Immer mehr Mitarbeiter nutzen ChatGPT, Copilot und andere KI-Tools im Arbeitsalltag. Oft ohne Absprache, ohne Regeln und ohne dass die Geschäftsführung davon weiß. Das ist ein Risiko. Eine KI-Richtlinie schafft Klarheit: Was ist erlaubt, was nicht, und wie sieht der verantwortungsvolle Umgang mit KI im Unternehmen aus. Dieser Leitfaden zeigt Ihnen, wie Sie eine solche Richtlinie erstellen, und liefert eine praxistaugliche Vorlage.
Das Wichtigste in Kürze
- Eine KI-Richtlinie regelt den Einsatz von KI-Tools im Unternehmen: erlaubte Anwendungen, verbotene Eingaben, Qualitätssicherung und Verantwortlichkeiten.
- Ohne Richtlinie riskieren Sie Datenschutzverstöße, Haftungsprobleme und unkontrollierte Schatten-KI durch Mitarbeiter.
- Der EU AI Act (KI-Kompetenzpflicht nach Art. 4 seit Februar 2025, Hochrisiko-Pflichten ab August 2026) und die DSGVO machen eine dokumentierte Regelung faktisch zur Pflicht.
- Eine gute KI-Richtlinie ist kurz, verständlich und praxisnah. Kein juristisches Dokument, sondern ein Leitfaden für den Alltag.
- Die Richtlinie sollte regelmäßig aktualisiert werden, da sich die Technologie und die Rechtslage schnell verändern.
- Eine geförderte Weiterbildung zum Digitalisierungsmanager vermittelt das Know-how, um KI-Richtlinien und KI-Governance professionell umzusetzen.
Warum braucht Ihr Unternehmen eine KI-Richtlinie?
Laut einer Bitkom-Studie von 2025 nutzen bereits 50 % der deutschen Unternehmen generative KI. Gleichzeitig haben nur 12 % eine formale KI-Richtlinie. Das bedeutet: In den meisten Firmen entscheiden Mitarbeiter selbst, wie sie KI einsetzen, welche Daten sie eingeben und ob sie die Ergebnisse prüfen.
Die drei größten Risiken ohne Richtlinie
1. Datenschutzverstöße. Ein Vertriebsmitarbeiter kopiert eine Kundenliste in ChatGPT Free, um personalisierte Anschreiben zu generieren. Die Kundendaten landen bei OpenAI. Das ist ein DSGVO-Verstoß.
2. Qualitätsprobleme. Die Marketing-Abteilung veröffentlicht einen Blogartikel, den ChatGPT geschrieben hat, ohne ihn zu prüfen. Der Artikel enthält falsche Zahlen. Kunden beschweren sich.
3. Haftungsfragen. Ein Sachbearbeiter nutzt KI für die Erstellung von Vertragsklauseln. Die KI halluziniert eine Formulierung, die dem Unternehmen schadet. Wer haftet?
Eine KI-Richtlinie verhindert diese Szenarien nicht vollständig, aber sie reduziert das Risiko erheblich und schafft klare Verantwortlichkeiten.
Rechtliche Grundlagen
EU AI Act (Art. 4 seit Februar 2025, Hochrisiko-Pflichten ab August 2026)
Der EU AI Act verlangt in Artikel 4 seit dem 2. Februar 2025, dass alle Unternehmen, die KI-Systeme einsetzen, für ausreichende KI-Kompetenz ihres Personals sorgen. Diese Pflicht ist bereits in Kraft. Eine KI-Richtlinie ist das naheliegende Instrument, um diese Pflicht umzusetzen und nachzuweisen.
Bei Hochrisiko-KI-Systemen (z. B. KI-gestütztes Recruiting) kommen weitere Pflichten hinzu: menschliche Aufsicht, Dokumentation, Risikomanagement. All das sollte in der Richtlinie geregelt sein.
