Bin ich gesetzlich verpflichtet, eine KI-Richtlinie zu haben?

Es gibt keine spezifische gesetzliche Pflicht fur eine eigenstandige KI-Richtlinie. Allerdings verlangt die DSGVO, dass Sie Verarbeitungstatigkeiten dokumentieren, angemessene Sicherheitsmassnahmen umsetzen und sicherstellen, dass Mitarbeiter verantwortungsvoll mit personenbezogenen Daten umgehen. Eine KI-Nutzungsrichtlinie ist der praktischste Weg, diese Pflichten zu erfullen, wenn Ihr Team KI-Tools einsetzt.

Welche KI-Tools sollte ich in die Richtlinie aufnehmen?

Jedes Tool, das kunstliche Intelligenz oder maschinelles Lernen nutzt und das Ihre Mitarbeiter moglicherweise beruflich verwenden - ChatGPT, Microsoft Copilot, Google Gemini, Midjourney, KI-Funktionen in Ihrem CRM, KI-Transkriptionsdienste und ahnliche Services. Schliessen Sie sowohl eigenstandige KI-Tools als auch KI-Funktionen in bestehender Software ein.

Wie oft sollte ich die KI-Richtlinie aktualisieren?

Mindestens einmal jahrlich. Aber auch wenn Sie neue KI-Tools einfuhren, wenn sich Vorschriften andern (wie die KI-Verordnung der EU), oder wenn ein Vorfall eine Lucke aufzeigt. Die KI-Landschaft verandert sich schnell, daher reicht eine feste jahrliche Uberprufung moglicherweise nicht aus.

Was wenn ein Mitarbeiter versehentlich personenbezogene Daten in ChatGPT eingibt?

Behandeln Sie es als mogliche Datenschutzverletzung. Dokumentieren Sie, was passiert ist, bewerten Sie das Risiko fur die Betroffenen und folgen Sie Ihrem Verfahren zur Vorfallbehandlung. Je nach Schwere mussen Sie moglicherweise Ihre Aufsichtsbehorde innerhalb von 72 Stunden benachrichtigen und die betroffenen Personen informieren.

KI-Nutzungsrichtlinie - Praktischer DSGVO-Leitfaden fur Unternehmen

Ihre Mitarbeiter nutzen bereits KI-Tools. Eine interne KI-Nutzungsrichtlinie schafft klare Regeln fur den verantwortungsvollen Einsatz, schutzt personenbezogene Daten und halt Ihr Unternehmen DSGVO-konform. Hier ist ein praktischer Leitfaden.

Ihr Team nutzt bereits KI - die Frage ist, ob Sie davon wissen

Die Realitat sieht so aus: Ihre Mitarbeiter nutzen KI-Tools. Sie kopieren Kunden-E-Mails in ChatGPT, um Antworten zu entwerfen. Sie verwenden Copilot, um Besprechungsnotizen zusammenzufassen. Sie geben Daten in KI-Tools ein, um schneller zu arbeiten. Die meisten meinen es gut - sie wollen produktiv sein.

Das Problem ist nicht, dass sie KI nutzen. Das Problem ist, dass sie ohne klare Richtlinien keine Ahnung haben, was sicher eingegeben werden kann und was nicht. Ein falsches Einfugen - eine Kundenbeschwerde mit personlichen Details, ein Lebenslauf, ein internes Dokument mit Finanzdaten - und Sie haben ein DSGVO-Problem.

Eine KI-Nutzungsrichtlinie lost dieses Problem. Sie sagt Ihrem Team, was erlaubt ist, was nicht, und was zu tun ist, wenn etwas schiefgeht. Sie muss kein juristisches Meisterwerk sein. Sie muss klar, praktisch und durchsetzbar sein.

