Die vorangegangenen Beiträge dieser Reihe haben sich auf die persönliche KI-Kompetenz konzentriert: Prompts strukturieren, das richtige Tool für die richtige Aufgabe auswählen, Halluzinationen erkennen, das Kontextfenster verstehen. Das alles ist notwendig. Es reicht aber nicht.

Wer als Projektleiter KI verantwortungsvoll einsetzen will, ist auf Voraussetzungen angewiesen, die er nicht selbst schaffen kann. Sie müssen von der Organisation bereitgestellt werden: eine klare Entscheidung über die zugelassenen Tools, rechtliche Absicherung durch vertragliche Grundlagen, eine verbindliche KI-Richtlinie, die Befähigung der Mitarbeitenden und eine Unternehmenskultur, in der der Umgang mit KI offen besprochen werden kann.

Fehlen diese Voraussetzungen, handelt der Projektleiter in einem ungeklärten Raum. Das ist keine akzeptable Situation — weder für ihn selbst noch für sein Team. Dieser Beitrag beschreibt, was ein Unternehmen leisten muss, und macht deutlich, dass ein Projektleiter das Recht und die Pflicht hat, diese Rahmenbedingungen aktiv einzufordern.

Fünf Voraussetzungen, die das Unternehmen schaffen muss

Die folgende Darstellung beschreibt die fünf organisatorischen Voraussetzungen für einen verantwortungsvollen KI-Einsatz im Projekt. Sie sind nach ihrer Dringlichkeit geordnet. Die erste ist die kritischste: Ohne sie bewegt sich jede KI-Nutzung im Unternehmen in einem ungeklärten rechtlichen Raum.

 

01

Technische Infrastruktur

 Welche Tools sind freigegeben, in welcher Form und auf welcher vertraglichen Grundlage?

Das Unternehmen muss entscheiden, ob Mitarbeitende öffentliche Consumer-Tools nutzen dürfen (ChatGPT Free, Claude.ai), ob Business-Versionen eingesetzt werden, die einen Datenschutzvertrag einschließen (ChatGPT Team, Microsoft Copilot für M365), oder ob eine eigene, abgeschottete Instanz betrieben wird (Azure OpenAI, private Cloud). Diese Entscheidung ist keine IT-Frage. Sie ist eine strategische Entscheidung mit unmittelbaren rechtlichen und praktischen Konsequenzen. Solange sie nicht getroffen ist, bewegt sich jeder Mitarbeitende, der KI nutzt, in einer Grauzone — auch wenn er es gut meint.

 

02

Rechtliche Absicherung

 Auftragsverarbeitungsvertrag, DSGVO-Konformität und AI Act: Was muss geregelt sein?

Bevor vertrauliche Unternehmensdaten oder personenbezogene Informationen in ein KI-System eingegeben werden, muss mit dem Anbieter ein Auftragsverarbeitungsvertrag (kurz AVV) abgeschlossen sein. Dieser Vertrag regelt, wie der Anbieter die übermittelten Daten verarbeiten darf — und stellt sicher, dass sie nicht für das Training der Modelle genutzt werden. Der AVV ist eine Pflicht nach der DSGVO, keine Option. Consumer-Versionen schließen solche Verträge in der Regel nicht ein, Business-Versionen dagegen schon. Darüber hinaus verlangt der seit August 2024 geltende EU AI Act, dass Unternehmen die eingesetzten KI-Systeme nach Risikoklassen einordnen. Für den Einsatz von Produktivitätstools wie ChatGPT oder Copilot sind die Anforderungen überschaubar. Bei KI-Systemen mit erheblichem Einfluss auf Personalentscheidungen, Kreditvergabe oder ähnliche Bereiche gelten ab August 2026 deutlich strengere Pflichten.

 

03

Interne KI-Policy

 Klare Spielregeln für alle Mitarbeitenden — verbindlich und bekannt

Kein Projektleiter kann verantwortungsvoll handeln, wenn es keine unternehmensweite KI-Richtlinie gibt. Eine solche Policy muss mindestens regeln: Welche Tools sind freigegeben? Was darf eingegeben werden, was nicht? Wer trägt die Verantwortung für KI-generierte Outputs? Wie wird Qualität gesichert? Wie wird mit urheberrechtlich geschütztem Material umgegangen? Diese Richtlinie muss nicht umfangreich sein. Aber sie muss existieren, schriftlich vorliegen, allen Mitarbeitenden bekannt sein und tatsächlich gelebt werden. Eine Policy, die irgendwo im Intranet abgelegt ist und niemand kennt, erfüllt ihren Zweck nicht.

