KI-Richtlinie erstellen: Schritt für Schritt für Unternehmen

Eine KI-Richtlinie und eine KI-Nutzungsrichtlinie klingen ähnlich. Sie sind es nicht.

Die Nutzungsrichtlinie regelt, was Mitarbeiter mit KI tun dürfen. Die KI-Richtlinie ist breiter: Sie legt fest, wie ein Unternehmen grundsätzlich mit KI umgeht. Welche Ziele verfolgt werden. Wer Entscheidungen trifft. Wie neue Systeme eingeführt werden.

Für viele Betriebe ist beides nötig. Und beides fehlt.

Was eine KI-Richtlinie enthält

Eine vollständige KI-Richtlinie beantwortet sechs Fragen.

Warum nutzen wir KI? Das klingt selbstverständlich, ist es aber nicht. Betriebe, die KI ohne klares Ziel einführen, landen bei Tool-Chaos. Die Richtlinie benennt konkrete Ziele: Effizienz steigern, Qualität sichern, Mitarbeiter entlasten.

Wer entscheidet über neue KI-Systeme? Ohne klare Zuständigkeit kaufen verschiedene Abteilungen verschiedene Tools. Niemand hat den Überblick. Die Richtlinie benennt eine verantwortliche Stelle, die neue Systeme prüft und freigibt.

Wie werden neue Systeme geprüft? Welche Kriterien gelten? Datenschutz, Kosten, Integration ins bestehende System, Risikoklasse nach EU AI Act. Die Richtlinie definiert den Prüfprozess.

Wie werden Mitarbeiter eingeführt? Wer bekommt Zugang? Wer wird geschult? Wie wird dokumentiert, dass die Schulung stattgefunden hat?

Wie werden KI-Systeme überwacht? Wer prüft, ob die Systeme wie erwartet funktionieren? Wer meldet Probleme? Wo werden Vorfälle dokumentiert?

Wie wird die Richtlinie aktualisiert? KI entwickelt sich schnell. Eine Richtlinie ohne Revisionsprozess ist nach zwölf Monaten überholt.

Der Unterschied zur Nutzungsrichtlinie

Die Nutzungsrichtlinie ist ein Unterdokument der KI-Richtlinie. Sie regelt den Alltag: erlaubte Tools, verbotene Nutzung, Datenschutzvorgaben.

Die KI-Richtlinie ist das übergeordnete Steuerungsdokument. Sie legt fest, wie Entscheidungen getroffen werden, nicht nur was erlaubt ist.

Für kleine Betriebe können beide Dokumente zusammengeführt werden. Ab etwa 50 Mitarbeitern ist eine Trennung sinnvoll.

Schritt für Schritt: So erstellen Sie die Richtlinie

Schritt 1: Bestandsaufnahme

Bevor Sie schreiben, müssen Sie wissen, was im Betrieb gerade passiert. Welche KI-Systeme sind im Einsatz? Wer nutzt sie? Für welche Zwecke?

Das KI-Inventar ist die Grundlage. Ohne es schreibt man eine Richtlinie für eine Situation, die nicht der Realität entspricht.

Schritt 2: Ziele definieren

Was soll KI im Betrieb leisten? Konkret formulieren: "Angebotsbearbeitung von 90 auf 20 Minuten reduzieren" ist ein Ziel. "KI sinnvoll einsetzen" ist keins.

Schritt 3: Zuständigkeiten klären

Wer ist verantwortlich für KI-Entscheidungen? In kleinen Betrieben oft die Geschäftsführung. In größeren Betrieben braucht es eine benannte Funktion.

Schritt 4: Prozesse definieren

Wie wird ein neues KI-Tool geprüft und freigegeben? Wer wird wie geschult? Wie werden Vorfälle gemeldet? Diese Prozesse müssen beschreibbar sein, bevor sie in die Richtlinie kommen.

Schritt 5: Dokument schreiben

Erst jetzt kommt das Schreiben. Die Struktur: Zweck und Geltungsbereich, Ziele, Zuständigkeiten, Einführungsprozess, Nutzungsregeln (oder Verweis auf separate Nutzungsrichtlinie), Überwachung, Aktualisierungsprozess.

