- Eine interne KI-Richtlinie regelt, wie Mitarbeiter KI-Tools nutzen dürfen
- Sie schützt vor Datenlecks, Compliance-Verstößen und Schatten-KI
- Laut Bitkom nutzen 36% der deutschen Unternehmen bereits KI – oft ohne klare Regeln
- Die Richtlinie hilft, die KI-Kompetenz-Pflicht nach Art. 4 zu erfüllen
- Ihr braucht keine 50 Seiten – 2-4 Seiten reichen für KMU völlig aus
Warum braucht ihr eine KI-Richtlinie?
In vielen KMU nutzen Mitarbeiter bereits KI-Tools – oft auf eigene Faust.
ChatGPT für E-Mails, Copilot für Code, Midjourney für Grafiken.
Ohne klare Regeln entsteht Schatten-KI: KI-Nutzung, von der die Geschäftsführung nichts weiß.
Das bedeutet für euch: Solange eure Leute KI wild nutzen, habt ihr keine Kontrolle über Risiken. Eine Richtlinie gibt Sicherheit – für beide Seiten.
Was dabei schiefgehen kann:
- Datenlecks: Bei Samsung haben Mitarbeiter vertraulichen Quellcode in ChatGPT eingegeben – die Daten landeten im Trainingsmaterial von OpenAI
- DSGVO-Verstöße: Kundendaten in einem KI-Tool ohne Auftragsverarbeitungsvertrag verarbeitet
- Qualitätsprobleme: KI-generierte Texte mit Fehlern ungeprüft an Kunden geschickt
- Haftungsrisiken: Wer haftet, wenn eine KI-basierte Entscheidung Schaden verursacht?
Das bedeutet für euch: Ohne Richtlinie riskierst ihr DSGVO-Bußgelder und Kundenverlust. Mit Richtlinie hast ihr klare Regeln – und Mitarbeiter wissen, was OK ist und was nicht.
Eine KI-Richtlinie ist kein bürokratisches Monster. Sie gibt Mitarbeitern Sicherheit – und schützt euer Unternehmen.
Was gehört in eine KI-Richtlinie?
Eure Richtlinie muss nicht lang sein.
2-4 Seiten reichen.
Aber sie sollte diese sieben Punkte abdecken:
Das bedeutet für euch: Keine 50-Seiten-Mammutkompilation. Kurz, klar, umsetzbar. Berater-Kosten gespart: 2.000-4.000 Euro für eine externe Richtlinien-Erstellung.
1. Geltungsbereich
Für wen gilt die Richtlinie? Für alle, die KI-Tools beruflich nutzen – inklusive Freelancer und externe Dienstleister.
- Alle Mitarbeiter (Festangestellte, Teilzeit, Auszubildende)
- Freelancer und externe Dienstleister
- Geschäftsführung und Führungskräfte
2. Erlaubte und verbotene KI-Tools
Legt fest, welche Tools im Unternehmen genutzt werden dürfen.
Und welche nicht.
Das bedeutet für euch: Die Tool-Liste sollte nicht dogmatisch sein. Erlaubt, was sicher ist. Verbietet nur, was wirklich riskant ist. Macht es den Leuten einfach, die richtigen Tools zu nutzen.
| Kategorie | Beispiel | Hinweis |
|---|---|---|
| Freigegeben | Microsoft Copilot (365-Lizenz) | AV-Vertrag vorhanden, Daten in EU |
| Freigegeben | DeepL Pro | AV-Vertrag vorhanden |
| Eingeschränkt | ChatGPT (Team-Lizenz) | Keine Kundendaten eingeben |
| Nicht erlaubt | ChatGPT (kostenlose Version) | Kein AV-Vertrag, Daten werden zum Training genutzt |
3. Regeln für den Umgang mit Daten
Der kritischste Punkt.
Definiert klare Grenzen, was in KI-Tools eingegeben werden darf:
Das bedeutet für euch: Dieser Punkt ist der wichtigste. Hier passieren die meisten Fehler – und hier ist der Schaden am größten. Macht die Regeln glasklar und testet sie im Team.
| Datentyp | Erlaubt? | Beispiel |
|---|---|---|
| Allgemeine Fragen | Ja | "Schreibe eine E-Mail-Vorlage für Urlaubsanträge" |
| Öffentliche Informationen | Ja | "Fasse die DSGVO-Pflichten zusammen" |
| Interne Dokumente | Nur mit freigegebenen Tools | Internes Protokoll zusammenfassen |
| Personenbezogene Daten | Nein | Kundennamen, E-Mails, Adressen |
| Geschäftsgeheimnisse | Nein | Quellcode, Preiskalkulationen, Patente |
4. Qualitätssicherung
KI-Tools machen Fehler. Halluzinationen, falsche Fakten, unpassende Formulierungen – alles kommt vor. Deshalb braucht ihr klare Regeln für die Qualitätsprüfung:
- Vier-Augen-Prinzip: KI-generierte Inhalte für Kunden immer von einem Menschen prüfen lassen
- Faktencheck: Zahlen, Daten und Rechtsaussagen immer verifizieren
- Quellenangabe: KI-generierte Texte nicht als eigene Recherche ausgeben
- Kritisches Denken: KI-Vorschläge hinterfragen, nicht blind übernehmen
5. Transparenz und Kennzeichnung
Wann müsst ihr offenlegen, dass KI im Spiel war?
