Suche
Contact
Symbolbild zu KI-Compliance: Roboter
07.07.2023 | KPMG Law Insights

Warum KI-Compliance zu jeder Due-Diligence-Prüfung gehört

Künstliche Intelligenz (KI) ist in den meisten Unternehmen bereits im Einsatz. Nicht nur Anwendungen wie ChatGPT und andere Generative AI Tools werden genutzt, um Texte, Präsentationen und Konzepte zu verfassen. KI automatisiert auch Prozesse und analysiert Daten. Sie kann Geschäftsmodelle revolutionieren und Wachstum beschleunigen. Deswegen ist es wichtig, dass potenzielle Unternehmenskäufer und Investoren KI-Technologien im Rahmen der Due-Diligence-Prüfung berücksichtigen. Denn KI birgt Risiken und Herausforderungen, nicht zuletzt in Bezug auf rechtliche und regulatorische Aspekte.

Der AI Act wird Unternehmen zur KI-Compliance zwingen

Die wahrscheinlich größte regulatorische Herausforderung sind die erwartete KI-Verordnung der EU, auf Englisch AI Act, und die zugehörige Richtlinie über KI-Haftung. Die Verordnung wird voraussichtlich Ende 2023 in Kraft treten. Sie soll die Risiken von KI minimieren. Verstöße gegen die Vorschriften der Verordnung könnten dabei viel Geld kosten: Bis zu 40 Millionen Euro oder 7% des gesamten weltweiten Jahresumsatzes sollen die Bußgelder betragen können – mehr als nach der DSGVO.

Der geplante AI Act hat sowohl Befürworter als auch Gegner. In den letzten Monaten warnten einige prominente Stimmen vor den Gefahren der KI. Diesen dürfte die Regulierung dieser Technologien entgegenkommen. Hingehen brachten kürzlich mehr als 100 Führungskräfte renommierter Unternehmen Bedenken gegen den AI Act zum Ausdruck. Sie befürchten eine Gefährdung der Wettbewerbsfähigkeit und technologischen Souveränität Europas. Dennoch könnte es sein, dass sich andere Länder die EU zum Vorbild nehmen und es auch auf internationaler Ebene zur Regulierung von KI kommt.

Der bislang vorliegende Entwurf der EU-Kommission teilt KI-Systeme in verschiedene Risikoklassen ein. Diese reichen von minimalem Risiko bis zum Hochrisiko sowie unzulässiger KI mit als inakzeptabel eingeschätzten Risiken. Der Entwurf sieht verschiedene Maßnahmen vor, um künstliche Intelligenz und insbesondere die Hochrisiko-KI zu regulieren. Beispiele für Maßnahmen der Verordnung sind Transparenzvorschriften, ein Katalog verbotener Maßnahmen, insbesondere durch den diskriminierenden Einsatz von KI, und Informationspflichten gegenüber Nutzern von KI.

Neben dem AI Act gibt es eine Reihe weiterer Gesetze, die im Zusammenhang mit KI zu beachten sind. Darunter fallen zum Beispiel die DSGVO und andere geplante Verordnungen im Rahmen der europäischen Digitalstrategie. Auch Fragen der Haftung, des Urheberrechts und des geistigen Eigentums sind im Zusammenhang mit KI gesondert zu betrachten und zu beantworten.

Diese Themen sollten Bestandteil der KI-Due-Diligence sein

Eine KI einbeziehende Legal Due Diligence wird abhängig von Nutzungsgrad und Art der Tätigkeit des Zielunternehmens (Nutzer oder Anbieter von KI) stets auf den Einzelfall angepasst sein, typischerweise aber die folgenden Themen adressieren:

