+49 30 533206 – 570

KI/Projekte-Hotline: +49 3327 5658 – 0

info@digitalzentrum.berlin

KI-Richtlinie für Unternehmen in 7 Schritten: Mit kostenfreien Vorlagen und Praxistipps 

Eine KI-Richtlinie legt im Unternehmen fest, welche KI-Anwendungen Mitarbeitende nutzen dürfen, welche Daten dabei tabu sind und wer Ergebnisse prüft. Dieser Beitrag zeigt in sieben Schritten, wie kleine und mittlere Unternehmen eine eigene Richtlinie erarbeiten, welche kostenfreien Vorlagen es gibt und was sich durch die aktuellen Änderungen der europäischen KI-Verordnung ergibt.
KI-Richtlinie für Unternehmen in 7 Schritten: Mit kostenfreien Vorlagen und Praxistipps 

Das Wichtigste in Kürze:

  • Eine interne KI-Richtlinie ist gesetzlich nicht vorgeschrieben, aber der einfachste Weg, diese Anforderungen im Arbeitsalltag umzusetzen. Sie legt fest, welche KI-Anwendungen genutzt werden dürfen, welche Daten eingegeben werden dürfen, wer neue KI-Tools freigibt und wie KI-generierte Ergebnisse überprüft werden.
  • Der Vorteil: Mit einer klaren KI-Richtlinie begrenzen Unternehmen Schatten-KI (die Nutzung nicht freigegebener KI-Tools durch Mitarbeitende), schützen sensible Unternehmensdaten und schaffen verbindliche Regeln für den sicheren Einsatz von ChatGPT, Microsoft Copilot und anderen KI-Anwendungen.
  • Dieser Beitrag zeigt in sieben Schritten den Weg zur eigenen KI-Richtlinie und stellt kostenfreie, anbieterneutrale Vorlagen vor, unter anderem von IHK, Bitkom und dem Mittelstand-Digital Netzwerk.

In unseren Webinaren und Workshops taucht eine Frage verlässlich auf: Gibt es eine Vorlage für eine KI-Richtlinie? Die Frage kommt nicht von ungefähr: In vielen Unternehmen nutzen Mitarbeitende längst KI-Werkzeuge wie ChatGPT, Copilot oder Übersetzungsdienste, oft ohne dass die Geschäftsführung davon weiß. Gleichzeitig wächst der rechtliche Rahmen: Ab dem 2. August 2026 gelten die Transparenzpflichten der europäischen KI-Verordnung, während andere Pflichten gerade verschoben wurden. Viele Verantwortliche fragen sich deshalb: Was müssen wir jetzt regeln und wie fangen wir an?

Die gute Nachricht: Eine praxistaugliche KI-Richtlinie ist kein Großprojekt. Sie lässt sich mit überschaubarem Aufwand erstellen, wenn der Prozess strukturiert abläuft. Dieser Beitrag führt Sie in sieben Schritten zur eigenen Richtlinie, stellt kostenfreie Vorlagen und Arbeitshilfen vor und ordnet den aktuellen Rechtsstand ein. Er ersetzt keine Rechtsberatung, sondern gibt Ihnen eine Orientierung, mit der Sie intern ins Arbeiten kommen.

Inhalt:

Was ist eine KI-Richtlinie und was regelt sie?

Eine KI-Richtlinie, auch KI-Leitlinie genannt, ist ein internes Regelwerk, das den Einsatz von künstlicher Intelligenz im Unternehmen verbindlich ordnet: Sie legt fest, welche KI-Anwendungen genutzt werden dürfen, welche Daten dabei nicht eingegeben werden dürfen, wer neue Werkzeuge prüft und freigibt und wie mit KI-generierten Ergebnissen umgegangen wird. Sie ist damit zunächst ein Organisationsinstrument, kein juristisches Dokument. Sie beantwortet die Fragen, die im Arbeitsalltag tatsächlich entstehen: Darf ich den Kundentermin von einem KI-Assistenten zusammenfassen lassen? Darf ich Vertragsentwürfe in ein Übersetzungstool kopieren? Muss ich kennzeichnen, dass ein Text mit KI erstellt wurde?

