KI-Verordnung: Alle Fristen 2025–2027 im Überblick
KI-Verordnung Fristen im Überblick: Welche Pflicht wann greift – von der KI-Kompetenz seit Februar 2025 bis zum Geltungsbeginn für Hochrisiko-KI ab 2. August 2026.
Weiterlesen
Künstliche Intelligenz ist im Mittelstand längst angekommen: Fast jedes zweite Unternehmen in Deutschland setzt KI aktiv ein, wie die Bitkom-Erhebung zur KI-Nutzung zeigt. Vor allem generative KI wie ChatGPT von OpenAI oder Microsoft Copilot ist in vielen Büros zum Alltagswerkzeug geworden. Das Problem dabei ist selten die Technik – sondern dass niemand die Regeln kennt. Genau hier setzt eine KI-Nutzungsrichtlinie an: ein internes Dokument, das festlegt, wer im Unternehmen welche KI-Systeme und KI-Tools wofür und mit welchen Daten nutzen darf. Sie schafft klare Leitplanken für die Nutzung von ChatGPT und vergleichbaren Diensten.
Lesetipp: Wie Sie KI im Unternehmen rechtssicher einführen – von der Toolauswahl bis zur Richtlinie – lesen Sie kompakt in unserem kostenlosen E-Book „KI sicher einsetzen — Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →
Der häufigste Fehler ist nicht der bewusste Regelverstoß, sondern das Fehlen jeder Regel. Mitarbeitende laden Kundendaten in ChatGPT, um eine E-Mail formulieren zu lassen. Sie fügen einen vertraulichen Vertragsentwurf in ein KI-Tool ein, um ihn zusammenfassen zu lassen. Meist mit den besten Absichten – und ohne zu wissen, dass solche Eingaben je nach Anbieter und Tarif zur Modellverbesserung weiterverarbeitet werden können.
Für diesen unkontrollierten Einsatz gibt es einen Begriff: Schatten-KI. Sie entsteht, wenn Beschäftigte KI-Systeme ohne Wissen und Freigabe der Geschäftsführung verwenden. Drei Risiken wiegen dabei besonders schwer:
Eine KI-Nutzungsrichtlinie verwandelt den unkontrollierten Umgang mit KI – die Schatten-KI – in einen dokumentierten, steuerbaren Prozess. Sie ist im EU AI Act (Verordnung (EU) 2024/1689) – der KI-Verordnung der EU – zwar nicht als eigenständige Pflicht genannt, doch sie hilft Ihnen, gleich mehrere reale Anforderungen an die Nutzung von KI-Systemen strukturiert zu erfüllen.
Eine praxistaugliche Richtlinie muss nicht lang sein, aber vollständig. Die folgenden Grundregeln bilden den fachlichen Kern:
| Regelbereich | Was Sie festlegen sollten |
|---|---|
| Datenschutz | Welche Daten dürfen eingegeben werden? Keine personenbezogenen Daten in Tools ohne Auftragsverarbeitungsvertrag (AVV). |
| Vertraulichkeit | Betriebsgeheimnisse, Verträge und Quellcode nur in freigegebenen, abgesicherten Umgebungen. |
| Transparenz | KI-gestützt erstellte Inhalte kennzeichnen, wo es relevant ist – intern wie gegenüber Kunden. |
| Qualität | KI-Ausgaben sind Entwürfe. Fachliche Prüfung durch einen Menschen vor Veröffentlichung ist Pflicht. |
| Urheberrecht | Fremde Inhalte nicht ungeprüft übernehmen; Nutzungsrechte an generierten Werken vorab klären. |
Die kostenlose Web-Version vieler KI-Dienste ist datenschutzrechtlich anders zu bewerten als die Business- oder Enterprise-Variante mit Auftragsverarbeitungsvertrag und deaktiviertem Training. Regeln Sie in der Richtlinie ausdrücklich, welche Tarif-Variante freigegeben ist – nicht nur, welches Tool.
Neben den Grundregeln gehören zwei „harte” Bausteine hinein: verbotene Nutzungen – etwa das Eingeben von Gesundheits- oder Bewerberdaten, vollautomatische Entscheidungen ohne menschliche Kontrolle oder der Einsatz nicht freigegebener Tools. Solche Anwendungen sollten Sie ausdrücklich untersagen, um einen rechtssicheren und ethisch vertretbaren KI-Einsatz zu gewährleisten. Hinzu kommt eine klare Meldepflicht, damit Beschäftigte wissen, an wen sie sich bei einem Vorfall oder einer Unsicherheit wenden.
Eine KI-Nutzungsrichtlinie verbietet nicht KI – sie erlaubt sie kontrolliert. Ich erlebe bei Mandanten immer wieder, dass Mitarbeitende KI-Tools aus Unsicherheit heimlich nutzen. Sobald klar geregelt ist, welches Tool für welche Daten freigegeben ist, hört das auf. Das schützt die Daten und entlastet gleichzeitig die Teams.
