Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle Anleitungen
📘 Anleitung Künstliche Intelligenz 03.06.2026 · 14 min Lesezeit

KI-Nutzungsrichtlinie im Unternehmen erstellen (Copilot, ChatGPT & Co.)

Mitarbeitende nutzen ChatGPT, Microsoft Copilot und Claude längst im Arbeitsalltag – meist ohne Regeln. Diese Anleitung führt dich Schritt für Schritt zur eigenen KI-Nutzungsrichtlinie: Datenklassen, erlaubte und verbotene Tools, Freigabeprozess, Kennzeichnung und eine fertige Vorlage zum Anpassen.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
Symbolbild für KI-Governance: ein geschütztes neuronales Netz in einem blauen Schild mit Häkchen als Sinnbild für eine KI-Nutzungsrichtlinie

Deine Mitarbeitenden nutzen längst ChatGPT, Microsoft Copilot, Claude und andere KI-Dienste – oft mit privaten Accounts und ohne dass jemand kontrolliert, welche Daten dabei das Haus verlassen. Eine schriftliche KI-Nutzungsrichtlinie im Unternehmen bringt Ordnung in dieses Chaos: Sie legt fest, welche Tools erlaubt sind, welche Daten niemals in öffentliche KI gehören und wer für was verantwortlich ist. Diese Anleitung führt dich anbieterneutral durch alle Bausteine – mit Checklisten, Vergleichstabellen und einer Vorlage zum Kopieren.

Voraussetzungen

  • Rückendeckung der Geschäftsführung: Eine Richtlinie ohne Mandat von oben wird nicht gelebt. Die Leitung muss sie verabschieden und tragen.
  • Datenschutzbeauftragter bzw. Datenschutz-Verantwortlicher eingebunden (intern oder extern), da DSGVO-Themen wie AVV und DSFA berührt werden.
  • Überblick über die bereits genutzten KI-Tools – am besten eine kurze Bestandsaufnahme (auch privat genutzte Tools, Stichwort Schatten-KI).
  • Vorhandene Dokumente als Andockpunkte: bestehende IT-Richtlinie, Datenschutzkonzept und das Verzeichnis der technischen und organisatorischen Maßnahmen (TOM).
  • Geschätzter Aufwand: Erstentwurf mit dieser Vorlage in rund 40 Minuten, danach Abstimmungsschleifen mit Datenschutz und Betriebsrat.

Wichtig vorab: Die rechtlichen Angaben in dieser Anleitung sind keine Rechtsberatung. Fristen, Bußgeldrahmen und Pflichten solltest du vor der Verabschiedung gegen die offiziellen Quellen (EU-Verordnungstext, DSGVO-Gesetzestext, Aufsichtsbehörde) prüfen lassen.

Schritt 1: Warum eine KI-Nutzungsrichtlinie nötig ist

Ohne klare Regeln entstehen handfeste Risiken. Diese fünf solltest du in der Richtlinie als Begründung benennen:

  1. Datenabfluss: Eingaben in öffentliche/kostenlose KI-Dienste können zum Training der Modelle genutzt werden. Vertrauliche Inhalte verlassen damit unkontrolliert das Unternehmen.
  2. Halluzinationen: KI erfindet plausibel klingende, aber falsche Fakten, Zahlen und Quellen. Ohne menschliche Prüfung landet das in Angeboten, E-Mails oder Verträgen.
  3. Urheberrecht und Lizenz: Die Rechte an Ein- und Ausgaben sind unklar; KI kann geschützte Inhalte reproduzieren. Fremde, lizenzpflichtige Inhalte gehören nicht ungeprüft in den Prompt.
  4. DSGVO-Pflichten: Werden personenbezogene Daten verarbeitet, brauchst du Auftragsverarbeitungsvertrag (AVV), gegebenenfalls eine Datenschutz-Folgenabschätzung (DSFA) und musst die Rechenschaftspflicht erfüllen.
  5. EU AI Act: Pflicht zur KI-Kompetenz der Belegschaft und – ab 2026 – Transparenz-/Kennzeichnungspflichten.

