Leitfaden: Wie schreibe ich meine eigene KI-Richtlinie? [inkl. Checkliste + Vorlage]

Künstliche Intelligenz ist längst in unserem Alltag angekommen: In Office-Tools, im Kundenservice, in Marketing-Automation oder bei der Datenanalyse. Genau deshalb wird es gefährlich, wenn Mitarbeitende „einfach mal machen“ – ohne klare Leitplanken. Diese praxisnahe Anleitung für Mittelstand und Großunternehmen zeigt Schritt für Schritt, wie Sie eine belastbare, verständliche und rechtssichere KI-Richtlinie entwickeln.

1. Warum Ihr Unternehmen eine KI-Richtlinie braucht – unbedingt

KI steckt bereits in vielen Standard-Tools und Spezialanwendungen. Ohne klare Regeln riskieren Unternehmen jedoch Datenlecks und die Verletzung von Geschäftsgeheimnissen, die Verarbeitung personenbezogener und sensibler Daten ohne Rechtsgrundlage im Sinne der DSGVO, Verstöße gegen Urheber-, Marken- und Persönlichkeitsrechte sowie ethische Probleme durch diskriminierende oder verzerrte KI-Ergebnisse (Bias). Hinzu kommen potenzielle Reputationsschäden und erhebliche Haftungsrisiken, wenn fehlerhafte KI-Outputs ungeprüft übernommen werden.

Eine KI-Richtlinie soll:

• Klarheit schaffen („Wer darf was?“),
• sensible Daten und Know-how schützen,
• rechtliche Vorgaben (z. B. DSGVO, Urheberrecht, EU-KI-Verordnung) berücksichtigen,
• Mitarbeitende sicher befähigen, KI produktiv und ohne Angst zu nutzen,
• Klare Verantwortungen zur Prüfung, Schulung und Aktualisierung zuweisen,
• Vertrauen bei Kunden, Partnern und Belegschaft erzeugen.

Wichtig ist dabei ein schlankes, praxisnahes Dokument – kein juristischer Wälzer. Ansonsten wird das Dokument von den Mitarbeitenden möglicherweise nicht vollständig gelesen oder erinnert werden.

2. Vorgehen: So starten Sie pragmatisch

Ein pragmatischer Einstieg lässt sich in fünf Schritten organisieren:

Team bilden

Ein interdisziplinäres Team sorgt dafür, dass technische, rechtliche und fachliche Perspektiven von Anfang an in Ihre KI-Richtlinie einfließen. Beteiligt sein sollten mindestens: IT, Fachbereich(e), Datenschutz, ggf. Legal/Compliance und HR. Dieses Team wird später oft als KI-Gremium oder KI-Büro weitergeführt.

Bestandsaufnahme („KI-Inventur“) erstellen

Eine systematische Bestandsaufnahme macht sichtbar, welche KI-Tools bereits im Einsatz sind – offiziell und inoffiziell – und wo Handlungsbedarf besteht.

Beispiele für KI, die oftmals schon früh in Verwendung ist sind Office-KI-Funktionen, Chatbots, Übersetzungs-Tools, Analysetools, Bildgeneratoren. Nutzen Sie interne Umfragen oder Workshops, um ein realistisches Bild zu erhalten.

Zielbild definieren

Ein klares Zielbild legt fest, welchen Nutzen KI im Unternehmen stiften soll und welche Risiken Sie bewusst begrenzen wollen.

Was wollen Sie mit KI erreichen?
Beispiele dafür sind Effizienz, Qualität, Innovation. Möglicherweise müssen Sie aber auch einfach internem oder externen Druck folgen oder Schatten-KI vorbeugen.

Wie risikobereit ist Ihr Unternehmen?
Manche Unternehmen sind eher restriktiv: Nutzung grundsätzlich untersagt, nur explizit freigegebene Tools;
Andere Unternehmen sind eher offen: Nutzung grundsätzlich möglich, aber mit klaren Grenzen und Regeln.

