Open navigation
Suche
Suche
Alle Fachbereiche
Entdecken Sie die Vielfalt unserer Expertise
Internationale Büros
Erschließen Sie internationale Märkte – mit lokalen Expert:innen weltweit.
Branchen Alle anzeigen
Rechtsgebiete Alle anzeigen
Büros
Erfahren Sie mehr über unsere Präsenz bei Ihnen vor Ort.
Globale Reichweite
Entdecken Sie unsere grenzüberschreitende Kompetenz.
CMS Deutschland
CMS Deutschland Abroad
Alle Insights
Setzen Sie auf unsere Analysen und Insights und verschaffen Sie sich einen echten strategischen Vorsprung.
Individuelle Updates
Erhalten Sie passgenaue Insights und Informationen, die Ihr Business wirklich voranbringen.
Themen im Fokus Alle anzeigen
Insights nach Typ
Aktuelle Pressemitteilungen
CMS Pressemitteilungen
Erfahren Sie mehr über unsere Meilensteine, Entwicklungen und Erfolge - aktuell, aus erster Hand.
Presse- und Medienkontakte in Deutschland
Kontaktieren Sie uns
Für alle allgemeinen Anfragen.
Über CMS
CMS Careers

Wählen Sie Ihre Region

International Europa Afrika Asien-Pazifik Die Amerikas Naher Osten
Deutsch English
Legal Update Private Equity in regulierten Branchen

Private Equity & KI: Diese Rechtsrisiken müssen Investoren kennen

11 Mai 2026 Deutschland 10 min. Lesezeit
Unternehmen, die KI entwickeln oder verwenden sind attraktive Targets für Investments. Welche rechtlichen Risiken sollten Investoren dabei kennen?

Künstliche Intelligenz (KI) bietet für Private-Equity-Gesellschaften eine bedeutende neue Perspektive für Investitionen. KI hat das Potenzial, Unternehmensprozesse effizienter zu gestalten und neue Märkte zu erschließen. Dabei nimmt der Einsatz von KI-Systemen in deutschen Unternehmen stetig zu. Laut einer Studie des Branchenverbands BITKOM aus dem Jahr 2025 nutzt in Deutschland mittlerweile mehr als jedes dritte Unternehmen (36 %) KI-Systeme, womit sich der Anteil im Vergleich zu 2024 (20 %) nahezu verdoppelt hat. 47 % der befragten Unternehmen planen in Zukunft den Einsatz von KI, wobei die Mehrheit der Unternehmen KI-Anbieter aus Deutschland bevorzugt. Somit besteht für deutsche Anbieter und Entwickler von KI-Systemen ein bedeutendes Wachstumspotenzial in einem noch vergleichsweise neuen Marktumfeld.

In der Europäischen Union unterliegt KI seit dem 1. August 2024 der umfassenden Regulierung der KI-Verordnung (KI-VO). Die Nichteinhaltung der Anforderungen aus der Verordnung ist überwiegend mit sehr hohen Bußgeldern belegt. Vor Tätigung einer Investition ist daher eine sorgfältige Due Diligence-Prüfung des KI-nutzenden oder -entwickelnden Unternehmens erforderlich, um Risiken zu minimieren. 

Dieser Beitrag gibt einen Überblick über die Regulierung von KI und die dabei aus Sicht einer Private-Equity-Gesellschaft zu beachtenden Risiken.

Die KI-VO – Einheitlicher Rechtsrahmen für künstliche Intelligenz

Mit der KI-VO hat die EU einen einheitlichen Rechtsrahmen für die Entwicklung, das Inverkehrbringen und die Verwendung von KI-Systemen geschaffen. Die Verordnung verfolgt einen risikobasierten Ansatz, wonach KI-Systeme in vier Risikostufen eingeteilt werden:

  • Verbotene KI-Systeme, 
  • Hochrisiko-KI-Systeme, 
  • KI-Systeme mit begrenztem Risiko und
  • KI-Systeme mit minimalem Risiko. 

Ebenfalls reguliert werden sog. KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI Models (GPAI-Modelle)), welche die Grundlage für viele der heute verfügbaren generativen KI-Systeme darstellen.

Wer ist Adressat der KI-VO?

