KI-Richtlinie: Was sie wirklich beinhalten sollte und was nicht

Foto des Autors: Patrick Wunsch

Autor: Patrick Wunsch
Senior Marketing Manager & KI-Beauftragter 

Um dem EU AI Act zu entsprechen, brauchen Unternehmen klare Regeln für den Einsatz von künstlicher Intelligenz. Wie eine gute KI-Richtlinie aussieht, die Risiken reduziert, die Compliance sichert und gleichzeitig Raum für Innovation lässt, erfahren Sie hier.

Künstliche Intelligenz entwickelt sich rasant weiter und erschließt immer neue Use Cases in der Geschäftswelt. Doch viele Unternehmen hadern mit der neuen Technologie: Wie soll man KI gewinnbringend einsetzen? Soll man sie in bestimmten Bereichen überhaupt einsetzen? Chancen und Risiken wollen erst einmal gründlich analysiert und abgewogen werden.

Zwischen wilden Experimenten und striktem Verbot gibt es allerdings einen breiten Mittelweg, auf dem im Rahmen der gesetzlichen Vorgaben alles Mögliche ausprobiert werden darf.

Genau hier setzt eine KI-Richtlinie an.

Im Folgenden erklären wir, was genau unter einer KI-Richtlinie zu verstehen ist, warum Sie schnellstmöglich eine schreiben sollten und welche Elemente wirklich hineingehören. Am Ende gibt es einen praktischen Guide für den schnellen Start.

Was ist eine KI-Richtlinie?

Eine KI‑Richtlinie ist ein internes Regelwerk, das festlegt, wie KI‑Systeme in einem Unternehmen genutzt werden dürfen und sollen.

In erster Linie übersetzt sie die Vorgaben der europäischen KI-Verordnung (kurz: des EU AI Acts) in konkrete Handlungsanweisungen für Mitarbeiter.

Wichtig zu wissen: Der EU AI Act verfolgt einen risikobasierten Ansatz, der KI-Systeme in Kategorien einteilt. So gelten beispielsweise manche KI-Use-Cases im Bewerbungsprozess als “hochriskant” und unterliegen damit besonderen Pflichten im Hinblick auf Transparenz und Dokumentation.

Die KI-Richtlinie nimmt Bezug auf den EU AI Act, erklärt die Risikokategorien und stellt auf dieser Grundlage klare Regeln für den Einsatz von KI-Systemen auf.

Als Begleitdokument kann ein KI-Register angelegt werden, das KI-Systeme und KI-Funktionen innerhalb anderer Software aufführt, deren Nutzung erlaubt ist. Die KI-Richtlinie verweist dann auf dieses separate Dokument.

Warum überhaupt eine KI-Richtlinie?

In vielen Unternehmen werden Tools wie ChatGPT oder Copilot nach wie vor ohne klare Regeln genutzt. Dabei besteht eine Reihe von Risiken, zum Beispiel, dass vertrauliche Daten auf die Server fremder Unternehmen gelangen. Vielleicht werden die Daten vom KI-Anbieter sogar weiterverwendet – als Trainingsdaten für das nächste Modell.

Doch auch abseits des Datenschutzes gibt es vieles zu beachten: So können KI-Systeme, wenn sie falsch eingesetzt werden, beispielsweise Personen diskriminieren oder in ihren Grundrechten einschränken.

Da der AI Act für unzulässige Praktiken Strafen von bis zu 35.000.000 EUR oder 7 % des weltweiten Umsatzes vorsieht, ist eine lückenlose Compliance besonders wichtig!

Eine gute KI‑Richtlinie schärft das Bewusstsein für Risiken und begrenzt oder verbietet die Nutzung fragwürdiger Tools und Funktionen.

Gleichzeitig sollte sie jedoch so formuliert sein, dass sie dazu ermutigt, KI auszuprobieren und auf diese Weise die eigene Produktivität zu steigern.

Eine KI-Richtlinie dient nicht nur zur Gestaltung des KI-Einsatzes innerhalb des Unternehmens, sondern kann auch zum Nachweis der Compliance dienen: Sie erlaubt es dem Management, den KI-Einsatz zu dokumentieren und gegenüber Aufsichtsbehörden zu belegen, dass effektive Maßnahmen ergriffen wurden, um die Vorgaben des AI Acts einzuhalten.

Wer schreibt die KI-Richtlinie und für wen?

