Wissensbasis

Lade … ← Übersicht Vorgänge

Stand: 28.5.2026 · Thema: Spezialfelder · Datenschutz-Organisation · DSGVO Art. 5, 32

Generative KI im Unternehmen — Mindestregelungen

ChatGPT, Microsoft Copilot, Google Gemini, Claude und vergleichbare Tools sind in den meisten Büros längst angekommen — meist ohne dass eine formale Regelung existiert. Die folgende Mindestliste sollte in jeder Organisation als Richtlinie oder Betriebsvereinbarung dokumentiert sein.

1. Welche Tools sind erlaubt?

Drei Tier-Modell:

  • Tier 1 — Erlaubt mit Geschäftslizenz: nur Versionen mit Enterprise-/Business-Vertrag (ChatGPT Team/Enterprise, Microsoft 365 Copilot, Google Workspace mit Gemini, Claude for Work). Sie haben einen AVV/DPA und ein „kein Trainings-Opt-in”-Setting.
  • Tier 2 — Erlaubt für Recherche: kostenlose Versionen ausschließlich für öffentlich verfügbare Inputs (z.B. Recherche, Brainstorming ohne Kundenbezug). Keine personenbezogenen Daten, keine Geschäftsgeheimnisse.
  • Tier 3 — Verboten: keine Tools ohne Tier-Einordnung oder mit unklarem Rechtsstand.

2. Was darf NICHT in eine KI

  • Personenbezogene Daten Dritter (Kunden, Lieferanten, Bewerber) in einem Tool ohne AVV.
  • Sensible Daten nach Art. 9 (Gesundheit, Religion, …) auch in Tools mit AVV nur mit zusätzlicher Risikoabwägung.
  • Geschäftsgeheimnisse — Quellcode, Strategiepapiere, Finanzplanung — wenn kein Enterprise-Vertrag mit Schutzklauseln.
  • Mandanten-/Klienten-Daten mit besonderer Verschwiegenheit (Anwalt, Arzt, Steuerberater).
  • Bewerberunterlagen für die Auswahlentscheidung (zusätzlich: AGG-, KI-VO-Probleme).

3. Was darf in eine KI

  • Eigene unkritische Texte (Newsletter-Entwürfe ohne Personenbezug, Code-Snippets ohne Geschäftsgeheimnis).
  • Öffentlich verfügbare Inputs (zur Übersetzung, Zusammenfassung).
  • Synthetische oder maskierte Beispiele statt echter Daten.
  • Eigene Code-Bibliotheken, die als Open Source vorliegen oder freigegeben wurden.

4. Verantwortung der Mitarbeitenden

  • Output prüfen: KI-Outputs sind nie fertige Arbeitsergebnisse. Quellen prüfen, fachlich plausibilisieren.
  • Kennzeichnung: Wo KI substantiell beigetragen hat, wird das intern dokumentiert (für Audits, für Lerneffekt).
  • Halluzinationen: bewusst sein, dass KI plausible Fakten erfindet.
  • Urheberrecht: KI-Output kann fremde geschützte Inhalte enthalten.

5. Verantwortung der Geschäftsführung

  • Richtlinie in den Schulungs-Kanon aufnehmen.
  • Lizenzen für Tier 1 beschaffen, damit der Anreiz für unsichere Tools entfällt.
  • Schatten-IT monitoren (welche KI-Tools werden ohne Freigabe verwendet?).
  • Datenpannen mit KI-Bezug ins Vorfallregister.

6. Betriebsrat / Mitbestimmung

Sobald KI im Mitarbeiterbezug eingesetzt wird (Bewertung, Überwachung, Personalentscheidung):

  • § 87 BetrVG greift — Mitbestimmungspflicht.
  • § 90 BetrVG: Unterrichtungspflicht des Arbeitgebers.

Bei reiner Produktivitätsnutzung (z.B. Copilot zum Mails schreiben) ist die Mitbestimmungspflicht schwächer, aber Information sollte trotzdem erfolgen.

7. Stichproben und Schulung

  • Quartalsweise Kurz-Schulung zu KI-Praxis (15 Min, mit Beispielen aktueller Fehlnutzungen).
  • Stichprobe von KI-Outputs (typisch: 5 Beispiele pro Quartal) auf Datenschutz-Tauglichkeit.

Häufige Fehler

  • Komplettverbot ohne Alternative → Schatten-IT.
  • Keine Differenzierung zwischen Enterprise- und Konsumer-Versionen.
  • Vermeintlich anonymisierte Inputs, die durch Kontext de-anonymisierbar sind.
  • „Wir haben Copilot — also alles erlaubt” ohne klare Output-Verantwortung.

Wenn wir DSB sind

Wir liefern eine Muster-Richtlinie (Word/PDF), unterstützen die Lizenzauswahl, prüfen Enterprise-DPAs auf die Trainings-Opt-out-Klauseln und führen die Mitarbeiter-Kurzschulung als 30-Min-Webinar durch.

Quelle: FS/CS GmbH