Erste Regeln formulieren (Minimum-Policy)

Mit wenigen, gut verständlichen Grundregeln schaffen Sie schnell Orientierung, was im Umgang mit KI erlaubt ist und was nicht.

1. Welche Tools sind erlaubt, welche verboten?
2. Dürfen Unternehmens-E-Mails für Registrierungen verwendet werden?
3. Dürfen vertrauliche oder personenbezogene Daten eingegeben werden? Wenn ja: wo, durch wen und unter welchen Bedingungen?
4. Dürfen KI-Outputs ohne Prüfung extern genutzt werden? (Empfehlung: nein.)

Schulung & Kommunikation planen

Durch gezielte Schulungen und transparente Kommunikation stellen Sie sicher, dass die KI-Richtlinie verstanden wird und im Alltag tatsächlich gelebt werden kann.

Policy allein genügt nicht. Es braucht Schulungen zu

• Funktionsweise von KI,
• Risiken (Halluzinationen, Bias),
• Datenschutz, Urheberrecht,
• internen Freigabe- und Meldewegen.

Schulungen sollten regelmäßig aktualisiert und ins Onboarding integriert werden.

Insbesondere KI-Verantwortliche müssen über ausreichende fachliche und rechtliche KI-Kompetenz verfügen und diese durch regelmäßige Weiterbildung aktuell halten. Fehlt internes Know-how, sollte gezielt externe Expertise hinzugezogen werden.

3. Kernbausteine einer KI-Richtlinie – Strukturvorschlag

Die folgenden Bausteine können Sie direkt als Gliederung für Ihre eigene KI-Richtlinie nutzen.

3.1 Einleitung & Zweck

Definieren Sie kurz und verständlich:

• warum Sie die Richtlinie einführen (z. B. sicherer, rechtskonformer, ethischer Einsatz),
• welche Ziele Sie verfolgen (Schutz von Personen, Daten und Geschäftsgeheimnissen, Förderung von Innovation),
• dass KI Entscheidungen unterstützen, aber menschliche Entscheidungen nicht ersetzen soll.

Formulieren Sie ausdrücklich, dass der Mensch für kritische Entscheidungen verantwortlich bleibt.

3.2 Geltungsbereich

Legen Sie fest:

• für welche Standorte, Gesellschaften und Geschäftseinheiten die Richtlinie gilt,
• für welche Personengruppen (Mitarbeitende, Werkvertragsnehmer, externe Dienstleister mit Systemzugriff),
• ob es länderspezifische Anlagen gibt (z. B. aufgrund abweichender rechtlicher Rahmenbedingungen).

3.3 Begriffsbestimmungen

Sorgen Sie für ein gemeinsames Verständnis zentraler Begriffe, z. B.:

• KI-System / KI-Anwendung (ggf. mit Bezug auf die Definition im EU AI Act),
• personenbezogene Daten und besondere Kategorien personenbezogener Daten (Art. 9 DSGVO),
• vertrauliche / streng vertrauliche / geheime Informationen (an Ihre Info-Klassifizierung anlehnen),
• Prompt / Prompting (Eingabe an ein KI-System zur Generierung von Ergebnissen).

Klare Definitionen erleichtern Schulung, Umsetzung und Audit.

3.4 Verantwortlichkeiten & KI-Governance

Ohne klare Verantwortlichkeiten ist jede Richtlinie wirkungslos. Typische Rollen sind:

3.5 Anwendungsbereich & Liste freigegebener KI-Tools

Ihre Richtlinie sollte eine transparente Liste freigegebener KI-Tools enthalten, z. B. in einer Anlage:

• Tool-Name,
• Anbieter/Hersteller,
• Risikokategorie (kein/geringes/Hochrisiko/verboten),
• erlaubte Einsatzzwecke (z. B. Textentwürfe, Übersetzungen, interne Analysen),
• verbotene Einsatzzwecke (z. B. Personalentscheidungen, Rechtsberatung, medizinische Diagnosen),
• Betriebsort (In-House, Private Cloud, externer Dienstleister).

