KI-Richtlinie erstellen: Die 15-Punkte-Checkliste für Unternehmen (2026)

KI-Richtlinie Checkliste für Unternehmen Muster

Eine KI-Richtlinie ist das Regelwerk, mit dem dein Unternehmen verbindlich festlegt, wer generative KI-Tools wie ChatGPT, Copilot oder Gemini wofür nutzen darf. Und wo die Grenzen liegen. Seit dem EU AI Act ist sie kein Nice-to-have mehr, sondern die Grundlage für rechtssicheres Arbeiten mit KI. Die folgende 15-Punkte-Checkliste zeigt dir, ob deine Richtlinie hält, was sie verspricht.

Die meisten Unternehmen, die wir begleiten, haben inzwischen irgendeine KI-Richtlinie. Das Problem ist selten, dass sie fehlt. Es ist, dass sie unvollständig, widersprüchlich oder rechtlich veraltet ist. Genau diese Lücken werden teuer, wenn ein Mitarbeiter versehentlich Kundendaten in ein öffentliches Tool eingibt oder eine KI-gestützte Bewerberauswahl ohne menschliche Kontrolle läuft.

Meine Empfehlung: Nimm die Checkliste als Selbst-Audit. Geh jeden Punkt durch und markiere ihn ehrlich mit Grün (klar geregelt), Gelb (vage oder unvollständig) oder Rot (fehlt ganz). Schon drei bis vier gelbe oder rote Punkte sind ein deutliches Signal, dass deine KI-Richtlinie eine Überarbeitung braucht.

Warum eine KI-Richtlinie 2026 zur Pflicht wird

Drei Entwicklungen machen die KI-Richtlinie vom freiwilligen Dokument zur Notwendigkeit.

Erstens verpflichtet Artikel 4 des EU AI Act Unternehmen bereits seit dem 2. Februar 2025 dazu, für ausreichende KI-Kompetenz ihrer Mitarbeitenden zu sorgen. Eine dokumentierte Richtlinie samt Schulung ist der einfachste Nachweis dafür. In Deutschland wird die Bundesnetzagentur zentrale Marktaufsicht für den AI Act.

Zweitens gilt die DSGVO unverändert. Wer personenbezogene Daten in ein KI-Tool eingibt, verarbeitet sie. Mit allen Pflichten zu Rechtsgrundlage, Auftragsverarbeitung und im Zweifel Meldung von Datenpannen.

Drittens ist das größte Risiko der Alltag. Schatten-KI, also die unkontrollierte Nutzung privater Tool-Accounts, passiert in fast jedem Unternehmen. Eine klare Richtlinie ist die wirksamste Gegenmaßnahme.

Die 15-Punkte-Checkliste für deine KI-Richtlinie

1. Geltungsbereich und Ziel sind eindeutig definiert

Prüffrage: Steht klar drin, für wen (Mitarbeitende, Führungskräfte, Azubis, externe Dienstleister) und für welche Systeme die Richtlinie gilt?

Typischer Fehler: Die Richtlinie nennt kein Ziel und keinen Geltungsbereich und ist damit im Streitfall schwer durchsetzbar.

2. Freigegebene Tools sind als Whitelist benannt

Prüffrage: Gibt es eine verbindliche Liste erlaubter KI-Tools, und ist die Nutzung nicht freigegebener Tools sowie privater Accounts ausdrücklich untersagt?

Typischer Fehler: Die Richtlinie verbietet vage unsichere Tools, sagt aber nicht konkret, was erlaubt ist. Am Ende wissen deine Leute weniger als vorher.

3. Erlaubte und verbotene Anwendungsfälle sind widerspruchsfrei

Prüffrage: Sind erlaubte Einsatzzwecke konkret und ohne Widerspruch zu den Verboten?

Typischer Fehler: Protokolle oder Übersetzungen werden erlaubt, obwohl sie fast immer Personenbezug enthalten und weiter unten pauschal verboten sind. Solche Widersprüche entwerten die ganze Richtlinie.

4. Der Umgang mit personenbezogenen Daten ist geregelt

Prüffrage: Ist klar, welche personenbezogenen Daten (Namen, Kontaktdaten, Kennzeichen) grundsätzlich nicht in KI-Tools gehören?

Typischer Fehler: Es fehlt der Hinweis, dass auch vermeintlich anonymisierte Daten oft noch einen Personenbezug haben und damit unter die DSGVO fallen.

5. Besondere Datenkategorien sind gesondert geschützt

Prüffrage: Werden besondere Kategorien nach Artikel 9 DSGVO (Gesundheit, Religion, Gewerkschaft, Herkunft) mit strengeren Regeln belegt?

Typischer Fehler: Gesundheits- oder Sozialdaten werden wie normale Daten behandelt, obwohl sie ein deutlich höheres Schutzniveau brauchen.

6. Auftragsverarbeitung und Serverstandort sind geklärt

Prüffrage: Liegt für jedes freigegebene Tool ein Auftragsverarbeitungsvertrag (AVV, Artikel 28 DSGVO) vor, und ist der Serverstandort bekannt?

Typischer Fehler: Ein kostenloses Consumer-Tool ohne AVV wird geduldet. Bei Anbietern außerhalb der EU fehlt der Hinweis auf Standardvertragsklauseln (Artikel 46 DSGVO).

7. KI-Kompetenz und Schulungspflicht sind verankert

Prüffrage: Ist eine verpflichtende Schulung vorgesehen, die auf Artikel 4 EU AI Act verweist, und wird dokumentiert, wer wann geschult wurde?

Typischer Fehler: Es gibt eine Schulung, aber keinen Nachweis. Bei einer Prüfung lässt sich die KI-Kompetenz dann nicht belegen.

