Die meisten Unternehmen in Deutschland nutzen KI. Die wenigsten haben eine schriftliche Richtlinie dafür. Laut einer Bitkom-Erhebung von 2025 verfügen nur 23 % der deutschen Unternehmen über eine formale KI-Richtlinie — obwohl 68 % KI-Tools operativ einsetzen. Das bedeutet: In drei von vier Unternehmen entscheiden Mitarbeiter individuell, welche Daten sie in ChatGPT eingeben, wann sie KI-Ergebnissen vertrauen und welche Tools sie nutzen.
Seit dem 2. August 2025 ist der EU AI Act in Kraft. Er verlangt nicht nur Schulung (Artikel 4), sondern auch nachweisbare Kontroll- und Dokumentationsmechanismen. Eine KI-Richtlinie ist die Grundlage dafür. Dieser Artikel zeigt Ihnen, welche acht Elemente sie enthalten muss und wie Sie sie im Unternehmen einführen.
À retenir
- Eine KI-Richtlinie schafft den verbindlichen Rahmen für alle KI-Nutzung im Unternehmen
- 8 Kernelemente: Geltungsbereich, Grundsätze, zugelassene Tools, Datenregeln, Nutzungsklassen, Verantwortlichkeiten, Vorfallmanagement, Schulungspflicht
- Die Richtlinie ist die operative Grundlage für die Compliance mit dem AI Act
- Ohne Richtlinie gibt es keinen nachweisbaren Governance-Rahmen — und keine Verteidigung bei einer Prüfung
Warum eine KI-Richtlinie unverzichtbar ist
Eine KI-Richtlinie erfüllt drei Funktionen gleichzeitig.
Rechtlicher Schutz. Der AI Act verlangt, dass Unternehmen die Nutzung von KI-Systemen dokumentieren und kontrollieren. Die Richtlinie ist das zentrale Nachweisdokument. Ohne sie können Sie bei einer Prüfung nicht belegen, dass Ihr Unternehmen seine Pflichten ernst nimmt. Die maximale Geldbuße beträgt bis zu 15 Millionen Euro.
Operativer Rahmen. Ihre Mitarbeiter brauchen klare Antworten auf Alltagsfragen: Darf ich Kundendaten in Copilot eingeben? Muss ich KI-generierte Texte kennzeichnen? Was mache ich, wenn der KI-Output offensichtlich falsch ist? Die Richtlinie beantwortet diese Fragen, bevor sie zu Problemen werden.
Grundlage für Skalierung. Unternehmen, die KI ohne Regeln einführen, können KI nicht skalieren. Jede neue Abteilung, jeder neue Anwendungsfall erfordert individuelle Entscheidungen. Eine Richtlinie schafft ein Framework, das mitwächst.
23%
der deutschen Unternehmen haben eine formale KI-Richtlinie — bei 68 % operativer KI-Nutzung
Source : Bitkom Research 2025
Die 8 Pflichtbestandteile
1. Geltungsbereich und Zweck
Definieren Sie klar, für wen und was die Richtlinie gilt. Typische Formulierung:
Diese Richtlinie gilt für alle Mitarbeiterinnen und Mitarbeiter, Führungskräfte und externen Dienstleister, die im Rahmen ihrer Tätigkeit für [Unternehmen] KI-basierte Systeme und Tools nutzen oder entwickeln.
Legen Sie fest, ob die Richtlinie auch für KI-Funktionen in bestehender Software gilt (z. B. KI-Features in Salesforce, SAP oder Microsoft 365). Empfehlung: Ja, unbedingt.
2. Grundsätze der KI-Nutzung
Benennen Sie die Leitprinzipien, an denen sich alle KI-Aktivitäten orientieren. Leiten Sie diese aus dem AI Act und Ihren Unternehmenswerten ab:
- Transparenz — KI-gestützte Ergebnisse werden als solche gekennzeichnet.
- Menschliche Kontrolle — KI unterstützt Entscheidungen, trifft sie nicht allein.
- Datenschutz — Personenbezogene und vertrauliche Daten werden nicht in externe KI-Systeme eingegeben.
- Qualitätssicherung — KI-Ergebnisse werden vor Verwendung geprüft und verifiziert.
- Fairness — KI-Outputs werden auf systematische Verzerrungen (Bias) überprüft.
3. Zugelassene Tools und Systeme
Listen Sie alle KI-Tools auf, die im Unternehmen genutzt werden dürfen. Unterscheiden Sie dabei:
- Freigegebene Tools (z. B. Microsoft Copilot mit Enterprise-Lizenz, ChatGPT Team)
- Bedingt freigegebene Tools (nur nach Genehmigung durch das KI-Governance-Gremium)
- Verbotene Tools (z. B. kostenlose ChatGPT-Version für berufliche Zwecke, ungeprüfte Drittanbieter-Tools)
Aktualisieren Sie diese Liste quartalsweise. Neue Tools entstehen wöchentlich.
Führen Sie eine „KI-Toolbox” auf Ihrem Intranet: eine stets aktuelle Liste freigegebener Tools mit kurzer Beschreibung und Link zur jeweiligen Nutzungsanleitung. Das reduziert Rückfragen und verhindert Shadow-AI.
4. Datenklassifizierung und Datenregeln
Das sensibelste Kapitel der Richtlinie. Definieren Sie, welche Daten in welche KI-Systeme eingegeben werden dürfen.
| Datentyp | Freigegebene Tools (Enterprise) | Externe/kostenlose Tools |
|---|---|---|
| Öffentliche Informationen | Erlaubt | Erlaubt |
| Interne Arbeitsdokumente | Erlaubt | Verboten |
| Kundendaten | Nur anonymisiert | Verboten |
| Personenbezogene Daten | Verboten | Verboten |
| Geschäftsgeheimnisse | Verboten | Verboten |
Diese Matrix muss jeder Mitarbeiter kennen und anwenden können. Integrieren Sie sie in die KI-Schulung.