Eine schriftliche Richtlinie ist selbst ein Baustein der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO: Du dokumentierst damit, dass du die Risiken erkannt und Maßnahmen getroffen hast. Das BSI empfiehlt in seiner Publikation zu generativen KI-Modellen ausdrücklich, vor der Integration eine Risikoanalyse durchzuführen und Gegenmaßnahmen tabellarisch zuzuordnen – genau das leistet eine gute Richtlinie.

Schritt 2: Rechtsrahmen verstehen (EU AI Act und DSGVO)

Zwei Regelwerke prägen die Richtlinie. Du musst kein Jurist sein, aber die wichtigsten Eckpunkte kennen.

EU AI Act: Fristen und Pflichten

Besonders relevant für den Mittelstand sind Art. 4 (KI-Kompetenz) und Art. 50 (Transparenz). Die Hochrisiko-Pflichten treffen die meisten KMU mit Standard-Tools (ChatGPT/Copilot für E-Mails und Recherche) nicht.

DatumWas wird anwendbarBedeutung für KMU
02.02.2025Verbotene KI-Praktiken + Art. 4 KI-KompetenzPersonal muss ausreichende KI-Kompetenz haben – gilt auch für KMU, die nur ChatGPT für E-Mails nutzen.
02.08.2025Nationale Aufsichtsbehörden benannt, Bußgeldrahmen anwendbarSanktionen werden durchsetzbar.
02.08.2026Allgemeines Anwendungsdatum inkl. Transparenzpflichten (Art. 50)Kennzeichnung von Chatbots, Deepfakes und KI-Texten – jetzt vorbereiten.

Art. 4 (KI-Kompetenz) gilt seit dem 02.02.2025: Anbieter und Betreiber müssen „nach besten Kräften“ sicherstellen, dass ihr Personal – inklusive beauftragter Dienstleister – über ausreichende KI-Kompetenz verfügt. Das ist eine Bemühungspflicht, keine Erfolgspflicht; entscheidend ist die Dokumentation der Maßnahmen (z. B. Schulungsnachweise). Ein eigener „KI-Beauftragter“ ist nicht verpflichtend, aber empfehlenswert.

Art. 50 (Transparenz) wird ab dem 02.08.2026 anwendbar und verlangt unter anderem: Nutzer müssen erkennen, wenn sie mit einem KI-System interagieren; KI-generierte oder manipulierte Bild-, Ton- und Videoinhalte (Deepfakes) müssen offengelegt werden; KI-Texte zu Themen von öffentlichem Interesse müssen gekennzeichnet werden; der Output generativer KI muss maschinenlesbar als KI-erzeugt markierbar sein. Ausnahmen gelten für offensichtlich künstlerische, satirische oder fiktionale Werke.

Zum Bußgeldrahmen: Verstöße gegen Art. 4 und Art. 50 fallen in die Stufe bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes (je nachdem, was höher ist), verbotene Praktiken bis 35 Mio. Euro oder 7 %. KMU und Startups erhalten bei der Bemessung Ermessensspielraum. Diese Zahlen werden in Sekundärquellen uneinheitlich zitiert – prüfe sie vor der Veröffentlichung gegen den offiziellen Verordnungstext.

DSGVO: AVV, DSFA und TOM

Sobald ein KI-Tool personenbezogene Daten verarbeitet, brauchst du nach Art. 28 DSGVO einen Auftragsverarbeitungsvertrag (AVV). AVV-fähig sind in der Regel die Business-/Enterprise-Tarife (etwa ChatGPT Team/Enterprise, Claude Team/Enterprise, Microsoft 365 Copilot, Google Workspace mit Gemini Business). Zusätzlich gehören dazu: die Prüfung des DSFA-Bedarfs, Mitarbeiterschulungen und technische Sperren für nicht freigegebene Dienste. Die passenden Schutzmaßnahmen hältst du in deinen technischen und organisatorischen Maßnahmen (TOM, Art. 32 DSGVO) fest – Details dazu in unserer Praxisanleitung zu DSGVO-TOM und Auftragsverarbeitung.

Achtung Trugschluss: „Enterprise-Tarif = automatisch DSGVO-konform“ ist falsch. Auch mit ChatGPT, Claude oder Copilot Enterprise bleiben AVV-Abschluss, DSFA-Prüfung und Mitarbeiterschulung Pflicht. Konformität entsteht erst aus der Kombination von Verträgen, Technik und Governance – kein einzelnes Tool genügt.

