Zum Inhalt springen
Zurück zum Blog
Allgemein
·Rouwen Behncke
6 Min.

Welche KI darf in mein Unternehmen? Eine einfache KI-Richtlinie für KMU

Viele Mitarbeitende nutzen ChatGPT und ähnliche Werkzeuge längst, oft ohne klare Regeln. Eine KI-Richtlinie legt fest, welche Daten in solche Tools dürfen, welche nicht und welche Anwendungen sicher sind. Dieser Beitrag liefert eine verständliche Vorlage für den Mittelstand, mit der ihr KI im Unternehmen geordnet und sicher einsetzt.

Welche KI darf in mein Unternehmen? Eine einfache KI-Richtlinie für KMU

Das Wichtigste in Kürze

KI ist im Mittelstand angekommen: Laut DIHK-Umfrage 2026 setzen rund 40 % der Betriebe KI bereits über einfache Chatbots hinaus ein - weitere 35 % planen es. Häufig passiert das aber ohne Regeln und ohne Blick auf den Datenschutz: Mitarbeitende kopieren Kundendaten in öffentliche KI-Tools - ohne sich der Folgen bewusst zu sein. Diese „Schatten-KI" ist eines der unterschätzten Risiken 2026.

Die Lösung ist keine Verbotsmauer - sondern eine klare - kurze KI-Richtlinie: Sie sagt verständlich - welche Tools erlaubt sind - welche Daten hinein dürfen und welche auf keinen Fall. So nutzt euer Team die Vorteile von KI - ohne Geschäftsgeheimnisse oder personenbezogene Daten zu gefährden. Ab dem 2. August 2026 kommt mit dem EU AI Act zusätzlich eine Kennzeichnungspflicht dazu - die eine solche Richtlinie ohnehin sinnvoll macht.

Warum „Schatten-KI" gefährlich ist

Wenn Mitarbeitende eigenmächtig öffentliche KI-Dienste nutzen - landen schnell vertrauliche Inhalte außerhalb des Unternehmens - Angebote - Kundendaten - interne Strategien. Bei kostenlosen Tools können diese Eingaben zur Verbesserung des Modells verwendet werden. Einmal abgeflossen - lassen sich solche Daten nicht zurückholen. Das Risiko ist real - der Auslöser meist Unwissen - nicht böse Absicht.

5 Regeln einer guten KI-Richtlinie

  1. Erlaubte Tools benennen. Legt fest - welche KI-Dienste genutzt werden dürfen (z. B. Microsoft 365 Copilot) und welche nicht.
  2. Datenregeln festlegen. Klar definieren - welche Daten hinein dürfen und welche tabu sind.
  3. Ergebnisse prüfen. KI-Ausgaben immer gegenlesen - KI kann überzeugend klingen und trotzdem falsch liegen.
  4. Kennzeichnen. KI-generierte Inhalte im Kundenkontakt markieren (AI-Act-Pflicht ab August 2026).
  5. Verantwortliche benennen. Eine Ansprechperson für KI-Fragen schafft Klarheit.

Erlaubt vs. verboten - die einfache Linie

  • Unkritisch (meist erlaubt): allgemeine Texte ohne Personen- oder Geschäftsbezug - öffentliche Informationen - Brainstorming - Formulierungshilfen.
  • Heikel (nur in geschützten Tools wie Copilot): interne Dokumente - Angebote - Projektdaten.
  • Tabu (nie in öffentliche KI): personenbezogene Daten von Kunden oder Mitarbeitenden - Passwörter und Zugangsdaten - Geschäftsgeheimnisse - vertrauliche Verträge.

Welche Tools sind die richtigen?

Für vertrauliche Inhalte führt der Weg zu Lösungen - die in eurer geschützten Umgebung laufen - etwa Microsoft 365 Copilot mit EU-Datengrenze. Öffentliche - kostenlose Dienste sind für allgemeine - unkritische Aufgaben in Ordnung - aber nicht für Firmen- oder Personendaten. Wer höchste Vertraulichkeit braucht - kann auch KI lokal im eigenen Haus betreiben.

Checkliste: Eure KI-Richtlinie in 1 Seite

  • ☐ Erlaubte und verbotene KI-Tools benannt
  • ☐ Drei Datenklassen definiert (unkritisch / heikel / tabu)
  • ☐ Pflicht zur Prüfung von KI-Ergebnissen festgehalten
  • ☐ Kennzeichnung von KI-Inhalten geregelt
  • ☐ Verantwortliche Person benannt
  • ☐ Richtlinie allen Mitarbeitenden bekannt gemacht

Häufige Fragen zur KI-Richtlinie (FAQ)

Sollen wir KI lieber ganz verbieten?

Selten sinnvoll. Verbote treiben die Nutzung in den Untergrund. Klare Regeln plus ein sicheres Tool sind wirksamer.

Wie lang muss so eine Richtlinie sein?

Eine Seite reicht. Wichtiger als Umfang ist - dass sie verständlich ist und alle sie kennen.

Reicht eine Richtlinie für den EU AI Act?

Sie ist ein wichtiger Baustein (vor allem für die Kennzeichnung) - ersetzt aber nicht das KI-Inventar und die Einordnung eurer Systeme.

Wer sollte die Richtlinie erstellen?

Geschäftsführung und IT gemeinsam - idealerweise mit Unterstützung eines Partners - der Datenschutz und Praxis kennt.

Fazit

KI ist im Mittelstand Realität - die Frage ist nur - ob mit oder ohne Regeln. Eine kurze - klare KI-Richtlinie schützt eure Daten - ohne die Vorteile zu verbauen - und bereitet euch zugleich auf den EU AI Act vor. Eine Seite genügt - der Nutzen ist groß.

Wir erstellen mit euch eine passende KI-Richtlinie und das nötige KI-Inventar - siehe IT-Compliance & NIS2 und Cloud-Lösungen & Microsoft 365.

Quellen

Fragen zu diesem Thema?

Wir beraten dich gerne, kostenlos und unverbindlich. Lass uns gemeinsam schauen, wie wir dein Unternehmen schützen können.

Baltaris - Einfach. Sicher. Eure IT.
    RB

    Rouwen Behncke

    Geschäftsführer, Baltaris GmbH

    LinkedIn-Profil