KI-Richtlinie für Unternehmen — Einsatz von KI-Systemen regeln

Inhalt in Kürze

• Eine KI-Richtlinie für Unternehmen regelt den verantwortungsvollen Einsatz von KI: erlaubte Tools, verbotene Datenkategorien, Freigabeprozesse und Verantwortlichkeiten.
• Ohne KI-Richtlinie entsteht Shadow AI — unkontrollierte KI-Nutzung durch Mitarbeitende, die erhebliche DSGVO-Risiken birgt.
• Der EU AI Act fordert ab Februar 2025 KI-Kompetenz-Schulungen und ab August 2026 umfassende Dokumentationspflichten. Eine KI-Richtlinie ist die organisatorische Grundlage.
• frag.hugo erstellt individuelle KI-Richtlinien für Hamburger Unternehmen — praxistauglich, rechtssicher und AI-Act-ready.

Warum Ihr Unternehmen jetzt eine KI-Richtlinie braucht

In Hamburg nutzen bereits mehr als die Hälfte der Büro-Mitarbeitenden KI-Tools im Arbeitsalltag – oft ohne Wissen der Geschäftsführung oder IT-Abteilung. ChatGPT, Microsoft Copilot, Midjourney, DeepL und dutzende spezialisierte KI-Dienste werden eingesetzt, um E-Mails zu formulieren, Präsentationen zu erstellen, Daten auszuwerten und Code zu schreiben. Müssen Unternehmen hier nicht klare Regeln schaffen? Führungskräfte in KMU und mittleren Unternehmen stehen vor der Herausforderung, den verantwortungsvollen Einsatz von KI sicherzustellen — ohne Innovation zu bremsen.

Das Problem: Ohne klare interne Regeln entsteht Shadow AI – unkontrollierte KI-Nutzung, die erhebliche Datenschutz- und Sicherheitsrisiken birgt. Eine KI-Richtlinie für Unternehmen ist das verbindliche Fundament, um Innovation zu ermöglichen und gleichzeitig Compliance mit der KI-VO und der DSGVO sicherzustellen.

Was ist eine KI-Richtlinie?

Eine KI-Richtlinie (auch: AI Policy, KI-Policy) ist ein internes Regelwerk, das festlegt, wie Ihr Unternehmen Künstliche Intelligenz einsetzt. Sie ist kein technisches Dokument, sondern ein verbindliches organisatorisches Rahmenwerk, das für alle Mitarbeitenden gilt.

Eine gute KI-Richtlinie beantwortet drei zentrale Fragen:

1. Welche KI-Tools dürfen genutzt werden?
2. Wie dürfen sie genutzt werden?
3. Was passiert bei Verstößen?

Die sieben Bausteine einer KI-Richtlinie

1. Geltungsbereich und Definitionen

Definieren Sie klar, was in Ihrem Unternehmen als „KI-Tool” gilt und für wen die Richtlinie gilt. Denken Sie dabei über ChatGPT hinaus: KI steckt auch in CRM-Systemen, Marketing-Automation, Buchhaltungssoftware und Analyse-Tools.

2. Freigegebene KI-Tools

Listen Sie alle KI-Tools auf, die offiziell freigegeben sind. Für jedes Tool dokumentieren Sie:

• Name und Anbieter
• Freigegebene Version (z. B. ChatGPT Enterprise, nicht ChatGPT Free)
• Einsatzzweck
• Datenkategorien, die verarbeitet werden dürfen
• Vorhandenes Data Processing Agreement (DPA/AVV)
• Verantwortlicher Ansprechpartner

3. Verbotene Datenkategorien in Prompts

Definieren Sie explizit, welche Daten niemals in KI-Prompts eingegeben werden dürfen:

• Personenbezogene Daten (Namen, E-Mail-Adressen, Adressen)
• Gesundheitsdaten und Daten aus BEM-Verfahren
• Bewerbungsunterlagen und Personalakten
• Kundendaten und Vertragsinhalte
• Geschäftsgeheimnisse und unveröffentlichte Finanzdaten
• Passwörter und Zugangsdaten

Definieren Sie auch, welche Daten unter bestimmten Bedingungen erlaubt sind – etwa anonymisierte Daten oder aggregierte Statistiken.

