ai-finden.de
Startseite Anleitungen Wie erstelle ich eine KI-Nutzungsrichtlinie für mein Unterne…
Anleitung

Wie erstelle ich eine KI-Nutzungsrichtlinie für mein Unternehmen?

A. Blick A. Blick  ·  Stand: 15. Juni 2026  ·  Lesezeit: 9 Min.

Mitarbeiter nutzen KI-Tools — ob Sie es erlauben oder nicht. Ohne interne Richtlinie entscheidet jeder selbst, welche Daten er in ChatGPT, Claude oder Gemini eingibt. Das ist nicht nur ein Datenschutzproblem, sondern auch ein Haftungsrisiko. Dieser Leitfaden zeigt Ihnen, wie Sie in fünf Schritten eine praxistaugliche KI-Nutzungsrichtlinie aufsetzen — ohne Juristenstab.

Kurze Antwort

Eine KI-Nutzungsrichtlinie braucht fünf Kernbausteine: (1) eine Liste erlaubter und verbotener Tools, (2) klare Datenkategorien mit konkreten Beispielen, (3) einen Freigabeprozess für neue Tools, (4) Regeln zur Kennzeichnung KI-generierter Inhalte und (5) Schulungspflichten. Für DSGVO-relevante Tools brauchen Sie zusätzlich einen Auftragsverarbeitungsvertrag (AVV) mit dem Anbieter, bevor Mitarbeiter die Tools produktiv einsetzen dürfen. Dieser Leitfaden ersetzt keine individuelle Rechts- oder Datenschutzprüfung.

Das Problem in einem Satz

Ohne Richtlinie gilt: Erlaubt ist, was niemand verbietet — und das ist für Ihr Unternehmen das teuerste Szenario.

Voraussetzungen

Bevor Sie die Richtlinie schreiben, klären Sie folgende Punkte:

  • Welche KI-Tools nutzen Ihre Mitarbeiter bereits — auch inoffiziell?
  • Haben Sie einen Datenschutzbeauftragten (intern oder extern)?
  • Gibt es einen Betriebsrat? (Mitbestimmungspflicht bei Überwachungspotenzial)
  • Welche Datenarten verarbeiten Sie täglich? (Kundendaten, Personalakten, Finanzdaten, internes Know-how)
  • Haben Sie Branchen-Sonderpflichten? (z. B. §203 StGB bei Steuerberatern, Anwälten, Ärzten)

Was verlangt der EU AI Act von KMU?

Seit August 2025 gilt der EU AI Act vollständig. Für die meisten KMU sind zwei Punkte praxisrelevant: (1) AI Literacy: Mitarbeiter, die KI-Systeme einsetzen, müssen über ausreichendes KI-Grundwissen verfügen — eine strukturierte Einführungsschulung erfüllt diese Anforderung in der Praxis meist. (2) Dokumentationspflichten bei Hochrisiko-KI: Systeme in HR-Entscheidungen, Kreditvergabe oder kritischer Infrastruktur unterliegen strengen Anforderungen. Für Standard-Textgenerierung und Übersetzungstools gilt die Hochrisiko-Klassifizierung in der Regel nicht. Ihre KI-Nutzungsrichtlinie ist der richtige Ort, AI-Literacy-Maßnahmen schriftlich festzuhalten.

Wie erstellen Sie eine KI-Nutzungsrichtlinie Schritt für Schritt?

Schritt 1: Datenkategorien definieren

Teilen Sie Ihre Unternehmensdaten in vier Klassen ein:

  • Öffentlich: Pressemitteilungen, Produkttexte, allgemeine Unternehmensinfos
  • Intern: Interne Prozesse, Vorlagen, Kommunikation ohne Personenbezug
  • Vertraulich: Kundendaten, Verträge, Personalakten, Finanzdaten
  • Streng vertraulich: Geschäftsgeheimnisse, besondere Datenkategorien nach Art. 9 DSGVO (Gesundheitsdaten, biometrische Daten)

DSGVO-Hinweis: Vertrauliche und streng vertrauliche Daten dürfen nur in Tools eingegeben werden, für die ein AVV vorliegt und die auf europäischen Servern betrieben werden oder für die eine Drittstaaten-Absicherung besteht (z. B. EU-Standardvertragsklauseln).

Dann haben Sie: Eine klare Sprachregelung, auf die die gesamte Richtlinie aufbaut.

Schritt 2: Tool-Liste erstellen — erlaubt, bedingt erlaubt, verboten

Erstellen Sie drei Listen:

Erlaubt (ohne Einschränkung): Tools mit AVV, die nur öffentliche oder interne Daten verarbeiten — z. B. DeepL Pro für allgemeine Übersetzungen oder Microsoft 365 Copilot im Enterprise-Modus mit aktivem Datenschutzvertrag.