DSGVO
Wenn KI-Systeme personenbezogene Daten verarbeiten, greift die DSGVO. Das betrifft fast jede Unternehmensanwendung. Die KI-Richtlinie muss regeln:
- Welche Daten in KI-Systeme eingegeben werden dürfen
- Ob ein Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter besteht
- Wie die Rechte betroffener Personen gewahrt werden
Arbeitsrecht
Wenn KI-Systeme leistungs- oder verhaltensrelevante Daten von Mitarbeitern verarbeiten, hat der Betriebsrat ein Mitbestimmungsrecht (§ 87 Abs. 1 Nr. 6 BetrVG). Die KI-Richtlinie sollte vom Betriebsrat mitgetragen werden.
Die 8 Bausteine einer KI-Richtlinie
Baustein 1: Geltungsbereich und Zielsetzung
Definieren Sie klar, was die Richtlinie regelt und für wen sie gilt.
Vorlage:
Diese Richtlinie regelt den Einsatz von KI-gestützten Tools und Diensten durch alle Mitarbeiter der [Firmenname]. Sie gilt für alle KI-Systeme, unabhängig davon, ob sie vom Unternehmen bereitgestellt oder privat genutzt werden, sofern sie für dienstliche Zwecke eingesetzt werden.
Baustein 2: Erlaubte KI-Systeme
Listen Sie die KI-Tools auf, die im Unternehmen freigegeben sind. Das verhindert Schatten-KI.
| Tool | Lizenz | Freigegeben für | Datenschutz-Status |
|---|---|---|---|
| Microsoft Copilot | Enterprise | Alle Mitarbeiter | AVV vorhanden, Daten werden nicht für Training genutzt |
| ChatGPT Team | Business | Marketing, Vertrieb | AVV vorhanden |
| n8n (Self-hosted) | Self-hosted | IT, Geschäftsleitung | Daten bleiben im Unternehmen |
Wichtig: Nicht freigegebene KI-Tools dürfen nicht für dienstliche Zwecke genutzt werden. Wer ein neues Tool einsetzen möchte, muss einen Freigabeprozess durchlaufen.
Baustein 3: Verbotene Eingaben
Das ist der wichtigste Abschnitt für den Datenschutz. Definieren Sie klar, welche Informationen nicht in KI-Systeme eingegeben werden dürfen:
- Personenbezogene Daten von Kunden, Mitarbeitern oder Geschäftspartnern (Namen, E-Mail-Adressen, Telefonnummern, Adressen)
- Geschäftsgeheimnisse (Kalkulationen, Strategiepapiere, unveröffentlichte Produktinformationen)
- Vertrauliche Verträge und rechtliche Dokumente
- Passwörter, Zugangsdaten, API-Keys
- Gesundheitsdaten, Gehaltsinformationen, Leistungsbeurteilungen
Ausnahme: Wenn das KI-System über einen AVV verfügt und die Daten nachweislich nicht für Modelltraining verwendet werden (z. B. ChatGPT Enterprise, Azure OpenAI), können personenbezogene Daten unter Einhaltung der DSGVO verarbeitet werden.
Baustein 4: Qualitätssicherung
KI-generierte Inhalte sind Entwürfe, keine fertigen Ergebnisse. Regeln Sie die Prüfpflicht:
- Alle KI-generierten Texte, Berechnungen und Empfehlungen müssen vor der Verwendung von einem fachkundigen Mitarbeiter geprüft werden.
- Faktenaussagen (Zahlen, Rechtsnormen, technische Daten) müssen gegen unabhängige Quellen verifiziert werden.
- Externe Kommunikation (E-Mails an Kunden, Veröffentlichungen, Angebote) muss immer eine menschliche Freigabe durchlaufen.
- KI-generierter Code muss vor dem Produktiveinsatz einem Code-Review unterzogen werden.
Baustein 5: Kennzeichnung und Transparenz
Der EU AI Act verlangt Transparenz. Regeln Sie, wann KI-generierte Inhalte gekennzeichnet werden müssen:
- Chatbots auf der Website oder im Kundenservice müssen als KI-System erkennbar sein.
