KI-Nutzungsrichtlinie für Unternehmen: Was muss rein?
Eine KI-Nutzungsrichtlinie regelt verbindlich, welche KI-Tools im Betrieb für welche Zwecke erlaubt sind, welche Daten niemals hineingehören und wer den KI-Output verantwortet. Sie ist — zusammen mit einer datierten Schulung — der zentrale prüffeste Nachweis der KI-Kompetenzpflicht nach Art. 4 EU AI Act, die ab dem 2. August 2026 durchsetzbar ist. Dieser Beitrag liefert die neun Pflicht-Bausteine als fertige Gliederung, die Sie direkt übernehmen können.
Warum eine schriftliche Richtlinie? Weil „auf Zuruf" kein Nachweis ist
Art. 4 verlangt von Betreibern, „nach besten Kräften" sicherzustellen, dass alle Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das Gesetz schreibt keine bestimmte Form vor — aber im Streit- oder Prüffall zählt nur, was dokumentiert ist. Genau hier wirkt die Nutzungsrichtlinie: Sie übersetzt „Kompetenz" in verbindliche Spielregeln und macht sie nachweisbar.
In der Praxis stützt sich der Nachweis nach Art. 4 auf zwei Säulen: eine durchgeführte, datierte Schulung (abgestuft nach Rolle) und eine schriftliche KI-Nutzungsrichtlinie, die das Erlernte in den Arbeitsalltag überträgt. Ohne das schriftliche Dokument bleibt selbst die beste Schulung im Prüffall unbelegt. Beides muss vor dem 2. August 2026 vorliegen.
Die 9 Pflicht-Bausteine — Ihre Gliederung zum Abschreiben
Eine wirksame KI-Nutzungsrichtlinie für ein KMU passt auf zwei bis vier Seiten. Diese neun Abschnitte sollten enthalten sein — die Reihenfolge ist zugleich eine brauchbare Inhaltsgliederung:
| # | Baustein | Was hineingehört |
|---|---|---|
| 1 | Geltungsbereich & Zweck | Für wen die Richtlinie gilt (alle Beschäftigten, auch Praktikanten/Externe), ab wann, und welches Ziel sie verfolgt (sichere, konforme KI-Nutzung). |
| 2 | Freigegebene Tools | Positivliste der erlaubten KI-Werkzeuge mit Einsatzzweck (z. B. ChatGPT Team für Textentwürfe, Copilot in M365, DeepL). |
| 3 | Verbotene Tools & „Schatten-KI" | Klares Verbot nicht freigegebener Tools und privater Gratis-Accounts für Dienstliches. Prozess, wie neue Tools beantragt und freigegeben werden. |
| 4 | Datenklassen-Regel | Welche Daten nie in offene KI dürfen: personenbezogene Daten, Kunden- und Geschäftsgeheimnisse, Gesundheits-, Bewerber- und Finanzdaten. |
| 5 | Mensch bleibt verantwortlich | Pflicht zur inhaltlichen Prüfung jedes KI-Outputs vor Verwendung. KI liefert Entwürfe, nicht Endergebnisse — die Verantwortung trägt der Mensch. |
| 6 | Transparenz & Kennzeichnung | Wann KI-Inhalte gegenüber Kunden gekennzeichnet werden (Art. 50): Chatbot-Hinweis, KI-generierte Bilder/Texte mit Außenwirkung. |
| 7 | Qualität, Urheberrecht, Halluzinationen | Faktencheck-Pflicht, kein blindes Übernehmen von Quellen, Vorsicht bei urheberrechtlich geschützten Vorlagen und generierten Bildern. |
| 8 | Meldewege & Ansprechpartner | Wer im Betrieb für KI-Fragen zuständig ist, wie Vorfälle (Datenleck, Fehlausgabe) gemeldet werden. |
| 9 | Schulungsbezug & Inkraftsetzung | Verweis auf die verpflichtende KI-Schulung, Datum des Inkrafttretens, Verantwortlicher (Geschäftsführung) und Versionsstand. Das Datum ist der eigentliche Nachweis. |
Ein KMU-Beispiel: die Steuerkanzlei mit 8 Beschäftigten
Eine Görlitzer Steuerkanzlei nutzt ChatGPT für Mandantenschreiben, ein KI-Tool zur Belegerkennung und testet einen Termin-Chatbot auf der Website. Die Kanzlei ist Betreiber, nicht Anbieter — die schweren Pflichten entfallen. Ihre Nutzungsrichtlinie umfasst dreieinhalb Seiten und regelt konkret:
- Freigegeben: ChatGPT Team (Training deaktiviert) für Textentwürfe, das Belegtool laut Vertrag, DeepL. Alles andere ist genehmigungspflichtig.