Was die DSGVO beim Einsatz von KI-Tools verlangt

Bevor wir auf die Struktur der Richtlinie eingehen, sollten Sie verstehen, was die DSGVO tatsachlich fordert:

Dokumentation. Jedes KI-Tool, das personenbezogene Daten verarbeitet, muss in Ihrem Verarbeitungsverzeichnis erfasst sein. Welche Daten werden eingegeben? Zu welchem Zweck? Was ist die Rechtsgrundlage?
Auftragsverarbeitungsvertrage. Wenn ein KI-Anbieter in Ihrem Auftrag personenbezogene Daten verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag (AVV). Die meisten Enterprise-Versionen von ChatGPT, Copilot und Claude bieten diese an - kostenlose Versionen in der Regel nicht.
Transparenz. Wenn Sie KI einsetzen, um personenbezogene Daten von Kunden, Mitarbeitern oder anderen Personen zu verarbeiten, mussen Sie diese daruber informieren. Ihre Datenschutzerklarung sollte dies erwahnen.
Datenminimierung. Geben Sie nur die personenbezogenen Daten ein, die unbedingt erforderlich sind. Noch besser: Anonymisieren Sie Daten, bevor Sie sie in ein KI-Tool eingeben.
Ubermittlungsgarantien. Die meisten KI-Anbieter verarbeiten Daten auf US-Servern. Das ist eine Ubermittlung in ein Drittland nach der DSGVO, die angemessene Garantien erfordert.

Unser Begleitartikel zu KI-Tools und Datenschutz behandelt den rechtlichen Hintergrund ausfuhrlicher. Dieser Artikel konzentriert sich auf die praktische Richtlinie, die Sie intern brauchen.

Die 10 Abschnitte, die Ihre KI-Richtlinie abdecken sollte

1. Geltungsbereich - fur wen gilt das?

Machen Sie es deutlich: Die Richtlinie gilt fur alle, die fur Ihre Organisation tatig sind. Mitarbeiter, Freiberufler, Praktikanten, Zeitarbeiter, Auftragnehmer. Wenn sie KI-Tools fur eine berufliche Aufgabe nutzen, gilt die Richtlinie fur sie.

Legen Sie fest, was als “KI-Tool” zahlt - nicht nur ChatGPT, sondern auch KI-Funktionen in bestehender Software wie intelligente Textvorschlage in E-Mails, KI-Zusammenfassungen in Ihrem CRM oder KI-Transkriptionsdienste.

2. Genehmigte vs. nicht genehmigte Tools

Fuhren Sie eine klare Liste genehmigter KI-Tools. Dokumentieren Sie fur jedes Tool:

Name des Tools und Anbieter
Welche Abonnementstufe genehmigt ist (Enterprise vs. kostenlos - das macht fur die DSGVO-Konformitat einen Unterschied)
Ob ein Auftragsverarbeitungsvertrag vorliegt
Wofur das Tool genutzt werden darf
Eventuelle Einschrankungen bei der Dateneingabe

Jedes KI-Tool, das nicht auf der genehmigten Liste steht, ist fur berufliche Zwecke tabu. Es geht nicht darum, restriktiv zu sein - es geht darum zu wissen, welche Tools Ihre Daten verarbeiten und unter welchen Bedingungen.

Uberprufen Sie diese Liste vierteljahrig. Neue KI-Tools erscheinen standig, und Ihre Mitarbeiter werden danach fragen.

3. Verbotene Daten - was NIEMALS in KI-Tools eingegeben werden darf

Dies ist der wichtigste Abschnitt. Seien Sie sehr konkret daruber, was Mitarbeiter niemals in ein KI-Tool eingeben durfen:

Sensible personenbezogene Daten (Artikel 9 DSGVO): rassische oder ethnische Herkunft, politische Meinungen, religiose Uberzeugungen, Gewerkschaftszugehorigkeit, genetische Daten, Gesundheitsdaten, sexuelle Orientierung
Vertrauliche Geschaftsdaten: Jahresabschlusse, strategische Plane, Fusions- oder Ubernahmedetails, Investorenkommunikation
NDA-geschutzte Materialien: alles, was unter Geheimhaltungsvereinbarungen mit Kunden oder Partnern fallt
Geistiges Eigentum: proprietarer Code, Geschaftsgeheimnisse, unveroffentlichte Patente, Produktentwurfe
Personalakten: Leistungsbeurteilungen, Disziplinarakten, Gehaltsdetails, Arbeitsunfallberichte, Streitdokumentation

Machen Sie es leicht zu merken: Wenn die Daten personenbezogen, vertraulich oder sensibel sind, gehoren sie nicht in ein KI-Tool.

