KI-Richtlinie für Unternehmen: Pflichtinhalte und Struktur 2026

Ab Dezember 2027 müssen Unternehmen mit Hochrisiko-KI-Systemen nachweisen können, welche Systeme sie für welche Zwecke einsetzen (Frist per Digital Omnibus verschoben von ursprünglich August 2026). Dazu kommt das dauerhaft bestehende, schon heute akute DSGVO-Problem: KI-Tools ohne klare Nutzungsregeln sind ein Datenschutzrisiko. Eine unternehmensweite KI-Richtlinie löst beides — wenn sie die richtigen Punkte enthält.

Lesezeit: ca. 6 Minuten · Stand: Juni 2026

Warum eine KI-Richtlinie kein optionales Dokument mehr ist

In den meisten Unternehmen passiert gerade dasselbe: Mitarbeiter nutzen ChatGPT, Grammarly, Notion AI oder GitHub Copilot — ohne dass die IT weiß, womit, und ohne dass geklärt ist, was das rechtlich bedeutet. Das ist Shadow KI, und sie existiert, weil keine klare Richtlinie vorhanden ist.

Ab Dezember 2027 wird die Dokumentationspflicht für Hochrisiko-KI nach EU AI Act verpflichtend (verschoben von ursprünglich August 2026). Unabhängig davon ist Shadow KI schon heute ein DSGVO-Risiko, wenn dabei personenbezogene Daten unkontrolliert an Drittanbieter fließen — das lässt sich nicht auf eine spätere Frist verschieben.

Hinweis zur Verhältnismäßigkeit: Der EU AI Act differenziert nach Risikoklassen. Für die meisten KMU gilt: Sie setzen wahrscheinlich keine Hochrisiko-KI ein. Dennoch gilt die Dokumentationspflicht für alle KI-Systeme, die nicht explizit ausgenommen sind.

Struktur einer KI-Richtlinie

Die folgende Gliederung deckt die wesentlichen Pflichtinhalte ab — anpassbar auf Unternehmensgröße und Branche.

1

Geltungsbereich und Zweck

Klärt, für wen und was die Richtlinie gilt. Typische Elemente:

  • • Für alle Mitarbeiter und externen Dienstleister, die auf Unternehmenssysteme zugreifen
  • • Für alle KI-Systeme und KI-gestützten Tools, die im Unternehmenskontext eingesetzt werden
  • • Gilt für dienstliche Nutzung auf privaten Geräten (BYOD) genauso wie auf Unternehmensgeräten
2

Freigegebene KI-Tools

Konkrete Liste der Tools, die genutzt werden dürfen — mit Angabe des Plans (wichtig für DSGVO) und erlaubten Datentypen:

Tool Plan / Vertrag Erlaubte Daten
ChatGPTTeam (mit DPA)Interne Texte, keine Kundendaten ohne explizite Freigabe
GitHub CopilotBusiness (mit DPA)Interner Code, kein Code mit eingebetteten Zugangsdaten
Nicht freigegebenes ToolNicht erlaubt bis Freigabe
3

Verbotene Nutzungen

Konkret und verständlich — keine Generalklauseln:

  • • Keine personenbezogenen Kundendaten in nicht freigegebene Tools eingeben
  • • Keine vertraulichen Dokumente (Angebote, Verträge, Gehaltsdaten) in Consumer-Abos
  • • Kein KI-generierter Output ohne Prüfung und Kennzeichnung in Kundenkommunikation
  • • Keine Gesprächsaufzeichnungen ohne Einwilligung aller Beteiligten
  • • Keine Nutzung von KI für automatisierte Entscheidungen, die Mitarbeiter betreffen (Art. 22 DSGVO)
4

Verantwortlichkeiten

Klare Zuordnung ohne Bürokratie:

  • IT-Verantwortlicher: Pflege der freigegebenen Tool-Liste, Freigabeprozess, DPA-Management
  • Datenschutzbeauftragter / Geschäftsführer: Freigabe für Hochrisiko-Anwendungen, Eskalation bei Vorfällen
  • Jeder Mitarbeiter: Einhaltung der Richtlinie, Meldung unklarer Fälle
5