Wichtig ist der Zusammenhang zum EU AI Act: Die KI-Kompetenzpflicht nach Art. 4 der KI-Verordnung verpflichtet Betreiber seit dem 2. Februar 2025, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Eine Richtlinie plus dokumentierte Schulung ist ein pragmatischer Weg, diesen Nachweis zu führen. Zugleich lässt sich damit sicherstellen, dass Ihr Team generative KI verantwortungsvoll einsetzt – und sie ist die passende Grundlage, um sich auf den allgemeinen Geltungsbeginn ab dem 2. August 2026 vorzubereiten. Wie die konkreten Datenschutzfragen beim Einsatz von ChatGPT aussehen, haben wir im Beitrag EU AI Act und ChatGPT vertieft.
Die folgende Struktur können Sie als Vorlage übernehmen und für Ihr Unternehmen ausfüllen. So wird aus der allgemeinen Idee eine konkrete KI-Richtlinie für Unternehmen jeder Größe. Sie deckt alle relevanten Bereiche in einer logischen Reihenfolge ab:
Halten Sie die Richtlinie kurz und verständlich – zwei bis vier Seiten genügen für die meisten KMU. Eine Regelung, die niemand liest, schützt niemanden. Ergänzen Sie sie durch eine dokumentierte Kurzschulung, dann haben Sie Richtlinie und Kompetenznachweis in einem Aufwasch.
Sobald KI-Tools im Unternehmen kursieren, ist die Frage nicht mehr ob, sondern wie geregelt sie genutzt werden. Eine KI-Nutzungsrichtlinie verwandelt Schatten-KI in einen sicheren, nachweisbaren Prozess: Sie schützt Ihre Daten, gibt den Teams Handlungssicherheit und stützt die KI-Kompetenzpflicht nach Art. 4 AI Act. Mit der Vorlage oben haben Sie die Struktur – den Rest füllen Sie mit Ihren konkreten Tools und Zuständigkeiten. Wer eine strukturierte Umsetzung sucht, findet mit unserem KI-Compliance-Modul Hugo KI einen roten Faden von der Toolauswahl bis zur dokumentierten Richtlinie.
KI-Nutzungsrichtlinie und KI-Kompetenz strukturiert umsetzen
Hugo KI unterstützt Sie dabei, Ihre KI-Tools zu erfassen, zu bewerten und die passenden Richtlinien und Nachweise aufzubauen.
Hugo KI kennenlernen →Eine KI-Nutzungsrichtlinie ist im EU AI Act nicht ausdrücklich als eigenständige Pflicht genannt. In der Praxis ist sie aber das zentrale Dokument, mit dem Sie die KI-Kompetenzpflicht nach Art. 4 AI Act nachweisen und den datenschutzkonformen Einsatz von ChatGPT, Copilot und Co. steuern.
Geltungsbereich, eine Liste zugelassener Tools, Grundregeln zu Datenschutz, Vertraulichkeit, Transparenz, Qualität und Urheberrecht, ausdrücklich verbotene Nutzungen, eine Meldepflicht bei Vorfällen sowie die verpflichtende Schulung der Mitarbeitenden mit klaren Verantwortlichkeiten.
Nur, wenn das eingesetzte Tool vertraglich datenschutzkonform abgesichert ist – etwa über einen Auftragsverarbeitungsvertrag und eine Enterprise-Version mit deaktiviertem Training. In öffentlichen Gratis-Versionen sollten keine personenbezogenen oder vertraulichen Daten eingegeben werden.
Schatten-KI bezeichnet den Einsatz von KI-Tools durch Mitarbeitende ohne Wissen und Freigabe des Unternehmens. Das Risiko: unkontrollierter Datenabfluss, Verstöße gegen DSGVO und Geheimhaltungspflichten sowie ein fehlender Kompetenznachweis nach Art. 4 AI Act.
Art. 4 AI Act verpflichtet Betreiber seit dem 2. Februar 2025, für ausreichende KI-Kompetenz ihres Personals zu sorgen. Die KI-Nutzungsrichtlinie legt die Regeln fest, an denen Sie Ihre Mitarbeitenden schulen – und dokumentiert damit einen Teil dieser Kompetenz.
Inhaltsverzeichnis
KI-Verordnung Fristen im Überblick: Welche Pflicht wann greift – von der KI-Kompetenz seit Februar 2025 bis zum Geltungsbeginn für Hochrisiko-KI ab 2. August 2026.
Weiterlesen
KI-Register erstellen: Welche Felder ein KI-Inventar braucht und wie Sie es Schritt für Schritt aufbauen – die Basis jeder AI-Act-Nachweisführung.
Weiterlesen
Hochrisiko-KI nach Anhang III erkennen: die 4 Risikoklassen der KI-Verordnung, die 8 Hochrisiko-Bereiche und welche Pflichten ab 2. August 2026 gelten.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular