Eine schriftliche KI-Richtlinie ist seit Februar 2025 faktisch Pflicht: Art. 4 KI-VO verlangt dokumentierte KI-Kompetenz, ohne Richtlinie fehlt der Nachweis. Eine Vorlage für 50-MA-Mittelständler umfasst zwölf Kapitel von Whitelist bis Review-Rhythmus.
Eine schriftliche KI-Richtlinie ist kein Verwaltungsballast mehr, sondern Pflicht. Seit dem 2. Februar 2025 verlangt Artikel 4 der KI-Verordnung, dass alle Beschäftigten, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Ohne dokumentierte Richtlinie hast du keinen Nachweis. Gleichzeitig fordern BAG-Rechtsprechung, DSGVO und der Haftungsschutz deiner Geschäftsleitung ein klares Regelwerk. Dieser Artikel zeigt dir die zwoelf Kapitel, die deine KI-Richtlinie für einen 50-MA-Mittelstaendler enthalten muss, jeweils mit konkretem Formulierungsvorschlag.
Warum eine KI-Richtlinie jetzt unverzichtbar ist
Drei Treiber erzwingen eine formelle Richtlinie. Erstens die KI-VO: Artikel 4 verlangt dokumentierte KI-Kompetenz, Artikel 50 verlangt Kennzeichnungspflicht bei bestimmten KI-Outputs. Ab August 2026 kommen Pflichten für Hochrisiko-KI hinzu (Artikel 6ff), wobei der Digital-Omnibus-Trilog am 28. April 2026 eine Verschiebung auf 2027 diskutiert. Zweitens die Mitbestimmung: Das BAG hat wiederholt klargestellt, dass der Einsatz von KI am Arbeitsplatz mitbestimmungspflichtig ist, sobald Leistungs- oder Verhaltenskontrolle möglich ist (Paragraph 87 Absatz 1 Nummer 6 BetrVG). Drittens die Haftung: Geschäftsfuehrer können persoenlich haften, wenn aus unbedarftem KI-Einsatz ein Schaden entsteht und keine organisatorische Vorsorge dokumentiert ist.
Ohne Richtlinie bedeutet: Jeder Mitarbeiter darf alles, keiner haftet, niemand weiss es besser. Das ist nicht nur rechtlich riskant, sondern auch operativ. In den kommenden Kapiteln findest du die Struktur einer praktikablen Richtlinie, die du mit deinen Verantwortlichen anpasst.
Kapitel 1: Zweck und Geltungsbereich
Dieser Paragraph regelt, worum es geht und für wen. Konkret: "Diese Richtlinie regelt den Einsatz künstlicher Intelligenz in der Musterfirma GmbH. Sie gilt für alle Beschäftigten, freien Mitarbeiter, Praktikanten und Dienstleister, die im Rahmen ihrer Taetigkeit KI-Systeme einsetzen oder deren Outputs verwenden." Definiere auch, was KI im Sinne dieser Richtlinie ist: generative KI wie ChatGPT, Claude, Gemini; eingebettete KI wie Microsoft Copilot; branchenspezifische KI-Module in Fachsoftware; KI-gestuetzte Entscheidungssysteme (HR, Kredit, Risikobewertung).
Kapitel 2: Rollen und Verantwortliche
Klare Zuständigkeiten sind der halbe Schutz. Folgende Rollen sollten benannt werden:
| Rolle | Verantwortung | Typische Besetzung |
|---|---|---|
| Geschäftsleitung | Gesamtverantwortung, Budgetfreigabe, jährliche Genehmigung der Richtlinie | Geschäftsfuehrer |
| KI-Beauftragter | Richtlinien-Pflege, KI-Inventur, Schulung, Incident-Koordination | IT-Leiter oder Qualitaetsmanager mit KI-Zusatzqualifikation |
| Datenschutzbeauftragter (DPO) | DSGVO-Prüfung jedes neuen KI-Tools, Auftragsverarbeitungsvertraege | Interner DPO oder externe Kanzlei |
| IT-Leitung | Technische Kontrollen, Zugriffsrechte, Monitoring | IT-Leiter |
| Betriebsrat | Mitbestimmung bei neuen KI-Tools, Betriebsvereinbarung | gewaehlt |
| Führungskraefte | Umsetzung in der Abteilung, Eskalation | alle Abteilungsleiter |
| Alle Beschäftigten | Einhaltung der Regeln, Schulungspflicht, Meldepflicht bei Vorfaellen | alle |
Kapitel 3: Erlaubte Tools (Whitelist)
Hier führst du konkret auf, welche KI-Systeme im Unternehmen genutzt werden dürfen. Ohne Whitelist waechst Schatten-KI und macht dich haftbar. Beispielstruktur: "Für dienstliche Zwecke sind ausschliesslich folgende KI-Tools zulaessig: Microsoft Copilot im Rahmen des Microsoft 365 Business Enterprise Plans, Claude Team über den Firmenaccount, DeepL Pro, Grammarly Business. Die Nutzung weiterer KI-Tools bedarf der vorherigen schriftlichen Freigabe durch die IT-Leitung und den Datenschutzbeauftragten."
