Eine KI-Richtlinie ist ein internes Regelwerk von 2 bis 3 Seiten, das in 10 Bausteinen festlegt, welche KI-Tools erlaubt sind, welche Daten hinein dürfen, wer verantwortlich ist und wie geschult wird. Gesetzlich wörtlich vorgeschrieben ist das Dokument nicht, es ist aber der einfachste Nachweis für die Schulungspflicht aus Artikel 4 der KI-Verordnung (gilt seit dem 2. Februar 2025) und den DSGVO-konformen Umgang mit Kundendaten.
Das Wichtigste in Kürze
- Nur 23 Prozent der Unternehmen hatten laut Bitkom im Oktober 2025 Regeln für den KI-Einsatz aufgestellt, weitere 31 Prozent planten sie erst.
- Seit dem 2. Februar 2025 verpflichtet Artikel 4 der KI-Verordnung alle Unternehmen, die KI einsetzen, ihre Beschäftigten ausreichend im Umgang damit zu schulen.
- 4 von 10 Unternehmen gehen laut Bitkom davon aus, dass Beschäftigte private KI-Konten für die Arbeit nutzen: Dieses Schatten-KI-Risiko regelt Baustein 4 der Richtlinie.
- Eine brauchbare KI-Richtlinie für KMU besteht aus 10 Bausteinen und passt auf 2 bis 3 Seiten; ein 40-Seiten-Dokument liest im Alltag niemand.
- Eine KI-Richtlinie gehört mindestens einmal jährlich auf den Prüfstand, weil sich Tools und Rechtslage schneller ändern als jedes andere Regelwerk im Betrieb.
Ihre Leute nutzen längst KI, ob Sie das erlaubt haben oder nicht. Die Frage ist nur, ob dabei gerade Kundendaten in einem privaten ChatGPT-Konto landen. Genau dafür gibt es die KI-Richtlinie: ein kurzes, verständliches Regelwerk, das jeder im Betrieb in zehn Minuten gelesen hat. Sie finden hier alle 10 Bausteine mit fertigen Muster-Formulierungen zum Kopieren, ohne Download-Formular. Ich halte nichts davon, ein zweiseitiges Dokument hinter einer E-Mail-Abfrage zu verstecken.
Warum Sie 2026 eine KI-Richtlinie brauchen
Eine KI-Richtlinie brauchen Sie 2026 aus drei Gründen: Erstens hatten laut einer Bitkom-Befragung vom Oktober 2025 erst 23 Prozent der Unternehmen Regeln für den KI-Einsatz, während 4 von 10 Unternehmen davon ausgehen, dass ihre Beschäftigten private KI-Tools für die Arbeit nutzen. Zweitens verpflichtet Artikel 4 der KI-Verordnung (EU) 2024/1689 seit dem 2. Februar 2025 jedes Unternehmen, das KI einsetzt, seine Beschäftigten ausreichend zu schulen. Und drittens haften am Ende Sie als Inhaber oder Geschäftsführer, wenn Kundendaten im falschen Tool landen, nicht der Mitarbeiter, der es gut gemeint hat.
KI-Richtlinie: Ein internes Regelwerk, das festlegt, welche KI-Tools im Betrieb erlaubt sind, welche Daten hinein dürfen, wer verantwortlich ist und was bei Verstößen passiert. Kein Gesetz schreibt das Dokument wörtlich vor, aber es ist der einfachste Nachweis, dass Sie Ihre Pflichten aus KI-Verordnung und DSGVO ernst nehmen.
Zur Ehrlichkeit gehört auch: Ein Verstoß gegen die Schulungspflicht aus Artikel 4 ist nach aktuellem Stand nicht direkt bußgeldbewehrt, darauf weisen unter anderem die Arbeitsrechtler von Haufe hin. Die nationalen Marktüberwachungsbehörden beginnen ab dem 2. August 2026 mit der Durchsetzung der KI-Verordnung. Das eigentliche Risiko liegt aber ohnehin woanders: bei der DSGVO, bei Geschäftsgeheimnissen und bei fehlerhaften KI-Ergebnissen, die ungeprüft beim Kunden landen.
