Das Wichtigste in Kürze
- Private KI-Nutzung im Unternehmen birgt erhebliche rechtliche Risiken, insbesondere in Bezug auf Datenschutz (DSGVO), Geschäftsgeheimnisse (GeschGehG) und Arbeitsrecht (BetrVG).
- Unternehmen verlieren bei privater Nutzung die Kontrolle über Daten, riskieren rechtswidrige internationale Datentransfers und gefährden den Schutz von Geschäftsgeheimnissen.
- Eine fehlende Dokumentation und Freigabeprozesse bei KI-generierten Inhalten kann zu erheblichen Haftungsrisiken führen.
- Unternehmen müssen eine klare Strategie verfolgen: entweder ein striktes Verbot privater KI-Nutzung für Unternehmenszwecke oder ein kontrolliertes „Secure Enablement“.
- Beide Ansätze erfordern umfassende technische, organisatorische und arbeitsrechtliche Maßnahmen sowie die Berücksichtigung des kommenden EU-AI-Acts.
Private KI-Accounts im Unternehmen: Einfallstor für Risiken und die Notwendigkeit klarer Regeln
Private Accounts bei ChatGPT & Co. für Unternehmenszwecke sind ein Einfallstor für Datenschutzverstöße, Geheimnisabfluss und arbeitsrechtliche Konflikte. Wer KI im Betrieb nutzen will, braucht klare Verbote oder ein sauber aufgesetztes „Secure Enablement“. Dieses umfasst Technik-, Vertrags- und Verhaltensregeln, um Produktivität und Compliance in Einklang zu bringen.
Warum private KI-Accounts im Unternehmenskontext zum Compliance-Risiko werden
Viele Teams arbeiten längst mit KI-Assistenten. Häufig geschieht dies nicht über Unternehmenslizenzen, sondern mit privaten Accounts. Genau hier beginnen die haftungsträchtigen Themen und rechtlichen Herausforderungen.
Kontrollverlust über Daten
Was einmal in einen Prompt eingegeben wurde, ist – je nach Anbieter – nicht mehr vollständig kontrollierbar. Ohne vertraglich gesicherten Opt-out gegen Trainingszwecke oder klare Löschfristen lassen sich wesentliche Grundsätze der DSGVO nicht zuverlässig nachweisen. Dazu zählen die Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO) und die Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO).
Die Rechenschaftspflicht (Accountability) nach Art. 5 Abs. 2 DSGVO scheitert praktisch, wenn Eingaben über Privatkonten laufen. Für diese existieren keine Logs, keine Richtlinienbindung und keine Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Dies führt zu einem erheblichen rechtlichen Blindflug. (Quelle: EUR-Lex)
Rechtswidrige internationale Datentransfers
Viele KI-Anbieter verarbeiten Daten außerhalb der EU. Ohne eine verlässliche Transfergrundlage nach Art. 44 ff. DSGVO drohen Bußgelder. Zwar existiert mit dem EU-US Data Privacy Framework (DPF) wieder eine tragfähige Angemessenheitsentscheidung.
Diese greift jedoch nur für zertifizierte US-Unternehmen und erfordert eine korrekte Einbindung. Die private Nutzung umgeht jede Transfer-Due-Diligence des Unternehmens. Dies birgt erhebliche Risiken bei internationalen Datentransfers.
Geschäftsgeheimnisse in der Unsicherheitsschleuse
Geschäftsgeheimnisse sind nur geschützt, wenn „angemessene Geheimhaltungsmaßnahmen“ getroffen wurden (§ 2 Nr. 1 b GeschGehG). Das Dulden privater KI-Kanäle konterkariert genau diese Maßnahmen. Es existiert kein vertraglich gesicherter Vertraulichkeitsstandard, keine technische Zugriffskontrolle und keine Auditspur.
Im Streitfall fällt der Schutz weg, was erhebliche Folgeansprüche nach sich ziehen kann. Unternehmen sägen hier an der eigenen Anspruchsposition.
Arbeits- und betriebsverfassungsrechtliche Stolperfallen
Sobald die Nutzung von KI-Tools gesteuert, überwacht oder ausgewertet wird, ist in der Regel der Betriebsrat einzubeziehen. Gemäß § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Verhaltens-/Leistungsüberwachung) zieht dies regelmäßig eine Mitbestimmungspflicht nach sich. Dies gilt unabhängig von der Absicht, da bereits die objektive Eignung zur Überwachung genügt.
