Organisationen nutzen KI
Der Stanford AI Index 2025 berichtet, dass 78 % der Organisationen 2024 KI nutzten, nach 55 % im Vorjahr. Die Nutzung ist bereits im Alltag angekommen; Governance muss dort ansetzen.
Viele KI-Policies werden so geschrieben, als wären Regulatoren, Verwaltungsrat oder ein späteres Verfahren die Hauptzielgruppe. Diese Zielgruppen sind wichtig. Aber wenn eine Policy Projektleitern, Analystinnen, Assistenzen, Beraterinnen oder operativen Teams nicht hilft, am Montagmorgen eine Entscheidung zu treffen, steuert sie kein echtes Verhalten.
Eine brauchbare KI-Policy ist kein Katalog von Verboten. Sie ist ein Arbeitsinstrument. Sie erklärt, welche Nutzungen erwünscht sind, welche nur unter Bedingungen erlaubt sind, welche pausiert werden und was passiert, wenn ein Use Case nicht eindeutig einzuordnen ist.
Das Problem ist Übersetzung, nicht Bewusstsein
Die meisten professionellen Teams wissen, dass KI Risiken schafft: Halluzinationen, Datenabfluss, Urheberrecht, Bias, EU-KI-Verordnung, DSGVO/DSG und Reputationsrisiko. Unklar bleibt die Übersetzung in den Alltag.
Darf ich ein Kundengespräch zusammenfassen? Einen Vertragsauszug einfügen? Ein Meeting-Tool nutzen? Einen Vorstandstext umformulieren lassen? Ein öffentliches Tool verwenden, wenn ich Namen entferne?
Wenn die Policy solche Fragen nicht beantwortet, entwickeln Teams eigene Regeln. So wird Governance informell, uneinheitlich und schwer verteidigbar.
Fünf Bausteine einer brauchbaren Policy
1. Eine einfache Use-Case-Karte
Beginnen Sie mit der tatsächlichen Arbeit. Gruppieren Sie Nutzungen in Kategorien: produktive Unterstützung, interne Wissensarbeit, client-facing Arbeit, hochrelevante Entscheidungen und verbotene oder pausierte Nutzungen.
2. Datenregeln, die man sich merken kann
Unterscheiden Sie öffentliche, interne, vertrauliche, personenbezogene, sensible und regulierte Daten. Erklären Sie konkret, welche Daten in welche Art von Tool eingegeben werden dürfen.
3. Ein Review-Standard
"Output prüfen" reicht nicht. Review sollte bedeuten: Fakten prüfen, Quellen prüfen, Aussagen mit Ausgangsdokumenten vergleichen, Annahmen testen, fehlenden Kontext erkennen und eskalieren, wenn Rechte, Pflichten, Sicherheit, Geld, Gesundheit oder Reputation betroffen sind.
4. Ein Freigabeweg für neue Tools
Teams müssen wissen, wohin sie gehen, bevor ein neues KI-Tool mit Organisationsdaten verbunden wird. Der Pfad sollte Vendor Review, Datenverarbeitung, Sicherheit, Trainingsbedingungen, Aufbewahrung, Zugriffskontrollen und fachliche Verantwortung abdecken.
5. Beispiele statt nur Regeln
Teams lernen über Szenarien: erlaubt, erlaubt mit Bedingungen, nicht erlaubt, Review nötig.
Der Governance-Test
Eine gute KI-Policy besteht drei Tests: Nicht-Spezialisten verstehen sie; Führungskräfte können sie durchsetzen; die Organisation kann Nachweise zeigen.
NISTs AI Risk Management Framework hilft, Governance, Messung und Management zu trennen. ISO/IEC 42001 ergänzt die Management-System-Perspektive: Policies, Ziele, Prozesse, Verantwortlichkeiten, Review und kontinuierliche Verbesserung.
Nächster Schritt
Starten Sie mit einer einseitigen Arbeits-Policy: freigegebene Tools, Datenregeln, Review-Standards, Eskalationspfad und Beispiele. Testen Sie diese Policy an drei echten Workflows. Wenn Teams sie nicht ohne Meeting anwenden können, ist sie noch nicht bereit.