- Tabu-Daten: Keine Mandantennamen, Steuernummern oder Belege in die offene ChatGPT-Version. Sensible Verarbeitung nur im vertraglichen Team-Account.
- Vier-Augen-Prinzip: Jedes KI-erstellte Mandantenschreiben wird von einer fachkundigen Person geprüft und gezeichnet — die Verantwortung bleibt bei der Kanzlei.
- Transparenz: Der Website-Chatbot trägt den Hinweis „Sie chatten mit einem KI-Assistenten" (Art. 50, ab 08/2026).
- Inkraftsetzung: Unterschrieben von der Kanzleileitung, datiert auf den 15.07.2026, Version 1.0 — vor der durchsetzbaren Frist.
Realistischer Aufwand: ein halber Tag für den Entwurf, eine Teambesprechung zur Einführung. Zusammen mit der datierten Schulung ist der Art.-4-Nachweis damit erbracht — ohne Konzern-Bürokratie.
So führen Sie die Richtlinie in 5 Schritten ein
- Inventur: Erst erfassen, welche KI-Tools im Betrieb tatsächlich genutzt werden — auch versteckte (Copilot, KI-Funktionen in CRM/Buchhaltung). Ohne diese Bestandsaufnahme bleibt die Positivliste lückenhaft.
- Entwurf: Die neun Bausteine mit Ihren realen Tools und Datenarten füllen. Konkret statt allgemein.
- Abstimmen: Bei Mitbestimmung den Betriebsrat einbinden, datenschutzrechtliche Punkte mit der/dem Datenschutzbeauftragten klären.
- Kommunizieren: Richtlinie im Rahmen der KI-Schulung vorstellen, Empfang quittieren lassen. Eine ungelesene Richtlinie schützt nicht.
- Datieren & pflegen: Mit Datum und Version in Kraft setzen, jährlich oder bei neuen Tools aktualisieren.
Häufige Fragen
Ist eine KI-Nutzungsrichtlinie Pflicht?
Nicht namentlich im Gesetz, aber faktisch unverzichtbar. Art. 4 EU AI Act verlangt nachweisbare KI-Kompetenz. Eine schriftliche, datierte Richtlinie ist neben der Schulung der wichtigste prüffeste Beleg, dass Ihr Betrieb diese Pflicht erfüllt. Wer keine hat, kann im Prüffall nicht zeigen, dass er „nach besten Kräften" gehandelt hat.
Was muss zwingend hinein?
Mindestens die neun oben genannten Bausteine — Kern sind: Positivliste freigegebener Tools, klare Datenklassen-Regel (was nie in offene KI darf), Pflicht zur menschlichen Prüfung, Transparenzregeln nach Art. 50 sowie die datierte Inkraftsetzung.
Wie lang muss sie sein?
Zwei bis vier Seiten reichen für ein KMU. Entscheidend ist nicht der Umfang, sondern dass die Regeln konkret, kommuniziert und datiert sind. Eine kurze, gelebte Richtlinie ist prüffester als ein dickes Dokument, das niemand kennt.
Brauchen Sie eine prüffeste KI-Richtlinie — ohne Juristendeutsch?
Der kostenlose 10-Punkte-Schnellcheck zeigt mit Ampel-Auswertung, welche AI-Act-Pflichten Ihr Betrieb schon erfüllt und wo die Richtlinie ansetzen muss. Für Geschäftsführungen ohne Rechtsabteilung gemacht.