Ihre Mitarbeitenden nutzen KI genau jetzt. Einige mit Erlaubnis. Die meisten wahrscheinlich ohne.
Die Forschung zeichnet ein konsistentes Bild: Beschäftigte übernehmen KI-Werkzeuge schneller, als Unternehmen Richtlinien dazu schreiben können, und 68 % der Mitarbeitenden, die ChatGPT bei der Arbeit nutzen, tun das, ohne es ihrer Führungskraft zu sagen. So entsteht eine Lage, in der Organisationen reale Haftungsrisiken tragen, während sie so tun, als gäbe es das Problem nicht.
Der Reflex ist, alles zu verbieten. Dichtmachen. Problem gelöst.
Nur: Dieser Ansatz hat noch bei keiner Technologie funktioniert, und hier wird er es auch nicht. Menschen finden Umgehungen, weil die Werkzeuge zu nützlich sind, um sie zu ignorieren, und aus Schatten-IT wird Schatten-KI, die komplett außerhalb Ihrer Sichtbarkeit läuft.
Also brauchen Sie eine Richtlinie. Aber hier ist die unbequeme Wahrheit, die Ihnen die meisten Ratgeber nicht sagen: Das Papier selbst ist weit weniger wichtig als die Frage, ob Menschen es tatsächlich befolgen. Ein perfektes Dokument, das unbeachtet in SharePoint liegt, schützt gar nichts.
Die beiden Richtlinien-Extreme, die beide scheitern
Organisationen pendeln gern zwischen zwei Polen. Keiner funktioniert.
Das Totalverbot
Samsung hat bekanntlich alle generativen KI-Werkzeuge unternehmensweit verboten, nachdem Mitarbeitende versehentlich vertraulichen Quellcode preisgegeben hatten, indem sie ChatGPT baten, ihn zu prüfen. Der Vorfall machte Schlagzeilen und löste branchenübergreifend Unternehmenspanik aus.
Verbote fühlen sich sicher an. Sie schaffen klare Regeln und beseitigen Grauzonen, die Juristen nervös machen. Sie drücken die KI-Nutzung aber auch in den Untergrund, wo sie unsichtbar und nicht mehr steuerbar wird.
Ein Kommentator auf Hacker News brachte diese Spannung direkt auf den Punkt: “We are forcing non-use because of compliance. There is a fear that the models will scan and steal our proprietary code.”
Diese Angst ist real. Aber ein pauschales Verbot erzeugt eigene Risiken, wenn Mitarbeitende private Geräte und KI-Angebote für Endnutzer nutzen, um Beschränkungen zu umgehen, und so Datenabflüsse entstehen, die Ihr IT-Team nicht einmal sehen kann.
Der Freifahrtschein
Das andere Extrem ist gar keine Richtlinie. Sollen die Leute es selbst herausfinden, ihrem Urteilsvermögen vertrauen, schnell vorangehen und später anpassen.
Dieser Ansatz behandelt KI wie eine persönliche Produktivitätsentscheidung statt wie ein organisatorisches Risiko. Er übersieht, dass Mitarbeitende jedes Mal, wenn sie Informationen in eine Eingabe kopieren, Entscheidungen zur Datenhandhabung treffen – und die meisten haben nie darüber nachgedacht, wie Trainingsdaten-Richtlinien aussehen oder wo ihre Eingaben am Ende landen könnten.
Manche Unternehmen sind noch weiter gegangen als laissez-faire. Ein anderer Hacker-News-Nutzer berichtete von der Vorgabe seines Arbeitgebers: “At least 20 % of code must be AI generated with the goal of at least 80 % by the end of the year.”
Aggressive Einführungsziele ohne passende Leitplanken erzeugen Druck, KI überall einzusetzen – egal, ob es sinnvoll ist. Wenn die Kennzahl KI-Nutzung heißt statt Ergebnisqualität, finden Menschen Wege, die Zahl zu treffen, ob es zu ihrer konkreten Arbeit passt oder nicht.
Was Richtlinien wirklich abdecken sollten
Wirksame KI-Richtlinien haben gemeinsame Bausteine, aber die Gewichtung variiert je nach Branche, Risikotoleranz und Organisationskultur. Starten Sie mit diesen fünf Bereichen und passen Sie sie von dort aus an.
Genehmigte Werkzeuge und Zugriff
Seien Sie konkret, welche KI-Werkzeuge für die Arbeit im Unternehmen zugelassen sind. Unternehmensversionen von KI-Werkzeugen haben oft andere Bedingungen zur Datenverarbeitung als Endnutzer-Versionen – und dieser Unterschied ist entscheidend.
