Mitarbeitende nutzen KI Tools im KMU

VonStephan Wagner
Ein Hammer, ein KI-Chip und ein digitales menschliches Kopfmodell auf einer Platine, die KI und rechtliche Fragen symbolisieren, die für KMU und ihre Mitarbeiter relevant sind.

Was geregelt werden sollte

Im Büroalltag geht es schnell: Eine Mitarbeitende probiert ein neues KI Tool für E-Mails aus. Jemand anders testet eine Übersetzungsfunktion. Ein Dritter lässt sich Protokolle zusammenfassen. Die Ergebnisse wirken gut. Niemand möchte bremsen. Gleichzeitig stellt irgendwann jemand die Frage: „Dürfen wir das so überhaupt mit Kundendaten machen?“

Genau an dieser Stelle wird Datenschutz relevant. Nicht erst beim großen KI Projekt, sondern im täglichen Umgang mit Künstlicher Intelligenz im KMU. In diesem Beitrag geht es darum, welche typischen Probleme in Unternehmen mit 20 bis 200 Mitarbeitenden auftreten. Und wie Sie mit klaren, schlanken Regeln für KI Nutzung im Team sorgen.

1. Keine Übersicht, welche KI Tools im Einsatz sind

Viele Unternehmen merken erst spät, wie viele KI Tools tatsächlich genutzt werden. Oft startet es mit einem Testzugang. Dann wird das Tool in der Abteilung weitergereicht. Irgendwann gehört es zum Alltag, ohne dass jemand den Überblick behält.

Typische Probleme:

  • Einzelne Personen legen eigene Accounts bei verschiedenen Anbietern an
  • Niemand weiß genau, welche Daten bereits in welchen Systemen liegen
  • IT und Datenschutz werden erst eingebunden, wenn Fragen oder Störungen auftreten

Pragmatische Lösung:

  • Erfassen Sie zunächst alle KI Tools, die im Unternehmen bekannt sind, inklusive Testnutzung
  • Führen Sie eine einfache Liste mit Zweck, Abteilung, Datenarten und Anbieter
  • Legen Sie fest, dass neue KI Tools vor der Nutzung einmal kurz gemeldet werden

2. Vertrauliche Daten in öffentlichen KI Tools

Viele KI Dienste funktionieren so, dass Texte, Beispiele oder Dateien hochgeladen werden. Aus Zeitdruck landen dort schnell Kundendaten, Vertragsauszüge oder interne Unterlagen. In dem Moment ist oft unklar, wofür der Anbieter diese Daten nutzt.

Typische Probleme:

  • Vertrauliche Inhalte werden in Chatfenster kopiert
  • Personaldaten oder Gesundheitsangaben landen in externen Tools
  • Unklarheit, ob Daten für Trainingszwecke gespeichert werden

Pragmatische Lösung:

  • Definieren Sie klar, welche Datenarten nicht in externe KI Dienste eingegeben werden dürfen
  • Arbeiten Sie mit einfachen Beispielen: „Diese Fälle sind ok, diese nicht“
  • Prüfen Sie bei wichtigen Tools, ob sich die Nutzung für Trainingszwecke in den Einstellungen einschränken lässt

3. Unklare Verantwortlichkeiten für KI Entscheidungen

In vielen KMU bleibt die Verantwortung für KI Nutzung unscharf. Fachabteilungen testen Tools. IT kümmert sich um Technik. Office Management verwaltet Verträge. Datenschutz kommt gelegentlich dazu. Entscheidungen verlaufen dann im Alltag unkoordiniert.

Typische Probleme:

  • Niemand fühlt sich für die Bewertung von Risiken zuständig
  • Entscheidungen werden nicht dokumentiert und sind später nicht nachvollziehbar
  • Einzelne Personen treffen weitreichende Festlegungen ohne Rücksprache

Pragmatische Lösung:

  • Benennen Sie eine Ansprechperson für KI und Datenschutz, zum Beispiel in Verbindung mit der bestehenden Datenschutzfunktion
  • Legen Sie fest, ab welcher Tragweite ein KI Einsatz abgestimmt werden muss
  • Dokumentieren Sie die wichtigsten Entscheidungen in wenigen Stichpunkten (Tool, Zweck, Daten, Freigabe)

4. Private Accounts und Geräte im Einsatz

Aus praktischen Gründen nutzen Mitarbeitende häufig ihre privaten Accounts, um KI Tools zu testen. Oder sie arbeiten mit privaten Geräten, wenn es im Büro gerade schnell gehen soll. Damit verlassen Unternehmensdaten unbemerkt den kontrollierten Rahmen.

