ChatGPT Nutzungsrichtlinie: Vorlage und Pflichtinhalte für Mittelstandsbetriebe

Seit Februar 2025 ist eine interne KI-Nutzungsrichtlinie für Betriebe, die KI-Systeme einsetzen, keine Empfehlung mehr. Sie ist Pflicht nach EU AI Act.

Trotzdem haben die meisten Mittelstandsbetriebe noch keine. Entweder weil niemand weiß, was genau drinstehen muss, oder weil das Thema immer wieder aufgeschoben wird.

Dieser Artikel zeigt, was eine Nutzungsrichtlinie enthalten muss, was optional ist, und wie Sie schnell zu einer brauchbaren Version kommen.

Warum eine Nutzungsrichtlinie jetzt Pflicht ist

Der EU AI Act verpflichtet Betreiber von KI-Systemen dazu, sicherzustellen, dass Mitarbeitende die Systeme nur bestimmungsgemäß nutzen. Das setzt voraus, dass irgendwo dokumentiert ist, was "bestimmungsgemäß" bedeutet.

Eine fehlende Richtlinie ist kein Kavaliersdelikt. Sie öffnet Haftungsrisiken, wenn ein Mitarbeitender mit ChatGPT vertrauliche Kundendaten teilt, ein Angebot auf Basis falscher KI-Ausgaben schickt, oder ein automatisierter Prozess einen Fehler produziert, den niemand geprüft hat.

Was eine ChatGPT-Nutzungsrichtlinie enthalten muss

Eine rechtlich belastbare Richtlinie braucht mindestens diese fünf Bausteine.

1. Geltungsbereich

Für welche Tools gilt die Richtlinie? ChatGPT, Microsoft Copilot, Google Gemini, branchenspezifische KI-Software: alles muss explizit genannt sein. "KI-Systeme allgemein" reicht nicht.

2. Erlaubte und nicht erlaubte Verwendungszwecke

Was darf intern mit ChatGPT gemacht werden, was nicht? Konkrete Beispiele helfen:

• Erlaubt: Textentwürfe für externe Kommunikation erstellen, intern überprüfen, dann versenden
• Erlaubt: Protokolle aus eigenen Mitschriften zusammenfassen
• Nicht erlaubt: Kundendaten, Lieferantenkonditionen oder Personalinformationen in Prompts eingeben
• Nicht erlaubt: KI-Ausgaben ohne menschliche Prüfung weiterleiten

3. Datenschutzregeln

Welche Daten dürfen in externe KI-Systeme eingegeben werden? Die Antwort ist für die meisten Betriebe: keine personenbezogenen Daten, keine vertraulichen Geschäftsinformationen, keine Kundendaten ohne ausdrückliche Einwilligung.

Das muss klar und verständlich formuliert sein. Nicht als Paragraph, sondern als lesbare Regel.

4. Verantwortlichkeit für Outputs

KI-Ausgaben sind keine verifizierten Fakten. Die Richtlinie muss festlegen, wer für die Prüfung und Freigabe von KI-generierten Inhalten verantwortlich ist. Kein KI-Output darf ohne menschliche Prüfung nach außen gehen.

5. Meldepflicht bei Vorfällen

Was passiert, wenn ein Mitarbeitender versehentlich vertrauliche Daten eingegeben hat? Oder wenn ein KI-System fehlerhafte Ergebnisse produziert hat, die bereits weitergegeben wurden? Die Richtlinie muss einen klaren Meldepfad enthalten.

Was optional ist, aber Sinn macht

Über die Pflichtinhalte hinaus empfehlen sich:

• Schulungsnachweis: Wer hat die Richtlinie gelesen und bestätigt, sie verstanden zu haben?
• Updateprozess: Wie wird die Richtlinie aktualisiert, wenn neue Tools eingeführt werden?
• Beispiel-Prompts: Was ist ein guter Prompt, was ein schlechter? Konkrete Beispiele aus dem eigenen Betrieb erhöhen die Akzeptanz.

Wie lange dauert das?

Ein halber Tag. Nicht mehr.

Wenn Sie die fünf Pflichtbausteine kennen und einen Betrieb mit klaren Prozessen haben, ist eine erste Version in drei bis vier Stunden fertig. Sie brauchen keinen Juristen für den ersten Entwurf. Sie brauchen jemanden, der Ihre Abläufe kennt und die Anforderungen des EU AI Act einordnen kann.

Die rechtliche Überprüfung macht dann Sinn, wenn die inhaltliche Grundlage steht.

Wo fangen Sie an?

Machen Sie zuerst eine Liste aller KI-Systeme, die in Ihrem Betrieb genutzt werden. Fragen Sie Ihre Mitarbeitenden, nicht nur die IT. ChatGPT wird oft privat und dienstlich parallel genutzt, ohne dass die Führungsebene das weiß.

Diese Liste ist die Grundlage für alles Weitere: die Richtlinie, die Risikoklassifizierung und den Schulungsnachweis.

Häufige Fragen

Gilt die Nutzungsrichtlinie auch für kostenlose ChatGPT-Accounts? Ja. Der EU AI Act unterscheidet nicht nach Bezahlmodell. Wer ChatGPT dienstlich nutzt, unabhängig davon ob kostenlos oder kostenpflichtig, ist Betreiber im Sinne des Gesetzes.

Muss die Richtlinie von einem Anwalt geprüft werden? Für die erste Version nicht zwingend. Eine pragmatische Richtlinie, die die fünf Pflichtbausteine abdeckt, ist besser als keine Richtlinie, weil Sie auf die rechtliche Prüfung warten. Lassen Sie sie irgendwann prüfen, aber fangen Sie nicht dort an.

Wie oft muss die Richtlinie aktualisiert werden? Immer wenn ein neues KI-System eingeführt wird, oder wenn sich die Nutzungsweise bestehender Systeme wesentlich ändert. Mindestens einmal im Jahr sollten Sie sie durchsehen.

Was passiert, wenn wir keine Richtlinie haben? Bußgelder sind möglich. Wahrscheinlicher ist ein anderes Risiko: ein Vorfall, bei dem Kundendaten in externen KI-Systemen gelandet sind, und Sie keine dokumentierte Grundlage haben, um zu zeigen, dass Sie Vorkehrungen getroffen haben.

Kann ich eine Vorlage aus dem Internet verwenden? Als Ausgangspunkt ja. Aber jede Vorlage muss auf Ihre konkreten Tools und Prozesse angepasst werden. Eine generische Richtlinie ohne Bezug zu Ihrem Betrieb schützt Sie rechtlich kaum.

Weiterführende Artikel

[KI-Nutzungsrichtlinie für Unternehmen: Was muss drinstehen](/blog/ki-nutzungsrichtlinie-vorlage) [EU AI Act Pflichten für KMU ab 2026](/blog/eu-ai-act-kmu-pflichten-2026) [EU AI Act Schulungspflicht: Was Mitarbeiter wissen müssen](/blog/eu-ai-act-schulungspflicht-mitarbeiter) [KI Compliance Check für Ihren Betrieb](/ki-compliance-check)

---

Wenn Sie verstehen wollen, welche Prozesse in Ihrem Betrieb dafür geeignet sind, biete ich einen kostenfreien 90-Minuten-Workshop an. Keine Präsentation. Wir schauen gemeinsam auf Ihre Abläufe.