Haftung für fehlerhafte Inhalte und Rechteketten
Halluzinierte Fakten, Lizenz-Unklarheiten bei generiertem Code oder Bildern und unautorisierte Nutzung vertraulicher Informationen können vertragliche und deliktische Haftungstatbestände auslösen. Ohne Freigabeprozesse und Quellen-Dokumentation ist eine sorgfältige Werk-/Dienstleistungserbringung schwer belegbar.
Dies erhöht das Risiko für Unternehmen erheblich, insbesondere bei externen Projekten. Eine mangelnde Dokumentation kann weitreichende rechtliche Konsequenzen haben.
Zwischenfazit: Rechtlicher Blindflug
Private KI-Accounts sind organisatorisch bequem, rechtlich aber ein „Blindflug“. Niemand weiß, welche Daten wohin wandern, wer darauf zugreift oder wie lange sie gespeichert werden. Zudem ist unklar, ob der Einsatz mit der DSGVO, dem GeschGehG oder der eigenen Geheimhaltungsarchitektur kompatibel ist.
Rechtsrahmen: DSGVO, GeschGehG, Beschäftigtendaten und Mitbestimmung
Der Einsatz von KI im Unternehmenskontext unterliegt verschiedenen rechtlichen Rahmenbedingungen. Diese müssen sorgfältig beachtet werden, um Compliance-Verstöße zu vermeiden.
DSGVO-Pflichten des Verantwortlichen
Unternehmen müssen eine Reihe von Pflichten gemäß der DSGVO erfüllen:
- Rechtsgrundlage & Zweck (Art. 5, 6 DSGVO): Unternehmensdatenverarbeitungen brauchen eine tragfähige Rechtsgrundlage und einen klaren Zweck. Private Accounts entziehen sich dieser Steuerung.
- Besondere Daten (Art. 9 DSGVO): Schon harmlose Prompts können Gesundheits-, Gewerkschafts- oder biometrische Daten enthalten. Bei privater Nutzung fehlt jede Schutzarchitektur. Ein kategorischer Ausschluss solcher Inhalte ist ohne technische Kontrolle nicht belastbar.
- Auftragsverarbeitung (Art. 28 DSGVO): Wird ein externer Anbieter eingeschaltet, ist ein AV-Vertrag Pflicht. Dieser muss Mindestinhalte (Gegenstand, Dauer, Art der Daten, TOMs usw.) umfassen. Mit Privatkonten existiert kein wirksamer Vertrag zwischen Verantwortlichem und Anbieter.
- Sicherheit (Art. 32 DSGVO) und DPIA (Art. 35 DSGVO): Je nach Verfahren und Risiko ist eine Datenschutz-Folgenabschätzung geboten. Jedenfalls sind angemessene technische und organisatorische Maßnahmen (TOMs) zu implementieren. Dies ist technisch nicht möglich, wenn Mitarbeitende unkontrolliert private Tools nutzen.
- Internationale Transfers (Art. 44 ff. DSGVO): Ohne Unternehmenssteuerung gibt es kein Transfer-Compliance-Paket, wie DPF-Zertifizierung, Standardvertragsklauseln (SCCs) oder Transfer Impact Assessment (TIA).
Beschäftigtendatenschutz
Für Beschäftigtendaten gelten spezifische Anforderungen. § 26 BDSG wird nach dem EuGH-Urteil C-34/21 teils enger interpretiert. Häufig muss auf die allgemeinen DSGVO-Rechtsgrundlagen ausgewichen werden.
Für die private KI-Nutzung bedeutet das: Einwilligungen sind im Arbeitsverhältnis nur eingeschränkt freiwillig. Ein legitimes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bedarf sorgfältiger Abwägung und technischer Schutzmaßnahmen.
Geschäftsgeheimnisse
Der Schutz nach dem Geschäftsgeheimnisgesetz (GeschGehG) setzt proaktive Maßnahmen voraus. Dazu gehören Policies, Schulungen, Zugangsbeschränkungen und technische Barrieren. Private KI-Kanäle hebeln diese Elemente aus.