Schritt 3: Geltungsbereich und Begriffe festlegen

Jede Richtlinie beginnt mit Zweck und Geltungsbereich. Beantworte drei Fragen klar:

  • Wer ist betroffen? In der Regel alle Beschäftigten, Auszubildenden, Werkstudierenden sowie externe Dienstleister, die im Auftrag mit KI arbeiten.
  • Welche Tools fallen darunter? Alle generativen KI-Dienste (Text, Bild, Audio, Code) – egal ob im Browser, als App, als Plug-in oder über eine Schnittstelle.
  • Welche Daten und Tätigkeiten? Geschäftliche Inhalte aller Art, die in einen KI-Dienst eingegeben oder von ihm erzeugt werden.

Definiere außerdem die wichtigsten Begriffe, damit die Regeln eindeutig sind: generative KI, öffentliche/kostenlose KI versus freigegebene Business-KI, self-hosted KI, personenbezogene Daten, Geschäftsgeheimnis und Schatten-KI (nicht freigegebene, eigenmächtig genutzte Tools).

Schritt 4: Datenklassen-Regel definieren (das Herzstück)

Der wichtigste Baustein ist die Frage, welche Daten in welche KI dürfen. Statt „ein Tool für alles“ arbeitest du mit Datenklassen und einer Freigabematrix. Die eiserne Grundregel lautet:

Keine personenbezogenen Daten (Namen, Adressen, Gehälter, Gesundheitsdaten, Kundendaten), keine vertraulichen/Geschäftsgeheimnis-Daten und keine besonderen Kategorien nach Art. 9 DSGVO in öffentliche oder kostenlose KI-Dienste eingeben.

Eine bewährte Einteilung mit vier Klassen:

DatenklasseBeispieleÖffentliche/kostenlose KIFreigegebene Business-KI (mit AVV)Self-hosted KI (lokales Modell)
ÖffentlichPressetexte, veröffentlichte Inhalte, allgemeines Wissenerlaubterlaubterlaubt
Interninterne Notizen ohne Personenbezug, allgemeine Prozessbeschreibungennur anonymisierterlaubterlaubt
Vertraulichpersonenbezogene Daten, Kundendaten, Angebote, Kalkulationenverbotenerlaubt (mit AVV und DSFA-Prüfung)erlaubt
Streng vertraulichGeschäftsgeheimnisse, Gesundheitsdaten (Art. 9), Zugangsdatenverbotennur nach Einzelfreigabeerlaubt (vorzugsweise lokales Modell)

Ergänze zwei Pflichten: eine Anonymisierungs-/Pseudonymisierungspflicht vor jeder Eingabe und eine Meldepflicht, falls versehentlich sensible Daten eingegeben wurden (das kann eine meldepflichtige Datenpanne nach Art. 33 DSGVO sein).

Beachte die Falle kostenloser/privater Accounts: ChatGPT Free oder Plus mit Privatkonto verarbeitet Eingaben häufig anders (Trainingsnutzung) als die Business-/Enterprise-Tarife. Trenne das in der Richtlinie sauber, sonst fließen über Schatten-IT doch wieder Daten ab.

Schritt 5: Erlaubte vs. verbotene Tools (Whitelist/Blacklist)

Lege fest, welche Tools freigegeben sind und welche nicht. Wichtig ist eine kurze, klare Whitelist mit komfortablen Standardlösungen – sonst weichen Mitarbeitende auf Schatten-KI aus. Die Liste bleibt anbieterneutral und nennt Beispiele, keine Wertung.