  • Nutzungsstatus: Umfang der systematisch eingesetzten KI-Systeme des Unternehmens als Nutzer oder als Anbieter
  • Haftung: Haftung als Nutzer und insbesondere als Anbieter von KI-Systemen
  • Verträge und Lizenzen: Umfang der Verträge und Lizenzen, die das Unternehmen in Bezug auf seine KI-Systeme hat, einschließlich Softwarelizenzen, Datenlizenzen und Serviceverträge
  • Urheberrecht und geistiges Eigentum: Geistiges Eigentum an den von der KI erstellten Werken besitzt und Wahrung von Drittrechten durch das Zielunternehmen
  • Fehlfunktionen: Reaktionsplan bei (meldepflichtigen) Vorfällen und Fehlfunktionen
  • Qualitätsmanagement & Konformitätsbewertung: Qualitätsmanagementsystem hinsichtlich der als Nutzer oder Anbieter eingesetzten KI-Systeme sowie Dokumentation zu beabsichtigten Konformitätsbewertungsverfahren
  • Transparenz: Transparenz des Unternehmens in Bezug auf genutzte oder angebotene KI-Systeme
  • KI & Datenschutz/-sicherheit: Status der Sammlung, Speicherung und Verwendung personenbezogener Daten durch das Zielunternehmen bei der Nutzung oder beim Angebot von KI-Systemen, Beachtung der Anforderungen der DSGVO und anderer relevanter Datenschutzgesetze durch das Zielunternehmen, Datensicherheitspraktiken des Unternehmens im Zusammenhang mit KI-Systemen sowie die Fähigkeit des Zielunternehmens, Cyberbedrohungen zu bewältigen.

Was bei der Due Diligence in Bezug auf KI unbedingt beachtet werden sollte

Nutzung und Angebot von KI im Zielunternehmen sollten im Rahmen rechtlicher Due-Diligence-Prüfungen genau und spezialisiert untersucht werden.

Dabei ist es wichtig, sowohl die KI in technischer Hinsicht zu verstehen als auch die rechtlichen Risiken einordnen zu können, die mit der Nutzung bzw. dem Anbieten der KI verbunden sind. Nur dann ist die Legal Due Diligence eine angemessen belastbare Grundlage für die unternehmerische Entscheidung über das Für und Wider der geplanten Transaktion. Sofern ein vorhandenes KI-System als rechtlich riskant eingestuft wird, muss das nicht das Aus des Deals bedeuten. Vielmehr kann jetzt geprüft werden, inwiefern die KI-Anwendung an rechtliche Bestimmungen angepasst werden kann.

Fazit

KI sollte heute ein eigenes Prüfungsthema bei einer Legal Due Diligence sein. Denn Rechtsverstöße durch die Nutzung künstlicher Intelligenz werden spätestens nach Inkrafttreten des AI Act hohe Bußgelder zur Folge haben können. Aber auch schon heute birgt KI Risiken, deren richtige rechtliche Einschätzung für eine fundierte Kauf- oder Investitionsentscheidung essenziell ist.

 

 

Explore #more

10.07.2026 | KPMG Law Insights

Neues Verpackungsdurchführungsgesetz verschärft Pflichten für Unternehmen

  Co-Autorin: Séverine Sieprath, Director Audit, KPMG AG Wirtschaftsprüfungsgesellschaft   Das Verpackungsdurchführungsgesetz (VerpackDG), mit dem das deutsche Recht…

09.07.2026 | In den Medien

Gastbeitrag im Versicherungsmagazin: D&O-Versicherung – Rechtlicher Schutzschirm in stürmischen Zeiten

Haftungsrisiken für Führungskräfte nehmen spürbar zu: Neue regulatorische Anforderungen wie NIS-2, CSRD und das Lieferkettengesetz erhöhen die Verantwortung von Geschäftsleitern und Vorständen. Der Beitrag von

02.07.2026 | KPMG Law Insights

Einwurfeinschreiben bietet keinen sicheren Zugangsnachweis mehr – diese Alternativen gibt es

Das Einwurfeinschreiben im Rahmen der elektronischen Dokumentation begründet nicht mehr den Anscheinsbeweis für den Zugang eines Schriftstücks. Das hat das Bundesarbeitsgericht entschieden…