Wichtig: Jedes Tool auf der Whitelist braucht einen dokumentierten Freigabe-Prozess: DSGVO-Prüfung, Auftragsverarbeitungsvertrag, Risiko-Klassifikation nach KI-VO, Incident-Response-Ansprechpartner.
Kapitel 4: Verbote
Klartext, was niemand tun darf:
- Keine Nutzung privater KI-Accounts (z.B. privates ChatGPT-Konto) für Firmendaten.
- Keine Eingabe von personenbezogenen Daten, Betriebsgeheimnissen, Kundendaten oder sicherheitsrelevanten Informationen in KI-Tools ohne gültigen Auftragsverarbeitungsvertrag.
- Kein Einsatz von KI für Personalentscheidungen (Einstellung, Befoerderung, Entlassung) ohne menschliche Letztentscheidung und schriftliche Dokumentation.
- Keine Veroeffentlichung von KI-generierten Texten oder Bildern ohne interne Qualitaetspruefung.
- Keine Umgehung von Kennzeichnungspflichten nach Artikel 50 KI-VO (z.B. Chatbot, der sich als Mensch ausgibt).
Kapitel 5: Datenklassifikation
Bevor du KI einsetzt, müssen deine Mitarbeiter wissen, welche Daten wo landen dürfen. Einführung einer vierstufigen Klassifikation:
| Stufe | Inhalt | KI-Nutzung |
|---|---|---|
| Öffentlich | Pressemeldungen, Produktbroschueren, Website-Texte | Jedes freigegebene KI-Tool |
| Intern | Interne Memos, Projektplaene ohne Kundenbezug, interne Schulungen | Nur Tools mit Auftragsverarbeitungsvertrag |
| Vertraulich | Strategie, Finanzzahlen, Verhandlungsmaterial | Nur on-premises oder abgeschottete KI-Umgebungen |
| Personenbezogen | Kundendaten, Mitarbeiterdaten, Gesundheitsdaten | Nur mit expliziter Freigabe durch DPO und dokumentiertem AVV |
Kapitel 6: Prompt-Regeln
Praktische Anweisung für den Arbeitsalltag. Zum Beispiel:
- Keine echten Namen, E-Mail-Adressen, Telefonnummern oder Kundennummern in Prompts. Platzhalter nutzen ("Kunde X", "Mitarbeiter Y").
- Keine vertraulichen Vertragsinhalte in öffentliche KI-Tools. Bei interner Nutzung pseudonymisieren.
- Keine Gesundheitsdaten, politische Meinungen, Gewerkschaftszugehoerigkeit (besondere Kategorien nach Artikel 9 DSGVO).
- Keine Sicherheitsdaten: Passwoerter, API-Keys, Netzwerkkonfigurationen.
- Bei Zweifeln: Vorgesetzten oder KI-Beauftragten fragen, bevor der Prompt abgeschickt wird.
Kapitel 7: Output-Verantwortung
Ein generierter Text ist kein Freibrief. Der Mensch prüft, der Mensch signiert. Formuliere: "Der Mitarbeiter, der einen KI-generierten Output freigibt (z.B. E-Mail an Kunden, Vertragstext, Social-Media-Post), ist für dessen inhaltliche Richtigkeit, rechtliche Zulaessigkeit und Markenkonformitaet verantwortlich. Die Ausrede 'Die KI hat es so geschrieben' entlastet nicht."
Setze Qualitaetsmechanismen: Vier-Augen-Prinzip bei Kundenkommunikation, Freigabe-Workflow für Publikationen, automatische Logs der Interaktionen.
