Warum jedes Unternehmen dringend eine KI-Richtlinie braucht - Zwei Ansätze für grundsätzliche Regelungen zur Nutzung (generativer) Künstlicher Intelligenz (KI)

KI |

Download Artikel


Zurück zur Übersicht

RAin Michaela Berger

Warum jedes Unternehmen dringend eine KI-Richtlinie braucht - Zwei Ansätze für grundsätzliche (generative) Regelungen zur Nutzung Künstlicher Intelligenz (KI)

Einleitung

Künstliche Intelligenz (KI) hat mittlerweile Einzug in den Arbeitsalltag der meisten Unternehmen gehalten. Insbesondere generative KI (GenAI) wie ChatGPT, LeChat, Claude, CoPilot, aber auch KI basierte Websuchen über Google Suche oder Perplexity sind für viele Beschäftigten bereits zum unverzichtbaren Alltagshelfer geworden.

Gleichzeitig stellen sich erhebliche rechtliche Herausforderungen. Gerade deshalb ist es unerlässlich, dass Unternehmen den Umgang mit KI durch eine unternehmensweite KI-Richtlinie zur sicheren Nutzung von Künstlicher Intelligenz regeln.


Warum eine KI-Richtlinie notwendig ist

Die ungeregelte Nutzung birgt erhebliche Risiken in Bezug auf Datenschutz, KI-Compliance, Geschäftsgeheimnisse / Intellectual Property, IT-Sicherheit, Haftung und Transparenz. Ohne klare Regeln besteht die Gefahr, dass Beschäftigte KI-Systeme unkontrolliert einsetzen und dabei unbewusst Gesetze oder interne Vorgaben verletzen. Dies wird schnell zu einem großen Compliance-Problem bei der KI-Nutzung, das sich nur noch schwer wieder einfangen lässt.

Eine KI-Richtlinie ist zur Vermeidung dieser Haftungsrisiken unerlässlich. Gleichzeitig beseitigt sie Unsicherheiten bei den Beschäftigten in Bezug auf einen zulässigen und akzeptablen Umgang mit KI bei der Erledigung der täglichen Aufgaben.

 

Zwei grundlegende Ansätze für die Nutzung von KI im Unternehmen

In unserer täglichen Beratungspraxis haben sich 2 grundlegende Ansätze herauskristallisiert, die beide einen Fokus auf Schutz der Daten haben, aber unterschiedliche Herangehensweisen haben.


1. Generelles Verbot der KI Nutzung mit Genehmigungsverfahren und Whitelist

Ein Ansatz besteht darin, die Nutzung von KI-Systemen in Unternehmen grundsätzlich und komplett zu untersagen. Dies schließt auch die Nutzung von webbasierten KI-Anwendungen sogar mit komplett neutralen Anfragen (z.B. „wie viele Feiertage gibt es in Bayern in 2026“) aus. Ausnahmen sind nur nach einem individuellen Genehmigungsverfahren für KI-Tools möglich, das beispielsweise durch die IT-Abteilung, den Datenschutzbeauftragten oder eine eigens eingerichtete KI-Kommission begleitet wird. Zulässige KI-Anwendungen werden in einer sogenannten Whitelist für KI-Anwendungen festgehalten. Diese Liste wird regelmäßig überprüft und aktualisiert.

Wichtig ist hierbei, dass eine Whitelist dann nicht nur die zulässigen KI-Systeme im Unternehmen nennt, sondern auch für die einzelnen Lizenztypen (kostenlos, Pro, etc.) einen jeweils zulässigen Nutzungsumfang in Bezug auf die zur Eingabe erlaubten Daten vorgibt.


Vorteile:

  • Höchste Kontrolle über den Einsatz von Künstlicher Intelligenz
  • Minimierung von Risiken
  • Schutz der personenbezogenen Daten und Unternehmensdaten
  • Schutz vor Verwendung unrichtiger Ergebnisse generativer KI in der täglichen Arbeit


Nachteile:

  • Erhöhter Verwaltungsaufwand
  • mögliche Innovationshemmnisse
  • Verzögerungen durch Genehmigungsprozesse
  • geringe Akzeptanz bei Beschäftigten
  • Schwierigkeit der Regelung bei KI-basierten Suchmaschinen wie z.B. Google-Suche

 

2. Datenbasierter Ansatz einer KI-Richtlinie: Verbot der Nutzung bestimmter Daten

Ein alternativer Ansatz setzt nicht bei den KI-Tools selbst an, sondern bei den verarbeiteten Daten. Hierbei ist die Nutzung von Künstlicher Intelligenz grundsätzlich erlaubt, jedoch nur zur Verarbeitung bestimmter, klar definierter Datenkategorien. Besonders schützenswerte Daten, wie personenbezogene Daten nach DSGVO oder Betriebsgeheimnisse, dürfen nicht durch KI-Systeme verarbeitet werden. Die entsprechende KI-Richtlinie für Unternehmen legt fest, welche Daten genutzt werden dürfen und welche nicht, und gibt so einen flexiblen, aber dennoch sicheren Rahmen vor. Wichtig ist hierbei aber, nicht nur direkten Personenbezug oder Unternehmensbezug auszuschließen, sondern auch den mittelbaren Bezug z.B. durch Kombination von Daten oder pseudonyme Daten. Auch muss trotzdem dringend untersagt werden, Apps kostenloser generativer KI-Systeme auf Unternehmens-Hardware zu installieren.