- KI-generierte Inhalte, die extern veröffentlicht werden (Blogartikel, Social-Media-Posts), sollten intern als KI-unterstützt dokumentiert werden.
- In der internen Kommunikation empfiehlt sich eine pragmatische Lösung: KI-generierte Entwürfe im Team transparent machen, aber keine bürokratische Kennzeichnungspflicht für jede E-Mail.
Baustein 6: Verantwortlichkeiten
Definieren Sie, wer für was zuständig ist:
| Rolle | Verantwortung |
|---|---|
| Geschäftsführung | Genehmigung der Richtlinie, Bereitstellung von Ressourcen |
| KI-Verantwortlicher | Überblick über KI-Systeme, Risikoklassifizierung, Schulungsplanung |
| Datenschutzbeauftragter | Prüfung der DSGVO-Konformität, AVV-Management |
| Abteilungsleiter | Umsetzung in der Abteilung, Freigabe von Ergebnissen |
| Alle Mitarbeiter | Einhaltung der Richtlinie, Meldung von Vorfällen |
Baustein 7: Schulung und Kompetenzentwicklung
Der EU AI Act verlangt nachweisbare KI-Kompetenz. Regeln Sie:
- Grundlagenschulung für alle Mitarbeiter, die KI-Tools nutzen (Pflicht nach Artikel 4)
- Vertiefung für Mitarbeiter mit Zugang zu Hochrisiko-Systemen
- Regelmäßige Auffrischung (mindestens einmal pro Jahr)
- Dokumentation aller Schulungen (Teilnehmer, Datum, Inhalte, Trainer)
Baustein 8: Vorfallmanagement und Aktualisierung
Was passiert, wenn etwas schiefgeht?
- Mitarbeiter melden Vorfälle (falsche KI-Ausgaben, Datenschutzverletzungen) an den KI-Verantwortlichen.
- Schwerwiegende Vorfälle werden dokumentiert und der Geschäftsführung gemeldet.
- Datenschutzverletzungen werden gemäß DSGVO (Art. 33/34) innerhalb von 72 Stunden an die Aufsichtsbehörde gemeldet.
- Die Richtlinie wird mindestens einmal jährlich überprüft und bei Bedarf angepasst.
Muster-Gliederung: KI-Richtlinie auf einer Seite
Für KMU reicht oft eine kompakte Richtlinie. Hier eine Gliederung, die auf zwei bis drei DIN-A4-Seiten passt:
- Zweck und Geltungsbereich (3 Sätze)
- Freigegebene KI-Systeme (Tabelle)
- Verbotene Eingaben (Aufzählung, max. 8 Punkte)
- Prüfpflicht (3 Regeln)
- Kennzeichnung (2 Regeln)
- Verantwortlichkeiten (Tabelle)
- Schulung (Wer, was, wie oft)
- Verstöße und Meldewege (3 Sätze)
- Datum, Version, nächste Überprüfung
Typische Fehler bei KI-Richtlinien
1. Zu lang und zu juristisch. Eine 30-seitige Richtlinie, die in Rechtssprache verfasst ist, liest niemand. Halten Sie es kurz und verständlich. Maximal fünf Seiten.
2. Nur Verbote, keine Erlaubnisse. Wenn die Richtlinie nur beschreibt, was verboten ist, hemmt sie die Nutzung. Zeigen Sie auch klar auf, was erlaubt und erwünscht ist.
3. Einmal erstellt, nie aktualisiert. KI-Technologie und Regulierung entwickeln sich schnell. Eine Richtlinie von März 2026 kann im September 2026 schon veraltet sein.
4. Keine Schulung. Eine Richtlinie ohne begleitende Schulung ist wirkungslos. Mitarbeiter müssen verstehen, warum die Regeln gelten und wie sie im Alltag umgesetzt werden.
5. Betriebsrat nicht einbezogen. Wenn ein Betriebsrat existiert, hat er bei KI-Systemen, die Mitarbeiterdaten verarbeiten, ein Mitbestimmungsrecht. Eine Richtlinie ohne Betriebsrat-Beteiligung kann rechtlich unwirksam sein.
