KI-Nutzungsrichtlinie für Unternehmen: Vorlage und Anleitung

Seit Februar 2025 ist die KI-Nutzungsrichtlinie keine optionale Maßnahme mehr. Der EU AI Act schreibt vor, dass Unternehmen, die KI-Systeme einsetzen, klare interne Regeln haben müssen. Und dass Mitarbeiter diese kennen.

Dieser Artikel erklärt, was eine KI-Nutzungsrichtlinie enthalten muss, und liefert eine Vorlage, die Sie direkt anpassen können.

Was ist eine KI-Nutzungsrichtlinie?

Eine KI-Nutzungsrichtlinie ist ein internes Dokument, das regelt, wie Mitarbeiter KI-Systeme im Arbeitsalltag nutzen dürfen. Sie ist das Pendant zur IT-Sicherheitsrichtlinie, aber für KI.

In der Praxis beantwortet sie drei Fragen:

• Welche KI-Tools sind erlaubt?
• Wer darf sie wofür einsetzen?
• Was ist verboten?

Ohne diese Richtlinie haben Mitarbeiter keine klare Orientierung. In der Praxis führt das dazu, dass manche überhaupt keine KI nutzen aus Angst vor Fehlern, während andere sensible Kundendaten in öffentliche Modelle eingeben ohne zu wissen, dass das ein Problem ist.

Warum der EU AI Act eine Richtlinie vorschreibt

Der EU AI Act verpflichtet Betreiber von KI-Systemen zu mehreren Maßnahmen. Dazu gehört die sogenannte Pflicht zur "angemessenen Governance". Gemeint ist: Unternehmen müssen klare Regeln haben, wer KI wie einsetzt.

In Kombination mit der seit Februar 2025 geltenden Schulungspflicht ergibt sich folgendes: Eine Richtlinie allein reicht nicht. Mitarbeiter müssen nachweislich über die Richtlinie informiert worden sein.

Das bedeutet nicht zwingend ein mehrstündiges Seminar. Eine schriftliche Information mit Bestätigung, dass die Richtlinie gelesen und verstanden wurde, ist in vielen Fällen ausreichend.

Was in die Richtlinie gehört

Eine vollständige KI-Nutzungsrichtlinie deckt sechs Bereiche ab.

1. Geltungsbereich

Für wen gilt die Richtlinie? In der Regel für alle Mitarbeiter, die beruflich KI-Tools nutzen. Auch externe Mitarbeiter, Praktikanten und Dienstleister sollten einbezogen sein, wenn sie auf Unternehmenssysteme zugreifen.

2. Erlaubte Tools

Eine Liste der freigegebenen KI-Systeme. Nicht alles verbieten, was nicht explizit erlaubt ist, führt zu nichts. Besser: klar definieren, welche Tools für welche Zwecke freigegeben sind.

Beispiel: - Microsoft Copilot: freigegeben für Dokumentenerstellung, interne Kommunikation, Zusammenfassungen - ChatGPT: freigegeben für allgemeine Recherche, Textentwürfe ohne Kundendaten - [Branchenspezifische Software]: freigegeben für [Verwendungszweck]

3. Verbotene Nutzung

Das ist der wichtigste Abschnitt. Konkret festhalten, was nicht erlaubt ist:

• Keine personenbezogenen Kundendaten in öffentliche KI-Modelle eingeben
• Keine vertraulichen Geschäftsdaten, Kalkulationen oder strategische Informationen teilen
• Keine KI-generierten Inhalte ohne menschliche Prüfung an Kunden weiterleiten
• Keine KI für abschließende Entscheidungen in Bereichen nutzen, in denen menschliches Urteil gesetzlich vorgeschrieben ist

4. Datenschutz und Vertraulichkeit

Klarstellen, welche Datenkategorien nicht in KI-Systeme eingegeben werden dürfen. Orientierung gibt die DSGVO-Klassifizierung:

• Personenbezogene Daten (Name, Adresse, Geburtsdatum)
• Besondere Kategorien (Gesundheitsdaten, politische Überzeugungen)
• Vertrauliche Geschäftsdaten
• Zugangsdaten und Passwörter

5. Qualitätssicherung

KI-generierte Inhalte sind nicht fehlerfrei. Die Richtlinie sollte klarmachen, wer KI-Outputs vor Verwendung prüft. Das ist besonders relevant für Kundenkommunikation, Berichte und Dokumente mit rechtlicher Relevanz.

6. Verstöße und Konsequenzen

Was passiert bei Nichteinhaltung? Keine überzogenen Androhungen, aber klare Formulierung: Verstöße werden behandelt wie Verstöße gegen andere IT-Richtlinien auch.

Eine Vorlage zum Anpassen

Das folgende Grundgerüst können Sie direkt übernehmen und auf Ihren Betrieb anpassen:

---

KI-Nutzungsrichtlinie [Unternehmensname]

*Stand: [Datum] | Version: 1.0 | Verantwortlich: [Name/Funktion]*

Geltungsbereich: Diese Richtlinie gilt für alle Mitarbeiter, externen Dienstleister und Praktikanten, die im Rahmen ihrer Tätigkeit für [Unternehmensname] KI-Systeme nutzen.

