KI-Policy erstellen: Leitfaden für Unternehmen

Mitarbeitende nutzen längst ChatGPT & Co. – mit oder ohne Erlaubnis. Eine KI-Policy schafft klare Regeln statt Verbote. Dieser Leitfaden zeigt Schritt für Schritt, was hineingehört und wie die Einführung gelingt.

Cybersecurity
21. Mai 2026
12 Min. Lesezeit

In den meisten Unternehmen ist die Realität längst der Regelsetzung vorausgeeilt: Mitarbeitende lassen sich von ChatGPT E-Mails formulieren, übersetzen Verträge mit Online-Tools, fassen Meetings per KI-Notizassistent zusammen und füttern Sprachmodelle mit Kundendaten – meist gut gemeint, oft unbemerkt und in aller Regel ohne dokumentierte Erlaubnis. Wer als verantwortliche Person fragt, wie viele KI-Dienste im eigenen Haus tatsächlich genutzt werden, bekommt selten eine belastbare Antwort. Genau diese Lücke schließt eine KI-Policy. Sie ist das zentrale Steuerungsinstrument, mit dem ein Unternehmen festlegt, welche KI-Anwendungen erlaubt sind, welche Daten in welche Systeme dürfen und wer für was verantwortlich ist.

Dieser Leitfaden zeigt Ihnen praxisnah, warum eine KI-Policy für Unternehmen heute kein Nice-to-have mehr ist, welche Bausteine hineingehören, und liefert eine sofort nutzbare Beispiel-Gliederung. Der rote Faden orientiert sich an den Prinzipien der ISO 42001 – dem internationalen Standard für KI-Managementsysteme – und bleibt dabei bewusst pragmatisch: Eine Richtlinie, die im Schreibtisch verschwindet, schützt niemanden.

Warum jedes Unternehmen jetzt eine KI-Policy braucht

Die Frage ist nicht mehr, ob in Ihrem Unternehmen KI genutzt wird, sondern ob diese Nutzung gesteuert oder dem Zufall überlassen ist. Drei Entwicklungen machen eine KI-Nutzungsrichtlinie aktuell zur Pflichtaufgabe.

Schatten-KI: das größte stille Risiko

Schatten-KI – die unkontrollierte Nutzung von KI-Tools an der IT-Abteilung vorbei – ist die direkte Fortsetzung dessen, was wir aus der Schatten-IT seit Jahren kennen, nur mit weit höherem Datenrisiko. Wenn ein Mitarbeiter eine vertrauliche Kalkulation in ein kostenloses Sprachmodell kopiert, um sie „mal eben prüfen zu lassen", verlassen diese Daten möglicherweise den Kontrollbereich des Unternehmens dauerhaft. Manche Anbieter verarbeiten Eingaben zu Trainingszwecken weiter; einmal abgeflossene Geschäftsgeheimnisse lassen sich nicht zurückholen. Wie verbreitet dieses Verhalten ist und wie Sie es in den Griff bekommen, beleuchten wir vertieft im Beitrag Shadow AI: Wenn Mitarbeiter heimlich ChatGPT nutzen. Eine Policy verwandelt diesen unsichtbaren Graubereich in nachvollziehbare, geregelte Bahnen.

Datenschutz und Geheimnisschutz

Jede Eingabe in ein externes KI-System ist potenziell eine Datenübermittlung. Bei personenbezogenen Daten greift die DSGVO mit allen Konsequenzen – Rechtsgrundlage, Auftragsverarbeitung, Drittlandtransfer, Informationspflichten. Bei Geschäftsgeheimnissen geht es um den Schutz nach dem Geschäftsgeheimnisgesetz, der „angemessene Geheimhaltungsmaßnahmen" voraussetzt. Ohne dokumentierte Regeln zur KI-Nutzung fehlt genau dieser Nachweis. Eine Policy, die festlegt, welche Datenklassen in welche Systeme dürfen, ist damit nicht nur Governance, sondern handfeste rechtliche Absicherung.

Der EU AI Act setzt den Rahmen

Der EU AI Act ist im August 2024 in Kraft getreten und wird gestaffelt anwendbar. Die Verbote unannehmbarer Praktiken und die Pflicht zur KI-Kompetenz (AI Literacy) gelten bereits seit Februar 2025, die Pflichten für Allzweck-KI-Modelle seit August 2025, und die anspruchsvollen Hochrisiko-Anforderungen greifen ab August 2026. Besonders die AI-Literacy-Pflicht trifft jedes Unternehmen, das KI einsetzt: Es muss sicherstellen, dass die mit KI befassten Personen über ausreichende Kompetenz verfügen. Eine KI-Policy mit verbindlichem Schulungsbaustein ist der naheliegendste Weg, diese Anforderung strukturiert zu erfüllen. Welche Pflichten konkret auf den Mittelstand zukommen, ordnen wir im Beitrag EU AI Act im Mittelstand ein.

