complaid
Alle Artikel
KI-RichtlinieCompliancePraxisDSGVO

KI-Richtlinie für Unternehmen: Vorlage und Praxis-Leitfaden

·4 Min. Lesezeit·Complaid Redaktion

Warum jedes Unternehmen eine KI-Richtlinie braucht

Deine Mitarbeitenden nutzen KI. Die Frage ist nur: Mit oder ohne Regeln?

Ohne KI-Richtlinie passiert Folgendes:

  • Jeder entscheidet selbst, was "okay" ist
  • Sensible Daten landen unkontrolliert bei KI-Anbietern
  • Bei einem Vorfall kann niemand nachweisen, dass es Regeln gab
  • Die DSGVO- und EU AI Act-Compliance hängt in der Luft

Eine gute KI-Richtlinie ist kein Verbotskatalog. Sie ist ein Ermöglichungsrahmen: Hier sind die Spielregeln, innerhalb derer du KI produktiv und sicher nutzen kannst.

Die Vorlage: 7 Bausteine einer KI-Richtlinie

1. Geltungsbereich

Diese Richtlinie gilt für alle Mitarbeitenden, Führungskräfte, Freelancer und externen Dienstleister, die im Auftrag von [Unternehmen] KI-basierte Tools nutzen.

Warum wichtig: Der EU AI Act (Artikel 4) spricht explizit von "Personen, die in ihrem Auftrag" handeln. Freelancer und Externe müssen einbezogen werden.

2. Freigegebene Tools

Definiere klar, welche KI-Tools genutzt werden dürfen:

✅ Freigegeben:

  • [Tool A] — Enterprise-Lizenz mit Datenschutzvertrag
  • [Tool B] — für [konkreten Einsatzzweck]

⚠️ Eingeschränkt (nur nach Rücksprache mit IT/DSB):

  • Neue KI-Tools, die nicht auf der Liste stehen

❌ Nicht erlaubt:

  • Private ChatGPT-Accounts für berufliche Zwecke
  • KI-Tools ohne Datenschutzvertrag des Anbieters
  • KI-Tools, die Daten zum Modell-Training verwenden

3. Daten-Klassifizierung: Was darf rein, was nicht?

Das ist das Herzstück jeder KI-Richtlinie. Klar und unmissverständlich:

🔴 Niemals in KI-Tools eingeben:

  • Personenbezogene Daten (Namen, Adressen, Geburtsdaten, Sozialversicherungsnummern)
  • Gesundheitsdaten
  • Kundendaten und -korrespondenz
  • Finanzdaten und Geschäftsgeheimnisse
  • Passwörter, Zugangsdaten, API-Keys
  • Vertrags- und Rechtsdokumente
  • Interne Strategiepapiere

🟡 Nur in freigegebene Enterprise-Tools:

  • Allgemeine Geschäftskorrespondenz (anonymisiert)
  • Öffentlich verfügbare Informationen
  • Eigener Text (Entwürfe, Zusammenfassungen)

🟢 Unbedenklich:

  • Allgemeine Wissensfragen
  • Textformatierung und Grammatikprüfung
  • Brainstorming zu nicht-vertraulichen Themen
  • Öffentlich verfügbare Informationen

4. Prüfpflichten

Jedes KI-generierte Ergebnis muss vor Verwendung auf Richtigkeit, Vollständigkeit und Angemessenheit geprüft werden.

Konkret:

  • Fakten prüfen — KI halluziniert. Zahlen, Zitate und Referenzen immer gegenchecken.
  • Bias erkennen — Besonders bei HR-relevanten Entscheidungen (Bewerbungs-Screening, Leistungsbeurteilung)
  • Urheberrecht beachten — KI-generierter Text kann urheberrechtlich geschütztes Material enthalten
  • Kennzeichnung — Intern transparent machen, wenn wesentliche Teile KI-generiert sind

5. Dokumentation

Der EU AI Act verlangt Nachweisbarkeit. Dokumentiere:

  • Welche KI-Systeme im Einsatz sind
  • Wer dafür verantwortlich ist
  • Welche Schulungen durchgeführt wurden
  • Welche Vorfälle es gab und wie sie behandelt wurden

Tipp: Mach es einfach. Ein zentrales Register (Spreadsheet genügt) mit den Feldern: Tool, Einsatzzweck, Verantwortlicher, DPA vorhanden (ja/nein), Risikoklasse.

