Immer mehr Mitarbeiter nutzen ChatGPT, Copilot und andere KI-Tools im Arbeitsalltag. Oft ohne Absprache, ohne Regeln und ohne dass die Geschäftsführung davon weiß. Eine KI-Richtlinie schafft Klarheit: Was ist erlaubt, was nicht, und wie sieht der verantwortungsvolle Umgang mit KI im Unternehmen aus.
Das Wichtigste in Kürze
- Eine KI-Richtlinie regelt den Einsatz von KI-Tools im Unternehmen: erlaubte Anwendungen, verbotene Eingaben, Qualitätssicherung und Verantwortlichkeiten.
- Ohne Richtlinie riskieren Sie Datenschutzverstöße, Haftungsprobleme und unkontrollierte Schatten-KI.
- Der EU AI Act (ab August 2026) und die DSGVO machen eine dokumentierte Regelung faktisch zur Pflicht.
- Eine gute KI-Richtlinie ist kurz, verständlich und praxisnah. Maximal fünf Seiten.
- Die Weiterbildung zum Digitalisierungsmanager (IHK) vermittelt das Know-how für professionelle KI-Governance.
Warum braucht Ihr Unternehmen eine KI-Richtlinie?
Laut einer Bitkom-Studie von 2025 nutzen bereits 50 % der deutschen Unternehmen generative KI. Gleichzeitig haben nur 12 % eine formale KI-Richtlinie. Die drei größten Risiken ohne Richtlinie:
1. Datenschutzverstöße. Ein Vertriebsmitarbeiter kopiert eine Kundenliste in ChatGPT Free. Die Kundendaten landen bei OpenAI. Das ist ein DSGVO-Verstoß.
2. Qualitätsprobleme. Die Marketing-Abteilung veröffentlicht einen ungeprüften KI-Text mit falschen Zahlen.
3. Haftungsfragen. Ein Sachbearbeiter nutzt KI für Vertragsklauseln. Die KI halluziniert eine Formulierung, die dem Unternehmen schadet.
Rechtliche Grundlagen
EU AI Act (ab August 2026)
Artikel 4 verlangt nachweisbare KI-Kompetenz des Personals. Eine KI-Richtlinie ist das naheliegende Instrument, um diese Pflicht umzusetzen.
DSGVO
Die KI-Richtlinie muss regeln, welche Daten in KI-Systeme eingegeben werden dürfen, ob ein AVV besteht und wie Betroffenenrechte gewahrt werden.
Arbeitsrecht
Bei KI-Systemen, die Mitarbeiterdaten verarbeiten, hat der Betriebsrat ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG).
Die 8 Bausteine einer KI-Richtlinie
1. Geltungsbereich und Zielsetzung
Definieren Sie klar, was die Richtlinie regelt und für wen sie gilt. Die Richtlinie sollte auch KI-Tools erfassen, die Mitarbeiter privat für dienstliche Zwecke nutzen.
2. Erlaubte KI-Systeme
| Tool | Freigegeben für | Datenschutz |
|---|---|---|
| Microsoft Copilot | Alle Mitarbeiter | AVV vorhanden |
| ChatGPT Team | Marketing, Vertrieb | AVV vorhanden |
| n8n (Self-hosted) | IT, Geschäftsleitung | Daten im Unternehmen |
3. Verbotene Eingaben
- Personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern
- Geschäftsgeheimnisse (Kalkulationen, Strategiepapiere)
- Vertrauliche Verträge und rechtliche Dokumente
- Passwörter, Zugangsdaten, API-Keys
- Gesundheitsdaten, Gehaltsinformationen
4. Qualitätssicherung
Alle KI-generierten Inhalte müssen vor der Verwendung von einem fachkundigen Mitarbeiter geprüft werden. Faktenaussagen gegen unabhängige Quellen verifizieren. Externe Kommunikation braucht immer eine menschliche Freigabe.
5. Kennzeichnung und Transparenz
Chatbots als KI-System kennzeichnen. KI-generierte Inhalte bei externer Veröffentlichung dokumentieren.
6. Verantwortlichkeiten
| Rolle | Verantwortung |
|---|---|
| Geschäftsführung | Genehmigung, Ressourcen |
| KI-Verantwortlicher | Überblick, Risikoklassifizierung, Schulungsplanung |
| Datenschutzbeauftragter | DSGVO-Konformität, AVV-Management |
| Alle Mitarbeiter | Einhaltung der Richtlinie, Meldung von Vorfällen |
7. Schulung und Kompetenzentwicklung
Grundlagenschulung für alle KI-Nutzer (Pflicht nach Artikel 4). Vertiefung für Hochrisiko-Nutzer. Jährliche Auffrischung. Dokumentation aller Schulungen.
8. Vorfallmanagement und Aktualisierung
Meldewege für Vorfälle definieren. Datenschutzverletzungen innerhalb von 72 Stunden melden. Richtlinie mindestens jährlich überprüfen.
Typische Fehler bei KI-Richtlinien
- Zu lang und zu juristisch. Maximal fünf Seiten, verständliche Sprache.
- Nur Verbote, keine Erlaubnisse. Zeigen Sie auch, was erlaubt und erwünscht ist.
- Einmal erstellt, nie aktualisiert. KI-Technologie und Regulierung entwickeln sich schnell.
- Keine begleitende Schulung. Eine Richtlinie ohne Schulung ist wirkungslos.
- Betriebsrat nicht einbezogen. Kann die Richtlinie rechtlich unwirksam machen.
KI-Governance professionell aufbauen
Die Weiterbildung zum Digitalisierungsmanager (IHK) vermittelt genau diese Kompetenzen: KI-Grundlagen, Datenschutz, Prozessautomatisierung und verantwortungsvoller KI-Einsatz. 4 Monate, komplett online, DEKRA-zertifiziert und 100 % förderbar mit Bildungsgutschein.
Häufige Fragen
Ist eine KI-Richtlinie gesetzlich vorgeschrieben?
Reicht eine IT-Sicherheitsrichtlinie nicht aus?
Wie oft sollte die KI-Richtlinie aktualisiert werden?
Muss der Betriebsrat zustimmen?
KI-Kompetenz für Ihr Team aufbauen?
Die Weiterbildung zum Digitalisierungsmanager (IHK) erfüllt die Anforderungen des EU AI Act Artikel 4. DEKRA-zertifiziert, 100 % förderbar.