Kernaussage
Eine KI-Policy ist kein bürokratischer Selbstzweck. Sie ist das Instrument, mit dem Sie Schatten-KI eindämmen, Datenschutz und Geheimnisschutz nachweisbar machen und sich frühzeitig auf den EU AI Act vorbereiten – idealerweise bevor ein Vorfall Sie dazu zwingt.

Was in eine KI-Policy für Unternehmen gehört

Eine wirksame KI-Nutzungsrichtlinie beantwortet die Fragen, die sich Mitarbeitende im Arbeitsalltag tatsächlich stellen – konkret, verständlich und ohne juristisches Kauderwelsch. Die folgenden Bausteine sollten in keiner Policy fehlen.

1. Geltungsbereich und Begriffe

Legen Sie fest, für wen und wofür die Richtlinie gilt: alle Mitarbeitenden, Freelancer und Dienstleister, sämtliche dienstlich genutzten Geräte und Accounts. Definieren Sie zentrale Begriffe – was meint das Unternehmen mit „KI-System", „generativer KI" oder „KI-Ergebnis"? Ein klar abgesteckter Geltungsbereich verhindert die typische Ausrede „das war doch nur ein Browser-Plugin, kein richtiges KI-Tool".

2. Erlaubte und verbotene Tools

Das Herzstück jeder Policy ist eine nachvollziehbare Antwort auf die Frage: Welche Tools darf ich nutzen? Bewährt hat sich ein dreistufiges Modell:

  • Freigegeben: geprüfte, vertraglich abgesicherte Systeme (z. B. der unternehmenseigene Microsoft-Copilot- oder Azure-OpenAI-Tenant mit Auftragsverarbeitungsvertrag und ohne Trainingsnutzung).
  • Mit Einschränkungen erlaubt: Tools, die nur für bestimmte Datenklassen oder Anwendungsfälle genutzt werden dürfen.
  • Verboten: Dienste ohne tragfähige Datenschutzgrundlage oder mit intransparenter Datennutzung.

Wichtig ist nicht eine endlose Whitelist, sondern ein klares Prinzip plus eine gepflegte, leicht auffindbare Liste der aktuell freigegebenen Werkzeuge.

3. Datenklassen: welche Daten in welche Systeme

Hier verzahnt sich die KI-Policy mit Ihrer Informationsklassifizierung. Ordnen Sie jeder Schutzklasse zu, welche KI-Nutzung zulässig ist:

  • Öffentlich: unkritisch, breite Nutzung möglich.
  • Intern: nur in freigegebenen, vertraglich abgesicherten Systemen.
  • Vertraulich: ausschließlich in geschlossenen Unternehmens-Tenants ohne externe Weiterverarbeitung.
  • Streng vertraulich / personenbezogen besonderer Kategorien: grundsätzlich keine Eingabe in generative KI, außer nach ausdrücklicher Einzelfreigabe.

Diese Matrix ist die praktisch wichtigste Seite Ihrer Policy. Sie übersetzt abstrakte Datenschutzregeln in eine Entscheidung, die jeder Mitarbeitende in Sekunden treffen kann: „Diese Information ist als vertraulich klassifiziert – also gehört sie nicht in das öffentliche Chatfenster." Wie Sie ein belastbares Klassifizierungsschema aufsetzen, zeigt der Beitrag zur Informationsklassifizierung nach ISO 27001 mit Purview.

4. Freigabeprozess für neue KI-Anwendungen

KI-Tools entstehen schneller, als jede Liste sie erfassen kann. Deshalb braucht die Policy einen schlanken Prozess, über den neue Anwendungen geprüft und freigegeben werden. Dieser Prozess ist der Kern des risikobasierten Ansatzes aus der ISO 42001: Bevor ein System produktiv geht, wird sein Risiko bewertet – eine Art leichtgewichtiges AI Impact Assessment. Relevante Prüffragen sind etwa:

  • Welche Datenklassen werden verarbeitet, und ist ein Auftragsverarbeitungsvertrag vorhanden?
  • Werden Eingaben zu Trainingszwecken weiterverwendet? Wo werden Daten gespeichert (EU/Drittland)?
  • Welche Entscheidungen trifft oder beeinflusst das System, und welche Folgen hätte ein Fehler?
  • Fällt der Anwendungsfall unter eine Hochrisiko-Kategorie des EU AI Act?

