Künstliche Intelligenz (KI) kann Arbeitsabläufe erleichtern, Wissen schneller verfügbar machen und Mitarbeitende entlasten. Damit der Einsatz im Unternehmen sicher und nachvollziehbar bleibt, brauchen KMU klare Leitlinien. Sie legen fest, welche KI-Anwendungen erlaubt sind, welche Daten geschützt bleiben müssen und wie unerlaubte Nutzung organisatorisch und technisch begrenzt werden kann.
In diesem Nachgelesen erfahren Sie:
- Warum KI-Leitlinien wichtig sind,
- wie die KI-Verordnung Unternehmen einstuft, die KI anwenden
- was man unter einem White-List-Ansatz versteht,
- wie Sie Schatten-KI begrenzen,
- wie Risikoeinstufung als Entscheidungshilfe dienen kann,
- wie Sie KI-Inhalte kennzeichnen und
- welche Bausteine zu einer praxisnahen Leitlinie beitragen.
Warum KI-Leitlinien vor allem Organisationshilfe sind
Viele Unternehmen starten mit KI nicht durch ein großes Strategieprojekt. Häufig beginnt die Nutzung im Kleinen: Eine Fachkraft lässt sich eine E-Mail formulieren, eine Abteilung testet ein Übersetzungstool oder ein Team nutzt Chatbots für Recherchen. Das kann hilfreich sein. Problematisch wird es, wenn Verantwortliche nicht wissen, welche Anwendungen tatsächlich genutzt werden, welche Daten dort landen und ob Ergebnisse geprüft werden.
KI-Leitlinien schaffen dafür einen klaren Rahmen. Sie beantworten einfache, aber wichtige Fragen: Welche KI-Anwendungen dürfen Mitarbeitende nutzen? Welche Aufgaben eignen sich für KI? Welche Daten dürfen nicht eingegeben werden? Wer prüft neue Anwendungen? Wer ist Ansprechperson bei Unsicherheiten?
Der Fokus sollte nicht auf Verboten liegen, sondern auf sicherer Nutzung. Eine gute Leitlinie macht Mitarbeitende handlungsfähig. Sie erklärt, was erlaubt ist, was geprüft werden muss und was ausgeschlossen bleibt. So entsteht Orientierung im Arbeitsalltag. Gerade für KMU ist das wichtig, weil sie oft keine großen Compliance-, IT- oder Rechtsabteilungen haben.
Unternehmen, die KI nutzen, fallen nach der KI-Verordnung unter Betreiber
Die KI-Verordnung unterscheidet verschiedene Rollen. Anbieter entwickeln oder vermarkten KI-Systeme. Betreiber nutzen KI-Systeme im beruflichen Kontext. Viele KMU sind daher vor allem Betreiber, wenn sie externe KI-Anwendungen einsetzen, etwa für Textarbeit, Kundenkommunikation, Personalprozesse, Produktion, Qualitätsprüfung oder interne Wissensarbeit.
Für Betreiber steht die Organisation der Nutzung im Mittelpunkt. Sie müssen nicht automatisch alle Pflichten eines Anbieters erfüllen. Sie sollten aber wissen, welche KI-Systeme im Unternehmen laufen, wofür sie genutzt werden und ob daraus besondere Risiken entstehen. Die Bundesnetzagentur beschreibt die KI-Verordnung als risikobasierten Rechtsrahmen. Je höher das Risiko eines KI-Systems, desto strenger sind die Anforderungen an Transparenz, Sicherheit und Compliance[1].
Wichtig ist auch die KI-Kompetenz. Anbieter und Betreiber sollen dafür sorgen, dass Personen, die in ihrem Auftrag mit KI-Systemen umgehen, über ein ausreichendes Maß an KI-Kompetenz verfügen. Dazu zählen technisches Grundverständnis, Erfahrung, Schulung und der konkrete Nutzungskontext[2]. Für KMU heißt das: Mitarbeitende sollten verstehen, wo KI helfen kann, wo Fehler entstehen können und was deren Konsequenzen sein können sowie wann Ergebnisse geprüft werden müssen.