8. Die EU-AI-Act-Pflichten zu Transparenz und Hochrisiko sind adressiert

Prüffrage: Werden die Transparenzpflicht (Artikel 50, ab 2. August 2026) und Hochrisiko-Anwendungen aus Anhang III berücksichtigt?

Typischer Fehler: Recruiting oder Leistungsbewertung mit KI wird geregelt, ohne die Hochrisiko-Einstufung zu erwähnen. Gut zu wissen: Diese Hochrisiko-Pflichten wurden durch den Digital Omnibus nach aktuellem Stand auf den 2. Dezember 2027 verschoben (formale Verabschiedung vorbehalten). Der Transparenzrahmen bleibt bei August 2026.

9. Die menschliche Letztentscheidung ist festgeschrieben

Prüffrage: Ist geregelt, dass Entscheidungen über Menschen (Bewerbung, Bewertung, Kündigung) nicht allein auf KI-Ergebnissen beruhen dürfen?

Typischer Fehler: Die Richtlinie schweigt zu Artikel 22 DSGVO, der rein automatisierte Entscheidungen mit erheblicher Wirkung grundsätzlich untersagt.

10. Der Betriebsrat ist eingebunden

Prüffrage: Ist die Richtlinie mit dem Betriebsrat abgestimmt, und wird auf eine Betriebsvereinbarung verwiesen?

Typischer Fehler: Weil KI-Tools Nutzungsdaten und Chat-Historien je Mitarbeiter protokollieren können, greift die Mitbestimmung nach Paragraf 87 BetrVG. Eine einseitig angeordnete Richtlinie ist ohne diese Abstimmung angreifbar.

11. Eine Datenschutz-Folgenabschätzung ist eingeplant

Prüffrage: Ist geregelt, dass bei risikoreichen KI-Verarbeitungen vorab eine Datenschutz-Folgenabschätzung (DSFA, Artikel 35 DSGVO) erfolgt?

Typischer Fehler: Die DSFA wird komplett vergessen, obwohl sie bei umfangreicher Verarbeitung sensibler Daten oft verpflichtend ist.

12. Es gibt einen klaren Meldeweg für Datenpannen

Prüffrage: Weiß jeder im Team, an wen er sich wendet, wenn versehentlich sensible Daten in ein KI-Tool geraten?

Typischer Fehler: Es fehlt der Hinweis, dass eine solche Fehleingabe eine meldepflichtige Datenpanne sein kann (Artikel 33 und 34 DSGVO, 72-Stunden-Frist an die Aufsichtsbehörde).

13. Aufbewahrung und Einsehbarkeit von Chatverläufen sind geregelt

Prüffrage: Ist festgelegt, wie lange KI-Chatverläufe gespeichert werden und wer (etwa Admins) sie einsehen kann?

Typischer Fehler: Unklare Speicherung schafft nicht nur ein Vertraulichkeitsrisiko, sondern berührt erneut die Leistungs- und Verhaltenskontrolle und damit die Mitbestimmung.

14. Urheber-, Marken- und Persönlichkeitsrechte werden geprüft

Prüffrage: Ist vorgeschrieben, KI-Output vor der Veröffentlichung auf Rechte Dritter zu prüfen?

Typischer Fehler: KI-Ergebnisse werden als automatisch rechtssicher angenommen. Bei Texten, Bildern und Code können aber Urheber- oder Markenrechte verletzt werden.

15. Verantwortlichkeiten, Version und Review-Zyklus stehen fest

Prüffrage: Trägt die Richtlinie eine Versionsnummer, einen Verantwortlichen und ein Datum der nächsten Überprüfung?

Typischer Fehler: Ohne Dokumentenlenkung veraltet die Richtlinie unbemerkt, gerade weil sich KI-Recht und Tools schnell ändern. Ein fester Review-Zyklus (mindestens jährlich und anlassbezogen) gehört zwingend hinein.

Auswertung: Was dein Ergebnis bedeutet

Zähl deine roten und gelben Punkte. Bei null bis zwei ist deine KI-Richtlinie solide aufgestellt, halt sie einfach aktuell. Bei drei bis fünf bestehen relevante Lücken, die du priorisiert schließen solltest, besonders bei Datenschutz und Mitbestimmung. Ab sechs offenen Punkten arbeitet dein Unternehmen mit einem erhöhten rechtlichen Risiko. Dann lohnt sich eine strukturierte Überarbeitung.

Wichtig ist mir ein Punkt: Eine gute KI-Richtlinie bremst Innovation nicht aus. Ihr Ziel ist das Gegenteil. Sie gibt deinem Team die Sicherheit, KI produktiv zu nutzen, ohne bei jedem Prompt raten zu müssen, was erlaubt ist.

So schließt du die Lücken

Nimm dir die roten Punkte zuerst vor, weil dort das größte Risiko sitzt. Übersetz abstrakte Verbote in konkrete Beispiele, am besten als laufend gepflegten Anhang mit einer einfachen Ampellogik pro Abteilung. Und bind früh die Menschen ein, die die Richtlinie durchsetzen sollen: Datenschutzbeauftragte, IT und Betriebsrat.

Genau hier setzt Neon Gold Innovations an. Wir prüfen bestehende KI-Richtlinien, entwickeln passgenaue Regelwerke und schulen Teams so, dass KI im Arbeitsalltag wirklich ankommt, rechtssicher und praxistauglich.

Wenn dein Selbst-Audit mehrere gelbe oder rote Punkte ergeben hat, melde dich gern.

FAQ zur KI-Richtlinie

Weiter
Weiter

Neuorientierung: Wie KI das Geschäftsmodell von Agenturen verändert – Johannes Plass von Mutabor auf dem ADC Festival