Die meisten Unternehmen haben inzwischen KI im Einsatz — aber keine Regeln dafür. Beschäftigte nutzen ChatGPT, Copilot oder Übersetzungstools mit privaten Accounts, niemand weiß, welche Daten dabei das Haus verlassen, und im Schadensfall gibt es weder Nachweis noch Verteidigungslinie. Eine KI-Nutzungsrichtlinie schließt genau diese Lücke: Sie legt fest, wer welche Werkzeuge wofür nutzen darf und wo die roten Linien verlaufen.
Warum jetzt: Die Rechtslage zwingt zur Klarheit
Drei Rechtsgebiete treffen sich beim Thema KI-Nutzung:
- EU AI Act: Seit Februar 2025 gilt die KI-Kompetenzpflicht nach Art. 4; mit der vollen Anwendbarkeit ab dem 2. August 2026 kommen Betreiberpflichten und Transparenzregeln hinzu — der komplette Zeitplan hier. Eine Richtlinie ist der praktikabelste Nachweis, dass Ihr Unternehmen diese Pflichten organisiert hat.
- DSGVO: Personenbezogene Daten in öffentlichen KI-Diensten sind ohne Rechtsgrundlage und Auftragsverarbeitungsvertrag ein Datenschutzverstoß — kein Kavaliersdelikt, sondern bußgeldbewehrt.
- Geschäftsgeheimnisgesetz: Wer Interna ungeschützt in fremde Systeme eingibt, verliert im Zweifel den rechtlichen Schutz des Geheimnisses, weil keine „angemessenen Geheimhaltungsmaßnahmen” mehr vorliegen.
Die Muster-Struktur: 8 Bausteine
Aus unseren Projekten hat sich diese Gliederung bewährt:
- Zweck und Geltungsbereich. Für wen gilt die Richtlinie (Mitarbeiter, Freelancer, Dienstleister?), für welche Systeme (auch KI-Funktionen in Standardsoftware!).
- Rollen und Verantwortlichkeiten. Wer gibt Tools frei, wer pflegt das KI-Inventar, wer ist Ansprechpartner? Hier zahlt sich ein benannter KI-Beauftragter aus.
- Positivliste der freigegebenen Werkzeuge. Konkret benennen: welches Tool, welcher Account-Typ (Business, nicht privat!), welche Einsatzzwecke.
- Rote Linien. Keine personenbezogenen Daten, keine Geschäftsgeheimnisse, keine Kundendaten in nicht freigegebene Dienste. Keine automatisierten Entscheidungen über Menschen ohne Freigabeprozess.
- Prüf- und Kennzeichnungspflichten. KI-Ergebnisse sind Entwürfe: fachliche Prüfung vor Verwendung, Kennzeichnung nach außen, wo Art. 50 AI Act oder die Redlichkeit es verlangen.
- Freigabeprozess für neue Tools. Ein schlanker Antrag (Zweck, Datenarten, Anbieter) plus Prüfung durch Datenschutz und KI-Verantwortlichen — sonst entsteht sofort wieder Schatten-KI.
- Schulung und Kompetenz. Verweis auf das Schulungskonzept nach Art. 4 — rollenspezifisch statt Gießkanne.
- Verstöße und Fortschreibung. Konsequenzen benennen, jährliche Überprüfung der Richtlinie terminieren.
Typische Fehler — und wie Sie sie vermeiden
Die Verbotsrichtlinie. Wer generative KI pauschal verbietet, verliert doppelt: Die Nutzung wandert in den privaten Untergrund, und das Unternehmen verzichtet auf reale Produktivitätsgewinne. Besser: sichere Kanäle anbieten und klar begrenzen.
Die Kopie aus dem Internet. Muster helfen als Startpunkt, aber eine Richtlinie, die nicht zu Ihren Tools, Datenarten und Prozessen passt, wird ignoriert. Die Positivliste ist naturgemäß unternehmensspezifisch.
Das Papier ohne Prozess. Eine Richtlinie ohne Freigabeweg, ohne Inventar und ohne Schulungen ist Dekoration. Die drei Bausteine gehören zusammen — als Fundament dient das KI-Governance-Template.
Betriebsrat vergessen. Verhaltensregeln und Kontrollmöglichkeiten sind mitbestimmungspflichtig (§ 87 BetrVG). Früh einbinden spart Monate.
So kommen Sie in zwei Wochen zur fertigen Richtlinie
Realistischer Fahrplan aus der Praxis: In der ersten Woche das KI-Inventar erheben (unsere KI-Register-Vorlage beschleunigt das) und die Positivliste mit den Fachbereichen abstimmen. In der zweiten Woche die Richtlinie auf Basis der 8 Bausteine ausformulieren, mit Datenschutzbeauftragtem und Betriebsrat abstimmen und per Kurzschulung ausrollen.
Wenn Sie den Prozess nicht allein stemmen wollen: Als externer KI-Beauftragter erstellen wir Richtlinie, Inventar und Schulungskonzept aus einer Hand — kostenlose Erstberatung hier.
- KI-Richtlinie
- KI-Nutzungsrichtlinie
- Generative KI
- Governance
- Compliance