Zwei Dinge sind in den meisten Mittelstandsunternehmen heute wahr. Erstens: Ihre Mitarbeitenden nutzen ChatGPT bereits - auf eigenen Telefonen, auf eigenen Accounts, fuer Ihre Arbeit. Zweitens: Fast niemand hat eine klare Policy, was sie einfuegen duerfen, was nicht und was passiert, wenn jemand einen Kundenvertrag in ein Consumer-Chatfenster kippt.
Die Antwort ist kein Verbot. Bitkom 2025 zeigt: 66 Prozent der deutschen Beschaeftigten nutzen KI bereits beruflich, die meisten privat und fuer den Arbeitgeber unsichtbar1. Ein Verbot verschiebt die Nutzung in den Schatten. Die Antwort ist auch keine ungebremste Freiheit - IBM 2024 berichtet, dass Schatten-KI die durchschnittlichen Breach-Kosten um 670.000 US-Dollar erhoeht2.
Was Sie brauchen: eine 1-Seiten-Policy, ein sanktioniertes Tool und einen 60-Tage-Rollout, den Ihr Betriebsrat unterschreiben kann. Dieser Leitfaden gibt Ihnen alle drei - gebaut fuer die Mittelstands-Realitaet, nicht fuer Silicon-Valley-Abstraktion.
TL;DR
Verbote funktionieren nicht - 66 Prozent der deutschen Beschaeftigten nutzen KI bereits. Verbieten versteckt das Risiko, statt es zu entfernen.
Drei Saeulen - ein sanktioniertes Enterprise-Tool, eine 1-Seiten-Policy und 2-4 Stunden Schulung pro Mitarbeitendem.
DSGVO und EU-KI-Verordnung - Artikel-4-Kompetenz-Schulung wird im August 2026 Pflicht. Jetzt starten.
Schatten-KI-Kosten - IBM meldet Schatten-KI als 670.000 USD Zusatzkosten pro Breach. Guenstigste Praevention: sanktioniertes Tool plus klare Policy.
60-Tage-Rollout - Tier-Wahl, Policy-Entwurf, Betriebsrat, Schulung, Launch. Ein Quartal reicht.
Die Schatten-KI-Realitaet
Die meisten Mittelstands-Fuehrungskraefte unterschaetzen, wie weit sich ChatGPT-Nutzung im eigenen Haus ausgebreitet hat. Die Zahlen aus 2025 sind eindeutig - Menschen nutzen es ueberall, meistens ohne Ihr Wissen.
- 66 Prozent der deutschen Beschaeftigten nutzen KI beruflich - von 49 Prozent im Vorjahr, laut Bitkom 20251. Die ueberwaeltigende Mehrheit nutzt Consumer-Tools, keine Enterprise-Tools.
- Schatten-KI ist der Default - BCG 2025: 75 Prozent der Manager nutzen KI regelmaessig, aber nur 51 Prozent der Frontline-Mitarbeitenden. Diese Luecke ist fast vollstaendig private ChatGPT-Nutzung12.
- Die finanzielle Exposition ist real - IBM 2024: Schatten-KI erhoeht die durchschnittlichen Breach-Kosten um 670.000 US-Dollar2. Das ist ein einzelner Vorfall, ohne Reputationsschaden.
- Die Samsung-Lektion - 2023 pasteten Samsung-Ingenieure proprietaeren Quellcode in ChatGPT. Samsung verbot es konzernweit binnen Wochen8. Das wurde zum kanonischen Beispiel, warum ein Verbot nach dem Leak teuer ist.
- Das Coaching-Signal - 37 Prozent der Beschaeftigten sorgen sich, dass KI ihre Faehigkeiten erodiert13. Diese Sorge treibt sie in die private Nutzung, wo sie sich weniger beobachtet fuehlen.
