KI-Richtlinien für dein Team erstellen
Eine praxisnahe KI-Richtlinie erstellen, die dein Team schützt — ohne die Produktivität zu bremsen.
🔄 Recall: Kundendaten geschützt — jetzt das Team befähigen
In den letzten Lektionen hast du gelernt, welche Daten du wie in KI-Tools eingeben darfst. Aber was ist mit deinen Kollegen? Ohne klare Regeln entscheidet jeder Mitarbeiter selbst — und das geht fast immer schief.
Warum eine KI-Richtlinie unverzichtbar ist
Das Szenario: 50 Mitarbeiter, jeder nutzt KI-Tools auf seine Art. Marketing kopiert Kundenlisten rein, HR gibt Bewerbungen ein, der Vertrieb lädt CRM-Exporte hoch. Niemand hat böse Absichten — aber jeder macht es halt anders.
Das Ergebnis: Unkontrollierter Datenabfluss an verschiedene KI-Anbieter. Keine Übersicht, wer was wo eingibt. Und wenn die Datenschutzbehörde fragt: keine dokumentierte Struktur.
Eine KI-Richtlinie löst das. Sie ist kein Verbot, sondern ein Rahmen, der produktive Nutzung ermöglicht.
Die 7 Bausteine einer KI-Richtlinie
1. Zweck und Geltungsbereich
Wer ist betroffen? Welche Tools sind gemeint? Was ist das Ziel?
Formulierungsbeispiel:
„Diese Richtlinie regelt die Nutzung von KI-Tools (inkl. ChatGPT, Claude, Gemini, Copilot und vergleichbare Dienste) durch alle Mitarbeiter der [Firma] für berufliche Zwecke. Ziel ist die produktive und datenschutzkonforme Nutzung."
2. Zugelassene Tools und Abos
| Kategorie | Zugelassen | Bedingung |
|---|---|---|
| Enterprise mit AVV | ChatGPT Enterprise, Claude Business | Für alle Aufgaben inkl. Kundendaten |
| Pro-Abo (persönlich) | ChatGPT Plus, Claude Pro | Nur für allgemeine Aufgaben OHNE personenbezogene Daten |
| Kostenlos | Alle | Nur für öffentliche Informationen, Brainstorming, allgemeine Fragen |
| Gesperrt | [Liste] | KI-Tools ohne Impressum, ohne klare Datenschutzerklärung |
3. Datenklassifikation — das Ampel-System
Übernimm das Ampel-System aus Lektion 5 direkt in die Richtlinie:
| 🟢 Grün | 🟡 Gelb | 🔴 Rot |
|---|---|---|
| Öffentliche Informationen | Interne Dokumente (anonymisiert) | Personenbezogene Daten |
| Allgemeine Fragen | Aggregierte Geschäftsdaten | Kundendaten |
| Brainstorming | Entwürfe ohne vertrauliche Details | Gesundheitsdaten |
| Marketing-Texte (allgemein) | Meeting-Zusammenfassungen (anonymisiert) | Finanzdaten einzelner Personen |
Grün: Alle zugelassenen Tools. Gelb: Nur nach Anonymisierung. Rot: Nur Enterprise mit AVV — oder gar nicht.
4. Konkrete Dos und Don’ts
Abstrakte Regeln vergisst man. Konkrete Beispiele nicht.
✅ Erlaubt:
- „Schreibe eine E-Mail-Vorlage für eine Projektverzögerung" (ohne Kundennamen)
- „Erstelle eine Gliederung für einen Quartalsbericht" (ohne Zahlen)
- „Korrigiere diesen Text auf Grammatik und Stil" (ohne personenbezogene Inhalte)
- „Hilf mir, eine Präsentation zu strukturieren" (Thema abstrakt beschreiben)
❌ Verboten:
- Kundennamen, E-Mail-Adressen oder Telefonnummern eingeben
- Vollständige E-Mail-Verläufe einkopieren
- Personalakten, Gehaltsdaten oder Leistungsbeurteilungen eingeben
- Vertrauliche Strategiedokumente oder Verträge hochladen
- Screenshots mit sichtbaren personenbezogenen Daten einfügen
5. Verantwortlichkeiten
| Rolle | Aufgabe |
|---|---|
| Geschäftsführung | Richtlinie genehmigen, Budget für Enterprise-Abos bereitstellen |
| IT-Abteilung | Tools auswählen und konfigurieren, Zugänge verwalten |
| Datenschutzbeauftragter | Richtlinie prüfen, AVVs verhandeln, Schulungen unterstützen |
| Teamleitung | Umsetzung im Team sicherstellen, Fragen klären |
| Jeder Mitarbeiter | Richtlinie kennen und befolgen, Vorfälle melden |
6. Vorfallmeldung
Was tun, wenn doch mal was schiefgeht?