Definieren Sie daher zusätzlich:

• ob und wann neue Tools getestet werden dürfen,
• wie ein Freigabeprozess für neue KI-Anwendungen aussieht (Antrag, Prüfung, Entscheidung, Dokumentation).

3.6 Grundprinzipien der KI-Nutzung

Formulieren Sie klare Leitplanken, die für alle gelten:

1. Verantwortungsvolle Nutzung
   • KI ist ein Werkzeug zur Unterstützung, keine Letztinstanz.
   • Entscheidungen mit Auswirkungen auf Menschen werden immer von Menschen getroffen.
2. Nur freigegebene Tools
   • Für geschäftliche Zwecke dürfen nur von IT/Fachbereichen freigegebene KI-Systeme genutzt werden.
   • Private oder öffentliche Tools dürfen nicht ohne Freigabe für Unternehmenszwecke verwendet werden.
3. Trennung privat/dienstlich
   • Dienstliche KI-Anwendungen werden nicht privat genutzt,
   • private KI-Accounts werden nicht für dienstliche Aufgaben verwendet.
4. Transparenz & Kennzeichnung
   • KI-generierte Inhalte müssen als solche erkennbar sein.
   • Vorgabe einer einheitlichen Kennzeichnung, z. B. „Mit Hilfe von KI erstellt“.
5. Keine vollautomatisierten Entscheidungen mit Rechtswirkung
   • Entscheidungen mit rechtlicher oder ähnlich signifikanter Wirkung für natürliche Personen dürfen nicht ausschließlich automatisiert im Sinne von Art. 22 DSGVO getroffen werden.
   • KI darf Empfehlungen liefern, die Entscheidung liegt beim Menschen.

3.7 Umgang mit Daten: Input-Regeln

Ohne klare Datenregeln ist eine KI-Richtlinie praktisch wertlos.

Unterscheiden Sie insbesondere:

3.7.1 Vertrauliche Unternehmensdaten & Geschäftsgeheimnisse

Daten, die als „vertraulich“, „streng vertraulich“ oder „geheim“ klassifiziert sind, dürfen grundsätzlich nicht in externe KI-Systeme eingegeben werden, die außerhalb der Kontrolle des Unternehmens betrieben werden.

Dazu gehören u. a.:

• IT-Sicherheitsinformationen,
• Geschäfts- und Betriebsgeheimnisse,
• unveröffentlichte Finanzdaten und strategische Planungen.

Ausnahmen sind nur in begründeten Einzelfällen mit dokumentierter Zustimmung der Unternehmensleitung und nur in hinreichend abgesicherten Systemen zulässig.

3.7.2 Personenbezogene Daten

Grundsatz: Die Eingabe personenbezogener Daten in KI-Systeme ist untersagt, sofern nicht ausdrücklich etwas anderes definiert wurde.

Wenn die Verarbeitung personenbezogener Daten durch ein KI-System ausnahmsweise zulässig und notwendig ist:

• Es braucht eine klare Rechtsgrundlage (z. B. Vertrag, berechtigtes Interesse, Einwilligung),
• es gilt das Prinzip der Datenminimierung (nur, was wirklich erforderlich ist),
• besondere Kategorien personenbezogener Daten (z. B. Gesundheitsdaten) erfordern strenge zusätzliche Schutzmaßnahmen und in der Regel eine ausdrückliche Einwilligung,
• der Datenschutzbeauftragte ist zwingend einzubeziehen.

3.7.3 Geistiges Eigentum / Urheberrecht

Vor der Eingabe von Texten, Bildern, Code oder anderen Inhalten in KI-Systeme ist zu prüfen, ob entsprechende Nutzungsrechte bestehen.

Es dürfen keine Eingaben verwendet werden, die darauf abzielen, urheberrechtlich geschützte Werke gezielt nachzubilden oder zu kopieren.

3.8 Nutzung von KI-Ergebnissen: Output-Regeln

Definieren Sie verbindliche Regeln für den Umgang mit KI-Outputs:

Plausibilitäts- und Qualitätsprüfung

• Alle KI-Ergebnisse sind auf Richtigkeit, Vollständigkeit und Plausibilität zu prüfen, bevor sie weiterverwendet oder extern kommuniziert werden.
• Dazu gehört insbesondere die Kontrolle von Fakten, Daten, Quellenangaben und Rechenbeispielen.