Die wirklichen Kosten des Nichtstuns
Nichtstun ist nicht neutral. Jede Woche ohne sanktioniertes Tool und klare Policy akzeptiert Ihr Unternehmen drei Dinge: Mitarbeitende, die Daten in unsanktionierte Accounts kippen, null Sichtbarkeit und kumulierende Exposition unter der EU-KI-Verordnung, sobald sie vollzugsfaehig wird.
| Signal | Aktueller Stand | Quelle |
|---|---|---|
| Deutsche Beschaeftigte mit KI-Nutzung beruflich | 66 Prozent | Bitkom 20251 |
| Schatten-KI-Breach-Kosten | +670.000 USD pro Vorfall | IBM 20242 |
| Manager vs. Frontline-KI-Nutzung | 75% vs. 51% | BCG 202512 |
| Beschaeftigte mit Sorge um Skill-Erosion | 37 Prozent | EY 202513 |
| EU-KI-Verordnung Art. 4 Frist | 2. August 2026 | EU-KI-VO4 |
Was erlaubt ist: Die gruenen Faelle
Eine nuetzliche Policy ist konkret, was Menschen wirklich tun duerfen - keine Wand aus juristischen Vorbehalten. Diese fuenf Kategorien decken etwa 80 Prozent der taeglichen Nutzung in den meisten Mittelstands-Teams ab.
- Entwuerfe und Bearbeitung interner Inhalte - Memos, interne E-Mails, Policies, Meeting-Notizen, Projekt-Briefs. Geringes Risiko, hohe Produktivitaet. Ermutigen.
- Zusammenfassungen oeffentlicher Dokumente - Analystenberichte, Studien, News, oeffentliche Wettbewerber-Filings. Dokument einfuegen, strukturierte Zusammenfassung erhalten. Keine vertraulichen Daten beteiligt.
- Erklaeren und Lernen - “Erklaer mir diese Vertragsklausel”, “Was bedeutet diese Fehlermeldung”, “Fuehr mich durch diesen Fachbegriff”. Das Modell als geduldiger Tutor ist einer der wertvollsten Einsaetze.
- Erste Drafts erzeugen - Code-Prototypen, SQL-Queries, Marketing-Text, Uebersetzungen, strukturierte Listen, Interview-Fragen. Immer menschlich reviewt vor Nutzung.
- Brainstorming und Strukturieren - Meeting-Agenden, Projektplaene, Pro-und-Contra-Listen, SWOT, kreative Optionen. Das Modell als Denkpartner, nicht als Entscheider.
Das Gruen-Licht-Prinzip
Wenn der Inhalt keinen Kunden identifiziert, keine nicht-oeffentlichen Finanzdaten enthaelt, keine personenbezogenen Daten von Beschaeftigten oder Dritten beinhaltet und keine sicherheitsrelevante Infrastruktur beruehrt, ist er auf sanktionierter Stufe mit AVV fast immer gruen.
Was verboten ist: Die roten Linien
Rote Linien zaehlen mehr als gruene Lichter. Eine Policy, die beim Verbotenen vage bleibt, erzeugt genau die Grauzone, in der Leaks passieren. Formulieren Sie die roten Linien in klarer Sprache mit konkreten Beispielen.
| Rote Linie | Beispiel | Warum |
|---|---|---|
| Kundendaten | Vertraege, Rechnungen, Mailverlaeufe, CRM-Notizen mit Namen | DSGVO-Exposition, vertragliche Sorgfaltspflicht |
| Quellcode mit Businesslogik | Produkt-Kerncode, proprietaere Algorithmen, Schluessel | IP-Leak (Samsung-Fall) |
| Nicht-oeffentliche Finanzen | M&A, unveroeffentlichte Ergebnisse, Gehaelter, Board-Material | Insider-Infos, Fiduziarpflicht |
| Personaldaten | Beurteilungen, Gesundheitsdaten, Beschwerden, Lebenslaeufe | DSGVO Art. 9 Sonderkategorien-Risiko |
| Security-sensitive Inhalte | Passwoerter, API-Keys, Netzwerkplaene, Incident-Logs | Angriffsflaeche |
| Regulierte Rechtsberatung | Bindender Vertrag fuer einen Mandanten, Rechtsgutachten | Berufshaftung, Mandantenpflicht |
Consumer-ChatGPT vs. Enterprise
Consumer (Free, Plus)
- ✗ Trainiert auf Ihren Daten standardmaessig, bis Opt-out in Einstellungen
- ✗ Kein AVV mit dem Unternehmen
- ✗ Keine Admin-Kontrolle - Arbeitgeber hat null Sichtbarkeit
- ✗ Daten meist in den USA, nicht EU-resident
- ✗ Nicht DSGVO-konform fuer vertrauliche Unternehmensdaten
Enterprise (Team, Enterprise)
- ✓ Kein Training auf Ihren Daten - vertragliche Zusicherung
- ✓ AVV und SCC fuer DSGVO-Compliance
- ✓ SSO, Admin-Konsole, Audit-Logs
- ✓ EU-Datenresidenz auf Enterprise verfuegbar
- ✓ Betriebsrats-Alignment einfacher mit dokumentierten Kontrollen
DSGVO und EU-KI-Verordnung
Die meisten Mittelstaendler ueberschaetzen die rechtliche Komplexitaet einer konformen ChatGPT-Nutzung. Die Kernanforderungen sind erstaunlich konkret - und die EU-KI-Verordnung legt sich auf die DSGVO, sie ersetzt sie nicht.
