34% der deutschen Beschäftigten nutzen KI mit privaten Accounts bei der Arbeit. Das ist die Bitkom-Zahl. Die Software AG kommt in einer separaten Studie sogar auf 50%. Beide Studien sagen dasselbe: In den meisten Unternehmen gibt es keine Regeln für KI-Nutzung.
Keine Regeln heißt keine Kontrolle. Keine Kontrolle heißt, dass Daten dort landen, wo sie nicht hingehören.
Und genau deshalb brauchen Sie eine KI-Nutzungsrichtlinie.
Was passiert ohne Richtlinie
Ohne eine dokumentierte Policy macht jeder Mitarbeiter seine eigenen Regeln. Die Assistenz kopiert Mandantenkorrespondenz in die kostenlose Version von ChatGPT, um Formulierungen zu verbessern. Der Sachbearbeiter nutzt Copilot für alles, ohne darüber nachzudenken, auf welche Daten das Tool zugreifen kann. Und die Kollegin am Empfang fasst KI gar nicht an, weil sie Angst hat, etwas falsch zu machen.
Alle drei handeln nach bestem Wissen. Alle drei liegen falsch.
Das Problem ist nicht, dass Menschen KI nutzen oder nicht nutzen. Das Problem ist, dass es keinen Rahmen gibt. Keine Freigabe, kein Verbot, keine Orientierung. Jeder rät.
Für Kanzleien und Steuerbüros wiegt das besonders schwer. Mandantendaten unterliegen der beruflichen Schweigepflicht nach §203 StGB. Wer diese Daten in ein US-amerikanisches KI-Tool ohne vertragliche Grundlage eingibt, riskiert nicht nur ein DSGVO-Bußgeld. Das ist ein Straftatbestand. Ich habe das hier ausführlich erklärt.
Eine Nutzungsrichtlinie löst das nicht allein. Aber sie ist die Basis. Das Dokument, das sagt: „So nutzen wir KI in diesem Unternehmen.” Zwei bis vier Seiten, kein Roman.
Was in die Richtlinie gehört
Ich gehe mal die einzelnen Abschnitte durch, die eine brauchbare KI-Policy abdecken sollte. Nicht als starre Vorlage, sondern als Struktur, die Sie auf Ihre Kanzlei zuschneiden.
Freigegebene und gesperrte Tools
Der wichtigste Abschnitt. Hier steht schwarz auf weiß, welche KI-Tools im Unternehmen erlaubt sind und welche nicht. Konkret. Mit Namen.
„Microsoft Copilot for M365 ist freigegeben. ChatGPT Free ist nicht freigegeben. ChatGPT Plus ist nicht freigegeben. Perplexity ist nicht freigegeben.”
Warum die Unterscheidung? Weil nicht jede ChatGPT-Lizenz einen Auftragsverarbeitungsvertrag bietet. Die kostenlose Version nutzt Ihre Eingaben zum Modelltraining. Ohne AVV fehlt die Rechtsgrundlage nach Art. 28 DSGVO. Das gilt auch für Plus und Pro.
Wenn Sie diesen Abschnitt nicht haben, können Sie Ihren Mitarbeitern keinen Vorwurf machen. Sie haben ihnen nie gesagt, was erlaubt ist.
Was nie in ein KI-Tool eingegeben werden darf
Selbst bei freigegebenen Tools gibt es Eingaben, die tabu sind. Dieser Abschnitt definiert die Grenze.
Mandantennamen. Mandantendaten. Finanzdaten von Mandanten oder Kunden. Personenbezogene Daten jeder Art. Interne Strategiedokumente. Entwürfe von Verträgen mit echten Namen und Zahlen. Gesundheitsdaten. Alles, was unter das Berufsgeheimnis fällt.
Die Regel ist simpel: Wenn Sie die Information nicht an einen Fremden auf der Straße weitergeben würden, geben Sie sie nicht in ein KI-Tool ein. Auch nicht in ein freigegebenes.
Datenklassifizierung und KI
Viele Unternehmen haben bereits eine Datenklassifizierung. Die Nutzungsrichtlinie muss diese mit der KI-Nutzung verknüpfen. Falls Sie noch keine haben, ist jetzt ein guter Zeitpunkt.
Das Prinzip dahinter: Nicht alle Daten sind gleich sensibel. Ihre Policy ordnet jede Kategorie einer KI-Freigabestufe zu.
Vertrauliche Daten, also alles mit Mandantenbezug, Personalakten, Finanzdaten, das geht in kein KI-Tool. Punkt. Interne Daten, wie allgemeine Prozessbeschreibungen oder anonymisierte Beispiele, dürfen in freigegebene Tools. Öffentliche Informationen können in jedes Tool eingegeben werden.
Klingt einfach. Ist es auch. Aber ohne diese Zuordnung muss jeder Mitarbeiter bei jeder Eingabe selbst entscheiden, ob das okay ist. Und das funktioniert nicht.
