KI & Recht
KI-Richtlinie fürs Unternehmen: praktischer Leitfaden + Struktur (Stand 2025)
In jedem zweiten Unternehmen tippen Mitarbeitende längst Vertrauliches in ein KI-Tool, das die Geschäftsführung nie freigegeben hat — und niemand merkt es, bis es zu spät ist. Eine KI-Richtlinie für Unternehmen ist das Werkzeug, das diese Lücke schließt: ein verbindliches internes Regelwerk dafür, welche KI-Tools Mitarbeitende wie nutzen dürfen, welche Daten tabu sind und wer dafür verantwortlich ist. Sie zählt 2026, weil KI längst genutzt wird — meist schneller, als Regeln und Technik nachziehen.
Hinweis: Dies ist ein allgemeiner Leitfaden, kein Rechtsrat im Einzelfall. Er ersetzt keine individuelle Beratung. Stand: November 2025.
Das eigentliche Problem: Die meisten Richtlinien bleiben Papier. Sie verbieten „ChatGPT für Vertrauliches”, ohne dass irgendjemand das technisch verhindert. Dieser Leitfaden zeigt beides — die juristisch korrekte Regel und ihre technische Durchsetzung.
Was ist eine KI-Richtlinie?
Drei Begriffe werden oft vermischt:
- KI-Richtlinie (KI-Nutzungsrichtlinie): internes Soll-Regelwerk, vom Arbeitgeber per Direktionsrecht erlassen. Schnell einführbar, einseitig.
- KI-Betriebsvereinbarung: kollektivrechtlich, zwischen Arbeitgeber und Betriebsrat geschlossen — rechtlich bindender, aber zustimmungspflichtig.
- AI Policy: schlicht der englische Begriff für dasselbe Dokument.
Wer einen Betriebsrat hat, kommt um die Frage nach der Betriebsvereinbarung selten herum (dazu unten). Wer keinen hat, fährt mit der einseitigen Richtlinie — sollte sie aber sauber arbeitsvertraglich verankern.
Ist eine KI-Richtlinie Pflicht?
Kurz: Es gibt keine Norm, die eine „KI-Richtlinie als Dokument” ausdrücklich vorschreibt. Die Pflicht ergibt sich mittelbar aus mehreren Quellen:
- Art. 4 KI-VO (EU AI Act): seit dem 2. Februar 2025 müssen Betreiber und Anbieter von KI-Systemen für ausreichende KI-Kompetenz ihres Personals sorgen (ai-act-law.eu, Noerr).
- DSGVO: Rechenschaftspflicht und Verantwortlichkeit (Art. 5, 24, 32) verlangen dokumentierte Maßnahmen.
- Geheimnis- und Arbeitsrecht: Schutz von Geschäftsgeheimnissen und Berufsgeheimnissen (§ 203 StGB).
Hinzu kommt der zeitliche Druck: Seit dem 2. August 2025 gelten die Pflichten für GP-KI-Modelle (Kapitel V), die Governance-Struktur (Kapitel VII) und das Sanktionsregime (Art. 99 f.) der KI-VO — und das KI-Büro der EU nahm an diesem Tag die Arbeit auf (artificialintelligenceact.eu). Die Aufsichtsarchitektur ist also nicht mehr Zukunftsmusik, sondern scharf gestellt.
Eine schriftliche Richtlinie ist das einfachste Mittel, diese Pflichten nachweisbar zu erfüllen. Sie ist also faktisch geboten, auch wenn kein Gesetz das Wort „Richtlinie” verwendet.
Vorsicht bei Panikmache: Art. 4 KI-VO ist in den Sanktionen (Art. 99 KI-VO) nicht mit einem eigenständigen Bußgeld belegt. Fehlende KI-Kompetenz wirkt in der Praxis eher als erschwerender Faktor bei anderen Verstößen — eine dokumentierte Kompetenz-Strategie umgekehrt als mildernder (Kliemt). Wie sich Art. 4 konkret umsetzen lässt, vertiefe ich in KI-Kompetenz als Pflicht: Art. 4 AI Act umsetzen.