Die DSGVO-Grundlagen
- Rechtsgrundlage - Rechtsgrundlage fuer jede Verarbeitung personenbezogener Daten benennen. Fuer interne Produktivitaet ueblicherweise Art. 6 (1)(f) berechtigtes Interesse, dokumentiert in einer Abwaegung.
- Auftragsverarbeitungsvertrag (AVV) - mit OpenAI, Microsoft, Anthropic oder Google schliessen. Alle grossen Anbieter stellen ihn fuer Enterprise-Stufen bereit61516.
- Zweckbindung - Zweck dokumentieren. “Allgemeine Produktivitaetsunterstuetzung fuer Entwurf und Zusammenfassung” ist ein legitimer, dokumentierbarer Zweck.
- Datenminimierung - Mitarbeitende fuegen nur ein, was noetig ist. Die Policy setzt das um, die Schulung verstaerkt es.
- DSFA bei Bedarf - fuer Hochrisiko-Verarbeitung (Art. 35 DSGVO) eine Datenschutz-Folgenabschaetzung laufen lassen. Routine-Drafts loesen sie selten aus, HR-Screening oder Kundenprofiling meist schon.
- Verzeichnis der Verarbeitungen - KI-Tool ins Art.-30-Verzeichnis aufnehmen. Kurzer Eintrag, hoher Compliance-Wert.
Die EU-KI-Verordnung als Aufbau
- Die meisten ChatGPT-Nutzungen sind minimal oder begrenzt - Produktivitaetsnutzung faellt in die leichteste Pflichtstufe. Transparenz, wo Output auf Kunden trifft (Art. 50)5, keine Konformitaetsbewertung erforderlich.
- Artikel 4 Kompetenz-Schulung - Pflicht ab 2. August 2026 fuer Mitarbeitende, die mit KI-Systemen interagieren3. Umfasst Prompting-Grundlagen, Risiken und Grenzen.
- Hochrisiko-Zonen beobachten - KI bei Einstellung, Beurteilung, Bonitaet oder Zugang zu essentiellen Diensten ist hochrisikant. CV-Screening mit ChatGPT faellt wahrscheinlich unter Annex III und braucht zusaetzliche Kontrollen.
- Sanktionen - bis zu 15 Millionen Euro oder 3 Prozent des globalen Umsatzes fuer Hochrisiko-Verstoesse; KMU erhalten proportionale Obergrenzen4.
Der Dokumentations-Stack
Fuer einen verteidigbaren ChatGPT-Rollout 2026 brauchen Sie fuenf Dokumente: einen AVV, eine Abwaegung fuer Art. 6(1)(f), eine 1-Seiten-Policy, einen Art.-30-Eintrag und einen Schulungsnachweis je Mitarbeitendem. Alles andere ist optional. Lassen Sie sich keine 40-Seiten-Governance-Rahmen verkaufen, bevor diese fuenf stehen.
Die 1-Seiten-ChatGPT-Policy
Die besten Policies passen auf eine Seite. Mitarbeitende lesen sie tatsaechlich. Betriebsraete genehmigen sie tatsaechlich. Juristen aktualisieren sie tatsaechlich. Nutzen Sie diese Vorlage als Startpunkt und justieren Sie fuer Ihr Unternehmen.
- Zweck - Diese Policy regelt, wie Mitarbeitende von [Firma] ChatGPT und aehnliche KI-Assistenten im Arbeitsalltag nutzen duerfen.
- Sanktionierte Tools - ChatGPT Enterprise / Microsoft Copilot / Claude for Work. Nutzung von Consumer-Accounts (ChatGPT Free, Plus) fuer Unternehmensdaten ist nicht gestattet.