Whitelist statt Blacklist: Nur freigegebene KI-Anwendungen nutzen
Für Unternehmen empfiehlt sich ein Whitelist-Ansatz. Das bedeutet: Es dürfen nur KI-Anwendungen genutzt werden, die ausdrücklich geprüft und freigegeben wurden. Dieser Ansatz ist meist besser als eine Blacklist, bei der einzelne unerwünschte Anwendungen verboten werden. Der Grund ist einfach: Neue KI-Tools entstehen sehr schnell. Eine Blacklist ist daher oft schon veraltet, bevor sie vollständig gepflegt wurde.
Eine Whitelist kann in KMU übersichtlich starten. Zum Beispiel mit drei Kategorien:
- Freigegeben: Anwendungen, die geprüft wurden und für bestimmte Aufgaben genutzt werden dürfen.
- Prüfung erforderlich: Anwendungen, die interessant sind, aber noch nicht bewertet wurden.
- Nicht erlaubt: Anwendungen, die nicht genutzt werden dürfen, etwa weil Datenschutz, IT-Sicherheit oder Vertragsbedingungen unklar sind. (Entspricht dem Blacklist-Ansatz)
Zu jeder freigegebenen Anwendung sollte das Unternehmen festhalten: Wofür darf sie genutzt werden? Welche Daten dürfen eingegeben werden? Wer ist fachlich verantwortlich? Welche Ergebnisse müssen geprüft werden? Gibt es Einschränkungen, zum Beispiel keine Nutzung für personenbezogene Daten, Kundendaten oder Geschäftsgeheimnisse?
Der Vorteil: Mitarbeitende erhalten sichere Optionen, statt auf eigene Lösungen auszuweichen. Gleichzeitig behält das Unternehmen den Überblick.
Schatten-KI begrenzen: Organisatorische und technische Maßnahmen
Schatten-KI entsteht, wenn Mitarbeitende KI-Anwendungen ohne Freigabe nutzen. Das passiert oft nicht aus böser Absicht, sondern aus Zeitdruck, Arbeitserleichterung oder Neugier. Trotzdem kann es riskant werden. Vertrauliche Informationen können in externe Systeme gelangen. Ergebnisse können ungeprüft übernommen werden. Außerdem fehlt dem Unternehmen die Grundlage, um Datenschutz, Sicherheit und Pflichten nach der KI-Verordnung zu bewerten.
Unternehmen sollten Schatten-KI deshalb mit organisatorischen und technischen Maßnahmen begrenzen.
Organisatorisch sinnvoll sind:
Ein erster Schritt kann darin bestehen, vorhandene Fabrikstrukturen per 3D-Laserscan oder über bestehende CAD-Pläne zu erfassen und in ein BIM- oder CAD-Modell zu überführen. Dieses Modell kann anschließend mit produktionsbezogenen Informationen angereichert werden. Der Nutzen liegt in mehr Transparenz über Gebäude, technische Ausrüstung und Produktionssysteme[2].
- Eine klare KI-Leitlinie mit Whitelist-Ansatz,
- ein einfaches Verfahren zur Freigabe neuer KI-Anwendungen,
- feste Ansprechpersonen für KI-Fragen,
- kurze Schulungen zur sicheren Nutzung,
- Beispiele für erlaubte und nicht erlaubte Eingaben,
- regelmäßige Überprüfung der tatsächlich genutzten Anwendungen,
- klare Regeln für KI-generierte Inhalte durch z.B. Kennzeichnung, Quellenprüfung und menschliche Kontrolle.
