KI-Richtlinie für den Mittelstand: So regeln Sie den sicheren Umgang
Mitarbeiter nutzen KI – ob Sie es wollen oder nicht. Eine interne KI-Richtlinie schafft Klarheit, verhindert Risiken und gibt Ihrem Team einen sicheren Rahmen.
Jedes Unternehmen, dessen Mitarbeiter KI-Tools nutzen, braucht eine KI-Richtlinie. Die sieben Bausteine: erlaubte Tools, verbotene Daten, Freigabeprozesse, Verantwortlichkeiten, Schulungspflichten, Meldewege und regelmäßige Überprüfung. Die Richtlinie muss leben – nicht in der Schublade liegen.
Warum Sie eine KI-Richtlinie brauchen – jetzt
Vielleicht haben Sie noch kein KI-Projekt gestartet. Aber Ihre Mitarbeiter nutzen KI bereits. ChatGPT, Microsoft Copilot, Google Gemini – diese Tools sind einen Klick entfernt und werden täglich genutzt, um E-Mails zu formulieren, Berichte zusammenzufassen oder Daten zu analysieren.
Das Problem: Ohne klare Regeln passiert das unkontrolliert. Shadow AI ist kein Zukunftsszenario – es ist Gegenwart.
Eine KI-Richtlinie ist kein bürokratisches Hindernis. Sie ist der Rahmen, der Ihrem Team ermöglicht, KI sicher und produktiv zu nutzen. Mehr zu den konkreten Risiken: Die 5 KI-Risiken, die Sie kennen müssen.
Die 7 Bausteine einer KI-Richtlinie
1. Erlaubte Tools (Whitelist)
Definieren Sie explizit, welche KI-Tools für welche Zwecke erlaubt sind.
Beispiel-Whitelist:
| Tool | Status | Bedingungen |
|---|---|---|
| Microsoft Copilot (Enterprise) | Erlaubt | Für alle Mitarbeiter, keine Kundendaten in Prompts |
| ChatGPT Enterprise | Erlaubt | Nur über Firmen-Account, AVV liegt vor |
| ChatGPT Free | Nicht erlaubt | Kein AVV, Daten fließen ins Training |
| Midjourney | Erlaubt | Nur für Marketing, keine markenrechtlich geschützten Inhalte |
| Eigene KI-Lösungen | Erlaubt | Gemäß projektspezifischer Vorgaben |
Wichtig: Aktualisieren Sie die Whitelist regelmäßig. Neue Tools erscheinen wöchentlich.
2. Verbotene Daten
Definieren Sie, welche Daten niemals in externe KI-Tools eingegeben werden dürfen.
Rote Liste (nie erlaubt):
- Personenbezogene Daten (Kundennamen, Adressen, Kontaktdaten)
- Personalakten und Mitarbeiterdaten
- Finanzberichte und unveröffentlichte Geschäftszahlen
- Verträge und vertrauliche Vereinbarungen
- Passwörter, API-Keys, Zugangsdaten
- Quellcode von proprietärer Software
Gelbe Liste (mit Einschränkungen):
- Aggregierte, anonymisierte Geschäftsdaten
- Allgemeine Brancheninformationen
- Öffentlich verfügbare Daten
Verknüpfen Sie diese Liste mit Ihrer bestehenden Datenschutzklassifikation. Mehr dazu: KI und Datenschutz im Mittelstand.
3. Freigabeprozesse für neue Tools
Mitarbeiter entdecken ständig neue KI-Tools. Statt alles zu verbieten, brauchen Sie einen Freigabeprozess:
- Mitarbeiter schlägt neues Tool vor (Name, Zweck, Datenanforderungen)
- IT/Datenschutz prüft: AVV vorhanden? Datenverarbeitung wo? DSGVO-konform?
- Freigabe oder Ablehnung mit Begründung
- Bei Freigabe: Aufnahme in die Whitelist mit Nutzungsbedingungen
Zeitrahmen: Maximal 2 Wochen. Wenn die Prüfung zu lange dauert, nutzen Mitarbeiter das Tool trotzdem.
4. Verantwortlichkeiten
Wer ist wofür zuständig?
| Rolle | Verantwortung |
|---|---|
| Geschäftsführung | Richtlinie verabschieden, Ressourcen bereitstellen |
| KI-Verantwortlicher (neu oder bestehend) | Richtlinie pflegen, Freigaben koordinieren, Schulungen organisieren |
| IT-Abteilung | Technische Prüfung, Monitoring, Tool-Bereitstellung |
| Datenschutzbeauftragter | DSGVO-Konformität prüfen, AVVs verwalten |
| Führungskräfte | Einhaltung im Team sicherstellen |
| Alle Mitarbeiter | Richtlinie kennen und einhalten, Vorfälle melden |
Sie brauchen keinen neuen KI-Officer. In den meisten Mittelstandsunternehmen kann die IT-Leitung oder ein technikaffiner Mitarbeiter die Koordination übernehmen.
5. Schulungspflichten
Eine Richtlinie, die niemand gelesen hat, ist wertlos. Schulen Sie:
Basis-Schulung (alle Mitarbeiter, 60 Min.):
- Was ist KI? Was kann sie, was nicht?