4. Erlaubte Anwendungsfalle - was IST erlaubt

Gleichen Sie die Einschrankungen mit klaren Beispielen aus, was Mitarbeiter tun durfen. Das verhindert, dass die Richtlinie wie ein Totalverbot wirkt:

Allgemeine Texte erstellen (Marketingtexte, Blogentwurfe, E-Mail-Vorlagen) ohne personenbezogene Daten
Brainstorming, Argumente strukturieren oder Schreibfeedback einholen
Nicht-vertrauliche, nicht-personliche Inhalte ubersetzen
Offentlich verfugbare Informationen zusammenfassen
Code-Snippets fur nicht-sensible interne Tools generieren
Prasentationsentwurfe auf Basis offentlicher Informationen erstellen

Das Grundprinzip: Wenn die Eingabe keine personenbezogenen Daten und keine vertraulichen Geschaftsinformationen enthalt, sind die meisten genehmigten KI-Tools unbedenklich nutzbar.

5. Pflicht zur menschlichen Uberprufung

Alle KI-generierten Inhalte mussen von einem Menschen uberpruft werden, bevor sie verwendet, versendet oder veroffentlicht werden. Keine Ausnahmen.

KI-Tools machen Fehler. Sie produzieren falsche Informationen mit Uberzeugung. Sie konnen voreingenommene Inhalte erzeugen. Sie reproduzieren manchmal urheberrechtlich geschutztes Material. Ihre Mitarbeiter mussen KI-Ergebnisse auf Richtigkeit, Voreingenommenheit und Angemessenheit prufen, bevor sie den Schreibtisch verlassen.

Das ist besonders wichtig bei externer Kommunikation, kundenorientierten Inhalten und Entscheidungen, die Personen betreffen.

6. Regeln fur automatisierte Entscheidungsfindung

Wenn KI eingesetzt wird, um Entscheidungen uber Menschen zu treffen oder zu unterstutzen - Bewerbungen sichten, Mitarbeiterleistungen bewerten, Kreditwurdigkeit berechnen, Kundenprofilierung - gilt Artikel 22 der DSGVO.

Ihre Richtlinie muss klar festlegen: Jeder Einsatz von KI zur automatisierten Entscheidungsfindung uber Personen erfordert die vorherige Genehmigung der Geschaftsfuhrung und, falls erforderlich, Ihres Datenschutzkoordinators oder Rechtsberaters. Eine Datenschutz-Folgenabschatzung (DSFA) kann erforderlich sein. Menschliches Eingreifen muss immer gewahrleistet sein.

7. Governance und Verantwortlichkeit

Legen Sie fest, wer fur die Richtlinie verantwortlich ist:

Die Geschaftsfuhrung tragt die letztendliche Verantwortung fur die Einhaltung
Ein benannter Datenschutzkoordinator (oder DSB, falls vorhanden) uberwacht die Umsetzung und beantwortet Fragen
Teamleiter stellen sicher, dass ihre Teams die Richtlinie in der Praxis befolgen
Jeder Mitarbeiter ist personlich fur die Einhaltung der Regeln verantwortlich

Klaren Sie auch die Konsequenzen: Verstossen gegen die KI-Richtlinie werden wie jeder andere Verstoss gegen Unternehmensrichtlinien behandelt und konnen disziplinarische Massnahmen nach sich ziehen.

8. Schulung und Sensibilisierung

Eine Richtlinie, die niemand liest, ist nutzlos. Nehmen Sie in Ihre Richtlinie auf:

Alle neuen Mitarbeiter erhalten wahrend des Onboardings eine Schulung zur KI-Richtlinie
Jahrliche Auffrischungsschulung fur alle Mitarbeiter
Aktualisierungen werden kommuniziert, wenn sich die Richtlinie oder die Liste genehmigter Tools andert
Eine klare Anlaufstelle fur Fragen (“Nicht sicher, ob Sie ein Tool verwenden durfen? Fragen Sie Ihren Datenschutzkoordinator, bevor Sie anfangen”)

Die Schulung muss nicht aufwandig sein. Eine 30-minutige Sitzung mit praktischen Beispielen und einer Fragerunde ist wirksamer als ein zweistundiger Vortrag.

