KI-Richtlinie für Unternehmen — Einsatz von KI-Systemen regeln
Warum jede Firma eine KI-Policy braucht – und was drin stehen muss
KI-Richtlinie für Ihr Unternehmen — erlaubte Tools, verbotene Daten, klare Verantwortlichkeiten
Lieber erstmal schreiben? Kontaktformular
Ohne KI-Richtlinie: Regeln für den Einsatz von KI fehlen
Shadow AI ist Ihr größtes Risiko
Über 68 % der Beschäftigten nutzen KI-Tools ohne Genehmigung. Ohne Policy wissen Sie nicht, welche Daten an welche Anbieter fließen — ein massives DSGVO-Risiko.
Verantwortlichkeiten ungeklärt
Wer entscheidet über neue Tools? Wer prüft die Ergebnisse? Wer haftet bei Fehlern? Ohne Policy gibt es keine klaren Zuständigkeiten.
AI Act fordert Dokumentation
Ab August 2026 verlangt der EU AI Act Nachweise über den KI-Einsatz im Unternehmen. Eine Policy ist die organisatorische Grundlage für diese Compliance.
Persönliche Beratung + digitale Plattform
Sie sprechen direkt mit Nils — TÜV-zertifizierter Datenschutzbeauftragter. Die digitale Plattform übernimmt Verzeichnis, AVVs, Schulungen und Doku, damit Sie nicht in Word-Dokumenten ertrinken.
Warum Unternehmen in Hamburg sich für frag.hugo entscheiden
Erlaubte & verbotene Tools
Klare Whitelist freigegebener Tools — mit Version, DPA-Status und Einsatzzweck.
Datenkategorien definiert
Welche Daten dürfen in Prompts? Welche nie? Eindeutige Vorgaben statt Grauzone.
Freigabeprozess
Neues Tool? Antrag → DSB-Prüfung → DPA-Check → Freigabe. Kein unkontrollierter Wildwuchs.
Verantwortlichkeiten
KI-Beauftragter, DSB-Einbindung, Eskalationswege — alles klar geregelt.
Schulungskonzept
Einführungsschulung, jährliche Auffrischung, Onboarding-Modul inklusive.
AI-Act-ready
Ihre Policy erfüllt bereits die Dokumentationspflichten des EU AI Act.
KI-Richtlinie einführen — Schritte zur Umsetzung
Bestandsaufnahme
Welche Tools werden genutzt? Wo ist Shadow AI? Welche Daten fließen?
Policy erstellen
Individuelle KI-Policy mit allen 7 Bausteinen — zugeschnitten auf Ihre Branche.
Schulung & Rollout
Beschäftigte schulen, Vorgaben verbindlich einführen, Nachweise dokumentieren.
Pflege & Updates
Halbjährliche Reviews, Anpassung bei neuen Tools oder Rechtsänderungen.
Das sagen unsere Mandanten
„Wir dachten, wir sind zu klein für einen externen DSB. Drei Mitarbeiter, Videoagentur. Aber unsere Auftraggeber aus dem Gesundheitswesen verlangten plötzlich AVVs und Nachweise. Nils hatte das in zwei Tagen aufgesetzt.“
„Innerhalb von 24 Stunden war klar, dass wir die Umfrage datenschutzkonform durchführen können. So schnell hat noch kein Berater reagiert.“
„Ein Großkunde hat uns ein NIS2-Lieferantenaudit geschickt – 38 Fragen, Nachweise verlangt. Dank frag.hugo hatten wir alle Richtlinien und das Datenschutzkonzept bereits parat. Auftrag gerettet.“
„Für jeden ist Datenschutz wichtig. Und für uns ist es wichtig, eine pragmatische Lösung zu finden, wie Unternehmen ihren Datenschutz umsetzen — ohne dabei den Geschäftsbetrieb einzustellen.“
Nils Oehmichen — Geschäftsführer & Datenschutzberater, frag.hugo
Inhalt in Kürze
- Eine KI-Richtlinie regelt den Einsatz von KI: erlaubte Tools, verbotene Datenkategorien, Freigabeprozesse und Verantwortlichkeiten.
- Ohne Policy entsteht Shadow AI — unkontrollierte Nutzung durch Beschäftigte, die erhebliche DSGVO-Risiken birgt.