4. Freigabeprozess für neue KI-Anwendungen

Mitarbeitende müssen wissen, wie sie ein neues KI-Tool für den geschäftlichen Einsatz beantragen können. Der Freigabeprozess sollte umfassen:

• Antrag beim KI-Beauftragten oder IT
• Datenschutzprüfung durch den DSB
• Prüfung des DPA/AVV
• Risikoeinschätzung (ggf. DSFA)
• Dokumentation im KI-Register
• Freigabe durch die Geschäftsführung

5. Dokumentationspflichten

Jeder KI-Einsatz muss dokumentiert werden. Das ist nicht nur gute Praxis, sondern wird ab August 2026 durch den EU AI Act für bestimmte KI-Systeme verpflichtend. Dokumentieren Sie:

• Welche KI-Tools eingesetzt werden
• Für welche Zwecke
• Von welchen Abteilungen
• Welche Daten verarbeitet werden
• Welche Risikobewertung vorliegt

6. Schulungskonzept

Eine KI-Richtlinie ist nur so gut wie das Verständnis der Mitarbeitenden. Planen Sie:

• Einführungsschulung bei Erstellung der Richtlinie
• Regelmäßige Auffrischungen (mindestens jährlich)
• Onboarding-Modul für neue Mitarbeitende
• Dokumentierte Teilnahmenachweise

7. Konsequenzen bei Verstößen

Definieren Sie klare Eskalationsstufen: von der mündlichen Ermahnung über die Abmahnung bis zur Kündigung in schwerwiegenden Fällen. Wichtig ist, dass die Konsequenzen verhältnismäßig und arbeitsrechtlich belastbar sind.

Schatten-KI: Das größte Risiko ohne Richtlinie

Schatten-KI (auch Shadow AI genannt) ist die unkontrollierte Nutzung von KI-Tools durch Mitarbeitende. In Hamburg, mit seinen starken Branchen in Medien, Logistik, Finanzdienstleistung und E-Commerce, ist die Versuchung groß: KI-Modelle und KI-Tools versprechen Effizienzgewinne, und die Hemmschwelle zur Nutzung ist niedrig. Gerade in KMU fehlt häufig ein strukturierter Umgang mit KI — dabei ist der Einsatz von KI im Unternehmen längst Alltag. Viele Mitarbeitende nutzen KI-Systeme, um repetitive Aufgaben zu automatisieren — vom E-Mail-Entwurf bis zur Datenanalyse. Ohne klare Regeln fließen dabei sensible Unternehmensdaten unkontrolliert an externe Anbieter.

Die Konsequenzen von Shadow AI sind gravierend:

• Datenschutzverstöße: Personenbezogene Daten werden an Drittanbieter übermittelt, ohne Rechtsgrundlage, ohne AVV, ohne DSFA.
• Kontrollverlust: Sie wissen nicht, welche Daten wo verarbeitet werden.
• Haftungsrisiko: Bei einem Datenschutzvorfall können Sie nicht nachweisen, welche Maßnahmen Sie ergriffen haben.
• Qualitätsrisiken: KI-generierte Inhalte werden ungeprüft verwendet – mit potenziell fehlerhaften oder rechtlich problematischen Ergebnissen.

Die beste Prävention gegen Shadow AI ist eine pragmatische KI-Richtlinie, die sinnvolle Nutzung ermöglicht statt sie zu verbieten. Wenn Ihre Mitarbeitenden freigegebene Tools und klare Regeln haben, sinkt der Anreiz, auf unkontrollierte Alternativen auszuweichen.

KI-Richtlinie und EU AI Act: Regeln der KI-VO sicherstellen

Seit August 2024 ist der EU AI Act in Kraft getreten — ab August 2026 greifen die wesentlichen Bestimmungen vollumfänglich. Die KI-VO verpflichtet Unternehmen unter anderem zur Dokumentation, Risikoklassifizierung und zum Betrieb eines KI-Registers für Hochrisiko-KI-Systemen. Besonders bei Hochrisiko-KI-Systemen gelten strenge regulatorische Anforderungen an Transparenz, Datenqualität und menschliche Aufsicht. Eine interne KI-Richtlinie ist die organisatorische Grundlage, um die Einhaltung dieser Anforderungen sicherzustellen. Der Einsatz von KI-Systemen in sensiblen Bereichen — etwa im Personalwesen, im Gesundheitswesen oder in der Kreditwürdigkeitsprüfung — unterliegt nach der KI-VO besonderen Transparenz- und Dokumentationspflichten. Verschiedene KI-Modelle bringen unterschiedliche Risikoprofile mit sich, die bei der Risikoklassifizierung berücksichtigt werden müssen.