 

04

Befähigung der Mitarbeitenden

 KI-Kompetenz ist Pflicht, keine Kürleistung

Der EU AI Act verpflichtet Unternehmen seit Februar 2025 ausdrücklich, sicherzustellen, dass Mitarbeitende, die KI-Systeme nutzen, über ein ausreichendes Maß an KI-Verständnis verfügen. Diese sogenannte KI-Kompetenzpflicht nach Artikel 4 der Verordnung ist kein Empfehlungsrahmen, sondern geltendes Recht. Unternehmen, die keine Schulungsmaßnahmen nachweisen können, sind bereits heute nicht compliant. Wer nicht weiß, wie Halluzinationen entstehen, wie man Prompts strukturiert oder welche Datenschutzregeln gelten, wird KI-Outputs unkritisch übernehmen. Die Konsequenzen — fehlerhafte Berichte, Datenschutzverletzungen, falsche Entscheidungsgrundlagen — treffen nicht nur den Einzelnen, sondern das Unternehmen.

 

05

Offene Unternehmenskultur

 Psychologische Sicherheit im Umgang mit KI ist Führungsaufgabe

Der häufig unterschätzte Faktor: Gibt es im Unternehmen den Raum, offen über KI-Nutzung zu sprechen — einschließlich über Fehler, Unsicherheiten und ungeklärte Fragen? Oder verbergen Mitarbeitende ihre KI-Nutzung, weil sie nicht wissen, ob sie erlaubt ist? Eine Kultur, in der KI-Nutzung verschwiegen wird, ist gefährlicher als eine, in der sie offen diskutiert wird. Denn was nicht sichtbar ist, kann nicht gesteuert, bewertet oder verbessert werden. Diese Kultur entsteht nicht von selbst. Sie ist das Ergebnis von Führung — und sie braucht einen organisatorischen Rahmen, der sie ermöglicht.

 

Was diese fünf Voraussetzungen gemeinsam haben

Alle fünf Voraussetzungen haben einen gemeinsamen Kern: Sie entlasten den Projektleiter von Entscheidungen, die er nicht allein treffen kann und nicht allein treffen sollte. Welche Tools datenschutzrechtlich unbedenklich sind, kann ein Projektleiter nicht selbst klären. Ob ein Auftragsverarbeitungsvertrag mit dem KI-Anbieter abgeschlossen ist, liegt nicht in seiner Hand. Ob das Unternehmen eine KI-Policy hat, ist eine Frage der Unternehmensführung, nicht des einzelnen Projektleiters.

Solange diese Voraussetzungen fehlen, sitzt der Projektleiter zwischen zwei unbefriedigenden Optionen: auf KI zu verzichten und damit auf erhebliche Effizienzgewinne, oder KI ohne gesicherte Grundlage einzusetzen und damit Risiken in Kauf zu nehmen, deren Tragweite er nicht vollständig überblicken kann. Das ist keine verantwortungsvolle Situation. Und es ist eine Situation, die Projektleiter nicht einfach hinnehmen sollten.

Der entscheidende Punkt: KI-Kompetenz ist keine rein individuelle Angelegenheit. Sie entsteht im Zusammenspiel von persönlichen Fähigkeiten und organisatorischen Rahmenbedingungen. Beides ist notwendig, keines ersetzt das andere.

Was du als Projektleiter einfordern kannst und einfordern solltest

Ein Projektleiter, der für sein Team Verantwortung trägt, hat nicht nur das Recht, diese Rahmenbedingungen einzufordern. Er hat die Pflicht, es zu tun. Wer weiß, dass sein Team KI nutzt, ohne dass die nötigen Voraussetzungen erfüllt sind, und schweigt, übernimmt die Verantwortung für die Konsequenzen. Das ist keine übertriebene Vorsicht, sondern der Kern professioneller Projektführung.

Das Einfordern dieser Voraussetzungen ist auch keine Kritik an der Organisation. Es ist ein konkreter Beitrag dazu, dass KI im Unternehmen tatsächlich sinnvoll genutzt werden kann. Wer die richtigen Fragen stellt, hilft, Lücken sichtbar zu machen, die sonst unbemerkt bleiben.

