KAllgemein

KI-Betriebsvereinbarung (Muster-Inhalte)

Interne Regeln zu erlaubten KI-Tools, Daten, Logging, Kontrolle, Schulung.

Eine KI-Betriebsvereinbarung (Muster-Inhalte) ist ein interner Regelrahmen zwischen Arbeitgeber und Betriebsrat, der festlegt, wie KI-Tools im Unternehmen erlaubt, sicher und fair eingesetzt werden. Typische Muster-Inhalte regeln u. a. zugelassene Tools, erlaubte Daten, Protokollierung (Logging), Kontrollrechte, Schulungen sowie den Schutz von Beschäftigten und Unternehmenswissen.

Was bedeutet „Muster-Inhalte“ bei einer KI-Betriebsvereinbarung?

„Muster-Inhalte“ sind bewährte Textbausteine und Kapitel, die Sie als Vorlage nutzen können, um eine eigene Vereinbarung schneller zu erstellen. Wichtig: Muster ersetzen keine Prüfung auf Ihre konkrete Situation (Branche, Prozesse, eingesetzte Tools, Datenarten, Mitbestimmung). Für KMU ohne IT-Abteilung sind klare, einfache Regeln besonders hilfreich, weil sie „Shadow AI“ (ungeprüfte Tool-Nutzung) reduzieren und Verantwortlichkeiten eindeutig machen.

Typische Kapitel einer KI-Betriebsvereinbarung (Praxis-Muster)

  • Zweck & Geltungsbereich: Für welche Teams/Standorte/Tools gilt die Vereinbarung? Was ist „KI“ im Sinne der Firma (z. B. Generative KI (Generative AI), Chatbots, Übersetzer, Meeting-Tools)?
  • Zugelassene KI-Tools & Freigabeprozess: Liste erlaubter Tools (z. B. ChatGPT in einer Business-Variante) und ein schlanker Prozess, wie neue Tools beantragt und freigegeben werden (Owner, Prüfschritte, Dokumentation).
  • Erlaubte und verbotene Daten: Konkrete Beispiele: Kundendaten, Mitarbeiterdaten, Preise, Verträge, interne Strategien. Häufiger Kern: keine personenbezogenen Daten ohne Rechtsgrundlage und keine vertraulichen Inhalte in öffentliche KI-Tools. Verweis auf Datenschutz (DSGVO/GDPR) & KI.
  • Logging, Aufbewahrung & Transparenz: Was wird protokolliert (Prompts/Antworten, Tool-Nutzung, Exporte), wie lange, wer darf zugreifen, wofür darf es genutzt werden (z. B. Qualität, Sicherheit – nicht Leistungskontrolle). Passend dazu: Prompt-Response Logging (LLM-Logging).
  • Kontrolle & Leistungs-/Verhaltensüberwachung: Klare Grenzen: Keine verdeckte Überwachung, keine automatisierte Leistungsbewertung ohne definierte Regeln. Wenn Auswertungen nötig sind, dann aggregiert/anonymisiert und mit Zweckbindung.
  • Human-in-the-Loop & Verantwortlichkeit: KI liefert Vorschläge, Menschen entscheiden. Für externe Kommunikation (Angebote, Mails, Support) wird festgelegt, wann eine Freigabe nötig ist. Bezug: Human-in-the-Loop (HITL).
  • Qualität & Risiken (z. B. Halluzinationen): Mitarbeitende müssen KI-Ergebnisse prüfen, Quellen/Belege verlangen und keine „KI-Fakten“ ungeprüft übernehmen. Bezug: Halluzinationen (Hallucinations).
  • Sicherheitsregeln: Umgang mit Zugangsdaten, keine privaten Accounts, keine Weitergabe von API-Keys, Nutzung von SSO/2FA falls vorhanden. Optional: DLP/Schwärzung bei sensiblen Daten (z. B. PII Redaction (PII-Schwärzung)).
  • Schulung & KI-Kompetenz: Ein verpflichtendes Kurztraining (Do’s/Don’ts, Datenklassen, Prüfpflicht, Beispiele). Bezug: AI Literacy (KI-Kompetenz).
  • Einführung neuer KI-Anwendungsfälle: Mini-Risikocheck vor Rollout (Zweck, Daten, Betroffene, Provider, Logging, Freigaben). Bezug: AI Governance.
  • Rechte der Beschäftigten: Information, Beteiligung, Auskunft über eingesetzte Systeme, Ansprechpartner bei Problemen.
  • Incident-Prozess: Was tun bei Datenpanne, falscher KI-Ausgabe, Missbrauch? Meldewege, Fristen, Verantwortliche. Bezug: AI Incident Response (KI-Incident-Management).

Wie funktioniert das in der Praxis (einfacher Ablauf in 5 Schritten)?

  • 1) Ist-Aufnahme: Welche KI-Tools nutzen Teams bereits (auch „inoffiziell“)?
  • 2) Datenklassen festlegen: Was ist öffentlich, intern, vertraulich, personenbezogen?
  • 3) Tool-Freigabe definieren: Wer prüft Datenschutz/Verträge/Settings (z. B. Aufbewahrung, Training, Region)?
  • 4) Regeln & Schulung ausrollen: Kurzleitfaden + Pflichttraining + Ansprechpartner.
  • 5) Regelmäßig prüfen: Quartalsweise Review: neue Tools, neue Risiken, Lessons Learned.

Warum ist eine KI-Betriebsvereinbarung für KMU wichtig?

Sie schafft Rechtssicherheit, reduziert Daten- und Reputationsrisiken und verhindert Wildwuchs. Gleichzeitig erhöht sie Akzeptanz im Team, weil transparent ist, was erlaubt ist und dass KI nicht zur heimlichen Überwachung genutzt wird. Zudem hilft sie, Anforderungen aus Regulierung und Standards strukturiert anzugehen (z. B. EU AI Act – je nach Einsatz und Rolle Ihres Unternehmens).

Praxisbeispiel (typischer KMU-Use Case)

Ein Vertriebsteam nutzt ChatGPT für Angebotsentwürfe. Die Vereinbarung kann festlegen: keine Kundennamen/Vertragsdetails in Prompts, Nutzung eines freigegebenen Business-Accounts, stichprobenartige Qualitätsprüfung, Logging nur zur Sicherheitsanalyse, verpflichtende Endkontrolle durch den Mitarbeitenden vor Versand.

Hinweis: Dieser Glossar-Eintrag ist keine Rechtsberatung, sondern eine praxisorientierte Orientierung zu typischen Muster-Inhalten.