← Alle Ratgeber-Artikel

12. Juli 2026 · 6 Min. Lesezeit

KI-Richtlinie für Unternehmen: Vorlage + Anleitung

Immer mehr Mitarbeitende nutzen ChatGPT, Microsoft Copilot oder Google Gemini im Arbeitsalltag — oft, ohne dass es dafür klare interne Regeln gibt. Spätestens seit dem EU AI Act (Artikel 4 gilt seit dem 2. Februar 2025) ist das ein Problem: Unternehmen müssen den verantwortungsvollen Umgang mit KI nicht nur ermöglichen, sondern aktiv sicherstellen und nachweisen.

Das wichtigste Werkzeug dafür ist eine KI-Richtlinie — auch AI-Use-Policy genannt. Dieser Artikel erklärt, was hineingehört, und führt Sie Schritt für Schritt zu Ihrer eigenen Version.

Warum eine KI-Richtlinie kein „Nice-to-have“ ist

Eine KI-Richtlinie erfüllt drei Aufgaben gleichzeitig:

  • Klarheit für Mitarbeitende. Welche Tools darf ich nutzen? Welche Daten darf ich eingeben? Was ist tabu? Ohne Regeln entscheidet das jeder selbst — mit unkalkulierbaren Risiken.
  • Datenschutz absichern. Ein unbedachter Prompt mit Kundendaten in einem kostenlosen KI-Tool kann ein DSGVO-Verstoß sein. Eine Policy zieht hier klare Grenzen.
  • Nachweis gegenüber Behörden und Partnern. Eine dokumentierte, freigegebene Richtlinie belegt, dass Ihr Unternehmen den sicheren KI-Einsatz aktiv steuert — ein zentraler Baustein der Artikel-4-Compliance.

Wichtig zur Einordnung: Der EU AI Act schreibt keine bestimmte Form für eine KI-Richtlinie vor und droht für Artikel 4 auch nicht mit den vieldiskutierten Millionen-Bußgeldern (die betreffen verbotene Praktiken nach Artikel 5). Aber die Pflicht, KI-Kompetenz sicherzustellen und nachzuweisen, ist real — und eine Policy ist der praktischste Weg dorthin.

Was in eine KI-Richtlinie gehört

Eine wirksame Richtlinie muss nicht lang sein, aber sie sollte die folgenden Bausteine abdecken:

1. Geltungsbereich und Zweck

Für wen gilt die Richtlinie (alle Mitarbeitenden? bestimmte Abteilungen?) und welches Ziel verfolgt sie — unter anderem die Umsetzung der KI-Kompetenzpflicht nach Art. 4 EU AI Act und datenschutzkonformen KI-Einsatz nach DSGVO.

2. Definitionen

Kurze, verständliche Erklärungen der wichtigsten Begriffe: Was ist ein KI-System, was generative KI, was bedeutet „Betreiber“ (das ist Ihr Unternehmen, sobald es fremde KI-Tools nutzt), was sind personenbezogene Daten.

3. Erlaubte KI-Nutzung

Eine konkrete Liste zugelassener Tools mit ihrem jeweiligen Einsatzzweck und Einschränkungen. Beispiel: ChatGPT Enterprise für Textentwürfe und Recherche — aber keine personenbezogenen Daten Dritter ohne Prüfung.

4. Verbotene und eingeschränkte Nutzung

Was ist grundsätzlich verboten (etwa Emotionserkennung am Arbeitsplatz oder Social Scoring nach Art. 5 EU AI Act), und was erfordert eine vorherige Freigabe (z. B. KI im Bewerber-Screening)? Dazu die Kennzeichnungspflichten: KI-generierte Inhalte und Chatbots müssen erkennbar sein (Art. 50 EU AI Act).

5. Datenschutz bei KI-Nutzung

Die goldene Regel gehört prominent hinein: Keine personenbezogenen Daten von Kunden, Mitarbeitenden oder Dritten in externe KI-Tools eingeben, ohne dass ein gültiger Auftragsverarbeitungsvertrag (AVV) besteht. Ergänzt um praktische Hinweise zur Anonymisierung und zur Rechtsgrundlage nach Art. 6 DSGVO.

6. Schulungspflicht und Nachweis

Welche Schulung absolvieren Mitarbeitende, in welchem Intervall, und wie wird der Nachweis dokumentiert? Hier schließt sich der Kreis zu Artikel 4.

7. Freigabe-Workflow für neue Tools

Ein einfacher Prozess, der sicherstellt, dass neue KI-Tools vor dem Einsatz auf Datenschutz und Risikoklasse geprüft werden.

8. Versionierung und Verantwortlichkeiten

Wer pflegt die Richtlinie, wann wird sie überprüft, wer ist Ansprechpartner? Eine Policy ohne Pflege verliert ihren Nachweiswert.

Schritt-für-Schritt-Anleitung: So erstellen Sie Ihre Richtlinie

Schritt 1 — Bestandsaufnahme. Erfassen Sie zuerst, welche KI-Tools im Unternehmen tatsächlich genutzt werden (siehe auch unsere Artikel-4-Checkliste). Ohne diesen Überblick bleibt die Policy abstrakt.

Schritt 2 — Vorlage anpassen, nicht bei null beginnen. Nutzen Sie eine strukturierte Vorlage und ersetzen Sie die Platzhalter durch Ihre Angaben: Unternehmensname, zugelassene Tools, Verantwortliche, Freigabe-Prozess.

Schritt 3 — Realistisch zuschneiden. Übernehmen Sie nur, was zu Ihrem KI-Einsatz passt. Ein kleiner Betrieb mit zwei Standard-Tools braucht keine seitenlange Risikomatrix.

Schritt 4 — Freigeben und kommunizieren. Die Geschäftsführung setzt die Richtlinie in Kraft, und alle betroffenen Mitarbeitenden werden informiert. Erst dann ist sie wirksam — und nachweisbar.

Schritt 5 — Pflegen. Tragen Sie ein Überprüfungsdatum ein (mindestens jährlich) und aktualisieren Sie die Policy bei neuen Tools oder Rechtsänderungen.

Hinweis: Eine Vorlage dient der Orientierung und ersetzt keine individuelle Rechtsberatung. Bei komplexen KI-Einsatzszenarien empfiehlt sich die Konsultation eines Fachanwalts für IT-Recht oder Datenschutz.

Fazit: Eine Vorlage spart Wochen — kein Grund, bei null anzufangen

Eine KI-Richtlinie aus dem Nichts zu schreiben, kostet Zeit und juristisches Fingerspitzengefühl. Mit einer durchdachten Vorlage wird daraus eine Aufgabe von wenigen Stunden: Platzhalter ersetzen, auf das eigene Unternehmen zuschneiden, freigeben. Wer das jetzt erledigt, hat einen zentralen Compliance-Baustein in der Hand — und einen belastbaren Nachweis für Behörden und Geschäftspartner.

Schulung, Policy und Nachweis — in einem Paket

Das AI-Kompetenz-Kit liefert sechs strukturierte Online-Module, eine anpassbare AI-Use-Policy-Vorlage, Dokumentationsvorlagen und individuelle Teilnahmezertifikate — als Einmalkauf, ohne Abo.

Zum AI-Kompetenz-Kit →

Dieser Beitrag ist eine allgemeine Information und ersetzt keine individuelle Rechtsberatung.