KI-Policy für Unternehmen: Was rein muss + Checkliste 2026

Eine explizite gesetzliche Verpflichtung mit dem Titel "Du musst eine KI-Policy schreiben" existiert in der DSGVO zwar nicht. Dennoch sprechen harte rechtliche und praktische Gründe dafür:

• Organisatorischer Datenschutz: Die DSGVO fordert grundsätzlich "geeignete technische und organisatorische Maßnahmen" (TOMs)”, um personenbezogene Daten zu schützen. Wenn Mitarbeitende ohne Regelung beliebige KI-Tools nutzen, gelangen schnell vertrauliche Kundendaten, Bewerberdaten oder interne Informationen in ungeprüfte Systeme. Eine KI-Policy ist das zentrale organisatorische Mittel, um diese Risiken zu minimieren.
• Haftung der Geschäftsführung: Die allgemeine Sorgfaltspflicht der Geschäftsführung verlangt die Absicherung von Risiken. Wer den Einsatz von KI-Systemen nicht regelt, riskiert, dass ungewollt Urheberrechtsverletzungen entstehen, fehlerhafte Informationen zur Entscheidungsgrundlage werden oder diskriminierende Ergebnisse entstehen. Im Schadensfall kann dies zu einer direkten Haftung führen.
• Der EU AI Act ist Realität: Der europäische Rechtsrahmen für Künstliche Intelligenz greift bereits in entscheidenden Stufen. Unternehmen müssen nachweisen, dass sie KI-Kompetenz (AI Literacy) in der Belegschaft fördern und Risiken minimieren. Eine durchdachte KI-Policy signalisiert zudem nach außen – gegenüber Kunden, Partnern und Aufsichtsbehörden –, dass du Governance und Compliance ernst nimmst.

Eine praxistaugliche KI-Policy sollte modular aufgebaut sein und folgende Kernbereiche abdecken:

Erlaubte und verbotene Tools

• Whitelisting: Eine klare Liste der im Unternehmen freigegebenen KI-Anwendungen (z. B. ChatGPT Enterprise, Microsoft Copilot mit aktiver Unternehmenslizenz).
• Shadow-IT-Verbot: Ein striktes Verbot, private Accounts oder nicht geprüfte Tools für geschäftliche Zwecke zu nutzen.
• Freigabeprozess: Ein definierter Ablauf, wie Mitarbeitende neue KI-Tools zur Prüfung und Freigabe einreichen können.

Datenschutz und erlaubte Eingaben (Input-Regeln)

• Datenklassifizierung: Eine exakte Vorgabe, welche Datenkategorien eingegeben werden dürfen und welche absolut tabu sind (z. B. Gesundheitsdaten, Quellcode von Kernprodukten, Passwörter, sensible Kundenakten).
• Anonymisierung-Pflicht: Die Anweisung, Daten vor der Eingabe zu anonymisieren oder zu pseudonymisieren, falls der Kontext gewahrt bleiben muss.

Umgang mit KI-Output

• Verpflichtung zur Verifikation: Das Verbot, Texte, Code oder Entscheidungsvorschläge ungeprüft zu übernehmen.
• Risikoaufklärung: Ein Hinweis auf potentielle Urheberrechtsverletzungen bei der unkontrollierten Weiterverarbeitung von KI-Ergebnissen.

Transparenz und Kennzeichnung

• Kennzeichnungspflichten: Festlegung, wann der Einsatz von KI gegenüber Kunden oder der Öffentlichkeit offengelegt werden muss (z. B. bei KI-generierten Marketingbildern oder automatisierten Chatbots im Kundenservice).

Der Datenschutz ist der kritischste Punkt jeder KI-Policy. Da viele KI-Anbieter Daten auf externen Servern verarbeiten, musst du drei Säulen rechtlich absichern:

1. Rechtsgrundlage für Datenverarbeitung klären (Art. 6 DSGVO): Wenn personenbezogene Daten verarbeitet werden, muss geklärt sein, ob dies über ein "berechtigtes Interesse" des Unternehmens abgedeckt ist oder ob eine explizite Einwilligung (z. B. von Kunden oder Bewerbern) vorliegen muss.
2. Auftragsverarbeitungsvertrag (AVV) abschließen: Wenn ein KI-Tool personenbezogene Daten verarbeitet, ist ein AVV nach Art. 28 DSGVO zwingend erforderlich. Die Policy sollte festlegen: Ohne gültigen AVV dürfen keine personenbezogenen Daten in das Tool fließen.
3. Drittlandtransfer absichern (EU-US Data Privacy Framework): Viele KI-Dienste sitzen in den USA. Nutze bevorzugt Anbieter, die unter dem aktuellen EU-US Data Privacy Framework (DPF) zertifiziert sind oder bei denen der Datentransfer über Standardvertragsklauseln (SCCs) und zusätzliche Sicherheitsmaßnahmen (wie Datenverschlüsselung) rechtlich wasserdicht gelöst ist.

Beispielformulierung für deine Policy:

"Die Eingabe von personenbezogenen Daten in KI-Tools ist nur zulässig, wenn (a) eine klare Rechtsgrundlage besteht, (b) ein AVV mit dem Anbieter geschlossen wurde und (c) der Drittland Transfer rechtlich (z.B. durch das EU-US Data Privacy Framework) abgesichert ist. Im Zweifelsfall ist vor der Eingabe, Rücksprache mit dem Datenschutzbeauftragten zu halten."

Praxis-Tipp: Die datenschutzrechtliche Prüfung neuer KI-Tools und der Abschluss von AVVs erfordern tiefgehendes Fachwissen. Wer keine interne Rechtsabteilung hat, kann auf digitale Komplettlösungen wie den digitalen Datenschutzbeauftragten von heyData zurückgreifen, um die Compliance von Software und internen Richtlinien effizient und rechtssicher zu automatisieren.

Die urheberrechtliche Lage rund um KI-Systeme ist komplex. Deine Richtlinie sollte daher auf folgenden Grundsätzen basieren:

• Kein automatischer Urheberrechtsschutz für KI-Output: Nach gängiger Rechtsprechung fehlt KI-generierten Werken die erforderliche „persönliche geistige Schöpfung“ eines Menschen. Das bedeutet: Rein von einer KI erzeugte Texte, Bilder oder Programmiercodes sind in der Regel gemeinfrei und können auch von deinen Wettbewerbern kopiert werden. Erst durch eine signifikante menschliche Nachbearbeitung kann ein eigenständiger Schutz entstehen.
• Gefahr von Urheberrechtsverletzungen (Plagiatsrisiko): Da KI-Modelle mit riesigen Datenmengen trainiert wurden, kann es vorkommen, dass die Ausgabe geschützten Werken Dritter täuschend ähnlich sieht. Wer diesen Output kommerziell nutzt, riskiert Abmahnungen.
• Lizenzrechte der Tools beachten: Einige Anbieter behalten sich in ihren Nutzungsbedingungen das Recht vor, deine Eingaben (Prompts) für das Training ihrer eigenen Modelle zu nutzen, oder sie schränken die kommerzielle Nutzung in Gratis-Versionen ein.

Beispielformulierung für deine Policy:

"KI-generierte Inhalte sind vor einer Veröffentlichung, Weitergabe oder kommerziellen Nutzung auf potentielle Urheberrechtsverletzungen zu prüfen. Mitarbeitende tragen die Verantwortung für die sorgfältige Endkontrolle der von ihnen publizierten Inhalte."

KI-Systeme können halluzinieren (Fakten erfinden), veraltete Daten ausgeben oder voreingenommene Ergebnisse liefern. Daher muss deine Policy klare Kontrollmechanismen definieren:

• Menschliche Letztverantwortung (Human-in-the-Loop): KI ist ein Assistent, kein finaler Entscheider. Jedes Arbeitsergebnis – ob Vertragstext, Kundenmail oder Code-Snippet – muss zwingend durch ein menschliches Auge geprüft werden.
• Verpflichtende Plausibilitätsprüfung: Insbesondere bei faktischen Aussagen, statistischen Daten, rechtlichen Einschätzungen oder Entscheidungen mit Außenwirkung ist eine Gegenrecherche über Primärquellen Pflicht.
• Verantwortlichkeiten im Unternehmen: Benenne feste Rollen. Wer pflegt die Liste der erlaubten Tools? Wer ist Ansprechpartner bei Fehlern oder Sicherheitsvorfällen? Typischerweise ist dies eine Taskforce aus IT, Datenschutz und Legal.

Eine Richtlinie entfaltet nur dann Wirkung, wenn sie im Unternehmen auch gelebt wird. Gehe bei der Einführung in sechs Schritten vor:

1. Stakeholder frühzeitig einbinden: Hole Geschäftsführung, IT, Datenschutz, HR und den Betriebsrat rechtzeitig an einen Tisch, um Akzeptanz zu schaffen.
2. Verständliche Sprache statt Juristendeutsch: Schreibe die Policy klar, präzise und barrierefrei. Nutze Praxisbeispiele aus dem Arbeitsalltag deiner Mitarbeitenden.
3. Praktische Schulungen anbieten: Theorie allein reicht nicht. Führe kurze Workshops durch, in denen du zeigst, wie man die Policy bei der täglichen Arbeit mit ChatGPT & Co. einhält.
4. Zentrale Verfügbarkeit garantieren: Hinterlege die Richtlinie im Intranet oder Mitarbeiterhandbuch und stelle Quick-Guides (z. B. als One-Pager) direkt am digitalen Arbeitsplatz bereit.
5. In bestehende Prozesse verankern: Integriere die KI-Policy in das Onboarding neuer Mitarbeitender und mache den "KI-Check" zum Standard bei der Beschaffung neuer Software.
6. Regelmäßige Updates einplanen: Die technologische Entwicklung und die Rechtsprechung verändern sich rasant. Setze dir einen festen Rhythmus (mindestens einmal pro Jahr), um die Policy zu überprüfen und anzupassen.

