KI-Richtlinien für Unternehmen: Warum Ihr KMU jetzt eine KI-Policy braucht
Ihre Mitarbeiter nutzen ChatGPT. Wahrscheinlich tun sie das schon seit Monaten, vielleicht seit über einem Jahr. Die Frage ist nicht ob, sondern wie. Und genau da liegt das Problem: In den meisten mittelständischen Unternehmen gibt es dafür keine Regeln. Keine Vorgaben, welche Daten in ein KI-Tool eingegeben werden dürfen. Keine Klarheit darüber, wer die Ergebnisse prüft. Kein Dokument, auf das sich die Geschäftsführung berufen kann, wenn etwas schiefgeht.
Gleichzeitig tickt eine regulatorische Uhr: Ab August 2026 greifen die zentralen Hochrisiko-Vorschriften der EU-KI-Verordnung, dem sogenannten AI Act. Bußgelder können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen. Seit Februar 2025 gilt außerdem die sogenannte AI-Literacy-Pflicht. Jeder Mitarbeiter, der ein KI-System bedient, muss nachweisbar über ausreichende Kenntnisse verfügen.
Wer jetzt noch keine KI-Richtlinie hat, fährt ohne Sicherheitsgurt auf der Autobahn.
Was eine KI-Richtlinie ist und was sie nicht ist
Eine KI-Richtlinie ist kein juristisches Monstrum. Sie ist auch kein 80-seitiges Compliance-Dokument, das in einer Schublade verstaubt. Im besten Fall ist sie ein kompaktes, verständliches Regelwerk, das Ihren Mitarbeitern klare Orientierung gibt: Was darf ich mit KI machen? Was nicht? Und an wen wende ich mich, wenn ich unsicher bin?
Denken Sie an Ihre bestehende IT-Nutzungsrichtlinie oder Ihre Social-Media-Policy. Eine KI-Richtlinie funktioniert ähnlich. Sie definiert den Rahmen für den Umgang mit KI-Werkzeugen im Arbeitsalltag. Der Unterschied: KI-Tools verarbeiten Daten auf eine Weise, die vielen Mitarbeitern nicht bewusst ist. Wenn jemand vertrauliche Kundendaten in ChatGPT eingibt, verlassen diese Daten unter Umständen das Unternehmen. Das ist keine theoretische Gefahr, das passiert täglich.
Im Kern geht es darum, das Unternehmen zu schützen und den Mitarbeitern gleichzeitig Sicherheit zu geben. Nebenbei erfüllen Sie damit auch Ihre Nachweispflichten gegenüber Aufsichtsbehörden.
Die Bausteine einer guten KI-Richtlinie
Jedes Unternehmen ist anders, und eine KI-Richtlinie muss zum jeweiligen Betrieb passen. Trotzdem gibt es Elemente, die in keiner Policy fehlen sollten.
Erlaubte und verbotene Tools: Listen Sie konkret auf, welche KI-Werkzeuge Ihre Mitarbeiter verwenden dürfen. Nennen Sie die Tools beim Namen. “ChatGPT Enterprise” ist erlaubt, die kostenlose Version nicht? Schreiben Sie das hin. Microsoft Copilot ja, aber keine externen Bildgeneratoren? Klare Ansage. Wenn neue Tools dazukommen sollen, braucht es einen Freigabeprozess. Wer entscheidet? Die IT-Abteilung? Der Datenschutzbeauftragte? Beides zusammen? Legen Sie das fest.
Datenklassifizierung: Das ist der wichtigste Teil. Definieren Sie, welche Daten in KI-Systeme eingegeben werden dürfen und welche auf keinen Fall. Öffentlich verfügbare Informationen? In der Regel kein Problem. Interne Strategiedokumente, Kundendaten, Personalakten, Finanzzahlen? Tabu, zumindest bei externen KI-Diensten. Machen Sie es konkret. “Sensible Daten dürfen nicht verwendet werden” ist zu vage. Besser: “Kundennamen, E-Mail-Adressen, Vertragsinhalte und Gehaltsinformationen dürfen nicht in externe KI-Tools eingegeben werden.”
Qualitätsprüfung der Ergebnisse: KI-Systeme liefern manchmal falsche Informationen, die überzeugend klingen. Das Phänomen nennt sich Halluzination, und es betrifft alle großen Sprachmodelle. Ihre Richtlinie sollte klar vorgeben, dass KI-generierte Inhalte vor der Verwendung geprüft werden müssen. Wer einen Vertragsentwurf mit KI erstellt, muss ihn von der Rechtsabteilung freigeben lassen. Wer eine Marktanalyse generiert, muss die Zahlen gegenchecken.
Kennzeichnungspflichten: Legen Sie fest, wann KI-generierte Inhalte als solche gekennzeichnet werden müssen. In der externen Kommunikation? Immer? Nur bei bestimmten Dokumententypen? Es gibt hier noch keine einheitliche Praxis, aber es schadet nicht, sich frühzeitig eine klare Linie zu geben.
Verantwortlichkeiten: Benennen Sie eine Person oder ein kleines Team, das für das Thema KI im Unternehmen zuständig ist. Das können der IT-Leiter und der Datenschutzbeauftragte gemeinsam sein. Wichtig ist, dass es einen Ansprechpartner gibt, an den sich Mitarbeiter mit Fragen wenden können.
Die größten Fehler bei KI-Richtlinien
Ich sehe regelmäßig KI-Richtlinien, die gut gemeint sind, aber in der Praxis nicht funktionieren. Die häufigsten Fehler:
Erstens: Die Richtlinie ist zu lang und zu kompliziert. Wenn Ihre Mitarbeiter 20 Seiten Juristendeutsch lesen müssen, werden sie es nicht tun. Halten Sie die Kernregeln auf zwei bis drei Seiten. Ausführliche Erläuterungen können in einem Anhang stehen.
Zweitens: Die Richtlinie verbietet alles. Manche Unternehmen reagieren auf die Unsicherheit, indem sie KI komplett untersagen. Das funktioniert nicht. Ihre Mitarbeiter nutzen KI trotzdem, dann eben auf ihren privaten Geräten und ohne jede Kontrolle. Das Ergebnis: Sie haben das Schlimmste aus beiden Welten. Keine Innovation und keinen Schutz.
Drittens: Die Richtlinie existiert, aber niemand weiß davon. Eine KI-Policy, die per E-Mail verschickt und dann vergessen wird, bringt nichts. Sie brauchen eine Schulung, mindestens eine kurze Einführung pro Abteilung. Und Sie brauchen einen Prozess, um die Richtlinie regelmäßig zu aktualisieren, denn die Technologie entwickelt sich schnell.
Viertens: Kein Feedback-Kanal. Wenn Mitarbeiter auf Situationen stoßen, die die Richtlinie nicht abdeckt, brauchen sie einen Weg, das zu melden. Sonst entscheiden sie selbst, und das geht oft schief.
So erstellen Sie Ihre KI-Richtlinie in fünf Schritten
Falls Sie noch keine KI-Richtlinie haben, hier ein pragmatischer Weg, der auch mit begrenzten Ressourcen funktioniert.
Schritt 1: Bestandsaufnahme machen. Finden Sie heraus, welche KI-Tools in Ihrem Unternehmen bereits im Einsatz sind. Fragen Sie direkt bei den Teams nach. Sie werden überrascht sein, wie viele verschiedene Werkzeuge schon genutzt werden. Von ChatGPT über Grammarly bis zu branchenspezifischen Lösungen. Diese “KI-Inventur” ist die Grundlage für alles Weitere.
Schritt 2: Risiken bewerten. Nicht jeder KI-Einsatz birgt die gleichen Risiken. Ein Mitarbeiter, der sich von ChatGPT beim Formulieren einer internen E-Mail helfen lässt, ist ein anderer Fall als jemand, der Kundendaten in ein KI-System hochlädt. Bewerten Sie die Risiken nach der Art der verarbeiteten Daten und dem Einsatzkontext.
Schritt 3: Kernregeln formulieren. Schreiben Sie eine kompakte Policy, die die Dos und Don’ts klar benennt. Lassen Sie die Regeln von Ihrem Datenschutzbeauftragten und idealerweise einem Fachanwalt für IT-Recht prüfen. Die Sprache sollte so sein, dass jeder Mitarbeiter sie versteht, nicht nur die Juristen.
Schritt 4: Schulung durchführen. Stellen Sie die Richtlinie in einer kurzen Präsentation vor. Geben Sie Beispiele aus dem Arbeitsalltag. Zeigen Sie konkret, was erlaubt ist und was nicht. Lassen Sie Raum für Fragen. Die AI-Literacy-Pflicht des AI Acts verlangt ohnehin, dass Ihre Mitarbeiter geschult werden.
Schritt 5: Review-Zyklus einrichten. Planen Sie, die Richtlinie alle sechs Monate zu überprüfen. Neue Tools kommen auf den Markt, Gesetze ändern sich, und Ihre eigenen Erfahrungen wachsen. Eine KI-Richtlinie, die ein Jahr lang unverändert bleibt, ist mit hoher Wahrscheinlichkeit veraltet.
Was der AI Act für Ihr Unternehmen bedeutet
Die EU-KI-Verordnung betrifft nicht nur die großen Technologiekonzerne. Sie betrifft jedes Unternehmen, das KI-Systeme einsetzt. Auch den Mittelstand.
Der AI Act teilt KI-Systeme in Risikoklassen ein. Die meisten Anwendungen, die im Büroalltag verwendet werden, wie Textgeneratoren oder Übersetzungstools, fallen in die Kategorie “begrenztes Risiko”. Hier gelten vor allem Transparenzpflichten. Wenn ein KI-System direkt mit Kunden interagiert, zum Beispiel als Chatbot, muss offengelegt werden, dass es sich um eine KI handelt.