Was tun bei einem Fehler
Irgendjemand wird irgendwann sensible Daten in ein falsches Tool eingeben. Das passiert. Die Frage ist, ob es eine Meldekette gibt oder ob der Mitarbeiter es aus Angst verschweigt.
Die Richtlinie braucht einen Abschnitt dafür. Wen muss man informieren? Wie schnell? Was sind die nächsten Schritte? Gibt es eine Meldepflicht an die Aufsichtsbehörde nach Art. 33 DSGVO?
Wichtig: Keine Schuldzuweisung. Wenn Mitarbeiter Angst vor Konsequenzen haben, melden sie nichts. Dann erfahren Sie erst davon, wenn die Aufsichtsbehörde nachfragt. Das ist schlimmer.
Schulung
Eine Richtlinie, die niemand liest, ist nutzlos. Der Schulungsabschnitt legt fest, wie Mitarbeiter mit der Policy vertraut gemacht werden. Wann findet die erste Schulung statt? Gibt es regelmäßige Auffrischungen?
Ab Februar 2025 gilt übrigens die KI-Kompetenzpflicht nach Art. 4 der KI-Verordnung. Unternehmen, die KI einsetzen, müssen sicherstellen, dass Mitarbeiter über „ausreichende KI-Kompetenz” verfügen. Das ist keine Empfehlung. Das ist EU-Recht. Die Nutzungsrichtlinie und die Schulung dazu sind ein guter erster Schritt, um diese Pflicht zu erfüllen.
Verantwortlichkeiten
Wer ist für die Richtlinie verantwortlich? Wer hält sie aktuell? Wer entscheidet, ob ein neues Tool freigegeben wird? Wer genehmigt Ausnahmen?
In kleinen Kanzleien ist das oft die Geschäftsführung selbst. In größeren Strukturen kann es der Datenschutzbeauftragte oder die IT-Leitung sein. Entscheidend ist, dass es einen Namen gibt. Nicht „die Geschäftsleitung”. Einen Menschen.
Policy allein reicht nicht
Hier kommt der Punkt, den viele übersehen. Eine Nutzungsrichtlinie ist ein Dokument. Sie sagt: „Gib keine Mandantendaten in ChatGPT ein.” Gut. Aber was hindert jemanden daran, es trotzdem zu tun?
Nichts. Außer der Hoffnung, dass alle die Richtlinie gelesen haben und sich daran halten.
Deshalb brauchen Sie beides: die Policy und die technische Durchsetzung. Sensitivity Labels in Microsoft 365, die verhindern, dass als „vertraulich” gekennzeichnete Dokumente in KI-Tools eingefügt werden. DLP-Policies, die bestimmte Datenmuster erkennen und blockieren. Conditional Access, der den Zugriff auf nicht freigegebene KI-Dienste sperrt.
Die Policy ohne technische Kontrollen ist eine Empfehlung. Die technischen Kontrollen ohne Policy haben keine rechtliche Grundlage. Sie brauchen beides.
Was Sie nicht tun sollten
Drei Dinge, die ich regelmäßig sehe und die nicht funktionieren.
Erstens: 40-seitige Dokumente. Niemand liest ein 40-seitiges Regelwerk. Halten Sie die Richtlinie auf zwei bis vier Seiten. Alles, was darüber hinausgeht, gehört in separate Anlagen, auf die verwiesen wird.
Zweitens: Totalverbote. „KI-Nutzung ist in unserem Unternehmen untersagt.” Das klingt sicher. Es bewirkt das Gegenteil. Mitarbeiter nutzen die Tools trotzdem, nur heimlich. 50% der deutschen Beschäftigten verbergen ihre KI-Nutzung vor dem Arbeitgeber. Ein Totalverbot treibt die Nutzung in den Untergrund, wo Sie sie nicht mehr kontrollieren können.
Drittens: Vorlagen aus dem Internet kopieren, ohne sie anzupassen. Jede Kanzlei nutzt andere Tools, verarbeitet andere Datenarten, hat andere Workflows. Eine generische Vorlage, die nicht auf Ihre spezifische Infrastruktur zugeschnitten ist, gibt Ihren Mitarbeitern falsche Sicherheit. Oder noch schlimmer, sie gibt Tools frei, die in Ihrer Umgebung nicht abgesichert sind.
Der nächste Schritt
Ich erstelle KI-Nutzungsrichtlinien als Teil jeder Copilot-Compliance-Einführung. Weil Policy und technische Umsetzung zusammengehören. Die Richtlinie sagt, was erlaubt ist. Sensitivity Labels, DLP und Conditional Access setzen es durch. Und die Schulung stellt sicher, dass Ihre Mitarbeiter beides verstehen.
Wenn Sie wissen wollen, wo Ihre Kanzlei gerade steht: Mein kostenloser KI-Compliance-Check zeigt Ihnen in 2 Minuten, welche Lücken es gibt.
Oder buchen Sie direkt ein kostenloses 30-Minuten-Gespräch. Wir schauen gemeinsam auf Ihre aktuelle Situation und klären, was Sie brauchen.