Wie Unternehmen sichere KI-Nutzung ermöglichen
Viele Unternehmen haben kein KI-Problem. Sie haben ein Transparenzproblem.
Künstliche Intelligenz ist in vielen Unternehmen längst angekommen – nur oft nicht offiziell. Mitarbeitende nutzen ChatGPT, Microsoft Copilot, DeepL, Perplexity, Bildgeneratoren oder andere KI-Tools, um Texte zu formulieren, E-Mails zusammenzufassen, Präsentationen vorzubereiten, Recherchen zu beschleunigen oder Ideen zu entwickeln. Das passiert häufig pragmatisch, aus dem Arbeitsalltag heraus und mit guter Absicht.
Das Problem: Wenn niemand weiß, welche Tools genutzt werden, welche Daten eingegeben werden und für welche Aufgaben KI eingesetzt wird, entsteht schnell Tool-Wildwuchs. Aus hilfreicher Eigeninitiative wird dann ein Risiko für Datenschutz, Informationssicherheit, Qualität und Compliance.
Die Lösung ist nicht zwingend ein pauschales Verbot. Viel sinnvoller ist eine klare KI-Whitelist.
Eine KI-Whitelist legt fest, welche KI-Tools im Unternehmen für welche Zwecke genutzt werden dürfen – und unter welchen Bedingungen. Sie schafft Orientierung für Mitarbeitende, entlastet Führung und IT und macht aus inoffizieller Schatten-KI eine sichere, produktive KI-Nutzung.
Was ist eine KI-Whitelist?
Eine KI-Whitelist ist eine Liste freigegebener KI-Tools und Anwendungen. Sie beantwortet im Kern vier Fragen:
- Welche KI-Tools dürfen genutzt werden?
Zum Beispiel ChatGPT Enterprise, Microsoft Copilot, DeepL Write, ein internes RAG-System oder ein freigegebenes Transkriptionstool. - Für welche Aufgaben dürfen diese Tools genutzt werden?
Zum Beispiel für Textentwürfe, Zusammenfassungen, Übersetzungen, Brainstorming, interne Wissenssuche oder Code-Unterstützung. - Welche Daten dürfen eingegeben werden – und welche nicht?
Zum Beispiel keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine Kundendaten oder nur anonymisierte Inhalte. - Welche Regeln gelten für Prüfung und Freigabe der Ergebnisse?
Zum Beispiel: KI-Ergebnisse müssen fachlich geprüft werden, bevor sie intern weiterverwendet oder extern veröffentlicht werden.
Damit wird die Whitelist nicht nur zu einer Tool-Liste, sondern zu einem praktischen Orientierungsrahmen für den Arbeitsalltag.
Im KI-Kompass der KI-Schmiede Stuttgart ist genau das ein zentraler Schritt: Aus der Bestandsaufnahme der bestehenden KI-Nutzung entsteht ein Tool-Inventar, daraus eine Whitelist und daraus ein Prüfprozess für neue Anwendungen.
Warum Tool-Wildwuchs gefährlich wird
Tool-Wildwuchs entsteht meistens nicht aus Leichtsinn. Er entsteht, weil Mitarbeitende produktiver arbeiten möchten und verfügbare Werkzeuge ausprobieren.
Das ist verständlich. Trotzdem können daraus Risiken entstehen.
1. Datenschutzrisiken
Wenn personenbezogene Daten, Kundendaten, Bewerberinformationen oder interne Dokumente in öffentliche KI-Tools eingegeben werden, kann das datenschutzrechtlich problematisch werden.
Gerade bei generativen KI-Tools ist deshalb wichtig zu klären: Werden Eingaben gespeichert? Werden sie zum Training verwendet? Wo findet die Verarbeitung statt? Gibt es einen Vertrag zur Auftragsverarbeitung? Welche Unternehmensversion ist freigegeben?
2. Sicherheitsrisiken
KI-Tools können mit vertraulichen Informationen gefüttert werden: Preislisten, Kundenverträge, interne Prozessdokumente, technische Spezifikationen oder strategische Planungen.
Was einmal in ein ungeprüftes Tool eingegeben wurde, lässt sich nur schwer kontrollieren. Eine Whitelist verhindert nicht jede Fehlbedienung, aber sie reduziert das Risiko deutlich, weil Mitarbeitende wissen, welche Tools für welche Datenarten geeignet sind.
3. Qualitätsrisiken
KI-Ergebnisse können überzeugend klingen und trotzdem falsch sein. Genau deshalb braucht es klare Regeln zur Prüfung. Ein zentrales Prinzip lautet: KI liefert Vorschläge, aber Menschen prüfen, entscheiden und übernehmen Verantwortung.
