Vorlage für eine KI-Nutzungsrichtlinie + Beispiele (2026)

KI-NUTZUNGSRICHTLINIE (AUP), SCHNELLSTART

Unternehmen: [Firmenname]
Gültig ab: [JJJJ-MM-TT]
Richtlinienverantwortlicher: [Team / Rolle]
Gilt für: Alle Mitarbeitenden, Auftragnehmer, Praktikanten und Aushilfen
Überprüfungsintervall: [Vierteljährlich / Halbjährlich]

1) Zweck
Diese Richtlinie definiert die zulässige Nutzung von KI-Tools zur Steigerung der Produktivität und schützt zugleich Unternehmensdaten, Kunden und geistiges Eigentum.

2) Genehmigte KI-Tools
Verwenden Sie ausschließlich KI-Tools, die von [IT/Sicherheit] genehmigt wurden. Liste der genehmigten Tools: [Link / Liste].
Verwenden Sie keine privaten KI-Konten für Unternehmensaufgaben, sofern dies nicht ausdrücklich genehmigt ist.

3) Datenregeln (am wichtigsten)
Geben Sie KEINESFALLS Folgendes in ein KI-Tool ein:
- Passwörter, Geheimnisse, API-Schlüssel, private Schlüssel, Zugriffstoken
- Zahlungsdaten (Kreditkarte/Bank), Authentifizierungscodes
- Personenbezogene Kundendaten (PII), sofern nicht von [Recht/Sicherheit] genehmigt
- Vertrauliche Verträge, Rechtsdokumente, nicht öffentliche Finanzinformationen, sofern nicht genehmigt
- Proprietären Quellcode oder Architekturdetails, sofern nicht genehmigt

Erlaubte Eingaben (Beispiele):
- Öffentlich verfügbare Informationen
- Bereinigter/anonymisierter Text ohne Identifikatoren
- Allgemeine Entwürfe ohne vertrauliche Details

4) Regeln für Ergebnisse
- Behandeln Sie KI-Ergebnisse als Entwurf: Prüfen Sie Fakten, Quellen, Berechnungen und Aussagen.
- Veröffentlichen Sie keine KI-generierten Inhalte extern ohne menschliche Prüfung.
- Verlassen Sie sich nicht ausschließlich auf KI als Grundlage für rechtliche/medizinische/finanzielle Entscheidungen.

5) Geistiges Eigentum (IP)
Fügen Sie keine urheberrechtlich geschützten Inhalte Dritter in KI-Tools ein, sofern dies nicht zulässig ist.
Befolgen Sie [IP-/Quellenangaben-Regeln des Unternehmens] für KI-gestützte Arbeitsergebnisse.

6) Sicherheit & Integrationen
- Nutzen Sie SSO (Single Sign-On), wo verfügbar.
- Verbinden Sie KI-Tools nicht ohne Genehmigung mit Unternehmenslaufwerken/Wissensdatenbanken.
- Melden Sie mutmaßliche Datenpreisgabe unverzüglich an [Sicherheitsansprechpartner].

7) Protokollierung, Überwachung & Kosten
Die KI-Nutzung kann zu Sicherheits-, Compliance- und Kostenmanagementzwecken protokolliert werden.
Mitarbeitende müssen die von [Verantwortlichem] festgelegten Nutzungsgrenzen/Budgets einhalten.

8) Verstöße
Verstöße können zu eingeschränktem Zugriff und disziplinarischen Maßnahmen bis hin zur Kündigung führen.

Genehmigung
[Name, Titel]
[Datum]

KI-NUTZUNGSRICHTLINIE (AUP)

Dokumentenkontrolle
- Unternehmen: [Firmenname]
- Version: [1.0]
- Gültig ab: [JJJJ-MM-TT]
- Verantwortlich: [Rolle / Team]
- Genehmigt von: [Rolle]
- Überprüfungsintervall: [Vierteljährlich / Halbjährlich]

1. Zweck
1.1 Zweck
[Firmenname] („Unternehmen“) ermöglicht Mitarbeitenden die Nutzung von Werkzeugen der künstlichen Intelligenz („KI“) zur Steigerung der Produktivität und schützt zugleich Unternehmensdaten, Kunden und geistiges Eigentum.