Freigegebene Systeme: [Liste der freigegebenen Tools mit Verwendungszweck]

Verbotene Nutzung: Es ist nicht gestattet, personenbezogene Kunden- oder Mitarbeiterdaten, vertrauliche Geschäftsinformationen oder Zugangsdaten in KI-Systeme einzugeben. KI-generierte Inhalte mit Außenwirkung sind vor Verwendung durch einen Mitarbeiter zu prüfen.

Qualitätssicherung: KI-generierte Texte, Berechnungen und Empfehlungen werden vor Verwendung auf Richtigkeit geprüft. Die inhaltliche Verantwortung liegt beim jeweiligen Mitarbeiter.

Datenschutz: Die Verarbeitung personenbezogener Daten durch KI-Systeme erfolgt nur auf Grundlage einer geprüften Rechtsgrundlage und im Einklang mit der DSGVO.

Verstöße: Verstöße gegen diese Richtlinie werden nach den allgemeinen Regelungen des Unternehmens behandelt.

Inkrafttreten: Diese Richtlinie tritt am [Datum] in Kraft und wird jährlich überprüft.

---

Häufige Fehler bei der Erstellung

Zu vage formulieren. "KI darf nur verantwortungsvoll genutzt werden" ist keine Richtlinie. Konkrete Verbote und Freigaben brauchen konkrete Formulierungen.

Keine Versionierung. Eine Richtlinie ohne Datum und Version ist schwer zu aktualisieren und nicht nachweisbar kommuniziert.

Nur auf Papier. Die Richtlinie muss aktiv kommuniziert werden. Einmal im Intranet ablegen reicht nicht. Mitarbeiter sollten bestätigen, dass sie die Richtlinie gelesen haben.

KI-Inventar fehlt. Eine Nutzungsrichtlinie ohne vorherige Inventarisierung der genutzten Systeme ist lückenhaft. Wer nicht weiß, welche Tools im Betrieb eingesetzt werden, kann keine vollständige Richtlinie schreiben.

Wie oft aktualisieren?

Jährlich als Mindeststandard. Bei wesentlichen Änderungen in der Tool-Landschaft oder bei neuen gesetzlichen Anforderungen zusätzlich. Die Richtlinie ist ein lebendes Dokument, kein einmaliges Projekt.

Interne Links für den nächsten Schritt

Die Nutzungsrichtlinie ist ein Baustein von fünf, die zusammen EU AI Act Compliance ergeben. Die anderen vier sind KI-Inventar, Risikoklassifizierung, Schulungsnachweis und Anbieter-Check. Was das konkret bedeutet und wie ein strukturierter Compliance-Prozess aussieht, erklärt der Artikel zu den [EU AI Act Pflichten für KMU 2026](/blog/eu-ai-act-kmu-pflichten-2026).

Wer eine vollständige KI-Richtlinie als übergeordnetes Steuerungsdokument braucht, findet den Prozess im Artikel [KI-Richtlinie erstellen für Unternehmen](/blog/ki-richtlinie-erstellen-unternehmen).

Wer die Richtlinie professionell erstellen lassen will, kann das im Rahmen eines [KI Compliance Checks](/ki-compliance-check) tun. Wer zunächst verstehen will, welche Systeme im eigenen Betrieb überhaupt relevant sind, beginnt mit dem [kostenfreien KI Workshop](/ki-workshop).

Häufige Fragen

Reicht ein einseitiges Dokument? Für viele Betriebe ja. Eine KI-Nutzungsrichtlinie muss vollständig sein, aber nicht umfangreich. Zwei Seiten mit klaren Regeln sind besser als zehn Seiten, die niemand liest.

Muss die Richtlinie rechtlich geprüft werden? Empfehlenswert, aber nicht in jedem Fall zwingend. Bei Betrieben, die KI in sensiblen Bereichen einsetzen (Personalentscheidungen, Kundenbewertung), ist eine rechtliche Prüfung sinnvoll.

Was, wenn Mitarbeiter KI-Tools nutzen, die nicht in der Richtlinie stehen? Das ist der häufigste Fall in der Praxis. Beginnen Sie mit einem KI-Inventar: welche Tools werden tatsächlich genutzt? Dann bauen Sie die Richtlinie darauf auf.

Gilt die Richtlinie auch für selbst entwickelte KI-Systeme? Ja. Wer KI-Systeme nicht nur nutzt, sondern entwickelt oder anpasst, fällt unter zusätzliche Anforderungen des EU AI Act als Anbieter.

Wie kommuniziere ich die Richtlinie an Mitarbeiter? Per E-Mail mit Lesebestätigung ist ausreichend. Ergänzend eine kurze Schulung oder ein Info-Meeting. Dokumentieren Sie beides.