdaten. Consumer-Versionen sind für alles, was nicht öffentlich sein dürfte, ungeeignet.
2: Informiere dein Team über die Grundregeln. Die KI-Kompetenzpflicht nach Artikel 4 EU AI Act verpflichtet das Unternehmen zur Schulung und Dokumentation. Ein informiertes Team ist gleichzeitig ein schützendes Team, denn viele datenschutzrechtliche Verstöße passieren nicht aus bösem Willen, sondern aus Unwissenheit.
3: Personenbezogene Daten konsequent aus Prompts heraushalten. Namen, Leistungsdaten, Vertragsinhalte und Kundendaten gehören nicht in ein nicht-abgesichertes KI-System. Wer mit anonymisierten Platzhaltern arbeitet, bleibt produktiv und datenschutzkonform.
4: Bei Hochrisiko-Projekten frühzeitig juristischen Rat einholen. Wer ein Projekt leitet, das die Einführung oder Beschaffung eines KI-Systems mit erheblichem Einfluss auf Personalentscheidungen, Kreditvergabe oder ähnliche Bereiche zum Inhalt hat, sollte nicht auf allgemeines Orientierungswissen vertrauen, sondern fachkundige rechtliche Beratung einbeziehe
Grundhaltung für den Alltag: Rechtliche Unsicherheit ist kein Grund, KI nicht zu nutzen. Sie ist ein Grund, KI mit Verstand zu nutzen. Wer die Grundregeln kennt und enhält, bewegt sich in einem verantwortungsvollen Rahmen, der für den typischen Projektalltag ausreichend ist.
Der nächste Beitrag dieser Reihe wechselt von der organisatorischen und rechtlichen Ebene zur Teamebene: Was bedeutet es für Projektleiterinnen und Projektleiter, wenn KI-generierte Outputs im Team entstehen und genutzt werden? Wer trägt die Verantwortung, wenn etwas schiefgeht, und wie lässt sich ein verantwortungsvoller Umgang mit KI im Team etablieren?
Andreas Frick ist Geschäftsführer der Projektforum Rhein Ruhr GmbH, IPMA Level A zertifizierter Trainer und Autor der Bücher „Projektkompetenz I & II“ (Springer, 2025). Er begleitet seit Jahren Projektmanagerinnen und Projektmanager auf dem Weg zur IPMA-Zertifizierung und entwickelt praxisnahe Lernformate an der Schnittstelle von Projektmanagement und digitaler Transformation.