1.2 Ziele
Diese Richtlinie verfolgt folgende Ziele:
(a) Schutz von Daten des Unternehmens, der Kunden und der Partner,
(b) Reduzierung rechtlicher und Compliance-Risiken,
(c) Sicherstellung qualitativ hochwertiger Ergebnisse und verantwortungsvoller Nutzung,
(d) Verwaltung und Kontrolle der Kosten.

2. Geltungsbereich
2.1 Erfasste Personen
Diese Richtlinie gilt für alle Mitarbeitenden, Auftragnehmer, Praktikanten und Aushilfen.

2.2 Erfasste Systeme und Daten
Diese Richtlinie erfasst jegliche KI-Nutzung im Zusammenhang mit Systemen, Konten, Netzwerken oder Daten des Unternehmens, einschließlich KI-Tools von Drittanbietern, die für Unternehmensaufgaben verwendet werden.

3. Definitionen
3.1 KI-Tool
Jedes System, das mithilfe von maschinellem Lernen Texte, Bilder, Audio, Video oder Code erzeugt oder umwandelt.

3.2 Vertrauliche Daten
Alle nicht öffentlichen Informationen über das Unternehmen, seine Kunden, Partner oder Mitarbeitenden, einschließlich geschäftlicher, finanzieller, rechtlicher, technischer oder sicherheitsrelevanter Informationen.

3.3 Personenbezogene Daten (PII)
Informationen, die eine Person direkt oder indirekt identifizieren können (z. B. Name, E-Mail, Telefon, Ausweisnummer).

4. Grundsätze
4.1 Menschliche Verantwortlichkeit
Die Verantwortung für Entscheidungen und Arbeitsergebnisse verbleibt beim Menschen. KI ersetzt kein professionelles Urteilsvermögen.

4.2 Geringste Berechtigung
KI-Tools und Integrationen erhalten ausschließlich den minimal erforderlichen Zugriff.

4.3 Datenminimierung
Stellen Sie nur die für die Aufgabe erforderlichen Mindestdaten bereit.

4.4 Sicherheit von Anfang an
Verwenden Sie genehmigte Tools und sichere Konfigurationen (SSO, Verschlüsselung, Zugriffskontrollen).

5. Genehmigte Tools und Konten

5.1 Liste der genehmigten Tools
Mitarbeitende dürfen ausschließlich Tools verwenden, die von [IT/Sicherheit] genehmigt sind und unter folgendem Link aufgeführt werden: [Link].

5.2 Anforderungen an Konten
- Nutzen Sie unternehmensverwaltete Konten (SSO), wo verfügbar.
- Verwenden Sie keine privaten KI-Konten für Unternehmensaufgaben, sofern keine Genehmigung von [IT/Sicherheit] vorliegt.

5.3 Tool-Anfragen
Anfragen für neue KI-Tools sind über [Prozess/Link] einzureichen und werden bewertet hinsichtlich:
- Sicherheitskontrollen (SSO, RBAC, Verschlüsselung)
- Datenverarbeitungs- und Aufbewahrungsrichtlinien
- Compliance (AVV, SOC 2 oder gleichwertig)
- Auswirkungen auf die Kosten

6. Regeln zum Umgang mit Daten
6.1 Verbotene Eingaben (niemals erlaubt)
Mitarbeitende dürfen Folgendes keinesfalls in ein KI-Tool eingeben:
- Passwörter, Zugangsdaten, Geheimnisse, Zugriffstoken, private Schlüssel
- Kreditkarten- oder Bankkontodaten
- Authentifizierungscodes (OTP), Wiederherstellungscodes
- Hochsensible personenbezogene Daten (Gesundheit, Biometrie usw.)

6.2 Eingeschränkte Eingaben (nur mit Genehmigung erlaubt)
Folgendes darf ausschließlich mit dokumentierter Genehmigung von [Recht/Sicherheit] und nur mit angemessenen Schutzmaßnahmen verwendet werden:
- Personenbezogene Kundendaten oder Kundeninhalte
- Nicht öffentliche Rechtsdokumente, Verträge oder Verhandlungen
- Nicht öffentliche Finanzergebnisse oder Prognosen
- Proprietärer Code, Systemarchitektur oder Sicherheitsdetails