Prüfung auf Halluzinationen und Bias

• KI-Systeme können fehlerhafte oder erfundene Informationen („Halluzinationen“) erzeugen.
• Ergebnisse sind auf sachliche Fehler, logische Brüche und diskriminierende oder stereotype Inhalte zu prüfen.
• Werden systematische Fehler erkannt, ist dies intern (z. B. an Vorgesetzte oder das KI-Büro) zu melden.

Kennzeichnung von KI-generierten Inhalten

• Texte, Bilder, Videos oder andere Inhalte, die wesentlich durch KI erstellt wurden, müssen entsprechend gekennzeichnet werden.
• Wo möglich, sollten auch technische Kennzeichnungen (Metadaten, Wasserzeichen) genutzt werden.

Urheberrechtlicher Status von KI-Outputs

• KI-generierte Inhalte genießen in vielen Rechtsordnungen keinen oder nur eingeschränkten urheberrechtlichen Schutz.
• Das sollte in Ihrer IP-Strategie und bei Vereinbarungen mit Kunden und Partnern berücksichtigt werden.

3.9 Schulung & Sensibilisierung

Schulung ist kein „Nice-to-have“, sondern Voraussetzung für einen sicheren KI-Einsatz:

• Mitarbeitende dürfen freigegebene KI-Anwendungen erst nach Teilnahme an einer KI-Schulung nutzen.
• Schulungen sollten mindestens folgende Themen abdecken:
  • Grundlagen von KI, Chancen und Risiken,
  • typische Fehlverhalten von Systemen (Halluzinationen, Bias),
  • Datenschutz und Informationssicherheit,
  • Umgang mit geschützten Daten und Geschäftsgeheimnissen,
  • interne Prozesse (Tool-Freigabe, Meldung von Vorfällen, Dokumentation).
• Wiederkehrende Auffrischungen (z. B. jährlich) und spezifische Trainings für Hochrisiko-Anwendungen sind sinnvoll.
• Die Schulung sollte fest im Onboarding neuer Mitarbeitender verankert sein.

3.10 Ethische Leitlinien

Geben Sie der Richtlinie eine klare Wertebasis:

Fairness & Nichtdiskriminierung

• KI-Systeme sollen keine Personen oder Gruppen aufgrund von Merkmalen wie Geschlecht, Herkunft, Religion, Alter etc. benachteiligen.
• Mitarbeitende sind angehalten, Outputs kritisch zu prüfen und diskriminierende Inhalte zu melden.

Transparenz & Nachvollziehbarkeit

• Prozesse, in denen KI eingesetzt wird, sollen dokumentiert und für Betroffene nachvollziehbar sein.
• Es sollte klar sein, wo und wie KI in Entscheidungsprozesse eingebunden wird.

Menschzentrierung

• Der Mensch bleibt verantwortlich, insbesondere bei sicherheitsrelevanten, rechtlich verbindlichen oder ethisch sensiblen Entscheidungen.
• KI dient der Unterstützung, nicht der Ersetzung menschlicher Urteilsfähigkeit.

3.11 Rechtliche Rahmenbedingungen

Listen Sie die wichtigsten rechtlichen Grundlagen auf und übersetzen Sie sie in verständliche interne Regeln:

• europäische und nationale KI-Regulierung (z. B. EU-KI-Verordnung),
• Datenschutzrecht (insbesondere DSGVO und nationale Datenschutzgesetze),
• Urheber-, Marken- und Persönlichkeitsrecht,
• arbeitsrechtliche Vorgaben (z. B. Mitbestimmung durch Betriebsrat beim Einsatz bestimmter Systeme).

