KI-Tools wie Claude, Claude Code, ChatGPT oder Microsoft Copilot verändern gerade die Art, wie Unternehmen arbeiten. Texte werden schneller erstellt, Prozesse automatisiert, Code geprüft und interne Dokumente effizienter ausgewertet.
Doch je tiefer KI-Systeme in den Unternehmensalltag integriert werden, desto größer wird auch die Verantwortung. Besonders bei Tools wie Claude Code, die mit Dateien, Ordnern, Entwicklungsumgebungen oder internen Informationen arbeiten können, reicht es nicht mehr aus, „einfach mal KI zu nutzen“.
Unternehmen brauchen klare Regeln, technische Sicherheit und ein sauberes Datenschutzkonzept.
Warum Claude Code mehr Risiko mitbringt als ein normaler Chatbot
Ein klassischer KI-Chat verarbeitet in der Regel nur das, was aktiv in das Eingabefeld geschrieben wird. Bei KI-Agenten oder Coding-Tools sieht das anders aus.
Claude Code kann laut Anthropic standardmäßig zunächst mit eingeschränkten, lesenden Berechtigungen arbeiten. Sobald aber Aktionen wie das Bearbeiten von Dateien, das Ausführen von Tests oder das Starten von Befehlen nötig werden, fordert Claude Code Freigaben an. Genau diese Nähe zu lokalen Dateien, Codebasen und Unternehmensdaten macht solche Tools besonders leistungsfähig, aber auch besonders sensibel.
Das bedeutet: Wer KI-Agenten im Unternehmen einsetzt, sollte vorher genau klären, welche Daten verarbeitet werden dürfen, welche Systeme angebunden sind und wer Freigaben erteilen darf.
Das Risiko: Prompt Injection
Ein besonders relevantes Sicherheitsrisiko ist die sogenannte Prompt Injection.
Dabei werden schädliche oder manipulative Anweisungen in Dokumenten, Webseiten, Code-Kommentaren oder anderen Inhalten versteckt. Wenn eine KI diese Inhalte verarbeitet, kann sie unter Umständen dazu gebracht werden, unerwünschte Aktionen auszuführen oder sensible Informationen preiszugeben.
Anthropic beschreibt Prompt-Injection-Schutzmechanismen unter anderem im Zusammenhang mit Claude Code und Computer-Use-Funktionen. Trotzdem gilt: Technische Schutzmaßnahmen ersetzen keine internen Unternehmensregeln.
Gerade bei Kundendaten, Verträgen, Angeboten, Quellcode, Personalinformationen oder internen Strategiedokumenten sollte klar geregelt sein, welche Inhalte in KI-Tools verarbeitet werden dürfen.
Datenschutz: AVV / DPA prüfen
Sobald personenbezogene Daten mit einem KI-Tool verarbeitet werden, wird Datenschutz zum zentralen Thema.
Bei Anthropic ist für kommerzielle Kunden ein Data Processing Addendum, also ein DPA beziehungsweise im deutschen Sprachgebrauch ein AVV, in die Commercial Terms eingebunden. Anthropic beschreibt außerdem, dass es bei kommerziellen Produkten als Auftragsverarbeiter für den Kunden handelt und die Daten nicht zum Training nutzt, außer der Kunde nimmt aktiv an einem entsprechenden Development Partner Program teil.
Für Unternehmen heißt das: Vor dem produktiven Einsatz sollte geprüft werden, welcher Tarif genutzt wird, welche Vertragsgrundlagen gelten und ob die Verarbeitung zur eigenen Datenschutzdokumentation passt.
AI Act: Schulung und Dokumentation werden wichtiger
Auch regulatorisch steigt der Druck. Die KI-Kompetenzpflicht nach Artikel 4 des EU AI Act gilt bereits seit dem 2. Februar 2025. Unternehmen sollen geeignete Maßnahmen treffen, damit Mitarbeitende über ausreichende KI-Kompetenz verfügen. Die Aufsicht und Durchsetzung dieser Pflicht greifen ab dem 3. August 2026.
Zusätzlich treten Transparenzpflichten des AI Act im August 2026 in Kraft. Dazu gehört unter anderem, dass Menschen in bestimmten Fällen erkennen können müssen, wenn sie mit KI-Systemen interagieren oder mit KI-generierten beziehungsweise manipulierten Inhalten konfrontiert werden.
Für Unternehmen bedeutet das: KI sollte nicht unkontrolliert nebenbei eingeführt werden. Es braucht Struktur, Verantwortlichkeiten und Schulung.
Was Unternehmen jetzt konkret tun sollten
Der sichere Einsatz von KI beginnt nicht erst bei der Technik, sondern bei klaren Leitplanken.
Unternehmen sollten zunächst prüfen, welche KI-Tools bereits genutzt werden. Häufig verwenden Mitarbeitende ChatGPT, Claude, Copilot oder andere Tools längst im Arbeitsalltag, ohne dass es eine offizielle Freigabe oder Richtlinie gibt.
Im nächsten Schritt sollten Unternehmen definieren:
- Welche Daten dürfen in KI-Tools eingegeben werden?
- Welche Daten sind tabu?
- Welche Tools sind offiziell freigegeben?
- Wer ist für Datenschutz und Sicherheit verantwortlich?
- Wie werden Mitarbeitende geschult?
- Wie wird dokumentiert, welche KI-Systeme im Unternehmen eingesetzt werden?
Besonders wichtig ist eine interne KI-Nutzungsrichtlinie. Sie schafft Klarheit für Mitarbeitende und reduziert das Risiko, dass sensible Informationen unbewusst in externe Systeme gelangen.
Unsere Empfehlung
KI kann Unternehmen enorm entlasten. Sie kann Prozesse beschleunigen, Wissen verfügbar machen, Inhalte erstellen und Mitarbeitende im Alltag unterstützen.
Aber KI braucht Regeln.
Wer Tools wie Claude Code, ChatGPT, Copilot oder andere KI-Agenten im Unternehmen einsetzen möchte, sollte Datenschutz, IT-Sicherheit und interne Prozesse von Anfang an mitdenken. Sonst entsteht schnell ein Risiko für sensible Daten, Geschäftsgeheimnisse und die rechtliche Sicherheit des Unternehmens.
Die gute Nachricht: Mit den richtigen Richtlinien, passenden Verträgen, klaren Berechtigungen und gezielten Schulungen lässt sich KI sicher und produktiv einsetzen.