Vorteile:

  • gezielter Schutz sensibler Informationen
  • größere Akzeptanz bei Beschäftigten

Nachteile:

  • genaue Kenntnis und Kontrolle der Daten erforderlich
  • Risiko von Fehleinschätzungen bei der Datenklassifizierung
  • Risiko falscher KI-Ergebnisse in Arbeitsergebnissen steigt

Auch für diesen Ansatz ist zudem eine KI-Whitelist erforderlich, da Ausnahmen für KI-Systeme, die umfangreicher genutzt werden dürfen oder bei denen Datenschutz und Schutz der Geschäftsgeheimnisse sichergestellt sind, möglich sein müssen.

 

KI-Richtlinie im Unternehmen: Kontrolle, Schulungen und sichere Anwendung von Künstlicher Intelligenz

Beiden Ansätzen ist gemein, dass eine KI-Richtlinie für Unternehmen immer auch weitere Regelungen z.B. zum Umfang der durch die Beschäftigten durchzuführenden Kontrollmaßnahmen, zulässige Verwendungen des Outputs, Kennzeichnungspflichten, etc. enthalten muss.

Auch sind Schulungen der Beschäftigten in diesem Bereich unumgänglich, da die Beschäftigten die mit der Nutzung von generativer KI einhergehenden Risiken kennen müssen. Eine Sensibilisierung auf das Vorliegen von personenbezogenen Daten und wann auch ein mittelbarer Personenbezug oder Unternehmensbezug vorliegt, ist ebenfalls dringend anzuraten.

 

Fazit: Warum eine KI-Richtlinie für Unternehmen unverzichtbar ist

Die Einführung einer KI-Richtlinie ist für Unternehmen unerlässlich, um Chancen und Risiken der KI-Nutzung in Einklang zu bringen. Ob durch ein generelles Verbot mit klar geregelten Ausnahmen oder einen datenbasierten Ansatz – beide Modelle haben ihre Stärken und Schwächen. Die passende Strategie hängt viel von bisheriger Unternehmenspraxis, dem Umfang der bereits genutzten KI-Anwendungen und dem jeweiligen Anwendungsbereich ab. Wichtig ist in jedem Fall, Beschäftigte zu sensibilisieren, Prozesse transparent zu gestalten und die Richtlinie regelmäßig an neue gesetzliche und technische Entwicklungen anzupassen.

Vergessen werden darf auch nicht, dass Regelungen zur KI Nutzung im Unternehmen der Mitbestimmung unterliegen können.

 

Kontakt zu Michaela Berger

Sie haben Fragen zum Blogartikel oder möchten durch Michaela Berger anwaltlich beraten werden?

Schreiben Sie ihr eine E-Mail oder nutzen Sie ganz einfach nebenstehendes Kontaktformular.

Durch Betätigen des „Senden“-Buttons werden Ihre in das Kontaktformular eingetragenen Daten zum Zwecke der Beantwortung Ihrer Anfrage erhoben und verarbeitet. Sie haben ein jederzeitiges Widerspruchsrecht mit Wirkung für die Zukunft. Nähere Informationen zur Verarbeitung Ihrer Daten durch RDP Rechtsanwälte finden Sie in unseren Datenschutzhinweisen.*

Was ist die Summe aus 1 und 5?

Sie möchten keinen Beitrag mehr verpassen?

Melden Sie sich jetzt bei unserem Newsletter an und Sie erhalten in unregelmäßigen Abständen aktuelle Neuigkeiten direkt in Ihr E-Mail-Postfach.

Zur Newsletteranmeldung

Weitere empfehlenswerte Blog-Beiträge

KI Vertragsrecht Teil 2: KI-Vertragsrecht in der Praxis – Datenschutz, Urheberrecht und Geschäftsgeheimnisse

von RA Norbert Geyer

KI Vertragsrecht Teil 1: Rechtliche Behandlung von KI in der Vertragsgestaltung – Risiken erkennen und vermeiden

von RA Norbert Geyer

Transparenzpflichten nach Art. 50 KI-Verordnung: Was Unternehmen ab 2. August 2026 beachten müssen

von RAin Hannah Wiehler