Interne Teams testeten KI mit privaten Accounts und Browser-Plugins; Verantwortungen und No-Go-Zonen waren unklar.

• „Schatten-IT“: diverse KI-Tools ohne Prüfung oder Vertrag
• Risiko vertraulicher Daten in Prompts (Kundendaten, Zeichnungen)
• Keine Regeln zu Quellennennung und Ergebnisprüfung
• Unklar: Wer darf was? (Einkauf, Konstruktion, HR)
• Keine Protokollierung und fehlende Audit-Nachweise

Gemeinsam wurde eine schlanke KI-Policy erstellt (4 Seiten, klare Do’s/Don’ts, rote Linien) und vom Betriebsrat abgestimmt. Zugelassen wurden zwei Wege:

produktiv im eigenen M365-Tenant (Copilot, Teams, SharePoint) mit Rollenrechten,

interne, isolierte Modelle für sensible Texte/Zeichnungen. DLP-Regeln verhindern das Kopieren sensibler Inhalte in externe Dienste; Browser-Plugins mit Datenzugriff wurden gesperrt. Für wiederkehrende Aufgaben gibt es geprüfte Vorlagen (z. B. Mailentwürfe, Protokoll-Zusammenfassungen) mit Pflichtschritten zur Quellenprüfung. Kurzschulungen (45 Min) pro Bereich plus eine FAQ-Seite in SharePoint sorgen für Akzeptanz. Alle Nutzungen werden revisionssicher protokolliert; für neue Anwendungsfälle existiert ein 1-Seiten-Check (Risiko, Daten, Freigabe).

Ergebnisse nach 6 Wochen Messung

- Policy-Akzeptanz (digital signiert): 92 % - Tool-Wildwuchs: –60 % nicht freigegebene Tools - „Daten nach außen“-Vorfälle: 0 gemeldete Fälle - Zeitersparnis in Admin-Teams: ~3 Std/Woche durch geprüfte Vorlagen - Audit-Readiness: Nachweise (Logs, Policy, Schulungen) vollständig vorhanden