← Journal

    Im Loop

    Interne KI-Nutzungsrichtlinie erstellen: Was hineingehört und was nicht

    Abdulmejd Kelil Shifa · 20. Jänner 2026 · 7 Min.

    In vielen Unternehmen existieren zur KI-Nutzung derzeit zwei Dokumente. Das erste ist eine zwanzigseitige Richtlinie, die die Rechtsabteilung nach bestem Wissen verfasst hat und die niemand gelesen hat. Das zweite ist die gelebte Praxis: Mitarbeiter nutzen frei verfügbare KI-Werkzeuge nach eigenem Ermessen, mit Firmendaten, ohne Vorgaben. Eine KI-Nutzungsrichtlinie, die wirkt, muss die Lücke zwischen diesen beiden Dokumenten schließen.

    Das gelingt nicht durch mehr Text, sondern durch weniger. Eine Richtlinie ist kein juristisches Schutzschild, das jeden denkbaren Fall abdeckt, sondern ein Arbeitsinstrument, das ein Mitarbeiter in fünf Minuten verstehen und im Alltag anwenden kann. Wer sie so anlegt, bekommt etwas Seltenes: Regeln, die tatsächlich befolgt werden, und ein realistisches Bild davon, wie im Haus mit KI gearbeitet wird.

    Die vier Bausteine, die hineingehören

    Eine brauchbare Nutzungsrichtlinie beantwortet vier Fragen, mehr nicht.

    • Welche Werkzeuge sind freigegeben. Eine konkrete Liste der zugelassenen Dienste und Zugänge, idealerweise mit dem Hinweis, worin sich der Firmenzugang vom privaten Konto unterscheidet, etwa bei der Frage, ob Eingaben zum Training verwendet werden. Alles, was nicht auf der Liste steht, ist nicht freigegeben. Dieser Umkehrschluss erspart seitenlange Verbotskataloge.
    • Welche Daten nicht hinein dürfen. Eine kurze, konkrete Liste verbotener Datenkategorien: personenbezogene Daten von Kunden und Mitarbeitern, Geschäftsgeheimnisse, Zugangsdaten, Vertragsinhalte, je nach Branche auch mehr. Wichtig sind Beispiele in Alltagssprache. Der Satz, dass keine personenbezogenen Daten eingegeben werden dürfen, ist abstrakt. Der Hinweis, dass man eine Kundenmail vor dem Einfügen anonymisiert, ist anwendbar.
    • Wie mit Ergebnissen umzugehen ist. KI-Ausgaben werden vor Verwendung geprüft, fachlich Verantwortlicher bleibt der Mensch, der sie verwendet. Wo Ergebnisse nach außen gehen, regelt die Richtlinie, ob und wie der KI-Einsatz kenntlich gemacht wird. Diese Prüf- und Kennzeichnungspflichten sind der Teil, der im Schadensfall den Unterschied macht.
    • Wie neue Wünsche behandelt werden. Ein benannter Weg, über den Mitarbeiter neue Werkzeuge oder Anwendungsfälle vorschlagen können, mit einer zugesagten Antwortfrist. Dieser Baustein wird am häufigsten vergessen und ist der wichtigste: Ohne ihn ist jedes nicht freigegebene Werkzeug ein Anreiz zur stillen Nutzung.

    Warum eine Seite besser wirkt als zwanzig

    Der Umfang einer Richtlinie ist keine Stilfrage, sondern eine Wirkungsfrage. Ein Dokument, das niemand liest, erzeugt keine Compliance, sondern nur die Illusion davon. Die Regel, die schützt, ist die Regel, die im Kopf des Mitarbeiters präsent ist, wenn er um 17 Uhr schnell noch eine Kundenanfrage in ein KI-Werkzeug kopieren will.

    Deshalb lohnt die harte Unterscheidung zwischen der Richtlinie selbst und ihrem Anhang. Auf die eine Seite gehören die vier Bausteine in klarer Sprache. In den Anhang oder in verlinkte Detaildokumente gehört alles andere: die vollständige Werkzeugliste mit Konditionen, rollenspezifische Sonderregeln, technische Konfigurationen, die Abstimmung mit bestehenden IT- und Datenschutzrichtlinien. Wer beides vermischt, begräbt die fünf Regeln, auf die es ankommt, unter fünfzehn Seiten Kontext.

