KI-Richtlinie für Unternehmen: Vorlage und Muster-Inhalte

Das Wichtigste in Kürze

• Eine KI-Richtlinie (auch: KI-Policy) legt verbindlich fest, wie Mitarbeiter KI-Tools im Unternehmen nutzen dürfen -- und wie nicht.
• Der AI Act (VO (EU) 2024/1689) verlangt über Art. 4 und Art. 26 organisatorische Maßnahmen, die eine schriftliche Richtlinie praktisch unverzichtbar machen.
• Ohne Policy drohen unkontrollierte Schatten-KI, Datenschutzverstöße und fehlende Nachweise bei Behördenprüfungen.
• Eine gute Richtlinie umfasst mindestens 12 Kapitel -- von Geltungsbereich über zugelassene Tools bis zu Schulungspflichten.
• In mitbestimmungspflichtigen Unternehmen ist der Betriebsrat zwingend einzubinden (§ 87 Abs. 1 Nr. 6 BetrVG).
• Dieser Artikel liefert eine vollständige Muster-Gliederung mit konkreten Formulierungshilfen zum sofortigen Einsatz.

ChatGPT, Microsoft Copilot, Midjourney, Claude -- in den meisten Unternehmen nutzen Mitarbeiter längst KI-Tools. Häufig geschieht das ohne Wissen der IT-Abteilung, ohne Freigabe der Rechtsabteilung und ohne jede Dokumentation. Das Resultat: Schatten-KI, die weder steuerbar noch auditfähig ist.

Eine KI-Richtlinie schafft den Rahmen, den Unternehmen brauchen, um KI-Nutzung produktiv und rechtskonform zu gestalten. In diesem Artikel erfahren Sie, warum eine solche Richtlinie notwendig ist, welche Inhalte sie abdecken muss und wie eine praxistaugliche Gliederung aussieht. Zusätzlich liefern wir konkrete Formulierungshilfen, die Sie direkt übernehmen können.

Warum jedes Unternehmen eine KI-Richtlinie braucht

1. Der AI Act verlangt organisatorische Maßnahmen

Mit der Verordnung (EU) 2024/1689 -- dem AI Act -- hat die Europäische Union den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz geschaffen. Zwei Artikel sind für die interne KI-Richtlinie besonders relevant:

• Art. 4 (KI-Kompetenzpflicht): Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ein „ausreichendes Maß an KI-Kompetenz" verfügt. Eine schriftliche Richtlinie ist der natürliche Ausgangspunkt, um diese Pflicht organisatorisch zu verankern -- sie definiert, welche Kenntnisse erwartet werden und wie Schulungen ablaufen.

• Art. 26 (Betreiberpflichten): Betreiber von Hochrisiko-KI-Systemen müssen geeignete technische und organisatorische Maßnahmen treffen, um die Systeme bestimmungsgemäß zu nutzen. Aber auch wer ausschließlich KI-Systeme mit geringem Risiko einsetzt, profitiert von einer klaren Governance-Struktur: Sie zeigt bei Prüfungen, dass das Unternehmen seiner Sorgfaltspflicht nachkommt.

2. Die DSGVO fordert Verantwortlichkeit

Art. 24 VO (EU) 2016/679 (DSGVO) verpflichtet den Verantwortlichen, geeignete technische und organisatorische Maßnahmen umzusetzen, um sicherzustellen, dass die Verarbeitung personenbezogener Daten im Einklang mit der Verordnung erfolgt. Sobald KI-Tools personenbezogene Daten verarbeiten -- und das passiert schneller, als viele denken -- wird die KI-Richtlinie zum festen Bestandteil des Datenschutz-Managementsystems.

3. Schatten-KI verhindern

Studien zeigen, dass in vielen Unternehmen mehr als die Hälfte der KI-Nutzung ohne offizielle Freigabe erfolgt. Mitarbeiter kopieren Kundendaten in ChatGPT, lassen Verträge von KI-Tools zusammenfassen oder nutzen KI-generierte Texte in der Kundenkommunikation -- ohne dass jemand davon weiß. Eine KI-Richtlinie macht deutlich, welche Tools erlaubt sind, wie sie genutzt werden dürfen und wo die Grenzen liegen. Das reduziert Schatten-KI und schafft Transparenz.

4. Haftungsrisiken minimieren

Fehlerhafte KI-Outputs können Vertragsrisiken, Reputationsschäden oder Diskriminierungsklagen auslösen. Wer nachweisen kann, dass klare Regeln existieren, Mitarbeiter geschult wurden und Kontrollmechanismen greifen, steht im Haftungsfall deutlich besser da als ein Unternehmen ohne jede Governance.