Eine KI‑Richtlinie für große und mittelgroße Unternehmen wird im Idealfall nicht von einer einzelnen Person verfasst, sondern interdisziplinär entwickelt:

  • Juristen übersetzen die Vorgaben des AI Acts in allgemeinverständliche Sprache,
  • IT‑Experten bewerten die technischen Risiken und definieren entsprechende Sicherheitsvorkehrungen,
  • die Abteilungen mit den vielfältigsten Use Cases für KI erklären die praktischen Anforderungen ihrer Fachbereiche,
  • die Unternehmensleitung gibt Ziele und Prinzipien vor.
  • Auch der Datenschutzbeauftragte und, falls vorhanden, der Betriebsrat sollten frühzeitig eingebunden werden.

In kleinen Unternehmen ist ein solches Gremium nicht unbedingt notwendig. Möglicherweise genügt es sogar, einen KI-Beauftragten zu benennen und diesem die Aufgabe zu übertragen, eine KI-Richtlinie zu schreiben und die Details mit der Geschäftsleitung abzustimmen.

Was können Ziele und Prinzipien für eine KI-Richtlinie sein?

Eine gute KI‑Richtlinie verfolgt drei Hauptziele:

1) Compliance sicherstellen

Die Richtlinie definiert klare “Do’s & Don’ts” für den Umgang mit KI-Systemen, insbesondere im Hinblick auf die Vorschriften der KI-Verordnung. Sie dient, wie andere Dokumente dieser Art auch, in erster Linie der Rechtskonformität.

2) Transparenz und Verantwortungsbewusstsein fördern

KI ist nicht nur ein mächtiges Werkzeug, um bestimmte Aufgaben schneller zu erledigen, sondern eignet sich – leider – auch zur Täuschung und Manipulation. Menschen sollten deshalb immer wissen, ob sie es mit künstlicher Intelligenz zu tun haben. Transparenzanforderungen wie verpflichtende “Made with AI”-Hinweise gehören unbedingt in eine gute KI-Richtlinie.

Auch die Nachvollziehbarkeit von KI-Entscheidungen sowie menschliche Kontrolle (Human‑in‑the‑Loop) sind für viele Use Cases empfehlenswert oder sogar obligatorisch und damit ein unverzichtbarer Bestandteil Ihrer KI-Richtlinie.

Zu den zentralen Prinzipien zählen außerdem Fairness (das bedeutet vor allem: jegliche Ungleichbehandlung aufgrund von Merkmalen wie Herkunft, Geschlecht oder Religion zu vermeiden) und Sicherheit (beispielsweise in Form von Datenminimierung).

3) Innovation fördern

Die KI-Richtlinie soll Innovation in die richtigen Bahnen leiten, nicht behindern. Sie soll einen sicheren Rahmen schaffen, innerhalb dessen Experimente mit KI erlaubt sind. Statt pauschaler Verbote werden also differenzierte Regeln für unterschiedliche Tools und Funktionen festgelegt.

Mehr noch: Eine gute KI-Richtlinie ermutigt zur Nutzung von KI!

Sie sollte mindestens einen Absatz beinhalten, in dem es darum geht, wie sich das Unternehmen mittels KI verbessern will. Idealerweise gibt es sowohl einen sofort umsetzbaren Plan als auch eine Vision für die nächsten Jahre.

Was die KI-Richtlinie beinhalten sollte

Eine KI‑Richtlinie sollte folgende Informationen beinhalten:

Zweck und Geltungsbereich

Es sollte – idealerweise zu Beginn – festgelegt werden, warum die Richtlinie überhaupt eingeführt wird und für welche Abteilungen, KI‑Systeme und/oder Use Cases sie gilt.

Eine Bestandsaufnahme aller genutzten KI-Systeme und KI-Funktionen hilft, den Geltungsbereich nicht zu groß und nicht zu klein zu definieren.

Begriffsdefinitionen

Verständliche Definitionen für Begriffe wie “KI‑System”, “KI-Kompetenz” oder “generative KI” verhindern Missverständnisse.

In der Regel sind Marketer besonders geeignet, um den Fachjargon der KI-Verordnung so zu übersetzen, dass alle Mitarbeiter wissen, worum es geht.

Umgang mit sensiblen Daten

Die Richtlinie legt fest, wie Daten genutzt werden dürfen. Vor allem verbietet sie es, sensible Daten in KI-Systeme einzugeben – auch dann, wenn die Anbieter versprechen, die Daten nicht zu speichern und nicht weiterzuverwenden.

Insbesondere sollte die KI-Richtlinie folgende Typen sensibler Daten explizit nennen:

  • personenbezogene Daten,
  • urheberrechtlich geschützte Daten und
  • Geschäftsgeheimnisse.

Fügen Sie hinzu, dass solche Daten auch im Zweifelsfall nicht eingegeben werden dürfen und dass man, wenn man sich unsicher ist, Rücksprache mit dem KI-Beauftragten oder dem Datenschutzbeauftragten halten sollte.

