KI-Richtlinie für Unternehmen: Aufbau, Inhalte und typische Fehler
Eine KI-Richtlinie ist das operative Regelwerk für den KI-Einsatz im Unternehmen. Dieser Artikel liefert einen 8-Abschnitte-Gliederungsvorschlag mit Erklärung, zeigt den Unterschied zum KI-Handbuch, erklärt das Ampelsystem (erlaubt/eingeschränkt/verboten) und deckt die 5 häufigsten Fehler auf – vom Schatten-KI-Problem bis zur fehlenden Pflege.
Inhaltsverzeichnis
Zwei von drei Unternehmen in Deutschland nutzen bereits KI-Tools im Arbeitsalltag. Doch die wenigsten haben geregelt, wie das passieren darf. Das Ergebnis: Schatten-KI, Datenschutzrisiken und null Nachweisbarkeit – genau das, was der AI Act ab August 2026 sanktionieren wird.
Eine KI-Richtlinie ändert das. Sie ist kein juristisches Schönwetter-Dokument, sondern das operative Regelwerk, das Ihren Mitarbeitenden zeigt: Was ist erlaubt, was nicht – und wer entscheidet bei Zweifelsfällen. Dieser Artikel liefert Ihnen einen konkreten Gliederungsvorschlag mit acht Abschnitten, erklärt den Unterschied zum KI-Handbuch und zeigt die fünf Fehler, die fast jedes Unternehmen beim ersten Entwurf macht.
Warum jedes Unternehmen eine KI-Richtlinie braucht
Der AI Act verlangt in Art. 4, dass alle Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Diese Pflicht gilt seit Februar 2025 – unabhängig von der Risikoklasse des Systems. Eine KI-Richtlinie ist der dokumentierte Nachweis, dass Ihr Unternehmen dieser Pflicht nachkommt.
Hinzu kommt: Seit August 2025 sind KI-Systeme mit unannehmbarem Risiko verboten. Ab August 2026 greifen die Deployer-Pflichten für Hochrisiko-Systeme. Wer bis dahin keine internen Regeln hat, steht ohne Nachweis da – und das bei Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Doch die gesetzliche Pflicht ist nur ein Argument. In der Praxis löst eine KI-Richtlinie drei konkrete Probleme:
Schatten-KI eindämmen: Ohne klare Regeln nutzen Mitarbeitende private ChatGPT-Accounts für Unternehmensaufgaben. Kundenlisten, Quellcode, Vertragsentwürfe – alles landet auf US-Servern, ohne dass die IT davon weiß.
Haftungsrisiken reduzieren: Wer KI-generierte Inhalte ungeprüft veröffentlicht oder an Kunden weitergibt, riskiert Urheberrechtsverletzungen und falsche Aussagen. Die Richtlinie definiert, wer prüft und wer freigibt.
Handlungssicherheit schaffen: Mitarbeitende wollen KI nutzen – sie wissen nur nicht, ob sie dürfen. Eine klare Richtlinie beseitigt diese Unsicherheit und fördert die Nutzung in sicheren Bahnen.
Verbindung zum KI-Inventar: Die KI-Richtlinie baut auf dem KI-Inventar auf. Erst wenn Sie wissen, welche KI-Systeme im Einsatz sind, können Sie deren Nutzung regeln. Falls Sie noch kein Inventar haben: Starten Sie dort.
KI-Richtlinie vs. KI-Handbuch – was ist der Unterschied?
Die Begriffe werden häufig synonym verwendet. Das ist ein Problem, denn sie erfüllen unterschiedliche Funktionen. Die Richtlinie regelt das Was und Wer. Das Handbuch beschreibt das Wie.
