Was eine KI-Weisung wirklich braucht

Viele Organisationen greifen zur Feder, bevor sie verstehen, was sie eigentlich regeln wollen. Das rächt sich.

In meiner Beratungspraxis erlebe ich es regelmässig: Eine Organisation will eine KI-Weisung schreiben, noch bevor irgendjemand weiss, welche KI-Tools die Mitarbeitenden überhaupt nutzen, wofür sie eingesetzt werden und welche Daten dabei verarbeitet werden. Das Ergebnis ist dann ein Dokument, das gut klingt, aber die eigentlichen Risiken nicht trifft. Meine Grundüberzeugung dazu ist einfach: Man kann nur regulieren, was man versteht.

Eine KI-Weisung ist kein Selbstzweck. Sie ist ein Steuerungsinstrument. Und wie jedes Steuerungsinstrument ist sie nur so gut wie die Grundlage, auf der sie aufbaut. Wer diesen ersten Schritt überspringt, schreibt Papier. Wer ihn ernst nimmt, schreibt eine Weisung, die im Alltag auch funktioniert.

Im Folgenden gehe ich auf die Elemente ein, die in keiner KI-Weisung fehlen sollten.

1. Bestandsaufnahme vor der Regulierung

Bevor eine Zeile Weisung geschrieben wird, braucht es eine Antwort auf drei Fragen: Welche KI-Tools werden genutzt? Von wem? Für welche Aufgaben?

Das klingt banal. Ist es aber nicht. In den meisten Organisationen gibt es eine offizielle Tool-Landschaft und daneben eine weit grössere Schatten-IT, die sich kaum jemand traut zuzugeben. Wer nur die offiziellen Tools regelt, reguliert an der Realität vorbei.

Die Bestandsaufnahme muss also beide Ebenen erfassen: Was ist genehmigt, was wird tatsächlich verwendet. Erst dann lässt sich sinnvoll entscheiden, was erlaubt, was unter Bedingungen erlaubt und was verboten sein soll.

2. Klarer Geltungsbereich

Eine KI-Weisung, die für «alle KI-Tools» gilt, gilt am Ende für nichts Konkretes. Der Geltungsbereich muss präzise definiert sein, und zwar in beide Richtungen.

Nach innen: Welche Mitarbeitenden sind erfasst? Alle, bestimmte Abteilungen, externe Dienstleister?

Nach aussen: Welche Tools und Systeme fallen unter die Weisung? Nur eigenentwickelte Systeme? Auch kommerzielle Angebote wie ChatGPT, Copilot oder andere? Was gilt für KI-Funktionen, die in bestehende Software integriert sind und die Mitarbeitende womöglich gar nicht als «KI» wahrnehmen?

Wer den Geltungsbereich zu weit fasst, produziert Regelungen, die niemand mehr überblickt. Wer ihn zu eng fasst, lässt die eigentlichen Risikoquellen ungeregelt.

3. Erlaubte und verbotene Anwendungsfälle

Das Herzstück jeder KI-Weisung ist die Antwort auf die Frage: Was darf man, was darf man nicht?

Dieser Teil sollte nicht abstrakt, sondern konkret sein. Nicht «KI darf nur für zulässige Zwecke eingesetzt werden», sondern: Welche Tätigkeiten sind ausdrücklich erlaubt, welche nur unter bestimmten Bedingungen, welche generell untersagt?

Konkrete Beispiele für verbotene Anwendungen wären etwa das Eingeben von Personendaten in externe KI-Systeme ohne entsprechende Rechtsgrundlage, die automatisierte Erstellung von Rechtsgutachten ohne menschliche Überprüfung oder die Nutzung von KI-generierten Inhalten ohne Offenlegung gegenüber dem Klienten, sofern eine entsprechende Pflicht besteht.

Gute Weisungen arbeiten mit Beispielen. Nicht weil die Mitarbeitenden es nicht besser wüssten, sondern weil Beispiele den Interpretationsspielraum reduzieren und klarmachen, was gemeint ist.

4. Datenschutz und Berufsgeheimnisschutz

Für Kanzleien, Behörden und Rechtsabteilungen ist dieser Punkt nicht verhandelbar. KI-Systeme verarbeiten Daten, und die Frage, welche Daten wo hingehen und wer darauf Zugriff hat, ist keine technische Kleinigkeit.

