KI-Richtlinie für [Unternehmensname]
========================================
Version 1.0 · Stand: [Datum] · Verantwortlich: [Geschäftsführung]


1. ZWECK UND GELTUNGSBEREICH

Diese Richtlinie regelt den Einsatz von Künstlicher-Intelligenz-Tools (KI-Tools) im Unternehmen [Unternehmensname]. Sie gilt für:

- Alle Mitarbeiter:innen (Festangestellte, Werkstudent:innen, Praktikant:innen, Werkvertragsnehmer:innen)
- Geschäftsleitung
- Externe Dienstleister:innen, soweit sie für [Unternehmensname] arbeiten

Geregelt wird sowohl die Nutzung von Cloud-KI (z. B. ChatGPT, Claude) als auch lokal betriebener KI-Modelle und KI-Funktionen in bestehenden Tools (z. B. Notion AI, Microsoft Copilot).

Diese Richtlinie ist Teil der KI-Kompetenz-Anforderung nach Artikel 4 EU AI Act.


2. ERLAUBTE KI-TOOLS

Folgende Tools sind für die geschäftliche Nutzung freigegeben:

| Tool                | Zweck                          | Verfügbar für        | AVV vorhanden |
|---------------------|--------------------------------|----------------------|---------------|
| [z. B. Claude Team] | Text, Code, Analyse            | Alle Mitarbeitenden  | Ja            |
| [z. B. Microsoft Copilot] | Office-Integration       | [Abteilung]          | Ja            |
| [z. B. n8n Self-Hosted] | Workflow-Automatisierung   | IT-Team              | n/a (lokal)   |

Andere Tools dürfen nicht für geschäftliche Zwecke ohne vorherige Freigabe durch [Verantwortliche/r] verwendet werden.


3. VERBOTENE DATENTYPEN IN CLOUD-KI

Folgende Daten dürfen NICHT in Cloud-KI-Tools eingegeben oder hochgeladen werden:

- Personenbezogene Daten von Kund:innen, Lieferant:innen, Bewerber:innen (Namen, E-Mail-Adressen, Telefonnummern, Adressen, IDs)
- Daten von Mandant:innen / Patient:innen / Klient:innen
- Personalakten und HR-bezogene Informationen
- Verträge mit Vertraulichkeits-Klauseln (NDA)
- Quellcode mit Zugangsdaten, API-Keys oder Geschäftslogik
- Strategiepapiere, Finanzplanungen, M&A-Daten
- Sicherheitsrelevante interne Informationen

Bei Bedarf sind diese Daten zu pseudonymisieren oder in lokal betriebenen KI-Systemen (z. B. [Liste]) zu verarbeiten.


4. BEISPIELE FÜR GRENZFÄLLE

Erlaubt:
- Anonymisierte Kunden-Beschwerde zur Stil-Analyse hochladen
- Marketing-Texte ohne Personenbezug erstellen lassen
- Recherche zu öffentlichen Themen mit Quellenangabe
- Programmier-Tasks ohne Geschäftsgeheimnisse

Nicht erlaubt:
- KI-gestützte Bewerber-Auswahl (Lebenslauf-Screening) — Hochrisiko nach EU AI Act
- Mandanten-Dokumente in ChatGPT zur Zusammenfassung
- Personalentscheidungen ohne menschliche Letztentscheidung
- Vollautomatische Kunden-Kommunikation ohne Approval


5. KENNZEICHNUNG VON KI-INHALTEN

Mit KI generierte oder substanziell überarbeitete Inhalte sind als solche zu kennzeichnen, insbesondere:

- Externe Veröffentlichungen (Website, Social Media): Hinweis im Impressum/Disclosure
- Geschäfts-E-Mails an Kund:innen: bei substantieller KI-Generierung im Footer
- Interne Reports: am Anfang des Dokuments

[Anpassung an Branchen-Anforderungen erforderlich, z. B. Rechtsanwälte, Steuerberater, Mediziner:innen]


6. ESKALATIONS-PROZESS

Bei Unsicherheit, ob ein Use Case oder eine Datennutzung zulässig ist:

1. Erste Klärung: Frage in Slack/Teams-Kanal #ki-fragen
2. Bei rechtlichen Fragen: an [Datenschutzbeauftragte/r oder externe Beratung]
3. Bei Compliance-relevanten Fragen: an Geschäftsleitung

Es gibt keine "dummen Fragen". Wer fragt, schützt das Unternehmen.


7. SCHULUNGSPFLICHT

- Neue Mitarbeitende absolvieren die 30-minütige KI-Einführung im Onboarding (Pflicht)
- Bestehende Mitarbeitende absolvieren mindestens 1x jährlich eine Auffrischungsschulung
- Bei wesentlichen Änderungen dieser Richtlinie erfolgt eine Pflicht-Schulung
- Schulungsteilnahme wird in der Personalakte dokumentiert (Compliance-Nachweis EU AI Act)


8. AUFSICHT UND MONITORING

- Vierteljährliches Review der Tool-Nutzung durch [Verantwortliche/r]
- Bei Cloud-Tools: Audit-Logs werden geprüft (Wer nutzt was wofür)
- Bei Verstößen: Eskalation gemäß betrieblicher Praxis
- Anonyme Meldungen sind möglich via [Kanal]


9. REGELMÄSSIGE AKTUALISIERUNG

Diese Richtlinie wird mindestens halbjährlich überprüft und bei wesentlichen Änderungen
- der eingesetzten Tools
- der rechtlichen Rahmenbedingungen (DSGVO, EU AI Act)
- der internen Prozesse
aktualisiert. Aktuelle Version stets unter [internem Link].


10. INKRAFTTRETEN

Diese Richtlinie tritt am [Datum] in Kraft.

[Unterschrift Geschäftsleitung]


==================================================
Erstellt mit der KI-Richtlinien-Vorlage von KI-Rundschau
https://ki-rundschau.de/ki-richtlinie-muster/

Diese Vorlage ist kostenlos. Sie ersetzt keine
individuelle Rechtsberatung — speziell in sensiblen
Branchen (Rechtsanwälte, Steuerberater, Mediziner:innen)
empfiehlt sich die zusätzliche Prüfung durch eine
Fachperson.

Hilfe bei der Einführung? https://ki-rundschau.de/ki-im-unternehmen/
==================================================