Merkmal | KI-Richtlinie | KI-Handbuch / AI Governance Manual |
|---|---|---|
Zweck | Verbindliche interne Regeln für alle Mitarbeitenden | Gesamtdokumentation des KI-Managementsystems |
Zielgruppe | Alle Mitarbeitenden und Führungskräfte | Compliance, IT, Geschäftsführung, Auditoren |
Umfang | 5–15 Seiten (lesbar, praxisnah) | 30–80+ Seiten (umfassend, detailliert) |
Inhalt | Erlaubt/verboten, Rollen, Genehmigungsprozess, Schulungspflichten | Risikoklassifizierung, FRIA, Deployer-Dokumentation, Monitoring, Audit-Protokolle |
AI-Act-Bezug | Art. 4 (AI Literacy), Art. 26 (Deployer-Pflichten, Auszug) | Gesamte Deployer- und ggf. Provider-Pflichten |
Aktualisierung | Mind. jährlich + anlassbezogen | Laufend (bei neuen Systemen, Gesetzesänderungen) |
Praxis-Empfehlung: Starten Sie mit der KI-Richtlinie. Sie ist schneller erstellt, sofort wirksam und deckt die dringendsten Risiken ab. Das Handbuch können Sie parallel oder nachgelagert aufbauen – es braucht die Ergebnisse aus Risikoklassifizierung, Deployer-Dokumentation und FRIA.
Diese 8 Abschnitte gehören in jede KI-Richtlinie
Die folgende Gliederung ist kein theoretisches Modell, sondern ein erprobter Aufbau, der für KMU genauso funktioniert wie für Mittelständler. Jeder Abschnitt hat eine klare Funktion.
1. Zweck und Geltungsbereich
Definieren Sie, warum die Richtlinie existiert und für wen sie konkret gilt. Der Geltungsbereich umfasst alle Mitarbeitenden, Führungskräfte, Werkstudenten, Praktikanten und externe Dienstleister, die im Auftrag des Unternehmens arbeiten. Entscheidend: Benennen Sie explizit, dass die Richtlinie für alle KI-Systeme gilt – nicht nur für ChatGPT.
2. Begriffsbestimmungen
Definieren Sie die zentralen Begriffe: KI-System (im Sinne des AI Act, Art. 3 Nr. 1), generative KI, Deployer, Provider, Hochrisiko-KI, Schatten-KI. Ohne gemeinsames Vokabular reden Ihre Abteilungen aneinander vorbei. Die IT versteht unter „KI“ etwas anderes als die Rechtsabteilung – und die Geschäftsführung etwas Drittes. Verweisen Sie auf das Glossar, wenn vorhanden.
3. Zugelassene und verbotene KI-Systeme
Das Herzstück der Richtlinie: Welche Tools dürfen genutzt werden, welche unter Auflagen, welche gar nicht? Am besten funktioniert ein Ampelsystem (siehe nächster Abschnitt). Halten Sie die Liste als lebendiges Dokument – idealerweise als Anhang zur Richtlinie, der ohne Gesamtrevision aktualisiert werden kann.
4. Rollen und Verantwortlichkeiten
Wer ist KI-Verantwortliche/r (oder AI Officer)? Wer genehmigt neue Tools? Wer ist Ansprechpartner bei Vorfällen? Wer überwacht die Einhaltung der Richtlinie? Für KMU reicht häufig eine Doppelrolle: Die Compliance-Funktion übernimmt die KI-Governance mit. Große Unternehmen sollten eine dedizierte Rolle schaffen. Wichtig: Benennen Sie auch die Verantwortung der Führungskräfte – sie müssen die Richtlinie in ihren Teams durchsetzen und vorleben.
5. Datenschutz und Vertraulichkeit
Regeln Sie, welche Daten in KI-Systeme eingegeben werden dürfen – und welche nicht. Personenbezogene Daten, Geschäftsgeheimnisse, Kundenlisten, Quellcode und strategische Dokumente gehören in die Verbotsliste. Verweisen Sie auf die DSGVO-Vorgaben und die Schnittstelle zum AI Act.
6. Prüf- und Freigabepflichten
KI-Outputs sind niemals final. Legen Sie fest: Wer prüft KI-generierte Inhalte vor der Weitergabe an Kunden oder der Veröffentlichung? Wie wird dokumentiert, dass eine menschliche Prüfung stattgefunden hat? Gilt eine Kennzeichnungspflicht für KI-generierte Inhalte?
7. Schulung und KI-Kompetenz
Art. 4 AI Act verlangt ausreichende KI-Kompetenz. Die Richtlinie muss festlegen: Wer muss geschult werden (Antwort: alle), in welcher Frequenz, mit welchem Nachweis. Details zur Umsetzung finden Sie im Artikel zur AI Literacy nach Art. 4.
