KI-Awareness Schulung — sicherer Umgang mit Generativer KI im Arbeitsalltag.

ChatGPT, Microsoft Copilot, Claude, Gemini — Generative KI hat den Arbeitsalltag in 18 Monaten verändert. Die Risiken werden aber nur selten klar benannt: Datenschutz-Verletzungen durch sensible Eingaben, Halluzinationen in Geschäftsdokumenten, Compliance-Lücken bei Mandanten-Daten. Wir konzipieren KI-Awareness-Programme, die diese Risiken sichtbar machen und produktive Nutzung ermöglichen.

8 Minuten Lesezeit · Themen: Generative KI, Datenschutz, Halluzinationen
Inhalt
7 Abschnitte · 8 Minuten Lesezeit
  1. 01Warum klassische Awareness bei KI nicht reicht1 min
  2. 02Die typischen KI-Risiken am Arbeitsplatz2 min
  3. 03Datenschutz und KI — was darf ich eingeben?1 min
  4. 04Halluzinationen und Output-Qualität1 min
  5. 05Schatten-KI im eigenen Team erkennen1 min
  6. 06Was eine gute KI-Awareness-Kampagne ausmacht2 min
  7. 07Häufig gestellte Fragen3 min

Warum klassische Awareness bei KI nicht reicht

Klassische Security-Awareness-Programme adressieren Phishing, Passwort-Hygiene, soziale Manipulation. Diese Themen bleiben relevant — aber sie reichen nicht für die spezifischen Risiken Generativer KI. Was bei klassischer IT eine bewusste Handlung war (ein Klick auf einen Link, eine Eingabe von Zugangsdaten), ist bei KI ein unmerklicher Routine-Vorgang.

Ein Mitarbeitender kopiert einen Vertragstext in ChatGPT, um ihn zusammenfassen zu lassen. Das passiert in fünf Sekunden, fühlt sich harmlos an, ist aber je nach Vertragsinhalt und KI-Anbieter eine substanzielle Compliance-Lücke. Wer das Risiko nicht benennt, kann es nicht steuern.

KI-Awareness adressiert genau diese Lücke: Sie macht die spezifischen Risiken der KI-Nutzung greifbar, schafft klare Verhaltens-Leitlinien und ermöglicht produktive Nutzung in einem definierten Rahmen. Sie ist nicht der Versuch, KI-Nutzung zu unterbinden — sondern sie sicher zu gestalten.

Die typischen KI-Risiken am Arbeitsplatz

In KI-Awareness-Programmen werden typischerweise sechs Risiko-Cluster behandelt:

  1. Datenschutz-Verletzungen durch sensible Eingaben. Personenbezogene Daten, Geschäftsgeheimnisse, Mandanten-Informationen werden in öffentliche KI-Dienste eingegeben — ohne Auftragsverarbeitungs-Vereinbarung, ohne Wissen der Betroffenen, ohne Kontrolle der weiteren Verwendung.
  2. Halluzinationen in Geschäftsdokumenten. KI generiert Inhalte, die plausibel klingen, aber faktisch falsch sind — erfundene Quellen, falsche Zahlen, nicht existierende Urteile. Ohne kritische Prüfung landen diese Halluzinationen in Berichten, Verträgen oder Kunden-Kommunikation.
  3. Prompt Injection und Manipulation. KI-Systeme können durch versteckte Anweisungen in Inhalten manipuliert werden, die sie verarbeiten. Wer einer KI ein PDF zur Zusammenfassung gibt, kann nicht ausschließen, dass dieses PDF Anweisungen enthält, die das KI-Verhalten beeinflussen.
  4. Urheberrechts-Probleme. KI-generierte Inhalte können urheberrechtliche Konflikte erzeugen — sowohl beim Output (KI reproduziert trainierte Inhalte) als auch bei der Verwendung in eigenen Werken (Schutzfähigkeit, Lizenz-Klärung).
  5. Compliance-Lücken bei Mandanten-Daten. Mandanten haben oft vertragliche Anforderungen an die Datenverarbeitung — bestimmte Daten dürfen die EU nicht verlassen, bestimmte Tools sind freigegeben, andere nicht. KI-Nutzung verletzt diese Anforderungen schnell unwissentlich.
  6. Übermäßiges Vertrauen in KI-Outputs. Mitarbeitende übernehmen KI-Ergebnisse ohne ausreichende eigene Prüfung — und tragen die Verantwortung, falls Fehler entstehen. Die Verantwortlichkeit kann nicht an die KI delegiert werden.