StatusTypische BeispieleBedingung
Freigegeben (Whitelist)Business-/Enterprise-Tarife mit AVV, freigegebene self-hosted LösungAVV vorhanden, Daten werden nicht zum Training genutzt, Datenklasse passt
Eingeschränkteinzelne Funktionen oder nur für bestimmte Datenklassennur nach Vorgabe der Datenklassen-Matrix
Verboten (Blacklist)kostenlose/private Accounts für geschäftliche Inhalte, nicht geprüfte Dienstekein AVV, unklare Datenverarbeitung, kein Freigabeprozess durchlaufen

Konkret zu einzelnen Plattformen, ohne Anbieterwertung:

  • Microsoft 365 Copilot: Die Enterprise Data Protection (EDP) ist seit September 2024 standardmäßig aktiv. Prompts, Antworten und über Microsoft Graph abgerufene Daten werden nicht zum Training der Foundation-Modelle verwendet; bestehende Berechtigungen, Sensitivity Labels und Mandantenisolation gelten weiter. Prüfpfad: Microsoft Learn > Microsoft 365 Copilot > „Enterprise data protection“.
  • ChatGPT / Claude: In den Team-/Enterprise-Tarifen sind AVV-Abschluss und ein „kein Training mit deinen Daten“-Versprechen üblich – im Free-/Plus-Privatkonto nicht.
  • Self-hosted KI: Datensparsamste Option, siehe Schritt 6.

Schritt 6: Self-hosted KI als datensparsame Alternative

Wo Datensparsamkeit oberste Priorität hat, ist eine selbst betriebene KI-Oberfläche die beste Wahl. LibreChat ist quelloffen (MIT-Lizenz) und self-hostbar; Chatverlauf und Prompts bleiben auf deinem eigenen Server. Eine ausführliche Installation findest du in unserer Anleitung LibreChat als self-hosted ChatGPT-/Claude-Alternative per Docker.

Vorteile für die Richtlinie:

  • Anbieterneutral: LibreChat unterstützt viele Provider (OpenAI, Anthropic/Claude, Azure OpenAI, Google/Vertex, AWS Bedrock, Mistral, Groq, OpenRouter) sowie lokale Backends (Ollama, koboldcpp, Apple MLX) für voll-offline Betrieb.
  • Enterprise-Features ohne Aufpreis: SAML, OIDC, LDAP, RBAC, Multi-User-Authentifizierung und Moderation.
  • Betrieb via Docker-Compose; benötigt mehrere Dienste (LibreChat, RAG-API, MongoDB, MeiliSearch, PostgreSQL).

Wichtiger Hinweis: Self-Hosting löst nicht automatisch alle DSGVO-Fragen. Bindest du ein Cloud-Modell (z. B. die OpenAI-API) als Backend an, fließen die Daten weiterhin zum Anbieter. Echte Datensparsamkeit gibt es nur mit einem lokalen Modell (Ollama/MLX) oder einem vertraglich abgesicherten Anbieter.

Schritt 7: Freigabeprozess für neue KI-Tools

Damit die Whitelist gepflegt bleibt und keine Schatten-KI entsteht, brauchst du einen schlanken Freigabeprozess. Diese Schritte gehören hinein:

  1. Antrag durch den Fachbereich (Tool, Zweck, geplante Datenklassen).
  2. Anbieterprüfung: Standort, Subprozessoren, Verarbeitungsorte.
  3. AVV vorhanden? Falls nein, kein Einsatz mit personenbezogenen Daten.
  4. Trainingsnutzung geklärt? Werden Eingaben nicht zum Training genutzt?
  5. Datenklassen-Eignung festlegen (welche Klasse ist erlaubt).
  6. DSFA-Bedarf prüfen (gemeinsam mit dem Datenschutz).
  7. Technische Einbindung: SSO, Logging, ggf. Sperren für die Free-Variante.
  8. Aufnahme in die Whitelist und Dokumentation.
  9. Re-Evaluierung in festem Turnus.

Als kopierfertige Checkliste für die Anlage zur Richtlinie:

Freigabe-Checkliste neues KI-Tool
[ ] Antrag (Fachbereich, Zweck, Datenklassen) liegt vor
[ ] Anbieter, Standort und Subprozessoren geprueft
[ ] AVV nach Art. 28 DSGVO abgeschlossen
[ ] Bestaetigt: Eingaben werden nicht zum Modelltraining genutzt
[ ] Erlaubte Datenklasse(n) festgelegt
[ ] DSFA-Bedarf geprueft (mit Datenschutz)
[ ] Technische Einbindung (SSO, Logging) geklaert
[ ] In Whitelist aufgenommen und dokumentiert
[ ] Naechste Re-Evaluierung terminiert (mind. jaehrlich)

