KI-Richtlinien im Unternehmen: So geht's richtig

KI-Richtlinien im Unternehmen: So geht's richtig

<p>68 Prozent der deutschen Unternehmen setzen KI bereits ein oder planen es. Schriftliche Regeln dafür haben davon gerade einmal 25 bis 30 Prozent. Das klingt nach einer Randnotiz. Es ist es nicht.</p><p>Wer heute keine KI-Richtlinien für sein Unternehmen hat, hat kein Datenschutzproblem in der Theorie - er hat es in der Praxis, jeden Tag. Mitarbeitende nutzen ChatGPT, Copilot oder Gemini. Mit Kundendaten. Mit internen Projektunterlagen. Mit Personalinformationen. Oft ohne böse Absicht, aber mit realen Konsequenzen. Und ohne klare Spielregeln bleibt die Haftung genau dort, wo sie niemand haben möchte: bei der Geschäftsführung.</p>

Warum jedes Unternehmen heute eine KI-Richtlinie braucht

Laut Microsoft Work Trend Index 2024 nutzen 44 Prozent der Mitarbeitenden KI-Tools am Arbeitsplatz, ohne dass ihr Arbeitgeber es offiziell weiß oder geregelt hat. Die Branche nennt das Shadow AI. Und Schatten haben eine unangenehme Eigenschaft: Sie entziehen sich der Kontrolle.

Der bekannteste Fall stammt von Samsung: Im Jahr 2023 luden Mitarbeitende vertraulichen Quellcode in ChatGPT hoch – und merkten dabei nicht, dass die Eingaben möglicherweise in den Trainingsdaten des Anbieters landen könnten. Samsung zog die Notbremse und verbannte KI-Tools temporär vollständig. Ein Weltkonzern mit tausenden IT-Experten. Ohne Policy.

Für mittelständische Unternehmen ist die Ausgangslage noch exponierter: keine eigene IT-Rechtsabteilung, kein dediziertes Compliance-Team, aber dieselbe DSGVO, die bei Verstößen Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes ermöglicht. Laut Cyberhaven Research gelten rund 11 Prozent aller Daten, die Mitarbeitende in generative KI-Tools eingeben, als potenziell vertraulich. Das ist keine abstrakte Zahl.

Dazu kommt der EU AI Act. In Kraft seit August 2024, vollständig anwendbar ab August 2026. Unternehmen, die KI-Systeme mit hohem Risiko betreiben – etwa in der Personalauswahl, der Kreditbewertung oder in sicherheitsrelevanten Bereichen – müssen Dokumentations-, Transparenz- und Aufsichtspflichten nachweisen können. Verstöße gegen verbotene KI-Praktiken können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bestraft werden. Wer jetzt auf finale Leitlinien wartet, hat die Uhr bereits laufen lassen.

Und dann ist da noch der Wettbewerbsaspekt: Laut Gartner berichten Unternehmen mit einem KI-Governance-Framework von einer doppelt so hohen KI-Adoptionsrate wie solche ohne. Klare Regeln beschleunigen. Sie bremsen nicht.

Was eine KI-Policy regeln muss: Mindestinhalte im Überblick

Eine KI-Policy muss kein 40-seitiges Rechtsdokument sein. Aber sie muss bestimmte Fragen verbindlich beantworten. Diese zehn Mindestinhalte sollte jede ernstzunehmende KI-Richtlinie für Mitarbeiter abdecken:

  1. Geltungsbereich: Für wen gilt die Policy? Alle Mitarbeitenden, bestimmte Abteilungen, externe Dienstleister?
  2. Erlaubte Anwendungsfälle: Was darf aktiv genutzt werden – etwa interne Textentwürfe, Recherche oder Code-Unterstützung.
  3. Verbotene Anwendungsfälle: Was ist explizit untersagt – zum Beispiel die Eingabe von Personaldaten, Kundenlisten oder Finanzdaten in nicht freigegebene Tools.
  4. Datenschutz-Regeln: Welche Datenkategorien dürfen in welche Tools eingegeben werden? Welche Anbieter haben einen DSGVO-konformen Auftragsverarbeitungsvertrag?
  5. Qualitätssicherung: KI-Outputs sind kein fertiges Endprodukt. Wer prüft, bevor etwas nach außen geht?
  6. Transparenzpflicht: Muss KI-generierter Content intern oder extern gekennzeichnet werden?
  7. Zuständigkeiten: Wer genehmigt neue Tools? Wer ist Ansprechpartner bei Fragen?
  8. Verstöße und Konsequenzen: Was passiert bei Nichteinhaltung?
  9. Schulung: Wie werden Mitarbeitende eingeführt?
  10. Review-Zyklus: Die KI-Landschaft ändert sich schnell. Mindestens jährliche Überprüfung ist Pflicht.

Ein wichtiger Hinweis für kleinere Betriebe: Eine schlanke Zwei-Seiten-Policy schlägt keine Policy. Wer auf Perfektion wartet, wartet zu lang. Eine KI-Policy erstellen heißt nicht, alle Fragen auf einmal zu lösen – es heißt, einen verbindlichen Stand zu schaffen, der überarbeitet werden kann.

Erlaubt, verboten, geduldet: Klare Kategorien für den Alltag

In der Praxis hat sich ein einfaches Drei-Zonen-Modell bewährt, das den Leitfaden für den KI-Einsatz im Mittelstand handhabbar macht:

Grüne Zone – frei nutzbar: Interne Textentwürfe, Brainstorming, Code-Review, Zusammenfassungen interner Dokumente ohne personenbezogene Daten. Keine Sondergenehmigung notwendig, Qualitätsprüfung durch die zuständige Person reicht.

