Update April 2026: Das EU-Parlament hat am 27.03.2026 die Verschiebung der Hochrisiko-KI-Pflichten beschlossen (Digital Omnibus, 569:45 Stimmen). Annex III tritt jetzt am 02.12.2027 in Kraft, Annex I am 02.08.2028. Der zweite Trilog ist für den 28.04.2026 angesetzt. WICHTIG: Die AI Literacy Pflicht nach Artikel 4 KI-VO bleibt unverändert ab August 2026 in Kraft. Schulungsnachweise sind also weiterhin Pflicht.
Ein KI-Richtlinie Muster ist die Grundlage für Ihre interne KI-Policy und regelt verbindlich, welche KI-Tools wie eingesetzt werden dürfen. Spätestens mit der EU AI Act-Pflichtenwelle ab August 2026 ist eine schriftliche Richtlinie kein optionales Add-on mehr. Dieser Beitrag liefert Ihnen einen praxistauglichen Mustertext zum Übernehmen, erklärt die Pflichtkapitel und zeigt, welche typischen Lücken in Standardvorlagen lauern.
Das Wichtigste in Kürze
- Eine KI-Richtlinie regelt verbindlich, welche KI-Tools im Unternehmen erlaubt sind und wer sie wie nutzen darf.
- Sie ist nach EU AI Act keine direkte Pflicht, aber faktisch unverzichtbar zur Erfüllung von Art. 4 (KI-Kompetenz) und der Hochrisiko-Pflichten.
- Pflichtkapitel sind: Geltungsbereich, erlaubte Tools, Datenarten, Verantwortlichkeiten, Schulungspflicht, Vorfallsmanagement, Sanktionen.
- Eine Richtlinie ohne Schulungsnachweis hilft wenig. Beide Dokumente gehören zusammen.
- Standardvorlagen aus dem Internet sind ein Startpunkt, müssen aber an die konkreten Tools und Risikoklassen Ihres Unternehmens angepasst werden.
- Die Geschäftsführung sollte die Richtlinie unterzeichnen und einmal jährlich überprüfen.
Warum eine KI-Richtlinie unverzichtbar ist
Der EU AI Act fordert in Art. 4 KI-Kompetenz von allen Mitarbeitern, die mit KI-Systemen arbeiten. Diese Kompetenz lässt sich nicht ohne klare Regeln vermitteln. Eine schriftliche Richtlinie übernimmt drei Funktionen:
- Sie definiert, welche Tools überhaupt erlaubt sind. Ohne Liste landet jedes Tool, das ein Mitarbeiter privat nutzt, ungeprüft im Unternehmen.
- Sie regelt, welche Daten verarbeitet werden dürfen. Ein Steuerberater darf keine Mandantendaten in eine kostenlose ChatGPT-Free-Instanz eingeben, weil diese Daten zum Training verwendet werden können.
- Sie legt Verantwortlichkeiten fest. Wer entscheidet, dass ein neues Tool eingeführt wird, wer prüft die Risikoklasse, wer bildet die Mitarbeiter aus.
Bei einer Prüfung durch die Aufsichtsbehörde ist die Richtlinie das erste Dokument, das verlangt wird. Wer sie nicht hat, signalisiert sofort, dass die Compliance lückenhaft ist.
Pflichtkapitel der KI-Richtlinie
Eine pragmatische KI-Richtlinie sollte mindestens die folgenden zehn Kapitel enthalten:
1. Geltungsbereich
Beschreiben Sie, für wen die Richtlinie gilt: alle Mitarbeiter, Praktikanten, freie Mitarbeiter, externe Dienstleister im Auftrag des Unternehmens. Schließen Sie keine Personengruppe aus, die mit KI-Tools in Berührung kommt.
2. Begriffsdefinitionen
KI-System, Hochrisiko-System, generative KI, Prompt, Halluzination, Risikoklasse. Eine kurze Definition pro Begriff verhindert Missverständnisse.
3. Liste der erlaubten Tools
Eine konkrete Liste aller im Unternehmen freigegebenen KI-Tools. Beispielhaft:
| Tool | Anbieter | Erlaubt für | Verboten für | Risikoklasse |
|---|---|---|---|---|
| ChatGPT Team | OpenAI | Textentwürfe, Recherche, Übersetzungen | Mandantendaten, personenbezogene Daten | Begrenzt |
| Microsoft Copilot | Microsoft | Office-Aufgaben, Mails, Dokumente | Externe Datenfreigabe | Begrenzt |
| DeepL Pro | DeepL | Übersetzungen | Vertrauliche Verträge ohne Anonymisierung | Minimal |
Tools, die nicht auf der Liste stehen, sind nicht erlaubt. Punkt.
