Auf einen Blick: Eine KI-Nutzungsrichtlinie regelt verbindlich, welche KI-Tools Mitarbeiter nutzen dürfen, wofür und mit welchen Daten. Sie ist eine einseitige Anweisung des Arbeitgebers über das Direktionsrecht nach § 106 GewO, anders als eine kollektive Betriebsvereinbarung. Existiert ein Betriebsrat, kann die Einführung nach § 87 BetrVG mitbestimmungspflichtig sein. Die Richtlinie ist die wichtigste Maßnahme gegen Shadow AI und zugleich Baustein des Kompetenznachweises nach Art. 4 KI-VO.
In den meisten Betrieben nutzen Mitarbeiter längst KI, bevor es dafür eine Regel gibt. Die Vertriebsmitarbeiterin schreibt Angebote mit ChatGPT, jemand in der Buchhaltung lädt Belege in eine kostenlose Erkennungs-App, das Marketing generiert Bilder über einen US-Dienst. Solange niemand sagt, was erlaubt ist und was nicht, entscheidet jeder selbst, und genau das ist das Risiko. Eine KI-Nutzungsrichtlinie zieht die Linie, bevor ein Schaden entsteht.
Eine Richtlinie ist kein gesetzliches Muss. Aber sie ist die praktisch wirksamste Maßnahme, die ein KMU 2026 für seinen KI-Einsatz ergreifen kann. Sie kostet nichts außer der Zeit, sie zu schreiben, und sie verhindert die teuren Fälle, bevor sie passieren.
Was eine KI-Nutzungsrichtlinie leistet
Eine KI-Nutzungsrichtlinie, oft auch KI-Policy genannt, ist ein verbindliches Dokument, das den Umgang mit KI-Tools im Unternehmen festlegt. Sie beantwortet drei Fragen für jeden Mitarbeiter: Welche Tools darf ich nutzen, für welche Aufgaben, und welche Daten darf ich hineingeben. Wer das klar regelt, nimmt den Mitarbeitern die ständige Eigeninterpretation ab und schafft eine gemeinsame, nachvollziehbare Grundlage.
Der wichtigste Effekt ist die Eindämmung von Shadow AI. Wenn klar ist, dass nur freigegebene Tools genutzt werden dürfen und welche das sind, hört das wilde Ausprobieren mit Consumer-Apps auf. Damit verschwindet der häufigste Datenschutz- und Geheimnisschutz-Vorfall, nämlich der unkontrollierte Abfluss von Kundendaten und Geschäftsgeheimnissen in nicht geprüfte Dienste.
Der zweite Effekt betrifft die Qualität. Eine Richtlinie, die eine Prüfpflicht vorschreibt (der Mensch prüft jeden KI-Output, bevor er ihn verwendet), verhindert, dass halluzinierte Inhalte ungeprüft nach außen gehen. Gerade bei kundengerichteten Texten oder fachlichen Aussagen ist das entscheidend.
Abgrenzung: Richtlinie oder Betriebsvereinbarung?
Hier wird es rechtlich präzise, und die Unterscheidung entscheidet darüber, wie du vorgehst. Eine KI-Nutzungsrichtlinie ist eine einseitige Anweisung des Arbeitgebers. Sie stützt sich auf das Direktionsrecht nach § 106 GewO, das dem Arbeitgeber erlaubt, Inhalt, Ort und Zeit der Arbeitsleistung sowie die Ordnung im Betrieb nach billigem Ermessen festzulegen. Der Arbeitgeber schreibt sie, gibt sie bekannt, und sie gilt. Er kann sie auch wieder ändern.
Eine Betriebsvereinbarung ist etwas anderes. Sie ist eine kollektive Vereinbarung zwischen Arbeitgeber und Betriebsrat. Sie wird ausgehandelt, beide Seiten unterschreiben, und sie hat normative Wirkung, das heißt sie gilt unmittelbar wie ein Gesetz für die Belegschaft. Eine Betriebsvereinbarung lässt sich nicht einseitig ändern, sondern nur im Einvernehmen oder über eine Kündigung mit Nachwirkung.