Bedingt erlaubt: Tools, die nur mit bestimmten Datenkategorien genutzt werden dürfen — z. B. ChatGPT Plus ausschließlich für öffentliche und interne Daten, nie für Kundennamen oder Vertragsinhalte.

Verboten: Tools ohne AVV, mit US-Serverstandort ohne Absicherung oder mit bekanntem KI-Training auf Eingabedaten — z. B. kostenlose Chatbot-Versionen ohne nachweisbare Datenschutzdokumentation.

DSGVO-Hinweis: Für jedes freigegebene Tool sollten Sie den AVV-Status dokumentieren und mindestens einmal jährlich prüfen. Anbieter ändern ihre Datenschutzrichtlinien — was heute gilt, kann morgen anders sein.

Dann haben Sie: Eine verbindliche Tool-Liste, die Mitarbeiter direkt anwenden können.

Schritt 3: Freigabeprozess für neue Tools festlegen

Kein Tool ohne Prüfung — das ist die wichtigste Regel. Definieren Sie:

  1. Antragssteller: Mitarbeiter meldet neues Tool per E-Mail oder Ticketsystem an IT oder DSB
  2. Prüfung: DSB oder IT-Verantwortlicher prüft AVV-Verfügbarkeit, Serverstandort und Datenschutzerklärung — Zieldauer: max. 5 Werktage
  3. Entscheidung: Freigabe mit Kategorie-Beschränkung, bedingte Freigabe oder Ablehnung mit Begründung
  4. Dokumentation: Freigegebene Tools werden in der Tool-Liste ergänzt, Mitarbeiter werden informiert

Dann haben Sie: Einen nachvollziehbaren Prozess, der Sie bei einer Datenpanne absichert.

Schritt 4: Kennzeichnung und Haftung regeln

Legen Sie fest, wann KI-generierte Inhalte als solche gekennzeichnet werden müssen:

  • Extern kommunizierte Inhalte (Angebote, Berichte): Kennzeichnung empfohlen oder verpflichtend je nach Branche
  • Interne Dokumente: Kennzeichnung für Qualitätssicherung sinnvoll
  • KI-gestützte Entscheidungen: Dokumentationspflicht, wenn Entscheidungen Mitarbeiter oder Kunden betreffen (Art. 22 DSGVO bei vollautomatisierten Entscheidungen)

Regeln Sie außerdem: Wer haftet, wenn ein Mitarbeiter entgegen der Richtlinie vertrauliche Daten eingibt? Ein Verweis auf bestehende Arbeitsvertragsklauseln zur Verschwiegenheit ist oft ausreichend.

Dann haben Sie: Klare Verantwortlichkeiten, die auch bei internen Audits standhalten.

Schritt 5: Schulung und Kommunikation planen

Eine Richtlinie, die niemand kennt, schützt niemanden. Planen Sie:

  • Einmalige Einführungsschulung: 30–60 Minuten, auch als aufgezeichnetes Video möglich
  • Jährliche Wiederholung: Kurzes Update bei neuen Tools oder Gesetzesänderungen
  • Onboarding: Neue Mitarbeiter unterschreiben die Richtlinie am ersten Tag
  • Anlaufstelle: Wer beantwortet Rückfragen? Name oder Rolle benennen

DSGVO-Hinweis: Schulungsnachweise dokumentieren — bei einer Datenpanne ist der Nachweis geschulter Mitarbeiter ein mildernder Faktor gegenüber Datenschutzbehörden.

Dann haben Sie: Eine Richtlinie, die tatsächlich gelebt wird.

Muster-KI-Nutzungsrichtlinie für KMU

Das folgende Beispiel können Sie als Ausgangspunkt nutzen und an Ihr Unternehmen anpassen. Es ersetzt keine individuelle Rechts- oder Datenschutzprüfung.