Was du konkret einfordern kannst

  • Eine klare Entscheidung, welche KI-Tools offiziell freigegeben sind und auf welcher vertraglichen Grundlage. Solange diese Entscheidung fehlt, ist der Einsatz jedes Tools mit persönlichem Risiko verbunden.
  • Den Nachweis, dass für die freigegebenen Tools ein Auftragsverarbeitungsvertrag vorliegt. Wer das nicht nachweisen kann, hat keine rechtliche Grundlage für die Verarbeitung von Unternehmensdaten in KI-Systemen.
  • Eine schriftliche KI-Policy, die regelt, was erlaubt ist und was nicht. Diese Policy muss nicht umfangreich sein, aber sie muss existieren und bekannt sein.
  • Schulungsangebote für dich und dein Team. Die KI-Kompetenzpflicht nach Art. 4 EU AI Act ist seit Februar 2025 geltendes Recht. Fehlende Schulungen sind kein persönliches Versäumnis des Projektleiters, sondern eine Lücke in der organisatorischen Verantwortung.
  • Einen Ansprechpartner für KI-bezogene Fragen. In vielen Unternehmen ist unklar, wer zuständig ist, wenn Fragen zu Datenschutz, Compliance oder Technologie auftauchen. Diese Zuständigkeit muss geklärt und kommuniziert werden.

Was du tun kannst, wenn die Voraussetzungen noch fehlen

In vielen Unternehmen sind diese Voraussetzungen noch nicht vollständig erfüllt. Das ist kein Grund, auf KI zu verzichten. Es ist ein Grund, pragmatisch und mit klarem Blick für die eigene Verantwortung vorzugehen.

  1. Nur freigegebene oder vertraglich abgesicherte Tools verwenden. Consumer-Versionen ohne Datenschutzvertrag eignen sich ausschließlich für öffentlich zugängliche Informationen oder vollständig anonymisierte Inhalte. Wer das konsequent durchhält, reduziert das datenschutzrechtliche Risiko erheblich.
  2. Keine personenbezogenen Daten eingeben. Namen von Mitarbeitenden oder Kunden, interne Budgetzahlen, Vertragsinhalte und Leistungsbewertungen einzelner Personen gehören nicht in ein nicht-abgesichertes KI-System. Wer Prompts konsequent mit Platzhaltern formuliert, kann KI trotzdem produktiv einsetzen.
  3. Im Team klare Spielregeln vereinbaren. Auch ohne unternehmensweite Policy kann ein Projektleiter für sein eigenes Team definieren, welche Tools eingesetzt werden, was eingegeben werden darf und wer KI-generierte Outputs vor der Verwendung prüft. Das ersetzt keine Policy, schafft aber eine handhabbare Grundlage für den Projektalltag.
  4. Das Thema eskalieren, wenn es notwendig ist. Wenn die fehlenden Voraussetzungen ein echtes Risiko darstellen, weil KI-Nutzung im Team bereits weit verbreitet ist, ohne dass eine rechtliche Grundlage existiert, ist es die Aufgabe des Projektleiters, das an die zuständige Stelle zu kommunizieren. Das ist keine Querulanz, sondern die Wahrnehmung von Führungsverantwortung.

Eine realistische Einschätzung: Die meisten Unternehmen befinden sich derzeit irgendwo zwischen fehlenden und vollständigen Voraussetzungen. Das spiegelt die Geschwindigkeit wider, mit der KI in die Arbeitswelt eingezogen ist. Entscheidend ist nicht der aktuelle Stand, sondern die Richtung. Arbeitet das Unternehmen an diesen Voraussetzungen, oder ignoriert es das Thema? Ein Projektleiter, der klar und konstruktiv einfordert, was gebraucht wird, gestaltet diese Richtung mit.

 

Der folgende Beitrag wechselt die Perspektive und betrachtet den rechtlichen Rahmen im Detail: Was müssen Projektleiter über den EU AI Act, die DSGVO und das Urheberrecht wissen, um im eigenen Projektalltag rechtssicher zu handeln? Dabei geht es nicht um juristische Vollständigkeit, sondern um das Orientierungswissen, das in der Praxis tatsächlich relevant ist.

 

Andreas Frick ist Geschäftsführer der Projektforum Rhein Ruhr GmbH, IPMA Level A zertifizierter Trainer und Autor der Bücher „Projektkompetenz I & II“ (Springer, 2025). Er begleitet seit Jahren Projektmanagerinnen und Projektmanager auf dem Weg zur IPMA-Zertifizierung und entwickelt praxisnahe Lernformate an der Schnittstelle von Projektmanagement und digitaler Transformation.