Kapitel 8: Kennzeichnungspflicht Artikel 50 KI-VO
Drei Faelle, in denen du aktiv kennzeichnen musst:
- Chatbots: Nutzer müssen wissen, dass sie mit einer Maschine sprechen. Formulierung: "Ich bin ein KI-Assistent. Bei komplexen Anliegen leite ich dich an einen Menschen weiter."
- Deepfakes und KI-generierte Medien: Bilder, Videos, Audio-Aufnahmen, die Personen zeigen oder imitieren, müssen als KI-generiert gekennzeichnet sein, sofern sie nicht offensichtlich satirisch oder kuenstlerisch sind.
- Synthetische Inhalte: Texte, die durch KI erzeugt und im öffentlichen Interesse verbreitet werden (z.B. News-Artikel), sind kennzeichnungspflichtig, sofern sie nicht menschlich geprüft und redaktionell verantwortet wurden.
Kapitel 9: Schulung nach Artikel 4 KI-VO
Diese Pflicht gilt seit 2. Februar 2025 und betrifft alle, die KI einsetzen. Die Richtlinie konkretisiert:
- Alle neuen Mitarbeiter erhalten binnen 30 Tagen nach Eintritt eine Grundschulung zur KI-Nutzung (2 Stunden, interaktiv).
- Jährliche Auffrischung für alle Mitarbeiter (1 Stunde).
- Rollenspezifische Vertiefung: Führungskraefte, HR-Verantwortliche, Einkauf, Marketing jeweils 2 Stunden pro Jahr.
- Nachweisfuehrung: Teilnehmerlisten, Lernkontrollen, Zertifikate fuenf Jahre aufbewahren.
- Bei neuen Tools oder Gesetzesaenderungen: Sonderschulung innerhalb von 60 Tagen.
Kapitel 10: Incident-Handling
Was passiert, wenn etwas schief geht. Beispiele für meldepflichtige Vorfaelle:
- Ein Mitarbeiter hat Kundendaten in ein nicht freigegebenes KI-Tool eingegeben.
- Eine KI hat eine fehlerhafte Empfehlung gegeben, die Schaden verursachen könnte.
- Ein Kunde beschwert sich über diskriminierende KI-Antwort.
- Ein Datenleck über ein KI-System wurde festgestellt.
Meldeweg: Betroffener Mitarbeiter meldet unverzueglich an KI-Beauftragten. Der prüfen und eskaliert innerhalb von 24 Stunden an Geschäftsleitung, DPO und gegebenenfalls IT-Sicherheitsbeauftragten. Bei Datenschutzverletzung greift die 72-Stunden-Meldefrist nach DSGVO.
Kapitel 11: Mitbestimmung und Betriebsvereinbarung
Wenn ein Betriebsrat besteht, braucht die Richtlinie eine ergänzende Betriebsvereinbarung. Kernthemen:
- Welche KI-Tools werden eingesetzt?
- Zu welchem Zweck?
- Gibt es Leistungs- oder Verhaltenskontrolle?
- Welche Daten werden verarbeitet und wie lange gespeichert?
- Welche Rechte haben Beschäftigte (Einsicht, Widerspruch, Korrektur)?
- Wie laeuft die Schulung ab?
Ohne Betriebsvereinbarung bei mitbestimmungspflichtigen Themen ist der Einsatz rechtlich angreifbar. Der Betriebsrat kann in solchen Faellen eine einstweilige Verfügung erwirken.
Kapitel 12: Review-Rhythmus
Eine Richtlinie, die einmal geschrieben und nie wieder angefasst wird, ist wertlos. Setze klare Zyklen:
- Jährliche Komplettueberpruefung durch KI-Beauftragten, DPO und IT-Leitung.
- Halbjaehrlich Überpruefung der Whitelist.
- Quartalsweise Lagebericht an die Geschäftsleitung.
- Ad-hoc bei: neuen gesetzlichen Anforderungen, kritischen Vorfaellen, Einführung neuer Tools.
Wer muss die Richtlinie unterzeichnen?
Drei Unterschriften sind üblich: Geschäftsleitung (gibt die Richtlinie frei), Betriebsrat (bestätigt Mitbestimmung), Datenschutzbeauftragter (bestätigt DSGVO-Konformitaet). Alle Mitarbeiter bestätigen den Empfang und die Kenntnisnahme schriftlich oder elektronisch. Ohne Empfangsbestaetigung ist der Nachweis der Unterweisung bruechig.
Rollout-Plan für einen 50-MA-Betrieb
- Woche 1: Entwurf der Richtlinie durch KI-Beauftragten, DPO und externe Beratung.