02.07.2026 | Dealmeldungen

KPMG Law advises Prinzhorn Group on the acquisition of German Stora Enso sites

KPMG Law  has advised Mosburger GmbH, a company of Dunapack Packaging and part of the Austrian Prinzhorn Group, on the acquisition of Stora Enso’s German…

02.07.2026 | In den Medien

KPMG Law Interview im Focus Business: Die EmpCo kommt: Nachhaltigkeitsmarketing wird zur Chefsache

Strengere EU‑Regeln setzen klarere Grenzen für Klimaversprechen und Social‑Claims. KPMG‑Law Expertin Manuela Meyer erklärt, welche Claims überprüft werden müssen und wie Unternehmen teure Fehler vermeiden…

29.06.2026 | KPMG Law Insights

Digitale Souveränität im Unternehmen verankern – rechtliche Anforderungen an IT-Systeme

Digitale Souveränität ist ein wichtiger strategischer Erfolgsfaktor und viele Maßnahmen sind auch gesetzlich vorgeschrieben. Unter anderem mit dem Data Act, NIS‑2, dem Cyber Resilience Act…

25.06.2026 | In den Medien

KPMG Law Interview in fvw I Traveltalk: Kommende EU-Pauschalreise-Richtlinie – „Für die Branche beginnt die eigentliche Arbeit erst jetzt“

Nach über zweieinhalb Jahren Dauer ist das Gesetzgebungsverfahren samt Veröffentlichung seit Kurzem abgeschlossen. Jetzt beginnt die Frist für Reiseveranstalter und Reisebüros – spätestens ab 29.…

24.06.2026 | Dealmeldungen

KPMG Law advised the shareholders of Zimmermann PV-Steel Group on the sale to Nextpower

KPMG Law Rechtsanwaltsgesellschaft mbH (KPMG Law) advised the shareholders of Zimmermann PV-Steel Group (Zimmermann) on the sale of the company to Nextpower™ (Nasdaq: NXT),  a…

23.06.2026 | KPMG Law Insights

Deutschland modernisiert das Schiedsverfahrensrecht

Die Bundesregierung hat am 10. Juni 2026 den Entwurf eines „Gesetzes zur Modernisierung des Schiedsverfahrensrechts“ vorgelegt. Damit möchte sie die gesetzlichen Regeln für die Streitbeilegung…

18.06.2026 | In den Medien

KPMG Law Gastbeitrag in Innovative Verwaltung: Schutz in stürmischen Zeiten

Organe kommunaler Unternehmen tragen ein persönliches, unbegrenztes Haftungsrisiko, das durch die Besonderheiten des öffentlichen Sektors zusätzlich exponiert ist. Eine D&O-Versicherung schützt Vermögen und deckt die…

Kontakt

Dr. Daniel Kaut, LL.M.

Partner
Solution Line Head Legal Corporate Services

Bahnhofstraße 30
90402 Nürnberg

Tel.: +49 911 800929952
dkaut@kpmg-law.com

Francois Heynike, LL.M. (Stellenbosch)

Partner
Leiter Technologierecht

THE SQUAIRE Am Flughafen
60549 Frankfurt am Main

Tel.: +49-69-951195770
fheynike@kpmg-law.com

©2026 KPMG Law Rechtsanwaltsgesellschaft mbH, assoziiert mit der KPMG AG Wirtschaftsprüfungsgesellschaft, einer Aktiengesellschaft nach deutschem Recht und ein Mitglied der globalen KPMG-Organisation unabhängiger Mitgliedsfirmen, die KPMG International Limited, einer Private English Company Limited by Guarantee, angeschlossen sind. Alle Rechte vorbehalten. Für weitere Einzelheiten über die Struktur der globalen Organisation von KPMG besuchen Sie bitte https://home.kpmg/governance.

KPMG International erbringt keine Dienstleistungen für Kunden. Keine Mitgliedsfirma ist befugt, KPMG International oder eine andere Mitgliedsfirma gegenüber Dritten zu verpflichten oder vertraglich zu binden, ebenso wie KPMG International nicht autorisiert ist, andere Mitgliedsfirmen zu verpflichten oder vertraglich zu binden.

Scroll