Viele Unternehmen treiben ihre digitale Transformation mit zunehmender Geschwindigkeit voran und integrieren KI‑Systeme tief in ihre Geschäftsprozesse. Generative KI unterstützt Mitarbeiterinnen und Mitarbeiter bei der Erstellung von Texten, bei der Analyse großer Datenmengen, in der Softwareentwicklung oder sogar bei rechtlichen Einschätzungen. Doch je intensiver künstliche Intelligenz eingesetzt wird, desto stärker wachsen auch die mit dem Einsatz verbundenen Risiken. Während die Technologie beeindruckende Effizienzgewinne ermöglicht, birgt sie gleichzeitig die Gefahr erheblicher Haftungsfolgen, die häufig erst dann sichtbar werden, wenn ein Schaden bereits eingetreten ist.
Umso erstaunlicher ist es, dass sich diese Risiken häufig durch einen zweiminütigen Prüfprozess vermeiden lassen. Dieser Prüfprozess besteht aus zwei einfachen Fragen und kann dennoch den Unterschied zwischen einer sicheren Nutzung des KI-Systems und einer schwerwiegenden Complianceverletzung ausmachen. Ein besonders eindrücklicher Fall verdeutlicht dies: Die Head of Compliance eines Technologieunternehmens trat an die Rechtsabteilung heran, weil das Entwicklungsteam über Monate ein generatives KI‑Tool zur Fehlersuche genutzt hat. Dabei wurden Quellcode‑Fragmente in das KI-Tool hochgeladen, die nicht nur interne Strukturen offenlegten, sondern auch geschützte Informationen nach dem Gesetz zum Schutz von Geschäftsgeheimnissen (GeschGehG) betrafen. Die Erkenntnis, dass diese Daten möglicherweise dauerhaft in externe Systeme geflossen sind und nicht mehr gelöscht werden können, führte zu erheblichen internen Konsequenzen.
Besonders problematisch ist, dass viele KI‑Anbieter ihre Modelle fortlaufend verbessern und dabei Nutzerdaten – in der Regel – für Trainingszwecke auswerten. Ob es zu einer Auswertung für Trainingszwecke kommt und in welchem Umfang dies geschieht, wird von Anwenderinnen und Anwendern häufig vorab nicht geprüft. Der Schaden entsteht damit nicht erst durch eine Veröffentlichung der Informationen durch das KI-System, sondern bereits durch die irreversible Übermittlung sensibler Informationen an externe Systeme.
Überlegungen zum Datenschutz und zur Haftung
Damit Unternehmen solche Situationen vermeiden können, hilft die Zwei‑Minuten‑Regel. Dabei konzentriert sich die Überlegung in der ersten Minute auf die zentrale Frage, ob das hochgeladene Material vertrauliche, personenbezogene oder sonstige geschützte Informationen enthält. Dazu zählen sämtliche Daten im Sinne der Datenschutz-Grundverordnung (DSGVO), etwa personenbezogene Kundendaten oder interne Mitarbeiterinformationen. Ebenso gehören dazu strategische Planungsunterlagen, interne Marktbewertungen, nichtveröffentlichte Geschäftszahlen, technische Spezifikationen sowie Quellcodes oder Algorithmen, die einen wesentlichen Bestandteil des unternehmerischen Know‑hows darstellen.
Der wissenschaftliche Hintergrund dieser Vorsicht ergibt sich aus Studien, die zeigen, dass große KI‑Modelle Eingaben von Nutzern teilweise memorieren und später in veränderter oder sogar nahezu identischer Form wiedergeben können. Dieses Phänomen des „Model Memorization“ wurde bereits 2021 in Untersuchungen international renommierter Forschungsgruppen beschrieben und bildet seither einen zentralen Kritikpunkt an der unreflektierten Nutzung generativer KI-Systeme. Auch europäische Datenschutzbehörden weisen seit mehreren Jahren darauf hin, dass eine Übermittlung an öffentlich zugängliche KI‑Modelle datenschutzrechtlich problematisch ist, weil Transparenz, Löschbarkeit und Zweckbindung der Daten nicht zweifelsfrei gewährleistet werden können. Wer diese Risiken ernst nimmt, kommt zwangsläufig zu der Schlussfolgerung, dass ein Upload in viele „General-Purpose-AI-Systeme“ wie ChatGPT sofort zu unterlassen ist, sobald die Datenfrage mit Ja beantwortet wird.
Die zweite Frage der Zwei‑Minuten‑Regel bezieht sich auf die Haftung. Die Frage lautet: Wenn der Output der KI fehlerhaft ist – wer trägt die Verantwortung? Generative KI neigt dazu, Inhalte zu erfinden, die plausibel klingen, aber inhaltlich vollkommen falsch sind. In der Fachliteratur wird dieses Verhalten als Halluzination bezeichnet. Die Folgen solcher Fehler können erheblich sein. Erteilt ein Chatbot fehlerhafte Produktempfehlungen oder generiert die KI ein Bild, an dem Urheberschutz eines Dritten bestehen könnte, liegt die Verantwortung häufig auch beim Unternehmen, das dieses Tool eingesetzt hat. Auch wenn eine KI juristische Empfehlungen oder Vertragsformulierungen erstellt, bleibt der Nutzer/die Nutzerin – und damit das Unternehmen – haftbar. Die Anbieter der KI-Systeme schließen ihre Haftung in ihren Nutzungsbedingungen – ob wirksam oder nicht – regelmäßig weitgehend aus. Unternehmen können sich aber ohnehin nicht wirksam, durch eine Vereinbarung mit dem Anbieter eines KI-Systems, vor der Haftung gegenüber Dritten schützen. Daher sollten Nutzerinnen und Nutzer den Einsatz stoppen, wenn unklar ist, wer das Risiko trägt oder welchen Qualitätsmaßstab der KI‑Output erfüllen muss.