Ohne solche Regeln steigt die Gefahr, dass falsche Informationen in Angebote, Präsentationen, Kundenkommunikation oder interne Entscheidungen einfließen.
4. Akzeptanzprobleme
Wenn Unternehmen KI nur verbieten, entsteht selten Vertrauen. Mitarbeitende weichen dann oft weiter auf private Lösungen aus. Eine Whitelist setzt ein anderes Signal: KI ist erlaubt – aber mit klaren Leitplanken.
Das ist wichtig für die Unternehmenskultur. Denn sichere KI-Nutzung entsteht nicht durch Angst, sondern durch Orientierung.
Was eine gute KI-Whitelist enthalten sollte
Eine praxistaugliche KI-Whitelist muss nicht kompliziert sein. Gerade für kleine und mittlere Unternehmen reicht zu Beginn oft eine einfache Tabelle.
Beispielstruktur für eine KI-Whitelist
| Bereich | Leitfrage | Beispiel |
|---|---|---|
| Toolname | Welches Tool ist freigegeben? | Microsoft Copilot, DeepL Write, internes Chatbot-System |
| Anbieter / Version | Welche konkrete Version ist erlaubt? | Enterprise-Version, Team-Version, nicht private Gratisversion |
| Freigegebene Nutzung | Wofür darf das Tool genutzt werden? | Textentwurf, Zusammenfassung, Übersetzung, Ideensammlung |
| Nicht erlaubte Nutzung | Wofür darf es nicht genutzt werden? | Eingabe sensibler Kundendaten, finale Rechtsprüfung, autonome Entscheidung |
| Datenklassen | Welche Daten dürfen eingegeben werden? | Öffentlich, intern, anonymisiert |
| Prüfpflicht | Wer prüft Ergebnisse? | Fachabteilung, Führungskraft, Vier-Augen-Prinzip |
| Verantwortliche Stelle | Wer gibt das Tool frei? | IT, Datenschutz, KI-Verantwortliche |
| Status | Wie ist der Freigabestand? | Freigegeben, eingeschränkt freigegeben, in Prüfung, gesperrt |
Wichtig ist: Die Whitelist sollte verständlich sein. Sie muss von den Mitarbeitenden im Alltag genutzt werden können. Ein 40-seitiges Dokument hilft wenig, wenn niemand hineinschaut.
Besser ist eine klare Übersicht mit einfachen Regeln.
Der wichtigste Grundsatz: Nicht jedes Tool ist für jeden Zweck geeignet
Ein häufiger Fehler besteht darin, ein KI-Tool pauschal freizugeben oder pauschal zu verbieten.
Sinnvoller ist eine differenzierte Freigabe nach Anwendungsfall.
Ein Tool kann zum Beispiel geeignet sein für:
- allgemeine Textideen,
- Formulierungshilfen,
- Zusammenfassungen nicht vertraulicher Inhalte,
- Übersetzungen öffentlicher Texte,
- Brainstorming,
- Strukturierung von Notizen.
Dasselbe Tool kann aber ungeeignet sein für:
- Verarbeitung personenbezogener Kundendaten,
- interne Finanzdaten,
- vertrauliche Vertragsinhalte,
- Bewerberauswahl,
- automatisierte Entscheidungen über Menschen,
- finale Rechts-, Steuer- oder Medizinberatung.
Die Whitelist sollte deshalb nicht nur sagen: „Tool erlaubt“ oder „Tool verboten“. Sie sollte sagen: Tool erlaubt – für diese Aufgaben, mit diesen Daten, unter diesen Bedingungen.
Von der Schatten-KI zur offiziellen Whitelist: Der 5-Schritte-Ansatz
Schritt 1: Bestehende KI-Nutzung sichtbar machen
Der erste Schritt ist keine technische Prüfung, sondern eine ehrliche Bestandsaufnahme.
Fragen Sie Ihre Mitarbeitenden:
- Welche KI-Tools nutzt ihr bereits?
- Für welche Aufgaben nutzt ihr diese Tools?
- Welche Ergebnisse sind hilfreich?
- Wo seid ihr unsicher?
- Welche Daten gebt ihr ein?
- Welche Tools würdet ihr gerne offiziell nutzen?
Wichtig: Diese Erhebung sollte nicht als Kontrolle kommuniziert werden. Sonst werden Tools verschwiegen. Besser ist die Botschaft: Wir wollen verstehen, wo KI bereits hilft – und wie wir sie sicher nutzbar machen können.
Schritt 2: Tools und Anwendungsfälle clustern
Nach der Bestandsaufnahme werden Tools und Einsatzbereiche sortiert.