- Der EU AI Act fordert ab Februar 2025 KI-Kompetenz-Schulungen und ab August 2026 umfassende Dokumentationspflichten.
- frag.hugo erstellt individuelle KI-Richtlinien für Hamburger Unternehmen — praxistauglich, rechtssicher und AI-Act-ready.
Warum Ihr Unternehmen jetzt eine KI-Richtlinie braucht
Mehr als die Hälfte Ihrer Büro-Mitarbeitenden nutzt vermutlich gerade ChatGPT, Copilot, DeepL oder Midjourney — meist, ohne dass die Geschäftsführung davon weiß. E-Mails, Präsentationen, Datenanalysen, Code: KI hat sich in den Alltag geschlichen. Die Frage ist nicht mehr, ob Sie KI im Unternehmen haben, sondern ob Sie wissen, welche.
Ohne Regeln nennt man das Shadow AI — und das heißt: Sie haften für Datenflüsse, die Sie nicht kontrollieren. Eine KI-Richtlinie verbietet KI nicht, sie kanalisiert sie. So nutzen Ihre Leute die Tools, die Sie freigegeben haben, statt eigene Wege zu suchen.
Was ist eine KI-Richtlinie?
Eine KI-Richtlinie (auch: AI Policy, KI-Policy) ist ein internes Regelwerk, das festlegt, wie Ihr Unternehmen Künstliche Intelligenz einsetzt. Sie ist kein technisches Dokument, sondern ein verbindliches organisatorisches Rahmenwerk, das für alle Beschäftigten gilt.
Eine gute Policy beantwortet drei zentrale Fragen:
- Welche KI-Tools dürfen genutzt werden?
- Wie dürfen sie genutzt werden?
- Was passiert bei Verstößen?
Die sieben Bausteine einer KI-Richtlinie
1. Geltungsbereich und Definitionen
Definieren Sie klar, was in Ihrem Unternehmen als „KI-Tool” gilt und für wen die Policy gilt. Denken Sie dabei über ChatGPT hinaus: KI steckt auch in CRM-Systemen, Marketing-Automation, Buchhaltungssoftware und Analyse-Tools.
2. Freigegebene Tools (Whitelist)
Listen Sie alle freigegebenen Tools auf. Für jedes dokumentieren Sie:
- Name und Anbieter
- Freigegebene Version (z. B. ChatGPT Enterprise, nicht ChatGPT Free)
- Einsatzzweck
- Datenkategorien, die verarbeitet werden dürfen
- Vorhandenes Data Processing Agreement (DPA/AVV)
- Verantwortlicher Ansprechpartner
3. Verbotene Datenkategorien in Prompts
Definieren Sie explizit, welche Daten niemals in Prompts eingegeben werden dürfen:
- Personenbezogene Daten (Namen, E-Mail-Adressen, Adressen)
- Gesundheitsdaten und Daten aus BEM-Verfahren
- Bewerbungsunterlagen und Personalakten
- Kundendaten und Vertragsinhalte
- Geschäftsgeheimnisse und unveröffentlichte Finanzdaten
- Passwörter und Zugangsdaten
- Quellcodes und proprietäre Algorithmen
Definieren Sie auch, welche Daten unter bestimmten Bedingungen erlaubt sind – etwa anonymisierte Daten oder aggregierte Statistiken. Gerade in mittleren Unternehmen fehlt häufig das Bewusstsein dafür, welche sensiblen Informationen Mitarbeiter in KI-Tools eingeben.