Was gehört in eine KI-Richtlinie? (die Bausteine)
Diese zehn Bausteine sollten in jeder belastbaren KI-Richtlinie für Unternehmen stehen:
| # | Baustein | Was er regelt |
|---|---|---|
| 1 | Zweck & Geltungsbereich | Für wen gilt die Richtlinie (Mitarbeitende, Freelancer, externe Dienstleister)? |
| 2 | Zugelassene & verbotene Tools | Namentlich: z. B. „Copilot Business” erlaubt, „ChatGPT Free” verboten |
| 3 | Daten-Klassifikation & Tabu-Daten | Welche Daten dürfen nie in KI: PII, Geschäftsgeheimnisse, § 203-Daten |
| 4 | DSGVO- & AVV-Pflichten | Rechtsgrundlage, Auftragsverarbeitung (Art. 28), Drittlandtransfer |
| 5 | Transparenz & menschliche Letztkontrolle | Kennzeichnung von KI-Output, kein blindes Übernehmen |
| 6 | Urheber- & Nutzungsrechte | Wem gehören Outputs, was darf veröffentlicht werden |
| 7 | Schulung & KI-Kompetenz | Umsetzung von Art. 4 KI-VO, dokumentiert |
| 8 | Rollen & Governance | KI-Beauftragte:r, Geschäftsführung, Datenschutz |
| 9 | Melde- & Vorfallsprozess | KI-Register, was bei Fehlern/Datenlecks zu tun ist |
| 10 | Review-Zyklus | Versionierung, regelmäßige Aktualisierung |
Diese Liste ist der Kern. Wer sie abarbeitet, hat 90 % einer wirksamen Richtlinie beisammen.
Vom Papier zur Wirkung: die technische Durchsetzung
Hier trennt sich die wirksame Richtlinie vom Feigenblatt. Eine Regel wie „keine Mandantendaten in KI-Tools” ist wertlos, wenn jeder Browser-Tab sie unterläuft. Technisch erzwingen heißt:
- Tool-Allowlisting / Blocklisting: nur freigegebene Tools sind erreichbar, der Rest wird im Netzwerk geblockt.
- SSO + rollenbasierte Berechtigungen (RBAC): Zugang nur über zentrale Anmeldung, abgestuft nach Rolle.
- DLP (Data Loss Prevention): automatische Erkennung, wenn sensible Daten in ein KI-Feld wandern.
- EU-/On-Premise-Hosting & Datenresidenz: sensible Verarbeitung bleibt in der EU oder im Haus.
- Logging & Auditierbarkeit: nachweisbar, wer wann was genutzt hat.
Genau diese Verzahnung aus Recht und Technik ist die Lücke, die die meisten Anbieter offenlassen: Kanzleien erklären das „Was”, Tool-Hersteller liefern Features — aber kaum jemand denkt beides zusammen.
Eine Regel wirkt erst, wenn eine technische Kontrollschicht sie erzwingt — Allowlisting, SSO/RBAC, DLP und Logging machen aus dem Satz „keine Mandantendaten in KI” eine durchsetzbare Grenze.
Wie verhindere ich Schatten-KI?
Schatten-KI (Shadow AI) ist die unkontrollierte private KI-Nutzung am Arbeitsplatz. Laut Bitkom-Umfrage 2025 (604 Unternehmen ab 20 Beschäftigten) ist sie bei 8 % weit verbreitet und in 17 % der Firmen in Einzelfällen Realität — Tendenz steigend gegenüber 2024 (Bitkom).
Reine Verbote scheitern, weil die Tools nützlich sind. Was wirkt:
- Gute, freigegebene Tools bereitstellen — laut Bitkom tun das bereits 26 % der Unternehmen, weitere 17 % planen es.
- Aufklären statt drohen — wer den Sinn versteht, hält sich eher daran.
- Technisch flankieren (siehe oben).
Verbieten Sie nur, was Sie zugleich durch eine bessere Alternative ersetzen. Wie sich Schatten-KI systematisch eindämmen lässt, behandle ich ausführlich in Schatten-KI im Unternehmen: Risiko und Lösung.
Muss der Betriebsrat mitbestimmen?
Wo ein Betriebsrat besteht, ist die Antwort meistens ja. Bei KI-Tools greift regelmäßig § 87 Abs. 1 Nr. 6 BetrVG (technische Einrichtungen zur Überwachung von Verhalten oder Leistung). Entscheidend ist: Die bloße Eignung zur Überwachung genügt — die Tools müssen nicht tatsächlich überwachen, und es kommt nicht darauf an, ob das System als KI-„Hochrisiko” eingestuft ist (CMS). Bei zentral bereitgestellten Konten mit Nutzungsprotokollen ist diese Eignung praktisch immer gegeben.
Hinzu kommt § 98 BetrVG bei betrieblichen Schulungen. In vielen Fällen ist deshalb eine KI-Betriebsvereinbarung statt oder zusätzlich zur einseitigen Richtlinie der sauberere Weg.
Hinweis: Norm-Anwendung im Einzelfall hängt von der konkreten Tool-Konfiguration ab — bitte individuell prüfen lassen.
KI-Richtlinie einführen — in 7 Schritten
- KI-Inventar: Welche Tools sind im Haus, offiziell und inoffiziell?
- Risikobewertung: Welche Daten, welche Prozesse, welche Risiken?
- Tools auswählen & freigeben: namentlich, mit AVV und EU-Bezug.