Die KI-VO adressiert eine Reihe von Akteuren in der KI-Wertschöpfungskette. Der Großteil der Pflichten trifft die Anbieter von KI-Systemen bzw. von GPAI-Modellen sowie Betreiber von KI-Systemen. Anbieter ist, wer ein KI-System oder GPAI-Modell entwickelt oder entwickeln lässt und es unter seinem eigenen Namen oder der eigenen Handelsmarke in Verkehr bringt oder das KI-System in Betrieb nimmt, sei es entgeltlich oder unentgeltlich. Betreiber sind all diejenigen natürlichen oder juristischen Personen, welche ein KI-System in eigener Verantwortung verwenden, wobei jedoch persönliche und nicht-berufliche Tätigkeiten vom Betreiber-Begriff der KI-VO ausgeschlossen sind.

Due Diligence-Prüfung: Welche Risikoklassen sind bei KI im Einsatz oder der Entwicklung und werden die rechtlichen Vorgaben eingehalten?

Im Rahmen einer Due Diligence ist zu ermitteln, welche KI-Systeme vom Zielunternehmen entwickelt oder verwendet werden, welcher Risikoklasse sie zuzuordnen sind und ob das Zielunternehmen die anwendbaren regulatorischen Vorschriften einhält. Die rechtlichen Anforderungen unterscheiden sich je nachdem, welcher Risikoklasse ein KI-System zuzuordnen ist.

  • Verbotene KI-Systeme dürfen in der EU weder in den Verkehr gebracht, in Betrieb genommen noch verwendet werden. Darunter fallen etwa KI-Systeme, welche Menschen manipulieren oder ihre Vulnerabilität und Schutzbedürftigkeit gezielt ausnutzen. Dies kann beispielsweise ein KI-System sein, welches in Kinderspielzeugen verbaut ist und Kinder zu immer gefährlicheren Mutproben (Erklettern von Möbeln oder Hantieren mit Messern) im Gegenzug für Belohnungen unterschiedlicher Art herausfordert.
     
  • Hochrisiko-KI-Systeme unterliegen aufgrund ihrer Risiken für Gesundheit, Sicherheit sowie Grundrechte von Menschen strengen Compliance-Anforderungen und müssen vor ihrem Inverkehrbringen in der EU einer Konformitätsbewertung unterzogen werden. Dazu gehören beispielsweise KI-Systeme, die Teil von kritischen Infrastrukturen sind, die in Personalabteilungen zur Einstellung und Auswahl von Arbeitnehmenden verwendet werden. Außerdem zählen hierzu KI-Systeme, die Notrufe von Personen klassifizieren und priorisieren. Auch KI-Systeme, die als gesonderten Regulierungen unterliegende Produkte (z.B. Medizinprodukte) bzw. als Sicherheitsbauteile derselben auf den Markt gebracht werden, können als Hochrisiko-KI-Systeme gelten. Die Anbieter von Hochrisiko-KI-Systemen treffen umfangreiche Compliance-, Dokumentations- und Transparenzpflichten. Hierzu gehören beispielsweise die Einrichtung eines Risikomanagementsystems, die Konformität von Trainings-, Validierungs- und Testdatensätzen mit bestimmten Qualitätskriterien, die Anfertigung und Bereitstellung umfangreicher technischer Dokumentationen oder die Erfüllung von Cybersicherheitsanforderungen. Die Betreiber von Hochrisiko-KI-Systemen müssen technische und organisatorische Maßnahmen für ihre bestimmungs- und zweckgemäße Verwendung treffen.
     
  • KI-Systeme mit begrenztem Risiko können beispielsweise Chatbots, Übersetzungssysteme oder KI-Systeme darstellen, die sog. Deepfakes erzeugen, worunter z.B. Bild-, Audio- oder Videoinhalte fallen, die wirklichen Personen ähneln und die fälschlicherweise als echt oder wahr erscheinen. Sowohl Anbieter als auch Betreiber solcher KI-Systeme treffen bestimmte Transparenzpflichten.
  • Hiervon sind KI-Systeme mit minimalem Risiko abzugrenzen, für welche die KI-VO keine spezifischen Pflichten aufstellt, da von ihnen keine Risiken oder Gefahren ausgehen, wie etwa KI-basierte Spamfilter oder Rechtschreibprogramme.
     