Wichtig: Die Muster-Formulierungen auf dieser Seite sind eine Arbeitsgrundlage aus der Praxis, keine Rechtsberatung. Passen Sie die Texte an Ihren Betrieb an und lassen Sie das Ergebnis im Zweifel von einem Anwalt prüfen, besonders wenn ein Betriebsrat existiert. Ich bin Praktiker, kein Jurist, und sage das lieber einmal zu oft.
Die 10 Pflicht-Bausteine im Überblick
Eine vollständige KI-Richtlinie für ein KMU besteht aus 10 Bausteinen und passt auf 2 bis 3 Seiten. Alles darüber hinaus ist Beschäftigungstherapie: Ein Regelwerk, das niemand liest, schützt niemanden. Die Nummernliste fasst jeden Baustein in einem Satz zusammen, die Tabelle darunter zeigt kompakt, was er regelt und warum er hinein muss.
- Geltungsbereich: Legt fest, dass die Richtlinie für alle gilt, die im Namen des Betriebs arbeiten, einschließlich Auszubildender, Aushilfen und externer Kräfte.
- Erlaubte und verbotene Tools: Definiert eine Positivliste freigegebener KI-Werkzeuge; was nicht ausdrücklich freigegeben ist, ist für dienstliche Zwecke gesperrt.
- Kunden- und Personaldaten: Regelt, dass personenbezogene Daten und Geschäftsgeheimnisse nur in freigegebene KI-Tools mit Auftragsverarbeitungsvertrag gehören.
- Private Konten: Untersagt private KI-Zugänge für dienstliche Aufgaben, weil das Unternehmen dort weder Vertrag noch Kontrolle über die Eingaben hat.
- Prüfpflicht: Verpflichtet jeden Nutzer, KI-Ergebnisse vor der Verwendung zu prüfen; die Verantwortung für das Arbeitsergebnis bleibt beim Menschen.
- Kennzeichnung: Legt fest, wann KI-erstellte Inhalte als solche erkennbar gemacht werden, spätestens mit den Transparenzpflichten der KI-Verordnung ab dem 2. August 2026.
- Verantwortlicher: Benennt eine Person, die KI-Tools freigibt, Fragen beantwortet und alle Freigaben mit Datum dokumentiert.
- Schulung: Setzt die Pflicht aus Artikel 4 der KI-Verordnung um, Beschäftigte nachweisbar im Umgang mit den eingesetzten KI-Werkzeugen zu schulen.
- Verstöße: Regelt die Konsequenzen bei bewussten Verstößen und einen sanktionsfreien Meldeweg für ehrlich gemeldete Fehler.
- Jährliche Überprüfung: Schreibt einen festen Termin fest, an dem Richtlinie, Tool-Liste und Rechtslage mindestens einmal pro Jahr überprüft werden.
| Nr. | Baustein | Regelt |
|---|---|---|
| 1 | Geltungsbereich | Für wen die Richtlinie gilt (alle, auch Externe) |
| 2 | Erlaubte und verbotene Tools | Welche KI-Tools freigegeben sind, alles andere ist gesperrt |
| 3 | Kunden- und Personaldaten | Welche Daten in kein KI-Tool gehören |
| 4 | Private Konten | Verbot privater KI-Zugänge für dienstliche Aufgaben |
| 5 | Prüfpflicht | Jedes KI-Ergebnis wird vor Verwendung geprüft |
| 6 | Kennzeichnung | Wann KI-erstellte Inhalte gekennzeichnet werden |
| 7 | Verantwortlicher | Wer Fragen beantwortet und Tools freigibt |
| 8 | Schulung | KI-Kompetenz nach Artikel 4 KI-Verordnung |
| 9 | Verstöße | Folgen und der Weg für ehrliche Fehlermeldungen |
| 10 | Jährliche Überprüfung | Wann und wie die Richtlinie aktualisiert wird |
Eine brauchbare KI-Richtlinie für ein KMU besteht aus 10 Bausteinen und passt auf 2 bis 3 Seiten. Entscheidend sind eine Positivliste der erlaubten Tools, klare Datenregeln, ein benannter Verantwortlicher und ein fester jährlicher Prüftermin.