Typische Probleme:

  • Nutzung privater E Mail Adressen für Accounts bei KI Anbietern
  • Synchronisation von Inhalten auf private Geräte oder Cloud Speicher
  • Keine klare Trennung zwischen beruflicher und privater Nutzung

Pragmatische Lösung:

  • Legen Sie fest, dass berufliche KI Nutzung grundsätzlich über Unternehmensaccounts erfolgt
  • Verbieten Sie Nutzung mit privaten Accounts nicht nur pauschal, sondern erklären Sie kurz die Gründe
  • Bieten Sie offizielle, geprüfte Alternativen an, sobald sich bestimmte Tools im Alltag bewähren

5. Unklare Regeln für Inhalte und Ergebnisse

Mit KI Tools lassen sich Texte, Präsentationen oder Auswertungen erzeugen. Im Alltag ist oft nicht geregelt, wie mit diesen Inhalten umzugehen ist. Es bleibt offen, ob Fakten geprüft werden müssen oder wie mit urheberrechtlichen Fragen umzugehen ist.

Typische Probleme:

  • Übernahme von KI Texten ohne inhaltliche Prüfung
  • Vermischung von vertraulichen Originalinhalten und generierten Ergebnissen
  • Unsicherheit, ob Inhalte an Kunden so verschickt werden dürfen

Pragmatische Lösung:

  • Halten Sie fest, dass KI Ergebnisse immer durch eine fachkundige Person geprüft werden
  • Definieren Sie, für welche Arten von Aufgaben KI genutzt werden darf (zum Beispiel Entwürfe, Ideen, Zusammenfassungen)
  • Machen Sie deutlich, dass Verantwortung für Inhalte weiterhin beim Unternehmen liegt, nicht beim Tool

6. KI in der Kundenkommunikation ohne Kennzeichnung

Chatbots, automatische Antwortvorschläge oder Textgeneratoren können in der Kundenkommunikation helfen. Wenn Kundinnen und Kunden aber nicht erkennen können, dass KI beteiligt ist, entsteht leicht Misstrauen.

Typische Probleme:

  • Kundschaft hält generierte Antworten für rein persönliche Stellungnahmen
  • Nachfragen können nicht nachvollzogen werden, weil der Ursprungstext fehlt
  • Beschwerden entstehen, wenn sich Inhalte als unzutreffend erweisen

Pragmatische Lösung:

  • Prüfen Sie, ob und wo ein Hinweis auf automatisierte Unterstützung sinnvoll ist
  • Legen Sie fest, welche Arten von Nachrichten immer persönlich geprüft und freigegeben werden
  • Sorgen Sie dafür, dass ursprüngliche Eingaben und generierte Antworten nachvollziehbar dokumentiert werden

7. KI Funktionen in bestehenden Tools übersehen

Viele Softwareanbieter bauen nach und nach KI Funktionen in ihre Produkte ein. In CRM Systemen, Office Lösungen oder Projekttools erscheinen neue Schaltflächen. Diese Funktionen werden schnell genutzt, ohne dass jemand sie gezielt freigegeben hat.

Typische Probleme:

  • Aktivierte KI Funktionen, von denen IT oder Datenschutz nichts wissen
  • Daten werden an zusätzliche Dienste gesendet, ohne dass dies bewusst ist
  • Datenschutzhinweise und Vereinbarungen mit Dienstleistern bleiben unverändert

Pragmatische Lösung:

  • Fragen Sie bei wichtigen Anbietern gezielt nach neuen KI Funktionen
  • Prüfen Sie Einstellungen in Admin Bereichen, bevor Sie neue Funktionen freigeben
  • Dokumentieren Sie kurz, welche Funktionen bewusst aktiviert oder deaktiviert wurden

8. Keine Schulung und keine einfachen Leitlinien

Mitarbeitende möchten in der Regel verantwortungsvoll handeln. Ohne Orientierung treffen sie Entscheidungen nach persönlichem Gefühl. Manche sind sehr vorsichtig, andere ausprobieren. Daraus entsteht ein uneinheitliches Bild.

Typische Probleme:

  • Unterschiedliche Einschätzungen, was „erlaubt“ ist
  • Viele Einzelfragen, die jedes Mal neu diskutiert werden
  • Unsicherheit, ob man bei Fehlern mit Konsequenzen rechnen muss

Pragmatische Lösung:

  • Erstellen Sie eine kurze KI Richtlinie, maximal zwei bis drei Seiten
  • Beantworten Sie darin einfache Fragen: Welche Tools sind erlaubt, welche Daten nicht, wer hilft bei Unsicherheit
  • Bieten Sie eine kompakte Schulung an, zum Beispiel 60 Minuten für jede Abteilung mit konkreten Beispielen aus dem eigenen Alltag

9. KI Nutzung nicht im Datenschutzkonzept verankert

Viele Unternehmen haben bereits Strukturen für Datenschutz: Verzeichnis von Verarbeitungstätigkeiten, Verträge zur Auftragsverarbeitung, interne Regelungen. KI Nutzung läuft daneben, ohne dass diese Strukturen genutzt werden.