Ebenso wichtig ist, was eine KI-Richtlinie nicht ist. Sie ist kein Ersatz für eine rechtliche Prüfung im Einzelfall, etwa wenn Sie KI in Personalentscheidungen oder sicherheitsrelevanten Prozessen einsetzen wollen. Sie ersetzt auch keine Betriebsvereinbarung: Sobald KI-Systeme das Verhalten oder die Leistung von Beschäftigten berühren, hat der Betriebsrat Mitbestimmungsrechte. Und sie ersetzt keine Schulung: Die KI-Verordnung verlangt von Unternehmen, dass Mitarbeitende, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Eine Richtlinie kann Schulungen verankern, aber nicht ersetzen.

Der Fokus einer guten Richtlinie liegt auf sicherer Nutzung statt auf Verboten. Wer nur verbietet, treibt Mitarbeitende in die sogenannte Schatten-KI: die Nutzung nicht freigegebener Werkzeuge über private Konten und Geräte. Genau das wollen Sie vermeiden, denn dann verlieren Sie den Überblick darüber, welche Unternehmensdaten in welchen Systemen landen.

Der rechtliche Rahmen: Was gilt ab August 2026?

Die europäische KI-Verordnung (auch AI Act genannt) ist der zentrale Rechtsrahmen für den KI-Einsatz in der EU. Sie verfolgt einen risikobasierten Ansatz: Je höher das Risiko eines KI-Systems, desto strenger die Anforderungen. Die meisten kleinen und mittleren Unternehmen sind dabei Betreiber. Das bedeutet: Sie nutzen KI-Systeme im beruflichen Kontext, entwickeln sie aber nicht selbst. Für Betreiber stehen organisatorische Pflichten im Vordergrund, nicht die umfangreichen Anforderungen an Hersteller.

Für Ihre Planung sind aktuell drei Punkte wichtig (Stand: Juli 2026):

Die KI-Verordnung gilt bereits: Diese Pflichten sind seit 2025 in Kraft

Die KI-Verordnung gilt gestaffelt, ihre Pflichten werden also schrittweise anwendbar. Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken nach Artikel 5 sowie die Pflicht zur KI-Kompetenz nach Artikel 4. Diese Pflicht besteht also bereits, ihre Durchsetzung gewinnt seit 2026 an praktischer Bedeutung. Unternehmen sollten sicherstellen, dass Mitarbeitende die Grundlagen, Chancen und Grenzen der eingesetzten KI-Systeme verstehen. Die EU-Kommission hat 2025 erläuternde Hinweise zur Auslegung von Artikel 4 sowie eine Sammlung von Praxisbeispielen zum Kompetenzaufbau veröffentlicht, abrufbar über den AI Act Service Desk.

Ab August 2026: Neue Transparenzpflichten für Chatbots, KI-Inhalte und Deepfakes

Ab dem 2. August 2026 werden die Transparenzpflichten nach Artikel 50 anwendbar. Sie unterscheiden drei Fallgruppen. Bei interaktiven Systemen wie Chatbots im Kundenkontakt muss erkennbar sein, dass Nutzerinnen und Nutzer mit einer KI interagieren. Bei synthetischen Inhalten, also KI-generierten Bildern, Videos, Audiodateien oder Texten, müssen Anbieter sicherstellen, dass die Ausgaben in einem maschinenlesbaren Format gekennzeichnet und als künstlich erzeugt oder manipuliert erkennbar sind. Hier gilt eine Übergangsfrist: Systeme, die vor dem 2. August 2026 auf den Markt gekommen sind, müssen diese Anforderung erst zum 2. Dezember 2026 erfüllen.

Für sogenannte Deepfakes, also täuschend echte KI-generierte oder KI-manipulierte Darstellungen realer Personen, Orte oder Ereignisse, gilt darüber hinaus eine besondere Offenlegungspflicht: Betreiber, die solche Inhalte einsetzen, müssen deren künstliche Erzeugung oder Veränderung offenlegen. Bei KI-generierten Inhalten liegt die maschinenlesbare Markierung also bei den Anbietern der Systeme, die Offenlegung von Deepfakes bei den Unternehmen, die sie verwenden. Wie Kennzeichnung praktisch aussehen kann, haben wir in unserem Leitfaden zur Kennzeichnung von KI-generierten Texten und Bildern beschrieben.