- Gruene Faelle - interne Entwuerfe, Zusammenfassungen oeffentlicher Dokumente, Erklaerungen, Erst-Drafts (mit menschlicher Pruefung), Brainstorming.
- Rote Linien (nie einfuegen) - Kundendaten, Quellcode mit Businesslogik, nicht-oeffentliche Finanzen, Personaldaten, security-sensitive Inhalte, regulierte Rechtsberatung.
- Pruefpflicht - jeder KI-Output, der in einer Entscheidung genutzt, extern gesendet oder auf einen Vertrag wirkt, wird von einem fachkundigen Menschen geprueft.
- Offenlegung - KI-Unterstuetzung offenlegen, wenn der Output an Kunden, Behoerden oder die Oeffentlichkeit geht oder eine Entscheidung materiell formt.
- Vorfaelle - wurden Daten in ein nicht-sanktioniertes Tool eingefuegt, innerhalb von 24 Stunden an den Datenschutzbeauftragten melden. Beim ersten Mal als Prozessversagen behandelt.
- Schulung - verpflichtende 2-Stunden-Erstschulung plus jaehrliche 1-Stunden-Auffrischung. Erforderlich unter EU-KI-VO Art. 4 ab August 2026.
- Review-Taktung - diese Policy wird 2026 quartalsweise ueberprueft, ab 2027 zweimal pro Jahr.
- Kontakt - Fragen an [Datenschutzbeauftragter] oder [KI-Lead].
Policy-Bereitschafts-Checkliste
- Eine Seite, klare Sprache, aktuelles Datum
- Sanktioniertes Tool mit Stufe benannt
- Konkrete Beispiele fuer Gruen und Rot
- AVV mit Anbieter unterzeichnet
- Abwaegung fuer Art. 6(1)(f) entworfen
- Art.-30-Eintrag angelegt
- Betriebsrat informiert und aligned
- Schulungsplan mit Terminen
- Incident-Meldepfad dokumentiert
- Review-Datum in der Policy (quartalsweise 2026)
Betriebsrat und Schulung
Die Betriebsrats-Unterhaltung ist der Punkt, an dem die meisten Mittelstands-KI-Rollouts stocken. Die Loesung ist keine juristische Gewalt - sie ist frueher, respektvoller Austausch.
Betriebsrats-Alignment in 30 Tagen
- Woche 1 - informelle Unterhaltung - Betriebsrats-Vorsitzenden vor jedem Dokument briefen. Intention, Zeitplan, Tool-Auswahl, Nutzen. Noch keine Juristen-Dokumente.
- Woche 2 - Entwurf der Betriebsvereinbarung - Scope, Monitoring-Grenzen, Beschaeftigten-Schutz, Schulung, Datenverarbeitung. Paragraph 87 BetrVG gibt dem Betriebsrat Mitbestimmung bei Monitoring-Tech14.
- Woche 3 - gemeinsame Pruefung - mit Betriebsrat, Datenschutzbeauftragtem und HR zusammensetzen. Anpassen. Mittelstands-Betriebsraete sind meist konstruktiv, wenn das Tool wirklich hilft und der Schutz klar ist.
- Woche 4 - unterzeichnen und ankuendigen - gemeinsame Ankuendigung von Geschaeftsleitung und Betriebsrat. Eine Stimme, eine Botschaft. Das schafft Vertrauen.
Schulung, die haelt
- Format - 2 Stunden Hands-on-Onboarding pro Mitarbeitendem, kein einstuendiges Webinar. Mitarbeitende nutzen das Tool waehrend der Schulung an echten (anonymisierten) Beispielen.
- Inhalt - Prompting-Grundlagen (30 Min), rote Linien an echten Faellen (30 Min), Pruefgewohnheiten (30 Min), praktische Uebungen (30 Min).
- Rollenspezifische Module - HR, Finance, Sales, Engineering erhalten je 30 Minuten Aufsatz mit rollenrelevanten Use-Cases.
- Nachweisfuehrung - Teilnahme je Mitarbeitendem dokumentiert fuer EU-KI-VO Art. 43.