Alle 10 Bausteine mit Muster-Formulierungen
Jeder Baustein kommt hier mit einer kurzen Erklärung und einer Muster-Formulierung im Klartext, die Sie direkt kopieren können. Ersetzen Sie die Angaben in eckigen Klammern durch Ihre eigenen und streichen Sie, was auf Ihren Betrieb nicht zutrifft.
1. Geltungsbereich
Die Richtlinie muss für alle gelten, die im Namen Ihres Betriebs arbeiten, sonst entsteht die erste Lücke bei der Aushilfe oder dem externen Buchhalter.
Muster-Formulierung: „Diese Richtlinie gilt für alle Mitarbeiterinnen und Mitarbeiter der [Firma], einschließlich Auszubildender, Aushilfen und externer Kräfte, sobald sie KI-Werkzeuge im Rahmen ihrer Tätigkeit für [Firma] nutzen.“
2. Erlaubte und verbotene Tools
Arbeiten Sie mit einer Positivliste: Was nicht ausdrücklich freigegeben ist, ist gesperrt, denn eine Verbotsliste veraltet bei den ständig neuen KI-Diensten sofort.
Muster-Formulierung: „Für dienstliche Zwecke sind ausschließlich die in Anlage 1 gelisteten KI-Werkzeuge in der vom Unternehmen bereitgestellten Version freigegeben [z. B. Microsoft Copilot, ChatGPT Team]. Alle übrigen KI-Dienste sind für dienstliche Zwecke nicht zugelassen. Wer ein neues Werkzeug nutzen möchte, beantragt die Freigabe bei [Verantwortlicher, Baustein 7].“
3. Umgang mit Kunden- und Personaldaten
Das ist der wichtigste Baustein, denn hier entstehen die teuersten Fehler: personenbezogene Daten in einem KI-Tool ohne Auftragsverarbeitungsvertrag sind ein DSGVO-Verstoß, auch wenn nie etwas passiert.
Muster-Formulierung: „Personenbezogene Daten von Kunden, Bewerbern und Beschäftigten sowie Betriebs- und Geschäftsgeheimnisse dürfen nur in KI-Werkzeuge eingegeben werden, die dafür ausdrücklich freigegeben sind und für die ein Auftragsverarbeitungsvertrag besteht. Im Zweifel gilt: Namen, Adressen und Vertragsdaten vor der Eingabe entfernen oder [Verantwortlicher] fragen.“
Welche technischen und vertraglichen Voraussetzungen dahinterstehen, habe ich in der DSGVO-Checkliste für KI im Unternehmen Punkt für Punkt aufgeschrieben.
4. Private Konten verboten
Laut Bitkom gehen 4 von 10 Unternehmen davon aus, dass Beschäftigte private KI-Tools für die Arbeit nutzen; bei privaten Konten haben Sie weder Vertrag noch Kontrolle darüber, was mit den Eingaben passiert.
Muster-Formulierung: „Die Nutzung privater KI-Konten für dienstliche Aufgaben ist untersagt. Dienstliche KI-Nutzung erfolgt ausschließlich über die vom Unternehmen bereitgestellten Zugänge. Wer bisher ein privates Konto dienstlich genutzt hat, meldet dies bis zum [Datum] ohne Nachteile bei [Verantwortlicher], damit ein Firmen-Zugang eingerichtet werden kann.“
5. Prüfpflicht der Ergebnisse
KI-Systeme liefern überzeugend formulierte Fehler, deshalb bleibt die Verantwortung für jedes Arbeitsergebnis beim Menschen, der es verwendet.
Muster-Formulierung: „KI-Ergebnisse sind Entwürfe. Wer ein KI-Ergebnis verwendet, prüft es vor der Weitergabe auf sachliche Richtigkeit und Vollständigkeit und bleibt für das Arbeitsergebnis persönlich verantwortlich. Zahlen, Rechtsaussagen und Kundenzusagen werden immer gegen die Originalquelle geprüft.“
6. Kennzeichnung
Regeln Sie, wann KI-erstellte Inhalte als solche erkennbar sein müssen, denn ab dem 2. August 2026 greifen zusätzlich die Transparenzpflichten der KI-Verordnung, etwa für Chatbots im Kundenkontakt.