5. Nutzungsklassen und Genehmigungsverfahren
Nicht jeder KI-Einsatz trägt das gleiche Risiko. Definieren Sie Klassen:
Klasse 1 — Standardnutzung (keine Genehmigung nötig): Textformulierung, Recherche, Zusammenfassungen — mit freigegebenen Tools und ohne vertrauliche Daten.
Klasse 2 — Erweiterte Nutzung (Genehmigung durch Vorgesetzten): KI-gestützte Analyse von Geschäftsdaten, Automatisierung von Prozessen, Einsatz in Kundenkommunikation.
Klasse 3 — Hochrisiko-Nutzung (Genehmigung durch Governance-Gremium): KI in Personalentscheidungen, Kreditbewertung, medizinische oder juristische Anwendungen. Diese Klasse entspricht den Hochrisiko-Anwendungen des AI Act.
6. Verantwortlichkeiten
Benennen Sie konkrete Rollen:
- KI-Governance-Beauftragter — koordiniert die Umsetzung der Richtlinie, berichtet an die Geschäftsführung.
- Fachvorgesetzte — genehmigen Klasse-2-Anwendungen, stellen die Einhaltung in ihrem Bereich sicher.
- Jeder Mitarbeiter — hält die Richtlinie ein, meldet Vorfälle, absolviert die vorgeschriebenen Schulungen.
- IT-Abteilung — überwacht die technische Umsetzung (Zugriffskontrollen, Netzwerk-Monitoring, Tool-Bereitstellung).
7. Vorfallmanagement
Definieren Sie, was als KI-Vorfall gilt und wie damit umzugehen ist:
- Halluzination in einem Kundendeliverable
- Unbeabsichtigte Eingabe vertraulicher Daten
- Diskriminierender oder verzerrter KI-Output
- Nutzung verbotener Tools
Für jeden Vorfalltyp: Meldepflicht (an wen, in welcher Frist), Sofortmaßnahmen und Dokumentation. Das BSI empfiehlt eine maximale Erstmeldungsfrist von 24 Stunden für schwerwiegende KI-Vorfälle.
Ein Vorfallmanagement ohne Meldekultur funktioniert nicht. Schulen Sie Ihre Teams darin, Vorfälle zu melden — ohne Schuldzuweisung. Die meisten KI-Vorfälle entstehen aus Unkenntnis, nicht aus böser Absicht.
8. Schulungspflicht und Kompetenznachweis
Die Richtlinie muss festlegen, dass alle Mitarbeiter, die KI nutzen, eine Schulung absolvieren — und regelmäßig auffrischen. Das ist keine interne Best Practice, sondern eine gesetzliche Pflicht nach Artikel 4.
Halten Sie fest:
- Welche Schulung ist Pflicht (Grundschulung, rollenspezifische Vertiefung)?
- In welchem Rhythmus muss aufgefrischt werden (quartalsweise empfohlen)?
- Wie wird der Lernerfolg dokumentiert?
3×
weniger KI-Vorfälle in Unternehmen mit formaler KI-Richtlinie und regelmäßiger Schulung
Source : Gartner, IT Risk Management Survey 2025
Einführung der Richtlinie im Unternehmen
Eine Richtlinie, die niemand kennt, existiert nicht. So führen Sie sie ein:
Woche 1–2: Entwurf im KI-Governance-Gremium. Abstimmung mit Rechtsabteilung und Betriebsrat.
Woche 3: Freigabe durch die Geschäftsführung. Veröffentlichung im Intranet.
Woche 4–6: Pflichtschulung für alle Mitarbeiter. Jeder muss die Richtlinie gelesen und verstanden haben — idealerweise mit einem kurzen Test oder Quiz.
Laufend: Quartalsweise Aktualisierung. Halbjährliche Auffrischungsschulung. Jährliche Gesamtrevision.
KI-Richtlinie umsetzen mit Brain
Brain hilft Ihnen, die KI-Richtlinie nicht nur zu schreiben, sondern auch zu leben. Die Plattform bietet praxisnahe Schulungsmodule, die Ihre Mitarbeiter mit den Regeln vertraut machen — rollenspezifisch, in kurzen Einheiten, mit automatischer Dokumentation.
Kein Mitarbeiter wird eine 20-seitige Richtlinie lesen. Aber 10 Minuten interaktives Training pro Woche verankern die Regeln im Arbeitsalltag. Und Brain dokumentiert jeden Schritt — für Ihre interne Kontrolle und für die Aufsichtsbehörde.
Ähnliche Artikel
KI-Governance aufbauen: Praxisleitfaden für Unternehmen
Strukturieren Sie Richtlinien, Verantwortlichkeiten und Dokumentation für KI. AI-Act-konformes Governance-Framework für Unternehmen.
KI-Richtlinie erstellen: 10 Abschnitte + Muster 2026
Erstellen Sie Ihre KI-Richtlinie Schritt für Schritt: 10 Pflichtabschnitte, Musterstruktur und Tipps zur Durchsetzung im Unternehmen.
KI-Ethik: Grundsätze und Leitfaden für Unternehmen
Entwickeln Sie Ihren eigenen KI-Ethik-Leitfaden: Grundsätze, typische Dilemmata und AI-Act-Rechtsrahmen praxisnah erklärt.