3.12 Monitoring, Compliance & Sanktionen

Regeln wirken nur, wenn ihre Einhaltung überprüft wird:

• Definieren Sie, wie die Einhaltung der Richtlinie kontrolliert wird (z. B. durch Auswertung von Protokolldaten, interne Audits, Stichproben).
• Binden Sie Datenschutz und ggf. Mitarbeitervertretung ein, insbesondere wenn Protokolle personenbezogene Daten enthalten.
• Alle Kontrollen sind zu dokumentieren, wesentliche Ergebnisse sollten regelmäßig an die Geschäftsführung berichtet werden.
• Verstöße gegen die Richtlinie können arbeitsrechtliche und ggf. zivil- oder strafrechtliche Konsequenzen haben; Führungskräfte haben eine besondere Vorbild- und Kontrollfunktion.
• Legen Sie fest, dass die Richtlinie mindestens einmal jährlich überprüft und bei Bedarf (z. B. bei neuen Tools, Technologien oder Gesetzen) angepasst wird.

Definieren Sie außerdem den Umgang mit unvermeidbaren Abweichungen: In welchem Fall werden Abweichungen toleriert? Wie verläuft der entsprechende Prozess?

5. Konkreter Einstieg: Checkliste für Ihre erste KI-Richtlinie

Zum Abschluss eine kompakte Checkliste, mit der Sie prüfen können, ob die wichtigsten Punkte abgedeckt sind:

1. Ziele & Scope geklärt?
   • Was wollen wir mit KI erreichen?
   • Für welche Bereiche, Tools und Personen gilt die Richtlinie?
2. Verantwortliche benannt?
   • Gibt es ein KI-Gremium oder eine verantwortliche Person?
   • Wie sind Datenschutz, IT, Legal/Compliance, HR eingebunden?
3. Tool-Liste erstellt?
   • Welche KI-Tools sind explizit erlaubt, welche verboten?
   • Gibt es ein Verzeichnis und einen definierten Freigabeprozess?
4. Datenregeln definiert?
   • Welche Daten dürfen in welche Systeme?
   • Wie gehen wir mit vertraulichen und personenbezogenen Daten um?
   • Welche absoluten Verbote gelten?
5. Output-Regeln & Kennzeichnung geregelt?
   • Gibt es eine Pflicht zur Qualitäts- und Plausibilitätsprüfung?
   • Wie und wo werden KI-Inhalte gekennzeichnet?
   • Wie verhindern wir vollautomatisierte Entscheidungen mit Rechtswirkung?
6. Schulung & Awareness geplant?
   • Gibt es Pflichtschulungen und Wiederholungen?
   • Ist KI im Onboarding verankert?
7. Monitoring & Evaluation verankert?
   • Wer prüft die Einhaltung, in welchem Rhythmus und mit welchen Methoden?
   • Wie werden Verstöße behandelt?
   • Wie fließen neue gesetzliche Vorgaben in die Richtlinie ein?

6. Kostenlose Vorlage: Inhaltsverzeichnis einer KI-Richtlinie

Es ist nicht empfehlenswert ist, die KI-Richtlinie anderer Unternehmen wiederzuverwenden: Jedes Unternehmen hat seinen eigenen Umgang mit KI und ein vorgefertigter Text verleitet dazu, das Thema nicht ernst genug zu nehmen.
Eine gewisse Starthilfe ist dennoch hilfreich. Dazu dient unsere Vorlage eines Inhaltsverzeichnisses einer KI-Richtlinie: Orientierung, ohne zu viel vorwegzunehmen.

Zusammenfassung

Eine gute KI-Richtlinie ist:

• klar – Mitarbeitende wissen, welche KI-Tools sie wie nutzen dürfen,
• schützend – sie verhindert Datenlecks, Rechtsverstöße und Missbrauch,
• verbindlich – Zuständigkeiten, Prozesse und Konsequenzen sind definiert,
• lebendig – sie wird geschult, gelebt und regelmäßig aktualisiert.

Wenn Sie diese Bausteine strukturiert auf Ihr Unternehmen übertragen, schaffen Sie die Grundlage für einen sicheren, produktiven und vertrauenswürdigen KI-Einsatz – statt KI dem Zufall zu überlassen.