Wichtig ist die Verhältnismäßigkeit: Ein Übersetzungstool braucht eine andere Prüftiefe als ein System, das über Bewerbungen oder Kreditwürdigkeit mitentscheidet.

5. Verantwortlichkeiten

KI-Governance scheitert selten an fehlenden Regeln, sondern an unklarer Zuständigkeit. Benennen Sie deshalb explizit:

  • eine verantwortliche Rolle für KI-Governance (häufig angesiedelt bei Informationssicherheit oder Datenschutz), die den Freigabeprozess steuert;
  • die Fachverantwortlichen, die für den jeweiligen Anwendungsfall geradestehen;
  • die Geschäftsführung, die die Policy in Kraft setzt und Ressourcen bereitstellt.

Dieses klare Rollenmodell entspricht dem Verantwortlichkeitsprinzip der ISO 42001 und sorgt dafür, dass aus „jemand müsste das mal prüfen" ein definierter Zuständiger wird.

6. Transparenz und Kennzeichnung von KI-Ergebnissen

Mitarbeitende und Kunden haben ein berechtigtes Interesse zu wissen, wann sie es mit KI-erzeugten Inhalten zu tun haben. Regeln Sie deshalb, wann eine Kennzeichnungspflicht gilt – etwa bei extern veröffentlichten Texten, KI-generierten Bildern oder automatisierten Kundenkommunikationen. Das ist nicht nur eine Vertrauensfrage, sondern greift den Transparenzpflichten des EU AI Act für KI-Systeme mit begrenztem Risiko vor. Ebenso wichtig: die Pflicht zur menschlichen Kontrolle. KI-Ergebnisse sind ein Vorschlag, keine fertige Entscheidung – die fachliche Verantwortung bleibt beim Menschen.

7. Schulung und KI-Kompetenz

Die beste Policy nützt nichts, wenn niemand sie kennt. Verankern Sie deshalb verbindliche Schulungen: Was ist erlaubt, was nicht, woran erkenne ich vertrauliche Daten, wie melde ich einen Vorfall? Dieser Baustein erfüllt zugleich die AI-Literacy-Pflicht des EU AI Act. Eine kurze, regelmäßige Sensibilisierung wirkt erfahrungsgemäß stärker als ein einmaliges, umfangreiches Schulungsdokument, das niemand zu Ende liest.

Praxis-Tipp
Bauen Sie in die Schulung zwei, drei reale Negativbeispiele aus dem eigenen Haus ein (anonymisiert). Nichts schärft das Bewusstsein für die Datenklassen-Matrix so sehr wie ein konkreter Beinahe-Vorfall aus dem eigenen Arbeitsalltag.

Beispiel-Gliederung für Ihre KI-Policy

Damit Sie nicht vor einem leeren Blatt sitzen, hier eine erprobte Struktur, die Sie als Grundgerüst übernehmen und an Ihr Unternehmen anpassen können:

  1. Zweck und Geltungsbereich – Warum es diese Richtlinie gibt, für wen sie gilt.
  2. Begriffsdefinitionen – KI-System, generative KI, KI-Ergebnis, Schatten-KI.
  3. Grundsätze der KI-Nutzung – risikobasiert, datenschutzkonform, menschliche Letztverantwortung.
  4. Erlaubte und verbotene Tools – dreistufiges Modell, Verweis auf die aktuelle Tool-Liste.
  5. Datenklassen und zulässige Nutzung – die zentrale Matrix, verzahnt mit der Informationsklassifizierung.
  6. Freigabeprozess für neue Anwendungen – Antragsweg, Prüfkriterien, Entscheider.
  7. Rollen und Verantwortlichkeiten – KI-Governance-Rolle, Fachverantwortliche, Geschäftsführung.
  8. Transparenz und Kennzeichnung – wann KI-Ergebnisse gekennzeichnet werden müssen.
  9. Schulung und Kompetenz – Pflichtschulungen, Turnus, Nachweis.
  10. Meldung von Vorfällen – was tun, wenn versehentlich Daten abgeflossen sind.
  11. Geltung, Verstöße und Überprüfung – Inkrafttreten, Konsequenzen, regelmäßiger Review.

Halten Sie das Dokument so kurz wie möglich. Eine KI-Richtlinie, die auf wenigen Seiten das Wesentliche regelt, wird gelesen und gelebt – ein vierzigseitiges Compliance-Werk landet ungelesen im Intranet.

Tipps zur Einführung: pragmatisch statt Verbot

Der häufigste Fehler bei der Einführung einer ChatGPT Policy ist das pauschale Verbot. Es ist verständlich, aber kontraproduktiv: Wer KI komplett untersagt, treibt die Nutzung erst recht in die Schatten und verzichtet zugleich auf erhebliche Produktivitätsgewinne. Die wirksamere Strategie ist, sichere Wege zu eröffnen, statt nur Türen zu verschließen.