Nutze diese Checkliste, um sicherzustellen, dass deine KI-Richtlinie alle regulatorischen und praktischen Anforderungen abdeckt:

Grundlagen & Geltungsbereich

• Der personelle und sachliche Geltungsbereich ist exakt definiert (für wen und welche Tools gilt die Richtlinie?).
• Die Ziele und der Zweck der Policy sind verständlich formuliert.
• Zentrale Begriffe (z. B. Was definiert das Unternehmen als „KI-System“?) sind klar abgegrenzt.

Datenschutz & Compliance

• Erlaubte und verbotene Datenkategorien für KI-Inputs sind unmissverständlich definiert.
• Konkrete Vorgaben zum Umgang mit personenbezogenen Daten (Art. 6 DSGVO) sind integriert.
• Der Prozess zum Abschluss von Auftragsverarbeitungsverträgen (AVV) ist festgelegt.
• Die Einhaltung der Vorgaben zum Drittlandtransfer (z. B. EU-US Data Privacy Framework) ist sichergestellt.
• Eine feste Kontaktperson für Datenschutzfragen bei der KI-Nutzung ist benannt.

Urheberrecht & Output-Kontrolle

• Verbindliche Regeln zur manuellen Überprüfung von KI-generierten Inhalten vor der Verwendung sind verankert.
• Risikohinweise zu potenziellen Urheberrechtsverletzungen und Plagiaten sind enthalten.
• Die kommerziellen Nutzungs- und Lizenzrechte der eingesetzten Tools wurden geprüft und dokumentiert.

Governance & Tool-Management

• Eine dynamische Liste („Whitelist“) aller freigegebenen KI-Anwendungen ist vorhanden oder verlinkt.
• Ein klarer, auditierbarer Prozess für die Prüfung und Freigabe neuer KI-Tools ist etabliert.
• Das Verbot von Schatten-IT (Nutzung nicht genehmigter Tools oder privater Accounts) ist explizit formuliert.
• Das Prinzip der menschlichen Letztverantwortung (Human-in-the-Loop) ist als Grundsatz verankert.

Eine durchdachte KI-Policy ist kein bürokratisches Hindernis, sondern ein fundamentaler Baustein einer modernen Compliance- und Risikostrategie. Sie schützt dein Unternehmen effektiv vor Datenlecks, Urheberrechtsproblemen und Haftungsrisiken. Gleichzeitig gibt sie deinen Mitarbeitenden die nötige Rechtssicherheit, um innovative Tools produktiv zu nutzen. Wer heute klare Leitlinien etabliert und die Anforderungen des EU AI Acts sowie der DSGVO sauber einbaut, macht sein Unternehmen zukunftssicher.

Was ist der wichtigste Punkt in der KI-Policy?

Der Schutz sensibler Daten (Input-Kontrolle). Die Policy muss absolut unmissverständlich klären, welche internen Daten, Quellcodes oder personenbezogenen Informationen niemals in eine öffentliche oder ungesicherte KI eingegeben werden dürfen.

Brauchen auch kleine Unternehmen oder Startups eine solche Richtlinie?

Ja, absolut. Sobald auch nur eine Person im Team ChatGPT oder ähnliche Tools für geschäftliche Zwecke nutzt, entstehen Haftungs- und Datenschutzrisiken. Für Startups, deren Firmenwert oft auf geistigem Eigentum (IP) basiert, ist der Schutz vor unbedachtem Datenabfluss über KI-Prompts überlebenswichtig. Zudem fordern Investoren heute standardmäßig den Nachweis einer sauberen KI-Governance.

Reicht es, die Nutzung von KI im Unternehmen einfach komplett zu verbieten?

Ein pauschales KI-Verbot ist in der Praxis fast immer kontraproduktiv. Es führt dazu, dass Mitarbeitende die Tools heimlich nutzen (Schatten-IT), um mit der Effizienz des Marktes Schritt zu halten. Dadurch verliert das Unternehmen jegliche Kontrolle. Ein kontrollierter, rechtlich abgesicherter Rahmen ist um ein Vielfaches sicherer als ein Verbot, das ignoriert wird.

Wie wirkt sich der EU AI Act auf unternehmensinterne Policies aus?

Der EU AI Act verpflichtet Unternehmen unter anderem dazu, die "KI-Kompetenz" (AI Literacy) ihrer Belegschaft zu fördern und nachzuweisen. Deine Policy sollte daher nicht nur Verbote enthalten, sondern auch festlegen, wie Mitarbeitende im sicheren und transparenten Umgang mit KI geschult werden. Bei der Nutzung von Systemen, die als "Hochrisiko-KI" eingestuft werden, kommen zudem strenge Dokumentations- und Überwachungspflichten hinzu.

Wie gehe ich mit der Nutzung von KI durch externe Dienstleister (z. B. Agenturen) um?

Deine KI-Policy sollte auch Vorgaben für externe Partner und Zulieferer enthalten. Wenn eine Agentur Texte, Grafiken oder Programmiercode für dich erstellt, muss vertraglich geregelt sein, in welchem Umfang KI eingesetzt werden darf und wer für die urheberrechtliche sowie datenschutzrechtliche Prüfung des Outputs haftet.