Neue Fristen durch den Digital Omnibus: Hochrisiko-KI bekommt mehr Zeit

Mit dem sogenannten Digital Omnibus hat die EU zentrale Fristen der KI-Verordnung verschoben. Wichtig ist hier die Unterscheidung zwischen geltendem Recht und beschlossener Änderung: Nach dem gestaffelten Zeitplan der Verordnung war der 2. August 2026 ursprünglich als Starttermin für die meisten noch ausstehenden Pflichten vorgesehen, darunter die Regeln für Hochrisiko-KI-Systeme. Das Europäische Parlament hat der Änderung am 16. Juni 2026 zugestimmt, der Rat am 29. Juni 2026. In Kraft tritt sie am dritten Tag nach der Veröffentlichung im Amtsblatt der EU, die für Juli 2026 vorgesehen ist.

Nach dem geänderten Zeitplan greifen die Pflichten für eigenständige Hochrisiko-KI-Systeme, etwa in Personalauswahl oder Kreditvergabe, erst ab dem 2. Dezember 2027. Für KI, die in regulierte Produkte wie Medizinprodukte oder Spielzeug eingebettet ist, gilt der 2. August 2028. Für die meisten kleinen und mittleren Unternehmen heißt das: mehr Zeit für die anspruchsvollen Pflichten, aber kein Grund zum Abwarten. Denn die Verschiebungen betreffen ausschließlich die Hochrisiko-Fristen. Die Transparenzpflichten und die Anforderungen an KI-Kompetenz bleiben davon unberührt.

Neben der KI-Verordnung bleibt die Datenschutz-Grundverordnung (DSGVO) relevant. Sobald personenbezogene Daten in KI-Systeme gelangen, etwa Namen in einem Besprechungsprotokoll oder Bewerbungsunterlagen, gelten die bekannten Datenschutzpflichten unverändert weiter. Eine KI-Richtlinie sollte deshalb immer mit den bestehenden Datenschutzregelungen des Unternehmens abgestimmt sein, statt parallel dazu zu existieren. In der Praxis ist die Verbindung einfach herzustellen: Die Datenregeln der Richtlinie (Schritt 3) übernehmen die Kategorien, die im Unternehmen ohnehin für den Umgang mit Daten gelten.

Wichtig für die Einordnung: Ob ein konkretes System in Ihrem Unternehmen als Hochrisiko-Anwendung gilt, sollte im Zweifel fachkundig geprüft werden. Dieser Beitrag gibt Orientierung, ersetzt aber keine rechtliche Beratung.

In sieben Schritten zur eigenen KI-Richtlinie

Der Weg zur Richtlinie lässt sich in sieben Schritte gliedern. Für jeden Schritt nennen wir die zentrale Leitfrage und einen typischen Fehler, den Sie vermeiden sollten.

Zwei Beispiele zur Veranschaulichung: Ein Handwerksbetrieb mit 20 Beschäftigten stellt fest, dass das Büroteam Angebotstexte mit einem KI-Assistenten formuliert und die Bauleitung Fotos von Baustellen durch ein KI-Tool auswerten lässt. Beides ist für sich genommen unproblematisch, solange geklärt ist, welche Kundendaten dabei verarbeitet werden dürfen, wer die Ergebnisse vor dem Versand prüft und über welche Konten die Werkzeuge laufen. Ähnlich bei einer Steuerberatungskanzlei mit acht Beschäftigten: Dort fassen Mitarbeitende Mandantengespräche mit einem KI-Transkriptionsdienst zusammen. Hier stellt sich zusätzlich die Frage, ob der Dienst die berufsrechtlichen Verschwiegenheitspflichten und die Anforderungen der Datenschutz-Grundverordnung erfüllt, und ob Mandantinnen und Mandanten informiert werden. In beiden Fällen leisten die folgenden Schritte genau diese Klärung.