Die Muster-Gliederung: 12 Kapitel für Ihre KI-Richtlinie

Die folgende Gliederung bildet das Grundgerüst einer vollständigen KI-Richtlinie. Je nach Unternehmensgröße, Branche und Risikoexposition können einzelne Kapitel erweitert oder zusammengefasst werden.

Kapitel 1: Zweck und Geltungsbereich

• Zielsetzung: Beschreiben Sie, warum die Richtlinie existiert -- etwa um rechtskonformen, sicheren und produktiven KI-Einsatz zu gewährleisten.
• Persönlicher Geltungsbereich: Legen Sie fest, für wen die Richtlinie gilt: alle Mitarbeiter, Führungskräfte, Freelancer, externe Dienstleister, Praktikanten.
• Sachlicher Geltungsbereich: Definieren Sie, welche Technologien erfasst sind -- generative KI, prädiktive Modelle, automatisierte Entscheidungssysteme.

Kapitel 2: Begriffsbestimmungen

• KI-System: Übernehmen Sie die Legaldefinition aus Art. 3 Nr. 1 VO (EU) 2024/1689, um Konsistenz mit dem regulatorischen Rahmen sicherzustellen.
• Weitere Schlüsselbegriffe: Definieren Sie „KI-generierter Output", „Prompt", „Training", „Feinabstimmung" und „KI-gestützte Entscheidung" im Kontext Ihres Unternehmens.
• Abgrenzung: Klären Sie, welche Software-Werkzeuge nicht als KI-Systeme im Sinne der Richtlinie gelten (z. B. regelbasierte Automatisierungen, einfache Suchfunktionen).

Kapitel 3: Grundsätze der KI-Nutzung

• Transparenz: KI-generierte Inhalte müssen als solche erkennbar sein -- intern wie extern.
• Menschliche Kontrolle: Kein KI-Output darf ohne menschliche Prüfung an Kunden, Behörden oder Vertragspartner weitergegeben werden.
• Fairness und Nichtdiskriminierung: KI-Tools dürfen nicht für Entscheidungen eingesetzt werden, die einzelne Personen oder Gruppen diskriminieren könnten, ohne dass angemessene Prüfmechanismen existieren.

Kapitel 4: Zugelassene KI-Tools

• Tool-Whitelist: Listen Sie namentlich die KI-Tools auf, die im Unternehmen freigegeben sind (z. B. ChatGPT Enterprise, Microsoft Copilot, unternehmensinterne LLMs).
• Freigabeprozess: Beschreiben Sie das Verfahren, über das neue Tools beantragt, geprüft und genehmigt werden -- inklusive Datenschutz-Folgenabschätzung und IT-Sicherheitsprüfung.
• Lizenz- und Vertragsbedingungen: Weisen Sie darauf hin, dass nur Unternehmenslizenzen verwendet werden dürfen -- keine privaten Accounts für geschäftliche Zwecke.

Kapitel 5: Verbotene Nutzungsweisen

• Kategorische Verbote: Definieren Sie klar, was unter keinen Umständen erlaubt ist -- z. B. Eingabe von Geschäftsgeheimnissen, personenbezogenen Daten oder Quellcode in öffentlich zugängliche KI-Systeme.
• Hochrisiko-Szenarien: Untersagen Sie KI-gestützte automatisierte Einzelentscheidungen in sensiblen Bereichen (Personalauswahl, Kreditvergabe, Gesundheit) ohne vorherige rechtliche Prüfung und Freigabe.
• Täuschungsverbot: Verbieten Sie den Einsatz von KI zur Erzeugung manipulativer Inhalte (Deepfakes, gefälschte Rezensionen, irreführende Kommunikation).

Kapitel 6: Datenschutz und Vertraulichkeit

• Personenbezogene Daten: Kein Upload personenbezogener Daten in KI-Systeme ohne vorherige Rechtsgrundlage (Art. 6 DSGVO) und Prüfung der Auftragsverarbeitungsverträge.
• Vertraulichkeitsstufen: Definieren Sie, welche Informationskategorien (öffentlich, intern, vertraulich, streng vertraulich) in welche KI-Tools eingegeben werden dürfen.
• Drittlandtransfer: Weisen Sie auf die besonderen Anforderungen bei KI-Diensten hin, die Daten außerhalb der EU/des EWR verarbeiten (Kapitel V DSGVO).