Typische Cluster sind:
- Text und Kommunikation,
- Übersetzung,
- Recherche,
- Bild und Design,
- Meeting-Transkription,
- Office-Automatisierung,
- Programmierung,
- interne Wissenssuche,
- Kundenservice,
- Vertrieb und Angebotserstellung.
So wird sichtbar, wo der größte Bedarf besteht und welche Tools besonders häufig genutzt werden.
Schritt 3: Risiken bewerten
Danach erfolgt eine einfache Risikobewertung. Dabei geht es nicht darum, jedes Tool monatelang zu prüfen. Es geht darum, offensichtliche Risiken frühzeitig zu erkennen.
Prüffragen können sein:
- Werden personenbezogene Daten verarbeitet?
- Werden vertrauliche Unternehmensdaten eingegeben?
- Gibt es eine Unternehmensversion mit Datenschutz- und Sicherheitsfunktionen?
- Wo werden Daten gespeichert?
- Können Eingaben zum Training verwendet werden?
- Gibt es Rollen- und Rechtekonzepte?
- Gibt es Protokollierung oder Admin-Funktionen?
- Ist das Tool für den konkreten Zweck überhaupt geeignet?
- Muss ein Mensch das Ergebnis prüfen?
Für viele Unternehmen ist genau dieser Punkt der Moment, an dem externe Unterstützung sinnvoll wird. Denn IT, Datenschutz und Fachabteilungen haben oft nicht die Kapazität, KI-Tools neben dem Tagesgeschäft strukturiert zu bewerten.
Schritt 4: Freigabe definieren
Auf Basis der Bewertung wird jedes Tool einem Status zugeordnet:
- Freigegeben: Nutzung ist für definierte Zwecke erlaubt.
- Eingeschränkt freigegeben: Nutzung ist erlaubt, aber nur für bestimmte Daten oder Aufgaben.
- In Prüfung: Nutzung ist vorerst noch nicht offiziell freigegeben.
- Nicht freigegeben: Nutzung ist nicht erlaubt.
- Ersetzt durch Alternative: Ein anderes Tool wird empfohlen.
Gerade der Status „eingeschränkt freigegeben“ ist in der Praxis sehr hilfreich. Er vermeidet unnötige Verbote und schafft trotzdem klare Grenzen.
Schritt 5: Prüfprozess für neue Tools einführen
Eine Whitelist ist kein einmaliges Dokument. KI-Tools verändern sich schnell. Neue Funktionen kommen hinzu, Preismodelle ändern sich, Datenschutzbedingungen werden angepasst.
Deshalb braucht es einen schlanken Prüfprozess:
- Wer darf neue Tools vorschlagen?
- Wo wird der Vorschlag eingereicht?
- Welche Informationen müssen angegeben werden?
- Wer prüft fachlich, technisch und datenschutzseitig?
- Wie wird die Entscheidung dokumentiert?
- Wann wird die Whitelist aktualisiert?
Der Prozess sollte einfach genug sein, damit er genutzt wird. Ein kurzes Formular und ein monatlicher Review-Termin reichen für viele kleine und mittlere Unternehmen am Anfang völlig aus.
KI-Whitelist und EU AI Act: Warum Schulung dazugehört
Eine Whitelist allein reicht nicht. Mitarbeitende müssen verstehen, wie sie freigegebene Tools richtig nutzen.
Für Unternehmen bedeutet das praktisch: Eine Whitelist sollte mit Schulung und Befähigung verbunden werden.
Dazu gehören zum Beispiel:
- Grundlagen generativer KI,
- typische Fehler und Halluzinationen,
- Datenschutz-Sensibilisierung,
- sichere Prompting-Regeln,
- Umgang mit vertraulichen Daten,
- Prüfung von KI-Ergebnissen,
- Kennzeichnung KI-generierter Inhalte,
- Eskalationswege bei Unsicherheit.
Im KI-Kompass wird dieser Punkt als „KI-Führerschein“ beschrieben: Regeln allein helfen nicht, wenn die Kompetenz fehlt.
Beispiel: Ein einfacher Eintrag in der KI-Whitelist
So könnte ein Eintrag in einer ersten Whitelist aussehen:
| Feld | Beispiel |
|---|---|
| Tool | DeepL Write |
| Status | Eingeschränkt freigegeben |
| Nutzung erlaubt für | Formulierungshilfe, Stilverbesserung, Übersetzung allgemeiner Texte |
| Nutzung nicht erlaubt für | Kundendaten, Vertragsinhalte, vertrauliche Dokumente |
| Daten erlaubt | Öffentliche Texte, anonymisierte Inhalte |
| Prüfpflicht | Fachliche Prüfung vor externer Veröffentlichung |
| Verantwortlich | Marketing / Datenschutz / IT |
| Hinweis | Keine sensiblen oder personenbezogenen Daten eingeben |
Das ist keine perfekte Governance-Struktur. Aber es ist ein guter Anfang. Mitarbeitende wissen sofort, was erlaubt ist und wo die Grenze liegt.