Für ein KMU ohne Betriebsrat ist die Sache einfach: Die Richtlinie über das Direktionsrecht reicht. Wo ein Betriebsrat existiert, wird es komplexer, dazu gleich mehr.
| Merkmal | KI-Nutzungsrichtlinie | Betriebsvereinbarung |
|---|---|---|
| Rechtsgrundlage | Direktionsrecht § 106 GewO | kollektive Vereinbarung mit Betriebsrat |
| Wer entscheidet | Arbeitgeber einseitig | Arbeitgeber und Betriebsrat gemeinsam |
| Änderung | einseitig durch Arbeitgeber möglich | nur im Einvernehmen oder per Kündigung |
| Wirkung | Weisung im Rahmen des Arbeitsvertrags | normative Wirkung für die Belegschaft |
| Voraussetzung | kein Betriebsrat nötig | setzt Betriebsrat voraus |
Mitbestimmung nach § 87 BetrVG, wenn ein Betriebsrat existiert
Wer einen Betriebsrat hat, kann eine KI-Nutzungsrichtlinie nicht immer einfach einseitig verordnen. Mehrere Tatbestände des § 87 BetrVG können die Mitbestimmung auslösen.
Nach § 87 Abs. 1 Nr. 1 BetrVG bestimmt der Betriebsrat bei Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer mit. Eine Richtlinie, die das Verhalten am Arbeitsplatz regelt, fällt häufig darunter. Nach § 87 Abs. 1 Nr. 6 BetrVG greift die Mitbestimmung, wenn technische Einrichtungen eingeführt werden, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Viele KI-Systeme erfüllen dieses Merkmal, weil sie Eingaben, Nutzungsdaten oder Leistungskennzahlen erfassen, auch wenn das gar nicht der eigentliche Zweck ist. Auf die Eignung zur Überwachung kommt es an, nicht auf die Absicht.
Praktisch heißt das: Wo es einen Betriebsrat gibt, sollte die KI-Nutzungsrichtlinie mit ihm abgestimmt oder gleich als Betriebsvereinbarung gestaltet werden. Das ist meist ein Vorteil, weil eine gemeinsam getragene Regel von der Belegschaft besser akzeptiert wird. Wer den Betriebsrat übergeht, riskiert, dass die Richtlinie als mitbestimmungswidrig angreifbar ist und im Streitfall keinen Bestand hat.
Die Kerninhalte einer Richtlinie
Eine gute Richtlinie ist konkret, nicht abstrakt. Diese Bausteine gehören hinein:
Erlaubte und verbotene Tools. Eine klare Liste der freigegebenen KI-Dienste mit Versionen und Konten, dazu die explizite Aussage, dass alles Übrige ohne Freigabe nicht genutzt werden darf. Eine pauschale Formulierung wie "Mitarbeiter dürfen geeignete KI-Tools nutzen" ist wertlos, weil sie jeder anders auslegt.
Umgang mit Daten. Welche Daten dürfen in welches Tool. Hier gehört die zentrale Regel hin: keine personenbezogenen Kundendaten und keine Geschäftsgeheimnisse in nicht freigegebene Consumer-KI. Bei freigegebenen Tools mit Datenschutzzusage gelten andere Regeln als bei einer kostenlosen App. Diese Unterscheidung muss konkret beschrieben sein.
Kennzeichnung von KI-Ergebnissen. Wann und wie KI-generierte Inhalte intern und extern kenntlich gemacht werden, auch mit Blick auf die Transparenzpflicht nach Art. 50 KI-VO, die am 02.08.2026 in Kraft tritt.
Prüfpflicht. Der Grundsatz, dass ein Mensch jeden KI-Output prüft, bevor er ihn weiterverwendet. KI liefert Vorschläge, die fachliche Verantwortung trägt der Mitarbeiter.
Meldewege. An wen sich Mitarbeiter wenden, wenn sie ein neues Tool nutzen wollen, wenn etwas schiefgeht oder wenn sie unsicher sind. Ein klarer Ansprechpartner senkt die Hemmschwelle, Fragen zu stellen, statt heimlich auszuprobieren.
Konkrete Beispiele statt Floskeln. Der Unterschied zwischen einer gelesenen und einer ignorierten Richtlinie liegt in den Beispielen. "Erlaubt: einen Entwurf für eine Produktbeschreibung erstellen lassen. Verboten: eine Kundenliste mit Namen und Umsätzen in eine kostenlose KI-App hochladen." Solche Beispiele versteht jeder sofort.