Schritt 6: Kommunizieren und dokumentieren

Die Richtlinie muss kommuniziert werden. Nicht einmal per E-Mail und dann in den Schubladen verschwinden. Lesebestätigung einholen, Schulung durchführen, beides dokumentieren.

Wie lang soll die Richtlinie sein?

Für einen Betrieb mit 20 bis 100 Mitarbeitern und einem überschaubaren KI-Einsatz: drei bis fünf Seiten. Mehr ist selten besser. Eine Richtlinie, die niemand liest, schützt nicht.

Wichtiger als die Länge ist die Konkretheit. Vage Formulierungen wie "KI wird verantwortungsvoll eingesetzt" sind Platzhalter, keine Regeln.

Häufige Fehler

Richtlinie ohne Inventar schreiben. Eine Richtlinie, die nicht weiß, welche Systeme im Betrieb genutzt werden, hat Lücken von Anfang an.

Zu viel auf einmal. Manche Betriebe versuchen, alle denkbaren Szenarien abzudecken. Das führt zu langen Dokumenten, die keiner liest. Besser: mit dem Ist-Zustand starten und die Richtlinie erweitern, wenn neue Systeme dazukommen.

Keine klaren Zuständigkeiten. Eine Richtlinie ohne benannte Verantwortliche wird nicht gelebt.

Einmalig erstellt, nie aktualisiert. Die KI-Landschaft ändert sich schnell. Eine Richtlinie ohne Revisionsdatum ist nach zwölf Monaten veraltet.

Was der EU AI Act vorschreibt

Der EU AI Act verlangt "angemessene Governance" für KI-Systeme. Das schließt interne Richtlinien ein. Eine dokumentierte KI-Richtlinie ist kein Nice-to-have, sondern Teil der Compliance-Anforderungen.

In Kombination mit der seit Februar 2025 geltenden Schulungspflicht ergibt sich: Richtlinie plus Nachweis, dass Mitarbeiter die Richtlinie kennen.

Interne Links für den nächsten Schritt

Wer eine KI-Nutzungsrichtlinie als Unterdokument braucht, findet eine fertige Vorlage im Artikel [KI-Nutzungsrichtlinie Vorlage](/blog/ki-nutzungsrichtlinie-vorlage).

Den Gesamtrahmen der EU AI Act Pflichten erklärt der Artikel zu [EU AI Act Pflichten für KMU 2026](/blog/eu-ai-act-kmu-pflichten-2026).

Welche weiteren vier Bausteine neben der Richtlinie für EU AI Act Compliance nötig sind, zeigt die [EU AI Act Checkliste für Unternehmen](/blog/eu-ai-act-checkliste-unternehmen).

Wer den Prozess professionell begleiten lassen will: der [KI Compliance Check](/ki-compliance-check) erstellt KI-Richtlinie, Nutzungsrichtlinie und alle weiteren Compliance-Dokumente in einem strukturierten Prozess.

Häufige Fragen

Brauchen wir beide Dokumente, Richtlinie und Nutzungsrichtlinie? Für kleine Betriebe reicht ein kombiniertes Dokument. Ab etwa 50 Mitarbeitern ist eine Trennung sinnvoll, weil sich die Zielgruppen unterscheiden: Die Richtlinie richtet sich an die Führungsebene, die Nutzungsrichtlinie an alle Mitarbeiter.

Muss die Richtlinie rechtlich geprüft werden? Empfehlenswert, wenn KI in sensiblen Bereichen eingesetzt wird. Für einfache Setups ist eine rechtliche Prüfung nicht zwingend erforderlich.

Wer schreibt die Richtlinie? Idealerweise jemand mit Überblick über die genutzten Systeme und die Geschäftsprozesse. Das muss kein IT-Spezialist sein. Wichtig ist das Prozesswissen, nicht das technische Detailwissen.

Wie wird die Richtlinie kommuniziert? Per E-Mail mit Lesebestätigung. Ergänzend eine kurze Einführung im Team-Meeting oder als kurzes Video. Beides dokumentieren.

Was passiert wenn wir keine Richtlinie haben? Rechtlich: mögliche Bußgelder nach EU AI Act. Praktisch: keine klare Orientierung für Mitarbeiter, unkontrollierter Tool-Einsatz, Datenschutzrisiken durch ungeprüfte KI-Nutzung.