KI-Richtlinie: Der Unterschied zwischen Verbotsliste und Spielfeld
78% der KI-Nutzer bringen eigene Tools mit — mit oder ohne Richtlinie. Der Unterschied: mit einer guten Richtlinie passiert das sichtbar. Ohne passiert es im Verborgenen.
Was eine KI-Richtlinie leisten muss, wie sie aufgebaut wird, und was die häufigsten Fehler sind.
Warum Verbotslisten das Gegenteil bewirken
Die meistgewählte Reaktion auf Shadow AI: ein Verbot. “Keine nicht-genehmigten KI-Tools.” Das Ergebnis ist konsistent dokumentiert: Die Nutzung sinkt im sichtbaren Bereich. Im Verborgenen steigt sie weiter — jetzt ohne jeden Überblick.
Was passiert ohne Richtlinie
KI-Tools entstehen überall. Keine Sichtbarkeit, keine Kontrolle, kein Überblick welche Daten wo landen. Das Compliance-Risiko ist real.
Was passiert mit Verbotsliste
Formale Compliance. Informelle Nutzung unter dem Radar. Dasselbe Risiko — aber jetzt ohne Kanal es zu melden oder zu steuern.
“Verbote lösen das Problem nicht. Sie treiben die Nutzung nur unter den Radar.”
Eine wirksame KI-Richtlinie ist kein Verbotsinstrument — sie ist ein Spielfeld. Sie definiert klar was geht, was nicht geht, und was eine Genehmigung braucht. Wer weiß was erlaubt ist, muss nicht umgehen.
Was das für euch bedeutet: Das Ziel einer KI-Richtlinie ist nicht Null-Risiko — das ist unrealistisch. Das Ziel ist kontrolliertes Risiko mit sichtbarer Nutzung.
Drei Bestandteile einer wirksamen KI-Richtlinie
Klare Grenzen (was nie gilt)
Welche Nutzungen sind ausgeschlossen — unabhängig von Tool und Kontext? Typisch: keine Kundendaten in externe LLMs ohne Datenschutz-Review, keine KI-Entscheidungen ohne menschliche Überprüfung bei Hochrisiko, keine Nutzung für unlautere Beeinflussung. Diese Liste muss kurz und eindeutig sein. Lange Listen liest niemand.
Freigegebenes Terrain (was immer gilt)
Welche Tools und Use Cases sind freigegeben und können direkt genutzt werden? Ein genehmigter Tool-Katalog mit dokumentierten Datenklassifikationen. Was darf ich mit ChatGPT machen? Was nicht? Das muss auf einem Zettel stehen, nicht in einem 40-Seiten-Dokument.
Überprüfungsprozess (was eine Genehmigung braucht)
Ein schneller, niedrigschwelliger Weg um neue Tools oder Use Cases prüfen zu lassen. Wer zwei Wochen auf eine Antwort wartet, fragt nicht nochmal. Ziel: 48-72 Stunden für Standard-Cases.
Datenklassifikation: Das Herzstück jeder Richtlinie
Die wichtigste operationale Frage die eine KI-Richtlinie beantwortet: Welche Daten dürfen in welche Systeme?
Öffentliche Daten
Keine Einschränkung.
Allgemein verfügbare Informationen, veröffentlichte Unternehmensinfos.
Interne Daten
Nur in genehmigten internen oder Cloud-Systemen mit Datenverarbeitungsvertrag.
Interne Prozesse, nicht-sensitive Projektdaten.
Vertrauliche Daten
Nur in Systemen die explizit genehmigt sind.
Kunden- und Partnerdaten, Vertragsdetails, strategische Pläne.
Hochvertraulich / Personenbezogen
Erfordert Einzelfall-Genehmigung.
Personalakten, Gesundheitsdaten, Finanzdaten von Personen.
Diese Klassifikation — konsequent kommuniziert — gibt Mitarbeitern eine Entscheidungsregel. Keine Rückfrage beim Compliance-Team für Standard-Cases.
Was das für euch bedeutet: Wenn Mitarbeiter nicht wissen in welche Kategorie ihre Daten fallen, werden sie die Frage nicht stellen — sie werden entscheiden. Eine gute Richtlinie macht diese Entscheidung trivial.
Vier häufige Fehler
Zu lang, zu juristisch
Eine Richtlinie die nur Juristen lesen, lesen nur Juristen. Mitarbeiter brauchen eine A4-Seite mit klaren Regeln — nicht ein 20-Seiten-Dokument mit Ausnahme-Kaskaden.
Keine Unterscheidung nach Datenklasse
„KI-Tools dürfen nur für interne Zwecke genutzt werden" ist keine Aussage. Was ist intern? Gilt das für Kundendaten? Für Verträge? Ohne Klassifikation entscheidet jeder selbst.
Kein schneller Freigabe-Prozess
Eine Richtlinie ohne einfachen Freigabe-Weg erzeugt einen Bypass-Anreiz. Wenn ich drei Wochen auf eine Antwort warte, nutze ich das Tool direkt — und frage nächstes Mal nicht mehr.
Einmalig statt laufend
KI-Tools und Use Cases entwickeln sich monatlich. Eine Richtlinie die einmal geschrieben und nie aktualisiert wird, ist in sechs Monaten Makulatur.