Wenn Mitarbeitende ChatGPT, Copilot oder andere KI-Werkzeuge nutzen, ohne dass eine Nutzungsrichtlinie existiert, nennen das viele Organisationen „experimentelle Nutzung" oder „Bottom-up-Innovation". Es ist beides nicht.
Es ist Dokumentenlosigkeit auf Unternehmensebene. Keine Spur, wer welche Daten in welches System gegeben hat. Keine Nachvollziehbarkeit, welche KI-Outputs in Entscheidungen eingeflossen sind. Keine Grundlage, auf der ein Datenschutzbeauftragter oder ein Auditor aufbauen kann.
Die EU AI Act macht das ab 2025 zu einem regulatorischen Problem — nicht nur einem organisatorischen. Risikoklassifizierung, Dokumentationspflichten, Transparenzanforderungen: all das setzt voraus, dass die Organisation weiß, was sie einsetzt.
Der erste Schritt ist kein Technologieprojekt. Er ist eine Policy. Eine Nutzungsrichtlinie, die beschreibt, was erlaubt ist, was verboten ist, wer verantwortlich ist und wie Outputs dokumentiert werden. Das dauert keine sechs Monate — es dauert einen Tag.
Special Governance oder AI Governance Intervention sind dafür gemacht. Aber selbst ohne externe Unterstützung: Der Fehler ist, gar nichts zu tun — und so zu tun, als ob „alle nutzen es schon" eine ausreichende Antwort auf Auditfragen wäre.