Muster-Formulierung: „Inhalte, die vollständig oder überwiegend durch KI erstellt wurden und das Unternehmen verlassen, werden gekennzeichnet, wenn dies gesetzlich verlangt ist oder der Empfänger sonst über die Herkunft getäuscht würde. Setzt das Unternehmen KI im direkten Kundenkontakt ein [z. B. Chat auf der Website], wird dies für den Kunden erkennbar gemacht. Im Zweifel entscheidet [Verantwortlicher].“
7. Verantwortlicher
Ohne eine benannte Person versandet jede Richtlinie, denn niemand fühlt sich zuständig, wenn ein Mitarbeiter ein neues Tool ausprobieren will.
Muster-Formulierung: „Ansprechpartner für alle Fragen zur KI-Nutzung ist [Name, Funktion]. Diese Person pflegt die Liste der freigegebenen Werkzeuge (Anlage 1), entscheidet über Freigabe-Anträge innerhalb von [10] Arbeitstagen und dokumentiert alle Freigaben mit Datum und Begründung.“
8. Schulung (Artikel 4 KI-Verordnung)
Seit dem 2. Februar 2025 verlangt Artikel 4 der KI-Verordnung, dass Unternehmen bei ihren Beschäftigten ein ausreichendes Maß an KI-Kompetenz sicherstellen, und die dokumentierte Schulung ist Ihr Nachweis dafür.
Muster-Formulierung: „Alle Beschäftigten, die KI-Werkzeuge nutzen, nehmen mindestens einmal jährlich an einer Schulung zu Funktionsweise, Grenzen, Datenschutz und Risiken der eingesetzten Werkzeuge teil (Artikel 4 der Verordnung (EU) 2024/1689). Neue Mitarbeiter werden vor der ersten KI-Nutzung eingewiesen. Die Teilnahme wird mit Datum und Inhalt dokumentiert.“
Was diese Pflicht konkret bedeutet, wen sie trifft und wie viel Aufwand wirklich nötig ist, steht im Artikel zur Schulungspflicht nach dem EU AI Act.
9. Verstöße
Der Baustein braucht zwei Seiten derselben Medaille: klare Konsequenzen bei bewussten Verstößen und einen sanktionsfreien Meldeweg für ehrliche Fehler, sonst erfahren Sie von Pannen erst, wenn es zu spät ist.
Muster-Formulierung: „Verstöße gegen diese Richtlinie können arbeitsrechtliche Folgen haben. Wer versehentlich gegen die Richtlinie verstoßen hat, etwa durch Eingabe von Daten in ein nicht freigegebenes Werkzeug, meldet dies unverzüglich an [Verantwortlicher]. Die unverzügliche eigene Meldung wird bei der Bewertung zugunsten des Meldenden berücksichtigt.“
10. Jährliche Überprüfung
KI-Tools und Rechtslage ändern sich schneller als jedes andere Thema im Betrieb, deshalb gehört ein fester Überprüfungstermin in die Richtlinie selbst.
Muster-Formulierung: „Diese Richtlinie wird mindestens einmal jährlich sowie bei wesentlichen Änderungen der Rechtslage oder der eingesetzten Werkzeuge überprüft und bei Bedarf angepasst. Version, Datum und Änderungen werden am Ende des Dokuments festgehalten. Nächster Überprüfungstermin: [Datum].“
So führen Sie die Richtlinie ein
Die Einführung dauert in einem KMU realistisch ein bis zwei Wochen und läuft in vier Schritten ab. Das Dokument zu schreiben ist dabei der kleinste Teil der Arbeit:
- Bestandsaufnahme: Fragen Sie Ihr Team offen und ohne Vorwurf, wer heute schon welche KI-Tools nutzt. Das Ergebnis wird Sie vermutlich überraschen, und es ist die Grundlage für Ihre Positivliste in Anlage 1.