  • Bestandsaufnahme zuerst. Verschaffen Sie sich einen ehrlichen Überblick, welche KI-Tools heute schon genutzt werden – im Gespräch, nicht als Verhör. Diese Realität ist Ihr Ausgangspunkt.
  • Eine sichere Alternative anbieten. Stellen Sie einen freigegebenen, datenschutzkonformen Weg bereit (etwa einen Unternehmens-Tenant), bevor Sie unsichere Tools einschränken. Wie das mit Microsoft-Werkzeugen gelingt, zeigen wir im Beitrag Microsoft Copilot sicher einführen.
  • Mit den Risikofällen anfangen. Regeln Sie zuerst die wirklich kritischen Datenklassen klar und eindeutig. Den Rest können Sie iterativ nachschärfen.
  • Die Policy als lebendes Dokument behandeln. KI entwickelt sich rasant – planen Sie einen festen Review-Turnus (mindestens halbjährlich) ein. Das entspricht dem PDCA-Gedanken (Plan-Do-Check-Act) der ISO 42001.
  • Führungskräfte einbinden. Eine Policy, die von der Geschäftsführung sichtbar getragen und vorgelebt wird, hat eine ganz andere Durchschlagskraft als eine aus der IT-Abteilung.

Wenn Sie die KI-Governance von Anfang an in Ihr bestehendes Informationssicherheits-Managementsystem einbetten, sparen Sie doppelte Arbeit: ISO 42001 ist explizit so gestaltet, dass es sich mit einem ISO-27001-ISMS integrieren lässt – gleiche Logik, gleiche Rollen, erweiterter Geltungsbereich.

Wie welabs Sie bei der KI-Policy unterstützt

KI-Governance ist kein reines Dokumentenprojekt, sondern die Übersetzung von Konzern-Standards in mittelstandstaugliche Praxis. Genau hier setzt welabs an. Auf unserer Seite zur KI-Governance finden Sie unser Vorgehen im Detail. Konkret unterstützen wir Sie mit:

  • Bestandsaufnahme der KI-Nutzung inklusive Identifikation von Schatten-KI in Ihrem Unternehmen.
  • Entwicklung einer maßgeschneiderten KI-Policy – schlank, verständlich und an Ihre Datenklassen angepasst.
  • Aufbau eines risikobasierten Freigabeprozesses für neue KI-Anwendungen nach den Prinzipien der ISO 42001.
  • Integration in ein bestehendes ISO-27001-ISMS, damit KI-Governance nicht als Insel neben Ihrer Informationssicherheit steht.
  • Schulung und Sensibilisierung Ihrer Mitarbeitenden – auch mit Blick auf die AI-Literacy-Pflicht des EU AI Act.

So entsteht eine Richtlinie, die nicht nur formal korrekt ist, sondern im Alltag tatsächlich funktioniert.

Sie möchten Ihre KI-Nutzung auf eine belastbare Grundlage stellen? In einem unverbindlichen Erstgespräch klären wir, wo Ihre größten Risiken liegen und wie eine pragmatische Policy bei Ihnen aussehen könnte – nehmen Sie Kontakt auf.

Fazit

Eine KI-Policy ist heute für jedes Unternehmen das zentrale Steuerungsinstrument, um die längst stattfindende KI-Nutzung aus dem unkontrollierten Graubereich in geregelte Bahnen zu lenken. Schatten-KI, Datenschutz- und Geheimnisschutzrisiken sowie der nahende EU AI Act machen das Thema von einer Kür zur Pflicht – und je früher Sie handeln, desto kleiner ist der Aufwand, eingeschliffenes Verhalten wieder einzufangen.

Entscheidend ist die Haltung: Eine gute Richtlinie verbietet nicht pauschal, sondern eröffnet sichere Wege. Sie regelt nachvollziehbar, welche Daten in welche Systeme dürfen, schafft klare Verantwortlichkeiten und befähigt Mitarbeitende, gute Entscheidungen selbst zu treffen. Wer diese Prinzipien – risikobasiert, klar zugeordnet, kontinuierlich verbessert – an der ISO 42001 ausrichtet und in ein bestehendes ISMS integriert, baut keine Insellösung, sondern eine tragfähige Governance, die mit der Technologie mitwächst.

Übersicht Alle Beiträge

Ihr Projekt könnte
das nächste sein

Erzählen Sie uns von Ihrer Idee — wir machen daraus Realität.

Projekt besprechen