  • Bestimmte Compliance- und Transparenzpflichten treffen darüber hinaus die Anbieter von GPAI-Modellen. Sie müssen unter anderem eine Copyright Policy zum Zwecke der Einhaltung urheberrechtlicher Vorschriften beim Training ihrer GPAI-Modelle einführen und eine hinreichend detaillierte Zusammenfassung der beim Training des GPAI-Modells verwendeten Inhalte erstellen und veröffentlichen.

Gestaltung von Verträgen in der KI-Wertschöpfungskette

Auch die Vertragsgestaltung wird durch die Anforderungen der KI-VO komplexer. Die KI-VO verpflichtet Anbieter von Hochrisiko-KI-Systemen, mit Zulieferern, die KI-Systeme, Instrumente, Dienste, Komponenten oder Verfahren für Hochrisiko-KI-Systeme bereitstellen, schriftliche Vereinbarungen zu treffen. In den Vereinbarungen müssen die Mitwirkungshandlungen der Zulieferer festgelegt werden, die zur Erfüllung der entsprechenden Pflichten der Anbieter aus der KI-VO erforderlich sind. Es werden zudem klare Verantwortlichkeiten geschaffen, die nicht vertraglich abgeändert werden können.

Auch Betreiber von Hochrisiko-KI-Systemen sollten vertragliche Vereinbarungen mit den Anbietern solcher KI-Systeme treffen, um sämtliche für die Umsetzung ihrer Betreiberpflichten erforderlichen Informationen zu erhalten. Zudem sollten in den Verträgen Regelungen aufgenommen werden, die sicherstellen, dass Betreiber die sie treffenden Informationspflichten gegenüber Anbietern von KI-Systemen erfüllen können (etwa im Falle eines schwerwiegenden Vorfalls, wie dem Eintritt von schweren Personen- oder Sachschäden). 

Bei Investitionen sollte außerdem aus Sicht der Private-Equity-Gesellschaft vertraglich sichergestellt werden, dass Risiken aus der KI-VO angemessen adressiert werden. Sinnvoll sind Garantien und Zusicherungen bezüglich der Konformität mit der KI-VO, insbesondere in Bezug auf Hochrisiko- oder verbotene KI-Systeme. Zudem sollten spezifische Verpflichtungen zur Einhaltung regulatorischer Anforderungen, etwa durch Compliance-Klauseln, aufgenommen werden.

Hohe Bußgelder sind Risiken für Investoren und Zielunternehmen gleichermaßen

Verstoßen Akteure, wie Anbieter oder Betreiber gegen ihre Verpflichtungen aus der KI-VO, können empfindliche Bußgelder drohen. Für Private-Equity-Investoren ist dabei von besonderer Relevanz, dass als Grundlage für die Berechnung eines gegen ein Unternehmen zu verhängenden Bußgeldes der gesamte weltweite Jahresumsatz des vorangegangenen Geschäftsjahres heranzuziehen sein kann. Voraussichtlich wird dabei der „Unternehmensbegriff“ der KI-VO ähnlich wie in der Europäischen Datenschutz-Grundverordnung (DSGVO) auszulegen sein, sodass Grundlage der Berechnung im Fall von Konzernen der weltweite Jahresumsatz nicht nur des betroffenen, gegen die KI-VO verstoßenden Unternehmens ist, sondern aller Tochtergesellschaften, welche einem bestimmenden Einfluss der Muttergesellschaft unterliegen.

Die Höhe der Bußgelder richtet sich nach dem Risiko des KI-Systems:

  • Die Missachtung der Vorgaben zu verbotenen KI-Systemen führt zur Verhängung von Bußgeldern von bis zu EUR 35 Mio. oder 7 % des weltweiten Jahresumsatzes des Unternehmens.
  • Für Verstöße gegen Compliance- und Transparenz-Vorgaben im Zusammenhang mit Hochrisiko-KI-Systemen, mit KI-Systemen mit begrenztem Risiko sowie mit GPAI-Modellen droht die Verhängung von Bußgeldern in Höhe von bis zu EUR 15 Mio. oder 3 % des weltweiten Jahresumsatzes des Unternehmens.