Die kostenlose Version von ChatGPT und die Unternehmensversion haben grundlegend unterschiedliche Datenschutzgarantien. Die Gratisversion kann Ihre Eingaben zum Trainieren künftiger Modelle verwenden. Die Unternehmensversion tut das in der Regel nicht. Ihre Richtlinie sollte widerspiegeln, welche Varianten akzeptabel sind und welche verboten.
Nehmen Sie außerdem einen Prozess auf, um neue Werkzeuge zu beantragen. KI-Fähigkeiten verschieben sich schnell, und Ihre Liste genehmigter Werkzeuge muss aktualisiert werden. Bauen Sie einen schlanken Prüfprozess, statt Menschen zu veralteten Werkzeugen zu zwingen oder sie in Umgehungen zu treiben.
Datenklassifizierung
Hier gewinnen oder verlieren die meisten Richtlinien. Sie brauchen klare, konkrete Regeln dazu, welche Informationen mit KI-Werkzeugen geteilt werden dürfen – und welche nicht.
Vage Hinweise wie „gehen Sie mit sensiblen Daten verantwortungsvoll um“ helfen in der Praxis nicht. Menschen brauchen greifbare Kategorien, die sie anwenden können, ohne jedes Mal die Rechtsabteilung zu bemühen, wenn sie eine E-Mail entwerfen wollen.
Denken Sie in Stufen: Daten, die niemals mit KI geteilt werden dürfen – unabhängig vom Werkzeug (personenbezogene Kundendaten, Zugangsdaten, unveröffentlichte Finanzzahlen), Daten, die nur mit genehmigten Unternehmenswerkzeugen geteilt werden dürfen (interne Dokumente, allgemeine Geschäftsinformationen), und Daten, die frei geteilt werden können (öffentliche Informationen, allgemeine Wissensfragen).
Das Ziel ist nicht, jedes Risiko zu eliminieren. Das Ziel ist, die Risikorechnung so einfach zu machen, dass Menschen die Regeln ohne übermäßige Reibung befolgen können.
Zulässige Anwendungsfälle
Welche Aufgaben darf KI unterstützen – und was ist tabu?
KI ist stark beim Entwerfen, Zusammenfassen, Brainstorming und bei Routinearbeit mit Text. Sie ist schwach bei faktischer Genauigkeit, feinem Abwägen und allem, was echtes Verständnis Ihres konkreten Geschäftskontexts erfordert.
Die meisten Richtlinien sollten KI verbieten, Entscheidungen zu treffen, die einzelne Personen betreffen: Einstellen, Entlassen, Leistungsbeurteilungen, Kreditentscheidungen. Die Kombination aus der Neigung der KI zu selbstsicheren Fehlern und der Tragweite solcher Entscheidungen erzeugt ein inakzeptables Risiko.
Genauso sollten rechtliche Dokumente, regulatorische Einreichungen und jede Kommunikation, bei der Sie Genauigkeit garantieren müssen, menschliche Erstellung statt KI-Unterstützung verlangen. KI kann bei Recherche und Entwurf helfen – aber Menschen müssen das Endprodukt verantworten.
Qualitätsstandards
Jede Richtlinie sollte anerkennen, dass KI Fehler macht. Halluzinationen sind keine Programmfehler, die Anbieter irgendwann „beheben“ werden. Sie sind dem Funktionsprinzip großer Sprachmodelle inhärent.
Definieren Sie Prüfanforderungen nach der Tragweite des Ergebnisses. Interne Brainstorming-Notizen brauchen vielleicht nur eine Selbstprüfung. Kommunikation an Kunden sollte eine kollegiale Prüfung oder Freigabe durch die Führungskraft erfordern. Alles mit rechtlichen oder regulatorischen Implikationen braucht die Verifikation durch Fachexperten.
Sagen Sie ausdrücklich, dass KI-generierte Statistiken, Zitate und Quellenangaben unabhängig überprüft werden müssen. KI erfindet mit großer Sicherheit Quellen, die es nicht gibt, und Zahlen, die nie veröffentlicht wurden. Wer KI-Ausgaben schon einmal einem Faktencheck unterzogen hat, weiß: Das passiert ständig.
Offenlegungspflichten
Wann muss KI-Nutzung offengelegt werden? Darauf gibt es keine universelle Antwort, aber Ihre Richtlinie sollte eine für Ihre Organisation liefern.
Manche Kontexte verlangen klar eine Offenlegung: jede Situation, in der jemand vernünftigerweise erwarten würde, mit einem Menschen zu interagieren, jede Veröffentlichung, bei der Urheberschaft zählt, jede regulierte Kommunikation, bei der eine Offenlegung rechtlich erforderlich sein könnte.
Andere Kontexte brauchen nicht zwingend eine Offenlegung: KI als Entwurfswerkzeug mit starker menschlicher Überarbeitung, KI für Recherche oder Vorbereitung, die menschliche Arbeit unterstützt, Routine-Nutzung zur Produktivität, bei der das Endergebnis menschliches Urteil widerspiegelt.