4. Freigabeprozess für neue Anwendungen
Beschäftigte müssen wissen, wie sie ein neues Tool für den geschäftlichen Einsatz beantragen können. Der Freigabeprozess sollte umfassen:
- Antrag beim KI-Beauftragten oder IT
- Datenschutzprüfung durch den DSB
- Prüfung des DPA/AVV
- Risikoeinschätzung (ggf. DSFA)
- Dokumentation im KI-Register
- Freigabe durch die Geschäftsführung
5. Dokumentationspflichten
Jeder KI-Einsatz muss dokumentiert werden. Das ist nicht nur gute Praxis, sondern wird ab August 2026 durch den EU AI Act für bestimmte Systeme verpflichtend. Dokumentieren Sie:
- Welche Tools eingesetzt werden
- Für welche Zwecke
- Von welchen Abteilungen
- Welche Daten verarbeitet werden
- Welche Risikobewertung vorliegt
6. Schulungskonzept
Eine KI-Richtlinie ist nur so gut wie das Verständnis der Mitarbeitenden. Planen Sie:
- Einführungsschulung bei Erstellung der Richtlinie
- Regelmäßige Auffrischungen (mindestens jährlich)
- Onboarding-Modul für neue Mitarbeitende
- Dokumentierte Teilnahmenachweise
7. Konsequenzen bei Verstößen
Definieren Sie klare Eskalationsstufen: von der mündlichen Ermahnung über die Abmahnung bis zur Kündigung in schwerwiegenden Fällen. Wichtig ist, dass die Konsequenzen verhältnismäßig und arbeitsrechtlich belastbar sind.
Schatten-KI: Das größte Risiko ohne Richtlinie — Vertraulichkeit sicherstellen
Shadow AI heißt: Ihre Mitarbeitenden nutzen KI, und Sie haben keinen Überblick, welche Tools, welche Daten, welche Anbieter. In Medien, Logistik, Finanzdienstleistung und E-Commerce — also genau in den großen Hamburger Branchen — ist die Verlockung besonders groß, weil KI hier sofort Effizienz bringt. Mitarbeitende automatisieren E-Mail-Entwürfe, Datenanalysen, Recherchen — und kippen dabei oft Kundennamen, Vertragstexte oder Bewerbungsunterlagen in Tools, mit denen Sie nie einen AVV abgeschlossen haben.
Die Konsequenzen von Shadow AI sind gravierend:
- Datenschutzverstöße: Personenbezogene Daten werden an Drittanbieter übermittelt, ohne Rechtsgrundlage, ohne AVV, ohne DSFA.
- Kontrollverlust: Sie wissen nicht, welche Daten wo verarbeitet werden.
- Haftungsrisiko: Bei einem Datenschutzvorfall können Sie nicht nachweisen, welche Maßnahmen Sie ergriffen haben.
- Qualitätsrisiken: KI-generierte Inhalte werden ungeprüft verwendet – mit potenziell fehlerhaften oder rechtlich problematischen Ergebnissen.
Was hilft: eine Richtlinie, die KI nicht verbietet, sondern den Pfad freischaufelt. Wer freigegebene Tools und klare Regeln hat, sucht keine Schleichwege.
KI-Richtlinie und EU AI Act: Regeln der KI-VO für Unternehmen sicherstellen
Seit August 2024 ist der EU AI Act in Kraft getreten — ab August 2026 greifen die wesentlichen Bestimmungen vollumfänglich. Die KI-VO verpflichtet Unternehmen unter anderem zur Dokumentation, Risikoklassifizierung und zum Betrieb eines KI-Registers für Hochrisiko-KI-Systeme. Besonders bei Hochrisiko-Anwendungen gelten strenge regulatorische Anforderungen an Transparenz, Datenqualität und menschliche Aufsicht. Eine interne KI-Richtlinie ist die organisatorische Grundlage, um die Einhaltung dieser Anforderungen sicherzustellen. Verschiedene KI-Modelle bringen unterschiedliche Risikoprofile mit sich, die bei der Risikoklassifizierung berücksichtigt werden müssen.
Hamburger Unternehmen, die jetzt eine wirksame KI-Richtlinie erstellen, schaffen die Voraussetzungen für die AI-Act-Compliance und sparen sich spätere Nacharbeit unter Zeitdruck.
Von der kostenlosen Vorlage zur wirksamen KI-Richtlinie für Unternehmen
Im Internet finden Sie zahlreiche KI-Richtlinien-Vorlagen — eine kostenlose Vorlage kann ein guter Ausgangspunkt sein, reicht aber selten aus. Eine wirksame KI-Richtlinie muss individuell auf Ihr Unternehmen zugeschnitten sein, um den rechtssicheren Einsatz von KI-Anwendungen im betrieblichen Alltag sicherzustellen:
- Welche KI-Tools setzen Sie tatsächlich ein?