Kapitel 7: Qualitätssicherung und menschliche Kontrolle

• Review-Pflicht: Legen Sie fest, dass KI-generierte Ergebnisse vor Verwendung stets von einer fachlich qualifizierten Person geprüft werden müssen.
• Vier-Augen-Prinzip: Bestimmen Sie, für welche Anwendungsfälle eine zweite Prüfung erforderlich ist (z. B. Rechtstexte, Finanzberichte, Kundenanschreiben).
• Fehlerbehandlung: Beschreiben Sie, wie mit fehlerhaften KI-Outputs umzugehen ist -- Meldepflicht, Eskalation, Korrekturdokumentation.

Kapitel 8: Dokumentation und Nachweispflichten

• Nutzungsprotokolle: Definieren Sie, welche KI-Interaktionen dokumentiert werden müssen -- mindestens bei geschäftskritischen Entscheidungen und in regulierten Bereichen.
• Aufbewahrungsfristen: Orientieren Sie sich an den Vorgaben des AI Acts (Art. 26 Abs. 6: Aufbewahrung der Protokolle für mindestens sechs Monate) und an branchenspezifischen Anforderungen.
• Audit-Fähigkeit: Stellen Sie sicher, dass die Dokumentation so aufgebaut ist, dass sie bei Behördenanfragen oder internen Audits zeitnah vorgelegt werden kann.

Kapitel 9: Verantwortlichkeiten und Rollen

• KI-Beauftragter / AI Governance Officer: Benennen Sie eine zentrale Ansprechperson, die die Einhaltung der Richtlinie überwacht und als Schnittstelle zu Datenschutz, Compliance und Geschäftsführung fungiert.
• Fachabteilungen: Klären Sie, welche Abteilung für die Freigabe von Tools zuständig ist, wer Schulungen koordiniert und wer Vorfälle bearbeitet.
• Geschäftsführung: Verankern Sie die Letztverantwortung auf Leitungsebene -- das stärkt die Verbindlichkeit der Richtlinie und entspricht der Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO.

Kapitel 10: Schulung und Sensibilisierung

• Pflichtschulungen: Definieren Sie, dass alle Mitarbeiter vor der Nutzung von KI-Tools eine Grundschulung absolvieren müssen -- dies erfüllt gleichzeitig die Anforderungen aus Art. 4 AI Act.
• Rollenspezifische Vertiefung: Legen Sie fest, welche Funktionen (z. B. HR, Rechtsabteilung, Produktentwicklung) vertiefende Schulungen benötigen.
• Regelmäßige Auffrischung: Bestimmen Sie einen Turnus für Wiederholungsschulungen -- empfohlen ist mindestens einmal jährlich oder bei wesentlichen Änderungen der Richtlinie.

Kapitel 11: Verstöße und Konsequenzen

• Meldewege: Beschreiben Sie, wie Verstöße gemeldet werden können -- idealerweise über einen niedrigschwelligen, vertraulichen Kanal.
• Sanktionsrahmen: Verweisen Sie auf die arbeitsrechtlichen Konsequenzen bei Richtlinienverstößen (Ermahnung, Abmahnung, im Wiederholungsfall Kündigung).
• Haftungshinweis: Weisen Sie darauf hin, dass Verstöße auch persönliche Haftungsrisiken begründen können -- insbesondere bei vorsätzlicher Missachtung von Datenschutzregeln.

Kapitel 12: Inkrafttreten und Aktualisierung

• Versionierung: Führen Sie eine Versionsnummer und ein Änderungsprotokoll, damit jederzeit nachvollziehbar ist, welche Fassung galt.
• Überprüfungszyklus: Legen Sie einen festen Rhythmus fest (z. B. halbjährlich), in dem die Richtlinie auf Aktualität geprüft wird -- die KI-Landschaft entwickelt sich rasant.
• Änderungsverfahren: Definieren Sie, wer Änderungen vorschlagen, genehmigen und kommunizieren darf.

Formulierungshilfen: Konkrete Textbausteine

Die folgenden Beispielformulierungen können Sie direkt in Ihre KI-Richtlinie übernehmen und an Ihre Gegebenheiten anpassen.

Geltungsbereich (Kapitel 1)

„Diese Richtlinie gilt für alle Beschäftigten der [Firma] GmbH einschließlich Geschäftsführung, Auszubildende, Praktikanten, Leiharbeitnehmer sowie externe Dienstleister und Freelancer, soweit sie im Rahmen ihrer Tätigkeit für das Unternehmen KI-Systeme im Sinne von Art. 3 Nr. 1 VO (EU) 2024/1689 einsetzen oder deren Ergebnisse verwenden."