- Refresh-Taktung - 1-stuendige Auffrischung jaehrlich. EY meldet: 81+ Stunden jaehrliche KI-Schulung bringen 14 Stunden pro Woche Produktivitaetsgewinn13.
“Kuenstliche Intelligenz bietet enorme Chancen fuer Unternehmen, unabhaengig von Groesse oder Branche. Die groesste Gefahr besteht darin, KI einfach zu ignorieren und den Zug zu verpassen.”
- Dr. Ralf Wintergerst, Praesident von Bitkom17
Policy, die der Betriebsrat wirklich unterschreibt?
30-Minuten-Gespraech buchen. Wir passen die Vorlage auf Ihr Unternehmen an und reviewen sie mit Ihrem DSB.
ChatGPT Free vs. Team vs. Enterprise
Die meisten Mitarbeitenden kennen ChatGPT Free. Wenige Fuehrungskraefte kennen den Unterschied zwischen Team und Enterprise. Hier das, was fuer einen Mittelstands-Rollout wirklich zaehlt.
| Faehigkeit | Free | Plus | Team | Enterprise |
|---|---|---|---|---|
| Training auf Ihren Daten | Ja (Opt-out) | Ja (Opt-out) | Nein | Nein |
| AVV verfuegbar | Nein | Nein | Ja | Ja |
| Admin-Konsole | Nein | Nein | Ja | Ja (erweitert) |
| SSO | Nein | Nein | Google SSO | SAML, vollstaendig |
| Audit-Logs | Nein | Nein | Limitiert | Vollstaendig |
| EU-Datenresidenz | Nein | Nein | Nein | Ja |
| Preis pro Nutzer/Monat | 0 EUR | ~20 EUR | ~25 EUR | Custom |
| Fuer Mittelstand? | Nur privat | Nur privat | Unter 200 Plaetze | 200+, Compliance |
Die richtige Stufe waehlen
- Unter 50 Mitarbeitende - Team reicht meist. SSO ueber Google, Admin-Basics, kein Training auf Daten. Niedrigste Einstiegshuerde.
- 50-200 Mitarbeitende - Team funktioniert weiter, Microsoft 365 Copilot pruefen, wenn Sie bereits Microsoft-heavy sind. Oft sauberere Integration und Identitaet als Standalone-ChatGPT-Team.
- 200+ Mitarbeitende - Enterprise ergibt Sinn. Volles SAML-SSO, EU-Residenz, Audit-Logs, beschaffungsfaehige SLA. Budget 40-60 EUR pro Nutzer/Monat je nach Umfang.
- Regulierte Branchen - Gesundheit, Finanzdienste, Verteidigung - Enterprise mit EU-Residenz ist fast immer die richtige Wahl, unabhaengig von Groesse.
- Hybride Realitaet - die meisten Mittelstaendler fahren am Ende Copilot (Tagesproduktivitaet) plus Claude oder ChatGPT Enterprise (schwerere Aufgaben) plus ein bis zwei Custom-Agenten. Dieser Hybrid ist ok und oft der kosteneffizienteste Stack.
Rollout in 60 Tagen
Ein 60-Tage-Rollout bringt Sie von “wir haben ein Schatten-KI-Problem” zu “wir haben ein sanktioniertes Tool, eine Policy und geschulte Mitarbeitende”. Disziplin zaehlt mehr als Tempo.
Tag 1-14: Fundament
- Schatten-Nutzung erfassen - kurze, anonyme Umfrage. Wie viele nutzen KI beruflich? Welche Tools? Wofuer? Die Ergebnisse steuern die naechsten 6 Wochen.
- Sanktioniertes Tool waehlen - Team fuer klein, Enterprise fuer gross, Copilot bei Microsoft-heavy. AVV-Entwurf vom Anbieter holen.
- Policy entwerfen - Ein-Seiten-Vorlage nutzen. Auf Ihr Unternehmen justieren. Juristisches Review parallel.
- Betriebsrat informieren - informell in Woche 2. In Woche 4 keine Ueberraschungen.
Tag 15-30: Juristik und Governance
- AVV unterschreiben - mit gewaehltem Anbieter. SCC wenn noetig. Ins zentrale Vertrags-Repo.
- Art.-30-Eintrag - KI-Tool ins Verarbeitungsverzeichnis. Zehn Minuten, hoher Compliance-Wert.