Schritt 8: Kennzeichnung, Rollen und Schulung

Kennzeichnung KI-generierter Inhalte

Lege fest, wann und wie KI-Inhalte gekennzeichnet werden. Pflicht ist immer die menschliche Prüfung („Human in the loop“) vor jeder Nutzung oder Veröffentlichung – gerade bei Quellenangaben, Zahlen und Rechtsaussagen, weil KI halluzinieren kann. Für externe Inhalte (Bilder, Texte zu Themen öffentlichen Interesses, Chatbots) bereite die Kennzeichnung schon jetzt vor, damit du zum 02.08.2026 für Art. 50 gerüstet bist.

Rollen und Verantwortlichkeiten

RolleVerantwortung
Geschäftsführungverabschiedet die Richtlinie, stellt Ressourcen, trägt die Gesamtverantwortung
KI-Verantwortlicher / Datenschutzbeauftragterpflegt Richtlinie und Whitelist, begleitet Freigaben, prüft DSFA-Bedarf
ITsetzt technische Sperren, SSO und Logging um, betreibt self-hosted Lösungen
Fachbereichestellen Freigabeanträge, halten die Datenklassen-Regel ein
Mitarbeitendenutzen nur freigegebene Tools, prüfen KI-Output, melden Vorfälle

Schulung und Awareness (Art. 4)

Die KI-Kompetenz nach Art. 4 EU AI Act setzt du über Schulungen um – und dokumentierst sie nachweisbar (Teilnehmerlisten, Inhalte, Datum). Das ist die einfachste Art, die Bemühungspflicht zu belegen. Identitätsschutz und Zugangskontrolle gehören dazu; wie du Konten zusätzlich absicherst, zeigt unsere Anleitung zu Microsoft 365 mit MFA und Conditional Access in Entra ID.

Schritt 9: Verstoßfolgen, Meldewege und Aktualisierung

  • Meldewege: Definiere, an wen sich Mitarbeitende bei versehentlicher Eingabe sensibler Daten oder einem Verdacht wenden. Eine schnelle interne Meldung ist Voraussetzung, um eine mögliche Datenpanne (Art. 33 DSGVO) fristgerecht zu behandeln.
  • Verstoßfolgen: Halte fest, dass Verstöße arbeitsrechtliche Konsequenzen haben können – abgestuft von Hinweis über Abmahnung bis hin zu weitergehenden Maßnahmen. Stimme die Formulierung mit dem Betriebsrat und gegebenenfalls einem Arbeitsrechtler ab.
  • Prüfung und Aktualisierung: Überprüfe die Richtlinie mindestens einmal jährlich sowie anlassbezogen (neue Tools, neue Rechtslage). Das deckt sich mit der empfohlenen regelmäßigen Evaluierung der TOM nach Art. 32 Abs. 1 Buchst. d DSGVO.

Schritt 10: Vorlage zum Anpassen

Diese Vorlage bildet die typischen Mindestbausteine ab. Passe sie an dein Unternehmen an und lass sie von Datenschutz und Rechtsberatung prüfen.

KI-Nutzungsrichtlinie der [Firma]
Version 1.0 - Stand [Datum] - verabschiedet von der Geschaeftsfuehrung

1. Zweck und Geltungsbereich
   Gilt fuer alle Beschaeftigten und beauftragten Dienstleister bei der
   Nutzung generativer KI (Text, Bild, Audio, Code) fuer geschaeftliche Zwecke.

2. Begriffe und Datenklassen
   Oeffentlich / Intern / Vertraulich / Streng vertraulich (siehe Matrix Anlage A).

3. Erlaubte vs. verbotene Tools
   - Erlaubt (Whitelist): siehe Anlage B (Business-/Enterprise-Tarife mit AVV,
     freigegebene self-hosted Loesung).
   - Verboten: kostenlose/private Accounts fuer geschaeftliche Inhalte,
     nicht freigegebene Dienste.

4. Datenklassen-Regel
   Keine personenbezogenen, vertraulichen oder Geschaeftsgeheimnis-Daten
   in oeffentliche/kostenlose KI. Anonymisieren/Pseudonymisieren vor Eingabe.