- Welche Daten verarbeiten Sie?
- In welcher Branche sind Sie tätig (besondere Anforderungen z. B. im Gesundheitswesen, in der Finanzbranche)?
- Wie ist Ihre IT-Infrastruktur aufgebaut?
- Wie groß ist Ihr Unternehmen?
Eine kostenlose Vorlage kann den Rahmen liefern. Die inhaltliche Ausgestaltung erfordert Fachkompetenz in Datenschutz, IT-Sicherheit und den spezifischen Anforderungen Ihrer Branche. Nur so entsteht eine wirksame KI-Richtlinie, die den sicheren Einsatz von KI-Anwendungen im betrieblichen Alltag gewährleistet.
KI-Kompetenz nach EU AI Act: Regeln zur KI-Kompetenz ab Februar 2025 sicherstellen
Seit Februar 2025 müssen Unternehmen sicherstellen, dass Mitarbeitende, die KI-Systeme einsetzen oder überwachen, über ausreichende KI-Kompetenz verfügen (Art. 4 EU-KI-Verordnung). Diese Pflicht gilt unabhängig von der Risikoklasse des KI-Systems.
Konkret bedeutet das:
- Schulungspflicht: Alle Mitarbeitenden, die KI-Systeme nutzen, müssen geschult werden — technisches Grundverständnis, Risikobewusstsein und ethische Prinzipien
- Dokumentation: Die durchgeführten Schulungen und Teilnahmenachweise müssen dokumentiert werden
- Regelmäßige Auffrischung: KI entwickelt sich rasant — einmalige Schulungen reichen nicht
Eine KI-Richtlinie liefert den Rahmen für diese Schulungspflicht: Sie definiert, was geschult wird, wer geschult wird und wie oft. Nur so können Unternehmen die Anforderungen erfüllen, die der EU AI Act an den kompetenten Umgang mit KI stellt.
KI-Richtlinie einführen: Schritte zur Umsetzung — Verantwortlichkeiten festlegen und ethische Prinzipien verankern
Eine unternehmensinterne KI-Richtlinie einzuführen ist kein einmaliges Projekt, sondern ein laufender Governance-Prozess. Um den Einsatz künstlicher Intelligenz im Unternehmen zu regulieren, empfehlen wir folgende Schritte:
- Ist-Analyse: Welche KI-Tools werden bereits genutzt? Wo ist Shadow AI? Welche Daten fließen an welche Anbieter?
- Stakeholder einbinden: IT, Datenschutz, Geschäftsführung, Betriebsrat und Fachabteilungen an einen Tisch bringen
- Richtlinie erstellen: Die sieben Bausteine mit konkreten Inhalten füllen — zugeschnitten auf Ihre Branche und Unternehmensgröße
- Governance festlegen: KI-Beauftragten benennen, Verantwortlichkeiten und Eskalationswege definieren
- Schulung und Rollout: Mitarbeitende schulen, Richtlinie verbindlich einführen, Nachweise dokumentieren
- Regelmäßige Reviews: Halbjährlich prüfen, ob die Richtlinie noch aktuell ist — neue Tools, neue Rechtslagen, neue Risiken
Ethische Prinzipien und AI-Act-Compliance
Neben rechtlichen Anforderungen sollte Ihre KI-Richtlinie auch ethische Prinzipien festlegen:
- Transparenz: Kunden und Geschäftspartner erfahren, wenn KI an der Erstellung von Inhalten oder Entscheidungen beteiligt war
- Menschliche Kontrolle: KI-generierte Ergebnisse werden immer von einem Menschen geprüft, bevor sie verwendet werden
- Fairness: KI-Systeme werden auf Bias und Diskriminierung geprüft
- Vertraulichkeit: Geschäftsgeheimnisse und personenbezogene Daten werden nicht in unkontrollierte KI-Systeme eingegeben
Diese ethischen Leitlinien stärken das Vertrauen von Kunden und Mitarbeitenden und bereiten Ihr Unternehmen auf die Transparenzpflichten des EU AI Act vor.