Um den Alltag der Mitarbeiterinnen und Mitarbeiter zu erleichtern, hat sich in vielen Organisationen ein Ampelsystem etabliert, das die beiden Fragen in ein einfaches Entscheidungsschema überführt. Wenn beide Fragen klar mit „Nein“ beantwortet werden können, besteht grundsätzlich ein geringeres Risiko – die Ampel steht auf Grün. Dennoch sollte man wachsam bleiben und Risiken im Blick behalten. Lässt sich nur eine der beiden Fragen verneinen, ist besondere Vorsicht angebracht. Entsprechend steht die Ampel auf Gelb. In diesen Fällen ist eine vertiefte Prüfung notwendig, etwa durch Rücksprache mit Datenschutz- oder Compliancesachkundigen oder der jeweiligen fachlichen Verantwortung. Wenn beide Fragen mit „Ja“ zu beantworten sind, springt die Ampel auf Rot und die Nutzung ist zu unterlassen. Gerade in juristischen, medizinischen oder finanzbezogenen Bereichen ist dieses Vorgehen unabdingbar, da hier die Auswirkungen fehlerhafter Ergebnisse besonders gravierend ausfallen können. Die Ampellogik lässt sich nahtlos in bestehende Compliancestrukturen integrieren, da sie ähnliche Mechanismen nutzt wie bereits etablierte Risikobewertungen im Datenschutz, in der IT‑Sicherheit oder in der operativen Governance.
Klare Leitlinien und Kontrollen
Doch trotz dieser Einfachheit überspringen viele Mitarbeiterinnen und Mitarbeiter die Zwei-Minuten-Regel, die notwendig wäre, um die Situation korrekt einzuschätzen. Die Gründe dafür sind vielschichtig. Zum einen vermitteln KI‑Tools häufig den Eindruck, harmlos und unverbindlich zu sein, da sie niederschwellig und intuitiv gestaltet sind. Zum anderen herrscht in vielen Mitarbeiterteams ein hoher Zeitdruck, der dazu führt, dass die schnelle Lösung attraktiver erscheint als eine kurze Prüfung mit Hilfe der Zwei-Minuten-Regel. Hinzu kommt, dass die Risiken häufig nicht unmittelbar für die Mitarbeiterinnen und Mitarbeiter sichtbar sind. Ein Verlust von Geschäftsgeheimnissen oder ein datenschutzrechtlicher Verstoß zeigt sich selten sofort. Vielmehr treten die Konsequenzen erst Wochen oder Monate später zutage – dann jedoch meist mit erheblichem wirtschaftlichem und organisatorischem Schaden. Reputationsverluste, Bußgelder, Abmahnungen und interne Disziplinarmaßnahmen gehören zu den typischen Folgen, die Unternehmen lange beschäftigen können.
Damit die Zwei‑Minuten‑Regel wirksam wird, müssen Unternehmen ihren Beschäftigten klare Leitlinien geben. Dazu gehört insbesondere eine verständliche interne KI‑Richtlinie, die definiert, welche Systeme für welche Zwecke genutzt werden dürfen und welche Arten von Daten grundsätzlich nicht in KI-Systemen verarbeitet werden dürfen. Schulungen, die den Umgang mit generativen Modellen Schritt für Schritt erläutern und anhand praktischer Beispiele sensibilisieren, sind ebenso wichtig wie technische Schutzmaßnahmen. Viele Unternehmen setzen inzwischen auf sichere KI‑Umgebungen, die lokal betrieben werden oder spezielle Datenschutzmechanismen aufweisen. Upload‑Sperren, Zugriffsrechte, interne Qualitätssicherungen und obligatorische Kontrollprozesse können zusätzlich dabei helfen, Risiken zu minimieren.
Fazit
Am Ende bleibt die Erkenntnis, dass die Zwei‑Minuten‑Regel ein äußerst wirksames und zugleich unkompliziertes Instrument darstellt, um KI‑Risiken frühzeitig zu erkennen und zu steuern. Sie verlangt lediglich einen kurzen Moment des Nachdenkens, eine bewusste Entscheidung und die Bereitschaft, Verantwortung zu übernehmen. Doch gerade diese zwei Minuten können darüber entscheiden, ob ein Unternehmen KI produktiv und sicher nutzt oder ob es vermeidbare Haftungsrisiken eingeht. Wenn es gelingt, die Regel fest im Arbeitsalltag zu verankern, können Unternehmen die Vorteile der Technologie nutzen, ohne die Kontrolle über ihre sensibelsten Informationen oder über ihre rechtliche Verantwortung zu verlieren.
