KI-Nutzungsrichtlinie (Acceptable Use) für Mitarbeitende

Eine KI-Nutzungsrichtlinie (Acceptable Use) für Mitarbeitende ist ein kurzer, verbindlicher Regelkatalog, der festlegt, was Beschäftigte mit KI-Tools im Arbeitsalltag dürfen – und was ausdrücklich verboten ist. Im Kern schützt sie Kundendaten, interne Informationen und Geschäftsgeheimnisse und sorgt dafür, dass KI-Ergebnisse verantwortungsvoll genutzt und geprüft werden.

Was regelt eine KI-Nutzungsrichtlinie konkret?

Für KMU ohne IT-Abteilung ist das Ziel pragmatisch: Risiken reduzieren, ohne Innovation abzuwürgen. Typische Regelbereiche sind:

• Zulässige Tools: Welche KI-Tools sind erlaubt (z. B. freigegebene Accounts/Anbieter) und welche nicht (z. B. private „Schatten-Tools“ = Shadow AI).
• Erlaubte Anwendungsfälle: z. B. Textentwürfe, Zusammenfassungen, Ideenfindung, Übersetzungen, einfache Recherche – mit klarer Kennzeichnung, wo KI genutzt wurde.
• Verbotene Eingaben: Keine personenbezogenen Daten (DSGVO), keine Kundenlisten, keine Gesundheitsdaten, keine Passwörter/Keys, keine internen Verträge, keine nicht-öffentlichen Zahlen, keine vertraulichen Angebote.
• Umgang mit Ergebnissen: KI kann halluzinieren (siehe Halluzinationen (Hallucinations)). Inhalte müssen geprüft werden, bevor sie an Kunden gehen oder in Entscheidungen einfließen.
• Urheberrecht & Quellen: KI-Texte/Bilder sind nicht automatisch „frei nutzbar“. Regeln zu Lizenzen, Zitaten und Freigaben (siehe Copyright & KI (Urheberrecht)).
• Transparenz: Wann muss offengelegt werden, dass KI genutzt wurde (z. B. im Kundensupport oder bei Marketingtexten).

Wie funktioniert das in der Praxis? (Ein 5-Schritte-Ansatz)

• 1) Daten klassifizieren: Was ist öffentlich, intern, vertraulich, streng vertraulich? (siehe Data Classification (Datenklassifizierung))
• 2) „Do/Don’t“-Liste definieren: Konkrete Beispiele, was in ChatGPT & Co. eingegeben werden darf – und was nicht.
• 3) Freigegebene Tools festlegen: Wer darf welche Tools nutzen, mit welchen Accounts/Settings (z. B. Aufbewahrung/Training deaktivieren, wenn verfügbar).
• 4) Review-Regeln einführen: z. B. „Kein KI-Text ohne menschliche Endkontrolle“ bei Kundenkommunikation, Angeboten oder rechtlichen Themen (siehe Human-in-the-Loop (HITL)).
• 5) Kurz schulen & wiederholen: 30–60 Minuten Einweisung, dann regelmäßige Updates, wenn neue Tools/Use Cases hinzukommen.

Beispiele: Erlaubt vs. verboten

• Erlaubt: „Formuliere eine freundliche Antwort auf eine Terminverschiebung“ (ohne Kundennamen, ohne Details), „Erstelle eine Gliederung für einen Blogartikel“, „Fasse diesen allgemeinen Fachtext zusammen“.
• Verboten: „Hier ist der Vertrag mit Kunde X – prüfe die Klauseln“, „Hier ist unsere Preisliste und Marge – optimiere das Angebot“, „Hier sind Personalakten – fasse zusammen“, „Hier ist ein API-Key/Passwort – baue mir eine Integration“ (siehe Secrets Management (Schlüsselverwaltung)).

Warum ist das für KMU besonders wichtig?

In kleinen Teams wird KI oft „einfach mal ausprobiert“. Genau dadurch entstehen typische Risiken: Datenabfluss, DSGVO-Verstöße (siehe Datenschutz (DSGVO/GDPR) & KI), unbemerkte Fehler in Kundenmails oder Angebote sowie Reputationsschäden. Eine klare Acceptable-Use-Regel spart Ihnen Diskussionen, standardisiert sichere Nutzung und macht KI im Alltag skalierbar.

Was kostet eine KI-Nutzungsrichtlinie?

Wenn Sie sie intern erstellen, sind die Hauptkosten Zeit (meist 2–6 Stunden für eine erste Version). Mit externer Unterstützung (z. B. Datenschutz/Compliance/AI Governance) liegen einfache, KMU-taugliche Richtlinien häufig im Bereich „ab ein paar hundert bis wenige tausend Euro“ – abhängig von Branche, Sensibilität der Daten und gewünschter Tiefe (siehe AI Governance).