Ab Dezember 2027 müssen Unternehmen mit Hochrisiko-KI-Systemen nachweisen können, welche Systeme sie für welche Zwecke einsetzen (Frist per Digital Omnibus verschoben von ursprünglich August 2026). Dazu kommt das dauerhaft bestehende, schon heute akute DSGVO-Problem: KI-Tools ohne klare Nutzungsregeln sind ein Datenschutzrisiko. Eine unternehmensweite KI-Richtlinie löst beides — wenn sie die richtigen Punkte enthält.
Lesezeit: ca. 6 Minuten · Stand: Juni 2026
In den meisten Unternehmen passiert gerade dasselbe: Mitarbeiter nutzen ChatGPT, Grammarly, Notion AI oder GitHub Copilot — ohne dass die IT weiß, womit, und ohne dass geklärt ist, was das rechtlich bedeutet. Das ist Shadow KI, und sie existiert, weil keine klare Richtlinie vorhanden ist.
Ab Dezember 2027 wird die Dokumentationspflicht für Hochrisiko-KI nach EU AI Act verpflichtend (verschoben von ursprünglich August 2026). Unabhängig davon ist Shadow KI schon heute ein DSGVO-Risiko, wenn dabei personenbezogene Daten unkontrolliert an Drittanbieter fließen — das lässt sich nicht auf eine spätere Frist verschieben.
Die folgende Gliederung deckt die wesentlichen Pflichtinhalte ab — anpassbar auf Unternehmensgröße und Branche.
Klärt, für wen und was die Richtlinie gilt. Typische Elemente:
Konkrete Liste der Tools, die genutzt werden dürfen — mit Angabe des Plans (wichtig für DSGVO) und erlaubten Datentypen:
| Tool | Plan / Vertrag | Erlaubte Daten |
|---|---|---|
| ChatGPT | Team (mit DPA) | Interne Texte, keine Kundendaten ohne explizite Freigabe |
| GitHub Copilot | Business (mit DPA) | Interner Code, kein Code mit eingebetteten Zugangsdaten |
| Nicht freigegebenes Tool | — | Nicht erlaubt bis Freigabe |
Konkret und verständlich — keine Generalklauseln:
Klare Zuordnung ohne Bürokratie:
Ohne einen definierten Prozess entsteht Shadow KI zwangsläufig, weil Mitarbeiter auf Freigaben warten und es einfacher ist, das Tool einfach zu nutzen:
Der Abschnitt, der die EU AI Act Anforderungen erfüllt:
Eine Richtlinie, die nur sagt "KI-Tools dürfen nur mit Genehmigung genutzt werden", hilft niemandem. Mitarbeiter wissen nicht, was das für ChatGPT Plus auf dem Privatgerät bedeutet.
Ohne einen klaren und schnellen Freigabeprozess umgehen Mitarbeiter die Richtlinie, weil es einfacher ist als zu warten.
Die Richtlinie landet im Sharepoint und niemand weiß, dass sie existiert. Wirksamkeit setzt Bekanntheit voraus — eine kurze Information im Team-Meeting ist effektiver als die Ablagestruktur.
KI-Tools entwickeln sich schnell. Eine Richtlinie von 2024 kennt Copilot noch nicht als Standard-Feature in Office 365. Jährliche Überprüfung ist Minimum.
Nein. Der EU AI Act und die DSGVO schreiben das Ergebnis vor (Dokumentation, Nachweisbarkeit, Datenschutz), nicht das Format. Sie haben Gestaltungsspielraum — solange die inhaltlichen Anforderungen erfüllt sind.
Wenn KI-Systeme genutzt werden, die das Verhalten, die Leistung oder die Überwachung von Mitarbeitern betreffen, ja — dann greift das Mitbestimmungsrecht nach § 87 BetrVG. Für eine allgemeine Nutzungsrichtlinie zu externen KI-Tools ist das in der Regel nicht erforderlich. Im Zweifel: rechtliche Beratung einholen.
Die Richtlinie regelt, wer das Tool für was nutzen darf, und dokumentiert den Einsatz für den EU AI Act. Das ist unabhängig davon, welches Tool Sie nutzen. ChatGPT Enterprise löst das DSGVO-Problem, aber nicht die Dokumentationspflicht.
Eine erste, funktionstüchtige Richtlinie für ein KMU kann in zwei bis drei Tagen erstellt werden — wenn die genutzten Tools bekannt sind und jemand die Verantwortung übernimmt. Das Bottleneck ist in der Praxis oft die Tool-Inventarisierung, nicht das Schreiben.
Im KI-Compliance Audit erstellen wir die KI-Richtlinie als Teil des schriftlichen Reports — inklusive Tool-Inventar, DSGVO-Bewertung und konkreten Handlungsempfehlungen. Festpreis 1.990 €.