- Abwaegung - Art.-6(1)(f)-Bewertung dokumentieren. Vorlage in Ihrer Datenschutz-Doku vorhanden.
- Betriebsvereinbarung - bis Ende Woche 4 unterschrieben. Bei Verzoegerung lieber Rollout pausieren als halb-aligned shippen.
Tag 31-45: Pilot
- Pilot-Kohorte - 20-30 Nutzer aus Marketing, Operations, Engineering. Sanktionierte Stufe bereitstellen. Zuerst schulen.
- Schulungs-Delivery - 2 Stunden Hands-on je Kohorte. Feedback sammeln, was verwirrt.
- Policy-Kanten fixen - der Pilot deckt immer Luecken auf. Policy in Woche 5 auf Basis echter Fragen updaten.
- Adoption messen - woechentliche Nutzung, Top-Use-Cases, Vorfaelle. In der Pilotgruppe teilen.
Tag 46-60: Unternehmensweiter Launch
- Volle Bereitstellung - Accounts fuer alle berechtigten Mitarbeitenden. Alte Schatten-Accounts wo moeglich stillgelegt.
- Schulung fuer Rest - kohorten-basiert, je 2 Stunden. Teilnahme fuer Art.-4-Compliance aufzeichnen.
- Gemeinsame Ankuendigung - CEO und Betriebsrats-Vorsitzender. Eine Botschaft. Ruhiger Ton. Policy angehaengt.
- Beobachten und justieren - taegliches Admin-Konsolen-Review Woche 1, dann woechentlich. Erste Policy-Auffrischung an Tag 90.
Was nicht zu tun ist
Keine 40-seitige Policy an alle senden und das Schulung nennen. Nicht den Betriebsrat “fuer Tempo” ueberspringen - Sie zahlen doppelt dafuer. Enterprise nicht ohne konfiguriertes SSO launchen. Incident-Kanal nicht vergessen - Mitarbeitende stossen auf Edge-Cases und brauchen einen Fragepfad.
“About a quarter of our survey respondents report that they have started scaling at least one agentic AI system, but usually only in one or two business functions.”
- Michael Chui, Senior Fellow am McKinsey Global Institute18
Wie Superkind passt
Superkind hilft Mittelstaendlern, diesen Rollout in 60 Tagen zu fahren, und baut danach die Custom-Agenten, die ueber generische ChatGPT-Nutzung hinausgehen. ChatGPT-Policy ist die Startlinie, nicht die Ziellinie.
- Policy-Workshop - wir passen die Vorlage an Ihre Realitaet an, setzen uns mit Ihrem DSB zusammen und entwerfen die Betriebsvereinbarung in Woche 2.
- Tool-Auswahl - ehrliche Empfehlung zu Team, Enterprise, Copilot oder Hybrid. Keine Reseller-Anreize, die eine bestimmte Stufe puschen.
- Schulung geliefert - Hands-on, rollenbasiert, aufgezeichnet fuer Art.-4-Compliance. Onboarding und jaehrliche Auffrischungen.
- Betriebsrats-Engagement - wir sitzen in der Sitzung, erklaeren die Architektur, beantworten technische Fragen. Mittelstands-Betriebsraete reagieren gut auf klare technische Erklaerungen.
- Ueber ChatGPT hinaus - sobald generischer Chat steht, bauen wir Custom-Agenten fuer Workflows, die ChatGPT nicht kann: SAP-Automatisierung, DATEV-Integration, branchenspezifische Prozesse.
- Process-First-Mindset - wir mappen Ihre Workflows, bevor wir einen Anbieter beruehren. Die Policy spiegelt das wider, was Sie wirklich tun, nicht eine Vorlage aus einer anderen Branche.
- Laufende Partnerschaft - Policy-Updates, Schulungs-Auffrischungen, Incident-Reviews. KI ist kein Einmal-Rollout.
- Compliance eingebaut - DSGVO, EU-KI-VO Artikel 4, Betriebsrat, Audit-Trail. Alles Teil der Lieferung.