KI-Nutzungsrichtlinie [Unternehmensname] — Stand: [Datum]

1. Geltungsbereich: Diese Richtlinie gilt für alle Mitarbeiter beim Einsatz von KI-Tools im beruflichen Kontext.

2. Erlaubte Tools: [Tool A] — öffentliche und interne Daten | [Tool B] — nur öffentliche Daten.

3. Verbotene Nutzung: Keine Eingabe von Kundendaten, Personalakten oder Finanzdaten in Tools ohne schriftlichen AVV.

4. Freigabeprozess: Neue Tools schriftlich bei IT/DSB beantragen — Prüfzeit max. 5 Werktage.

5. Kennzeichnung: Extern kommunizierte KI-Inhalte werden als „KI-unterstützt erstellt” gekennzeichnet.

6. AI Literacy (EU AI Act): Alle Mitarbeiter nehmen an einer Einführungsschulung teil und bestätigen dies schriftlich.

7. Verstöße: Meldung an [Kontaktperson], Konsequenzen gemäß Arbeitsvertrag und Datenschutzrecht.

8. Gültigkeit: Jährliche Überprüfung. Nächste Prüfung: [Datum + 1 Jahr]. Verantwortlich: [Rolle].

Häufige Stolperfallen

“Unsere allgemeine IT-Richtlinie reicht aus.” KI-Tools haben spezifische Risiken (Datenweitergabe an Trainingsdaten, fehlende AVVs), die in allgemeinen IT-Richtlinien nicht abgebildet sind.

“Unsere Mitarbeiter nutzen nur den kostenlosen ChatGPT — das ist harmlos.” Die kostenlose ChatGPT-Version bot zum Prüfzeitpunkt (Stand: 2026-06) keinen direkt abschließbaren AVV. Gibt ein Mitarbeiter dort Kundendaten ein, kann das eine meldepflichtige Datenpanne sein.

“Wir haben den AVV unterschrieben — jetzt sind wir DSGVO-konform.” Ein AVV regelt nur die Auftragsverarbeitung. Technische Sicherheitsmaßnahmen, Löschfristen und Subprozessoren müssen Sie zusätzlich prüfen.

“Die Richtlinie gilt für alle Tools gleich.” Unterschiedliche Tools haben unterschiedliche Risikoprofile. Eine Einheitsregel führt dazu, dass entweder zu viel oder zu wenig verboten wird.

“Wir brauchen erst einen Juristen, bevor wir anfangen.” Für die erste Version reicht ein gut strukturiertes internes Dokument. Juristischen Rat benötigen Sie bei Branchen-Sonderpflichten und bei der Betriebsratsabstimmung.

KI-Nutzungsrichtlinie-Check

Bevor Sie die Richtlinie in Kraft setzen:

  • Sind alle genutzten KI-Tools (auch inoffizielle) in der Tool-Liste erfasst?
  • Wurden Datenkategorien mit konkreten Unternehmens-Beispielen erklärt?
  • Liegt für jedes freigegebene Tool ein aktueller AVV vor und ist dieser dokumentiert?
  • Ist der Freigabeprozess für neue Tools schriftlich geregelt?
  • Wurde der Betriebsrat (sofern vorhanden) einbezogen?
  • Sind Kennzeichnungspflichten für extern kommunizierte Inhalte definiert?
  • Ist eine Einführungsschulung geplant oder bereits durchgeführt?
  • Wurde die Richtlinie von der Geschäftsführung unterzeichnet?
  • Gibt es eine benannte Anlaufstelle für Rückfragen?
  • Ist ein Datum für die nächste Überprüfung festgelegt?

Warum wir das bewerten

ai-finden.de hat über 40 KI-Tools nach einem strukturierten DSGVO-Bewertungsrahmen analysiert — mit sieben Kategorien von KI-Training-Opt-out bis technische Sicherheit. Unsere Bewertungsmethodik legt offen, wie wir AVV-Verfügbarkeit, Serverstandort und Datenkategorien beurteilen. Diese Erfahrung fließt in die Empfehlungen dieses Leitfadens ein. In der Praxis sehen wir häufig, dass Unternehmen zwar einen AVV unterschreiben, aber Tool-Liste und Datenkategorien-Regeln nicht dokumentieren — genau das macht eine Richtlinie im Schadensfall angreifbar.

Fazit

Eine KI-Nutzungsrichtlinie muss kein 30-seitiges Juristendokument sein. Für die meisten KMU reicht ein zwei- bis dreiseitiges internes Dokument mit klaren Tool-Listen, definierten Datenkategorien und einem einfachen Freigabeprozess. Das Muster oben bietet einen sofort nutzbaren Ausgangspunkt. Der entscheidende Schritt ist, anzufangen — und die Richtlinie einmal jährlich zu aktualisieren. Welche Tools für Ihr Unternehmen datenschutzrechtlich gut aufgestellt sind, zeigt unser KI-Tool-Finder.

Häufig gestellte Fragen

Braucht jedes Unternehmen eine KI-Nutzungsrichtlinie? Sobald Mitarbeiter KI-Tools im beruflichen Kontext nutzen, ist eine Richtlinie sinnvoll. Rechtlich verpflichtend ist sie nicht pauschal, aber ohne Richtlinie fehlen Ihnen bei einer Datenpanne wichtige Schutzargumente.