Wer private Nutzung duldet, schwächt die eigene Anspruchsposition erheblich (§§ 2, 3 GeschGehG). Bei vorsätzlichen Verstößen drohen sogar strafrechtliche Folgen (§ 23 GeschGehG).
Mitbestimmung nach BetrVG
Die Einführung und Anwendung von KI-Tools, Logging, Proxy-Sperren oder DLP-Regeln ist typischerweise mitbestimmungspflichtig. Dies regelt § 87 Abs. 1 Nr. 1, 6 BetrVG. Ohne Betriebsvereinbarung sind sowohl Verbote als auch eine „Erlaubnis mit Auflagen“ angreifbar.
EU-AI-Act (Ausblick)
Der AI Act regelt Pflichten von Anbietern, Inverkehrbringern und Nutzern („Deployern“) risikobehafteter KI. Erste Verbote gelten seit Februar 2025; Verpflichtungen für General-Purpose-AI und weitere Stufen greifen stufenweise ab August 2025/2026.
Für Unternehmen bedeutet das: Prozesse zur Modell-Kennzeichnung, Risikobewertung, Logging und Incident-Handling werden Standard. Eine improvisierte Privatnutzung passt nicht in dieses Compliance-Raster. Künstliche Intelligenz erfordert strukturierte Herangehensweisen.
Praxisanker: EDPB-ChatGPT-Taskforce
Die EDPB-ChatGPT-Taskforce betont Transparenz, Rechtsgrundlagen, Datenrichtigkeit und Minimierung. Dies sind genau die Felder, die bei privater Nutzung strukturell unterlaufen werden.
Typische Risiko-Szenarien – und wie sie entstehen
Die unkontrollierte Nutzung von KI-Tools durch Mitarbeitende kann zu einer Vielzahl von Problemen führen. Hier sind einige typische Szenarien:
Szenario 1: „Nur mal schnell prüfen lassen“
Ein Account Manager kopiert Kundendaten in einen Prompt, um einen Tonalitäts-Check zu erhalten. Problem: Personenbezug, ggf. besondere Kategorien von Daten, keine AV-Grundlage und unbekannte Transferpfade. Ergebnis: Verstoß gegen Art. 5, 6, 28, 32 DSGVO; der Geheimnisschutz ist gefährdet.
Szenario 2: Pitch-Konzept mit vertraulichen Zahlen
Eine Kreativdirektion validiert Preisblätter, Marge und Produktroadmap über den privaten KI-Account. Diese Informationen sind regelmäßig Geschäftsgeheimnisse. Ohne angemessene Maßnahmen (§ 2 Nr. 1 b GeschGehG) entfällt der Schutz. Das Unternehmen sägt an den eigenen Ansprüchen.
Szenario 3: Code-Snippets und Git-Links
Ein Entwickler lässt sich via Privat-Tool Code erklären und hängt zur Kontextualisierung Git-Links an. Neben möglichen Lizenz-/Urheberrisiken kann schon der Link Geheimnisse offenbaren (Repo-Struktur, Branch-Namen, Tickets). Je nach Anbieter gelangen Meta-/Zugriffsdaten in Drittländer.
Szenario 4: HR-Texte mit Beschäftigtendaten
Die Personalabteilung (HR) generiert Arbeitszeugnisse via Privataccount und speist dabei interne Leistungsdaten ein. Beschäftigtendaten unterliegen strengen Regeln. Einwilligungen im Arbeitsverhältnis sind problematisch, erst recht, wenn nicht klar ist, wo die Daten landen.
Szenario 5: Monitoring „aus Versehen“
Die IT versucht, die Privatnutzung zu unterbinden, aktiviert aber ohne Betriebsvereinbarung (BV) ein Proxy-Logging, das Eingaben mitschneidet. Das ist eine technische Einrichtung im Sinne des § 87 Abs. 1 Nr. 6 BetrVG. Ohne Mitbestimmung ist dies heikel.
Szenario 6: Falschaussagen im Kundenprojekt
Ein privat genutztes KI-Tool halluziniert fachliche Inhalte. Ohne dokumentierte Quellen-/Review-Pflicht und ohne Versionierung lässt sich Sorgfalt nicht belegen. Vertragliche Haftungsrisiken eskalieren hier schnell.
