Was gehört in eine KI-Richtlinie für unser Unternehmen?
Vier Bausteine: die freigegebenen KI-Dienste samt Zugangsweg über Firmen-Konten, eine konkrete Regelung der Datenarten (was frei nutzbar ist, was nur anonymisiert, was gesperrt), die Pflicht zur fachlichen Prüfung jedes Ergebnisses vor externer Verwendung sowie Zuständigkeiten – wer Fragen beantwortet und wer neue Werkzeug-Wünsche prüft. Gute Richtlinien sind kurz, an Beispielen orientiert und in wenigen Minuten lesbar; ein umfangreiches Regelwerk bleibt ungelesen.
Der Zweck: Alltagsentscheidungen abnehmen
Eine KI-Richtlinie ist keine Grundsatzerklärung, sie ist eine Arbeitsanweisung. Sie beantwortet die Fragen, die sich im Tagesgeschäft tatsächlich stellen: Darf ich dieses Werkzeug nutzen? Darf dieser Inhalt hinein? Was mache ich mit dem Ergebnis? Jede dieser Fragen, die die Richtlinie offen lässt, beantworten Mitarbeitende weiter selbst – und genau dieser Zustand (Schatten-KI) war der Anlass für die Richtlinie.
Baustein 1: Freigegebene Dienste und Zugänge
Die Richtlinie benennt konkret, welche Dienste zugelassen sind und über welche Konten sie genutzt werden – Firmen-Zugänge mit vertraglicher Grundlage, bei denen Eingaben nicht für das Training fremder Modelle verwendet werden. Ebenso klar: Ungeprüfte Dienste und private Konten sind für Firmeninhalte tabu. Warum die Konto-Ebene so entscheidend ist, erklärt der eigene Eintrag.
Baustein 2: Datenregeln mit Ampel-Logik
Der wichtigste Teil – und der, der am häufigsten zu abstrakt gerät. Bewährt hat sich eine Ampel je Datenart, mit Beispielen aus dem eigenen Betrieb:
| Stufe | Datenart (Beispiele) | Regel |
|---|---|---|
| Grün | Öffentliche Inhalte, eigene Entwürfe ohne Personenbezug | Frei nutzbar in freigegebenen Diensten |
| Gelb | Interne Unterlagen ohne Personenbezug | Nur anonymisiert, nur in Firmen-Konten |
| Rot | Kundendaten, Beschäftigtendaten, Kalkulationen, Zugangsdaten | Gesperrt für externe Dienste |
Die Ampel ist im Alltag schneller anwendbar als juristische Kategorien – die fachliche Grundlage dafür liefert die Frage, welche Daten überhaupt in eine KI dürfen.
Baustein 3: Prüfpflicht für Ergebnisse
KI-Ergebnisse können überzeugend klingen und trotzdem falsch sein. Die Richtlinie legt deshalb fest: Vor jeder externen Verwendung – Angebot, Kundenmail, Veröffentlichung – prüft eine fachlich zuständige Person das Ergebnis inhaltlich. Die Verantwortung für das, was den Betrieb verlässt, bleibt beim Menschen; das Werkzeug ändert daran nichts.
Baustein 4: Zuständigkeiten und Weiterentwicklung
Zwei Rollen genügen im Mittelstand meist: eine Ansprechperson für Fragen im Alltag und eine Stelle, die neue Werkzeug-Wünsche prüft und freigibt. Der zweite Punkt ist wichtiger, als er wirkt – ohne offiziellen Weg für neue Bedarfe entsteht der nächste inoffizielle. Ergänzend gehört ein Rhythmus zur Aktualisierung hinein, denn Dienste, Konditionen und Rechtslage ändern sich laufend.
Form und Einführung
Die arbeitsrechtliche und datenschutzrechtliche Ausgestaltung – etwa das Zusammenspiel mit bestehenden Betriebsvereinbarungen – gehört in die Abstimmung mit Ihrer Rechtsberatung. Den Weg von der unkontrollierten Nutzung zur geordneten Einführung beschreibt ausführlich der Beitrag Schatten-KI im Betrieb.