Freigabeprozess für neue Tools

Ohne einen definierten Prozess entsteht Shadow KI zwangsläufig, weil Mitarbeiter auf Freigaben warten und es einfacher ist, das Tool einfach zu nutzen:

  • • Anfrage per E-Mail/Ticket: Tool-Name, Anbieter, geplante Nutzung, Datentypen
  • • Prüfung durch IT: Datenschutz, DPA vorhanden, Datenflüsse
  • • Entscheidung innerhalb von 5 Werktagen — verhindert, dass Mitarbeiter eigenmächtig handeln
6

Dokumentation und EU AI Act Konformität

Der Abschnitt, der die EU AI Act Anforderungen erfüllt:

  • • Inventar aller eingesetzten KI-Systeme (freigegebene Tool-Liste dient als Grundlage)
  • • Zweck und Einsatzbereich jedes Systems dokumentiert
  • • Risikoklassifikation nach EU AI Act (für die meisten KMU: Minimal Risk)
  • • Jährliche Überprüfung und Aktualisierung der Liste

Häufige Fehler bei KI-Richtlinien

!

Zu allgemein — keine konkreten Tools oder Datentypen

Eine Richtlinie, die nur sagt "KI-Tools dürfen nur mit Genehmigung genutzt werden", hilft niemandem. Mitarbeiter wissen nicht, was das für ChatGPT Plus auf dem Privatgerät bedeutet.

!

Kein Freigabeprozess definiert

Ohne einen klaren und schnellen Freigabeprozess umgehen Mitarbeiter die Richtlinie, weil es einfacher ist als zu warten.

!

Einmalig erstellt, nie kommuniziert

Die Richtlinie landet im Sharepoint und niemand weiß, dass sie existiert. Wirksamkeit setzt Bekanntheit voraus — eine kurze Information im Team-Meeting ist effektiver als die Ablagestruktur.

!

Keine Revision eingeplant

KI-Tools entwickeln sich schnell. Eine Richtlinie von 2024 kennt Copilot noch nicht als Standard-Feature in Office 365. Jährliche Überprüfung ist Minimum.

Häufige Fragen

Gibt es eine gesetzlich vorgeschriebene Vorlage für KI-Richtlinien?

Nein. Der EU AI Act und die DSGVO schreiben das Ergebnis vor (Dokumentation, Nachweisbarkeit, Datenschutz), nicht das Format. Sie haben Gestaltungsspielraum — solange die inhaltlichen Anforderungen erfüllt sind.

Muss die KI-Richtlinie vom Betriebsrat mitbestimmt werden?

Wenn KI-Systeme genutzt werden, die das Verhalten, die Leistung oder die Überwachung von Mitarbeitern betreffen, ja — dann greift das Mitbestimmungsrecht nach § 87 BetrVG. Für eine allgemeine Nutzungsrichtlinie zu externen KI-Tools ist das in der Regel nicht erforderlich. Im Zweifel: rechtliche Beratung einholen.

Reicht es, wenn ich ChatGPT Enterprise einsetze — brauche ich trotzdem eine Richtlinie?

Die Richtlinie regelt, wer das Tool für was nutzen darf, und dokumentiert den Einsatz für den EU AI Act. Das ist unabhängig davon, welches Tool Sie nutzen. ChatGPT Enterprise löst das DSGVO-Problem, aber nicht die Dokumentationspflicht.

Wie lange dauert es, eine KI-Richtlinie zu erstellen?

Eine erste, funktionstüchtige Richtlinie für ein KMU kann in zwei bis drei Tagen erstellt werden — wenn die genutzten Tools bekannt sind und jemand die Verantwortung übernimmt. Das Bottleneck ist in der Praxis oft die Tool-Inventarisierung, nicht das Schreiben.

Verwandte Themen

KI-Richtlinie erstellen lassen

Im KI-Compliance Audit erstellen wir die KI-Richtlinie als Teil des schriftlichen Reports — inklusive Tool-Inventar, DSGVO-Bewertung und konkreten Handlungsempfehlungen. Festpreis 1.990 €.

Termin buchen