KI-Leitlinien-Generator - fertige Richtlinie in unter 10 Minuten.

Diese Richtlinie gilt für alle Beschäftigten der Organisation.

Die Richtlinie erstreckt sich ausdrücklich auch auf externe Mitarbeitende, Werkstudierende, Praktikant:innen und Auftragnehmende, die im Auftrag der Organisation tätig sind. Die Einbindung wird vertraglich abgesichert.

Diese Richtlinie regelt den Einsatz von KI-gestützten Anwendungen ("KI-Tools") bei [Unternehmensname]. Ziel ist es, die mit dem KI-Einsatz verbundenen Chancen verantwortungsvoll zu nutzen und dabei datenschutzrechtliche, urheberrechtliche, haftungsrechtliche und sicherheitstechnische Anforderungen zu wahren.

Die Richtlinie ergänzt bestehende Regelungen zu Datenschutz, IT-Sicherheit und Geschäftsgeheimnissen. Bei Widersprüchen gehen strengere Vorgaben vor.

Bei Unklarheiten zur Anwendbarkeit dieser Richtlinie auf konkrete Einzelfälle wenden sich Beschäftigte zuerst an die in §3 genannten Verantwortlichen.

Zur Nutzung im Arbeitskontext sind ausschließlich folgende KI-Anwendungen freigegeben:

• Microsoft Copilot (M365 Business)
• ChatGPT Enterprise

Alle weiteren KI-Anwendungen - einschließlich öffentlich zugänglicher Versionen freigegebener Tools (z. B. ChatGPT-Free statt ChatGPT-Enterprise) - dürfen nicht eingesetzt werden, bevor sie durch die in §3 genannten Verantwortlichen geprüft und freigegeben wurden.

Beschäftigte, die einen Bedarf für ein zusätzliches Tool sehen, stellen einen formlosen Freigabe-Antrag (E-Mail an die IT-Verantwortlichen). Die Prüfung umfasst Anbietersitz, Datenschutz, Vertragslage und IT-Sicherheit.

In KI-Anwendungen werden grundsätzlich KEINE personenbezogenen Daten eingegeben - weder von Mitarbeitenden, noch von Kund:innen, noch von Geschäftspartner:innen. Auch Daten, die mittelbar Rückschlüsse auf konkrete Personen erlauben (z. B. Stellenbeschreibung in Verbindung mit Standort), gelten als personenbezogen im Sinne dieser Richtlinie.

Die DSGVO und insbesondere die Vorgaben zur Rechtsgrundlage (Art. 6, ggf. Art. 9), Zweckbindung (Art. 5 Abs. 1 lit. b) und Datenminimierung (Art. 5 Abs. 1 lit. c) sind beim Einsatz von KI-Anwendungen vollumfänglich einzuhalten.

Vor dem Einsatz neuer KI-Anwendungen prüft die zuständige Datenschutz-Funktion, ob eine Datenschutz-Folgenabschätzung (DSFA, Art. 35 DSGVO) erforderlich ist. Bei Anwendungen mit Hochrisiko-Charakter im Sinne der EU-KI-VO erfolgt zusätzlich eine Risikoklassifizierung nach Art. 6 / Anhang III KI-VO.

Vertrauliche oder geheimhaltungsbedürftige Informationen werden nicht in KI-Anwendungen eingegeben. Dazu gehören unter anderem: Strategieunterlagen, Finanzkennzahlen vor Veröffentlichung, Quellcode mit eingebetteten Geheimnissen, Vertragsentwürfe, M&A-Inhalte, Personaldaten, Mandantendaten in regulierten Berufen.

Bei Unsicherheit gilt: Wenn Sie eine Information nicht ohne Weiteres an eine externe E-Mail-Adresse senden würden, geben Sie sie auch nicht in eine KI-Anwendung ein.

KI-generierte Inhalte begründen kein eigenes Urheberrecht der Beschäftigten und damit auch kein Nutzungsrecht der Organisation an den generierten Werken. Diese rechtliche Lage muss bei der Verwendung berücksichtigt werden, insbesondere bei Veröffentlichung oder Lizenzierung.

Wer Inhalte (Text, Bild, Code, Audio) wesentlich mit KI-Unterstützung erstellt hat, weist intern und - wo geboten - extern darauf hin (Redlichkeitsprinzip). Plagiat-, Lizenz- und Bildrechte sind eigenständig zu prüfen, bevor KI-Outputs nach außen verwendet werden.

KI-Anwendungen können fehlerhafte, veraltete oder erfundene Inhalte liefern (Halluzinationen). Die inhaltliche Verantwortung für jede Ausgabe trägt die nutzende Person. Vor jeder Weiterverwendung ist eine sachliche Prüfung Pflicht.

In sensiblen Anwendungsfeldern (Personalauswahl, Bonitätsprüfung, gesundheitliche Bewertungen) achten Beschäftigte aktiv auf Diskriminierungsfreiheit. Auffälligkeiten werden an die in §3 genannten Verantwortlichen gemeldet.

• Anmelde- und Zugangsdaten zu KI-Anwendungen werden vertraulich behandelt und nicht geteilt.
• Mehr-Faktor-Authentifizierung ist - sofern verfügbar - verpflichtend.
• Systeme und Anwendungen werden zeitnah aktualisiert. Verfügbare Updates dürfen nicht dauerhaft ausgesetzt werden.
• Verdächtige Aktivitäten oder Sicherheitsvorfälle werden unverzüglich an die IT-Verantwortlichen und den DSB gemeldet.

Gemäß Art. 4 EU-KI-VO stellen wir sicher, dass alle Beschäftigten, die KI-Anwendungen einsetzen, über ein angemessenes Maß an KI-Kompetenz verfügen. Form und Tiefe der Schulung richten sich nach Funktion und Verantwortlichkeit.

Die Teilnahme an verbindlichen Schulungen ist Pflicht und wird dokumentiert. Beschäftigte halten ihr Wissen eigenverantwortlich aktuell, insbesondere bei wesentlichen Änderungen an freigegebenen Tools.

Ungewöhnliche Vorfälle, datenschutzrelevante Auffälligkeiten oder Verdacht auf Sicherheitsverletzungen im Zusammenhang mit KI-Anwendungen werden unverzüglich gemeldet - per E-Mail an it@beispiel.de.

Bei datenschutzrechtlichen Vorfällen wird zusätzlich die zuständige Datenschutz-Funktion eingebunden. Bei meldepflichtigen Vorfällen nach Art. 33/34 DSGVO oder Art. 73 EU-KI-VO erfolgt die behördliche Meldung durch die in §3 genannten Verantwortlichen.

Diese Richtlinie tritt am 13.06.2026 in Kraft (Version 1.0). Sie wird von Geschäftsführung mindestens jährlich auf Aktualität geprüft und bei wesentlichen Änderungen der Rechtslage oder des Tool-Portfolios fortgeschrieben.

Die jeweils gültige Fassung wird allen Beschäftigten zugänglich gemacht. Wesentliche Änderungen werden aktiv kommuniziert.