KI-Strategie, Richtlinie & Governance – Das Fundament für erfolgreiche und verantwortungsvolle KI-Nutzung im Unternehmen
Eine KI-Governance-Richtlinie schafft klare Regeln für den KI-Einsatz im Unternehmen. Diese Lektion zeigt den Weg von der KI-Strategie zur konkreten Richtlinie – mit Bausteinen für Verantwortlichkeiten, Freigabeprozesse und Compliance-Anforderungen – basierend auf den Risikoklassen des EU AI Act.
🏗️ Die drei Säulen der KI-Organisation
Strategie gibt die Richtung vor, die Richtlinie setzt den Rahmen, Governance stellt die Umsetzung sicher.
🎯
Strategie
WARUM & WOHIN?
Vision, Ziele und Prioritäten für KI im Unternehmen
Geschäftsführung / C-Level
⏱️ 2-5 Jahre
💬 "Wir werden KI nutzen, um unsere Prozesseffizienz um 30% zu steigern und neue datengetriebene Services zu entwickeln."
💬 "Mitarbeitende dürfen KI-Tools der Kategorie A für Aufgaben X, Y, Z nutzen. Personenbezogene Daten dürfen nicht eingegeben werden."
⚙️
Governance
WIE & KONTROLLE?
Prozesse, Kontrollen, Monitoring, Eskalation
KI-Team / IT / Compliance
⏱️ Laufend
💬 "Neue KI-Anwendungen durchlaufen den Freigabeprozess. Nutzung wird quartalsweise reviewed. Bei Vorfällen gilt Eskalationsprozess X."
🔄 Wie die drei Ebenen zusammenspielen
Strategie → Richtlinie
Strategie definiert WARUM → Richtlinie leitet WAS ab
Richtlinie → Governance
Richtlinie setzt Regeln → Governance setzt um
Governance → Strategie
Governance liefert Feedback → Strategie wird angepasst
🎯 KI-Strategie: Die Grundlage für alle weiteren Entscheidungen
🔭
Vision & Ambition
Welche Rolle soll KI in 3-5 Jahren in unserem Unternehmen spielen?Wollen wir Vorreiter sein oder schneller Follower?
▼
🎯
Strategische Ziele
Welche konkreten Geschäftsziele soll KI unterstützen?Wie messen wir Erfolg?
▼
🔍
Fokusfelder & Use Cases
In welchen Bereichen starten wir?Welche Use Cases haben den höchsten Impact?
▼
💰
Ressourcen & Investment
Wie viel Budget steht zur Verfügung?Welche Skills brauchen wir?
▼
📋 KI-Richtlinie: Konkrete Regeln für alle Mitarbeitenden – Copy & Paste ready
[FIRMENNAME]
Richtlinie zur Nutzung von KI-Tools
Version 1.0 | Gültig ab: [DATUM] | Freigegeben durch: [NAME]
📍
1. Geltungsbereich
Für wen gilt diese Richtlinie? Welche Tools sind gemeint?
Diese Richtlinie gilt für:
• Alle Mitarbeitenden von [FIRMA]
• Alle KI-Tools inkl. ChatGPT, Claude, Copilot, Midjourney etc.
• Sowohl offiziell bereitgestellte als auch private Tools für dienstliche Zwecke
Nicht im Scope:
• Embedded KI in bestehenden Systemen (z.B. Rechtschreibprüfung)
• [AUSNAHMEN]
✅
2. Freigegebene Tools
Welche Tools dürfen genutzt werden?
Kategorie A – Freigegeben für alle:
• [TOOL 1] – Lizenz über IT, Enterprise-Version
• [TOOL 2] – Kostenlose Nutzung erlaubt
Kategorie B – Freigegeben mit Einschränkungen:
• [TOOL 3] – Nur für [ABTEILUNG/ZWECK]
• [TOOL 4] – Nur nach Schulung
Kategorie C – Nicht freigegeben:
• Private ChatGPT-Accounts für Firmendaten
• [WEITERE]
👍
3. Erlaubte Nutzung
Was darf man mit KI machen?
Erlaubt ist die Nutzung von KI für:
✅ Texterstellung und -überarbeitung (E-Mails, Berichte, Präsentationen)
✅ Recherche und Zusammenfassungen
✅ Übersetzungen
✅ Brainstorming und Ideenfindung
✅ Code-Unterstützung (mit Code-Review)
✅ Datenanalyse (mit anonymisierten Daten)
✅ [WEITERE]
Voraussetzung: Einhaltung der Datenklassifizierung (siehe Abschnitt 4)
🔒
4. Datenklassifizierung
Welche Daten dürfen eingegeben werden?