Die Grenze zwischen diesen Kategorien enthält Ermessensentscheidungen, bei denen Ihre Richtlinie Orientierung geben sollte.
Die Fehler, die Richtlinien töten
Gute Absichten produzieren ständig schlechte Richtlinien. Achten Sie auf diese Muster.
Für Juristen statt für Menschen schreiben
Richtlinien, die von Rechtsabteilungen entworfen werden, lesen sich oft wie juristische Dokumente. Sie decken jeden Sonderfall ab, verwenden präzise Terminologie und bieten umfassenden Schutz vor Haftung.
Sie bleiben aber auch ungelesen, weil normale Mitarbeitende aus dichtem Juristendeutsch keine umsetzbaren Handlungsregeln herausziehen können. Wenn Ihre Richtlinie erst von jemandem mit Juraabschluss interpretiert werden muss, wird sie von allen ohne diesen Abschluss ignoriert.
Schreiben Sie für die Person, die schnell entscheiden muss, ob sie etwas in ChatGPT einfügen darf. Machen Sie diese Entscheidung leicht. Bewahren Sie den umfassenden Rechtsrahmen für die interne Dokumentation auf, die Ihre Rechtsabteilung pflegt.
So tun, als stünde die Technik still
KI-Fähigkeiten ändern sich monatlich. Claude, GPT, Gemini und Dutzende andere Werkzeuge veröffentlichen ständig Aktualisierungen. Funktionen, die experimentell waren, werden Standard. Neue Risiken entstehen, während alte abgefedert werden.
Richtlinien, die 2023 für ChatGPT geschrieben wurden, passen 2026 womöglich nicht mehr zur KI-Landschaft. Bauen Sie Überprüfungszyklen ein und geben Sie die Verantwortung jemandem, der diese Überprüfungen auch wirklich durchführt. Jährlich ist wahrscheinlich zu langsam. Vierteljährlich kann für schnelllebige Organisationen angemessen sein.
Schulungen komplett weglassen
Eine Richtlinie, die nur in Dokumentation existiert, existiert nicht. Menschen brauchen Schulungen, um Regeln zu verstehen, Kontext, um das Warum zu verstehen, und Übung, um Leitlinien in echten Situationen anzuwenden.
Eine SHRM-Studie fand, dass 75 % der Beschäftigten erwarten, dass sich ihre Rollen durch KI in den nächsten fünf Jahren verändern, aber nur 45 % in letzter Zeit Weiterqualifizierung erhalten haben. Diese Lücke zwischen Erwartung und Vorbereitung erzeugt Verwirrung, Angst und Richtlinienverstöße, die aus Unwissen entstehen statt aus Böswilligkeit.
Planen Sie Zeit für Schulungen ein. Machen Sie sie interaktiv, statt nur ein Dokument zu verteilen. Nehmen Sie reale Szenarien auf, denen Menschen tatsächlich begegnen werden.
Regeln aufstellen, die niemand durchsetzt
Richtlinien ohne Konsequenzen sind Vorschläge. Entscheiden Sie vor der Veröffentlichung, wie Verstöße behandelt werden, und kommunizieren Sie das klar.
Das heißt nicht, jeden Fehler als Kündigungsgrund zu behandeln. Verhältnismäßige Reaktionen funktionieren besser: informelle Korrektur bei kleinen Verstößen, formale Dokumentation bei wiederholten Problemen, ernsthafte Konsequenzen bei absichtlicher Datenpreisgabe.
Was die Glaubwürdigkeit einer Richtlinie zerstört, ist Inkonsistenz. Wenn Führungskräfte Regeln ignorieren, die für alle gelten, oder wenn Verstöße je nach Person unterschiedlich behandelt werden, verliert Ihre Richtlinie jede Autorität.
Die Realität der Schatten-KI ignorieren
So zu tun, als würden Mitarbeitende keine privaten KI-Werkzeuge nutzen, macht es nicht wahr. Jede ehrliche Richtlinie erkennt diese Realität an und bietet Wege, damit umzugehen.
Wenn Ihre genehmigten Werkzeuge deutlich schlechter sind als die Angebote für Endnutzer, werden Menschen die Endnutzer-Angebote verwenden. Wenn Ihr Genehmigungsprozess Monate dauert, werden Menschen ihn umgehen. Wenn Ihre Einschränkungen bei Routineaufgaben übermäßige Reibung erzeugen, werden Menschen Wege finden, diese Reibung zu reduzieren.
Die Richtlinie, die Sie brauchen, ist eine, die regelkonformes Verhalten zum Weg des geringsten Widerstands macht – nicht eine, die darauf setzt, dass Menschen den schwereren Weg wählen, weil es in einem Dokument steht.