Die Übergangsfristen nach der KI-VO sind zu beachten

Wenngleich die KI-VO selbst bereits am 1. August 2024 in Kraft getreten ist, sind einzelne Vorschriften der Verordnung erst nach Ablauf unterschiedlich langer Übergangsfristen anwendbar. Diese Fristen sind bei der Risikoeinschätzung der Private-Equity-Gesellschaft zu berücksichtigen und für die Umsetzung der Compliance-Vorgaben der KI-VO durch das betroffene Unternehmen zu beachten. Diese richten sich ebenfalls nach der Risikoklasse, in die das KI-System einzuordnen ist:

  • Die Vorschriften zu verbotenen KI-Systemen gelten bereits seit dem 2. Februar 2025.
  • Die Regelungen zu Hochrisiko-KI-Systemen finden grundsätzlich ab dem 2. August 2026 (sog. anwendungsbezogene Hochrisiko-KI-Systeme), bzw. wenn sie als Sicherheitsbauteile von Produkten oder selbst als Produkte bestimmten Harmonisierungsrechtsakten der EU unterfallen (sog. produktbezogene Hochrisiko-KI-Systeme), ab dem 2. August 2027 Anwendung. 
  • Die Vorschriften zu KI-Systemen mit begrenztem Risiko gelten ab dem 2. August 2026.
  • Regelungen zu GPAI-Modellen sind grundsätzlich bereits 12 Monate nach Inkrafttreten der KI-VO, also seit dem 2. August 2025, anwendbar.

„Digital Omnibus on AI“ soll EU-Digitalgesetzgebung vereinfachen und anpassen

Die Übergangsfristen der insbesondere für Anbieter von Hochrisiko-KI-Systemen geltenden Vorschriften werden sich im Zuge einer neuen EU-Digitalgesetzgebung ändern. Am 19. November 2025 hat die EU-Kommission den sog. „Digital Omnibus“ vorgestellt. Der Verordnungsvorschlag zielt darauf ab, verschiedene Digitalgesetze der EU, wie z.B. die KI-VO, zu vereinfachen und anzupassen. 

Gemäß dem Digital Omnibus on AI sollen beispielsweise die Pflichtenregelungen für anwendungsbezogene Hochrisiko-KI-Systeme grundsätzlich erst sechs Monate und für produktbezogene Hochrisiko-KI-Systeme erst 12 Monate nach dem Erlass einer Entscheidung der EU-Kommission anwendbar sein, welche bestätigt, dass angemessene Maßnahmen zum Nachweis der Einhaltung dieser Vorschriften verfügbar sind.

Zu solchen Maßnahmen gehören insbesondere harmonisierte Normen, welche es Anbietern und Betreibern erleichtern, die Vorschriften der KI-VO einzuhalten. Sollten solche Maßnahmen nicht rechtzeitig veröffentlicht werden, sind die genannten Vorschriften entsprechend dem Verordnungsvorschlag spätestens ab dem 2. Dezember 2027 (für anwendungsbezogene Hochrisiko-KI-Systeme) bzw. ab dem 2. August 2028 (für produktbezogene Hochrisiko-KI-Systeme) zu beachten.

Mit sehr hoher Wahrscheinlichkeit werden die neuen Übergangsfristen demnächst in Kraft treten. Am 7. Mai 2026 haben sich das Europäische Parlament und der Rat der Europäischen Union auf die Einführung der genannten Übergangsfristen geeinigt. Es ist davon auszugehen, dass die Anpassung der KI-VO im Laufe des Sommers 2026 verabschiedet werden wird.

Due Diligence-Prüfung und KI: Einschlägige Vorschriften der DSGVO sind zu beachten

Im Rahmen der Due Diligence-Prüfung des KI-anbietenden oder -nutzenden Zielunternehmens sind aus Sicht der Private-Equity-Gesellschaft neben der KI-VO noch weitere Rechtsgebiete in den Blick zu nehmen. Hierzu zählt das Datenschutzrecht. Sobald personenbezogene Daten im Rahmen der Entwicklung oder Verwendung von KI-Systemen verarbeitet werden, sind die Vorgaben der DSGVO zu beachten. Die Rechtmäßigkeit der Datenverarbeitung setzt eine einschlägige Rechtsgrundlage der DSGVO voraus. Auch ergeben sich aus der DSGVO umfangreiche Anforderungen, z.B. zur Datensicherheit und Datenminimierung. Es muss sichergestellt werden, dass es bei der Entwicklung oder dem Einsatz von KI-Systemen nicht zu Datenschutzverstößen kommt, da auch diese hohe Bußgelder nach sich ziehen können.