9. Vorfallbehandlung

Was passiert, wenn jemand versehentlich personenbezogene Daten in ein KI-Tool eingibt? Ihre Richtlinie braucht ein klares Vorfallverfahren:

Stoppen Sie sofort die Nutzung des Tools fur diese Daten
Melden Sie den Vorfall dem Datenschutzkoordinator (innerhalb von 24 Stunden)
Dokumentieren Sie, welche Daten eingegeben wurden, welches Tool verwendet wurde und wann es passiert ist
Bewerten Sie das Risiko - konnen die Daten geloscht werden? War das Training aktiviert? Welche moglichen Auswirkungen gibt es fur die Betroffenen?
Folgen Sie Ihrem Datenschutzverletzungsverfahren, falls erforderlich (Meldung an die Aufsichtsbehorde innerhalb von 72 Stunden, Benachrichtigung der Betroffenen bei hohem Risiko)

Machen Sie die Meldung einfach und vorwurfsfrei. Wenn Mitarbeiter Angst vor Bestrafung haben, werden sie Fehler verbergen statt sie zu melden - was die Situation verschlimmert.

10. Uberprufungszyklus

Die KI-Landschaft verandert sich schnell. Ihre Richtlinie sollte uberpruft werden:

Mindestens jahrlich
Wenn ein neues KI-Tool eingefuhrt wird
Nach jedem Vorfall, der eine Lucke aufzeigt
Wenn sich relevante Vorschriften andern (wie die Umsetzung der EU-KI-Verordnung)

Benennen Sie eine bestimmte Person oder ein Team, das fur die Uberprufung verantwortlich ist, und dokumentieren Sie das Uberprufungsdatum in der Richtlinie selbst.

Praktische Tipps: So starten Sie

Fangen Sie einfach an. Ein klares zweiseitiges Dokument ist besser als eine umfassende 20-seitige Richtlinie, die niemand liest. Sie konnen spater erweitern.

Binden Sie Ihr Team ein. Fragen Sie Ihre Mitarbeiter, welche KI-Tools sie bereits nutzen. Sie werden uberrascht sein. Gemeinsam die Richtlinie zu entwickeln schafft Akzeptanz.

Verwenden Sie echte Beispiele. “Geben Sie keine sensiblen Daten ein” ist vage. “Fugen Sie keine Kundenbeschwerde-E-Mail in ChatGPT ein” ist konkret.

Machen Sie sie zuganglich. Veroffentlichen Sie die Richtlinie dort, wo Mitarbeiter sie finden konnen - im Intranet, auf dem gemeinsamen Laufwerk oder im Mitarbeiterhandbuch. Nicht versteckt in einem SharePoint-Ordner, den niemand offnet.

Verbessern Sie kontinuierlich. Ihre erste Version wird nicht perfekt sein. Evaluieren Sie nach drei Monaten, sammeln Sie Feedback und passen Sie an.

Wie GDPRWise hilft

GDPRWise erleichtert es, den Einsatz von KI-Tools in Ihre umfassende DSGVO-Compliance zu integrieren:

Verarbeitungsverzeichnis: Erfassen Sie jedes KI-Tool als Auftragsverarbeiter, dokumentieren Sie die verarbeiteten Daten, die Rechtsgrundlage und ob ein Auftragsverarbeitungsvertrag vorliegt
Mitarbeiter-Datenschutzrichtlinie: Verweisen Sie auf Ihre KI-Nutzungsrichtlinie innerhalb der Mitarbeiter-Datenschutzdokumentation, die GDPRWise Ihnen hilft zu erstellen
Website-Scan: Erkennen Sie KI-basierte Drittanbieterdienste auf Ihrer Website, die Sie moglicherweise noch nicht dokumentiert haben

Eine KI-Richtlinie ist ein Puzzleteil. Sicherzustellen, dass sie mit Ihrem Verarbeitungsverzeichnis, Ihren Datenschutzerklarungen und Ihrer gesamten DSGVO-Akte verknupft ist, macht sie in der Praxis wirksam.

auto_awesome Ihre DSGVO-Akte in Ordnung bringen?

GDPRWise scannt Ihre Website, erkennt Verarbeitungstatigkeiten und Drittanbieter und hilft Ihnen, Ihre vollstandige DSGVO-Akte aufzubauen - einschliesslich Ihrem Verarbeitungsverzeichnis mit allen KI-Tools dokumentiert.

Kostenlosen Scan starten