- Gegenüber Kunden: Wenn KI direkt mit ihnen interagiert (z.B. Chatbot) – Pflicht nach Art. 50 KI-Verordnung
- Gegenüber Geschäftspartnern: Wenn KI wesentlich zum Ergebnis beigetragen hat – empfohlen
- Intern: KI-generierte Entwürfe als solche markieren
→ Mehr zur Transparenzpflicht nach Art. 50
6. Verantwortlichkeiten
Legt fest, wer für was zuständig ist:
| Rolle | Verantwortung |
|---|---|
| Geschäftsführung | Freigabe der Richtlinie, Gesamtverantwortung |
| KI-Verantwortliche/r | Neue Tools prüfen, Schulungen organisieren, Ansprechpartner |
| Datenschutzbeauftragte/r | AV-Verträge prüfen, DSGVO-Konformität sicherstellen |
| Alle Mitarbeiter | Richtlinie einhalten, Verstöße melden, Schulungen wahrnehmen |
7. Schulung und Aktualisierung
Eine Richtlinie, die keiner kennt, bringt nichts. Plant:
- Erstschulung bei Einführung der Richtlinie
- Onboarding: Neue Mitarbeiter werden eingewiesen
- Jährliche Auffrischung – das erfüllt gleichzeitig die KI-Kompetenz-Pflicht nach Art. 4
- Aktualisierung der Richtlinie bei neuen Tools oder gesetzlichen Änderungen
→ Mehr zur KI-Kompetenz-Pflicht nach Art. 4
Praxis-Beispiel: Die Müller GmbH
Die Müller GmbH (25 Mitarbeiter, Maschinenbau) hat ihre KI-Richtlinie in einem Nachmittag erstellt.
So hat sie es gemacht:
Ausgangslage:
- 8 von 25 Mitarbeitern nutzen regelmäßig KI-Tools
- Keine klaren Regeln – jeder nutzt, was er will
- Ein Mitarbeiter hat Kundendaten in die kostenlose ChatGPT-Version eingegeben
Die Umsetzung:
| Schritt | Was | Aufwand |
|---|---|---|
| 1 | KI-Inventar erstellt (welche Tools sind im Einsatz?) | 30 Min |
| 2 | Richtlinie geschrieben (3 Seiten) | 2 Std |
| 3 | AV-Verträge mit Anbietern geprüft | 1 Std |
| 4 | Team-Meeting zur Einführung | 45 Min |
| 5 | Richtlinie unterschrieben, abgelegt | 15 Min |
Ergebnis: In etwa 5 Stunden hat die Müller GmbH klare Spielregeln – und gleichzeitig ihre KI-Kompetenz-Pflicht nach Art. 4 erfüllt.
Häufige Fehler vermeiden
Diese Fehler sehen wir immer wieder:
- Zu lang und kompliziert: 30 Seiten Richtlinie liest niemand. Haltet es kurz und klar
- Generelles KI-Verbot: Funktioniert nicht. Mitarbeiter nutzen KI trotzdem – dann eben heimlich
- Keine Aktualisierung: KI entwickelt sich schnell. Prüft die Richtlinie mindestens jährlich
- Nur Verbote, kein Empowerment: Zeigt auch, wie KI richtig genutzt wird
- Kein Ansprechpartner: Mitarbeiter brauchen jemanden, den sie bei Unsicherheit fragen können
Eure KI-Richtlinie und die KI-Verordnung
Eine gute interne KI-Richtlinie erfüllt gleich mehrere Anforderungen der EU-KI-Verordnung:
- Art. 4 – KI-Kompetenz: Schulungsplan in der Richtlinie dokumentiert
- Art. 50 – Transparenzpflicht: Kennzeichnungsregeln festgelegt
- Art. 26 – Betreiberpflichten: Verantwortlichkeiten und Überwachung geregelt
- DSGVO Art. 28: Nur Tools mit AV-Vertrag erlaubt
Die Richtlinie ist also kein Extra-Aufwand – sie ist der zentrale Baustein eurer KI-Compliance.
Fazit
Wartet nicht, bis etwas schiefgeht.
Die Müller GmbH hat ihre Richtlinie in einem Nachmittag erstellt.
Damit hat sie gleichzeitig die KI-Kompetenz-Pflicht nach Art. 4 (Verordnung (EU) 2024/1689) abgehakt.
Ihr braucht keine Berater und keine 50-Seiten-Dokumente.
Setzt euch hin, schreibt die Regeln auf, stellt sie dem Team vor.
Fertig.
- Kurz und klar – 2-4 Seiten genügen
- Praktisch – Erlaubte Tools, Datenregeln, Qualitätsprüfung
- Lebendig – Regelmäßig aktualisieren, Schulungen durchführen
Und nebenbei: Eine saubere KI-Richtlinie macht sich gut bei Kunden-Audits und Zertifizierungen. Sie zeigt, dass ihr Prozesse habt – und nicht einfach drauflosarbeitet. Das kann bei Ausschreibungen den Unterschied machen.
Checkliste: KI-Richtlinie erstellen
Mit diesen Schritten erstellt ihr eure KI-Richtlinie:
- KI-Inventar erstellt (welche Tools nutzen Mitarbeiter?)
- Erlaubte und verbotene Tools definiert
- Datenregeln festgelegt (was darf eingegeben werden?)
- Qualitätssicherung geregelt (Vier-Augen-Prinzip)
- Verantwortlichkeiten zugewiesen (KI-Verantwortliche/r benannt)
- AV-Verträge mit KI-Anbietern geprüft
- Richtlinie im Team vorgestellt und unterschrieben
- Jährliche Aktualisierung eingeplant
Weiterführende Ressourcen
Diese Artikel vertiefen einzelne Aspekte der KI-Nutzung: