AIkonform Kostenloser Schnellcheck
← Wissen · EU AI Act

KI-Nutzungsrichtlinie für Unternehmen: Was muss rein?

Stand: 29. Juni 2026 · Rechtsstand nach dem Digital Omnibus (07.05.2026) · Lesezeit ca. 7 Min.

Eine KI-Nutzungsrichtlinie regelt verbindlich, welche KI-Tools im Betrieb für welche Zwecke erlaubt sind, welche Daten niemals hineingehören und wer den KI-Output verantwortet. Sie ist — zusammen mit einer datierten Schulung — der zentrale prüffeste Nachweis der KI-Kompetenzpflicht nach Art. 4 EU AI Act, die ab dem 2. August 2026 durchsetzbar ist. Dieser Beitrag liefert die neun Pflicht-Bausteine als fertige Gliederung, die Sie direkt übernehmen können.

Warum eine schriftliche Richtlinie? Weil „auf Zuruf" kein Nachweis ist

Art. 4 verlangt von Betreibern, „nach besten Kräften" sicherzustellen, dass alle Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das Gesetz schreibt keine bestimmte Form vor — aber im Streit- oder Prüffall zählt nur, was dokumentiert ist. Genau hier wirkt die Nutzungsrichtlinie: Sie übersetzt „Kompetenz" in verbindliche Spielregeln und macht sie nachweisbar.

In der Praxis stützt sich der Nachweis nach Art. 4 auf zwei Säulen: eine durchgeführte, datierte Schulung (abgestuft nach Rolle) und eine schriftliche KI-Nutzungsrichtlinie, die das Erlernte in den Arbeitsalltag überträgt. Ohne das schriftliche Dokument bleibt selbst die beste Schulung im Prüffall unbelegt. Beides muss vor dem 2. August 2026 vorliegen.

Die 9 Pflicht-Bausteine — Ihre Gliederung zum Abschreiben

Eine wirksame KI-Nutzungsrichtlinie für ein KMU passt auf zwei bis vier Seiten. Diese neun Abschnitte sollten enthalten sein — die Reihenfolge ist zugleich eine brauchbare Inhaltsgliederung:

#BausteinWas hineingehört
1Geltungsbereich & ZweckFür wen die Richtlinie gilt (alle Beschäftigten, auch Praktikanten/Externe), ab wann, und welches Ziel sie verfolgt (sichere, konforme KI-Nutzung).
2Freigegebene ToolsPositivliste der erlaubten KI-Werkzeuge mit Einsatzzweck (z. B. ChatGPT Team für Textentwürfe, Copilot in M365, DeepL).
3Verbotene Tools & „Schatten-KI"Klares Verbot nicht freigegebener Tools und privater Gratis-Accounts für Dienstliches. Prozess, wie neue Tools beantragt und freigegeben werden.
4Datenklassen-RegelWelche Daten nie in offene KI dürfen: personenbezogene Daten, Kunden- und Geschäftsgeheimnisse, Gesundheits-, Bewerber- und Finanzdaten.
5Mensch bleibt verantwortlichPflicht zur inhaltlichen Prüfung jedes KI-Outputs vor Verwendung. KI liefert Entwürfe, nicht Endergebnisse — die Verantwortung trägt der Mensch.
6Transparenz & KennzeichnungWann KI-Inhalte gegenüber Kunden gekennzeichnet werden (Art. 50): Chatbot-Hinweis, KI-generierte Bilder/Texte mit Außenwirkung.
7Qualität, Urheberrecht, HalluzinationenFaktencheck-Pflicht, kein blindes Übernehmen von Quellen, Vorsicht bei urheberrechtlich geschützten Vorlagen und generierten Bildern.
8Meldewege & AnsprechpartnerWer im Betrieb für KI-Fragen zuständig ist, wie Vorfälle (Datenleck, Fehlausgabe) gemeldet werden.
9Schulungsbezug & InkraftsetzungVerweis auf die verpflichtende KI-Schulung, Datum des Inkrafttretens, Verantwortlicher (Geschäftsführung) und Versionsstand. Das Datum ist der eigentliche Nachweis.
Der häufigste Fehler
Viele Richtlinien sind zu abstrakt („KI ist verantwortungsvoll zu nutzen"). Das ist kein Nachweis, sondern eine Floskel. Prüffest wird eine Richtlinie erst durch konkrete Ge- und Verbote: welches Tool, welche Daten, welcher Freigabeprozess. Lieber zwei konkrete Seiten als zehn allgemeine.

Ein KMU-Beispiel: die Steuerkanzlei mit 8 Beschäftigten

Eine Görlitzer Steuerkanzlei nutzt ChatGPT für Mandantenschreiben, ein KI-Tool zur Belegerkennung und testet einen Termin-Chatbot auf der Website. Die Kanzlei ist Betreiber, nicht Anbieter — die schweren Pflichten entfallen. Ihre Nutzungsrichtlinie umfasst dreieinhalb Seiten und regelt konkret:

Realistischer Aufwand: ein halber Tag für den Entwurf, eine Teambesprechung zur Einführung. Zusammen mit der datierten Schulung ist der Art.-4-Nachweis damit erbracht — ohne Konzern-Bürokratie.

So führen Sie die Richtlinie in 5 Schritten ein

  1. Inventur: Erst erfassen, welche KI-Tools im Betrieb tatsächlich genutzt werden — auch versteckte (Copilot, KI-Funktionen in CRM/Buchhaltung). Ohne diese Bestandsaufnahme bleibt die Positivliste lückenhaft.
  2. Entwurf: Die neun Bausteine mit Ihren realen Tools und Datenarten füllen. Konkret statt allgemein.
  3. Abstimmen: Bei Mitbestimmung den Betriebsrat einbinden, datenschutzrechtliche Punkte mit der/dem Datenschutzbeauftragten klären.
  4. Kommunizieren: Richtlinie im Rahmen der KI-Schulung vorstellen, Empfang quittieren lassen. Eine ungelesene Richtlinie schützt nicht.
  5. Datieren & pflegen: Mit Datum und Version in Kraft setzen, jährlich oder bei neuen Tools aktualisieren.

Häufige Fragen

Ist eine KI-Nutzungsrichtlinie Pflicht?

Nicht namentlich im Gesetz, aber faktisch unverzichtbar. Art. 4 EU AI Act verlangt nachweisbare KI-Kompetenz. Eine schriftliche, datierte Richtlinie ist neben der Schulung der wichtigste prüffeste Beleg, dass Ihr Betrieb diese Pflicht erfüllt. Wer keine hat, kann im Prüffall nicht zeigen, dass er „nach besten Kräften" gehandelt hat.

Was muss zwingend hinein?

Mindestens die neun oben genannten Bausteine — Kern sind: Positivliste freigegebener Tools, klare Datenklassen-Regel (was nie in offene KI darf), Pflicht zur menschlichen Prüfung, Transparenzregeln nach Art. 50 sowie die datierte Inkraftsetzung.

Wie lang muss sie sein?

Zwei bis vier Seiten reichen für ein KMU. Entscheidend ist nicht der Umfang, sondern dass die Regeln konkret, kommuniziert und datiert sind. Eine kurze, gelebte Richtlinie ist prüffester als ein dickes Dokument, das niemand kennt.

Brauchen Sie eine prüffeste KI-Richtlinie — ohne Juristendeutsch?

Der kostenlose 10-Punkte-Schnellcheck zeigt mit Ampel-Auswertung, welche AI-Act-Pflichten Ihr Betrieb schon erfüllt und wo die Richtlinie ansetzen muss. Für Geschäftsführungen ohne Rechtsabteilung gemacht.

AIkonform ist ein Dienstleister für KI-Governance und Konformitäts-Dokumentation und erbringt keine Rechtsberatung im Sinne des RDG. Dieser Artikel ist eine allgemeine Information, keine rechtliche Beratung. Angaben nach Rechtsstand Juni 2026 (Digital Omnibus, Einigung vom 07.05.2026); regulatorische Termine und Auslegungen können sich ändern. Im Zweifel ziehen Sie für die rechtliche Bewertung Ihres konkreten Einzelfalls eine Rechtsanwältin oder einen Rechtsanwalt hinzu.