Einführungsprozess: Von der Richtlinie zur Umsetzung
Phase 1: Bestandsaufnahme (Woche 1-2)
- Alle genutzten KI-Systeme erfassen
- Bestehende Regelungen prüfen (Datenschutz, IT-Sicherheit, Arbeitsanweisungen)
- Stakeholder identifizieren (IT, Datenschutz, Betriebsrat, Fachabteilungen)
Phase 2: Entwurf (Woche 3-4)
- Richtlinie entwerfen (Bausteine 1-8)
- Feedback von Stakeholdern einholen
- Rechtliche Prüfung (Datenschutzbeauftragter)
Phase 3: Verabschiedung (Woche 5)
- Geschäftsführung genehmigt die Richtlinie
- Betriebsrat stimmt zu (falls vorhanden)
- Richtlinie wird allen Mitarbeitern zugänglich gemacht
Phase 4: Schulung und Rollout (Woche 6-8)
- Grundlagenschulung für alle KI-Nutzer
- Fragen und Feedback sammeln
- Erste Erfahrungen auswerten und Richtlinie bei Bedarf anpassen
KI-Governance professionell aufbauen
Eine KI-Richtlinie ist der erste Schritt. Für eine nachhaltige KI-Governance brauchen Unternehmen Mitarbeiter, die KI-Systeme bewerten, Risiken einschätzen und Compliance sicherstellen können.
Die Weiterbildung zum Digitalisierungsmanager vermittelt genau diese Kompetenzen: KI-Grundlagen, Datenschutz, Prozessautomatisierung und verantwortungsvoller KI-Einsatz. 4 Monate, komplett online, DEKRA-zertifiziert und 100 % förderbar mit Bildungsgutschein.
Häufige Fragen
Ist eine KI-Richtlinie gesetzlich vorgeschrieben?
Nicht explizit. Der EU AI Act schreibt keine KI-Richtlinie als Dokument vor. Aber er verlangt nachweisbare KI-Kompetenz (Art. 4), Transparenz und bei Hochrisiko-Systemen dokumentierte Prozesse. Eine KI-Richtlinie ist das naheliegendste Instrument, um diese Pflichten in der Praxis zu erfüllen und im Falle einer Prüfung nachzuweisen.
Reicht eine IT-Sicherheitsrichtlinie nicht aus?
Nein. Eine IT-Sicherheitsrichtlinie deckt die technischen Aspekte ab (Zugriffsrechte, Passwortsicherheit), aber nicht die spezifischen Fragen des KI-Einsatzes: Qualitätssicherung, Kennzeichnung, verbotene Eingaben, Halluzinationsprüfung. Die KI-Richtlinie ergänzt bestehende Richtlinien, ersetzt sie aber nicht.
Wie oft sollte die KI-Richtlinie aktualisiert werden?
Mindestens einmal pro Jahr. Bei wesentlichen Änderungen der Technologie (neue KI-Tools), der Rechtslage (neue EU-Durchführungsrechtsakte) oder der Unternehmensstrategie (neue KI-Anwendungsfälle) sollte die Richtlinie sofort angepasst werden.
Muss der Betriebsrat zustimmen?
Wenn ein Betriebsrat existiert und KI-Systeme leistungs- oder verhaltensbezogene Daten von Mitarbeitern verarbeiten, hat er ein Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. In der Praxis empfiehlt es sich, den Betriebsrat von Anfang an einzubinden, auch wenn die Mitbestimmungspflicht nicht für alle Teile der Richtlinie gilt.
Wie umfangreich muss die KI-Richtlinie sein?
Das hängt von der Unternehmensgröße und den eingesetzten KI-Systemen ab. Für ein KMU mit fünf bis zehn KI-Nutzern reichen zwei bis drei Seiten. Ein Konzern mit Hochrisiko-Systemen wird ein umfangreicheres Dokument benötigen. Entscheidend ist nicht die Länge, sondern die Praxistauglichkeit.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.