complaid
Alle Artikel
KI-RichtliniePraxisKMUAnleitung

KI-Richtlinie einführen — Schritt für Schritt

·4 Min. Lesezeit·complaid Redaktion

Warum jedes Unternehmen jetzt eine KI-Richtlinie braucht

Über 50% der Wissensarbeiter nutzen bereits KI-Tools im Arbeitsalltag. Viele davon ohne Wissen oder Genehmigung des Unternehmens — sogenannte Shadow AI.

Das Ergebnis: Kundendaten landen in ChatGPT. Vertragsinhalte in nicht freigegebenen Tools. Mitarbeitende entscheiden selbst, was okay ist und was nicht.

Eine KI-Richtlinie schafft Klarheit. Nicht als Verbotskatalog, sondern als Leitplanke: Was ist erlaubt, was nicht, und wie gehen wir als Unternehmen mit KI um.

Schritt 1: Bestandsaufnahme — Was wird schon genutzt?

Bevor du Regeln aufstellst, musst du wissen, was Realität ist.

Frag dein Team:

  • Welche KI-Tools nutzt du im Arbeitsalltag?
  • Nutzt du private oder vom Unternehmen bereitgestellte Accounts?
  • Welche Aufgaben erledigst du damit?
  • Hast du schon mal sensible Daten eingegeben?

Die Antworten werden dich überraschen. Und sie sind die Grundlage für alles Weitere.

Schritt 2: Ampellogik definieren — Grün, Gelb, Rot

Die einfachste und verständlichste Struktur für eine KI-Richtlinie ist ein Ampelsystem:

🟢 Grün — Erlaubt

Allgemeine, nicht sensible Nutzung mit freigegebenen Tools. Ergebnisse werden vor Verwendung geprüft.

Beispiele:

  • Texte formulieren und verbessern
  • Brainstorming und Ideenfindung
  • Allgemeine Recherche
  • Übersetzungen ohne vertrauliche Inhalte
  • Checklisten und Gliederungen erstellen

🟡 Gelb — Nur mit Vorsicht oder Freigabe

Nutzung mit internen Daten, aber nur anonymisiert, abstrahiert oder nach Rücksprache.

Beispiele:

  • Abstrahierte Projektbeschreibungen
  • Anonymisierte Kundenfälle
  • Interne Prozessentwürfe ohne Personenbezug
  • Texte mit indirektem Unternehmensbezug

🔴 Rot — Nicht erlaubt

Sensible, personenbezogene oder vertrauliche Daten in nicht freigegebenen Tools.

Beispiele:

  • Kundennamen und Kontaktdaten
  • HR-Daten, Gehälter, Bewerbungen
  • Vertragsinhalte und Konditionen
  • Finanzdaten und Budgets
  • Passwörter und Zugangsdaten
  • Quellcode und technische Infrastruktur

Schritt 3: Tool-Freigaben festlegen

Nicht alle KI-Tools sind gleich. Definiere klar:

Freigegeben — z.B. ChatGPT Enterprise, Microsoft Copilot (mit Unternehmenslizenz) Eingeschränkt — z.B. Claude, Perplexity (nur für nicht-sensible Aufgaben) Nicht freigegeben — z.B. kostenlose ChatGPT-Version mit privatem Account, beliebige KI-Apps

Der Schlüssel: Consumer-Tools (kostenlose Versionen) haben keinen Auftragsverarbeitungsvertrag (AVV). Daten können fürs Training genutzt werden. Enterprise-Tools bieten AVV, keine Datennutzung fürs Training und eigene Instanzen.

Schritt 4: Rollen und Verantwortlichkeiten

Nicht jeder im Unternehmen braucht die gleichen Regeln:

  • HR hat erhöhte Anforderungen beim Umgang mit Bewerbungs- und Mitarbeiterdaten
  • Marketing/Vertrieb braucht Klarheit bei Kundendaten und öffentlichen Inhalten
  • Operations muss wissen, welche Prozessdaten vertraulich sind
  • IT muss verstehen, dass Infrastrukturdaten nie in externe Tools gehören

Rollenbasierte Ergänzungen zur allgemeinen Richtlinie machen sie praxistauglicher.

Schritt 5: Ansprechpartner benennen

Für den Fall, dass Mitarbeitende unsicher sind: Wer hilft?

Benenne eine klare Ansprechperson — das kann sein:

  • Der/die Datenschutzbeauftragte
  • Eine Person aus IT oder Compliance
  • Ein/e benannte/r „KI-Ansprechpartner/in"

Wichtig: Die Hürde muss niedrig sein. Lieber einmal zu viel fragen als einmal zu wenig.

Schritt 6: Bestätigung einfordern

Eine Richtlinie, die niemand kennt, schützt niemanden.

Best Practice:

  • Mitarbeitende lesen die Richtlinie
  • Bestätigen sie aktiv (nicht nur „zur Kenntnis genommen")
  • Bestätigung wird mit Zeitstempel dokumentiert
  • Bei Änderungen wird erneut bestätigt

Das ist nicht nur intern sinnvoll — es ist auch die Dokumentation, die Artikel 4 des EU AI Act verlangt.

Schritt 7: Regelmäßig aktualisieren

KI-Tools entwickeln sich schnell. Was heute sicher ist, kann morgen veraltet sein.

Empfehlung:

  • Richtlinie mindestens halbjährlich prüfen
  • Neue Tools aufnehmen oder sperren
  • Nach Vorfällen (Datenleck, Fehlnutzung) sofort anpassen
  • Mitarbeitende bei Änderungen erneut bestätigen lassen

Die häufigsten Fehler bei KI-Richtlinien

  1. Zu allgemein. „Bitte verantwortungsvoll mit KI umgehen" ist keine Richtlinie.
  2. Zu lang. 30 Seiten liest niemand. Halte es unter 2-3 Seiten.
  3. Keine Beispiele. Ohne konkrete Beispiele wissen Mitarbeitende nicht, was gemeint ist.
  4. Keine Bestätigung. Ohne dokumentierte Kenntnisnahme ist die Richtlinie wertlos.
  5. Einmal erstellt, nie aktualisiert. KI ändert sich — die Regeln müssen mitziehen.
  6. Kein Ansprechpartner. Wenn Mitarbeitende nicht wissen, wen sie fragen können, machen sie es auf eigene Faust.
  7. Verbot statt Enablement. „KI ist verboten" funktioniert nicht. Mitarbeitende nutzen es trotzdem — dann eben ohne Regeln.

Zusammenfassung

Eine KI-Richtlinie muss nicht komplex sein. Sie muss:

  • ✓ Verständlich sein (Ampellogik)
  • ✓ Tools klar benennen (freigegeben vs. nicht)
  • ✓ Rollen berücksichtigen
  • ✓ Einen Ansprechpartner haben
  • ✓ Aktiv bestätigt werden
  • ✓ Regelmäßig aktualisiert werden

complaid macht genau das

complaid nimmt dir den Aufwand ab: Richtlinie hinterlegen, Mitarbeitende schulen, Bestätigungen dokumentieren, Nachweise exportieren — alles an einem Ort.

→ Jetzt ansehen auf complaid.at

KI-Compliance in deinem Unternehmen sicherstellen?

complaid schult Mitarbeitende im sicheren Umgang mit KI — mit Lernmodulen, Leitplanken und dokumentierbaren Nachweisen.

Kurs ansehen →Risiko-Check starten