Warum die Whitelist kein Innovationshemmnis ist
Manche Unternehmen befürchten, dass Regeln die KI-Nutzung ausbremsen. In der Praxis ist oft das Gegenteil der Fall.
Ohne Regeln sind viele Mitarbeitende unsicher. Sie fragen sich:
- Darf ich dieses Tool nutzen?
- Darf ich Kundentexte eingeben?
- Muss ich KI-Ergebnisse kennzeichnen?
- Wer haftet, wenn etwas falsch ist?
- Was passiert, wenn ich versehentlich interne Daten eingegeben habe?
Diese Unsicherheit hemmt produktive Nutzung.
Eine Whitelist schafft Klarheit. Sie sagt nicht nur, was verboten ist. Sie zeigt vor allem, was ausdrücklich erlaubt ist. Dadurch wird KI für den Alltag nutzbar.
Typische Fehler beim Aufbau einer KI-Whitelist
Fehler 1: Die Whitelist wird nur von der IT erstellt
KI-Nutzung betrifft nicht nur Technik. Fachabteilungen wissen am besten, welche Aufgaben realistisch sind. Datenschutz kennt die rechtlichen Risiken. Führungskräfte setzen Prioritäten. HR ist wichtig für Schulung und Akzeptanz.
Eine gute Whitelist entsteht deshalb interdisziplinär.
Fehler 2: Es werden nur Tools bewertet, nicht Anwendungsfälle
Ein Tool ist nie pauschal sicher oder unsicher. Entscheidend ist der konkrete Einsatz. Eine Übersetzung öffentlicher Produkttexte ist etwas anderes als die Verarbeitung vertraulicher Kundendaten.
Fehler 3: Die Regeln sind zu kompliziert
Wenn Mitarbeitende erst ein 30-seitiges PDF lesen müssen, bevor sie KI nutzen dürfen, wird die Regelung nicht funktionieren. Die Whitelist muss kurz, klar und zugänglich sein.
Fehler 4: Es gibt keinen Aktualisierungsprozess
KI-Tools entwickeln sich schnell. Eine Whitelist muss regelmäßig überprüft werden – zum Beispiel monatlich oder quartalsweise.
Fehler 5: Mitarbeitende werden nicht geschult
Ohne Schulung bleibt die Whitelist ein Dokument. Erst durch Befähigung entsteht sichere Anwendung.
Fazit: Sichere KI-Nutzung beginnt mit Klarheit
Schatten-KI entsteht, wenn Mitarbeitende Bedarf haben, aber kein offizieller Rahmen existiert. Eine KI-Whitelist ist deshalb ein pragmatischer Weg, um Transparenz, Sicherheit und Produktivität zusammenzubringen.
Sie hilft Unternehmen, drei Dinge gleichzeitig zu erreichen:
- Mitarbeitende bekommen Orientierung.
- IT, Datenschutz und Führung behalten den Überblick.
- KI kann produktiv genutzt werden, ohne unnötige Risiken einzugehen.
Der wichtigste Schritt ist nicht, sofort ein perfektes Regelwerk zu erstellen. Der wichtigste Schritt ist, anzufangen: bestehende Nutzung sichtbar machen, Risiken bewerten, erste Tools freigeben und klare Grenzen formulieren.
Oder anders gesagt: Hilfreich statt perfekt.
Handlungsimpuls
Prüfen Sie in Ihrem Unternehmen diese drei Fragen:
- Welche KI-Tools werden bereits genutzt – offiziell oder inoffiziell?
- Welche Daten werden dabei eingegeben?
- Welche Tools könnten wir kurzfristig sicher freigeben, damit Mitarbeitende Orientierung bekommen?
Wenn Sie diese Fragen nicht eindeutig beantworten können, ist eine KI-Whitelist ein sinnvoller nächster Schritt.
Sie möchten wissen, welche KI-Tools in Ihrem Unternehmen sicher genutzt werden können?
Die KI-Schmiede Stuttgart unterstützt Sie dabei, Schatten-KI sichtbar zu machen, Tools strukturiert zu bewerten und eine praxistaugliche KI-Whitelist aufzubauen – verständlich, DSGVO-sensibel und passend zu Ihrem Unternehmen.
Nutzen Sie unsere KI-Sprechstunde oder sprechen Sie uns auf eine KI-Potenzialanalyse an.