5. Freigabeprozess fuer neue KI-Tools
   Antrag -> Anbieterpruefung -> AVV -> Trainingsnutzung -> Datenklasse ->
   DSFA-Bedarf -> technische Einbindung -> Whitelist -> Re-Evaluierung (Anlage C).

6. Kennzeichnung
   KI-Output vor Nutzung pruefen (Human in the loop). Externe Kennzeichnung
   gemaess Art. 50 EU AI Act ab 02.08.2026 vorbereiten.

7. Rollen und Verantwortlichkeiten
   Geschaeftsfuehrung / KI-Verantwortlicher bzw. DSB / IT / Fachbereich / Mitarbeitende.

8. Schulung und Awareness
   Verpflichtende KI-Schulung (Art. 4 EU AI Act), dokumentiert.

9. Meldewege und Vorfaelle
   Meldung versehentlicher Eingaben sensibler Daten an [Stelle];
   ggf. Datenpannen-Prozess nach Art. 33 DSGVO.

10. Verstossfolgen
    Abgestufte arbeitsrechtliche Konsequenzen (mit Betriebsrat abgestimmt).

11. Pruefung und Aktualisierung
    Mindestens jaehrlich und anlassbezogen.

12. Verweise
    DSGVO (Art. 5, 9, 28, 32, 33), AVV, TOM, EU AI Act (Art. 4, 50).

Anlagen: A Datenklassen-Matrix | B Whitelist/Blacklist | C Freigabe-Checkliste

Troubleshooting: Typische Fehler

  • „Enterprise = DSGVO-konform“: Falsch. Auch Enterprise-Tarife brauchen AVV, DSFA-Prüfung und Schulung. Konformität entsteht erst aus Verträgen, Technik und Governance.
  • Art. 4 übersehen: Die KI-Kompetenzpflicht gilt seit 02.02.2025 für alle Betreiber – auch wer nur ChatGPT für E-Mails nutzt. Schulungen dokumentieren.
  • Art. 50 als bereits geltend dargestellt: Die Transparenzpflichten greifen erst ab 02.08.2026. Jetzt vorbereiten, aber nicht als geltendes Recht ausweisen.
  • Halluzinationen ignoriert: Ohne festgeschriebene menschliche Prüfpflicht landen erfundene Quellen und Zahlen in Dokumenten. „Human in the loop“ verbindlich machen.
  • Schatten-KI durch zu strenge Regeln: Wer nichts Komfortables freigibt, treibt Mitarbeitende in private Tools. Eine klare Whitelist mit guter Standardlösung wirkt besser als ein Komplettverbot.
  • Self-Hosting falsch verstanden: LibreChat mit Cloud-API-Backend ist nicht automatisch datensparsam – nur lokale Modelle halten Daten wirklich im Haus.
  • Veraltete Rechtswerte: Fristen und Bußgeldhöhen werden uneinheitlich zitiert. Vor Veröffentlichung gegen den offiziellen Verordnungstext bzw. die Aufsichtsbehörde prüfen.

Häufige Fragen

Brauchen auch kleine Unternehmen eine KI-Nutzungsrichtlinie?

Ja. Sobald Mitarbeitende KI nutzen, greifen die Rechenschaftspflicht der DSGVO und die KI-Kompetenzpflicht des EU AI Act. Eine schlanke Richtlinie nach dieser Vorlage genügt für den Anfang und lässt sich später ausbauen.

Darf ich personenbezogene Daten in ChatGPT oder Copilot eingeben?

Nur in einem freigegebenen Business-/Enterprise-Tarif mit abgeschlossenem AVV und nach DSFA-Prüfung – niemals in kostenlosen oder privaten Accounts. Im Zweifel anonymisieren oder auf eine self-hosted Lösung mit lokalem Modell ausweichen.

Reicht es, einen Enterprise-Tarif zu kaufen?

Nein. Der Tarif ist nur ein Baustein. Du brauchst zusätzlich den AVV, die DSFA-Prüfung, technische Kontrollen und die organisatorischen Regeln der Richtlinie. Erst die Kombination ergibt Konformität.

Muss ich einen KI-Beauftragten benennen?