Nächste Schritte
Hugo DSB hilft Ihnen bei der Erstellung und laufenden Pflege Ihrer KI-Richtlinie. Nils, Ihr persönlicher Datenschutzberater, unterstützt Sie dabei, eine KI-Richtlinie zu entwickeln, die zu Ihrem Unternehmen passt — praxistauglich, rechtssicher und AI-Act-ready. Ob KMU oder mittleres Unternehmen: Wir helfen Führungskräften, den Einsatz künstlicher Intelligenz datenschutzrechtlich abzusichern und regulatorische Anforderungen zu erfüllen.
Warum frag.hugo? Ihr Partner für KI-Governance in Hamburg
Wir sitzen seit Jahren in Hamburger Unternehmen — vom Handwerksbetrieb bis zum Finanzdienstleister. Nils Oehmichen, TÜV-zertifizierter Datenschutzbeauftragter, hat KI-Policies in dutzenden Unternehmen eingeführt und weiß, wo der Schuh drückt: Die Richtlinie muss kurz genug sein, dass Mitarbeitende sie auch lesen, und konkret genug, dass sie wissen, welches Tool wofür. Sie bekommen Bestandsaufnahme, Richtlinie, Schulung und halbjährliches Review aus einer Hand.
Vereinbaren Sie ein kostenloses Erstgespräch und legen Sie den Grundstein für den sicheren KI-Einsatz in Ihrem Unternehmen.
Wer am Telefon sitzt, wenn Sie anrufen.
Nils Oehmichen
Datenschutzberater & Geschäftsführer
Bei frag.hugo telefonieren Sie direkt mit Nils — kein Account-Manager, keine Hotline. Er ist seit über 13 Jahren TÜV-zertifizierter Datenschutzberater für Mittelständler und kennt Datenschutz, DSGVO, NIS2 und den EU AI Act aus über 200 Mandaten.
KI-Richtlinie für Unternehmen — FAQ zum Einsatz von KI
Eine explizite Pflicht gibt es derzeit nicht, aber die KI-Verordnung (EU AI Act) und die DSGVO fordern Dokumentations- und Organisationspflichten, die faktisch eine interne Policy erfordern. Müssen Unternehmen regeln, welche Tools Beschäftigte nutzen dürfen und wie der Datenschutz gewährleistet wird.
Eine vollständige Policy regelt: freigegebene Tools, Umgang mit personenbezogenen Daten in Prompts, Freigabeprozess für neue Anwendungen und Schulungsanforderungen. Zudem enthält sie ethische Grundsätze, Eskalationswege bei Verstößen und Dokumentationspflichten nach der Verordnung.
Shadow AI — der unkontrollierte Einsatz durch Beschäftigte — verhindern Sie durch klare Vorgaben. Stellen Sie freigegebene Tools bereit, damit niemand auf unkontrollierte Alternativen ausweicht. Schaffen Sie Bewusstsein durch Schulung zu Datenschutzrisiken. Und setzen Sie technische Kontrollen ein, um ausschließlich verantwortungsvolle Nutzung zu gewährleisten.
Die Policy sollte mindestens halbjährlich überprüft und bei Bedarf aktualisiert werden. Anlassbezogene Aktualisierungen sind erforderlich bei: neuen Tools, geänderten Vorgaben der Verordnung, Datenschutzvorfällen oder wenn sich ethische Anforderungen weiterentwickeln. Schulungen für Beschäftigte sollten jede Aktualisierung begleiten.
Die Verantwortung liegt bei der Geschäftsführung. Operativ empfiehlt sich ein KI-Komitee aus IT, Datenschutz und Fachabteilungen, das festlegt, welche Tools Beschäftigte nutzen dürfen. Der DSB berät bei der Erstellung und stellt sicher, dass der Datenschutz eingehalten wird.
Art. 4 der Verordnung fordert ausreichende KI-Kompetenz aller Beschäftigten, die KI nutzen. Schulungen sollten den verantwortungsvollen Umgang, Datenschutzrisiken, die internen Vorgaben der Policy und praktische Anwendungsfälle abdecken. Wir beraten Sie bei Konzeption und Durchführung.