8. Geltungsdauer, Überprüfung und Sanktionen
Eine Richtlinie ohne Review-Datum ist wertlos. Legen Sie fest: mindestens jährliche Überprüfung, anlassbezogen bei neuen Tools oder Gesetzesänderungen. Definieren Sie außerdem die Konsequenzen bei Verstößen – von der Ermahnung bis zur arbeitsrechtlichen Maßnahme.
Tipp: Die Gliederung ist ein Startpunkt. Je nach Branche und Unternehmensgröße können einzelne Abschnitte ausführlicher oder kürzer ausfallen. Ein produzierendes KMU mit drei KI-Tools braucht weniger Detail als ein Finanzdienstleister mit 20 Anwendungen.
Erlaubt, eingeschränkt, verboten – wie Sie KI-Nutzung kategorisieren
Ein Ampelsystem ist der einfachste Weg, KI-Nutzung verständlich zu regeln. Ihre Mitarbeitenden sehen auf einen Blick, was gilt – ohne zehn Seiten Richtlinientext lesen zu müssen.
Kategorie | Bedeutung | Beispiele |
|---|---|---|
Erlaubt | Freigegeben für alle, keine Genehmigung nötig | DeepL Pro (Firmenaccount), Microsoft 365 Copilot (Firmenlizenz), Grammarly Business |
Eingeschränkt | Nutzung erlaubt, aber mit Auflagen | ChatGPT (nur Firmenlizenz, keine pers. Daten), Midjourney (nur interne Zwecke, Kennzeichnung), HubSpot KI-Features |
Verboten | Nutzung untersagt, keine Ausnahmen | Private KI-Accounts für Firmendaten, KI-basiertes Mitarbeiter-Scoring ohne Betriebsratseinbindung, ungeprüfte Open-Source-Modelle mit Firmendaten |
Entscheidend ist die Pflege der Liste. Neue Tools tauchen monatlich auf. Ohne einen definierten Genehmigungsprozess veraltet Ihre Ampel-Liste schneller, als Sie sie geschrieben haben.
Der Genehmigungsprozess für neue KI-Tools
Mitarbeitende entdecken ständig neue KI-Tools. Das ist gewünscht – aber es braucht einen Kanal dafür. Ohne definierten Prozess entsteht Schatten-KI. Mit zu viel Bürokratie nutzt niemand den Prozess. Der Mittelweg: ein schlanker Freigabeprozess in vier Schritten.
Antrag: Mitarbeitende/r meldet neues KI-Tool über ein einfaches Formular (Name, Anbieter, Einsatzzweck, Datenarten). Kein 10-seitiges Formular – eine halbe Seite reicht.
Erstprüfung: KI-Verantwortliche/r prüft: Gibt es einen Firmenaccount? Wo werden Daten verarbeitet (EU/Drittland)? Gibt es ein Data Processing Agreement? Fallen personenbezogene Daten an?
Risikoklasse bestimmen: Ist das Tool ein Hochrisiko-System nach Anhang III? Falls ja: erweiterte Prüfung inklusive FRIA-Bewertung. Falls nein: vereinfachtes Verfahren.
Freigabe und Eintragung: Tool wird in die Ampel-Liste aufgenommen, Nutzungsbedingungen dokumentiert, betroffene Mitarbeitende informiert. Das KI-Inventar wird aktualisiert.
Zeitrahmen: Für Tools ohne Hochrisiko-Einstufung sollte der gesamte Prozess innerhalb von 5 Arbeitstagen abgeschlossen sein. Dauert es länger, umgehen Mitarbeitende den Prozess – garantiert.
Die Schnittstelle zur DSGVO
KI-Richtlinie und Datenschutz sind keine getrennten Welten. Jedes KI-System, das personenbezogene Daten verarbeitet, unterliegt der DSGVO – zusätzlich zum AI Act. Die KI-Richtlinie muss daher mindestens drei DSGVO-Aspekte adressieren:
Rechtsgrundlage: Für jede KI-basierte Verarbeitung personenbezogener Daten brauchen Sie eine gültige Rechtsgrundlage nach Art. 6 DSGVO. Ergänzen Sie dies im Genehmigungsprozess.