Anders sieht es bei sogenannten Hochrisiko-Anwendungen aus. Dazu gehören KI-Systeme, die bei der Personalauswahl, Kreditvergabe oder im Gesundheitsbereich eingesetzt werden. Für diese Systeme gelten ab August 2026 strenge Anforderungen an Dokumentation, Risikomanagement und menschliche Aufsicht.
Was viele Unternehmen übersehen: Auch wenn Sie selbst kein KI-System entwickeln, sondern nur eines nutzen, haben Sie als “Deployer” (Betreiber) Pflichten. Sie müssen sicherstellen, dass Sie das System bestimmungsgemäß einsetzen, dass Sie die Ergebnisse überwachen und dass Sie bei Problemen die zuständigen Behörden informieren.
Ihre KI-Richtlinie ist der erste Schritt, um diese Pflichten zu erfüllen. Sie zeigt, dass Sie sich mit dem Thema auseinandergesetzt haben und dass Sie Verantwortung übernehmen. Das ist nicht nur gesetzlich relevant, sondern auch ein Vertrauenssignal gegenüber Ihren Kunden und Geschäftspartnern.
Schatten-KI: Das unterschätzte Risiko
In fast jedem Unternehmen, das ich berate, gibt es das gleiche Phänomen: Mitarbeiter nutzen KI-Tools, von denen die IT-Abteilung nichts weiß. Das nennt sich Schatten-KI, und es ist das digitale Pendant zur Schatten-IT der 2010er Jahre, als plötzlich Dropbox und WhatsApp auf Firmengeräten auftauchten.
Der Unterschied: Bei Schatten-KI fließen potenziell vertrauliche Informationen in Systeme, die außerhalb Ihrer Kontrolle liegen. Ein Vertriebsmitarbeiter lässt sich von Claude einen Angebotstext schreiben und gibt dabei Preiskonditionen ein. Eine Personalleiterin nutzt ChatGPT, um Bewerbungsunterlagen zusammenzufassen. Ein Controller füttert ein KI-Tool mit Quartalszahlen, um eine Präsentation vorzubereiten. Keiner dieser Mitarbeiter hat böse Absichten. Aber alle drei haben gerade Unternehmensdaten an einen externen Dienstleister übermittelt.
Eine KI-Richtlinie löst dieses Problem nicht über Nacht. Aber sie schafft Bewusstsein. Und sie gibt den Mitarbeitern eine Möglichkeit, KI offiziell und sicher zu nutzen, statt es heimlich und ungeschützt zu tun.
Wo Sie anfangen sollten, wenn die Zeit knapp ist
Ich weiß, dass im Mittelstand selten ein Team von Compliance-Experten bereitsteht, das sich wochenlang mit KI-Richtlinien beschäftigen kann. Deshalb hier eine Minimalversion, die Sie in wenigen Tagen umsetzen können:
Schreiben Sie eine halbe Seite mit den drei wichtigsten Regeln. Zum Beispiel: Erstens, keine Kundendaten in externe KI-Tools eingeben. Zweitens, jeder KI-generierte Inhalt muss vor der Veröffentlichung von einem Menschen geprüft werden. Drittens, bei Unsicherheit an den Datenschutzbeauftragten wenden. Das ist kein fertiges Regelwerk, aber es ist besser als nichts. Und es gibt Ihnen eine Grundlage, auf der Sie aufbauen können.
Verschicken Sie diese halbe Seite an alle Mitarbeiter, am besten mit einem kurzen Begleittext, der erklärt, warum das Thema jetzt relevant ist. Planen Sie dann innerhalb der nächsten vier Wochen eine ausführlichere Version. Der erste Schritt muss nicht perfekt sein. Er muss nur existieren.
Ein letzter Gedanke: Viele Geschäftsführer schieben das Thema vor sich her, weil sie glauben, sie bräuchten erst eine KI-Strategie, bevor sie Regeln aufstellen können. Das ist ein Irrtum. Sie brauchen zuerst die Regeln, damit der aktuelle, unkontrollierte KI-Einsatz nicht zum Problem wird. Die Strategie können Sie parallel entwickeln.
Falls Sie Unterstützung bei der Erstellung Ihrer KI-Richtlinie brauchen oder Ihre Mitarbeiter im sicheren Umgang mit KI-Werkzeugen schulen wollen, sprechen Sie uns an. Bei KI-Schub entwickeln wir praxisnahe Weiterbildungen, die auf die Bedürfnisse mittelständischer Unternehmen zugeschnitten sind. Wir kennen die Fragen, die im Mittelstand aufkommen, weil wir sie jeden Tag beantworten. Und wir wissen, dass eine gute KI-Richtlinie kein Selbstzweck ist, sondern die Voraussetzung dafür, dass Ihr Unternehmen KI mit Zuversicht nutzen kann, statt mit Angst.