Umgang mit KI‑generierten Inhalten

Weisen Sie darauf hin, dass KI-Output keinen urheberrechtlichen Schutz erhält und es einer bedeutenden Überarbeitung bedarf, um sich den Output in diesem Sinne “anzueignen”.

Außerdem sollte die KI-Richtlinie Auskunft darüber geben, wann und wie KI-Output, der veröffentlicht wird, mit einem “Made with AI”-Hinweis versehen werden muss.

Rollen und Verantwortlichkeiten

Ein KI‑Beauftragter oder ein KI-Team koordiniert die Umsetzung dessen, was in der Richtlinie vorgeschrieben ist. Jede Abteilung dokumentiert ihre KI‑Systeme und darf diese nur nach Freigabe weiter einsetzen. Diese Vorgaben müssen sehr deutlich gemacht werden – sie bilden schließlich den Kern der KI-Richtlinie.

Schulungen

Planen Sie regelmäßige Trainings zum Thema KI, integrieren Sie entsprechende Module ins Onboarding von neuen Mitarbeitenden und denken Sie immer an eine Dokumentation, welchen Mitarbeitern Sie welche wichtigen Informationen und Kenntnisse vermittelt haben.

Seit Februar 2025 ist “KI‑Kompetenz” im Unternehmen gesetzlich vorgeschrieben, wenn KI-Systeme eingesetzt werden. Auf diese Tatsache sollten Sie in der KI-Richtlinie Bezug nehmen und die entsprechenden Maßnahmen ankündigen.

Kontrolle und Aktualisierung

Zu guter Letzt sollten Sie klarmachen, dass es Sanktionen bei Verstößen gegen die KI-Richtlinie und aller Voraussicht nach unregelmäßige Aktualisierungen des Inhalts geben wird – je nachdem, wie sich die Gesetzeslage entwickelt oder welche neuen Modelle und Funktionalitäten in KI-Systemen verfügbar gemacht werden.

Was die KI-Richtlinie nicht beinhalten sollte

Wie bereits gesagt, soll die KI-Richtlinie Raum für Innovationen lassen. Das bedeutet, sie soll zwar so restriktiv wie nötig sein – aber gleichzeitig so ermutigend wie möglich. Außerdem muss sie für jeden Mitarbeiter leicht zu lesen sein.

Folgende Tipps sollten Sie sich darüber hinaus zu Herzen nehmen:

Keine Gesetzestexte abschreiben

Die Richtlinie soll die juristischen Vorgaben allgemeinverständlich übersetzen, nicht wiederholen. Lange Zitate ohne Bezug zur Unternehmenspraxis verwirren Mitarbeiter nur unnötig. Beschränken Sie sich aufs Wesentliche und bedienen Sie sich eines einfachen Stils und Vokabulars.

Keine Widersprüche zu geltendem Recht

Bei Ihrer Übersetzung sollten Sie sich, abgesehen von Formulierung und Wortwahl, keine zu großen Freiheiten nehmen: Eine KI-Richtlinie kann den AI Act – und andere Gesetze – natürlich nicht überschreiben und sie auch nicht teilweise außer Kraft setzen. Dementsprechend sollten Sie am Ende mit größter Sorgfalt prüfen, ob die KI-Richtlinie Ihres Unternehmens auch 100%ig in Einklang mit der KI-Verordnung der EU steht.

Beispielsweise dürfen Sie keine kreativen Klauseln einfügen, die “unter besonderen Umständen” den Upload “bestimmter” personenbezogener Daten ohne Rechtsgrundlage in “ausgewählte” KI-Systeme erlauben.

Keine pauschalen Verbote

Wenn Sie KI-Systeme pauschal verbieten, führt das meist zu zweierlei:

  • gute Ideen, wie man künstliche Intelligenz effektiv einsetzen kann, werden im Keim erstickt und
  • Mitarbeiter, die sich vom Einsatz bestimmter KI-Systeme oder KI-Funktionen bedeutende Vorteile versprechen, werden diese heimlich nutzen.

Die Richtlinie muss also differenzieren. Sie sollte, wenn möglich, nie ganze Systeme verbieten, sondern nur einzelne Funktionen – maximale Freiheit bei gleichzeitig minimalem Risiko.

Fahrplan für den Start

Wenn Sie nun – zu Recht – davon überzeugt sind, dass Sie schnellstmöglich eine KI-Richtlinie erstellen und kommunizieren müssen, empfehlen sich die folgenden Schritte:

Management‑Buy‑in sichern

Erklären Sie der Geschäftsleitung die Bedeutung einer KI-Richtlinie. Lassen Sie die Richtlinie anschließend freigeben. Idealerweise übernimmt die Geschäftsleitung teilweise die Kommunikation gegenüber dem Rest des Teams, um der Richtlinie das nötige Gewicht zu verleihen.