Schritt 1: KI-Inventar erstellen

Leitfrage: Welche KI-Anwendungen werden bei uns bereits genutzt, offiziell und inoffiziell? Fragen Sie in den Teams nach, welche Werkzeuge im Einsatz sind, wofür und mit welchen Daten. Denken Sie auch an KI-Funktionen in bestehender Software, etwa in Office-Paketen, Grafikprogrammen oder im CRM-System. Ein ehrliches Inventar ist die Grundlage für alles Weitere. Typischer Fehler: nur nach eigenständigen KI-Tools zu fragen und eingebaute KI-Funktionen zu übersehen.

Schritt 2: Verantwortlichkeiten klären

Leitfrage: Wer entscheidet über Freigaben und wer beantwortet Fragen? Benennen Sie eine feste Ansprechperson oder ein kleines Team für KI-Themen. In kleinen Unternehmen kann das die Geschäftsführung gemeinsam mit einer IT-affinen Fachkraft sein. Wichtig ist, dass Zuständigkeiten schriftlich festgehalten werden. Typischer Fehler: Verantwortung diffus im Raum stehen zu lassen, sodass am Ende niemand entscheidet.

Schritt 3: Datenregeln definieren

Leitfrage: Welche Informationen dürfen in KI-Systeme eingegeben werden und welche nicht? Legen Sie klare Kategorien fest. Bewährt hat sich eine einfache Unterscheidung: unkritische Inhalte (etwa allgemeine Textentwürfe), interne Inhalte (nur in freigegebenen Systemen mit Unternehmensaccount) und gesperrte Inhalte (personenbezogene Daten, Kundendaten, Geschäftsgeheimnisse). Beziehen Sie Ihre Datenschutzbeauftragte oder Ihren Datenschutzbeauftragten ein, sofern vorhanden. Typischer Fehler: abstrakte Formulierungen wie „sensible Daten vermeiden“ ohne konkrete Beispiele, mit denen Mitarbeitende im Alltag arbeiten können.

Schritt 4: Freigabeprozess festlegen

Leitfrage: Wie kommen neue KI-Werkzeuge geordnet ins Unternehmen? Ein Whitelist-Ansatz hat sich bewährt: Genutzt werden darf, was geprüft und freigegeben wurde. Ergänzen Sie ein einfaches Verfahren, mit dem Mitarbeitende neue Werkzeuge vorschlagen können, inklusive kurzer Prüfung von Datenschutz, Vertragsbedingungen und IT-Sicherheit. So bleibt die Richtlinie anschlussfähig an neue Entwicklungen. Typischer Fehler: eine Verbotsliste einzelner Tools zu pflegen, die schon nach wenigen Wochen veraltet ist.

Schritt 5: Kennzeichnungsregeln aufnehmen

Leitfrage: Wann machen wir kenntlich, dass Inhalte mit KI erstellt wurden? Regeln Sie mindestens die Fälle, die ab August 2026 rechtlich relevant sind: Chatbots im Kundenkontakt und öffentlich eingesetzte KI-generierte Medieninhalte. Für interne Inhalte reicht meist ein pragmatischer Umgang. Eine einfache interne Faustregel: Immer dann prüfen, wenn Inhalte das Unternehmen verlassen. Typischer Fehler: Kennzeichnung pauschal für alles vorzuschreiben, was den Aufwand unnötig erhöht und die Akzeptanz senkt.

Schritt 6: Schulung und Kompetenzaufbau verankern

Leitfrage: Wie stellen wir sicher, dass alle wissen, was sie tun? Verankern Sie in der Richtlinie, dass neue Mitarbeitende eine Einführung erhalten und alle Beschäftigten regelmäßig geschult werden. Das muss kein aufwendiges Programm sein: Kurze interne Formate, gemeinsame Übungsrunden oder die kostenfreien Angebote der Mittelstand-Digital Zentren reichen für den Einstieg aus. Typischer Fehler: die Richtlinie per E-Mail zu verteilen und auf Rückfragen zu warten.

Schritt 7: Überprüfungsrhythmus festlegen

Leitfrage: Wann und wie passen wir die Richtlinie an? KI-Werkzeuge, Rechtslage und Arbeitsprozesse ändern sich schnell, wie die jüngste Fristverschiebung durch den Digital Omnibus zeigt. Legen Sie einen festen Rhythmus fest, etwa eine Überprüfung alle sechs Monate, und benennen Sie, wer sie anstößt. Typischer Fehler: die Richtlinie als einmaliges Dokument zu behandeln, das nach der Erstellung in der Ablage verschwindet.

Kostenfreie Vorlagen und Arbeitshilfen im Überblick

Sie müssen nicht bei null anfangen. Mehrere Institutionen stellen kostenfreie Vorlagen und Leitfäden bereit. Die folgende Auswahl ist anbieterneutral und erhebt keinen Anspruch auf Vollständigkeit. Prüfen Sie in jedem Fall, welche Vorlage zu Ihrer Unternehmensgröße und Ihren Anwendungsfällen passt, und passen Sie die Inhalte an Ihre Situation an.

Muster-KI-Richtlinie der IHK

Die IHK Schwaben stellt auf ihrer Themenseite zum KI-Einsatz im Betrieb eine Muster-KI-Richtlinie als Word-Dokument bereit, die sich direkt an die eigene Organisation anpassen lässt. Sie eignet sich als schneller Einstieg für kleinere Unternehmen, die eine kompakte Grundlage suchen. Die IHK weist selbst darauf hin, dass das Muster der allgemeinen Orientierung dient und eine unternehmensspezifische Prüfung und Anpassung unerlässlich ist.

Umsetzungsleitfaden zur KI-Verordnung des Bitkom

Der Branchenverband Bitkom bietet einen ausführlichen, kostenfrei zugänglichen Leitfaden zur KI-Verordnung, inzwischen in aktualisierter Fassung mit den Klarstellungen der EU-Kommission. Er eignet sich für Unternehmen, die tiefer in die rechtlichen Zusammenhänge einsteigen wollen, etwa zur Abgrenzung von Anbieter- und Betreiberrolle.

Handreichung zur KI-Verordnung des Mittelstand-Digital Netzwerks

Unsere Handreichung zur KI-Verordnung ordnet die Pflichten speziell für kleine und mittlere Unternehmen ein, mit Praxisbeispielen und Umsetzungstipps. Wir haben sie in einem eigenen Beitrag vorgestellt.

Nachgelesen des Mittelstand-Digital Zentrums Chemnitz

Unser Schwesterzentrum in Chemnitz hat eine ausführliche Einordnung zu Unternehmensleitlinien für den KI-Einsatz veröffentlicht, inklusive Download. Der Beitrag vertieft insbesondere den Whitelist-Ansatz, die Begrenzung von Schatten-KI und eine einfache Risikoeinstufung und ergänzt die hier beschriebenen sieben Schritte um die inhaltlichen Bausteine einer solchen Richtlinie.

Offizielle Informationsangebote

Für Rechtsfragen im Original lohnt ein Blick auf den AI Act Service Desk der EU-Kommission und die Informationsseiten der Bundesnetzagentur. Beide erläutern die Pflichten der KI-Verordnung kostenfrei und laufend aktualisiert.

Alle genannten Angebote sind öffentlich zugänglich und kostenfrei. Die Nennung erfolgt neutral und ohne Empfehlung einzelner Anbieter oder Produkte.

Für die Arbeit mit einer Vorlage hat sich ein einfaches Vorgehen bewährt: Wählen Sie eine Vorlage aus, die zu Ihrer Unternehmensgröße passt, und gehen Sie diese gemeinsam mit den in Schritt 2 benannten Verantwortlichen Abschnitt für Abschnitt durch. Streichen Sie alles, was auf Ihr Unternehmen nicht zutrifft, und ersetzen Sie allgemeine Formulierungen durch konkrete Beispiele aus Ihrem Arbeitsalltag. Eine Richtlinie von zwei bis drei Seiten, die alle verstehen, ist wirksamer als ein zwanzigseitiges Dokument, das niemand liest.

Typische Stolpersteine aus der Praxis

Aus Gesprächen mit Unternehmen kennen wir vier wiederkehrende Fehler.