Typische Probleme:

  • Neue KI Prozesse tauchen in keiner Dokumentation auf
  • Risiken werden nicht systematisch bewertet
  • Anfragen von Betroffenen oder Behörden sind schwer zu beantworten, weil Prozesse unklar sind

Pragmatische Lösung:

  • Ergänzen Sie bestehende Datenschutzunterlagen gezielt um KI Anwendungen
  • Fügen Sie neue Verarbeitungen in Ihr Verzeichnis ein und bewerten Sie kurz die Risiken
  • Ziehen Sie bei Bedarf Ihren internen oder externen Datenschutzbeauftragter hinzu, um Lücken zu schließen

Schnellstart in 60 Minuten

Sie können in einer Stunde eine solide Grundlage schaffen, ohne ein großes Projekt zu starten. Ziel ist ein ehrlicher Überblick, wo Sie stehen.

Vorschlag für 60 Minuten:

  • 10 Minuten: Sammeln Sie alle KI Tools und Funktionen, die Ihnen spontan einfallen, inklusive solcher in bestehenden Systemen
  • 10 Minuten: Markieren Sie Anwendungen, in denen Kundendaten oder Personaldaten genutzt werden
  • 10 Minuten: Notieren Sie, welche dieser Tools externe Dienste oder Cloud Anbieter verwenden
  • 10 Minuten: Halten Sie typische Situationen fest, in denen heute Unsicherheit besteht (zum Beispiel Texte mit Kundennamen, Vertragsdaten, sensible Themen)
  • 10 Minuten: Bestimmen Sie drei Themen, die kurzfristig Priorität haben sollten
  • 10 Minuten: Entscheiden Sie, ob Sie die nächsten Schritte intern planen oder mit einem kurzen Datenschutzcheck oder Webseitencheck starten möchten

Nach dieser Stunde haben Sie kein fertiges Regelwerk. Aber Sie wissen, wo Ihre wichtigsten Baustellen liegen und welche Fragen zuerst geklärt werden sollten.

Webseitencheck oder Datenschutzcheck

Wenn Mitarbeitende KI Tools im KMU nutzen, ist das zunächst ein Zeichen für Offenheit und Entwicklung. Entscheidend ist, dass Sie den Rahmen setzen. Klare, realistische Regeln schützen sowohl das Unternehmen als auch das Team.

Ein Webseitencheck hilft Ihnen zu verstehen, welche KI Funktionen, Tracking Systeme und Formulare auf Ihrer Website aktiv sind. Oft zeigt sich dort, wie weit Künstliche Intelligenz bereits nach außen wirkt und welche Datenflüsse damit verbunden sind.

Ein kurzer Datenschutzcheck geht einen Schritt weiter. Er erfasst zentrale KI Anwendungen im Unternehmen, bewertet typische Risiken und schlägt pragmatische Prioritäten vor. So erhalten Sie eine strukturierte Grundlage, auf der Sie selbst weiterarbeiten können.

Sie können im Anschluss in Ruhe entscheiden, welche Maßnahmen Sie intern umsetzen und wo externe Unterstützung sinnvoll ist.

FAQ: KI Tools, Mitarbeitende und Datenschutz im KMU

1. Dürfen Mitarbeitende KI Tools einfach so nutzen, wenn sie hilfreich sind?
Das hängt von Ihren internen Regeln ab. Aus Datenschutzsicht sollten Sie zumindest festlegen, welche Datenarten nicht in externe KI Dienste gehören und welche Tools freigegeben sind. Spontane Nutzung ohne Rahmen ist auf Dauer riskant.

2. Müssen wir Künstliche Intelligenz im Unternehmen komplett verbieten, um sicher zu sein?
Ein generelles Verbot ist selten praktikabel. Sinnvoller ist es, klare Leitplanken zu setzen. So können Sie Vorteile nutzen und gleichzeitig Risiken steuern. Verbote sollten auf besonders kritische Datenarten beschränkt bleiben.

3. Was gehört in eine gute KI Richtlinie für Mitarbeitende?
Wesentlich sind erlaubte und unerlaubte Datenarten, zugelassene Tools, Umgang mit Ergebnissen und Ansprechstellen bei Fragen. Die Richtlinie sollte kurz, verständlich und mit Beispielen aus Ihrem Alltag versehen sein.

4. Welche Rolle spielt ein externer Datenschutzbeauftragter bei KI Themen?
Ein externer Datenschutzbeauftragter kann helfen, Risiken zu bewerten, Prozesse zu dokumentieren und Richtlinien zu formulieren. Er oder sie sorgt dafür, dass KI Nutzung in das bestehende Datenschutzkonzept eingebettet wird, statt daneben zu laufen.

5. Wie fange ich an, wenn wir bisher keine Regeln für KI haben?
Starten Sie mit einer Bestandsaufnahme der genutzten Tools und Datenarten. Identifizieren Sie die kritischsten Anwendungsfälle. Danach können Sie mit einem kurzen Datenschutzcheck oder internen Workshops gezielt Regeln und Schulungen aufbauen.

Disclaimer

Dieser Beitrag bietet eine allgemeine Orientierung zur Nutzung von KI Tools durch Mitarbeitende in kleinen und mittleren Unternehmen. Er ersetzt keine individuelle Rechtsberatung und kann die Prüfung des Einzelfalls durch qualifizierte Fachleute nicht ersetzen.

Ähnliche Beiträge