KI-Richtlinien für KMU: So erstellen Sie klare Regeln für den KI-Einsatz
KI-Richtlinien (auch: KI-Policy, AI Usage Policy) definieren die Regeln für den Umgang mit Künstlicher Intelligenz in Ihrem Unternehmen. Sie legen fest, wer welche KI-Tools nutzen darf, welche Daten eingegeben werden dürfen und wie Ergebnisse geprüft werden müssen. Für Schweizer KMU sind KI-Richtlinien die Grundlage für Compliance mit dem EU AI Act und dem Datenschutzgesetz (DSG).
KI-Richtlinien für KMU: So erstellen Sie klare Regeln für den KI-Einsatz
KI-Richtlinien (auch: KI-Policy, AI Usage Policy) definieren die Regeln für den Umgang mit Künstlicher Intelligenz in Ihrem Unternehmen. Sie legen fest, wer welche KI-Tools nutzen darf, welche Daten eingegeben werden dürfen und wie Ergebnisse geprüft werden müssen. Für Schweizer KMU sind KI-Richtlinien die Grundlage für Compliance mit dem EU AI Act und dem Datenschutzgesetz (DSG).
Was sind KI-Richtlinien?
KI-Richtlinien sind ein verbindliches Dokument, das den Einsatz von Künstlicher Intelligenz im Unternehmen regelt. Sie dienen drei Zwecken: rechtliche Absicherung gegenüber Regulatoren und Kunden, operationelle Klarheit für Mitarbeitende und Qualitätssicherung für KI-generierte Ergebnisse. Gute KI-Richtlinien für ein KMU sind pragmatisch (5 bis 15 Seiten), verständlich und direkt umsetzbar.
Warum braucht Ihr KMU KI-Richtlinien?
EU AI Act Compliance
Art. 4 verlangt KI-Kompetenz, Art. 26 fordert von Deployern Transparenz und Überwachung. Richtlinien sind die Basis.
Datenschutz
Das DSG und die DSGVO regulieren den Umgang mit personenbezogenen Daten in KI-Tools.
Haftung
Ohne Richtlinien haftet das Unternehmen für den unkontrollierten KI-Einsatz durch Mitarbeitende.
Vertrauen
Kunden, Partner und Mitarbeitende erwarten einen verantwortungsvollen Umgang mit KI.
KI-Richtlinien erstellen: 5 Schritte für Ihr KMU
Schritt 1
KI-Inventar erstellen
Bevor Sie Richtlinien schreiben, müssen Sie wissen, welche KI-Tools in Ihrem Unternehmen eingesetzt werden. Erfassen Sie:
Offiziell beschaffte KI-Systeme (Lizenzen, Abonnements)
Von Mitarbeitenden eigenständig genutzte Tools (Shadow AI)
KI-Funktionen in bestehender Software (z.B. KI in CRM, Buchhaltung, E-Mail)
Zweck, Nutzerkreis und verarbeitete Datenarten pro Tool
Was dabei alles zum KI-Inventar zählt (inkl. Shadow AI und mitgelieferte KI), erklärt dieser Artikel.
Schritt 2
Risikobewertung durchführen
Bewerten Sie jedes KI-System nach den Risikokategorien des EU AI Act:
Verarbeitet das Tool personenbezogene Daten?
Trifft es automatisierte Entscheidungen über Personen?
Welche Konsequenzen hat ein fehlerhafter Output?
Welche Datenschutzrisiken bestehen?
Schritt 3
Regeln definieren
Basierend auf dem Inventar und der Risikobewertung definieren Sie die Regeln:
Erlaubte und verbotene KI-Tools
Regeln für Dateneingabe (welche Daten dürfen, welche nicht)
Prüfpflichten für KI-Outputs
Dokumentationspflichten
Meldepflichten bei Vorfällen
Verantwortlichkeiten und Ansprechpersonen
Schritt 4
Policy-Dokument verfassen
Struktur einer KI-Policy für KMU:
Zweck und Geltungsbereich
Definitionen (was ist KI, was sind die relevanten Systeme)
Grundsätze (Transparenz, Verantwortung, Datenschutz, Qualität)
Erlaubte und verbotene Nutzung
Regeln für Dateneingabe und Datenschutz
Qualitätssicherung und Prüfpflichten
Rollen und Verantwortlichkeiten
Meldung von Vorfällen
Schulung und Kompetenz
Inkrafttretung und Aktualisierung
Schritt 5
Kommunizieren und schulen
Die beste Policy nützt nichts, wenn niemand sie kennt. Planen Sie:
Eine Einführungsveranstaltung für alle Mitarbeitenden
Kompakte Schulung zu den wichtigsten Regeln (90 Minuten reichen)
Integration in das Onboarding neuer Mitarbeitender
Regelmässige Updates bei Änderungen
Vorlage: Was in Ihre KI-Richtlinien gehört
Abschnitt 1
Allgemeine Grundsätze
"Dieses Unternehmen setzt Künstliche Intelligenz ein, um Arbeitsabläufe zu unterstützen und die Produktivität zu steigern. Der Einsatz erfolgt verantwortungsvoll, transparent und im Einklang mit geltendem Recht (DSG, DSGVO, EU AI Act)."
