Datenschutz & Compliance

KI-Nutzungsrichtlinie erstellen: Was DSGVO-konform reinmuss

7 Min. Lesezeit
Kurze Antwort

Eine KI-Nutzungsrichtlinie muss mindestens regeln: welche Tools erlaubt sind, welche Daten eingegeben werden dürfen, wer verantwortlich ist und wie Ergebnisse geprüft werden.

Wer Mitarbeitern die KI-Nutzung ohne Richtlinie überlässt, verliert die Kontrolle über personenbezogene Daten, Betriebsgeheimnisse und die Qualität von Arbeitsergebnissen.

Warum eine KI-Richtlinie keine Option ist

Voraussetzungen für eine wirksame KI-Richtlinie

  • Inventur: Welche KI-Tools werden im Unternehmen bereits genutzt (auch inoffiziell)?
  • Verantwortliche benennen: Datenschutzbeauftragter, IT-Leitung und Geschäftsführung einbinden
  • Datenkategorien definieren: Was gilt als vertraulich, was als unkritisch?
  • AVV prüfen: Hat der KI-Anbieter einen Auftragsverarbeitungsvertrag angeboten?
  • Betriebsrat einbinden, falls vorhanden (Mitbestimmungspflicht bei Überwachungstools)

KI-Richtlinie Schritt für Schritt aufbauen

  1. Schritt 1: Erlaubte und verbotene Tools festlegen

    Listen Sie explizit auf, welche KI-Anwendungen genutzt werden dürfen (z. B. Microsoft Copilot mit M365-Vertrag, ChatGPT Team-Version mit AVV) und welche verboten sind (z. B. kostenlose ChatGPT-Version für Kundendaten). Grauzonen vermeiden.

  2. Schritt 2: Verbotene Dateneingaben definieren

    Legen Sie klar fest: Keine Eingabe von Namen, Adressen, Kundennummern, Gesundheitsdaten, Finanzdaten oder Betriebsgeheimnissen in nicht genehmigte KI-Tools. Beispielformulierungen helfen Mitarbeitern, die Grenze zu erkennen.

  3. Schritt 3: Erlaubte Anwendungsfälle beschreiben

    Geben Sie konkrete Beispiele, was erlaubt ist: Textentwürfe für öffentliche Kommunikation erstellen, Code prüfen lassen (ohne proprietären Quellcode einzugeben), allgemeine Recherchen, Zusammenfassungen öffentlicher Dokumente.

  4. Schritt 4: Verantwortung und Prüfpflicht klären

    KI-Ausgaben müssen vor der Nutzung geprüft werden – die fachliche Verantwortung bleibt beim Mitarbeiter. Halten Sie fest, dass KI-generierte Inhalte als solche gekennzeichnet werden müssen, wo dies rechtlich oder intern verlangt wird.

  5. Schritt 5: Schulung und Kommunikation

    Informieren Sie alle Mitarbeiter über die Richtlinie, bevor sie in Kraft tritt. Eine kurze Schulung (30–60 Minuten) mit konkreten Beispielen ist effektiver als ein langes PDF.

  6. Schritt 6: Regelmäßige Überprüfung

    KI-Tools entwickeln sich schnell. Überprüfen Sie die Richtlinie mindestens jährlich und passen Sie sie an neue Tools, neue Anbieter-AGBs und neue Datenschutzvorgaben an.

DSGVO-Risiko: Keine Rechtsgrundlage für KI-Verarbeitung

Wenn Mitarbeiter Kundendaten in KI-Tools eingeben, ohne dass ein AVV mit dem Anbieter besteht, fehlt die datenschutzrechtliche Grundlage für diese Verarbeitung. Das ist kein theoretisches Risiko – erste Bußgeldverfahren in der EU laufen bereits.

Praxistipp: Microsoft Copilot als sicherer Einstieg

Wer Microsoft 365 nutzt, hat mit dem Microsoft-Vertrag bereits einen AVV und kann Copilot datenschutzkonform einführen. Die Daten bleiben im EU-Tenant und verlassen nicht den M365-Datenraum.

Fazit

Sie wollen eine KI-Nutzungsrichtlinie erstellen, die wirklich funktioniert? INREMA entwickelt sie gemeinsam mit Ihnen.

Jetzt beraten lassen

Häufige Fragen

Muss eine KI-Richtlinie vom Betriebsrat genehmigt werden?
Bei KI-Tools mit Überwachungspotenzial (z. B. Produktivitätsmessung) ja. Für reine Arbeitsunterstützung ohne Überwachungsfunktion ist die Mitbestimmungspflicht geringer.
Darf ich Kundendaten in ChatGPT eingeben?
Nur wenn ein AVV mit OpenAI besteht (ChatGPT Team/Enterprise) und die Eingabe durch Ihren Datenschutzbeauftragten freigegeben ist. Bei der kostenlosen Version: Nein.
Wie oft muss die KI-Richtlinie aktualisiert werden?
Mindestens einmal jährlich sowie bei der Einführung neuer Tools oder bei wesentlichen Änderungen der Anbieter-AGBs.
Was passiert, wenn Mitarbeiter die Richtlinie ignorieren?
Das Unternehmen haftet für DSGVO-Verstöße durch Mitarbeiter, wenn es keine angemessenen Schutzmaßnahmen ergriffen hat. Eine dokumentierte Richtlinie und Schulung sind diese Schutzmaßnahmen.

War dieser Artikel hilfreich?

Verwandte Artikel
Digitalisierung & KI
AI Act Schulungspflicht: Was Ihr Unternehmen jetzt umsetzen muss
5 Min. Lesezeit
Datenschutz & Compliance
DSGVO und AI Act: Wie beide Regelwerke beim KI-Einsatz zusammenwirken
6 Min. Lesezeit
Digitalisierung & KI
KI und Datenschutz: Was Mitarbeiter wissen müssen bevor sie Kundendaten eingeben
6 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen