Anmelden Abonnieren
Glossar

KI-Richtlinie

KI-Richtlinie

Auf einen Blick

Eine KI-Richtlinie ist ein internes Dokument, das festlegt, welche KI-Tools in einem Unternehmen genutzt werden dürfen und welche Regeln dabei gelten. Sie schafft klare Verantwortlichkeiten und sorgt für rechtssichere sowie ethisch vertretbare KI-Nutzung.

KategorieKI-Governance
Lesezeit8 Min
ZielgruppeFührungskräfte, Compliance-Verantwortliche, IT-Entscheider
SchwierigkeitFortgeschritten
Stand2026-05
QuellenFachartikel, Praxisleitfäden

Geschäfts-Praxis

KI-Richtlinie — internes Dokument, das regelt, welche KI-Tools für welche Aufgaben benutzt werden dürfen, welche Daten nicht in die Cloud gehören und wie der Eskalationsweg bei Grenzfällen aussieht.

Warum KMU 2026 eine schriftliche KI-Richtlinie brauchen

Bis Ende 2024 war eine KI-Richtlinie „nice to have". Seit 2025 ist sie aus drei Gründen praktisch Pflicht:

  1. EU AI Act Artikel 4: Betreiber müssen „ausreichende KI-Kompetenz" sicherstellen. Eine schriftliche Richtlinie + Schulung ist der einfachste Nachweis.
  2. DSGVO-Risiko: Mitarbeitende laden Mandanten- oder Kundendaten in ChatGPT, ohne Bedenken. Ohne Richtlinie haben Sie als Geschäftsführung keine Verteidigung.
  3. Versicherungen und Auditor: Cyber-Versicherer und ISO-Zertifizierer fragen 2026 explizit nach KI-Governance-Dokumenten.

Was eine gute KI-Richtlinie enthält

1. Zweck und Geltungsbereich

Wer fällt darunter (alle Mitarbeitende, externe Dienstleister, Praktikanten)? Was wird geregelt (Cloud-KI, lokale KI, KI-Plugins in bestehenden Tools)?

2. Erlaubte und nicht-erlaubte Tools

Konkrete Liste — keine Allgemeinplätze. Erlaubt für textbasierte Arbeit: ChatGPT Team, Claude Team, DeepL Pro. Erlaubt für Code: GitHub Copilot mit Business-Lizenz. Nicht erlaubt: Free-/Plus-Konten für Geschäftsdaten, Tools ohne AVV.

3. Verbotene Datentypen

Klar und konkret: Kein Hochladen von Mandanten-/Patientendaten, Personalakten, Verträgen unter NDA, Strategie-Papieren, Quellcode mit Zugangsdaten. Lieber explizit verbieten als Lücken lassen.

4. Beispiele für Grenzfälle

Das ist der wichtigste Teil — und der oft vergessene. Beispiele:

  • „Darf ich eine anonymisierte Kunden-Beschwerde in ChatGPT zur Analyse hochladen?" → Ja, wenn wirklich anonym
  • „Darf ich meinen Lebenslauf eines Bewerbers von ChatGPT zusammenfassen lassen?" → Nein (Hochrisiko EU AI Act)
  • „Darf ich öffentliche Marketing-Texte überarbeiten?" → Ja, ohne Bedenken

5. Eskalations-Prozess

Bei Unsicherheit fragen MitarbeiterInnen wen? E-Mail an datenschutz@firma.de? Slack-Kanal #ki-fragen? Wichtig: niedrige Schwelle, schnelle Antwort, keine Angstkultur.

6. Kennzeichnung und Transparenz

KI-generierte Inhalte intern und extern kennzeichnen: in E-Mails, Berichten, Posts. Reduziert Haftungsrisiko und schafft Vertrauen.

7. Schulungspflicht

Jeder neue Mitarbeitende durchläuft eine 30-Minuten-KI-Einführung. Bestehende Mitarbeitende einmal pro Jahr.

Praxisbeispiel: Steuerberater-Kanzlei mit 12 MA

Vorher: Drei Mitarbeitende nutzen heimlich ChatGPT für Schriftsätze. Shadow IT, niemand weiß, was hochgeladen wird.

Nach Einführung einer KI-Richtlinie:

  • Claude Team für die ganze Kanzlei (12 Lizenzen, AVV-Vertrag mit Anthropic)
  • Mandanten-Daten werden vor Upload pseudonymisiert (Skript via Make)
  • Lokale KI (Ollama + Llama 3.3) für besonders sensible Mandate
  • Schulung 30 min beim Einstellungsgespräch
  • Quartals-Audit: welche Tools werden wofür genutzt?

Ergebnis: 6 Stunden pro Woche pro Mitarbeitenden gespart, kein DSGVO-Vorfall, klare Compliance-Dokumentation.

Wie schreibt man die Richtlinie?

Nicht selbst aus dem Nichts. Drei Optionen:

  1. Template anpassen: Wir bieten ein kostenloses Template — fertig formuliert, in 30 min auf Ihr Unternehmen angepasst. Hier herunterladen.
  2. Externe Beratung: Für komplexe Branchen (Anwälte, Ärzte, Banken) lohnt sich ein Compliance-Berater oder Anwalt — 1–2 Tage Aufwand, 1.500–3.000 €.
  3. Eigene Erstellung mit Vorlagen: BSI, Bitkom und einige Wirtschaftskammern bieten Mustervorlagen kostenlos an.

Häufige Fehler bei KI-Richtlinien

  • Zu lang: 30 Seiten liest niemand. Maximal 5 Seiten plus 2 Seiten FAQ.
  • Zu vage: „Mitarbeitende sollen verantwortungsvoll mit KI umgehen" ist null Hilfe. Konkret werden.
  • Einmal-Übung: Eine Richtlinie ohne Schulung und ohne Aktualisierung ist ein Aktenordner-Alibi.
  • Keine Beispiele: Mitarbeitende brauchen Grenzfälle, keine abstrakten Regeln.
  • Verbot ohne Alternative: Wenn Sie ChatGPT verbieten ohne erlaubte Alternative anzubieten, entsteht Shadow IT.

Verwandte Begriffe

DSGVO · EU AI Act · Shadow IT · AVV · PII

Kostenloses Template

Wir haben ein fertiges DOCX-Template für die KI-Richtlinie. In 30 Minuten auf Ihr Unternehmen angepasst, DSGVO-konform. Hier anfordern →

Häufige Fragen

Was ist eine KI-Richtlinie?

Eine KI-Richtlinie ist ein internes Regelwerk, das den Einsatz von KI-Tools im Unternehmen steuert. Sie definiert, welche Tools für welche Aufgaben erlaubt sind, wer sie nutzen darf und welche Sicherheits- und Datenschutzvorgaben gelten.

Warum braucht ein Unternehmen eine KI-Richtlinie?

Ohne Richtlinie drohen rechtliche Risiken, Datenlecks oder unethische KI-Nutzung. Die Richtlinie schafft Klarheit, minimiert Haftungsrisiken und stellt sicher, dass KI im Einklang mit Datenschutz (DSGVO) und Unternehmenswerten eingesetzt wird.

Welche Inhalte sollte eine KI-Richtlinie abdecken?

Typische Inhalte sind: erlaubte Tools und Anwendungsfälle, Verantwortlichkeiten, Datenschutz- und Sicherheitsanforderungen, Umgang mit KI-Ergebnissen (Prüfpflicht), Schulungsvorgaben sowie Sanktionen bei Verstößen.

Wie setzt man eine KI-Richtlinie im Unternehmen durch?

Die Richtlinie sollte von der Geschäftsführung verabschiedet und klar kommuniziert werden. Regelmäßige Schulungen, klare Eskalationswege und technische Kontrollen (z. B. Zugriffsbeschränkungen) helfen bei der Umsetzung.

Zuletzt aktualisiert: 2026-06-01 · Autor: Florian Neuhuber

Lies auch

SPF (Sender Policy Framework)

SPF (Sender Policy Framework)

Auf einen Blick SPF (Sender Policy Framework) ist ein E-Mail-Authentifizierungsstandard, der festlegt, welche Server E-Mails für eine Domain senden dürfen. Es hilft, Spoofing zu verhindern und verbessert die Zustellbarkeit, indem es Empfängern erlaubt, legitime von gefälschten Absendern zu unterscheiden. KategorieE-Mail-SicherheitLesezeit8 MinZielgruppeKMU, IT-Administratoren, MarketingverantwortlicheSchwierigkeitEinsteigerStand2026-05QuellenFachartikel, RFC-Standards SPF (Sender Policy F
Florian Neuhuber
SMTP (Simple Mail Transfer Protocol)

SMTP (Simple Mail Transfer Protocol)

Auf einen Blick SMTP ist das Standardprotokoll zum Versenden von E-Mails. Es regelt die Kommunikation zwischen Mailservern und ist grundlegend für die E-Mail-Zustellbarkeit. Zusammen mit SPF, DKIM und DMARC bildet es die Basis für sicheren E-Mail-Verkehr. KategorieE-Mail-ProtokolleLesezeit8 MinZielgruppeKMU, IT-Verantwortliche, MarketingfachleuteSchwierigkeitEinsteigerStand2026-05QuellenFachartikel, RFCs SMTP (Simple Mail Transfer Protocol) ist das Standard-Protokoll, über
Florian Neuhuber
DKIM (DomainKeys Identified Mail)

DKIM (DomainKeys Identified Mail)

Auf einen Blick DKIM (DomainKeys Identified Mail) ist ein E-Mail-Authentifizierungsstandard, der digitale Signaturen nutzt, um die Integrität und Herkunft von E-Mails zu prüfen. Es hilft, Spam und Phishing zu reduzieren und verbessert die Zustellbarkeit, indem es zusammen mit SPF und DMARC eingesetzt wird. KategorieE-Mail-SicherheitLesezeit8 MinZielgruppeKMU, IT-Verantwortliche, E-Mail-AdministratorenSchwierigkeitFortgeschrittenStand2026-05QuellenFachartikel, RFC-Standards DKIM (DomainKey
Florian Neuhuber

Kommentare ()

× 📊 KI-Reality-Check
Wie nutzt der Mittelstand wirklich KI? 2 Min, anonym. Jetzt mitmachen →