6.3 Erlaubte Eingaben
Folgende Eingaben sind grundsätzlich erlaubt:
- Öffentlich verfügbare Informationen
- Bereinigter/anonymisierter Text, der keine Person oder keinen Kunden identifizieren kann
- Allgemeine Entwürfe ohne vertrauliche Geschäftsdetails

6.4 Anforderungen an die Anonymisierung
Bei der Verwendung interner Texte müssen Mitarbeitende Folgendes entfernen oder maskieren:
- Namen, E-Mail-Adressen, Telefonnummern, Anschriften
- Kundenkennungen und Kontonummern
- Eindeutige Projektnamen oder vertrauliche Kennungen

6.5 Speicherung und Aufbewahrung
Mitarbeitende müssen davon ausgehen, dass Inhalte, die in KI-Tools von Drittanbietern eingegeben werden, vom Anbieter gespeichert und überprüft werden können, sofern keine schriftliche Vereinbarung Gegenteiliges festlegt.

7. Nutzung der Ergebnisse und Qualitätskontrollen
7.1 Verifizierung
KI-Ergebnisse müssen verifiziert werden hinsichtlich:
- sachlicher Richtigkeit
- Quellenangaben/Belege für Aussagen
- Berechnungen und Argumentation
- Konformität mit Unternehmensstandards

7.2 Externe Veröffentlichung
KI-generierte Inhalte (Marketing, Dokumentation, Code, Kundenkommunikation usw.) dürfen nicht ohne menschliche Prüfung extern veröffentlicht werden.

7.3 Sensible Entscheidungen
KI darf nicht als alleinige Grundlage für rechtliche, medizinische, HR-, Compliance-, Einstellungs- oder Finanzentscheidungen verwendet werden.

8. Geistiges Eigentum und Lizenzierung
8.1 Materialien Dritter
Mitarbeitende dürfen urheberrechtlich geschützte Materialien Dritter nur eingeben, wenn dies durch Lizenz oder ausdrückliche Genehmigung gestattet ist.

8.2 IP des Unternehmens
KI-gestützte Arbeitsergebnisse sind Liefergegenstände des Unternehmens und müssen [IP-Richtlinie] entsprechen. Sofern erforderlich, sind Quellenangaben aufzunehmen und Aufzeichnungen zu Quellen aufzubewahren.

9. Sicherheit und Integrationen
9.1 Integrationen mit internen Systemen
Die Anbindung von KI-Tools an Unternehmenssysteme (Google Drive, Notion, Confluence, Datenbanken, Ticketing usw.) erfordert die Genehmigung durch [IT/Sicherheit].

9.2 Zugriffskontrollen unterstützen:
- rollenbasierte Zugriffskontrolle (RBAC)
- Benutzerverwaltung (idealerweise über SSO)
- Audit-Protokolle (sofern verfügbar)

9.3 Vorfallmeldung
Mitarbeitende müssen mutmaßliche Datenpreisgabe, Vorfälle mit Prompt Injection oder Richtlinienverstöße unverzüglich an [Sicherheitsansprechpartner] melden.

10. Datenschutz und Compliance
10.1 Rechtliche Compliance
Die KI-Nutzung muss den geltenden Gesetzen und Unternehmensrichtlinien (Datenschutz, Sicherheit, Aufbewahrung, HR usw.) entsprechen.

10.2 Einschränkungen für Kunden und Partner
Wenn ein Kundenvertrag die KI-Nutzung einschränkt, gehen diese Einschränkungen dieser Richtlinie vor.

11. Kostenkontrollen und Nutzungserfassung
11.1 Budgetierung
[Verantwortlicher] legt Nutzungsbudgets und/oder Limits pro Team/Rolle fest.

11.2 Überwachung
Die KI-Nutzung kann zu Sicherheits-, Compliance- und Kostenkontrollzwecken überwacht und gemeldet werden.

11.3 Modellbeschränkungen
Soweit zutreffend, können teurere Modelle auf bestimmte Rollen oder Anwendungsfälle beschränkt werden.

12. Schulung und Support
12.1 Schulung
Mitarbeitende müssen die erforderliche KI-Schulung absolvieren, bevor sie genehmigte KI-Tools für Unternehmensaufgaben verwenden.

12.2 Support
Fragen sind zu richten an:
- Sicherheit/IT: [Kontakt]
- Recht: [Kontakt]
- HR/People Ops: [Kontakt]