Verbieten oder kontrolliert erlauben? – Ein Governance-Modell, das funktioniert
Es gibt zwei belastbare Wege, wie Unternehmen mit der KI-Nutzung umgehen können. Beide erfordern eine klare Strategie und konsequente Umsetzung, um rechtliche Risiken zu minimieren.
Klares Verbot der privaten KI-Nutzung für Unternehmenszwecke
Diese Strategie zielt darauf ab, den maximalen Schutz für Daten und Geheimnisse zu gewährleisten. Sie ist rechtssicher, kann aber Innovationen einschränken.
Ziele des Verbots
Die primären Ziele sind der Schutz von personenbezogenen Daten, die Wahrung von Geschäftsgeheimnissen sowie die Einhaltung von Mitbestimmung und Vertragsketten.
Bausteine für ein klares Verbot
- Policy: Ein allgemeines Verbot der Nutzung privater KI-Accounts zu Unternehmenszwecken. Untersagt ist auch die Eingabe von personenbezogenen Daten, Kundendaten, Quellcode, vertraulichen Dokumenten und Non-Public-Roadmaps in externe Tools. Die Policy muss sich auf Art. 5, 6, 28, 32, 44 ff. DSGVO und § 2 Nr. 1 b GeschGehG beziehen.
- Technik: Einsatz von DNS-/Proxy-Sperren für bekannte KI-Domains, DLP-Regeln (Copy-Paste-Block für sensible Klassen), Secrets-Scanner, Browser-Policies und Mobile-Device-Management.
- Organisation: Regelmäßige Schulungen mit Negativ-/Positivbeispielen, eine Hinweisgeberschnittstelle für Incidents und ein definierter Freigabe-Prozess für Ausnahmen.
- Arbeitsrecht: Durchsetzung über das Direktionsrecht (§ 106 GewO) und Vertragsklauseln. Dies muss mit dem Betriebsrat abgestimmt werden (Betriebsvereinbarung nach § 87 Abs. 1 Nr. 1, 6 BetrVG).
Pro & Contra eines Verbots
Ein Verbot ist rechtssicher und schnell kommunizierbar. Es kann jedoch innovations- und effizienzhemmend wirken, da Mitarbeitende von nützlichen Tools abgeschnitten sind.
„Secure Enablement“ – kontrolliertes Erlauben, aber richtig
Diese Strategie ermöglicht die Nutzung von KI-Tools, stellt aber hohe Anforderungen an die Implementierung und Überwachung. Ziel ist es, Produktivitätsgewinne zu nutzen, ohne Datenschutz- und Geheimnisschutz zu opfern.
Bausteine für ein Secure Enablement (Mindeststandard)
- Freigegebene Anbieter & Lizenzen: Nur Enterprise-Verträge mit AVV nach Art. 28 DSGVO, dokumentierten TOMs (Art. 32), Opt-out vom Training, klarer Datenresidenz, eindeutigen Löschfristen und Support-SLAs sind zulässig. Für US-Anbieter sind DPF-Zertifizierung oder SCCs + TIA (Art. 44 ff. DSGVO) erforderlich.
- Identitäten & Zugriff: Implementierung von SSO/MFA, rollenbasierten Berechtigungen, Tenant-Isolation, Logging und Key-Management. Private Accounts sind hier ausgeschlossen.
- Use-Case-Katalog:
- Erlaubt: Generische Textoptimierung ohne Personenbezug, Boilerplates, Code-Erklärungen mit synthetischen Beispielen.
- Verboten: Personenbezogene Daten, Kundendossiers, vertrauliche Finanzzahlen, ungeklärte IP-Assets, Gesundheitsdaten, Betriebs-/Geschäftsgeheimnisse.
- Gelbzone (nur mit Freigabe/DPIA): Interne Auswertungen mit Pseudonymisierung, produktionsnahe Prototypen.
- Prompt-Hygiene & Output-Review: Pflicht-Hinweise gegen das Teilen sensibler Inhalte, Red-Flag-Liste, Vier-Augen-Freigabe bei externer Nutzung, Quellennachweise und Versionierung. Die EDPB-Leitlinien (Transparenz, Richtigkeit) werden so organisatorisch verankert.