Datenschutz und KI — was darf ich eingeben?

Die wichtigste praktische Frage in KI-Awareness lautet: Was darf ein Mitarbeitender konkret in ein KI-Tool eingeben? Die Antwort hängt vom KI-Tool, von den Daten und vom Anwendungsfall ab — ist also nicht pauschal beantwortbar. Aber es gibt klare Leitlinien:

  • Öffentliche KI-Dienste ohne vertragliche Bindung (etwa ChatGPT-Konsumer-Version, kostenlose Webdienste): keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine vertraulichen Kunden-Informationen
  • Unternehmens-KI mit Auftragsverarbeitungs-Vereinbarung (etwa Microsoft Copilot Enterprise, Google Workspace Gemini, dezidierte API-Verträge): personenbezogene Daten sind möglich, sofern die DSGVO-Grundlagen geklärt sind
  • Lokale oder selbst gehostete KI-Modelle: potenziell auch sensible Daten möglich, mit denselben Schutzmaßnahmen wie für andere interne IT-Systeme

In einer guten KI-Awareness wird das nicht abstrakt gelehrt, sondern an konkreten Beispielen geübt: Darf ich einen Kunden-Brief in ChatGPT umformulieren lassen? Darf ich ein Bewerbungs-Schreiben analysieren lassen? Darf ich Quartals-Zahlen für eine Präsentation aufbereiten lassen? Die Antworten sind kontextabhängig — und genau das müssen Mitarbeitende verstehen.

Halluzinationen und Output-Qualität

Generative KI ist keine Suchmaschine und keine Faktenbasis — sie ist ein statistisches Modell, das plausible Antworten erzeugt. Plausibel ist nicht gleich korrekt. Bekannte Halluzinations-Muster:

  • Erfundene Quellen-Angaben mit perfekt formatierten, aber nicht existierenden Zitationen
  • Nicht existierende Gerichts-Urteile mit plausiblen Aktenzeichen
  • Falsche statistische Werte, präsentiert mit überzeugender Genauigkeit
  • Erfundene historische Ereignisse, Personen oder Publikationen
  • Falsche Zuschreibung von Aussagen zu echten Personen
  • Ungenaue oder erfundene technische Details bei Spezial-Themen

Awareness muss vermitteln: Wer KI nutzt, trägt die Verantwortung für das Endergebnis. Die KI-Antwort ist ein Entwurf, nicht ein Liefer-Ergebnis. Bei sicherheits-, rechts- und kundenrelevanten Inhalten ist eine vollständige inhaltliche Prüfung Pflicht — nicht eine stichprobenartige Plausibilitätskontrolle.

Schatten-KI im eigenen Team erkennen

Schatten-KI — KI-Nutzung ohne Wissen der Compliance- oder IT-Funktion — ist in fast jedem Unternehmen Realität. Awareness-Programme adressieren das auf zwei Ebenen: zum einen, indem Mitarbeitende ermutigt werden, ihre Nutzung offen zu machen. Zum anderen, indem Führungskräfte lernen, typische Anzeichen zu erkennen.

