68 % der Mitarbeiter nutzen KI-Tools ohne Wissen des Unternehmens (Shadow AI)
41 % der Unternehmen haben keine formale KI-Nutzungsrichtlinie
2026 EU AI Act: Erste Pflichten für Hochrisiko-KI-Systeme in Kraft

Warum Unternehmen eine KI-Policy brauchen

KI-Tools sind längst im Arbeitsalltag angekommen – ob das Unternehmen es will oder nicht. Mitarbeiter nutzen ChatGPT, Copilot, Claude und Dutzende weitere Tools, oft ohne Wissen der IT oder des Managements. Das ist das "Shadow AI"-Problem: unkontrollierte KI-Nutzung mit schwer kalkulierbaren Risiken.

Die Risiken sind real: Vertrauliche Kundendaten landen in externen KI-Systemen. Falsche KI-Outputs werden ohne Prüfung übernommen. Diskriminierende Algorithmen verursachen Haftungsrisiken. Eine KI-Policy schafft Klarheit – und schützt das Unternehmen vor diesen Risiken, ohne KI-Nutzung zu verbieten.

TL;DR

Eine KI-Policy ist kein Verbotsdokument, sondern ein Nutzungsrahmen. Sie sagt Mitarbeitern klar, was erlaubt ist, was verboten ist und wer bei Fragen hilft – damit sie KI sicher und produktiv nutzen können.

Pflichtinhalte jeder KI-Policy

Unabhängig von Branche, Größe und KI-Reifegrad gibt es sieben Bereiche, die jede KI-Policy abdecken muss:

1. Geltungsbereich

Für wen gilt die Policy? Nur Festangestellte, oder auch Freelancer, Praktikanten, externe Dienstleister? Welche KI-Tools werden erfasst – nur generative KI oder auch KI-gestützte Funktionen in bestehenden Software-Tools (z. B. KI in CRM, HR-Software, Videokonferenz)?

2. Erlaubte und verbotene Tools

Eine klare Positivliste (erlaubte Tools) ist effektiver als eine Verbotsliste. Mitarbeiter brauchen Orientierung, nicht Verbote. Definieren Sie: Welche Tools sind für welche Anwendungsfälle freigegeben? Welche Tools sind explizit verboten (z. B. unsichere Tools ohne DSGVO-konforme Verarbeitung)?

3. Datenschutz und Vertraulichkeit

Dies ist das kritischste Kapitel. Klare Antwort auf: Was darf in KI-Tools eingegeben werden? Personenbezogene Daten: nie. Vertrauliche Geschäftsdaten: welche Kategorie, wo, wie? Welche Daten-Klassifizierung gilt für KI-Verarbeitung?

4. Qualitätssicherung und Verantwortung

Mitarbeiter bleiben für die Qualität von KI-Outputs verantwortlich. KI produziert keine fertige Arbeit, sondern Entwürfe. Die Policy muss klären: Wer überprüft KI-Outputs? Nach welchen Kriterien? Wie werden Fehler gemeldet?

5. Transparenzpflichten

Wann müssen Empfänger informiert werden, dass Inhalte KI-generiert wurden? Dies betrifft insbesondere externe Kommunikation, Kundendokumente und regulierte Bereiche. Der EU AI Act schreibt in bestimmten Kontexten explizite Transparenzpflichten vor.

6. Meldepflichten und Eskalation

Was passiert, wenn ein Mitarbeiter einen schwerwiegenden KI-Fehler bemerkt? Wenn sensible Daten versehentlich eingegeben wurden? Die Policy muss einen klaren Eskalationsweg definieren – und sicherstellen, dass Mitarbeiter diesen ohne Angst vor Konsequenzen nutzen können.

7. Schulungsanforderungen

Wer muss welche KI-Schulungen absolvieren? Der EU AI Act verpflichtet Unternehmen, KI-Kompetenz systematisch zu fördern. Die Policy sollte Mindeststandards definieren und Schulungen nicht als einmalige Pflichtübung, sondern als kontinuierliches Lernen verankern.

Empfohlene Struktur einer KI-Policy

Teil 1: Zweck und Geltungsbereich (1 Seite)

  • Warum diese Policy existiert
  • Für wen sie gilt
  • Welche Tools und Systeme erfasst werden
  • Wer für die Policy verantwortlich ist

Teil 2: Erlaubte Nutzung (2–3 Seiten)

  • Freigegebene Tools nach Kategorie
  • Erlaubte Anwendungsfälle mit Beispielen
  • Anwendungsfälle, die einer Genehmigung bedürfen
  • Explizit verbotene Tools und Anwendungen

Teil 3: Datenschutz und Sicherheit (2–3 Seiten)

  • Daten-Klassifizierung für KI-Nutzung
  • Verbotene Datenkategorien in KI-Tools
  • Anforderungen an KI-Anbieter (DSGVO, Datenverarbeitung)
  • Meldepflichten bei Datenpannen

Teil 4: Qualität, Verantwortung, Transparenz (1–2 Seiten)

  • Prüfpflichten für KI-Outputs
  • Kennzeichnungspflichten
  • Verantwortung bei KI-gestützten Entscheidungen

Teil 5: Schulung und Unterstützung (1 Seite)

  • Pflichtschulungen und Turnus
  • Empfohlene Weiterbildungen
  • Ansprechpartner und Hilfe-Ressourcen

EU AI Act: Was die Regulierung von Ihrer KI-Policy fordert

Der EU AI Act trat 2024 in Kraft und entfaltet 2026 erste operative Wirkung für Unternehmen. Er schafft Pflichten, die eine KI-Policy faktisch notwendig machen – auch wenn er keine explizit vorschreibt.

EU AI Act Anforderung Implikation für KI-Policy Priorität
KI-Kompetenzpflicht (Art. 4) Nachweisbare Schulungen für alle KI-nutzenden Mitarbeiter Hoch – seit Feb. 2025
Transparenzpflichten (Art. 50) Kennzeichnung KI-generierter Inhalte im Kundenkontakt Mittel – ab Aug. 2026
Hochrisiko-KI Dokumentation Policy muss Hochrisiko-Systeme benennen und Nutzungsregeln festlegen Hoch – ab Aug. 2026
Verbotene KI-Praktiken (Art. 5) Explizites Verbot manipulativer oder diskriminierender KI-Nutzung Hoch – seit Feb. 2025
Menschliche Aufsicht Policy muss Überprüfungspflichten für KI-Entscheidungen definieren Mittel – ab Aug. 2026
Wichtig

Die KI-Kompetenzpflicht nach Art. 4 EU AI Act gilt seit Februar 2025. Unternehmen, die KI einsetzen, müssen sicherstellen, dass alle Mitarbeiter, die mit KI arbeiten, angemessene KI-Kompetenzen haben. Eine Policy ohne Schulungspflicht ist unvollständig.

Von der Policy zur gelebten Praxis: Warum die meisten scheitern

Die häufigste Ursache für wirkungslose KI-Policies: Sie werden als Compliance-Dokument behandelt, nicht als Kommunikationsinstrument. Mitarbeiter "bestätigen" eine Policy per Klick, ohne sie zu verstehen. Das ist keine Sicherheit – das ist Haftungsverschiebung.

Was funktioniert

Praxistipp

Testen Sie Ihre Policy mit fünf Mitarbeitern aus verschiedenen Abteilungen: Können sie nach dem Lesen drei konkrete Fragen beantworten? Was darf ich nicht in ChatGPT eingeben? Was mache ich, wenn ich einen Fehler bemerke? Muss ich KI-Inhalte kennzeichnen? Wenn die Antworten ausbleiben, ist die Policy zu abstrakt.