Transparenzpflicht: Betroffene müssen wissen, dass und wie ihre Daten durch KI verarbeitet werden. Art. 50 AI Act und Art. 13/14 DSGVO überlappen sich hier – aber ersetzen einander nicht.
Auftragsverarbeitung: Wenn ein KI-Anbieter personenbezogene Daten in Ihrem Auftrag verarbeitet, brauchen Sie einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO. Das gilt für nahezu jedes Cloud-basierte KI-Tool.
Praxis-Hinweis: Viele Unternehmen haben bereits Datenschutzrichtlinien. Erstellen Sie keine Parallelwelt, sondern verweisen Sie aus der KI-Richtlinie auf bestehende Datenschutzregelungen – und ergänzen Sie nur die KI-spezifischen Aspekte. Doppelte Regelwerke führen zu Widersprüchen und Verwirrung.
Eine ausführliche Gegenüberstellung der beiden Regelwerke finden Sie im Artikel AI Act und DSGVO: Die Schnittstelle für Compliance Officer.
5 typische Fehler bei KI-Richtlinien – und wie Sie sie vermeiden
Fehler 1: Nur ChatGPT regeln, eingebettete KI vergessen
Die meisten Richtlinien fokussieren auf generative KI-Tools wie ChatGPT oder Midjourney. Dabei steckt KI längst in Standardsoftware: Personio nutzt KI für Stellenausschreibungen, HubSpot für Lead Scoring, Microsoft 365 Copilot für Textvorschläge, Spamfilter für E-Mail-Klassifizierung. Wenn Ihre Richtlinie nur „KI-Tools“ adressiert, lassen Sie die eingebettete KI außen vor – und damit den größten blinden Fleck.
Lösung: Definieren Sie „KI-System“ weit genug. Nutzen Sie Ihr KI-Inventar als Grundlage – dort sind auch eingebettete Systeme erfasst.
Fehler 2: Richtlinie geschrieben, aber nie kommuniziert
Eine KI-Richtlinie, die im Intranet verstaubt, ändert nichts. Überraschend viele Unternehmen investieren Wochen in die Erstellung – und vergessen die Einführung. Ohne Kommunikation, ohne Schulung, ohne Führungskräfte, die das Thema vorleben, bleibt die Richtlinie Papier. Im schlimmsten Fall schadet sie sogar: Das Unternehmen hat formal eine Richtlinie, aber niemand hält sich daran – und bei einem Vorfall wird genau das zum Problem.
Lösung: Integrieren Sie die KI-Richtlinie in bestehende Onboarding- und Schulungsprozesse. Machen Sie sie Teil der AI-Literacy-Schulung nach Art. 4.
Fehler 3: Zu restriktiv – alles verboten
Manche Unternehmen reagieren auf die Unsicherheit mit einem Pauschalverbot: „Keine KI-Nutzung bis auf Weiteres.“ Das erzeugt zwei Probleme. Erstens nutzen Mitarbeitende KI trotzdem – nur eben unkontrolliert. Zweitens verliert das Unternehmen den Produktivitätsvorteil, den Wettbewerber längst nutzen.
Lösung: Ampelsystem statt Pauschalverbot. Erlauben Sie kontrollierte Nutzung mit klaren Leitplanken. Das Signal: „Wir wollen, dass ihr KI nutzt – aber richtig.“
Fehler 4: Keinen Genehmigungsprozess für neue Tools
Neue KI-Tools erscheinen wöchentlich. Ohne definierten Prozess entsteht ein Dilemma: Entweder wartet jeder auf eine Genehmigung, die nie kommt, oder jeder installiert, was gerade nützlich erscheint. Beides ist schlecht.
Lösung: Der schlanke 4-Schritte-Prozess aus dem vorherigen Abschnitt. Wichtig: Definieren Sie eine maximale Bearbeitungszeit (z.B. 5 Arbeitstage), damit der Prozess nicht zum Flaschenhals wird.