Typische Anzeichen für Schatten-KI im Team:

  • Plötzliche deutliche Qualitäts-Verbesserung in geschriebenen Inhalten ohne erkennbare Ursache
  • Auffällig schnelle Erledigung kreativer oder analytischer Aufgaben
  • Stilbrüche zwischen verschiedenen Teilen eines Dokuments
  • Erfundene oder ungenaue Quellen-Angaben in Berichten
  • Hinweise auf nicht bekannte SaaS-Tools in Rechnungen oder Kreditkarten-Abrechnungen

Wichtig ist die richtige Reaktion: Schatten-KI ist nicht primär Disziplinar-Thema, sondern Compliance- und Kultur-Thema. Wer Mitarbeitende bestraft, treibt die Nutzung in den Untergrund. Wer transparente Wege schafft, kann KI-Nutzung produktiv kanalisieren. Awareness-Programme leisten genau diesen Balance-Akt.

Was eine gute KI-Awareness-Kampagne ausmacht

Aus unserer Erfahrung kennzeichnet sich eine wirksame KI-Awareness-Kampagne durch fünf Eigenschaften:

  1. Konkrete Beispiele statt abstrakter Regeln. Statt „Geben Sie keine sensiblen Daten ein“ konkrete Szenarien: Bewerbungsschreiben in ChatGPT? Kunden-Brief umformulieren? Quartals-Zahlen aufbereiten? Mit klaren Antworten und Begründungen.
  2. Rollen-Differenzierung. Geschäftsleitung, Marketing, HR, Vertrieb, Entwicklung haben unterschiedliche KI-Nutzungs-Profile und unterschiedliche Risiken. Eine differenzierte Schulung mit Modulen für die häufigsten Rollen ist wirksamer als ein einheitliches Programm.
  3. Klare Tool-Freigaben. Eine pragmatische Liste, welche KI-Tools freigegeben sind, mit welchen Einschränkungen. Diese Liste ist Teil des Awareness-Materials und wird quartalsweise aktualisiert. Mitarbeitende dürfen wissen, was sie nutzen können.
  4. Hands-on-Anteile. Klassische Web-Based-Trainings reichen bei KI nicht. Wirksamer sind praktische Übungen — ein Mitarbeitender lässt eine KI eine Aufgabe lösen, prüft das Ergebnis, identifiziert Halluzinationen, dokumentiert seinen Entscheidungs-Weg. Diese Übung ist lehrreicher als jede Folie.
  5. Verbindung zu klassischer Awareness. KI-Awareness ist kein eigenes Silo, sondern Erweiterung der klassischen Security-Awareness. Phishing-Angriffe nutzen heute KI, soziale Manipulation wird durch KI realistischer, Datenschutz-Themen verbinden klassische und KI-spezifische Risiken. Die Programme müssen verzahnt sein.

Häufig gestellte Fragen

Sechs Fragen, die in fast jedem KI-Awareness-Erstgespräch vorkommen. Klicken Sie eine Frage an, um die Antwort zu sehen.

Sollten wir KI-Nutzung im Unternehmen einfach verbieten?

In der Praxis funktioniert das nicht. Mitarbeitende nutzen KI auf privaten Geräten oder mit privaten Konten weiter — nur ohne Steuerungs-Möglichkeit für das Unternehmen. Sinnvoller ist die Strategie „sichere Nutzung ermöglichen“: klare Freigaben, klare Verbote, klare Begründungen. Wer das aktiv steuert, kann die produktiven Vorteile nutzen und die Risiken managen.

Wie aufwendig ist ein KI-Awareness-Programm?

Entscheidend ist nicht der einmalige Aufwand für das initiale Konzept, sondern die Verstetigung: KI ändert sich schnell, das Material muss laufend aktualisiert werden — ein einmaliges Training ist nach zwölf Monaten veraltet. Der Aufwand für die laufende Pflege nimmt nach dem ersten Jahr ab. Die konkrete Kalkulation erfolgt mandatsspezifisch nach dem Scoping-Gespräch.

Reicht ein gemeinsames Training für alle Mitarbeitenden?