- Betriebsvereinbarung: Regeln zu Einsatz, Logging, Zweckbindung, Löschfristen, Schulungen, Incident-Prozessen und Mitbestimmung. Klare Abgrenzung zu Leistungs-/Verhaltenskontrollen (kein „Mikro-Monitoring“).
- DPIA & Risiko-Register: Vorab-Bewertung (Art. 35 DSGVO) für jeden sensiblen Use-Case. Zuordnung von Verantwortlichkeiten und jährliche Re-Zertifizierung der Anbieter.
- AI-Act-Readiness: Kennzeichnung „KI-gestützt erstellt“, Risikobewertungen, Logging, Datenquellen-Transparenz – abgestimmt auf die jeweils einschlägigen Pflichten und Übergangsfristen.
Pro & Contra von Secure Enablement
Dieses Modell bietet hohe Sicherheit bei gleichzeitiger Nutzbarkeit von KI-Tools. Allerdings ist der Einführungsaufwand (Technik, Verträge, Betriebsvereinbarung) erheblich.
Musterbausteine für Richtlinie, Verträge und Technik
Hinweis: Die folgenden Formulierungen sind als praxisnahe Bausteine gedacht. Sie müssen an Unternehmensgröße, Branche, Betriebsratssituation und bestehende Policies angepasst werden.
Policy-Grundsatz
Ein klarer Policy-Grundsatz ist unerlässlich, um die Erwartungen an die KI-Nutzung zu definieren.
- Geltungsbereich und Ziel: Diese Richtlinie regelt die dienstliche Nutzung von KI-Systemen. Private Accounts von Mitarbeitenden dürfen nicht zur Verarbeitung von Unternehmensinformationen oder personenbezogenen Daten eingesetzt werden. Ziel ist die Einhaltung von Datenschutz (insb. Art. 5, 6, 28, 32, 35, 44 ff. DSGVO) sowie der Schutz von Geschäftsgeheimnissen (§ 2 Nr. 1 b GeschGehG).
- Kategorisierung von Informationen: Informationen werden in die Klassen Öffentlich, Intern, Vertraulich und Streng Vertraulich eingeteilt. Eingaben in KI-Systeme sind nur für die Klassen „Öffentlich“ und „Intern“ zulässig, sofern keine Personenbezüge bestehen. „Vertraulich“/„Streng Vertraulich“ sind grundsätzlich ausgeschlossen.
- Verbotene Inhalte: Es ist untersagt, personenbezogene Daten (einschließlich besonderer Kategorien i. S. d. Art. 9 DSGVO), Kundendaten, Quellcode, Passwörter, Zugangs-Tokens, Finanz-/Preislisten, Roadmaps, interne Rechtsdokumente oder vertrauliche Drittdaten in KI-Systeme einzugeben.
- Zulässige Nutzung: Erlaubt sind generische Formulierungs-, Strukturierungs- und Ideations-Hilfen ohne Personenbezug, mit freigegebenen Unternehmenslizenzen und Opt-out vom Training.
- Freigabeverfahren: Nicht abgedeckte Use-Cases bedürfen vorab der Freigabe durch Datenschutz, Informationssicherheit und – soweit einschlägig – des Betriebsrats (DPIA-Pflicht prüfen).
- Review und Kennzeichnung: Von KI erstellte Inhalte werden stets durch Fachpersonen geprüft. Bei externer Verwendung erfolgt eine Kennzeichnung, sofern gesetzlich geboten oder vertraglich zugesichert.
Vertragsbausteine
Ein sorgfältig ausgearbeiteter Auftragsverarbeitungsvertrag (AVV) ist für die Einhaltung der DSGVO unerlässlich.
Auftragsverarbeitung (Art. 28 DSGVO) – Mindestpunkte gegenüber dem KI-Anbieter:
- Gegenstand/Art/Zweck der Verarbeitung; Kategorien von Daten/Betroffenen; Dauer.
- TOMs (u. a. Verschlüsselung in Ruhe/Transport, Mandantentrennung, Schlüsselverwaltung, Rollenmodelle, Incident-Handling, Sub-Processor-Genehmigung).
- Unterauftragsverarbeiter: Liste, Vorab-Genehmigungsverfahren, Informationspflichten bei Änderungen.