- Anpassen: Übernehmen Sie die 10 Muster-Formulierungen, ersetzen Sie die Platzhalter und streichen Sie, was nicht passt. Bei Betriebsrat oder Spezialfällen: Anwalt drüberschauen lassen.
- Vorstellen statt verschicken: Erklären Sie die Richtlinie in einer kurzen Teamrunde und begründen Sie das Warum, besonders beim Verbot privater Konten. Eine Richtlinie, die nur per Mail kommt, wird als Misstrauen gelesen.
- Bestätigen lassen: Jeder Mitarbeiter bestätigt den Erhalt schriftlich oder digital. Das ist im Ernstfall Ihr Nachweis, zusammen mit der Schulungsdokumentation aus Baustein 8.
Was die Richtlinie nicht leistet
Ganz ehrlich: Eine KI-Richtlinie verhindert keinen einzigen Datenabfluss, sie regelt ihn nur. Wenn Ihre Mitarbeiter kein freigegebenes Tool bekommen, das ihnen wirklich Arbeit abnimmt, nutzen sie weiter das private Konto, Richtlinie hin oder her. Die Bitkom-Zahlen zur Schatten-KI zeigen genau dieses Muster. Papier schlägt keine Bequemlichkeit.
Die Richtlinie ist deshalb der zweite Schritt. Der erste ist ein Arbeitsumfeld, in dem der sichere Weg auch der einfache ist: freigegebene Tools mit Vertrag, klar definierte Abläufe und Automatisierungen, die sensible Daten gar nicht erst durch fremde Hände schicken. Genau daran arbeite ich mit meinen Kunden: In meiner KI-Beratung nehme ich an einem Tag vor Ort Ihre Abläufe auf und lege fest, welche Prozesse mit welchen Werkzeugen sicher automatisiert werden können, DSGVO-Prüfung inklusive. Der Tag kostet 1.500 Euro netto als Festpreis (Einführungspreis, regulär 2.500 Euro) und wird bei einer Umsetzung innerhalb von 60 Tagen voll verrechnet. Und zeigt der Tag keinen klaren, in Euro rechenbaren Hebel, zahlen Sie nichts.
Mein Angebot dazu: Die Richtlinie ist Papier. Ich baue Ihnen die sichere Praxis dahinter: freigegebene Werkzeuge, saubere Prozesse, geschulte Leute. Ob sich das für Ihren Betrieb rechnet, klären wir in einem kostenlosen Erstgespräch, oder Sie machen vorab den 3-Minuten-Selbstcheck.
Die KI-Richtlinie zum Übernehmen als PDF
Alle 10 Bausteine mit Muster-Formulierungen, dazu die Anlage-1-Vorlage für freigegebene Tools und eine Versionshistorie. Druckfertig für Ihre Teamrunde. Alles bleibt hier im Magazin frei lesbar, das PDF ist die bequeme Mitnahme-Version.
Wissen, wo KI sich in Ihrem Betrieb rechnet?
Genau das kläre ich in der KI-Beratung: ein Tag bei Ihnen vor Ort, am Ende steht eine Roadmap mit Euro-Zahlen. Der erste Schritt ist ein kostenloses Erstgespräch.
Mit Niklaas sprechenHäufige Fragen
Ist eine KI-Richtlinie für Unternehmen gesetzlich Pflicht?
Das Dokument selbst ist nicht wörtlich vorgeschrieben, die Pflichten dahinter aber schon: Artikel 4 der KI-Verordnung verlangt seit dem 2. Februar 2025 ausreichende KI-Kompetenz der Beschäftigten, und die DSGVO gilt für jede Eingabe personenbezogener Daten in ein KI-Tool. Eine schriftliche Richtlinie ist der einfachste Weg, beides nachweisbar zu erfüllen. Faktisch führt an einem schriftlichen Regelwerk kaum ein Weg vorbei: Ohne Richtlinie können Sie weder die Schulungspflicht noch den geregelten Umgang mit Daten belegen. Rechtsstand: Juli 2026. Details zur Kompetenzpflicht: Schulungspflicht nach dem EU AI Act.
Was muss in einer KI-Richtlinie stehen?
