Bin ich gesetzlich verpflichtet, eine KI-Richtlinie zu haben?

Es gibt keine spezifische gesetzliche Pflicht für eine eigenständige KI-Richtlinie. Allerdings verlangt die DSGVO, dass Sie Verarbeitungstätigkeiten dokumentieren, angemessene Sicherheitsmaßnahmen umsetzen und sicherstellen, dass Mitarbeiter verantwortungsvoll mit personenbezogenen Daten umgehen. Eine KI-Nutzungsrichtlinie ist der praktischste Weg, diese Pflichten zu erfüllen, wenn Ihr Team KI-Tools einsetzt.

Welche KI-Tools sollte ich in die Richtlinie aufnehmen?

Jedes Tool, das künstliche Intelligenz oder maschinelles Lernen nutzt und das Ihre Mitarbeiter möglicherweise beruflich verwenden - ChatGPT, Microsoft Copilot, Google Gemini, Midjourney, KI-Funktionen in Ihrem CRM, KI-Transkriptionsdienste und ähnliche Services. Schließen Sie sowohl eigenständige KI-Tools als auch KI-Funktionen in bestehender Software ein.

Wie oft sollte ich die KI-Richtlinie aktualisieren?

Mindestens einmal jährlich. Aber auch wenn Sie neue KI-Tools einführen, wenn sich Vorschriften ändern (wie die KI-Verordnung der EU), oder wenn ein Vorfall eine Lücke aufzeigt. Die KI-Landschaft verändert sich schnell, daher reicht eine feste jährliche Überprüfung möglicherweise nicht aus.

Was wenn ein Mitarbeiter versehentlich personenbezogene Daten in ChatGPT eingibt?

Behandeln Sie es als mögliche Datenschutzverletzung. Dokumentieren Sie, was passiert ist, bewerten Sie das Risiko für die Betroffenen und folgen Sie Ihrem Verfahren zur Vorfallbehandlung. Je nach Schwere müssen Sie möglicherweise Ihre Aufsichtsbehörde innerhalb von 72 Stunden benachrichtigen und die betroffenen Personen informieren.

KI-Nutzungsrichtlinie - Praktischer DSGVO-Leitfaden für Unternehmen

Ihre Mitarbeiter nutzen bereits KI-Tools. Eine interne KI-Nutzungsrichtlinie schafft klare Regeln für den verantwortungsvollen Einsatz, schützt personenbezogene Daten und hält Ihr Unternehmen DSGVO-konform. Hier ist ein praktischer Leitfaden.

Ihr Team nutzt bereits KI - die Frage ist, ob Sie davon wissen

Die Realität sieht so aus: Ihre Mitarbeiter nutzen KI-Tools. Sie kopieren Kunden-E-Mails in ChatGPT, um Antworten zu entwerfen. Sie verwenden Copilot, um Besprechungsnotizen zusammenzufassen. Sie geben Daten in KI-Tools ein, um schneller zu arbeiten. Die meisten meinen es gut - sie wollen produktiv sein.

Das Problem ist nicht, dass sie KI nutzen. Das Problem ist, dass sie ohne klare Richtlinien keine Ahnung haben, was sicher eingegeben werden kann und was nicht. Ein falsches Einfügen - eine Kundenbeschwerde mit persönlichen Details, ein Lebenslauf, ein internes Dokument mit Finanzdaten - und Sie haben ein DSGVO-Problem.

Eine KI-Nutzungsrichtlinie löst dieses Problem. Sie sagt Ihrem Team, was erlaubt ist, was nicht, und was zu tun ist, wenn etwas schiefgeht. Sie muss kein juristisches Meisterwerk sein. Sie muss klar, praktisch und durchsetzbar sein.

Was die DSGVO beim Einsatz von KI-Tools verlangt

Bevor wir auf die Struktur der Richtlinie eingehen, sollten Sie verstehen, was die DSGVO tatsächlich fordert:

Dokumentation. Jedes KI-Tool, das personenbezogene Daten verarbeitet, muss in Ihrem Verarbeitungsverzeichnis erfasst sein. Welche Daten werden eingegeben? Zu welchem Zweck? Was ist die Rechtsgrundlage?
Auftragsverarbeitungsverträge. Wenn ein KI-Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Die meisten Enterprise-Versionen von ChatGPT, Copilot und Claude bieten diese an - kostenlose Versionen in der Regel nicht.
Transparenz. Wenn Sie KI einsetzen, um personenbezogene Daten von Kunden, Mitarbeitern oder anderen Personen zu verarbeiten, müssen Sie diese darüber informieren. Ihre Datenschutzerklärung sollte dies erwähnen.
Datenminimierung. Geben Sie nur die personenbezogenen Daten ein, die unbedingt erforderlich sind. Noch besser: Anonymisieren Sie Daten, bevor Sie sie in ein KI-Tool eingeben.
Übermittlungsgarantien. Die meisten KI-Anbieter verarbeiten Daten auf US-Servern. Das ist eine Übermittlung in ein Drittland nach der DSGVO, die angemessene Garantien erfordert.

Unser Begleitartikel zu KI-Tools und Datenschutz behandelt den rechtlichen Hintergrund ausführlicher. Dieser Artikel konzentriert sich auf die praktische Richtlinie, die Sie intern brauchen.

Die 10 Abschnitte, die Ihre KI-Richtlinie abdecken sollte

1. Geltungsbereich - für wen gilt das?

Machen Sie es deutlich: Die Richtlinie gilt für alle, die für Ihre Organisation tätig sind. Mitarbeiter, Freiberufler, Praktikanten, Zeitarbeiter, Auftragnehmer. Wenn sie KI-Tools für eine berufliche Aufgabe nutzen, gilt die Richtlinie für sie.

Legen Sie fest, was als “KI-Tool” zählt - nicht nur ChatGPT, sondern auch KI-Funktionen in bestehender Software wie intelligente Textvorschläge in E-Mails, KI-Zusammenfassungen in Ihrem CRM oder KI-Transkriptionsdienste.

2. Genehmigte vs. nicht genehmigte Tools

Führen Sie eine klare Liste genehmigter KI-Tools. Dokumentieren Sie für jedes Tool:

Name des Tools und Anbieter
Welche Abonnementstufe genehmigt ist (Enterprise vs. kostenlos - das macht für die DSGVO-Konformität einen Unterschied)
Ob ein Auftragsverarbeitungsvertrag vorliegt
Wofür das Tool genutzt werden darf
Eventuelle Einschränkungen bei der Dateneingabe

Jedes KI-Tool, das nicht auf der genehmigten Liste steht, ist für berufliche Zwecke tabu. Es geht nicht darum, restriktiv zu sein - es geht darum zu wissen, welche Tools Ihre Daten verarbeiten und unter welchen Bedingungen.

Überprüfen Sie diese Liste vierteljährig. Neue KI-Tools erscheinen ständig, und Ihre Mitarbeiter werden danach fragen.

3. Verbotene Daten - was NIEMALS in KI-Tools eingegeben werden darf

Dies ist der wichtigste Abschnitt. Seien Sie sehr konkret darüber, was Mitarbeiter niemals in ein KI-Tool eingeben dürfen:

Sensible personenbezogene Daten (Artikel 9 DSGVO): rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, Gesundheitsdaten, sexuelle Orientierung
Vertrauliche Geschäftsdaten: Jahresabschlüsse, strategische Pläne, Fusions- oder Übernahmedetails, Investorenkommunikation
NDA-geschützte Materialien: alles, was unter Geheimhaltungsvereinbarungen mit Kunden oder Partnern fällt
Geistiges Eigentum: proprietärer Code, Geschäftsgeheimnisse, unveröffentlichte Patente, Produktentwürfe
Personalakten: Leistungsbeurteilungen, Disziplinarakten, Gehaltsdetails, Arbeitsunfallberichte, Streitdokumentation

Machen Sie es leicht zu merken: Wenn die Daten personenbezogen, vertraulich oder sensibel sind, gehören sie nicht in ein KI-Tool.