- Datenlöschung/-rückgabe: Fristen, Formate, Nachweis.
- Audit- und Informationsrechte; Unterstützung bei Betroffenenrechten, DPIA, Meldungen.
- Drittlandtransfers: DPF-Zertifizierung oder SCCs + TIA, ergänzende Maßnahmen.
Tipp: Viele KI-Enterprise-Angebote bieten Training-Opt-out, Datenresidenz und Zero-Retention-Modi. Ohne diese Optionen ist ein Einsatz für vertrauliche Daten nicht zu empfehlen.
Betriebsvereinbarung
Eine Betriebsvereinbarung regelt die Details der KI-Nutzung im Unternehmen, um Konflikte zu vermeiden und rechtliche Sicherheit zu schaffen.
- Zweck und Geltung: Effizienzgewinne durch definierte KI-Anwendungen, kein Leistungs-/Verhaltensprofiling.
- Zulässige Tools/Use-Cases: Whitelist, Change-Management.
- Datenschutz/TOMs: Logging-Umfang, Pseudonymisierung, Löschkonzept, Zugriff nur für definierte Rollen.
- Transparenz/Information: Unterrichtung der Belegschaft, Dokumentation, Schulungen.
- Kontrolle/Reporting: Aggregiertes Nutzungsreporting, keine Einzelüberwachung; Verfahren bei Verstößen; Incident-Management.
- Evaluation: Überprüfung nach 12 Monaten oder bei Gesetzesänderungen (AI-Act-Roadmap berücksichtigen).
Technische Schutzmaßnahmen
Technik spielt eine entscheidende Rolle bei der Absicherung der KI-Nutzung. Sie ergänzt Policies und Verträge durch konkrete Schutzmechanismen.
- Identitäten: SSO/MFA, Conditional Access, rollenbasierte Freigaben.
- Datenfluss-Kontrolle: DLP-Regeln im Browser/Endgerät, Clipboard-Kontrolle für sensible Klassen, Secret-Scanner in IDEs/Repos.
- Netzwerk: Proxy-Freigabe nur für Whitelist-Domains der freigegebenen Anbieter; Block für bekannte Public-KI-Endpoints.
- Mandantenschutz: Getrennte Tenants, Schlüsselhoheit; Logging mit datensparsamer Pseudonymisierung.
- Sandboxing: Interne „KI-Sandboxes“ mit synthetischen/entpersonalisierten Daten für Experimente. Eigennutzung von LLMs ist hier eine Option.
- Lifecycle: Versionskontrolle für Prompts/Outputs, verbindliche Review-Checklisten, Archivierung nach Aufbewahrungsfristen.
Schulung & Kommunikation
Eine effektive Kommunikation und Schulung der Mitarbeitenden ist entscheidend für den Erfolg jeder KI-Policy.
- Fallbeispiele statt Paragrafenwüste: Was darf in Prompts – was nicht?
- „Red Flags“: Personenbezug, Kundenlisten, Preismodelle, Quellcode, Geheimabsprachen, Gesundheitsinfos.
- Handlungsalternativen: Interne Templates, Pseudonymisierung, synthetische Dummies, sichere Unternehmens-Modelle.
- Meldewege: Niedrigschwellige Incident-Meldung („falscher Prompt“), keine Angst vor Fehlerkultur – aber klar geregelte Abhilfe.
Fazit
Wer private KI-Nutzung für Unternehmenszwecke zulässt, entfacht ein Bündel an Rechts- und Sicherheitsrisiken. Dazu gehören fehlende AV-Verträge, unklare Drittlandtransfers, Verlust des Geheimnisschutzes, betriebsverfassungsrechtliche Konflikte und mangelnde Nachweisbarkeit von Sorgfalt.
Zwei Wege sind belastbar: Ein konsequentes Verbot (mit Technik- und Schulungsunterstützung) oder ein kontrolliertes Enablement. Letzteres erfolgt über Unternehmenslizenzen, saubere Verträge, TOMs, Betriebsvereinbarung und klare Use-Case-Grenzen. In beiden Modellen gilt: Datenschutzprinzipien operationalisieren, Geheimnisschutz aktiv gestalten und AI-Act-Readiness mitdenken – dann bleibt Produktivität ohne Compliance-Kollateralschäden möglich.