- Woche 2: Abstimmung mit Geschäftsleitung, IT, Betriebsrat.
- Woche 3: Betriebsvereinbarung verhandeln, anwaltlicher Gegencheck.
- Woche 4: Freigabe durch Geschäftsleitung, Kick-off-Event mit allen Mitarbeitern.
- Monat 2: Schulungen durchfuehren, Empfangsbestaetigungen einsammeln, erste Audits.
- Monat 3: Feedback-Schleife, Anpassung, Einarbeitung in neue Arbeitsvertraege.
Wichtiger Hinweis zum rechtlichen Gegencheck
Die hier skizzierte Struktur ist eine Orientierungshilfe, kein Download zum 1:1-Einsatz. Jedes Unternehmen hat besondere Risiken, Sektoren und Tariflagen. Vor der Inkraftsetzung empfehlen wir dringend einen Gegencheck durch eine Anwaltskanzlei mit Schwerpunkt Arbeits- und Datenschutzrecht. Kosten liegen illustrativ bei 1.500 bis 3.500 Euro, deutlich günstiger als ein falscher Satz im Abmahnfall.
Was du diese Woche tun solltest
- Prüfe, ob es in deinem Unternehmen bereits einen schriftlichen KI-Rahmen gibt (inoffizielle Mails zaehlen nicht).
- Benenne eine verantwortliche Person für KI-Compliance (in Teilzeit reicht initial).
- Erstelle eine Inventur aller genutzten KI-Tools über einen anonymen Fragebogen an alle Abteilungen.
- Plane einen Termin mit Betriebsrat, DPO und Geschäftsleitung zur Vorbereitung der Richtlinie.
- Sichere ein Budget für externe Rechtsberatung.
Eine KI-Richtlinie ist kein Selbstzweck und kein formaler Papierstapel. Sie ist die Grundlage dafuer, dass du KI produktiv und rechtssicher einsetzen kannst. Unternehmen ohne Richtlinie werden in den kommenden Monaten zunehmend unter Druck geraten, sei es durch Audits von Kunden, durch Anfragen der Aufsichtsbehoerden oder durch interne Vorfaelle. Wer jetzt loslegt, hat einen Vorsprung von Monaten.
Häufige Fragen
Ist eine KI-Richtlinie im Mittelstand Pflicht?
Eine dokumentierte KI-Richtlinie ist kein ausdrücklich genanntes Gesetz, aber faktisch notwendig, um Art. 4 KI-VO zur KI-Kompetenz nachzuweisen. Ohne sie fehlt die Dokumentation der Mitarbeiter-Kompetenz, was im Schadensfall oder bei Aufsichtsmaßnahmen zum Haftungsproblem für die Geschäftsleitung wird.
Was muss in einer KI-Richtlinie für 50 Mitarbeiter stehen?
Zwölf Kapitel haben sich bewährt: Zweck und Geltungsbereich, Rollen, erlaubte Tools (Whitelist), Verbote, Datenklassifikation, Prompt-Regeln, Output-Verantwortung, Kennzeichnung nach Art. 50, Schulung nach Art. 4, Incident-Handling, Mitbestimmung und Review-Rhythmus. Jedes Kapitel zwei bis vier Sätze reicht.
Muss der Betriebsrat bei einer KI-Richtlinie mitbestimmen?
Ja. Das BAG hat wiederholt klargestellt, dass der Einsatz von KI am Arbeitsplatz mitbestimmungspflichtig ist, sobald Leistungs- oder Verhaltenskontrolle möglich ist (§ 87 Abs. 1 Nr. 6 BetrVG). Die Richtlinie selbst, die Tool-Whitelist und das Monitoring brauchen in Unternehmen mit Betriebsrat eine Betriebsvereinbarung oder Zustimmung.
Wer unterzeichnet die KI-Richtlinie?
Die Geschäftsführung erlässt die Richtlinie. Alle Mitarbeiter, die mit KI arbeiten, sollten den Erhalt und die Kenntnis schriftlich bestätigen, meist per Anlage zum Arbeitsvertrag oder per digitaler Signatur im HR-System. In Unternehmen mit Betriebsrat kommt eine Betriebsvereinbarung hinzu.
KI-Richtlinie umsetzen statt nur schreiben?
DigiMan-Weiterbildung deckt KI-Governance, Richtlinien und Schulung ab. 100 % über QCG förderfähig. 15 Minuten kostenloses Erstgespräch.