DIY vs. Superkind
DIY
- ✗ Juristik-Drag - Teams verbringen Monate mit DSGVO-Auslegung
- ✗ Betriebsrats-Reibung - ohne Erfahrung dauern Verhandlungen
- ✗ Schulung als Webinar - haelt selten ohne rollenbasierte Tiefe
- ✗ Stoppt bei der Policy - am Ende ein Dokument, keine Faehigkeit
Superkind
- ✓ 60-Tage-Rollout - Policy, Tool, Schulung, Betriebsrat
- ✓ Vorgefertigte Vorlage - in Stunden angepasst, nicht Wochen
- ✓ Hands-on-Schulung - rollenbasiert, Art.-4-konform
- ✓ Bruecke zu Agenten - ChatGPT-Policy Schritt 1, Custom-Agent Schritt 2
Haeufige Fragen
Sie koennen es versuchen, aber es funktioniert selten. Bitkom 2025 stellt fest, dass 66 Prozent der deutschen Beschaeftigten KI bereits beruflich nutzen - meist auf privaten Accounts, wenn das Unternehmen nichts bereitstellt. Ein pauschales Verbot verschiebt die Nutzung in den Schatten. Besser: klare Policy plus sanktioniertes Tool, damit ein sicherer Weg existiert.
Nein, aber sie kann schnell einer werden. ChatGPT Free trainiert standardmaessig auf Konversationen, also werden personenbezogene Daten zum Trainingsinput. Enterprise-Stufen (Team, Enterprise) deaktivieren das Training auf Ihren Daten und schliessen AVV ab. Fuer DSGVO-Compliance brauchen Sie eine sanktionierte Stufe, einen AVV, einen dokumentierten Zweck und klare Grenzen fuer das, was Mitarbeitende einfuegen duerfen.
Beides, aber starten Sie mit einer fokussierten ChatGPT-Policy, die Microsoft Copilot, Google Gemini und Claude ebenfalls abdeckt. Das sind die Tools, die Mitarbeitende wirklich nutzen. Ein breiterer KI-Governance-Rahmen folgt spaeter. Warten Sie nicht auf die perfekte umfassende Policy - shippen Sie zuerst eine klare ChatGPT-und-Peers-Policy.
Datenabfluss durch Copy-Paste in Consumer-Accounts. Samsung verbot ChatGPT intern, nachdem Ingenieure Quellcode hineingepastet hatten. IBM 2024 zeigt: Schatten-KI erhoeht die durchschnittlichen Breach-Kosten um 670.000 US-Dollar. Das Risiko ist nicht das Tool - es ist das Einfuegen vertraulicher Dokumente, Kundendaten und Quellcodes in ein Consumer-Chatfenster, das auf allem trainiert.
In den meisten Faellen ja. Paragraph 87 BetrVG gibt Betriebsraeten Mitbestimmungsrechte bei technischen Systemen, die Mitarbeitende ueberwachen koennen. ChatGPT-Tooling faellt oft darunter. Praktischer Weg: frueh informell sprechen, dann eine schlanke Betriebsvereinbarung zu Nutzungsumfang, Monitoring-Grenzen und Beschaeftigten-Schutz. Mittelstands-Betriebsraete sind meist konstruktiv.
Jede Mitarbeitende, die KI beruflich nutzt, braucht Schulung nach Artikel 4 der EU-KI-Verordnung ab August 2026. Fuer ChatGPT speziell: Prompting-Grundlagen, was eingefuegt werden darf und was nicht, wie Outputs verifiziert werden, Datenschutzgrenzen und Eskalation im Zweifel. Planen Sie 2-4 Stunden Erstschulung und 1 Stunde jaehrlichen Refresh.
Team passt fuer Unternehmen unter 200 Mitarbeitenden mit Admin-Kontrollen, SSO und keinem Training auf Ihren Daten, ca. 25 US-Dollar pro Nutzer/Monat. Enterprise ergaenzt SAML-SSO, Audit-Logs, unbegrenzten High-Speed-Zugang, eigene Data-Retention und SLA - ab 200 Plaetzen oder bei strengen Compliance-Anforderungen sinnvoll. Beide sind mit AVV DSGVO-faehig.
ChatGPT Enterprise bietet seit 2024 EU-Datenresidenz mit Verarbeitung in Frankfurt. Team und Plus verarbeiten primaer in den USA, Transfers stuetzen sich auf das EU-US Data Privacy Framework. Bei hoher Datensensibilitaet ist Enterprise mit EU-Residenz die sauberere Wahl. Pruefen Sie stets den aktuellen AVV-Anhang vor dem Rollout.