4. Erlaubte und verbotene Datenarten
Welche Daten dürfen in welche Tools eingegeben werden? Eine einfache Klassifikation hilft:
- Öffentlich: alles, was bereits frei zugänglich ist
- Intern: nicht-personenbezogene Geschäftsdaten ohne besondere Vertraulichkeit
- Vertraulich: nicht-personenbezogene Geschäftsdaten mit Vertraulichkeitsbedarf
- Personenbezogen: Daten im Sinne der DSGVO
- Besondere Kategorien: Gesundheitsdaten, religiöse Daten, biometrische Daten
Definieren Sie klar, welche Datenarten in welches Tool dürfen.
5. Verantwortlichkeiten
Wer entscheidet über neue Tools, wer pflegt die Liste, wer schult die Mitarbeiter, wer ist Ansprechpartner bei Fragen, wer untersucht Vorfälle. In kleineren Unternehmen kann das die Geschäftsführung in Personalunion sein, größere Unternehmen sollten einen KI-Verantwortlichen benennen.
6. Schulungspflicht
Verweisen Sie auf den Schulungsnachweis nach Art. 4 EU AI Act. Legen Sie fest, dass jeder Mitarbeiter vor der ersten Nutzung eines KI-Tools eine Schulung absolviert hat und einmal jährlich auffrischt.
7. Risikoklassifikation
Verweisen Sie auf den Prozess der Risikoeinordnung. Jedes neu eingeführte Tool wird vor Freigabe einer Risikoklasse zugeordnet. Hochrisiko-Tools dürfen nur mit zusätzlicher Konformitätsbewertung eingesetzt werden.
8. Output-Validierung
Eine zentrale Regel: KI-Outputs werden von einem Menschen geprüft, bevor sie in Entscheidungen einfließen oder das Unternehmen verlassen. Halluzinationen, Fehlübersetzungen und falsche Berechnungen sind nie ausgeschlossen.
9. Vorfallsmanagement
Wenn ein Mitarbeiter einen Fehler bemerkt, der durch ein KI-System entstanden ist, oder ein Sicherheitsproblem entdeckt, gibt es einen klaren Meldeweg. Wer wird informiert, wer dokumentiert, wer entscheidet über Folgemaßnahmen.
10. Sanktionen
Verstöße gegen die Richtlinie werden arbeitsrechtlich behandelt wie andere Pflichtverletzungen. Dieser Hinweis sollte nicht fehlen, denn ohne Sanktionsklausel ist die Richtlinie ein unverbindliches Hinweisdokument.
Mustertext für die Einleitung
So könnte der erste Abschnitt aussehen:
Diese KI-Richtlinie der Mustermann GmbH regelt den verbindlichen Umgang aller Mitarbeiter mit KI-Systemen im Unternehmen. Sie setzt die Anforderungen der Verordnung (EU) 2024/1689 (EU AI Act) um, insbesondere Art. 4 (KI-Kompetenz). Die Richtlinie gilt für alle Mitarbeiter, freien Mitarbeiter, Praktikanten und externen Dienstleister, die im Auftrag der Mustermann GmbH KI-Systeme einsetzen. Verstöße gegen diese Richtlinie werden arbeitsrechtlich geahndet. Die Geschäftsführung überprüft die Richtlinie mindestens einmal jährlich und passt sie an neue rechtliche oder technische Entwicklungen an.
Diesen Absatz können Sie direkt übernehmen, den Unternehmensnamen anpassen und um Ihre spezifischen Tools ergänzen.
Fallstricke in Standardvorlagen
Viele kostenlose Mustervorlagen aus dem Internet haben drei wiederkehrende Schwächen:
- Zu allgemein: Sie nennen keine konkreten Tools und keine Datenarten. Damit ist die Richtlinie für die Praxis wertlos.
- Keine Verbindung zur Schulung: Sie verweisen nicht auf den Schulungsnachweis und die Lernkontrolle. Damit fehlt der Bogen zwischen Policy und Compliance-Beleg.
- Veraltete Stichtage: Vorlagen aus 2024 nennen oft falsche Zeitpläne für den AI Act. Prüfen Sie alle Daten gegen die aktuelle Verordnung.
Wer eine Vorlage übernimmt, sollte sie vor der Unterzeichnung an einem Probelauf testen: Lassen Sie zwei Mitarbeiter die Richtlinie lesen und einen typischen Anwendungsfall durchspielen. Kommt es zu einer klaren Antwort? Wenn nicht, fehlt etwas.
