NIS-2 ab Juni: Vorstände haften persönlich für KI-Risiken

Unternehmen setzen zunehmend auf Künstliche Intelligenz zur Mitarbeiterkontrolle – doch die rechtlichen Fallstricke wachsen.

Die jüngsten Enthüllungen um den Salesforce-Konzern zeigen, wie tief KI bereits in den Arbeitsalltag eingedrungen ist. CEO Marc Benioff bestätigte am Donnerstag, dass der Konzern innerhalb seiner Plattform Slack eine KI zur Echtzeit-Analyse von Mitarbeiterkommunikation einsetzt. Das System durchforstet Direktnachrichten und öffentliche Kanäle – auf der Suche nach Schwachstellen und Frustrationssignalen.

Doch was technisch machbar ist, stößt in Europa an harte Grenzen. Arbeitsrechtler warnen: Unternehmen müssen gleich mehrere Vorschriften gleichzeitig beachten – die Datenschutz-Grundverordnung (DSGVO) und die neue EU-KI-Verordnung.

Anzeige: Wer die persönliche Haftung nach NIS-2 vermeiden will, braucht jetzt klare Regeln für KI im Unternehmen. 78 % der Firmen melden Sicherheitsvorfälle – und 52 % der Mitarbeiter nutzen nicht genehmigte Tools. Dieser Report liefert die entscheidende Checkliste. Jetzt kostenlosen Compliance-Report anfordern

Die größten Risiken für Arbeitgeber

Besonders tückisch: Undurchsichtige Entscheidungen sogenannter Black-Box-Systeme. Wenn niemand nachvollziehen kann, warum ein Algorithmus einen Mitarbeiter als „risikobehaftet" einstuft, wird es juristisch brisant. Hinzu kommt die Gefahr unerlaubter Datenübertragungen an externe KI-Dienste.

Die Experten sind sich einig: Unternehmen, die KI im Personalbereich einsetzen, müssen zwingend eine Datenschutz-Folgenabschätzung durchführen, klare Nutzungsrichtlinien aufstellen und den Betriebsrat einbinden. Sonst drohen empfindliche Strafen.

Sicherheitslücken: Deutsche Unternehmen besonders betroffen

Die Sicherheitslage ist alarmierend. Eine Studie des IT-Sicherheitsanbieters Check Point vom Mittwoch zeigt: 78 Prozent der befragten Unternehmen meldeten KI-bezogene Sicherheitsvorfälle. Zwar haben 77 Prozent ihre Sicherheitsstrategien angepasst – doch nur 26 Prozent können diese Maßnahmen tatsächlich durchsetzen.

Deutschland steht dabei besonders schlecht da. Laut einem Okta-Report vom März erlitten 44 Prozent der deutschen Firmen einen KI-Sicherheitsvorfall – der höchste Wert weltweit. Besonders brisant: 52 Prozent der Beschäftigten nutzen nicht genehmigte KI-Tools („Shadow AI"), und 29 Prozent teilen vertrauliche Unternehmensdaten mit diesen Systemen.

Das Identitäts-Management als Achillesferse

Ein weiteres Problem zeichnet sich ab: die Verwaltung von KI-Identitäten. Eine am Donnerstag veröffentlichte Saviynt-Studie ergab: Obwohl 93 Prozent der deutschen Chief Information Security Officers (CISOs) KI-Identitäten in ihre Kernsysteme integriert haben, kontrollieren nur 25 Prozent diese Zugänge aktiv. Das ist besonders kritisch, denn Gartner prognostiziert, dass bis Ende 2026 40 Prozent aller Unternehmensanwendungen autonome KI-Agenten enthalten werden.

Die große Bildungslücke

Die Nachfrage nach KI-Kompetenzen ist riesig – die Weiterbildung hinkt hinterher. Aktuelle Daten zeigen: 86 Prozent der Beschäftigten sehen einen Schulungsbedarf, aber nur 14 Prozent haben eine formelle Unterweisung erhalten.

Diese Wissenslücke wird umso gefährlicher, je raffinierter die Angriffe werden. In einem Fachvortrag am Donnerstag berichteten Experten, dass KI-Modelle wie Anthropics „Mythos" inzwischen Software-Schwachstellen in Rekordzeit identifizieren können – darunter Bugs, die fast zwei Jahrzehnte unentdeckt in Systemen wie FreeBSD schlummerten. Die Zeit für die Entwicklung eines Exploits sank von über 125 Tagen Anfang 2025 auf nur noch einen halben Tag im April 2026.

Aufsichtsbehörden werden aktiv

Die irische Justiz hat ein Zeichen gesetzt. Am Donnerstag wies der High Court eine Berufung von Meta zurück und ebnete den Weg für ein Bußgeldverfahren zwischen 360 und 430 Millionen Euro. Auslöser war eine Beschwerde aus dem Jahr 2018: Ein Nutzer hatte keinen Zugang zu seinen Daten im Meta-System „Hive" erhalten. Das Gericht stellte klar: Die DSGVO erlaubt systemweite Korrekturmaßnahmen – selbst wenn der Anstoß von einer Einzelbeschwerde kommt.

Anzeige: Shadow AI ist die größte unkontrollierte Gefahr: 29 % der Beschäftigten teilen vertrauliche Daten mit nicht genehmigten KI-Tools. Ohne Datenschutz-Folgenabschätzung und klare Nutzungsrichtlinien drohen persönliche Haftung und Millionenstrafen. Der Report zeigt, wie Sie Ihre Systeme absichern. Report gegen Shadow AI jetzt sichern

In Deutschland sorgt ein Urteil des AG Nürnberg aus dem Juli 2025 für Aufsehen. Das Gericht entschied: Die DSGVO verbietet keine Kopplung von Einwilligungen, solange kein Monopol vorliegt. Und: Bloßes Unbehagen reicht nicht für Schadensersatz nach Artikel 82 DSGVO – ein konkreter Schaden muss nachgewiesen werden.

NIS-2: Neue Pflichten für Unternehmen

Deutsche Firmen bereiten sich derweil auf die Umsetzung der NIS-2-Richtlinie vor. Betroffen sind Unternehmen mit mehr als 50 Mitarbeitern oder 10 Millionen Euro Umsatz in kritischen Sektoren. Die neue Regelung, die ab Juni in Kraft tritt, macht Vorstände persönlich haftbar – für Risikomanagement und Meldepflichten. Ein strategischer Leitfaden vom 5. Juni zeigt: Die Anforderungen sind komplex, die Sanktionen hart.

de | wirtschaft | 69443222 |