Technische Kontrollen plus Policy plus Schulung. Consumer-KI-Seiten auf Netzwerkebene blockieren (oder ueber DLP-Proxy leiten). Ein klar sanktioniertes Tool bereitstellen, damit keine Ausrede bleibt. Policy in klarem Deutsch veroeffentlichen. Hands-on-Schulung mit echten Beispielen. Die Kombination senkt Schatten-Nutzung in 90 Tagen um 70-80 Prozent. Policy ohne sanktioniertes Tool scheitert jedes Mal.
Nur auf einer sanktionierten Enterprise-Stufe mit klaren Grenzen. Strategie-Daten, Finanzen, M&A-Material und Personaldaten gehoeren nie in Consumer-ChatGPT. Auf Enterprise mit AVV ist das Risiko deutlich geringer, aber auch dort halten Sie sensible Inhalte in internen Tools oder Custom-Agenten mit strengeren Audit-Trails und Zugriffskontrollen.
Beim ersten Mal als Prozessversagen behandeln, nicht als Disziplinarfall. Policies muessen menschliche Pruefung fuer KI-unterstuetzte Vertraege, Finanzrechnungen und kundenorientierte Dokumente fordern. Die Loesung ist staerkere Review-Gates und klarere Schulung, nicht Bestrafung. Wiederholte Verstoesse nach Schulung und klarer Policy sind eine andere Diskussion.
Quartalsweise in 2026, ab 2027 zweimal pro Jahr. Tools und Regulierung bewegen sich schnell. Updates an Folgendes koppeln: neue Leitlinien zur EU-KI-Verordnung, neue Anbieter-Faehigkeiten, interne Incident-Reviews und Betriebsrats-Feedback. Eine Policy, die sich 2026 nicht quartalsweise aendert, ist entweder perfekt oder veraltet.
Intern: fuer Routine-Drafts nicht erforderlich. Erforderlich, wenn der Output an Kunden, Behoerden oder die Oeffentlichkeit geht - und erforderlich, wenn er eine echte Entscheidung beeinflusst. Extern: nach Artikel 50 der EU-KI-Verordnung muessen KI-generierte Inhalte, die taeuschen koennten, gekennzeichnet sein. Einfache Regel in die Policy: wenn der Output jemanden ausserhalb des Teams betrifft, offenlegen.
Verwandte Artikel
- Schatten-KI im Mittelstand: Der Governance-Leitfaden
- EU-KI-Verordnung 2026: Was der Mittelstand wissen muss
- Welches LLM passt zum Mittelstand?
- KI-Agenten vs. Microsoft Copilot
- Souveraene KI fuer den Mittelstand
- Der 12-Monats-KI-Fahrplan
Quellen
- Bitkom - Durchbruch bei Kuenstlicher Intelligenz (2025)
- IBM - Cost of a Data Breach Report 2024 (Schatten-KI)
- EU-KI-Verordnung - Artikel 4: KI-Kompetenz
- EU-KI-Verordnung - Umsetzungsplan
- EU-KI-Verordnung - Artikel 50: Transparenz
- OpenAI - Enterprise Privacy und AVV
- OpenAI - EU-Datenresidenz
- Bloomberg - Samsung verbietet ChatGPT nach Leak
- BfDI - DSGVO-Leitfaden zu KI-Systemen
- Datenschutzkonferenz DSK - Orientierungshilfe KI
- EDPB - Stellungnahme zu KI-Modellen und DSGVO
- BCG - AI at Work 2025
- EY - Work Reimagined Survey 2025
- BetrVG Paragraph 87 - Mitbestimmungsrechte
- Microsoft - Copilot-Datenschutz fuer Commercial
- Anthropic - Claude for Work (Enterprise Privacy)
- Dr. Ralf Wintergerst (Bitkom) zu KI-Adoption
- Michael Chui (McKinsey) zu agentischer KI
- Stiftung Datenschutz - Empfehlungen KI im Unternehmen
- Bitkom - Schatten-KI im Mittelstand (2025)
Bereit, ChatGPT sicher auszurollen?
30-Minuten-Gespraech mit Henri buchen. Wir passen die Policy-Vorlage an Ihr Unternehmen an und planen Ihren 60-Tage-Rollout - unverbindlich, kein Sales-Pitch.
Demo buchen →