Digitalisierung & KI

KI-Nutzungsrichtlinie für Mitarbeiter erstellen: Was reinmuss

8 Min. Lesezeit
Kurze Antwort

Eine KI-Nutzungsrichtlinie regelt erlaubte Tools, den Umgang mit vertraulichen Daten, die Prüfpflicht bei KI-Outputs, Kennzeichnungsregeln und den Eskalationsweg bei Unsicherheiten. Sie schützt vor DSGVO-Verstössen, Urheberrechtsproblemen und Haftungsrisiken.

Ohne KI-Richtlinie nutzt jeder Mitarbeiter KI anders – mit unterschiedlichen Risiken für Datenschutz, Urheberrecht und Haftung. Eine Richtlinie schützt das Unternehmen und gibt Mitarbeitern die Orientierung, die sie brauchen.

Warum eine KI-Nutzungsrichtlinie heute Pflicht ist

KI-Tools wie ChatGPT, Copilot, Gemini und Dutzende weiterer Anwendungen sind längst im Arbeitsalltag angekommen – oft ohne dass das Unternehmen es systematisch gesteuert hat. Mitarbeiter nutzen sie für E-Mails, Angebote, Recherche, Code und Präsentationen. Was dabei selten bedacht wird: Wer Kundendaten in ein externes KI-System eingibt, verstösst möglicherweise gegen DSGVO und Geheimhaltungsvereinbarungen. Wer KI-generierten Text als eigenen ausgibt, riskiert Urheberrechtsprobleme. Wer KI-Antworten ungeprüft übernimmt, trägt die Verantwortung für die Ergebnisse.

Eine KI-Nutzungsrichtlinie ist kein Misstrauensdokument. Sie ist eine Orientierungshilfe, die Mitarbeitern klar sagt: Was ist erlaubt, was ist verboten, und wo liegt die Grenze? Gleichzeitig schützt sie das Unternehmen vor Haftungsrisiken und dokumentiert, dass es seiner Sorgfaltspflicht nachgekommen ist.

Was die Richtlinie regeln muss

  • Erlaubte KI-Tools: Welche Anwendungen sind für welche Zwecke freigegeben? Klare Liste – keine graue Zone
  • Verbotene Eingaben: Personenbezogene Daten, Kundendaten, Geschäftsgeheimnisse, vertrauliche Verträge dürfen nicht in externe KI-Systeme eingegeben werden
  • Prüfpflicht für KI-Outputs: Jeder KI-generierte Inhalt ist vor Verwendung auf Richtigkeit, Vollständigkeit und Angemessenheit zu prüfen
  • Kennzeichnungspflicht: Muss KI-generierter Content als solcher markiert werden – intern, extern, gegenüber Kunden?
  • Urheberrecht: KI-generierte Texte und Bilder können urheberrechtlich problematisch sein – Nutzung muss geregelt sein
  • Datenschutz: Welche Datenschutzfolgenabschätzungen wurden für die freigegebenen Tools durchgeführt?
  • Haftungsregelung: Wer haftet für Fehler in KI-generierten Inhalten?
  • Eskalationsweg: An wen wenden sich Mitarbeiter bei Unsicherheiten? Klare Ansprechpartner benennen
  • Schulungspflicht: Dürfen Mitarbeiter KI-Tools erst nach einer Grundschulung nutzen?
  • Aktualitätspflicht: Wie oft wird die Richtlinie überprüft und an neue Tools angepasst?

Richtlinie erstellen – Schritt für Schritt

  1. Bestandsaufnahme: Welche KI-Tools werden bereits genutzt?

    Fragen Sie Ihr Team – anonym wenn nötig – welche KI-Tools bereits im Einsatz sind. Die Antworten überraschen oft: Mitarbeiter nutzen Dutzende unterschiedlicher Tools, von denen die IT-Abteilung nichts weiss. Diese Bestandsaufnahme ist die Grundlage für alle weiteren Entscheidungen.

  2. Risikobewertung der genutzten und geplanten Tools

    Für jedes Tool: Wo werden die Daten verarbeitet (EU, USA, andere)? Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Welche Nutzungsbedingungen gelten für eingegebene Daten? Werden Eingaben für das Training des Modells verwendet? Diese Fragen entscheiden, welche Tools unter welchen Bedingungen erlaubt werden können.

  3. Regeln formulieren – klar, verständlich, praxisnah

    Juristendeutsch funktioniert nicht. Die Richtlinie muss von Sachbearbeitern, nicht von Anwälten verstanden werden. Formulieren Sie konkrete Beispiele: Sie dürfen ChatGPT nutzen, um E-Mail-Entwürfe zu verfassen – aber geben Sie niemals Kundennamen, Anschriften oder Vertragsdetails ein.

  4. Rechtsprüfung: Betriebsrat und Datenschutzbeauftragter einbinden

    In Unternehmen mit Betriebsrat ist die Einführung von KI-Tools und begleitenden Richtlinien in der Regel mitbestimmungspflichtig. Der Datenschutzbeauftragte muss die Datenschutzaspekte prüfen und freigeben. Diese Schritte früh einplanen – nachträgliche Korrekturen sind aufwendig.