4. Erlaubte Anwendungsfälle - was IST erlaubt

Gleichen Sie die Einschränkungen mit klaren Beispielen aus, was Mitarbeiter tun dürfen. Das verhindert, dass die Richtlinie wie ein Totalverbot wirkt:

Allgemeine Texte erstellen (Marketingtexte, Blogentwürfe, E-Mail-Vorlagen) ohne personenbezogene Daten
Brainstorming, Argumente strukturieren oder Schreibfeedback einholen
Nicht-vertrauliche, nicht-persönliche Inhalte übersetzen
Öffentlich verfügbare Informationen zusammenfassen
Code-Snippets für nicht-sensible interne Tools generieren
Präsentationsentwürfe auf Basis öffentlicher Informationen erstellen

Das Grundprinzip: Wenn die Eingabe keine personenbezogenen Daten und keine vertraulichen Geschäftsinformationen enthält, sind die meisten genehmigten KI-Tools unbedenklich nutzbar.

5. Pflicht zur menschlichen Überprüfung

Alle KI-generierten Inhalte müssen von einem Menschen überprüft werden, bevor sie verwendet, versendet oder veröffentlicht werden. Keine Ausnahmen.

KI-Tools machen Fehler. Sie produzieren falsche Informationen mit Überzeugung. Sie können voreingenommene Inhalte erzeugen. Sie reproduzieren manchmal urheberrechtlich geschütztes Material. Ihre Mitarbeiter müssen KI-Ergebnisse auf Richtigkeit, Voreingenommenheit und Angemessenheit prüfen, bevor sie den Schreibtisch verlassen.

Das ist besonders wichtig bei externer Kommunikation, kundenorientierten Inhalten und Entscheidungen, die Personen betreffen.

6. Regeln für automatisierte Entscheidungsfindung

Wenn KI eingesetzt wird, um Entscheidungen über Menschen zu treffen oder zu unterstützen - Bewerbungen sichten, Mitarbeiterleistungen bewerten, Kreditwürdigkeit berechnen, Kundenprofilierung - gilt Artikel 22 der DSGVO.

Ihre Richtlinie muss klar festlegen: Jeder Einsatz von KI zur automatisierten Entscheidungsfindung über Personen erfordert die vorherige Genehmigung der Geschäftsführung und, falls erforderlich, Ihres Datenschutzkoordinators oder Rechtsberaters. Eine Datenschutz-Folgenabschätzung (DSFA) kann erforderlich sein. Menschliches Eingreifen muss immer gewährleistet sein.

7. Governance und Verantwortlichkeit

Legen Sie fest, wer für die Richtlinie verantwortlich ist:

Die Geschäftsführung trägt die letztendliche Verantwortung für die Einhaltung
Ein benannter Datenschutzkoordinator (oder DSB, falls vorhanden) überwacht die Umsetzung und beantwortet Fragen
Teamleiter stellen sicher, dass ihre Teams die Richtlinie in der Praxis befolgen
Jeder Mitarbeiter ist persönlich für die Einhaltung der Regeln verantwortlich

Klären Sie auch die Konsequenzen: Verstößen gegen die KI-Richtlinie werden wie jeder andere Verstoß gegen Unternehmensrichtlinien behandelt und können disziplinarische Maßnahmen nach sich ziehen.

8. Schulung und Sensibilisierung

Eine Richtlinie, die niemand liest, ist nutzlos. Nehmen Sie in Ihre Richtlinie auf:

Alle neuen Mitarbeiter erhalten während des Onboardings eine Schulung zur KI-Richtlinie
Jährliche Auffrischungsschulung für alle Mitarbeiter
Aktualisierungen werden kommuniziert, wenn sich die Richtlinie oder die Liste genehmigter Tools ändert
Eine klare Anlaufstelle für Fragen (“Nicht sicher, ob Sie ein Tool verwenden dürfen? Fragen Sie Ihren Datenschutzkoordinator, bevor Sie anfangen”)

Die Schulung muss nicht aufwändig sein. Eine 30-minütige Sitzung mit praktischen Beispielen und einer Fragerunde ist wirksamer als ein zweistündiger Vortrag.

