Viele Teams starten mit KI sehr pragmatisch: Tool auf, Prompt rein, Ergebnis raus.
Genau dort entstehen aber die größten Risiken. Der EU KI Akt zwingt Unternehmen zu mehr Struktur - und zwar nicht nur bei “High-Risk”-Systemen, sondern auch bei Governance, Transparenz und Dokumentation.

Die folgende Liste fasst 10 typische Gefahren zusammen, die wir in Projekten immer wieder sehen.

1) Schatten-KI ohne klare Freigabe

Mitarbeitende nutzen Chatbots oder Agenten ohne formale Erlaubnis, Risikoanalyse oder technische Leitplanken.
Folge: unkontrollierte Datenabflüsse, intransparente Prozesse und fehlende Nachvollziehbarkeit.

Gegenmaßnahme: KI-Nutzungsrichtlinie mit klaren “erlaubt / verboten / nur mit Freigabe”-Fällen, plus technische Durchsetzung (SSO, Netzwerkregeln, Allowlist).

2) Personenbezogene Daten landen in falschen Systemen

Der häufigste Fehler: echte Kunden-, Patienten- oder Bewerberdaten werden in externe KI-Dienste eingegeben.
Das ist datenschutzrechtlich schnell kritisch, vor allem ohne belastbare Rechtsgrundlage, Verträge und Zweckbindung.

Gegenmaßnahme: Data Classification + Prompt-Regeln + lokale/isolierte Modelle für sensible Daten.

3) Unklare Rollen nach DSGVO

Wer ist Verantwortlicher, wer Auftragsverarbeiter, wer Unterauftragsverarbeiter?
Wenn diese Rollen nicht sauber geklärt sind, wird jede DPIA, jeder Vertrag und jeder Audit zur Baustelle.

Gegenmassnahme: Verarbeitungsverzeichnis, AVV-Kette und TOMs pro KI-Use-Case dokumentieren.

4) Kein Risikoscoping gemäß EU KI Akt

Viele Unternehmen wissen nicht, ob ein Use Case in Richtung “High-Risk” geht oder unter Transparenzpflichten fällt.
Ohne frühe Einordnung werden später teure Nacharbeiten nötig.

Gegenmaßnahme: Use-Case Intake mit früher Klassifikation (verboten / high-risk / begrenztes Risiko / minimales Risiko).

5) Fehlende Transparenz gegenüber Nutzenden

Wenn Menschen nicht erkennen, dass sie mit KI interagieren oder KI-generierte Inhalte konsumieren, drohen Pflichtverletzungen und Vertrauensverlust.

Gegenmassnahme: Transparenz-Hinweise in UI, Prozessen und internen Workflows standardisieren.

6) Urheberrechts- und IP-Risiken werden unterschätzt

KI-Ausgaben können Rechte Dritter verletzen; gleichzeitig ist die Rechtekette bei Eingaben/Trainingsdaten oft unklar.
Das Problem wird häufig erst bei Vermarktung sichtbar.

Gegenmaßnahme: IP-Checks in den Freigabeprozess aufnehmen, Quellenpflichten definieren, rechtssichere Content-Workflows festlegen.

7) Halluzinationen werden operativ nicht abgefangen

Falschinformationen sind kein theoretisches Problem, sondern ein Qualitäts- und Haftungsrisiko im Tagesgeschäft.

Gegenmaßnahme: Human-in-the-loop für kritische Entscheidungen, Quellenzwang, stichprobenbasierte QA und klare Haftungsgrenzen.

8) Kein Incident- und Meldeprozess für KI

Wenn ein KI-System Schaden verursacht oder sensible Inhalte ausgibt, fehlt oft ein definiertes Vorgehen.
Das verlangsamt Reaktion, Kommunikation und ggf. Meldungen.

Gegenmassnahme: KI-Incident-Prozess als Erweiterung des bestehenden Security/Privacy Incident Managements.

9) Lieferantenrisiko wird ignoriert

Viele KI-Stacks bestehen aus mehreren Anbietern (API, Hosting, Vektor-DB, Monitoring, Plugins).
Ein schwaches Glied kann Compliance und Sicherheit des Gesamtsystems untergraben.

Gegenmaßnahme: Vendor Due Diligence, DPA-Prüfung, Datenfluss-Nachweis und Exit-Strategie pro Anbieter.

10) Keine laufende Governance nach Go-Live

Einmalige Freigabe reicht nicht. Modelle, Datenquellen und rechtliche Rahmenbedingungen ändern sich laufend.

Gegenmaßnahme: Regelmäßige Re-Assessments, KPI/KRI-Monitoring, Schulungen und versionierte Richtlinien.

Was Unternehmen jetzt konkret tun sollten

1. Innerhalb von 30 Tagen eine verbindliche KI-Richtlinie beschließen.
2. Alle aktiven KI-Use-Cases inventarisieren und risikobasiert klassifizieren.
3. Für sensible Prozesse auf lokale oder stark isolierte Betriebsmodelle umstellen.
4. Datenschutz, IT-Sicherheit und Fachbereiche in einem gemeinsamen KI-Governance-Kreis verbinden.

Wer KI professionell einsetzen will, braucht nicht nur gute Modelle, sondern belastbare Regeln.
Der Wettbewerbsvorteil entsteht dort, wo Geschwindigkeit und Compliance gleichzeitig funktionieren.

Quellen

• GEUER Rechtsanwälte: KI-Regularien im Unternehmen
• EUR-Lex: Regulation (EU) 2024/1689 (AI Act)
• EDPS: First EDPS Orientations for EUIs using Generative AI
• EDPB: EDPB opinion on AI models: GDPR principles support responsible AI