Hamburger Unternehmen, die jetzt eine KI-Richtlinie erstellen, schaffen damit gleichzeitig die Voraussetzungen für die Compliance mit dem AI Act – und sparen sich spätere Nacharbeit unter Zeitdruck. Die Richtlinie dokumentiert den Einsatz von KI-Systemen und schafft die Grundlage für die Risikoklassifizierung, die die KI-VO fordert.

Von der kostenlosen Vorlage zur wirksamen KI-Richtlinie

Im Internet finden Sie zahlreiche KI-Richtlinien-Vorlagen — eine kostenlose Vorlage kann ein guter Ausgangspunkt sein, reicht aber selten aus. Eine wirksame KI-Richtlinie muss individuell auf Ihr Unternehmen zugeschnitten sein, um den rechtssicheren Einsatz von KI-Anwendungen im betrieblichen Alltag sicherzustellen:

• Welche KI-Tools setzen Sie tatsächlich ein?
• Welche Daten verarbeiten Sie?
• In welcher Branche sind Sie tätig (besondere Anforderungen z. B. im Gesundheitswesen, in der Finanzbranche)?
• Wie ist Ihre IT-Infrastruktur aufgebaut?
• Wie groß ist Ihr Unternehmen?

Eine Vorlage kann den Rahmen liefern. Die inhaltliche Ausgestaltung erfordert Fachkompetenz in Datenschutz, IT-Sicherheit und den spezifischen Anforderungen Ihrer Branche.

KI-Kompetenz nach EU AI Act: Richtlinie zur KI-Kompetenz ab Februar 2025

Seit Februar 2025 müssen Unternehmen sicherstellen, dass Mitarbeitende, die KI-Systeme einsetzen oder überwachen, über ausreichende KI-Kompetenz verfügen (Art. 4 EU-KI-Verordnung). Diese Pflicht gilt unabhängig von der Risikoklasse des KI-Systems.

Konkret bedeutet das:

• Schulungspflicht: Alle Mitarbeitenden, die KI-Systeme nutzen, müssen geschult werden — technisches Grundverständnis, Risikobewusstsein und ethische Prinzipien
• Dokumentation: Die durchgeführten Schulungen und Teilnahmenachweise müssen dokumentiert werden
• Regelmäßige Auffrischung: KI entwickelt sich rasant — einmalige Schulungen reichen nicht

Eine KI-Richtlinie liefert den Rahmen für diese Schulungspflicht: Sie definiert, was geschult wird, wer geschult wird und wie oft.

KI-Richtlinie einführen: Schritte zur Umsetzung und Verantwortlichkeiten festlegen

Eine unternehmensinterne KI-Richtlinie einzuführen ist kein einmaliges Projekt, sondern ein laufender Governance-Prozess. Um den Einsatz künstlicher Intelligenz im Unternehmen zu regulieren und die Einhaltung der regulatorischen Anforderungen zu erfüllen, empfehlen wir folgende Schritte:

1. Ist-Analyse: Welche KI-Tools werden bereits genutzt? Wo ist Shadow AI? Welche Daten fließen an welche Anbieter?
2. Stakeholder einbinden: IT, Datenschutz, Geschäftsführung, Betriebsrat und Fachabteilungen an einen Tisch bringen
3. Richtlinie erstellen: Die sieben Bausteine mit konkreten Inhalten füllen — zugeschnitten auf Ihre Branche und Unternehmensgröße
4. Governance festlegen: KI-Beauftragten benennen, Verantwortlichkeiten und Eskalationswege definieren
5. Schulung und Rollout: Mitarbeitende schulen, Richtlinie verbindlich einführen, Nachweise dokumentieren
6. Regelmäßige Reviews: Halbjährlich prüfen, ob die Richtlinie noch aktuell ist — neue Tools, neue Rechtslagen, neue Risiken