Wie lang sollte eine KI-Nutzungsrichtlinie sein? Für KMU mit 5–50 Mitarbeitern reichen ein bis drei Seiten mit klaren Listen und kurzen Erklärungen. Wichtiger als die Länge ist die Verständlichkeit.

Was ist ein AVV und brauche ich ihn für alle KI-Tools? Ein Auftragsverarbeitungsvertrag regelt, wie ein Dienstleister personenbezogene Daten in Ihrem Auftrag verarbeitet. Sie benötigen ihn für jedes Tool, in das Sie personenbezogene Daten eingeben — Kundennamen, E-Mails, Personalinformationen. Für rein öffentliche Inhalte ohne Personenbezug entfällt die Pflicht.

Dürfen Mitarbeiter ChatGPT für die Arbeit nutzen? Das hängt vom Plan ab: Zum Prüfzeitpunkt (Stand: 2026-06) bietet die kostenlose sowie die Plus-Version von ChatGPT keinen direkt abschließbaren AVV und ist daher für Kundendaten nicht geeignet. ChatGPT Team und Enterprise bieten einen DPA — damit wird der datenschutzfreundliche Einsatz für interne Daten in der Regel erheblich erleichtert, sofern das Unternehmen das verbleibende Risiko eigenständig bewertet und flankierende TOMs umsetzt. Details erklärt unser ChatGPT-DSGVO-Leitfaden.

Welche KI-Tools sind für KMU ohne große Einschränkungen einsetzbar? Tools mit guter DSGVO-Dokumentation wie DeepL Pro (7,0/10), Microsoft 365 Copilot (8,0/10) im Enterprise-Modus oder Writesonic (8,0/10) sind gut aufgestellt. Einen vollständigen Überblick finden Sie in unserem Tool-Verzeichnis.

Was passiert, wenn ein Mitarbeiter die Richtlinie verletzt? Das hängt von Ihrem Arbeitsvertrag und der Schwere des Verstoßes ab. Wichtig: Die Richtlinie muss klar kommuniziert und nachweislich zur Kenntnis genommen worden sein. Ohne diesen Nachweis sind arbeitsrechtliche Konsequenzen schwer durchsetzbar.

Muss ich den Betriebsrat einbeziehen? Ja, sofern vorhanden. KI-Tools, die Arbeitsleistung oder Verhalten von Mitarbeitern auswerten könnten (z. B. KI-gestützte Meeting-Protokollierung), unterliegen dem Mitbestimmungsrecht nach §87 BetrVG.

Wie oft muss ich die Richtlinie aktualisieren? Mindestens einmal jährlich, zusätzlich bei wesentlichen Änderungen: neues Tool mit verändertem Datenschutzmodell, neue Rechtsprechung oder neue Mitarbeiterkategorien mit Sonderpflichten.

Ist eine KI-Nutzungsrichtlinie gesetzlich vorgeschrieben? Eine explizite gesetzliche Pflicht für eine KI-Nutzungsrichtlinie als eigenständiges Dokument gibt es derzeit nicht. Allerdings verlangen DSGVO (Rechenschaftspflicht nach Art. 5 Abs. 2) und EU AI Act (AI Literacy, Dokumentation) faktisch eine strukturierte Auseinandersetzung mit dem KI-Einsatz — eine Richtlinie ist das praktischste Instrument dafür.

Welche Strafe droht, wenn Mitarbeiter KI-Tools ohne Richtlinie nutzen? Nicht die fehlende Richtlinie wird direkt bestraft, sondern die Folge: z. B. eine unerlaubte Datenweitergabe an einen KI-Anbieter ohne AVV. Das kann nach Art. 83 DSGVO Bußgelder von bis zu 4 % des weltweiten Jahresumsatzes nach sich ziehen. Eine dokumentierte Richtlinie ist bei Datenpannen ein wichtiger Nachweis organisatorischer Sorgfalt.

Kann ich eine Vorlage aus dem Internet übernehmen? Vorlagen sind ein guter Ausgangspunkt, aber ohne Anpassung an Ihre spezifischen Tools und Datenkategorien bieten sie keinen echten Schutz. Generische Vorlagen decken den AVV-Prüfprozess meist nicht ab.

Passende Tooltests

Weiterführende Anleitungen

🛡️ Getestete Tools zum Thema „DSGVO"

Welches Tool passt zu dir?

Unser KI-Finder empfiehlt das optimale Tool für deine Situation — in 2 Minuten.

KI-Finder starten →