Für eine erste Grundlage ja — für nachhaltige Wirkung nein. Die KI-Nutzung unterscheidet sich erheblich zwischen Rollen. Eine HR-Mitarbeiterin braucht andere Leitlinien als ein Entwickler oder ein Vertriebsmitarbeiter. Wir empfehlen ein Grundlagen-Modul für alle plus rollenspezifische Module für die wichtigsten Funktionen.

Wie verbinden sich KI-Awareness und EU-AI-Act?

Der EU-AI-Act enthält Schulungs-Anforderungen — insbesondere für Betreiber von Hochrisiko-KI. Mitarbeitende müssen mit den eingesetzten Systemen, ihren Grenzen und ihren Risiken vertraut sein. Eine strukturierte KI-Awareness ist deshalb nicht nur gute Praxis, sondern bei Hochrisiko-Nutzung Pflicht-Bestandteil der Konformität.

Können Sie auch eine Schulung speziell für die Geschäftsleitung machen?

Ja. Geschäftsleitungs-Briefings unterscheiden sich inhaltlich von Mitarbeitenden-Schulungen: Statt Phishing-Risiken und Tool-Bedienung geht es um Governance-Fragen, Haftungs-Themen, strategische KI-Entscheidungen, Investitions-Bewertung. Das Format ist meist kompakter — ein bis zwei Stunden Vortrag mit Diskussion — und auf konkrete Entscheidungs-Fragen der Geschäftsleitung zugeschnitten.

Wir haben schon eine ISMS-Awareness — wie ergänzen wir die um KI?

Im Idealfall integriert — mit einem zusätzlichen KI-Modul innerhalb der bestehenden Awareness-Architektur. Die methodischen Strukturen (Lernmanagement-System, Kampagnen-Logik, Reporting-KPIs) bleiben gleich, der Inhalt wird ergänzt. So entsteht keine zweite Awareness-Linie, sondern eine Erweiterung der bestehenden — mit deutlich geringerem Gesamtaufwand.

Unser Ansatz

Wie wir KI-Awareness-Programme aufbauen.

Wir konzipieren KI-Awareness-Programme mit der gleichen methodischen Tiefe wie klassische Security-Awareness — mehrstufige Kampagnen, KPI-gestütztes Reporting, rollen-differenzierte Module. Unser Vorgehen beginnt mit einer Analyse der konkreten KI-Nutzung im Unternehmen (häufig aus einer vorangegangenen KI-Bestandsaufnahme) und schließt mit einem rollenspezifischen Curriculum.

Wir nutzen Praxis-Übungen statt reiner Wissens-Vermittlung: Mitarbeitende üben den Umgang mit KI an realistischen Beispielen, identifizieren Halluzinationen, treffen Datenschutz-Entscheidungen. Diese Übungen sind der wirksamste Lern-Hebel. Bei Bedarf entwickeln wir auch Schulungen speziell für die Geschäftsleitung, mit Fokus auf Governance, Haftung und strategische Entscheidungen.

Erstgespräch zur KI-Awareness-Strategie.

30 Minuten. Wir klären die aktuelle KI-Nutzungs-Lage in Ihrem Unternehmen, identifizieren die wichtigsten Risiko-Schwerpunkte und skizzieren ein passendes Awareness-Konzept — mit Indikation zu Aufwand und Zeitplan.

Erstgespräch buchen Methodik kennenlernen →
Verwandte Themen

KI-Awareness ist Teil eines größeren KI-Governance-Bildes.

In den meisten Mandaten verbindet sich KI-Awareness mit folgenden Themen:

KI-Bestandsaufnahme Awareness wird konkret, sobald die tatsächliche KI-Nutzung bekannt ist KI-Managementsystem nach ISO/IEC 42001 Awareness ist Pflicht-Bestandteil eines AIMS — integrierter Aufbau ist effizienter Security Awareness Schulung KI-Awareness ergänzt die klassische ISMS-Awareness — nicht ersetzt sie