  1. Kopieren ohne Anpassen: Eine übernommene Muster-Richtlinie, die nicht zu den tatsächlichen Arbeitsabläufen passt, wird ignoriert. Nehmen Sie sich die Zeit, Beispiele, Zuständigkeiten und Datenregeln auf Ihr Unternehmen zuzuschneiden.
  2. Verbieten statt ermöglichen: Wer nur untersagt, verlagert die Nutzung ins Private. Stellen Sie für die wichtigsten Anwendungsfälle geprüfte Alternativen bereit und erklären Sie, warum bestimmte Werkzeuge nicht freigegeben sind.
  3. Richtlinie ohne Schulung: Ein Dokument allein verändert kein Verhalten. Planen Sie von Anfang an ein, wie die Inhalte vermittelt und Rückfragen beantwortet werden.
  4. Einmal erstellen, nie aktualisieren: Der Rechtsrahmen ist in Bewegung, wie die aktuellen Fristverschiebungen zeigen. Eine Richtlinie von gestern kann morgen falsche Sicherheit vermitteln. Der festgelegte Überprüfungsrhythmus aus Schritt 7 ist deshalb kein Formalismus, sondern der Kern einer dauerhaft tragfähigen Regelung.

Fazit: Klein anfangen, regelmäßig anpassen

Eine KI-Richtlinie muss weder lang noch juristisch perfekt sein, um zu wirken. Entscheidend ist, dass sie die tatsächliche Nutzung im Unternehmen abbildet, klare Datenregeln enthält und Verantwortlichkeiten benennt. Mit den sieben Schritten und den vorgestellten kostenfreien Vorlagen können Sie in wenigen Wochen eine erste tragfähige Fassung erarbeiten. Der Zeitpunkt ist günstig: Die Transparenzpflichten ab dem 2. August 2026 geben einen konkreten Anlass, die Fristverschiebungen des Digital Omnibus verschaffen Luft für die anspruchsvolleren Themen.

Wenn Sie Unterstützung wünschen: Das Mittelstand-Digital Zentrum Berlin bietet kostenfreie Workshops, Webinare und Materialien rund um KI-Einführung und KI-Verordnung an. Auf unserer Themenseite zum AI Act finden Sie fortlaufend aktualisierte Informationen, und unser Chatbot KIWI beantwortet Ihre Fragen zu KI-Wissen und Veranstaltungen. Alle Angebote sind im Rahmen des Förderauftrags des Bundesministeriums für Wirtschaft und Energie kostenfrei, anbieterneutral und offen für alle kleinen und mittleren Unternehmen.

Häufige Fragen zur KI-Richtlinie

Was ist eine KI-Richtlinie?

Eine KI-Richtlinie ist ein internes Regelwerk, das den Einsatz von künstlicher Intelligenz im Unternehmen ordnet. Sie legt fest, welche KI-Anwendungen genutzt werden dürfen, welche Daten nicht eingegeben werden dürfen, wer Werkzeuge freigibt und wann Ergebnisse geprüft werden müssen.

Ist eine KI-Richtlinie für Unternehmen Pflicht?

Nein, eine KI-Richtlinie ist gesetzlich nicht vorgeschrieben. Die KI-Verordnung verlangt aber seit Februar 2025 KI-Kompetenz der Mitarbeitenden und ab dem 2. August 2026 Transparenz bei bestimmten KI-Anwendungen. Praktisch ist eine Richtlinie der einfachste Weg, diese Anforderungen im Arbeitsalltag nachvollziehbar umzusetzen.

Was ändert sich am 2. August 2026?

Ab diesem Datum werden die Transparenzpflichten nach Artikel 50 der KI-Verordnung anwendbar. Chatbots müssen als KI erkennbar sein, synthetische Inhalte müssen maschinenlesbar gekennzeichnet werden und für Deepfakes gelten besondere Offenlegungspflichten.

Wie lang sollte eine KI-Richtlinie sein?

Für kleine und mittlere Unternehmen reichen meist zwei bis drei Seiten. Wichtiger als der Umfang sind konkrete Beispiele, klare Datenregeln und benannte Verantwortliche.

Hinweis: Dieser Beitrag dient der allgemeinen Orientierung und stellt keine Rechtsberatung dar. Für verbindliche Aussagen zu Ihrem Einzelfall wenden Sie sich bitte an eine qualifizierte Rechtsberatung. Stand: Juli 2026.

Quellen und weiterführende Links

Text: Alexander Krug

Suchen
Nichts mehr verpassen:
Unser Newsletter

    Mehr zum Thema