Technisch können Unternehmen ergänzend arbeiten mit:
- DNS-Blocking bekannter nicht freigegebener KI-Domains,
- Webfilter oder Secure Web Gateway,
- Firewall-Regeln für unerwünschte Dienste,
- Sperrung nicht freigegebener Browser-Erweiterungen,
- Geräteverwaltung für Unternehmensgeräte,
- Rollen- und Rechtekonzepten,
- Protokollierung der Nutzung freigegebener Anwendungen,
- zentralem Zugriff über Unternehmensaccounts statt privater Konten.
Auch wenn alle oben genannten technischen Maßnahmen ergriffen wurden, besteht keine 100-prozentige Sicherheit. Neue Domains, mobile Geräte, private Zugänge, VPN-Verbindungen oder KI-Funktionen in bereits genutzter Software können solche Sperren umgehen. Außerdem bieten Suchmaschinen wie Google bereits KI-Antworten an. Der wichtigste Punkt bleibt: Unternehmen sollten sichere, freigegebene Alternativen bereitstellen und erklären, warum bestimmte Anwendungen nicht genutzt werden dürfen.
Risiko-Einstufung als einfache Entscheidungshilfe
Nicht jede KI-Nutzung ist gleich kritisch. Eine interne Risiko-Einstufung hilft, Anwendungen im Unternehmen schnell zu sortieren. Für KMU reicht häufig ein einfaches Modell:
Niedriges Risiko:
KI unterstützt bei Formulierungen, Ideen, Übersetzungen oder allgemeinen Zusammenfassungen. Es sollten keine vertraulichen oder personenbezogenen Daten eingegeben werden. Ergebnisse prüft ein Mensch.
Mittleres Risiko:
KI unterstützt interne Prozesse, Auswertungen oder Kundenkommunikation. Hier braucht es klare Regeln zu Daten, Prüfung, Freigabe und Transparenz.
Hohes Risiko:
KI beeinflusst Entscheidungen über Menschen, zum Beispiel in Personalprozessen, Qualifizierung, Leistungsbewertung, Kreditwürdigkeit oder sicherheitsrelevanten Bereichen. Solche Anwendungen brauchen eine besonders sorgfältige Prüfung.
Nicht zulässig oder nicht freigegeben:
Anwendungen, die gegen interne Regeln, Datenschutzvorgaben oder die KI-Verordnung verstoßen können, dürfen nicht genutzt werden. Dazu können etwa manipulative Anwendungen, unzulässige biometrische Verfahren oder nicht geprüfte KI-Systeme in sensiblen Entscheidungsprozessen gehören.
Für Hochrisiko-KI-Systeme gelten besondere Pflichten. Betreiber müssen unter anderem geeignete technische und organisatorische Maßnahmen treffen, das System nach Anleitung nutzen, menschliche Aufsicht sicherstellen, Eingabedaten kontrollieren, den Betrieb beobachten und bestimmte Protokolle aufbewahren[3].
KI-Inhalte kennzeichnen
KI-Leitlinien sollten auch regeln, wann KI-generierte Inhalte gekennzeichnet werden. Das betrifft zum Beispiel Bilder, Videos, Audioinhalte, Chatbot-Kommunikation oder Texte, die öffentlich eingesetzt werden. Die EU stellt dafür Icons bereit, mit denen KI-generierte oder KI-veränderte Inhalte kenntlich gemacht werden können. Die Icons sind freiwillig nutzbar, wenn es sich nicht um Deep Fakes oder KI-manipuliertes Material handelt. Die Kennzeichnungspflichten nach Artikel 50 der KI-Verordnung bleiben davon unabhängig[4].
Für KMU kann eine einfache Regel helfen: Immer, wenn KI-Inhalte extern veröffentlicht werden oder bei Kundschaft, Partnern oder Öffentlichkeit einen falschen Eindruck erwecken könnten, sollte eine Kennzeichnung geprüft werden. Das gilt besonders bei KI-generierten Bildern von Personen, Produktvisualisierungen, Deepfakes, automatisiert erzeugten Nachrichten oder Inhalten zu Themen von öffentlichem Interesse. Für interne Inhalte sollte ein pragmatischer Ansatz gewählt werden und müssen nicht gekennzeichnet werden.