Zehn Bausteine reichen für ein KMU: Geltungsbereich, erlaubte und verbotene Tools, Umgang mit Kunden- und Personaldaten, Verbot privater Konten, Prüfpflicht der Ergebnisse, Kennzeichnung, ein benannter Verantwortlicher, Schulung nach Artikel 4 KI-Verordnung, Umgang mit Verstößen und eine jährliche Überprüfung. Das Ganze passt auf 2 bis 3 Seiten; längere Dokumente werden im Alltag nicht gelesen.
Dürfen Mitarbeiter ihr privates ChatGPT-Konto für die Arbeit nutzen?
Davon rate ich klar ab, und die Richtlinie sollte es ausdrücklich untersagen. Bei privaten Konten hat das Unternehmen keinen Auftragsverarbeitungsvertrag und keine Kontrolle darüber, was mit den Eingaben passiert; Kundendaten dort einzugeben ist ein DSGVO-Risiko. Das Problem ist real: Laut Bitkom gehen 4 von 10 Unternehmen davon aus, dass Beschäftigte private KI-Tools für die Arbeit nutzen. Die Lösung ist ein freigegebener Firmen-Zugang, nicht nur das Verbot.
Wer sollte die KI-Richtlinie im Unternehmen erstellen?
Im KMU: die Geschäftsführung zusammen mit der Person, die künftig als KI-Verantwortlicher benannt wird, plus Datenschutzbeauftragter, falls vorhanden. Die Muster-Formulierungen auf dieser Seite sind die Arbeitsgrundlage dafür. Bei Betriebsrat oder besonders sensiblen Daten (Gesundheits-, Finanz- oder Personaldaten in großem Umfang) sollte ein Anwalt das Ergebnis prüfen, bevor es verteilt wird.
Wie oft muss eine KI-Richtlinie aktualisiert werden?
Mindestens einmal pro Jahr, zusätzlich bei jeder wesentlichen Änderung: neue freigegebene Tools, geänderte Rechtslage oder neue Einsatzbereiche im Betrieb. Zum Vergleich: Die Transparenzpflichten der KI-Verordnung greifen ab dem 2. August 2026, also innerhalb eines typischen Überprüfungszyklus. Am einfachsten schreiben Sie den nächsten Prüftermin direkt in die Richtlinie (Baustein 10).
Wer ist im Unternehmen für KI-Compliance verantwortlich?
Die Gesamtverantwortung liegt bei der Geschäftsführung, im KMU also bei Ihnen. Einen gesetzlich vorgeschriebenen KI-Beauftragten gibt es nicht: Anders als beim Datenschutzbeauftragten nach DSGVO verlangt die KI-Verordnung keine solche Rolle. Bewährt hat sich trotzdem ein benannter KI-Verantwortlicher (Baustein 7 der Richtlinie), der Tools freigibt, Schulungen koordiniert und Freigaben dokumentiert. Falls ein Datenschutzbeauftragter existiert, gehört er bei allen Fragen mit Personenbezug mit an den Tisch.
Quellen: Bitkom Presseinformation: Beschäftigte nutzen vermehrt Schatten-KI (21.10.2025, Zahlen zu KI-Regeln und privater KI-Nutzung) · Verordnung (EU) 2024/1689 (KI-Verordnung), Artikel 4: KI-Kompetenz · Haufe: AI Act, Arbeitgeberpflicht zur Sicherstellung der KI-Kompetenz (Einordnung Sanktionen) · Bundesnetzagentur: Zeitplan und Durchsetzung der KI-Verordnung (Anwendbarkeit ab 2. August 2026) · Härting Rechtsanwälte: Brauchen Unternehmen einen KI-Beauftragten (AI Officer)? (KI-Verordnung schreibt keinen KI-Beauftragten vor)
Niklaas Zander
KI- und Recruiting-Berater, Autor von "Der Bewerber-Code". Führt seine eigene Agentur fast komplett mit KI und baut KI-Systeme für kleine und mittlere Betriebe: DSGVO-konform, mit Plan statt Spielerei. Mehr zur KI-Beratung.
