Mitarbeitende nutzen ChatGPT, Copilot oder Gemini längst – oft schneller, als die Geschäftsführung es regelt. Ohne klare Vorgaben entstehen Risiken: vertrauliche Daten landen in fremden Systemen, Ergebnisse werden ungeprüft übernommen, niemand fühlt sich verantwortlich. Eine KI-Nutzungsrichtlinie schafft Sicherheit für beide Seiten. Sie verbietet KI nicht, sondern macht produktiven und rechtssicheren Einsatz erst möglich. Dieser Leitfaden zeigt, was hineingehört und wie Sie pragmatisch starten.
Warum eine KI-Nutzungsrichtlinie sinnvoll ist
Studien und Praxiserfahrung zeigen ein verbreitetes Muster: Ein erheblicher Teil der Beschäftigten setzt generative KI eigeninitiativ ein, häufig mit privaten Accounts und ohne Wissen der Vorgesetzten – die sogenannte „Schatten-KI“. Das Problem ist selten böser Wille, sondern fehlende Orientierung. Niemand hat gesagt, was erlaubt ist.
Eine Richtlinie löst drei konkrete Probleme: Sie verhindert, dass schützenswerte Informationen in unkontrollierte Tools fließen. Sie definiert, wer für KI-gestützte Ergebnisse haftet. Und sie gibt Mitarbeitenden die Erlaubnis, Werkzeuge offen und produktiv zu nutzen, statt sie zu verstecken. Gerade im Mittelstand, wo selten eine eigene Rechtsabteilung existiert, ersetzt ein klares Dokument viele Einzelfallentscheidungen.
Was in die Richtlinie gehört
Eine gute Richtlinie ist kurz, verständlich und alltagstauglich. Zwei bis vier Seiten reichen meist. Folgende Bausteine sollten enthalten sein.
Erlaubte und verbotene Werkzeuge
Legen Sie fest, welche Tools freigegeben sind – idealerweise solche mit geschäftlichem Vertrag oder Enterprise-Tarif, bei dem Eingaben nicht zum Training verwendet werden. Private oder kostenlose Accounts für dienstliche Zwecke sollten Sie kritisch prüfen oder ausschließen. Eine kurze, gepflegte Positivliste („Diese Tools dürfen Sie nutzen“) ist praktikabler als ein endloser Katalog von Verboten.
Umgang mit Daten und Geheimnissen
Das ist der wichtigste Abschnitt. Definieren Sie, welche Informationen niemals in ein KI-Tool eingegeben werden dürfen. Dazu zählen typischerweise:
- personenbezogene Daten von Kunden, Mitarbeitenden oder Bewerbern
- Geschäftsgeheimnisse, Quellcode, Kalkulationen, unveröffentlichte Zahlen
- vertrauliche Vertrags- und Mandanteninhalte
- Zugangsdaten, Passwörter und Schlüssel
Eine einfache Faustregel hilft im Alltag: Was Sie nicht an eine externe Agentur per offener E-Mail schicken würden, gehört auch nicht ungeschützt in ein öffentliches KI-Tool.
Kennzeichnung, Prüfpflicht und Verantwortung
Halten Sie fest, dass KI-Ausgaben Entwürfe sind, keine fertigen Ergebnisse. Wer KI nutzt, bleibt für Richtigkeit, Vollständigkeit und Ton verantwortlich. Generative Modelle erzeugen plausibel klingende, aber teils falsche Aussagen – Fakten, Zahlen und Zitate müssen geprüft werden. Regeln Sie zudem, wann eine interne Kennzeichnung sinnvoll ist (etwa bei extern verwendeten Texten oder Bildern) und dass die fachliche Endverantwortung immer bei einem Menschen liegt.
In fünf Schritten zur Richtlinie
Sie müssen das Dokument nicht aus dem Nichts erfinden. Ein pragmatischer Ablauf:
- 1. Bestandsaufnahme: Fragen Sie offen, welche Tools bereits genutzt werden und wofür. Das deckt reale Bedarfe auf.
- 2. Anwendungsfälle priorisieren: Entscheiden Sie, welche Aufgaben klar erlaubt sind (z. B. Textentwürfe, Recherchehilfe, Code-Vorschläge) und welche sensibel bleiben.
- 3. Tools auswählen: Geben Sie wenige, geprüfte Werkzeuge frei statt vieler ungeprüfter.
- 4. Richtlinie schreiben und freigeben: Kurz, in einfacher Sprache, abgestimmt mit IT, Datenschutz und – wo vorhanden – Betriebsrat.
- 5. Schulen und aktualisieren: Erklären Sie die Regeln in einer kurzen Schulung und überprüfen Sie sie regelmäßig, weil sich Tools schnell ändern.
Häufige Fehler
Drei Muster führen dazu, dass Richtlinien wirkungslos bleiben. Erstens das Totalverbot: Wer KI generell untersagt, drängt die Nutzung in den verborgenen Bereich und verliert jede Kontrolle. Zweitens der juristische Bandwurmtext, den niemand liest – Verständlichkeit schlägt Vollständigkeit. Drittens die Einmal-Aktion: Eine Richtlinie, die nach der Veröffentlichung niemand mehr anfasst, veraltet binnen Monaten, weil neue Funktionen und Tools hinzukommen.
Mini-Vorlage: Bausteine zum Übernehmen
Die folgenden Formulierungen können Sie als Ausgangspunkt anpassen – sie ersetzen keine individuelle rechtliche Prüfung, geben aber eine tragfähige Struktur:
- Zweck: „Diese Richtlinie regelt den verantwortungsvollen Einsatz von KI-Werkzeugen im Unternehmen.“
- Geltungsbereich: „Sie gilt für alle Beschäftigten, die KI-Tools für dienstliche Aufgaben nutzen.“
- Freigegebene Tools: „Erlaubt sind ausschließlich die in der aktuellen Tool-Liste genannten Werkzeuge.“
- Datentabu: „Personenbezogene Daten, Geschäftsgeheimnisse und Zugangsdaten dürfen nicht in nicht freigegebene KI-Tools eingegeben werden.“
- Prüfpflicht: „KI-Ergebnisse sind vor Verwendung inhaltlich zu prüfen. Die Verantwortung verbleibt bei der nutzenden Person.“
- Ansprechpartner: „Bei Unsicherheit wenden Sie sich an [Rolle/Person].“
Einordnung und nächster Schritt
Eine KI-Nutzungsrichtlinie ist der organisatorische Rahmen für den Alltag – sie ergänzt, aber ersetzt nicht die Pflichten aus Datenschutz und der europäischen KI-Regulierung, die je nach Einsatzzweck zusätzliche Anforderungen stellen können. Für den Start zählt vor allem: ein kurzes, verständliches Dokument, wenige freigegebene Tools und eine klare Botschaft an das Team. So wird aus unkontrollierter Schatten-Nutzung ein offener, produktiver und nachvollziehbarer Einsatz. Beginnen Sie mit einer einfachen Version, sammeln Sie Rückmeldungen aus der Praxis und schärfen Sie nach – das ist deutlich wirksamer als ein perfektes Dokument, das nie fertig wird.
Weiterführend: KI-Chatbot im Kundenservice: Wann er sich für KMU lohnt