Datenschutz und Geschäftsgeheimnisse
Die Richtlinie ist auch das Werkzeug, mit dem du zwei rechtliche Risiken in den Griff bekommst. Das erste ist die DSGVO. Sobald personenbezogene Daten in ein externes KI-Tool fließen, braucht es eine Rechtsgrundlage und einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO mit dem Anbieter. Eine kostenlose Consumer-KI hat das in der Regel nicht und nutzt die Eingaben oft zum Modelltraining. Die Richtlinie verbietet daher klar, personenbezogene Daten in solche Dienste zu geben.
Das zweite Risiko ist der Geheimnisschutz. Geschäftsgeheimnisse, also nicht offenkundige, wirtschaftlich wertvolle Informationen, die durch angemessene Maßnahmen geschützt werden, genießen Schutz nach dem Geschäftsgeheimnisgesetz. Dieser Schutz setzt voraus, dass das Unternehmen angemessene Geheimhaltungsmaßnahmen trifft. Eine klare KI-Richtlinie, die untersagt, vertrauliche Informationen in offene KI-Dienste zu geben, ist genau eine solche Maßnahme. Ohne sie kann im Streitfall sogar der Geheimnisschutz selbst gefährdet sein, weil die Geheimhaltungsmaßnahmen als unzureichend gelten.
Beide Risiken treffen denselben Punkt: Mitarbeiter dürfen sensible Daten nicht in ungeprüfte Tools geben. Die Richtlinie macht aus dieser selbstverständlichen Einsicht eine verbindliche, dokumentierte Regel, auf die du dich später berufen kannst.
Bezug zu Art. 4 KI-VO: die Richtlinie als Nachweis-Baustein
Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt seit dem 02.02.2025 und verlangt, dass Personen, die KI-Systeme einsetzen, über ausreichende KI-Kompetenz verfügen. Das Gesetz schreibt kein bestimmtes Format vor, aber im Streitfall musst du nachweisen können, dass du etwas getan hast. Eine KI-Nutzungsrichtlinie ist genau so ein Nachweis-Baustein.
Sie zeigt, dass das Unternehmen die Mitarbeiter über die Grenzen und Risiken von KI aufgeklärt hat, dass es klare Regeln gibt und dass jeder weiß, was erlaubt ist. In Kombination mit einer dokumentierten Schulung bildet die Richtlinie das Rückgrat des Kompetenznachweises. Wir empfehlen, die Richtlinie und eine kurze Schulung zusammen einzuführen, weil das eine ohne das andere weniger trägt. Die Grundlagen der Kompetenzpflicht erklären wir ausführlich im Beitrag zur KI-Kompetenzpflicht nach Art. 4 KI-VO.
Schritt für Schritt: die Richtlinie einführen
So bringst du die Richtlinie sauber in den Betrieb, sodass sie auch rechtlich Bestand hat.
| Schritt | Was zu tun ist |
|---|---|
| 1. Bestand aufnehmen | Welche KI-Tools sind im Einsatz (idealerweise über ein KI-Inventar) |
| 2. Tools freigeben | Entscheiden, welche Tools erlaubt sind, mit Datenschutzzusage und ohne Modelltraining |
| 3. Richtlinie schreiben | Kerninhalte mit konkreten Beispielen, kurz halten |
| 4. Betriebsrat einbinden | Falls vorhanden: § 87 BetrVG beachten, abstimmen oder als Betriebsvereinbarung |
| 5. Schriftlich bekanntgeben | Allen Mitarbeitern aushändigen, idealerweise mit Empfangsbestätigung |
| 6. Schulen | Kurze Schulung dazu, verzahnt mit Art. 4 KI-VO Kompetenzaufbau |
| 7. Aktualisieren | Bei neuen Tools, neuen Funktionen oder Rechtsänderungen nachpflegen |
Ein wichtiger Punkt zur Länge. Eine gute Richtlinie passt auf zwei bis vier Seiten. Je länger das Dokument, desto weniger wird es gelesen, und eine Richtlinie, die niemand liest, wirkt nicht. Lieber knapp, klar und mit guten Beispielen als ein zwanzigseitiges Konvolut, das in einer Schublade verschwindet.
