Tool-Richtlinie · Kostenlose Vorlage

KI-Nutzungsrichtlinie für ChatGPT und Microsoft Copilot

Praktische Vorlage für die Nutzung von ChatGPT, Microsoft Copilot und generativer KI mit Datenregeln, Prüfpflichten und Schulungs-CTA.

  • Sofort kopierbar
  • An Art. 4 KI-VO ausgerichtet
  • Kostenlos & ohne Anmeldung
KI-Grundschulung buchen
Worum es geht

ChatGPT, Copilot und Gemini werden in Unternehmen oft schneller genutzt, als Governance-Prozesse entstehen – mit echten Risiken für Datenschutz, Qualität und Vertraulichkeit. Diese Acceptable-Use-Policy gibt Fachabteilungen klare, alltagstaugliche Regeln: welche Tools freigegeben sind, welche Daten hineindürfen, was verboten ist und wann eine menschliche Prüfung Pflicht ist. Sie enthält tool-spezifische Hinweise zu Microsoft Copilot und ChatGPT und ergänzt die übergeordnete KI-Richtlinie.

So nutzen Sie diese Vorlage

  1. 1Freigegebene Tools (Enterprise-Versionen) konkret eintragen.
  2. 2Datenklassen-Tabelle an Ihre Klassifizierung anpassen.
  3. 3Tool-spezifische Hinweise zu Copilot und ChatGPT prüfen.
  4. 4Mit IT die Microsoft-365-Berechtigungen vor dem Rollout klären.
  5. 5Vor Freischaltung KI-Grundschulung verbindlich machen.
Nutzungsrichtlinie ChatGPT & Copilot (Vorlage)

Nutzungsrichtlinie für ChatGPT, Copilot & Co.

Hinweis: Diese Richtlinie konkretisiert die übergeordnete KI-Richtlinie für generative KI-Assistenten. Ersetzen Sie die kursiven Platzhalter und stimmen Sie die Tool-Liste mit IT und Datenschutz ab.

Gilt für: [Teams / gesamtes Unternehmen] · Version: 1.0 · Stand: [Datum]

1. Freigegebene Tools

Erlaubt ist ausschließlich die Nutzung der freigegebenen, geschäftlichen Versionen:

  • [z. B. Microsoft Copilot für Microsoft 365]
  • [z. B. ChatGPT Enterprise / Team]
  • [z. B. Gemini für Google Workspace]

Private Accounts (z. B. kostenloses ChatGPT) dürfen nicht für Unternehmensdaten verwendet werden.

2. Welche Daten hineindürfen

Datenklasse Beispiele Eingabe erlaubt?
Öffentlich veröffentlichte Inhalte, Marketing ja
Intern Entwürfe ohne Personenbezug ja, mit Vorsicht
Vertraulich Kunden-, Personal-, Vertragsdaten nur nach Freigabe
Geheim Zugangsdaten, Geschäftsgeheimnisse, Quellcode nein

3. Erlaubte Anwendungsfälle

  • Entwürfe für interne Texte und E-Mails
  • Zusammenfassungen freigegebener Informationen
  • Ideenfindung, Strukturierung, Umformulierung
  • Unterstützung bei nicht sensibler Recherche und Lernen

4. Nicht erlaubt ohne Freigabe

  • Eingabe personenbezogener oder vertraulicher Daten
  • automatisierte Entscheidungen über Menschen (z. B. Bewerber)
  • ungeprüfte Rechts-, Finanz- oder Medizinempfehlungen
  • Veröffentlichung von KI-Ausgaben ohne fachliche Prüfung

5. Prüfpflicht (menschliche Kontrolle)

Jede KI-Ausgabe wird vor Verwendung auf Fakten, Quellen, Tonalität, Bias und Datenschutz geprüft. Inhalte für Kunden oder die Öffentlichkeit werden zusätzlich von einer qualifizierten Person freigegeben.

6. Microsoft Copilot – spezifische Regeln

  • Copilot greift auf bestehende Microsoft-365-Berechtigungen zu und kann nur Daten anzeigen, die der Nutzer ohnehin sehen darf.
  • Vor dem Rollout sind Berechtigungen in SharePoint, Teams und OneDrive zu prüfen, um Überberechtigungen zu vermeiden.
  • Ergebnisse aus internen Dokumenten sind dennoch zu verifizieren.

7. ChatGPT – spezifische Regeln

  • Nur die Enterprise-/Team-Version verwenden; dort werden Eingaben standardmäßig nicht zum Modelltraining genutzt.
  • Keine vertraulichen Daten in private oder kostenlose Accounts eingeben.
  • Datenschutz- und Verarbeitungseinstellungen gemäß IT-Vorgabe belassen.

8. Transparenz

KI-Unterstützung wird offengelegt, wo sie Kunden, Bewerber oder Geschäftspartner wesentlich betrifft.

9. Schulung und Verstöße

Vor der produktiven Nutzung absolvieren Anwender eine KI-Grundschulung gemäß Art. 4 KI-VO. Verstöße gegen diese Richtlinie können arbeitsrechtliche Folgen haben.

Rechtlicher Hintergrund

Wann diese Vorlage relevant wird

Die KI-Verordnung greift gestaffelt. Die Pflicht zur KI-Kompetenz gilt bereits – organisatorische Maßnahmen wie diese Vorlage sollten deshalb nicht auf den nächsten Stichtag warten.

  1. 1. August 2024

    In Kraft

    KI-Verordnung tritt in Kraft

    Die Verordnung (EU) 2024/1689 tritt in Kraft. Die einzelnen Pflichten greifen anschließend gestaffelt.

  2. 2. Februar 2025

    In Kraft

    KI-Kompetenz (Art. 4) & verbotene Praktiken (Art. 5)

    Die Pflicht zur KI-Kompetenz gilt seit diesem Datum für alle Anbieter und Betreiber. Gleichzeitig sind verbotene KI-Praktiken untersagt.

  3. 2. August 2025

    In Kraft

    Pflichten für GPAI-Modelle & Governance

    Transparenz- und Dokumentationspflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie die Governance-Strukturen werden wirksam.

  4. 2. August 2026

    Geplant

    Marktüberwachung, Hochrisiko & Transparenz (Art. 50)

    Die nationale Marktüberwachung und Durchsetzung starten. Pflichten für Hochrisiko-KI nach Annex III und die Transparenzpflichten nach Art. 50 werden anwendbar.

  5. 2. August 2027

    Geplant

    Volle Compliance für Bestands-GPAI & eingebettete Hochrisiko-KI

    GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden, müssen vollständig konform sein. Weitere Hochrisiko-Fälle folgen.