Künstliche Intelligenz (KI) bezeichnet Systeme, die eigenständig lernen, Muster erkennen und Entscheidungen treffen — von ChatGPT über Modelle für Datenanalyse bis zu automatisierten Entscheidungssystemen. Ohne eine interne Richtlinie können Beschäftigte KI unkontrolliert nutzen (Schatten-KI), was Datenschutz- und Haftungsrisiken birgt. Die EU-Verordnung stellt Anforderungen an den Einsatz von KI. Eine Policy schafft Governance und definiert den verantwortungsvollen Umgang im Unternehmen.
Die EU-Verordnung klassifiziert KI in Risikoklassen. Hochrisiko-Anwendungen — etwa im Personalwesen, in der Kreditwürdigkeitsprüfung oder im Gesundheitswesen — unterliegen besonderen Transparenzpflichten und Dokumentationsanforderungen. Ihre Policy muss festlegen, welche Anwendungen als Hochrisiko gelten, wie die Einhaltung gewährleistet wird und welche Governance-Strukturen die Zuständigkeiten abbilden. Verschiedene Modelle bringen unterschiedliche Risikoprofile mit sich.
Ja. Eine Policy ermöglicht es KMU, Prozesse sicher zu automatisieren — von der E-Mail-Verarbeitung über die Datenanalyse bis zur Dokumentenerstellung. Sie definiert, welche Tools für welche Aufgaben freigegeben sind und welche Datenkategorien verarbeitet werden dürfen. Beschäftigte können KI rechtssicher nutzen, ohne dass unkontrollierter Wildwuchs entsteht.
Eine Policy definiert verbindliche Vorgaben für den Datenschutz: Welche vertraulichen Daten dürfen nicht eingegeben werden? Wie wird Transparenz gegenüber Kunden gewährleistet? Und wie stellt das Unternehmen Compliance mit der DSGVO sicher? Die Vorgaben schützen sensible Unternehmensdaten — mit klaren Prozessen für Schulung, Dokumentation und laufende Kontrolle.
Ab Februar 2025 fordert der AI Act Kompetenz-Schulungen für alle Beschäftigten, die KI nutzen. Ab August 2026 greifen umfassende Dokumentationspflichten, insbesondere bei Hochrisiko-Anwendungen. Eine interne Policy ist die organisatorische Grundlage, um diese Anforderungen zu erfüllen. Unternehmen sollten jetzt beginnen, ethische Prinzipien, Transparenz und Compliance verbindlich festzulegen — bevor die Fristen greifen.
Shadow-AI-Quote
AI Act Pflichten
Bußgelder bei unseren Mandanten
Jeder Tag ohne KI-Richtlinie ist ein Tag, an dem Mitarbeitende unkontrolliert Unternehmensdaten in KI-Tools eingeben. Der AI Act macht Dokumentation ab 2026 zur Pflicht. Starten Sie jetzt.
Jetzt absichern — Erstgespräch buchenInformationssicherheit & Datenschutz in Hamburg
Logistik, Hafen, Medien, E-Commerce, Finanzdienstleister — jede Hamburger Branche hat ihre eigene Datenschutz-Baustelle. Wir kennen sie aus über 200 Mandaten.
Wir sitzen selbst in Hamburg und arbeiten regelmäßig mit der Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI) zusammen. Wir wissen, was die Behörde bei Prüfungen sehen will und was nicht.
Unser Büro in der Spaldingstraße 64-68, 20097 Hamburg ist gut mit dem ÖPNV erreichbar — Sie können vorbeikommen, statt nur zu telefonieren.
Wir sitzen mitten in Hamburg
Unser Büro liegt in der Spaldingstraße im Hamburger Stadtzentrum — gut mit ÖPNV erreichbar. Vor-Ort-Termine machen wir gerne, sagen Sie einfach Bescheid.
- Vor-Ort-Termine in Hamburg und Umgebung
- Kurze Reaktionszeiten durch regionale Präsenz
- Kenntnis der zuständigen Landesdatenschutzbehörde
Nils Oehmichen & Jens Hagel — Ihre Ansprechpartner
Jetzt Erstgespräch vereinbaren
Oder: Lassen Sie Ihre Website kostenlos prüfen — in 60 Sekunden wissen Sie, wo Sie stehen.
Unverbindlich, persönlich, ohne versteckte Kosten.
100 % Datenverarbeitung in Deutschland · Hetzner · ISO 27001
Lieber erstmal schreiben? Kontaktformular