Abschnitt 2
Erlaubte KI-Tools
Listen Sie die genehmigten Tools auf (z.B. ChatGPT Enterprise, Microsoft Copilot) und verbieten Sie die Nutzung nicht genehmigter Alternativen für geschäftliche Zwecke.
Abschnitt 3
Dateneingabe
"Folgende Daten dürfen nicht in KI-Tools eingegeben werden: Personendaten von Kunden (Namen, Adressen, E-Mails), vertrauliche Geschäftsdaten, Finanzdaten, Gesundheitsdaten, Passwörter und Zugangsdaten."
Abschnitt 4
Qualitätskontrolle
"KI-generierte Inhalte müssen vor der Verwendung durch die zuständige Fachperson geprüft werden. Für externe Kommunikation (Kunden-E-Mails, Verträge, Marketingmaterial) gilt eine Vier-Augen-Prüfung."
Abschnitt 5
Transparenz
"Wenn KI-generierte Inhalte an Dritte weitergegeben werden, muss dies transparent gemacht werden, sofern die Inhalte wesentlich KI-gestützt erstellt wurden."
Häufige Fehler bei KI-Richtlinien
Zu lang und komplex
Eine 50-seitige Policy liest niemand. Halten Sie es auf 5 bis 15 Seiten.
Zu allgemein
"KI soll verantwortungsvoll genutzt werden" hilft niemandem. Konkrete Regeln, konkrete Beispiele.
Kein Update-Mechanismus
KI entwickelt sich schnell. Planen Sie halbjährliche Reviews ein.
Keine Schulung
Richtlinien ohne Erklärung werden ignoriert.
Shadow AI ignorieren
Erfassen Sie auch die Tools, die Mitarbeitende ohne Genehmigung nutzen.
Navigant unterstützt Schweizer KMU bei ihren KI-Richtlinien
Sie möchten KI-Richtlinien für Ihr KMU erstellen, wissen aber nicht, wo anfangen? Navigant begleitet Sie vom KI-Inventar über die Risikobewertung bis zur fertigen Policy, pragmatisch und auf Ihre Unternehmensgrösse zugeschnitten.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Wie das in der Praxis aussieht, erfahren Sie hier.
Navigant unterstützt Schweizer KMU bei ihren KI-Richtlinien
Sie möchten KI-Richtlinien für Ihr KMU erstellen, wissen aber nicht, wo anfangen? Navigant begleitet Sie vom KI-Inventar über die Risikobewertung bis zur fertigen Policy, pragmatisch und auf Ihre Unternehmensgrösse zugeschnitten.
unverbindlich · kostenfrei
Wir freuen uns auf Sie!
Wie das in der Praxis aussieht, erfahren Sie hier.
FAQ
KI-Richtlinien für KMU
Sind KI-Richtlinien gesetzlich vorgeschrieben?
Direkt vorgeschrieben nicht. Aber der EU AI Act verlangt in Art. 26 von Deployern die ordnungsgemässe Nutzung von KI-Systemen, was de facto Richtlinien erfordert. Das DSG verlangt angemessene technische und organisatorische Massnahmen beim Umgang mit Personendaten. KI-Richtlinien sind eine solche Massnahme.
Wie oft sollten KI-Richtlinien aktualisiert werden?
Mindestens halbjährlich und bei wesentlichen Änderungen: neue KI-Tools, neue regulatorische Anforderungen, neue Anwendungsfälle oder nach Vorfällen.
Gelten die Richtlinien auch für private KI-Nutzung?
Die Unternehmens-Richtlinien gelten für den geschäftlichen Einsatz. Was Mitarbeitende privat mit KI tun, ist deren Sache. Wichtig ist die klare Grenze: Geschäftsdaten dürfen nur in genehmigten, geschäftlichen KI-Tools verarbeitet werden.
Brauche ich unterschiedliche Richtlinien pro Abteilung?
Nicht unbedingt. Eine übergreifende KI-Policy gilt für alle. Ergänzend können abteilungsspezifische Leitfäden sinnvoll sein, etwa für HR (KI in Bewerbungsprozessen), Marketing (KI für Content) oder Finanzen (KI für Analysen).
Was passiert, wenn Mitarbeitende gegen die Richtlinien verstossen?
Definieren Sie dies in der Policy. Typische Konsequenzen: Ermahnungsgespräch, erweiterte Schulungspflicht, bei schwerwiegenden Verstössen arbeitsrechtliche Massnahmen. Wichtig ist, dass die Konsequenzen vorab kommuniziert werden.