Von großer Bedeutung ist zudem das Urheberrecht

Werden im Rahmen der Entwicklung eines KI-Systems bzw. eines GPAI-Modells für das Training urheberrechtlich geschützte Inhalte genutzt, stellt dies eine Vervielfältigung dieser Inhalte dar, die nur bei einer entsprechenden gesetzlichen oder vom Rechteinhaber erteilten Erlaubnis gerechtfertigt ist. Aber auch die unsachgemäße Verwendung von KI-Systemen kann zu erheblichen Urheberrechtsverletzungen führen. So besteht das Risiko, dass urheberrechtlich geschützte Inhalte im Output der KI in wiedererkennbarer Form abgebildet werden. Die Nutzung solcher Outputs kann ebenfalls eine Urheberrechtsverletzung darstellen.

Um die genannten rechtlichen Risiken insbesondere aus dem Datenschutz- und dem Urheberrecht zu minimieren, sind Personen, die mit KI-Systemen in Berührung kommen, zu schulen und für die ethischen und rechtlichen Risiken zu sensibilisieren. Die Schulungspflicht ist ebenfalls in der KI-VO verankert und muss durch das Zielunternehmen – gleich ob Anbieter oder Betreiber von KI-Systemen – seit dem 2. Februar 2025 umgesetzt werden.

Eine umfassende Due Diligence-Prüfung ist erforderlich

Im Rahmen von Private-Equity-Investitionen in KI-anbietende oder -nutzende Zielunternehmen ist eine umfassende Due Diligence-Prüfung erforderlich. Die Einsatzbereiche der KI-Systeme sollten analysiert werden, um die daraus resultierenden rechtlichen Anforderungen und Verpflichtungen des Zielunternehmens zu bestimmen. Es muss insbesondere geprüft werden, ob das KI-System gänzlich verboten ist oder als Hochrisiko-KI-System eingestuft werden muss. Je nach Einsatzfeld und Anwendungsweise können sich weitreichende Compliance-Pflichten aus der KI-VO ergeben. Verstöße gegen diese Vorgaben werden mit hohen Bußgeldern sanktioniert. Daher ist es essenziell, diese Risiken im Rahmen einer umfassenden Due Diligence-Prüfung zu identifizieren und dabei auch einschlägige Nebenrechtsgebiete, wie das Datenschutz- und das Urheberrecht zu berücksichtigen.
 

Weitere Insights
Private Equity in regulierten Branchen Private Equity & Venture Capital

Mehr zu diesem Thema

Private Equity in regulierten Branchen

See more
Legal Update Deutschland

Private Equity in regulierten Branchen

24 Apr 2026 3 min. Lesezeit
See more

Entdecken Sie mehr

Veröffentlichung Deutschland

Getting Back in Gear: CMS European M&A Outlook 2025

12 Sep 2024 3 min. Lesezeit
Expert Guide International

Remote Working Legislation, Laws & Regulations in Germany

12 min. Lesezeit
Event Deutschland

EU Economic Se­cu­ri­ty-Round­ta­ble

18 Mai 2026

Weiterführende Expertise

Private Equity & Venture Capital

Zurück nach oben Zurück nach oben
Law-Now, RegZone, LEXplicite and Blogtt have moved to CMS.law. Sie finden CMS Law-Now ab sofort auf cms.law. Sie finden CMS RegZone ab sofort auf cms.law. Sie finden CMS LEXplicite ab sofort auf cms.law. Sie finden CMS bloggt ab sofort auf cms.law.
Mehr erfahren Mehr erfahren Mehr erfahren Mehr erfahren
Wenn Sie die Tools von Drittanbietern nutzen möchten, aktivieren Sie bitte in den Cookie-Einstellungen die Personalisierungscookies. Sie können diese Einstellung jederzeit ändern, indem Sie auf die folgende Schaltfläche klicken oder die Cookie-Richtlinie aufrufen.