Verbotene Nutzung (Kapitel 5)

„Es ist untersagt, personenbezogene Daten im Sinne von Art. 4 Nr. 1 DSGVO, Geschäftsgeheimnisse im Sinne von § 2 GeschGehG, unveröffentlichten Quellcode oder vertrauliche Vertragsunterlagen in KI-Systeme einzugeben, die nicht auf der freigegebenen Tool-Liste (Anhang A) stehen. Dies gilt unabhängig davon, ob die Eingabe über eine Weboberfläche, API oder ein integriertes Plugin erfolgt."

Menschliche Kontrolle (Kapitel 7)

„KI-generierte Ergebnisse dürfen nicht ungeprüft als Grundlage für Entscheidungen, Kundenkommunikation oder Dokumente mit rechtlicher Relevanz verwendet werden. Jeder KI-Output muss vor Weitergabe oder Veröffentlichung von einer fachlich zuständigen Person auf sachliche Richtigkeit, Vollständigkeit und mögliche Verzerrungen (Bias) geprüft werden."

Schulungspflicht (Kapitel 10)

„Alle Mitarbeiter, die KI-Systeme nutzen oder deren Ergebnisse in ihrer Arbeit verwenden, sind verpflichtet, innerhalb von [30] Tagen nach Inkrafttreten dieser Richtlinie die KI-Grundschulung zu absolvieren. Der Abschluss wird dokumentiert und jährlich aufgefrischt. Ohne absolvierte Schulung ist die Nutzung von KI-Tools untersagt."

Betriebsrat einbinden: Mitbestimmung nach § 87 BetrVG

Viele Unternehmen unterschätzen, dass die Einführung einer KI-Richtlinie ein mitbestimmungspflichtiger Vorgang sein kann. § 87 Abs. 1 Nr. 6 BetrVG gibt dem Betriebsrat ein Mitbestimmungsrecht bei der „Einführung und Anwendung von technischen Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen".

Wann greift das Mitbestimmungsrecht?

KI-Tools erfassen in vielen Fällen Nutzungsdaten -- Prompts, Bearbeitungszeiten, Häufigkeit der Nutzung. Auch wenn keine aktive Überwachung beabsichtigt ist, reicht die objektive Eignung zur Verhaltens- oder Leistungskontrolle aus, um das Mitbestimmungsrecht auszulösen. Das BAG hat diesen Maßstab in ständiger Rechtsprechung bestätigt.

Praxisempfehlung

• Frühzeitig einbinden: Informieren Sie den Betriebsrat nicht erst, wenn die Richtlinie fertig ist, sondern beziehen Sie ihn bereits in die Erarbeitung ein.
• Betriebsvereinbarung prüfen: In vielen Fällen empfiehlt es sich, die KI-Richtlinie als Anlage zu einer Betriebsvereinbarung zu gestalten -- das schafft Rechtssicherheit für beide Seiten.
• Regelungsabrede vermeiden: Eine bloße Regelungsabrede bietet weniger Rechtssicherheit als eine förmliche Betriebsvereinbarung und kann einseitig widerrufen werden.
• Schulungen einbeziehen: Auch die Durchführung von Pflichtschulungen kann mitbestimmungspflichtig sein, wenn sie in die Arbeitsorganisation eingreift.

5 häufige Fehler bei KI-Richtlinien

Fehler 1: Zu vage formulieren

Sätze wie „KI soll verantwortungsvoll genutzt werden" klingen gut, geben aber keine Handlungsanweisung. Mitarbeiter brauchen konkrete Regeln: Welche Tools? Welche Daten? Welche Prüfschritte? Eine wirksame Richtlinie ist spezifisch genug, um im Alltag anwendbar zu sein.

Fehler 2: Nur Verbote aufstellen

Eine Richtlinie, die ausschließlich aus Verboten besteht, wird von Mitarbeitern als hinderlich empfunden -- und umgangen. Besser: Erlaubte Nutzungsszenarien positiv beschreiben und die Vorteile hervorheben. Verbote dort setzen, wo sie wirklich nötig sind.

Fehler 3: Einmal schreiben und vergessen

Die KI-Landschaft verändert sich in Monaten stärker als klassische Regulierungsbereiche in Jahren. Eine KI-Richtlinie, die nicht regelmäßig aktualisiert wird, ist schnell überholt. Definieren Sie einen Überprüfungszyklus und benennen Sie eine verantwortliche Person.