Praxis-Beispiel: Eine Werbeagentur führt ihre KI-Richtlinie ein
Voss Kreativagentur GmbH, eine fiktive Werbe- und Designagentur aus Köln mit 22 Mitarbeitern, hat ein Problem mit Wildwuchs. Texter nutzen ChatGPT, Grafiker generieren Bilder über verschiedene Dienste, und die Geschäftsführung weiß nicht genau, welche Kundendaten dabei abfließen. Ein Kunde hat nachgefragt, ob seine Briefings durch KI laufen, und niemand konnte es klar beantworten.
Die Agentur nimmt zuerst den Bestand auf und gibt drei Tools frei: einen Textdienst mit geschäftlicher Lizenz und Datenschutzzusage, einen Bildgenerator mit EU-Hosting und das interne Copilot-System. Alles andere ist ohne Freigabe untersagt. Die Richtlinie passt auf drei Seiten und enthält konkrete Beispiele: Erlaubt ist, eine Headline-Idee generieren zu lassen, verboten ist, ein vertrauliches Kundenbriefing in eine kostenlose App zu kopieren. Für KI-generierte Kundeninhalte gilt eine interne Kennzeichnungspflicht und die Prüfpflicht durch den verantwortlichen Berater.
Einen Betriebsrat gibt es nicht, also genügt die einseitige Richtlinie über das Direktionsrecht. Sie wird schriftlich ausgehändigt, jeder bestätigt den Empfang, und es gibt eine einstündige Schulung dazu, die zugleich den Art.-4-Kompetenznachweis dokumentiert. Beim nächsten Kunden-Audit kann die Agentur nun belegen, wie sie mit KI umgeht.
In der Praxis sehen wir, dass genau dieser Schritt unterschätzt wird. Unternehmen kaufen Tools und schulen nicht, oder sie schulen und regeln nicht. Erst die Kombination aus klarer Regel und kurzer Schulung wirkt. Wer nur eine Richtlinie ohne Beispiele schreibt, hat ein Papier, das die Belegschaft ignoriert. Wer Beispiele und Schulung mitliefert, hat eine Regel, die im Alltag tatsächlich greift.
Häufige Fragen
Ist eine KI-Nutzungsrichtlinie gesetzlich vorgeschrieben?
Eine eigenständige KI-Nutzungsrichtlinie ist nicht ausdrücklich gesetzlich verpflichtend. Sie ist aber die praktisch wirksamste Maßnahme, um die KI-Kompetenzpflicht nach Art. 4 KI-VO zu erfüllen, Shadow AI einzudämmen und den Schutz von personenbezogenen Daten und Geschäftsgeheimnissen sicherzustellen. Im Streitfall dient sie als Nachweis, dass das Unternehmen seinen Sorgfaltspflichten nachgekommen ist.
Kann ich die Richtlinie einfach einseitig anordnen?
In einem Betrieb ohne Betriebsrat ja, gestützt auf das Direktionsrecht nach § 106 GewO. Existiert ein Betriebsrat, kann die Einführung nach § 87 BetrVG mitbestimmungspflichtig sein, insbesondere bei Fragen der betrieblichen Ordnung und bei technischen Einrichtungen, die zur Überwachung geeignet sind. Dann solltest du die Richtlinie mit dem Betriebsrat abstimmen oder als Betriebsvereinbarung gestalten, sonst ist sie angreifbar.
Was ist der Unterschied zwischen Richtlinie und Betriebsvereinbarung?
Die Richtlinie ist eine einseitige Anweisung des Arbeitgebers über das Direktionsrecht, die er auch wieder ändern kann. Die Betriebsvereinbarung ist eine kollektive Vereinbarung mit dem Betriebsrat mit normativer Wirkung, die nur im Einvernehmen geändert werden kann und einen Betriebsrat voraussetzt. Für KMU ohne Betriebsrat ist die Richtlinie der einfache Weg, mit Betriebsrat ist die Betriebsvereinbarung oft die rechtssicherere Lösung.
Wie lang sollte die Richtlinie sein?
So kurz wie möglich, so lang wie nötig. Zwei bis vier Seiten sind ein guter Richtwert. Entscheidend ist weniger die Länge als die Frage, ob die Regeln konkret und mit Beispielen versehen sind. Eine kurze Richtlinie mit klaren Verboten und Erlaubnissen wird gelesen und befolgt, ein langes abstraktes Dokument verschwindet ungelesen. Lieber präzise und beispielhaft als umfassend und theoretisch.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 27. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.