  5. Schulung und Kommunikation

    Eine Richtlinie, die niemand kennt, hilft niemandem. Kommunizieren Sie aktiv: Warum gibt es diese Richtlinie? Was ändert sich für den einzelnen Mitarbeiter? Kurze, praxisnahe Schulungen (30–60 Minuten) sind effektiver als lange Präsentationen.

  6. Regelmässige Aktualisierung einplanen

    Die KI-Landschaft verändert sich schnell. Eine Richtlinie, die im Januar beschlossen wurde, kann im September bereits veraltet sein. Planen Sie feste Review-Termine (mindestens halbjährlich) und benennen Sie eine verantwortliche Person, die Änderungen initiiert.

Zu restriktive Richtlinien werden ignoriert. Wenn Mitarbeiter KI-Tools als produktiv erleben, aber die Richtlinie jede sinnvolle Nutzung verbietet, entsteht eine Schatten-IT, die unkontrollierter ist als geregelte Nutzung. Die richtige Balance: klare rote Linien bei Datenschutz und Vertraulichkeit – aber Spielraum für produktive Nutzung.
Mitarbeiter bei der Erstellung der Richtlinie einzubeziehen erhöht die Akzeptanz erheblich. Fragen Sie: Welche KI-Nutzungen findet ihr hilfreich? Wo seid ihr unsicher, ob etwas erlaubt ist? Diese Rückmeldungen verbessern nicht nur die Richtlinie – sie signalisieren, dass KI als Chance gesehen wird, nicht als Kontrollwerkzeug.

Was andere Unternehmen regeln: Orientierungspunkte

Ein Blick auf Unternehmen, die bereits KI-Richtlinien eingeführt haben, zeigt typische Regelungsbereiche: Viele unterscheiden zwischen freigegebenen Tools (z.B. Microsoft Copilot mit Enterprise-Vertrag und AVV) und tolerierten Tools (private KI-Nutzung für nicht-vertrauliche Aufgaben). Einige führen eine explizite Klassifizierung von Informationen ein: öffentlich, intern, vertraulich, streng vertraulich – mit klarer Regelung, welche Klasse in welchen Tools verarbeitet werden darf.

Besonders wichtig ist die Frage der Kennzeichnung: Muss KI-generierter Content für Kunden als solcher erkennbar gemacht werden? Der EU AI Act legt hier zunehmend Pflichten fest. Im B2B-Bereich ist die Praxis derzeit noch uneinheitlich, aber Transparenz gegenüber Kunden wird zunehmend erwartet.

Zusammenfassung
  • Eine KI-Nutzungsrichtlinie ist kein Misstrauensdokument – sie gibt Mitarbeitern Orientierung und schützt das Unternehmen
  • Pflichtinhalte: erlaubte Tools, verbotene Eingaben, Prüfpflicht, Kennzeichnung, Eskalationsweg
  • Betriebsrat und Datenschutzbeauftragter frühzeitig einbinden – nicht nachträglich
  • Balance halten: Klare rote Linien bei Datenschutz, aber kein Pauschalverbot produktiver Nutzung

Sie wollen eine rechtssichere, praxistaugliche KI-Nutzungsrichtlinie für Ihr Unternehmen? Wir unterstützen Sie bei Konzept, Formulierung und Einführung.

Beratung zur KI-Richtlinie anfragen

Häufige Fragen

Brauchen auch kleine Unternehmen ohne IT-Abteilung eine KI-Richtlinie?
Ja – gerade dort ist sie wichtig, weil es keine Kontrollinstanz gibt. Sie muss nicht umfangreich sein: Eine zweiseitige Orientierungshilfe mit klaren Regeln zu Dateneingabe und Prüfpflicht reicht für den Anfang aus.
Gilt die KI-Richtlinie auch für KI-Tools, die in bestehende Software integriert sind?
Ja – KI-Funktionen in Microsoft 365, Adobe, CRM-Systemen oder ERP-Lösungen fallen unter dieselben Datenschutzpflichten. Die Richtlinie sollte explizit integrierte KI-Funktionen adressieren, nicht nur externe Chat-Tools.
Darf ich KI-generierte Angebote oder Verträge ohne Überarbeitung versenden?
Rechtlich ist das nicht verboten – aber haftungsrechtlich riskant. KI-generierte Dokumente müssen auf Richtigkeit, Vollständigkeit und Rechtskonformität geprüft werden. Die Verantwortung liegt beim unterzeichnenden Unternehmen, nicht beim KI-System.
Wie oft muss die KI-Richtlinie aktualisiert werden?
Mindestens halbjährlich – die KI-Landschaft verändert sich zu schnell für jährliche Zyklen. Bei neuen regulatorischen Vorgaben oder bei Einführung neuer Tools muss die Richtlinie ad hoc angepasst werden.

War dieser Artikel hilfreich?

Verwandte Artikel
Digitalisierung & KI
AI Act Schulungspflicht: Was Ihr Unternehmen jetzt umsetzen muss
5 Min. Lesezeit
Digitalisierung & KI
ChatGPT vs. Claude im Unternehmenseinsatz: Was der Unterschied bedeutet (Stand 2025)
8 Min. Lesezeit
Digitalisierung & KI
KI im Personalmanagement: Was HR-Abteilungen jetzt wissen müssen
9 Min. Lesezeit

Haben Sie weitere Fragen?

Unser Team hilft Ihnen persönlich und direkt weiter.

← Zur Kategorie Kontakt aufnehmen