    Ein zweiter Grund für Kürze: Kurze Dokumente lassen sich ändern. Eine zwanzigseitige Richtlinie, die durch drei Freigabeschleifen muss, wird nach der Verabschiedung nicht mehr angefasst und veraltet in Monaten. Eine Seite mit klarem Änderungsprozess bleibt lebendig.

    Was nicht hineingehört

    Ebenso wichtig wie der Inhalt ist der Verzicht. Nicht in die Richtlinie gehören Technologieerklärungen und Grundsatzkapitel darüber, was KI ist und welche Chancen sie bietet. Nicht hinein gehören Werkzeug-Anleitungen, die nach dem nächsten Update falsch sind. Nicht hinein gehören Pauschalverbote, die erkennbar nicht durchgesetzt werden, denn jede Regel, die folgenlos ignoriert wird, beschädigt die Geltung aller übrigen. Und nicht hinein gehören Detailregelungen für Spezialfälle einzelner Abteilungen, die für neunzig Prozent der Leser irrelevant sind: Dafür gibt es ergänzende Regelwerke der Fachbereiche.

    Verzichten sollte man auch auf Drohkulissen. Eine Richtlinie, die vor allem Sanktionen betont, erzeugt genau das Verhalten, das sie verhindern will: Mitarbeiter nutzen die Werkzeuge weiter, nur verdeckt. Der Ton, der wirkt, ist der eines Geländers, nicht der einer Überwachungskamera.

    Abstimmung mit Betriebsrat und Datenschutz

    Zwei Stellen gehören früh an den Tisch, nicht erst zur finalen Freigabe. Der Datenschutzbeauftragte, weil die Liste verbotener Datenkategorien und die Auswahl freigegebener Werkzeuge datenschutzrechtliche Fragen berühren, etwa zur Auftragsverarbeitung und zum Ort der Datenverarbeitung. Und der Betriebsrat, wo es einen gibt, weil Regelungen zur Nutzung technischer Systeme durch Mitarbeiter regelmäßig mitbestimmungsrelevante Aspekte haben können, insbesondere sobald Nutzung protokolliert oder ausgewertet wird. Die Details hängen vom Einzelfall ab und gehören fachkundig geprüft. Praktisch gilt: Wer beide Stellen an der Entstehung beteiligt, bekommt eine Richtlinie, die schneller in Kraft ist und breiter getragen wird, als wenn ein fertiges Dokument zur Zustimmung vorgelegt wird.

    Aktuell halten statt neu schreiben

    Die Werkzeuglandschaft ändert sich schneller als jeder Freigabezyklus. Damit die Richtlinie nicht veraltet, braucht sie drei Dinge: einen benannten Eigentümer, der für Pflege zuständig ist, einen festen Überprüfungsrhythmus, etwa halbjährlich, und die Trennung zwischen der stabilen Richtlinienseite und der beweglichen Werkzeugliste. Die Liste kann der Eigentümer im definierten Verfahren laufend anpassen, ohne dass die Richtlinie selbst neu verabschiedet werden muss. Jede Änderung wird kurz kommuniziert, mit dem, was sich konkret ändert, nicht mit dem vollständigen Dokument im Anhang.

    Fazit

    Eine KI-Nutzungsrichtlinie wirkt nicht durch Vollständigkeit, sondern durch Anwendbarkeit. Vier Bausteine reichen: freigegebene Werkzeuge, verbotene Datenkategorien, Prüf- und Kennzeichnungspflichten und ein offener Weg für neue Wünsche. Eine Seite Kernregeln, Details in den Anhang, Datenschutz und Betriebsrat von Anfang an beteiligt, ein Eigentümer, der das Dokument lebendig hält. Das ist unspektakulär, aber es erreicht das, woran die zwanzigseitige Variante scheitert: dass die Regeln dort ankommen, wo mit KI gearbeitet wird.

    Sprechen wir über Ihr Vorhaben.

    Unverbindliches Erstgespräch. Wir melden uns zeitnah bei Ihnen.

    Erstgespräch anfragen →