Bausteine einer praxistauglichen KI-Leitlinie
Eine KI-Leitlinie muss nicht lang sein. Wichtig ist, dass sie verständlich und im Arbeitsalltag nutzbar bleibt. Sie sollte mindestens folgende Punkte enthalten:
- Ziel der KI-Nutzung: Wofür möchte das Unternehmen KI einsetzen?
- Geltungsbereich: Für wen und welche Systeme gilt die Leitlinie?
- Whitelist freigegebener KI-Anwendungen: Welche Tools dürfen genutzt werden?
- Freigabeprozess: Wie können Mitarbeitende neue KI-Anwendungen vorschlagen?
- Datenregeln: Welche Informationen dürfen nicht in KI-Systeme eingegeben werden?
- Risikoeinstufung: Wann ist eine vertiefte Prüfung nötig?
- Menschliche Kontrolle: Wann müssen Ergebnisse geprüft oder freigegeben werden?
- Kennzeichnung: Wann werden KI-Inhalte gekennzeichnet?
- Schulung: Wie bauen Mitarbeitende KI-Kompetenz auf?
- Technische Schutzmaßnahmen: Welche Anwendungen werden blockiert oder nur kontrolliert zugänglich gemacht?
- Meldewege: Was tun Mitarbeitende bei Fehlern, Datenpannen oder Unsicherheiten?
- Aktualisierung: Wie oft prüft das Unternehmen die Leitlinie?
Fazit und Ausblick
Unternehmensleitlinien zum Einsatz von KI sind ein praktisches Werkzeug für den Arbeitsalltag. Sie helfen KMU, Chancen von KI zu nutzen und Risiken zu begrenzen. Besonders wichtig ist ein klarer Whitelist-Ansatz: Nicht einzelne verbotene Tools stehen im Mittelpunkt, sondern eine Liste geprüfter und freigegebener Anwendungen.
Technische Maßnahmen wie DNS-Blocking, Webfilter oder Rechtekonzepte können die unerlaubte Nutzung zusätzlich erschweren. Sie ersetzen aber keine klare Organisation. Entscheidend sind verständliche Regeln, sichere Alternativen, geschulte Mitarbeitende und feste Verantwortlichkeiten.
Der Einstieg kann schlank erfolgen: KI-Inventar erstellen und nach Risiko bewerten, erste Anwendungen freigeben, Datenregeln formulieren, Schulungen anbieten und technische Grundschutzmaßnahmen einführen. Danach sollte die Leitlinie regelmäßig angepasst werden. Denn KI-Anwendungen, rechtliche Anforderungen und Arbeitsprozesse verändern sich schnell.
Für rechtliche Vertiefungen bietet die Wissensbox Recht des Mittelstand-Digital Zentrums Chemnitz kompakte Informationen rund um Digitalisierung und Recht, darunter gesetzliche Vorschriften, Rechtsprechung und Handlungsempfehlungen für Unternehmen.
Quellen
- Bundesnetzagentur – KI. (o. D.). https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/start_ki.html
- AI ACT Service Desk – Artikel 4: KI-Kompetenz. (o. D.). https://ai-act-service-desk.ec.europa.eu/de/ai-act/article-4
- AI Act Service Desk – Artikel 26: Pflichten der Betreiber von Hochrisiko-KI-Systemen. (o. D.). https://ai-act-service-desk.ec.europa.eu/de/ai-act/article-26
- EU-Icons zur Kennzeichnung von KI-generierten Inhalten. (o. D.). Gestaltung der Digitalen Zukunft Europas. https://digital-strategy.ec.europa.eu/de/policies/eu-icons-labelling-ai-generated-content