Verpflichtend ist das nicht. Empfehlenswert ist aber eine klar benannte verantwortliche Person (oft der Datenschutzbeauftragte), die Richtlinie und Whitelist pflegt und Freigaben begleitet.

Wie setze ich die KI-Kompetenz nach Art. 4 praktisch um?

Über dokumentierte Schulungen und Awareness-Maßnahmen. Da es eine Bemühungspflicht ist, zählt vor allem der Nachweis: Wer wurde wann zu welchen Inhalten geschult.

Ist self-hosted KI wie LibreChat immer DSGVO-konform?

Nur wenn das angebundene Modell die Daten nicht nach außen gibt. Mit einem lokalen Modell (Ollama/MLX) bleiben die Daten im Haus; mit einer Cloud-API als Backend gelten dieselben DSGVO-Pflichten wie bei jedem anderen Cloud-Dienst.

Fazit

Eine KI-Nutzungsrichtlinie muss nicht dick sein, aber sie muss die richtigen Bausteine treffen: eine klare Datenklassen-Regel, eine kurze Whitelist mit komfortablen Standardlösungen, einen schlanken Freigabeprozess, verbindliche menschliche Prüfung und dokumentierte Schulungen. Damit erfüllst du die Rechenschaftspflicht der DSGVO, bist auf den EU AI Act vorbereitet und verhinderst, dass vertrauliche Daten unkontrolliert in öffentliche KI abfließen. Nimm die Vorlage aus Schritt 10 als Startpunkt, ergänze die Anlagen und lass das Ganze von Datenschutz und Rechtsberatung prüfen – dann hast du eine gelebte, anbieterneutrale Governance für ChatGPT, Copilot, Claude und alles, was noch kommt.

Weiterführende Anleitungen und Quellen

Quellen: TÜV Rheinland Consulting – „KI-Kompetenz nach Art. 4 EU AI Act“; EU AI Act – Article 50 (Transparenzpflichten, Volltext); Microsoft Learn – „Enterprise data protection in Microsoft 365 Copilot“; BSI – „Generative KI-Modelle: Chancen und Risiken für Industrie und Behörden“. Hinweis: keine Rechtsberatung; rechtliche Werte vor Veröffentlichung gegen die Primärquellen prüfen.

Verwandt

Weiter lesen

Alle Artikel →
Infografik zu Microsoft Build 2026 mit MAI-Thinking-1 als erstem eigenen Microsoft-Reasoning-Modell, das laut Microsoft ohne Modelldestillation und mit sauberen Trainingsdaten entwickelt wurde, als Teil der neuen MAI-Modellfamilie.
03.06.2026 ·3 min

Microsoft Build 2026: MAI-Thinking-1 ist erstes eigenes Reasoning-Modell ohne OpenAI-Daten

Microsoft hat auf der Build 2026 mit MAI-Thinking-1 sein erstes eigenständiges Reasoning-Modell vorgestellt - vollständig ohne OpenAI-Daten entwickelt und mit Claude Opus 4.6 beim Coding vergleichbar.
Infografik zu LibreChat als self-hosted ChatGPT- und Claude-Alternative mit Docker, mit Weboberfläche, mehreren KI-Anbietern, API-Anbindung, Benutzerkonten und lokal betriebenem Chat-Frontend.
02.06.2026 ·12 min

LibreChat: self-hosted ChatGPT- und Claude-Alternative mit Docker

LibreChat per Docker Compose self-hosten: Multi-Provider-Chat für OpenAI, Anthropic Claude, Azure und lokale Modelle via Ollama. Mit kompletter compose.yaml, .env-Secrets, librechat.yaml, MeiliSearch-Suche, RAG-Uploads und Update- und Backup-Workflow für Debian 12 und Ubuntu 24.04.
Lokaler NVR-Server mit KI-Videoüberwachung und Objekterkennung
02.06.2026 ·10 min

Frigate mit Docker: KI-Videoüberwachung (NVR) mit Objekterkennung

Baue dir mit Frigate und Docker einen lokalen NVR mit KI-Objekterkennung auf: RTSP-Kameras, Personen- und Auto-Erkennung, Hardware-Beschleunigung per Intel iGPU, Coral oder NVIDIA – alles selbst gehostet, ohne Cloud.