Gelbe Zone – nur mit Prüfung: Kundenkommunikation, externe Angebote, Pressemitteilungen. KI darf genutzt werden, aber das Ergebnis muss von einer verantwortlichen Person freigegeben werden. Kennzeichnungspflicht intern empfohlen.

Rote Zone – verboten: Eingabe von Personaldaten, Bewerbungsunterlagen, Kundenlisten, Finanzdaten oder vertraulichem Quellcode in nicht genehmigte externe KI-Systeme. Keine Ausnahmen.

Dieses Modell ist kein perfektes Rechtskonstrukt. Aber es ist verständlich, kommunizierbar und funktioniert im Arbeitsalltag.

Ein konkretes Beispiel: Ein Vertriebsmitarbeiter kopiert eine Kundenliste mit Namen, Umsätzen und Gesprächsnotizen in ChatGPT, um einen Quartalsbericht zu erstellen. Ohne KI-Nutzungsregeln im Betrieb: unklar, ob das zulässig ist, und unklar, wer die Verantwortung trägt. Mit dem Ampelmodell: roter Bereich, klarer DSGVO-Verstoß, kein Interpretationsspielraum.

Wichtig dabei: Die Datenschutzeigenschaften von KI-Tools unterscheiden sich erheblich. Die kostenlose ChatGPT-Version kann Eingaben für Trainingszwecke verwenden. Die OpenAI-API oder Microsoft Copilot mit Enterprise-Lizenz haben andere Vertragsgrundlagen. Mitarbeitende können diesen Unterschied nicht ohne weiteres erkennen. Die KI-Policy muss ihn klar benennen und zugelassene Tools explizit auflisten.

Das hartnäckige Missverständnis, Künstliche Intelligenz Governance bremse Innovation, ist falsch. Harvard- und MIT-Forschende haben gezeigt, dass KI-gestützte Wissensarbeiter Aufgaben 25 Prozent schneller und mit 40 Prozent höherer Qualität erledigen – aber nur dann, wenn sie klare Anwendungsszenarien kennen. Orientierung schafft Tempo, nicht Bürokratie.

KI-Richtlinie einführen: Von der Policy zur gelebten Praxis

Ein Dokument, das im Intranet liegt und nie aufgerufen wird, ist keine Policy. Es ist eine Absichtserklärung. Der Einführungsprozess entscheidet darüber, ob KI-Compliance im Unternehmen gelebt wird oder nicht.

Die richtigen Personen einbinden. Geschäftsführung, Datenschutzbeauftragter und IT sind Pflicht. Bei Unternehmen mit Betriebsrat: §87 BetrVG greift bei KI-Tools, die Arbeitsleistung erfassen oder bewerten. Frühzeitige Einbindung verhindert Blockaden und stärkt die Akzeptanz – konstruktive Betriebsräte wollen Mitgestaltung, keine Verbote.

Kommunikation vor Kontrolle. Mitarbeitende fragen sich längst: "Darf ich das?" Die KI-Richtlinie beantwortet diese Frage. Deshalb: aktive Kommunikation statt stiller Intranet-Veröffentlichung. Eine kurze Informationsveranstaltung, ein FAQ-Dokument, eine Schulung – das entscheidet über Akzeptanz oder Widerstand.

Schulung als Pflichtbestandteil. Eine Policy ohne Schulung ist wie ein Feuerlöscher ohne Einweisung. Mitarbeitende müssen verstehen, warum die Regeln gelten – nicht nur, was sie sind. Das senkt Verstöße und erhöht den sinnvollen Einsatz von KI-Tools. Wenn ein Verstoß später rechtliche Konsequenzen haben soll, muss die Schulung dokumentiert sein.

Review-Zyklen einplanen. KI-Modelle, Anbieter und Regulierung ändern sich schnell. Was heute gilt, kann in zwölf Monaten überholt sein. Deshalb: fixer Review-Termin, benannte verantwortliche Person, dokumentierter Prozess. KI-Compliance ist kein Einmal-Event.

Ein Hinweis zur Frage der Zuständigkeit: Es gibt kein universelles Richtig oder Falsch. Manche Unternehmen benennen einen KI-Beauftragten, andere integrieren die Verantwortung in die IT-Leitung oder direkt in die Geschäftsführung. Was zählt: Es muss eine Person geben, die entscheidet, wenn neue Tools auftauchen oder Grenzfälle unklar sind.

Wer KI-Governance als Teil einer übergreifenden digitalen Strategie denken möchte, findet bei mindmelt Ansätze, die auf mittelständische Strukturen zugeschnitten sind – ohne Konzernbürokratie.

Fazit: KI-Governance als Wettbewerbsvorteil nutzen

KI-Richtlinien im Unternehmen sind keine bürokratische Pflichtübung. Sie sind das Fundament, auf dem produktiver und rechtssicherer KI-Einsatz erst möglich wird. Wer sie hat, gibt Mitarbeitenden Orientierung, schützt das Unternehmen vor Datenlecks und DSGVO-Bußgeldern – und ist für den EU AI Act gerüstet, der ab August 2026 vollständig gilt. Wer sie nicht hat, überlässt den Wildwuchs dem Zufall. KI-Compliance ist keine Frage der Unternehmensgröße, sondern eine Führungsaufgabe. Und die erste, schlanke Version einer KI-Richtlinie können die meisten Mittelständler in ein bis drei Arbeitstagen auf den Weg bringen. Der beste Zeitpunkt dafür war gestern. Der zweitbeste ist heute.