Ethische Prinzipien und vertrauliche Daten in der KI-Richtlinie für Unternehmen

Neben rechtlichen Anforderungen sollte Ihre KI-Richtlinie auch ethische Prinzipien für den KI-Einsatz festlegen:

• Transparenz: Kunden und Geschäftspartner erfahren, wenn KI an der Erstellung von Inhalten oder Entscheidungen beteiligt war
• Menschliche Kontrolle: KI-generierte Ergebnisse werden immer von einem Menschen geprüft, bevor sie verwendet werden
• Fairness: KI-Systeme werden auf Bias und Diskriminierung geprüft
• Vertraulichkeit: Geschäftsgeheimnisse und personenbezogene Daten werden nicht in unkontrollierte KI-Systeme eingegeben

Diese ethischen Leitlinien stärken das Vertrauen von Kunden und Mitarbeitenden und bereiten Ihr Unternehmen auf die Transparenzpflichten des EU AI Act vor.

Nächste Schritte

Hugo DSB hilft Ihnen bei der Erstellung und laufenden Pflege Ihrer KI-Richtlinie. Nils, Ihr persönlicher Datenschutzberater, unterstützt Sie dabei, eine KI-Richtlinie zu entwickeln, die zu Ihrem Unternehmen passt – praxistauglich, rechtssicher und zukunftsfähig mit Blick auf den EU AI Act und die KI-VO. Als datenschutzrechtlicher Berater verbindet er Compliance-Anforderungen mit dem Thema KI in Unternehmen — für den sicheren Einsatz von KI-Anwendungen im betrieblichen Alltag.

Wie lässt sich der Einsatz von KI im Unternehmen regulieren?

Der Einsatz von KI im Unternehmen lässt sich nur durch eine Kombination aus organisatorischen und technischen Maßnahmen regulieren. Eine KI-Richtlinie bildet das organisatorische Fundament: Sie definiert, welche KI-Systeme erlaubt sind, welche Daten verarbeitet werden dürfen und wer für die Überwachung zuständig ist. Der verantwortungsvolle Umgang mit KI erfordert klare Prozesse — von der Dateneingabe über die Qualitätskontrolle bis zur Dokumentation. Technisch können URL-Filter, Endpoint-DLP-Lösungen und Monitoring-Tools den unkontrollierten Zugriff auf nicht freigegebene KI-Dienste unterbinden. Ziel ist es, den Einsatz von KI-Systemen zu ermöglichen und gleichzeitig Prozesse zu automatisieren, ohne die Kontrolle über sensible Unternehmensdaten zu verlieren.

KI-Richtlinie für Unternehmen: Governance und Verantwortlichkeiten für den Einsatz von KI-Systemen

Eine unternehmensinterne KI-Richtlinie schafft die Governance-Struktur, die den verantwortungsvollen Einsatz von KI im Unternehmen sicherstellt. Die Verantwortlichkeiten müssen klar festgelegt werden: Ein KI-Beauftragter koordiniert den Einsatz von KI-Anwendungen, der Datenschutzbeauftragte prüft die Einhaltung der DSGVO, und die Geschäftsführung genehmigt neue KI-Systeme. Schulungen zur KI-Kompetenz sind nach der EU-KI-Verordnung ab Februar 2025 Pflicht — Mitarbeitende müssen den verantwortungsvollen Umgang mit KI-Tools und KI-Modellen beherrschen. Verschiedene KI-Modelle — von ChatGPT über Microsoft Copilot bis zu branchenspezifischen KI-Anwendungen — bringen unterschiedliche Risikoprofile mit sich. Die KI-VO klassifiziert KI-Systeme in Risikoklassen und stellt besonders strenge Anforderungen an Hochrisiko-KI-Systemen. Gerade in KMU müssen Unternehmen den Einsatz von KI-Systemen regulieren, um Schatten-KI zu vermeiden und die Einhaltung regulatorischer Anforderungen sicherzustellen. Eine rechtssichere KI-Richtlinie ist das organisatorische Fundament, das Transparenzpflichten, ethische Prinzipien und Governance-Strukturen verbindlich verankert.

Vereinbaren Sie ein kostenloses Erstgespräch und legen Sie den Grundstein für den sicheren KI-Einsatz in Ihrem Unternehmen.