Meldepflicht definieren:
- An wen melden? (Datenschutzbeauftragter, IT, Vorgesetzter)
- Wie schnell? (Sofort — nicht erst nächste Woche)
- Was melden? (Welche Daten, welches Tool, wann, wie viel)
Wichtig: Keine Schuldzuweisungen. Wer einen Fehler meldet, muss dafür belohnt, nicht bestraft werden. Sonst meldet niemand mehr.
✅ Quick Check: Ein Mitarbeiter hat versehentlich eine Kundenliste mit 200 Namen in ChatGPT eingefügt. Was sind die nächsten Schritte?
(Antwort: 1. Sofort den Datenschutzbeauftragten informieren. 2. Chat-Verlauf bei ChatGPT löschen. 3. Prüfen, ob Meldepflicht an die Aufsichtsbehörde besteht (72-Stunden-Frist). 4. Vorfall dokumentieren. 5. Team erneut schulen — nicht bestrafen.)
7. Schulung und Aktualisierung
Eine Richtlinie, die niemand kennt, ist wertlos.
Schulungsplan:
- Onboarding: Jeder neue Mitarbeiter bekommt die Richtlinie + eine 30-minütige Einführung
- Halbjährlich: Auffrischung für alle, mit aktuellen Beispielen und neuen Tools
- Bei Änderungen: Sofortige Kommunikation, wenn sich Tools oder Regeln ändern
Aktualisierungszyklus:
- Alle 6 Monate: Richtlinie prüfen und aktualisieren
- Bei neuen Gesetzen (EU AI Act Stufen): Sofort anpassen
- Bei neuen Tools: Bewerten und in die Liste aufnehmen (oder sperren)
Vorlage: KI-Richtlinie erstellen mit KI
Ja, du kannst KI nutzen, um die Richtlinie zu erstellen — solange du keine vertraulichen Unternehmensdaten eingibst:
Erstelle eine KI-Richtlinie für ein mittelständisches Unternehmen
mit ca. [Anzahl] Mitarbeitern in der Branche [Branche].
Die Richtlinie soll enthalten:
1. Zweck und Geltungsbereich
2. Zugelassene Tools (drei Kategorien)
3. Datenklassifikation (Ampel-System)
4. Konkrete Dos und Don'ts mit Beispielen
5. Verantwortlichkeiten
6. Vorfallmeldung
7. Schulungs- und Aktualisierungsplan
Ton: klar, verbindlich, aber nicht abschreckend.
Zielgruppe: Mitarbeiter ohne juristische Vorkenntnisse.
Häufige Fehler bei KI-Richtlinien
| Fehler | Warum problematisch | Besser |
|---|---|---|
| „KI-Nutzung verboten" | Mitarbeiter nutzen KI trotzdem — nur unkontrolliert | Klare Regeln statt Verbote |
| Zu allgemein | „Datenschutz beachten" sagt nichts | Konkrete Beispiele geben |
| Nur für IT | Alle Abteilungen nutzen KI | Alle Mitarbeiter einbeziehen |
| Einmal erstellt, nie aktualisiert | Veraltet in 6 Monaten | Regelmäßiger Review-Zyklus |
| Keine Vorfallmeldung | Fehler werden vertuscht | Meldepflicht + Fehlerkultur |
Wichtigste Erkenntnisse
- Eine KI-Richtlinie ermöglicht, sie verbietet nicht — klare Regeln statt Unsicherheit
- 7 Bausteine: Zweck, Tools, Datenklassifikation, Dos/Don’ts, Verantwortlichkeiten, Vorfallmeldung, Schulung
- Konkrete Beispiele sind wichtiger als abstrakte Regeln
- Fehlerkultur statt Schuldzuweisung — wer meldet, wird nicht bestraft
- Halbjährlich aktualisieren — KI-Tools und Gesetze ändern sich ständig
- KI kann beim Erstellen der Richtlinie helfen — ohne Unternehmensdaten einzugeben
Nächste Lektion
Lektion 8 bringt alles zusammen: Dein persönlicher Datenschutz-Aktionsplan für den KI-Alltag — mit Checkliste, Quick-Reference-Card und den wichtigsten Entscheidungsbäumen.
Wissenscheck
Erst das Quiz oben abschließen
Lektion abgeschlossen!