- Regeln entwerfen: entlang der zehn Bausteine oben.
- Betriebsrat & Datenschutz einbinden: früh, nicht erst zum Schluss.
- Schulen & kommunizieren: Art. 4 KI-VO dokumentiert umsetzen.
- Review & aktualisieren: mindestens jährlich, bei neuen Tools sofort.
Wer den AI Act über die Richtlinie hinaus systematisch angehen will, findet den Überblick in AI Act: Was Unternehmen jetzt tun müssen.
Vorlage, Muster oder individuell? (+ Kosten)
| Variante | Aufwand/Kosten | Eignung | Risiko |
|---|---|---|---|
| Kostenlose Vorlage | gratis | erster Überblick, Mini-Teams | hoch — passt selten zur eigenen Tool- & Datenlage |
| Angepasste Vorlage | niedrig–mittel | KMU mit klarer Tool-Liste | mittel — Mitbestimmung/§ 203 oft ungeklärt |
| Vollständig individuell | mittel–hoch | regulierte Branchen, BR, sensible Daten | niedrig — auf Realität zugeschnitten |
Eine kostenlose Vorlage ist ein guter Start. Aber die Tool-Landschaft, Ihre Branche, § 203-Daten und die Mitbestimmung sind individuell — und genau dort entstehen Haftungsrisiken. Templates regeln das „Allgemeine”, nicht Ihr Spezifisches. Wenn Sie eine Richtlinie wollen, die Recht und technische Durchsetzung aus einer Hand abdeckt, finden Sie den Einstieg in der KI-Beratung für eine individuelle KI-Richtlinie — gern zunächst in einem unverbindlichen Erstgespräch.
FAQ
Welche Daten dürfen niemals in KI-Tools eingegeben werden? Personenbezogene Daten ohne Rechtsgrundlage, Geschäftsgeheimnisse, Berufsgeheimnisse nach § 203 StGB (z. B. Mandanten-, Patientendaten) und alles, was vertraglich der Geheimhaltung unterliegt — sofern das Tool keine vertraglich abgesicherte, DSGVO-konforme Verarbeitung garantiert.
Wer ist im Unternehmen für die KI-Richtlinie verantwortlich? Die Geschäftsführung trägt die Letztverantwortung. Operativ empfiehlt sich eine benannte Rolle (KI-Beauftragte:r oder KI-Governance), abgestimmt mit Datenschutz und ggf. Betriebsrat.
Reicht eine kostenlose Vorlage aus? Als Einstieg ja, als belastbares Regelwerk meist nein. Vorlagen kennen Ihre konkreten Tools, Datenarten und Mitbestimmungslage nicht — und gerade dort liegt das Risiko.
Wie hängt die KI-Richtlinie mit DSGVO und EU AI Act zusammen? Die Richtlinie ist das Dokument, in dem Sie DSGVO-Pflichten (Rechtsgrundlage, AVV, Datenresidenz) und AI-Act-Pflichten (v. a. KI-Kompetenz nach Art. 4) operativ umsetzen und nachweisbar machen.
Was kostet die Erstellung einer KI-Richtlinie? Von 0 € (Vorlage) bis zu einem überschaubaren Beratungsbudget für eine individuelle, mitbestimmungs- und durchsetzungsfeste Richtlinie. Die ehrliche Antwort hängt von Tool-Anzahl, Branche und Betriebsrat ab.
Fazit
Eine KI-Richtlinie ist erst dann wirksam, wenn die juristische Regel und ihre technische Durchsetzung aus einer Hand kommen. Papier allein schützt nicht — durchgesetzte Regeln schon. Wer Inventar, Recht, Technik und Schulung zusammendenkt, macht aus einem Pflicht-Dokument ein echtes Schutzschild.
Stand: November 2025. Allgemeiner Leitfaden, kein Rechtsrat im Einzelfall — Normanwendung bitte individuell prüfen lassen. Autor: Leon Lotz, Wirtschaftsjurist & Entwickler.
Quellen — Stand 25.11.2025
- ai-act-law.eu — Art. 4 KI-VO
- ai-act-law.eu — Art. 99 KI-VO (Sanktionen)
- artificialintelligenceact.eu — Umsetzungs-Zeitplan (2. August 2025)
- Noerr — Art. 4 KI-VO: Pflichten und Chancen
- Kliemt — KI-Kompetenz im Unternehmen: Pflicht
- Bitkom — Beschäftigte nutzen vermehrt Schatten-KI (Umfrage 2025)
- CMS — Einführung von KI: Einbindung des Betriebsrats
Leon Lotz
Leon Lotz ist Wirtschaftsjurist und Gründer von MusketierSoftware. Er verbindet juristische Tiefe mit echtem Software-Handwerk.
