In fast jedem Betrieb, den wir betreuen, wird inzwischen mit KI gearbeitet. Texte, Bilder, Übersetzungen, Angebotsentwürfe: Die Werkzeuge sind da und sie werden genutzt, oft ohne dass die Geschäftsführung davon weiß. Genau das ist das eigentliche Risiko. Nicht die KI selbst, sondern der ungeregelte Umgang mit ihr.
Wir führen seit einiger Zeit KI in die Geschäftsprozesse mittelständischer Unternehmen ein und sehen dabei immer dasselbe Muster: Die Mitarbeiter sind längst weiter als die offiziellen Regeln. Wer jetzt keine Leitplanken setzt, bekommt Schatten-KI: Jeder nutzt privat sein Lieblingstool und niemand weiß, welche Firmendaten dabei wohin fließen. Die gute Nachricht: Mit einer überschaubaren KI-Richtlinie lässt sich das Problem pragmatisch lösen, ganz ohne Panik und ohne Verbotskultur.
Kennzeichnungspflicht: Was der EU AI Act verlangt
Der EU AI Act bringt gestaffelte Pflichten, und für die meisten Betriebe ist vor allem die Transparenz relevant. Wer Deepfakes oder täuschend echte KI-Inhalte veröffentlicht, muss sie als künstlich erzeugt kennzeichnen. Auch Chatbots müssen sich als solche zu erkennen geben: Ihre Kunden dürfen nicht glauben, sie schreiben mit einem Menschen, wenn eine Maschine antwortet.
Für den Alltag heißt das: Ein KI-gestützt formulierter Blogbeitrag, den ein Mensch geprüft und verantwortet hat, ist etwas anderes als ein fotorealistisches KI-Bild, das eine reale Szene vortäuscht. Beim ersten reicht redaktionelle Verantwortung, beim zweiten gehört ein Hinweis dazu. Wir empfehlen unseren Kunden, im Zweifel großzügig zu kennzeichnen. Das kostet nichts, schafft Vertrauen und nimmt Kritikern von vornherein den Wind aus den Segeln.
Ein Beispiel aus unserer Arbeit: Bildwelten, die wir KI-gestützt für Websites erstellen, versehen wir mit einem entsprechenden Hinweis im Alternativtext oder Impressum. Kein Kunde hat sich je daran gestört, aber mehrere haben sich ausdrücklich bedankt, weil sie die Frage danach von eigenen Kunden gestellt bekamen und eine saubere Antwort hatten. Transparenz ist hier keine Last, sondern ein Verkaufsargument.
Urheberrecht: Wem gehört, was die KI erzeugt?
Hier liegt das größte Missverständnis. Nach deutschem Urheberrecht schützt das Gesetz persönliche geistige Schöpfungen von Menschen. Ein Bild oder Text, den eine KI ohne wesentlichen menschlichen Gestaltungsanteil erzeugt hat, genießt in der Regel keinen Urheberschutz. Das bedeutet: Sie können Wettbewerber kaum daran hindern, Ihr rein KI-generiertes Logo oder Ihre KI-Bilder zu übernehmen.
Umgekehrt lauert das Risiko auf der Eingangsseite: Wer die KI gezielt im Stil eines lebenden Künstlers oder mit fremden Markenlogos arbeiten lässt, kann bestehende Rechte verletzen. Für die Vermarktung von KI-Inhalten gilt deshalb eine einfache Faustregel: KI-Output als Rohmaterial behandeln, menschlich überarbeiten, keine fremden Stile oder Marken imitieren und bei zentralen Assets wie dem Firmenlogo weiterhin auf klassische Gestaltung mit sauberer Rechtekette setzen.
Prüfen Sie außerdem die Nutzungsbedingungen Ihrer Werkzeuge, bevor Sie Ergebnisse kommerziell verwenden. Die Anbieter unterscheiden sich erheblich darin, was sie für die geschäftliche Nutzung erlauben und welche Zusicherungen sie geben. Wer hier fünf Minuten liest, erspart sich später unangenehme Diskussionen.
Datenschutz: Welche Daten dürfen in welches Tool?
Die wichtigste Frage im Betriebsalltag lautet nicht, ob KI erlaubt ist, sondern welche Daten hinein dürfen. Kundennamen, Gesundheitsdaten, Vertragsdetails, Gehälter: All das hat in einem frei zugänglichen Chatbot mit Standardeinstellungen nichts verloren. Viele Anbieter nutzen Eingaben zum Training, sofern man dem nicht widerspricht oder eine Unternehmenslizenz mit entsprechenden Zusicherungen abschließt.
Praktisch bewährt hat sich bei unseren Kunden ein Ampelmodell. Grün: öffentliche Informationen und allgemeine Aufgaben, frei nutzbar. Gelb: interne, aber unkritische Inhalte, nur in freigegebenen Tools mit Geschäftsvertrag und Auftragsverarbeitung. Rot: personenbezogene und vertrauliche Daten, nur in geprüften Umgebungen oder gar nicht. Dieses Modell versteht jeder Mitarbeiter in fünf Minuten und es deckt die DSGVO-Grundfragen ab, ohne dass jeder Einzelfall juristisch diskutiert werden muss.
Die KI-Richtlinie: Was konkret hineingehört
Eine brauchbare KI-Richtlinie für den Mittelstand passt auf zwei bis drei Seiten. Hinein gehört erstens eine Liste der freigegebenen Tools mit den zugehörigen Accounts, denn Firmendaten gehören in Firmenaccounts, nicht in private Logins. Zweitens das Ampelmodell für Daten. Drittens die Kennzeichnungsregeln: Wann weisen wir auf KI-Einsatz hin, intern wie extern. Viertens der Grundsatz der menschlichen Endkontrolle: Kein KI-Ergebnis geht ungeprüft an Kunden, in Verträge oder auf die Website.
Dazu kommen Zuständigkeiten: eine Ansprechperson für neue Tools und Fragen, ein einfacher Weg, um Fehler oder Pannen zu melden, und ein fester Termin, um die Richtlinie regelmäßig zu überprüfen. Denn die Werkzeuge ändern sich schnell, und eine Richtlinie von gestern hilft morgen niemandem. Wichtig ist der Ton: Die Richtlinie soll den Einsatz von KI ermöglichen und absichern, nicht verhindern. Betriebe, die nur verbieten, treiben ihre Leute in die private Nutzung und verlieren jede Kontrolle.
Unsere Erfahrung nach vielen Einführungsprojekten: Der Aufwand ist überschaubar, der Effekt groß. Ein Workshop mit der Führungsebene, eine kurze Schulung für das Team, ein Dokument, das jeder versteht. Danach arbeiten alle schneller und die Geschäftsführung schläft besser. Genau so pragmatisch sollte man das Thema angehen.