6. Meldepflicht bei Vorfällen

Bei Unsicherheit, ob eine KI-Nutzung zulässig ist, oder bei Verdacht auf einen Datenschutzvorfall im Zusammenhang mit KI, ist [Ansprechpartner/DSB] unverzüglich zu informieren.

Wichtig: Die Schwelle niedrig halten. Lieber eine Frage zu viel als ein Datenleck zu spät gemeldet.

Beispiele für meldepflichtige Vorfälle:

  • Versehentliche Eingabe personenbezogener Daten in nicht-freigegebene Tools
  • KI-generierte Inhalte mit offensichtlich falschen oder diskriminierenden Aussagen
  • Nutzung nicht-freigegebener KI-Tools entdeckt

7. Schulung und Weiterentwicklung

Alle Mitarbeitenden erhalten vor erstmaliger Nutzung von KI-Tools eine Grundschulung. Jährliche Auffrischungen sind verpflichtend.

Inhalte der Grundschulung:

  • Diese Richtlinie verstehen und anwenden
  • Grundlagen: Was KI kann und was nicht
  • Datenschutz bei KI-Nutzung
  • Prüfpflichten und Kennzeichnung
  • Praktische Übungen mit freigegebenen Tools

Häufige Fehler bei KI-Richtlinien

❌ Zu lang und juristisch

Eine 30-seitige Richtlinie liest niemand. Halte sie unter 5 Seiten. Klare Sprache, keine Juristenprosa.

❌ Zu allgemein

"KI verantwortungsvoll nutzen" sagt nichts. Konkrete Beispiele und klare Regeln helfen mehr als Grundsatzerklärungen.

❌ Keine Aktualisierung

KI entwickelt sich monatlich weiter. Eine Richtlinie von Januar kann im Juni veraltet sein. Plane quartalsweise Reviews ein.

❌ Nur IT beteiligt

Eine KI-Richtlinie ist kein IT-Projekt. Beteilige HR, Datenschutz, Geschäftsführung und — ganz wichtig — die Mitarbeitenden, die KI tatsächlich nutzen.

❌ Kein Enforcement

Eine Richtlinie ohne Konsequenzen ist ein Vorschlag. Definiere, was bei Verstößen passiert (Eskalationsstufen, nicht gleich Kündigung).

Nächste Schritte

  1. Status quo erheben — Welche KI-Tools werden schon genutzt? → Risiko-Check
  2. Vorlage anpassen — Diese Bausteine auf euer Unternehmen zuschneiden
  3. Abstimmen — Mit DSB, Betriebsrat (falls vorhanden), IT und Geschäftsführung
  4. Kommunizieren — Nicht nur per Mail verschicken, sondern aktiv vorstellen
  5. Schulen — Richtlinie ohne Schulung ist Papier → Kurs ansehen
  6. Dokumentieren — Nachweisbar machen (EU AI Act!)

Fazit

Eine KI-Richtlinie muss kein Mammutprojekt sein. Starte pragmatisch mit den 7 Bausteinen oben, passe sie auf dein Unternehmen an und entwickle sie iterativ weiter.

Das Ziel: KI ermöglichen, nicht verhindern — aber mit klaren Leitplanken und dokumentierbar.

Complaid hilft Unternehmen, KI-Nutzung sicher und compliant aufzusetzen. Von der Richtlinie bis zur Schulung. Mehr erfahren →

KI-Compliance in deinem Unternehmen sicherstellen?

Complaid schult Mitarbeitende im sicheren Umgang mit KI — mit Lernpfaden, Leitplanken und dokumentierbaren Nachweisen.

Kurs ansehen →Risiko-Check starten