- Welche Tools sind erlaubt?
- Welche Daten dürfen nicht eingegeben werden?
- Wie erkenne ich Halluzinationen?
- An wen wende ich mich bei Fragen?
Vertiefung (Power User, 2 Stunden):
- Effektives Prompting für bessere Ergebnisse
- Ergebnisse kritisch prüfen
- KI-Ergebnisse in Arbeitsprozesse integrieren
Auffrischung (alle, jährlich):
- Neue Tools und Regeländerungen
- Erfahrungsaustausch: Was funktioniert, was nicht?
KI einführen heißt auch: Mitarbeiter mitnehmen.
6. Meldewege bei Vorfällen
Was tun, wenn etwas schiefgeht?
Meldepflichtige Vorfälle:
- Kundendaten wurden versehentlich in ein externes Tool eingegeben
- KI hat falsche Informationen generiert, die an Kunden/Partner gingen
- Verdacht auf Prompt Injection oder Missbrauch
- Nutzung nicht freigegebener Tools mit Firmendaten
Meldeweg:
- Sofortmeldung an KI-Verantwortlichen
- Zusammen mit Datenschutzbeauftragtem bewerten
- Bei DSGVO-Relevanz: 72-Stunden-Frist für Meldung an Aufsichtsbehörde beachten
- Vorfall dokumentieren, Maßnahmen ableiten
- Richtlinie bei Bedarf anpassen
7. Regelmäßige Überprüfung
Die KI-Landschaft ändert sich schnell. Ihre Richtlinie muss mithalten:
- Halbjährlich: Whitelist aktualisieren, neue Risiken bewerten
- Bei neuen Projekten: Projektspezifische Ergänzungen
- Bei Gesetzesänderungen: EU AI Act, DSGVO-Updates, nationale Regelungen
- Nach Vorfällen: Sofortige Überprüfung und Anpassung
Praxis-Vorlage: Struktur einer KI-Richtlinie
1. Geltungsbereich und Zweck
2. Definitionen (Was gilt als KI-Tool?)
3. Erlaubte Tools und Plattformen (Whitelist)
4. Datenklassifikation und Verbote (Rote/Gelbe Liste)
5. Freigabeprozess für neue Tools
6. Verantwortlichkeiten und Rollen
7. Schulungs- und Einweisungspflichten
8. Qualitätssicherung (Human-in-the-Loop-Pflicht)
9. Meldewege und Eskalation
10. Sanktionen bei Verstößen
11. Überprüfungsintervalle
12. Inkrafttreten und UnterschriftenHäufige Fehler bei KI-Richtlinien
- Zu restriktiv: Alles verbieten führt zu Shadow AI
- Zu vage: “Verantwortungsvoll nutzen” ohne konkrete Regeln hilft niemandem
- Einmal erstellt, nie aktualisiert: Eine Richtlinie von 2024 ist 2026 veraltet
- Nur IT-fokussiert: Die Fachabteilungen müssen einbezogen werden
- Keine Schulung: Die beste Richtlinie nützt nichts, wenn sie niemand kennt
Fazit
Eine KI-Richtlinie ist kein “Nice-to-have” – sie ist die Grundlage für sichere und produktive KI-Nutzung in Ihrem Unternehmen. Sie schützt vor Risiken, schafft Vertrauen im Team und gibt Orientierung in einem sich schnell verändernden Umfeld.
Der Aufwand: Ein bis zwei Tage für die Erstversion, plus halbtägige Updates alle 6 Monate. Das ist überschaubar im Vergleich zum Risiko einer unkontrollierten KI-Nutzung.
Technische Absicherung ergänzt die Richtlinie: So sichern Sie Ihre KI-Systeme ab.
Im KI-Discovery-Workshop erarbeiten wir nicht nur Anwendungsfälle, sondern auch den Rahmen für sichere KI-Nutzung – gemeinsam mit Ihrem Team.
Häufig gestellte Fragen
Muss ich KI-Nutzung im Arbeitsvertrag regeln?
Wie kontrolliere ich Shadow AI im Unternehmen?
Wie oft sollte die KI-Richtlinie aktualisiert werden?
Brauche ich eine KI-Richtlinie auch wenn ich noch kein KI-Projekt habe?
Muss der Betriebsrat bei einer KI-Richtlinie einbezogen werden?
Can Tewes
KI-Berater mit Fokus auf pragmatische Automatisierung im Mittelstand. Strategie-Background, Tech-Verständnis, Umsetzungsfokus.
Mehr erfahren →Weiterlesen
Prompt Injection, Halluzinationen & Co: Wie Sie KI-Systeme absichern
KI-Systeme haben neue Angriffsflächen. Prompt Injection, Data Poisoning und Halluzinationen – was sie bedeuten und wie Sie sich konkret schützen.
KI & SicherheitKI-Sicherheit im Unternehmen: Die 5 Risiken, die Sie kennen müssen
KI bringt Effizienz – aber auch neue Risiken. Von Datenlecks über Halluzinationen bis Shadow AI: Was Entscheider wissen müssen, bevor sie KI einsetzen.