Fehler 4: Den Betriebsrat übergehen

Wird die Richtlinie ohne Beteiligung des Betriebsrats eingeführt, obwohl ein Mitbestimmungsrecht besteht, ist die Maßnahme rechtswidrig und kann vom Betriebsrat im Beschlussverfahren angegriffen werden. Im schlimmsten Fall muss die Richtlinie komplett zurückgezogen werden.

Fehler 5: Keine Schulung zur Richtlinie durchführen

Die beste Richtlinie nützt nichts, wenn sie niemand kennt. Stellen Sie sicher, dass jeder Mitarbeiter die Richtlinie nicht nur erhält, sondern ihren Inhalt versteht. Eine dokumentierte Schulung erfüllt gleichzeitig die KI-Kompetenzpflicht nach Art. 4 AI Act.

Häufig gestellte Fragen (FAQ)

Braucht jedes Unternehmen eine KI-Richtlinie?

Gesetzlich gibt es keine explizite Pflicht, ein Dokument namens „KI-Richtlinie" zu führen. Faktisch ist eine schriftliche Richtlinie jedoch der effektivste Weg, die organisatorischen Pflichten aus dem AI Act (insbesondere Art. 4 und Art. 26) und der DSGVO (Art. 24) nachweisbar zu erfüllen. Wer auf KI-Nutzung im Unternehmen nicht mit klaren Regeln reagiert, geht ein erhebliches Compliance-Risiko ein.

Wie umfangreich sollte die Richtlinie sein?

Das hängt von Unternehmensgröße und Risikoexposition ab. Für ein mittelständisches Unternehmen mit 50 bis 500 Mitarbeitern sind 10 bis 20 Seiten ein guter Richtwert -- kompakt genug, um gelesen zu werden, aber detailliert genug, um konkrete Handlungsanweisungen zu geben. Ergänzende Anhänge (Tool-Liste, Formulare, Checklisten) können den Umfang bei Bedarf erweitern.

Kann ich ChatGPT nutzen, um die Richtlinie zu schreiben?

Grundsätzlich ja -- aber mit Vorsicht. KI-Tools können bei der Strukturierung und Formulierung helfen. Die rechtliche Prüfung, die Anpassung an Ihr Unternehmen und die finale Freigabe sollten jedoch durch fachkundige Personen erfolgen. KI-generierte Rechtstexte enthalten regelmäßig sachliche Fehler, erfundene Normen oder veraltete Rechtsstände, die ohne Fachkenntnis nicht auffallen.

Wie oft muss die Richtlinie aktualisiert werden?

Ein fester Überprüfungszyklus von sechs Monaten ist empfehlenswert. Darüber hinaus sollte eine anlassbezogene Aktualisierung erfolgen, wenn neue KI-Tools eingeführt werden, sich die Rechtslage ändert (z. B. durch neue Durchführungsrechtsakte zum AI Act) oder Vorfälle auftreten, die eine Anpassung erfordern.

Reicht eine KI-Richtlinie aus, um alle Pflichten nach dem AI Act zu erfüllen?

Nein. Die Richtlinie ist ein zentrales Element, aber nicht das einzige. Daneben brauchen Sie je nach Risikoklasse der eingesetzten KI-Systeme unter anderem: ein KI-Inventar, dokumentierte Risikoanalysen, Schulungsnachweise, ein Monitoring-Konzept und gegebenenfalls eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO. Die KI-Richtlinie bildet das Dach, unter dem diese Einzelmaßnahmen zusammenlaufen.

Nächster Schritt: Ihre KI-Richtlinie professionell umsetzen

Eine KI-Richtlinie zu erstellen ist kein Projekt, das sich auf die lange Bank schieben lässt. Die KI-Kompetenzpflicht nach Art. 4 AI Act gilt bereits seit dem 2. Februar 2025 -- und Aufsichtsbehörden erwarten, dass Unternehmen nachweisbare Governance-Strukturen vorhalten.

Die Muster-Gliederung in diesem Artikel gibt Ihnen ein solides Grundgerüst. Für die Umsetzung brauchen Sie jedoch mehr als eine Vorlage: Sie brauchen Schulungen, die Ihre Mitarbeiter tatsächlich befähigen, KI-Tools rechtskonform einzusetzen -- und die Dokumentation, die das im Ernstfall auch belegt.

KI Comply unterstützt Sie dabei. Unsere Schulungsplattform vermittelt KI-Kompetenz gemäß Art. 4 AI Act, dokumentiert den Fortschritt automatisch und liefert revisionssichere Nachweise. So wird Ihre KI-Richtlinie nicht nur ein Papiertiger, sondern gelebte Praxis.

Jetzt kostenlos testen und KI-Kompetenzpflicht erfüllen →