🟢 ERLAUBT – Öffentliche Daten:
• Allgemeine Informationen, öffentliche Dokumente
• Anonymisierte Beispiele
🟡 MIT VORSICHT – Interne Daten:
• Nur in Enterprise-Tools mit Datenschutzvertrag
• Namen und Details anonymisieren
🔴 VERBOTEN – Vertrauliche & personenbezogene Daten:
• Kundendaten mit Identifikation
• Mitarbeiterdaten (Gehalt, Bewertungen)
• Unveröffentlichte Finanzzahlen
• Vertragsdetails, Konditionen
⛔ ABSOLUT VERBOTEN:
• Passwörter, API-Keys, Zugangsdaten
• Geschäftsgeheimnisse, Patente
• Gesundheitsdaten
✓
5. Qualitätssicherung
Wie wird KI-Output geprüft?
Jeder KI-Output muss vor Verwendung geprüft werden:
□ Faktische Korrektheit – Stimmen Zahlen, Namen, Fakten?
□ Vollständigkeit – Fehlt etwas Wichtiges?
□ Angemessenheit – Passt Ton und Stil?
□ Quellenprüfung – Bei Referenzen: Existieren diese?
Besondere Sorgfalt bei:
• Rechtlichen Aussagen → Immer Rechtsabteilung einbeziehen
• Finanzinformationen → Immer gegenchecken
• Kundenkommunkation → Persönliche Prüfung vor Versand
• Code → Code-Review erforderlich
🏷️
6. Kennzeichnung
Muss KI-Nutzung gekennzeichnet werden?
Kennzeichnungspflicht:
Intern:
• Bei wesentlicher KI-Unterstützung in Dokumenten:
Fußnote "Mit Unterstützung von KI erstellt"
• Bei Code: Kommentar zur KI-Generierung
Extern (Kunden, Partner):
• [OPTION A]: Keine Kennzeichnung nötig bei menschlicher Prüfung
• [OPTION B]: Generelle Kennzeichnung erforderlich
• [OPTION C]: Nur bei direkter Nachfrage offenlegen
Ausnahme: Rein redaktionelle KI-Hilfe (Rechtschreibung etc.)
muss nicht gekennzeichnet werden.
👤
7. Verantwortlichkeiten
Wer ist wofür verantwortlich?
Jede/r Mitarbeitende:
• Einhaltung dieser Richtlinie
• Prüfung aller KI-Outputs
• Meldung von Vorfällen
Führungskräfte:
• Sicherstellen der Schulung im Team
• Vorbildfunktion
• Eskalation bei Verstößen
IT-Abteilung:
• Bereitstellung freigegebener Tools
• Technische Sicherheit
• Support bei Fragen
[KI-VERANTWORTLICHER / GOVERNANCE BOARD]:
• Weiterentwicklung der Richtlinie
• Freigabe neuer Tools
• Behandlung von Grenzfällen
⚠️
8. Verstöße & Konsequenzen
Was passiert bei Verstößen?
Bei Verstößen gegen diese Richtlinie:
Leichte Verstöße (z.B. Nutzung nicht freigegebener Tools):
→ Hinweis und Nachschulung
Mittlere Verstöße (z.B. interne Daten in öffentliche Tools):
→ Gespräch mit Führungskraft, Dokumentation
Schwere Verstöße (z.B. personenbezogene Daten, Geheimnisse):
→ Arbeitsrechtliche Konsequenzen
→ Meldung an Datenschutzbeauftragten
→ Ggf. Meldung an Behörden
Bei Unsicherheit: VORHER fragen, nicht nachher entschuldigen!
Ansprechpartner: [KONTAKT]
Datum, Unterschrift Geschäftsführung
Datum, Unterschrift Datenschutzbeauftragter
⚙️ KI-Governance: Prozesse und Kontrollen für nachhaltige KI-Nutzung
🔓
Tool-Freigabe
⏱️ 2-4 Wochen
Auslöser: Neues KI-Tool soll genutzt werden
1
Anfrage an IT/KI-Team mit Use Case
2
Prüfung: Datenschutz, Sicherheit, Kosten
3
Bei Bedarf: Legal Review
4
Entscheidung durch Governance Board
5
Bei Freigabe: Dokumentation & Kommunikation
Output: Tool in Kategorie A, B oder C eingestuft
💡
Use Case Freigabe
⏱️ 4-8 Wochen
Auslöser: Neue KI-Anwendung soll entwickelt werden