9. Vorfallbehandlung

Was passiert, wenn jemand versehentlich personenbezogene Daten in ein KI-Tool eingibt? Ihre Richtlinie braucht ein klares Vorfallverfahren:

Stoppen Sie sofort die Nutzung des Tools für diese Daten
Melden Sie den Vorfall dem Datenschutzkoordinator (innerhalb von 24 Stunden)
Dokumentieren Sie, welche Daten eingegeben wurden, welches Tool verwendet wurde und wann es passiert ist
Bewerten Sie das Risiko - können die Daten gelöscht werden? War das Training aktiviert? Welche möglichen Auswirkungen gibt es für die Betroffenen?
Folgen Sie Ihrem Datenschutzverletzungsverfahren, falls erforderlich (Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, Benachrichtigung der Betroffenen bei hohem Risiko)

Machen Sie die Meldung einfach und vorwurfsfrei. Wenn Mitarbeiter Angst vor Bestrafung haben, werden sie Fehler verbergen statt sie zu melden - was die Situation verschlimmert.

10. Überprüfungszyklus

Die KI-Landschaft verändert sich schnell. Ihre Richtlinie sollte überprüft werden:

Mindestens jährlich
Wenn ein neues KI-Tool eingeführt wird
Nach jedem Vorfall, der eine Lücke aufzeigt
Wenn sich relevante Vorschriften ändern (wie die Umsetzung der EU-KI-Verordnung)

Benennen Sie eine bestimmte Person oder ein Team, das für die Überprüfung verantwortlich ist, und dokumentieren Sie das Überprüfungsdatum in der Richtlinie selbst.

Praktische Tipps: So starten Sie

Fangen Sie einfach an. Ein klares zweiseitiges Dokument ist besser als eine umfassende 20-seitige Richtlinie, die niemand liest. Sie können später erweitern.

Binden Sie Ihr Team ein. Fragen Sie Ihre Mitarbeiter, welche KI-Tools sie bereits nutzen. Sie werden überrascht sein. Gemeinsam die Richtlinie zu entwickeln schafft Akzeptanz.

Verwenden Sie echte Beispiele. “Geben Sie keine sensiblen Daten ein” ist vage. “Fügen Sie keine Kundenbeschwerde-E-Mail in ChatGPT ein” ist konkret.

Machen Sie sie zugänglich. Veröffentlichen Sie die Richtlinie dort, wo Mitarbeiter sie finden können - im Intranet, auf dem gemeinsamen Laufwerk oder im Mitarbeiterhandbuch. Nicht versteckt in einem SharePoint-Ordner, den niemand öffnet.

Verbessern Sie kontinuierlich. Ihre erste Version wird nicht perfekt sein. Evaluieren Sie nach drei Monaten, sammeln Sie Feedback und passen Sie an.

Wie GDPRWise hilft

GDPRWise erleichtert es, den Einsatz von KI-Tools in Ihre umfassende DSGVO-Compliance zu integrieren:

Verarbeitungsverzeichnis: Erfassen Sie jedes KI-Tool als Auftragsverarbeiter, dokumentieren Sie die verarbeiteten Daten, die Rechtsgrundlage und ob ein Auftragsverarbeitungsvertrag vorliegt
Mitarbeiter-Datenschutzrichtlinie: Verweisen Sie auf Ihre KI-Nutzungsrichtlinie innerhalb der Mitarbeiter-Datenschutzdokumentation, die GDPRWise Ihnen hilft zu erstellen
Website-Scan: Erkennen Sie KI-basierte Drittanbieterdienste auf Ihrer Website, die Sie möglicherweise noch nicht dokumentiert haben

Eine KI-Richtlinie ist ein Puzzleteil. Sicherzustellen, dass sie mit Ihrem Verarbeitungsverzeichnis, Ihren Datenschutzerklärungen und Ihrer gesamten DSGVO-Akte verknüpft ist, macht sie in der Praxis wirksam.

auto_awesome Ihre DSGVO-Akte in Ordnung bringen?

GDPRWise scannt Ihre Website, erkennt Verarbeitungstätigkeiten und Drittanbieter und hilft Ihnen, Ihre vollständige DSGVO-Akte aufzubauen - einschließlich Ihrem Verarbeitungsverzeichnis mit allen KI-Tools dokumentiert.

Kostenlosen Scan starten

So Erstellen Sie eine KI-Nutzungsrichtlinie für Ihr Unternehmen