Fehler 5: Richtlinie als einmaliges Projekt behandeln
Der AI Act tritt stufenweise in Kraft, KI-Tools entwickeln sich rasant, und Ihre eigene KI-Nutzung verändert sich. Eine Richtlinie vom Stand März 2026 ist im September 2026 bereits veraltet, wenn Ihr Unternehmen in der Zwischenzeit fünf neue Tools einführt. Genau deshalb scheitern die meisten KI-Richtlinien nicht an der Erstellung, sondern an der Pflege.
Lösung: Fester Review-Zyklus (mindestens jährlich) plus anlassbezogene Aktualisierung. Koppeln Sie die Richtlinien-Überprüfung an Ihr KI-Compliance Monitoring.
Eine KI-Richtlinie ist kein Verbotsschild – sie ist eine Betriebsanleitung. Je praxisnäher sie formuliert ist, desto eher wird sie gelebt. Je restriktiver, desto sicherer landet sie in der Schublade.
So starten Sie: Die nächsten drei Schritte
KI-Inventar prüfen: Stellen Sie sicher, dass Sie alle KI-Systeme im Unternehmen erfasst und klassifiziert haben. Die Richtlinie baut darauf auf.
Gliederung aufsetzen: Nutzen Sie die 8 Abschnitte aus diesem Artikel als Vorlage. Passen Sie Umfang und Detailtiefe an Ihre Unternehmensgröße an. Ein KMU mit 50 Mitarbeitenden braucht 5–8 Seiten, nicht 30.
Stakeholder einbinden: Holen Sie IT, Datenschutz und – falls vorhanden – den Betriebsrat frühzeitig an den Tisch. Die Richtlinie braucht die Zustimmung und das Verständnis aller Beteiligten, nicht nur der Compliance-Abteilung. Besonders beim Betriebsrat gilt: Frühzeitige Einbindung spart spätere Blockaden. Wenn KI-Systeme Mitarbeiterverhalten oder Leistung bewerten können (z.B. Personio, HR-Analytics), besteht Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG.
Sie möchten nicht bei null anfangen? Die KI-Richtlinie der ComplianceWerkstatt liefert Ihnen ein fertig vorformuliertes Dokument mit allen 8 Abschnitten, Ampelsystem, Genehmigungsprozess und Platzhaltern für Ihre Unternehmensdaten. Öffnen, anpassen, freigeben – fertig.
Die KI-Richtlinie ist auch Teil des AI Act Aufbau-Bundles – zusammen mit KI-Inventar, Risikoklassifizierung, Deployer-Dokumentation, FRIA-Template, Schulungskonzept, Prüfkatalog und mehr. Über 35 % Ersparnis gegenüber dem Einzelkauf.
Die KI-Richtlinie ist der Baustein, der Ihre KI-Governance für alle sichtbar macht. Sie verbindet das KI-Inventar (was haben wir?) mit der Risikoklassifizierung (wie kritisch ist es?) und der AI Literacy (verstehen die Mitarbeitenden es?). Ohne Richtlinie bleiben alle drei Bausteine lose Fäden. Mit Richtlinie wird daraus ein System.
Die ausführliche Anleitung zum gesamten Umsetzungsprozess finden Sie im Pillar-Artikel: EU AI Act für KMU – Der vollständige Umsetzungsleitfaden 2026.
Passende Produkte zum Thema
EU AI Act Aufbau-Bundle
Komplettpaket zur Umsetzung des EU AI Act – von der KI-Inventarisierung bis zum Management Report. 9 aufeinander abgestimmte Dokumente in 5 Phasen. Stichtag 2. August 2026.
EU AI Act: KI-Richtlinie / AI Governance Policy
Fertig formulierte interne KI-Richtlinie: Erlaubte/verbotene Anwendungen, Genehmigungsprozess, Datenschutz-Schnittstelle, Meldepflichten. Gelbe Platzhalter ausfüllen und in Kraft setzen.
EU AI Act: Awareness Schulungspräsentation
Fertige Mitarbeiter-Awareness-Schulung zum EU AI Act (PowerPoint, 30+ Slides). Speaker Notes, Wissensfragen, für Präsenzschulung und E-Learning geeignet.
Marvin Zimbelmann
Head of Governance, Risk & Compliance · MBA-Dozent · Podcast-Host
Auf LinkedIn vernetzen →