Die KI-Weisung muss klar regeln, welche Datenkategorien in KI-Systeme eingespeist werden dürfen und welche nicht. Berufsgeheimnisträger müssen zusätzlich klären, ob ihre vertraglichen und standesrechtlichen Pflichten mit dem konkreten Tool kompatibel sind. Eine pauschale Aussage «KI darf genutzt werden, wenn der Datenschutz eingehalten wird» reicht hier nicht.

Konkret bedeutet das: Ist ein Auftragsverarbeitungsvertrag abgeschlossen? Werden die Daten für Trainingszwecke verwendet? In welchem Land werden die Daten verarbeitet? Kann die Websuche im Tool deaktiviert werden, um das Risiko einer Rollenwechsels des Anbieters zu minimieren?

5. Transparenz- und Offenlegungspflichten

Müssen Klienten, Gerichte oder andere Stellen wissen, dass ein Text KI-unterstützt entstanden ist? Die Antwort hängt von Kontext, Berufsrecht und im Einzelfall auch von vertraglichen Vereinbarungen ab.

Die Weisung sollte dazu eine klare Haltung einnehmen und nicht einfach auf «die Rechtslage» verweisen, die in diesem Bereich noch im Fluss ist. Wer intern keine Linie vorgibt, überlässt die Entscheidung dem Einzelfall. Das führt zu Inkonsistenz und im Streitfall zu unnötigen Haftungsrisiken.

6. Menschliche Kontrolle und Verantwortung

KI-generierter Output ist kein fertiges Ergebnis. Er ist ein Arbeitsmittel, das geprüft, eingeordnet und verantwortet werden muss. Das klingt selbstverständlich, aber die Praxis sieht oft anders aus. Wer unter Zeitdruck arbeitet, tendiert dazu, KI-Outputs zu übernehmen, ohne sie kritisch zu hinterfragen.

Die KI-Weisung sollte explizit festhalten, wer die Verantwortung für KI-gestützten Output trägt und wie die Überprüfungspflicht konkret aussieht. Besondere Aufmerksamkeit braucht dabei der Bereich der automatisierten Entscheidungsfindung: Sowohl das Datenschutzrecht als auch zunehmend der AI Act setzen hier klare Grenzen.

7. Schulung und Kompetenzaufbau

Eine Weisung, die niemand versteht, wird nicht befolgt. Und eine Weisung, die zwar verständlich ist, aber ohne begleitende Schulung eingeführt wird, erzeugt bestenfalls Unsicherheit, schlimmstenfalls Scheinkonformität.

Zum Minimalstandard gehört: Mitarbeitende wissen, was die Weisung von ihnen verlangt, kennen die häufigsten Risikosituationen und wissen, an wen sie sich bei Unklarheiten wenden können.

Schulung bedeutet dabei nicht zwingend ein mehrstündiges Training. Oft reichen gezielte Hinweise zu den kritischen Punkten und ein klar kommunizierter Ansprechpartner für Fragen.

8. Überprüfung und Aktualisierung

KI-Tools entwickeln sich schnell. Was heute gilt, kann morgen überholt sein. Eine KI-Weisung, die einmal verabschiedet und dann vergessen wird, verliert rasch ihre Steuerungswirkung.

Die Weisung selbst sollte deshalb einen Überprüfungsrhythmus vorsehen, mindestens einmal jährlich, bei wesentlichen Änderungen der genutzten Tools oder der Rechtslage aber auch anlassbezogen. Wer für diesen Prozess keine Zuständigkeit benennt, wird feststellen, dass er schlicht nicht stattfindet.

Fazit: Weisung als Prozess, nicht als Produkt

Eine KI-Weisung ist kein Dokument, das man einmal schreibt und dann ablegt. Sie ist der Ausdruck einer aktiven Auseinandersetzung mit der Frage, wie KI in der eigenen Organisation verantwortungsvoll eingesetzt werden soll.

Die wichtigsten Elemente, die ich oben beschrieben habe, sind kein vollständiger Katalog. Jede Organisation hat ihre eigenen Risikoprofile, ihre eigene Tool-Landschaft und ihre eigenen rechtlichen Rahmenbedingungen. Genau deshalb gibt es keine Vorlage, die einfach übernommen werden kann.

Was es aber immer braucht: den Mut, zuerst zu verstehen, was tatsächlich passiert, bevor reguliert wird. Wer das ernst nimmt, hat die schwierigste Arbeit schon getan.

Sie sind auf der Suche nach Unterstützung bei der Erarbeitung einer KI-Weisung für Ihre Kanzlei, Behörde oder Rechtsabteilung? Nehmen Sie Kontakt auf.