Praktische Umsetzung in vier Wochen
So kann ein realistischer Zeitplan für die Erstellung Ihrer KI-Richtlinie aussehen:
| Woche | Aufgabe | Verantwortlich | Output |
|---|---|---|---|
| 1 | Inventarisierung aller eingesetzten KI-Tools | IT oder Geschäftsführung | Excel-Liste mit Tool, Anbieter, Anwendung, Anwender |
| 2 | Risikoklassifikation jedes Tools | KI-Verantwortlicher mit Geschäftsführung | Klassifikation pro Tool plus kurze Begründung |
| 3 | Erstellung des Richtlinien-Entwurfs | KI-Verantwortlicher | Word-Dokument, ca. 5 Seiten, 10 Pflichtkapitel |
| 4 | Review, Schlussfassung, Unterzeichnung, Verteilung | Geschäftsführung | Versioniertes PDF, Mitarbeiter-Information |
Ein Monat reicht für die meisten KMU aus. Bei Konzernen mit komplexen IT-Landschaften und mehreren Standorten kann das doppelt so lange dauern, weil der Abstimmungsbedarf höher ist. Wer es als Nebenbei-Projekt behandelt, braucht in der Regel zwei bis drei Monate. Setzen Sie eine klare Deadline und einen klaren Verantwortlichen, sonst zerfließt das Projekt.
Nach der ersten Verabschiedung sollten Sie mindestens einmal jährlich überprüfen, ob die Richtlinie noch zum aktuellen Tool-Bestand passt. Neue Tools, Versionsupdates und veränderte Risikoklassen erfordern Anpassungen. Eine Richtlinie, die zwei Jahre nicht aktualisiert wurde, ist faktisch nicht mehr wirksam.
Häufige Fragen
Muss ich die KI-Richtlinie der Aufsichtsbehörde vorlegen?
Aktiv vorlegen müssen Sie sie nicht. Bei einer Prüfung wird sie aber als zentrales Dokument verlangt. Wer keine schriftliche Richtlinie hat, signalisiert eine offene Compliance-Lücke. Halten Sie das Dokument griffbereit, idealerweise versioniert mit Datum und Unterschrift der Geschäftsführung.
Reicht eine E-Mail an alle Mitarbeiter mit den Regeln?
Nein. Eine E-Mail ist nicht versioniert, schwer auffindbar und in der Regel nicht gegengezeichnet. Eine Richtlinie sollte ein eigenständiges Dokument sein, das im Unternehmens-Wiki oder Intranet abgelegt ist und auf Anforderung als PDF ausgegeben werden kann.
Wie lang sollte eine KI-Richtlinie sein?
Drei bis acht Seiten sind realistisch. Kürzer wird sie meist zu unkonkret, länger wird sie nicht mehr gelesen. Wichtig ist, dass die zehn Pflichtkapitel abgedeckt sind, ohne in juristische Schwurbelsätze zu verfallen. Schreiben Sie die Richtlinie so, dass ein neuer Mitarbeiter sie in zwanzig Minuten lesen und verstehen kann.
Muss jeder Mitarbeiter die Richtlinie unterschreiben?
Eine Unterschrift jedes Mitarbeiters ist nicht zwingend, aber empfehlenswert. Alternativ kann die Kenntnisnahme im Rahmen der Schulung dokumentiert werden. In jedem Fall sollte nachweisbar sein, dass die Mitarbeiter die Richtlinie kennen und verstanden haben.
Wer haftet, wenn ein Mitarbeiter gegen die Richtlinie verstößt?
Bei groben Verstößen haftet primär der Mitarbeiter im Rahmen des Arbeitsrechts. Das Unternehmen haftet jedoch nach außen, wenn ein Dritter geschädigt wird. Eine klare Richtlinie und nachweisbare Schulung reduzieren die Unternehmenshaftung erheblich, weil sie zeigen, dass der Arbeitgeber seine Aufsichtspflichten erfüllt hat.
Wo bekomme ich eine kostenlose KI-Richtlinie zum Download?
Mehrere Branchenverbände, Industrie- und Handelskammern und spezialisierte Beratungen bieten Vorlagen an. Eine generische Vorlage hilft als Strukturhilfe, sie ersetzt aber nicht die Anpassung an Ihre konkreten Tools. Der wichtigste Schritt ist nicht der Download, sondern das Ausfüllen der Tool-Liste und Datenarten-Tabelle.
Fazit
Eine KI-Richtlinie ist das Rückgrat Ihrer KI-Compliance. Sie entscheidet darüber, ob Mitarbeiter wissen, was erlaubt ist, und ob Sie bei einer Prüfung einen vorzeigbaren Beleg haben. Die zehn Pflichtkapitel sind kein Hexenwerk und in einem halben Tag formuliert. Was länger dauert, ist die ehrliche Diskussion in der Geschäftsführung darüber, welche Tools wirklich erlaubt sein sollen und welche Daten in welche Systeme dürfen. Diese Diskussion sollten Sie nicht aufschieben.
SkillSprinters unterstützt Unternehmen mit Schulungen und Compliance-Begleitung rund um den EU AI Act, inklusive einer praxistauglichen Vorlage für die interne KI-Richtlinie. KI-Compliance-Beratung anfragen.
Weiterführende Artikel im Compliance-Hub: - EU AI Act Deadline August 2026 - KI-Schulungsnachweis Vorlage - KI-Risikoklassen mit Praxisbeispielen
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.