Bestandsaufnahme und Risikoanalyse

Ermitteln Sie, wo KI genutzt wird – offiziell und inoffiziell! – und bewerten Sie die Risiken der Systeme und Funktionen auf Basis der Kategorien des AI Acts.

Klar: Je größer das Unternehmen, desto schwieriger gestaltet sich dieses Unterfangen. Gerade hier kann die Geschäftsleitung helfen und den nötigen Druck aufbauen, um die Liste schnell und lückenlos zusammenzustellen.

Stakeholder einbinden und Richtlinie entwerfen

Bilden Sie ein interdisziplinäres Team aus Vertretern aller Abteilungen, die KI einsetzen oder überwachen.

Die optimale Größe des Teams ist abhängig von der Unternehmensgröße und der Komplexität der Use Cases. Unsere Empfehlung: Starten Sie mit so wenigen Personen wie möglich und erweitern Sie den Kreis erst, wenn es unbedingt notwendig erscheint.

Schulungen

Führen Sie KI-Schulungen durch oder bieten Sie, wenn Sie entsprechende Plattformen nutzen oder darin eine effektivere Methode der Wissensvermittlung sehen, E‑Learning‑Module an.

Zeichnen Sie die Präsenz beziehungsweise die Lernfortschritte auf und sorgen Sie dafür, dass jeder im Unternehmen, der KI-Systeme oder KI-Funktionen einsetzt, die dazu notwendige KI-Kompetenz besitzt. Besonders wichtig ist, dass diese Personen die KI-Verordnung kennen und sich über die Risiken künstlicher Intelligenz im Klaren sind.

Verankerung in Prozessen

Bringen Sie die Vorgaben der KI-Richtlinie in Einklang mit allen relevanten Prozessen im Unternehmen und führen Sie regelmäßig einen Audit durch.

Prüfen Sie neue KI‑Systeme und KI-Funktionen, die von Mitarbeitern angefragt werden, und nehmen Sie diese gegebenenfalls ins Register der erlaubten Anwendungen auf.

Bleiben Sie informiert über alle Entwicklungen im Hinblick auf künstliche Intelligenz, insbesondere auf neue Systeme, neue Funktionen und neue gesetzliche Vorgaben.

Sollte sich zeigen, dass die Mitarbeiter in Ihrem Unternehmen sich für das Thema interessieren, sollten Sie die wichtigsten Neuigkeiten weitergeben – beispielsweise in einem eigens dafür eingerichteten Teams-Kanal oder in gelegentlichen Online-Terminen mit freier Teilnahme.

Fazit

Eine KI-Richtlinie schafft den Rahmen, den Unternehmen für den sicheren Einsatz von künstlicher Intelligenz brauchen: Sie übersetzt die KI-Verordnung der Europäischen Union – den “EU AI Act” – in allgemeinverständliche, alltagstaugliche Regeln und sorgt vor allem dafür, dass KI-Systeme und KI-Funktionen nicht unkontrolliert eingesetzt werden.

Mit einer KI-Richtlinie sensibilisieren Sie für die Risiken von künstlicher Intelligenz und vermeiden insbesondere Datenleaks und Diskriminierung.

Gleichzeitig darf eine gute KI-Richtlinie keine Innovationsbremse sein. Im Gegenteil: Wenn “Do’s & Don’ts”, Rollen, Freigaben, Kennzeichnungspflichten und andere Aspekte klar geregelt sind, entsteht ein Gefühl von Sicherheit, das Mitarbeiter ermutigt, alle möglichen Use Cases innerhalb dieser Leitplanken zu testen.

Der Start kann hier ganz pragmatisch sein: Erst erfassen, wo KI bereits genutzt wird, dann Stakeholder einbinden, Systeme und Funktionen bewerten, anschließend die erste Version einer ausgewogenen Richtlinie verabschieden. Durch regelmäßige Updates bleibt das Regelwerk lebendig und passt sich aktuellen Entwicklungen innerhalb und außerhalb Ihres Unternehmens an. Mit einer guten KI-Richtlinie können Sie das Potenzial von KI ausschöpfen, bleiben dabei aber immer 100%ig compliant.

Autoren-Vita

Foto des Autors: Patrick Wunsch

Patrick Wunsch ist Senior Marketing Manager und KI-Beauftragter der MBmedien Group. Er fokussiert sich seit 10 Jahren auf Content Creation, testet regelmäßig neue Plattformen, Apps und Tools und interessiert sich für die Einsatzmöglichkeiten innovativer Technologien sowohl im Arbeitsalltag als auch für private Projekte.