Richtlinien praxisnah halten
Die besten KI-Richtlinien haben eine Eigenschaft, die schwer zu definieren, aber leicht zu erkennen ist: Sie wirken vernünftig. Sie erkennen berechtigte Sorgen an, ohne bürokratische Hürden zu schaffen, die keinen echten Zweck erfüllen.
Mit Prinzipien beginnen, dann Regeln ergänzen
Bevor Sie konkrete Regeln schreiben, formulieren Sie die Prinzipien dahinter. Menschen können Prinzipien auf neue Situationen anwenden, die Regeln nicht vorhersehen.
Das Prinzip könnte sein: Wir wollen, dass unsere Mitarbeitenden von KI profitieren, während wir Daten schützen, die Kunden oder dem Unternehmen schaden könnten, wenn sie offengelegt werden. Dieses Prinzip leitet Entscheidungen, wenn das Regelwerk keine Antwort hat.
Regeln werden dann zu Beispielen für Prinzipien in Aktion, statt zu einer erschöpfenden Liste, die impliziert, alles, was nicht verboten ist, sei erlaubt.
Regelkonformes Verhalten leicht machen
Jede Reibungsstelle in Ihrer Richtlinie ist eine Gelegenheit für einen Verstoß. Jedes Mal, wenn jemand anhalten, nachdenken, einen Genehmigungsprozess durchlaufen oder ein schlechteres Werkzeug nutzen muss, schaffen Sie einen Anreiz, die Regeln zu umgehen.
Prüfen Sie Ihre Richtlinie aus Sicht der Nutzenden. Was kostet es tatsächlich, sich regelkonform zu verhalten? Wenn Regelkonformität erheblichen Aufwand erfordert, fragen Sie, ob dieser Aufwand eine verhältnismäßige Risikoreduktion liefert. Manchmal ist die Antwort ja. Oft nicht.
Rückkopplungsschleifen bauen
Ihre Richtlinie wird Lücken und Fehler haben. Die Menschen, die unter ihr leben, wissen, wo diese Probleme liegen. Schaffen Sie Wege, damit sie Probleme ohne Angst ansprechen können.
Regelmäßige Umfragen, anonyme Feedback-Kanäle, Sprechstunden, in denen Menschen ohne Urteil Fragen stellen können: Solche Mechanismen fangen Probleme ab, bevor sie zu Vorfällen werden, und lassen Menschen sich gehört fühlen statt überwacht.
Unvollkommenheit akzeptieren
Keine Richtlinie eliminiert jedes Risiko. Perfekte Regelkonformität ist nicht erreichbar – und auch nicht unbedingt wünschenswert, wenn sie auf Kosten der Produktivität geht.
Das Ziel ist Risikoreduktion auf akzeptable Niveaus, nicht Risikobeseitigung. Definieren Sie, was „akzeptabel“ für Ihre Organisation bedeutet, und gestalten Sie eine Richtlinie, die das erreicht, ohne von allen jederzeit Perfektion zu verlangen.
Anfangen, ohne bei null zu starten
Wenn Sie keine Richtlinie haben, fangen Sie klein an. Decken Sie zuerst die Szenarien mit dem höchsten Risiko ab: welche Daten niemals geteilt werden dürfen, welche Entscheidungen KI nicht treffen darf, welche Prüfung für externe Kommunikation erforderlich ist. Von dort aus können Sie erweitern.
Wenn Sie eine Richtlinie haben, die nicht funktioniert, widerstehen Sie dem Impuls, alles von Grund auf neu zu bauen. Sprechen Sie mit den Menschen darüber, was scheitert. Oft sind die Probleme lösbar, ohne alles komplett zu ersetzen.
Richtlinie ist kein Dokument. Sie ist ein laufendes Gespräch zwischen der Organisation und den Menschen, die dort arbeiten, darüber, wie man mächtige Werkzeuge verantwortungsvoll nutzt. Das Dokument hält nur fest, wo dieses Gespräch gerade gelandet ist.
Organisationen, die KI-Richtlinien richtig machen, behandeln sie wie etwas Lebendiges: regelmäßig überprüft, offen diskutiert, anhand von Erfahrung angepasst. Die, die es falsch machen, produzieren ein Dokument und vergessen es, bis ein Vorfall Aufmerksamkeit erzwingt.
Ihr Team nutzt KI bereits. Die Frage ist, ob es das sicher tut – und ob Sie Sicherheit zur einfachen Wahl gemacht haben. Genau das leistet eine gute Richtlinie. Nicht Einschränkung um der Einschränkung willen, sondern Leitplanken, die Menschen schnell vorankommen lassen, ohne über die Klippe zu fahren.
Welche Art von Richtlinie haben Sie?
