Künstliche Intelligenz (KI) ist längst fester Bestandteil der modernen Arbeitswelt. Unternehmen unterschiedlichster Branchen setzen heute bereits auf automatisierte Systeme, maschinelles Lernen und generative KI, um Prozesse zu optimieren, Entscheidungen zu unterstützen und neue Geschäftsmodelle zu entwickeln. Auch kleine und mittlere Unternehmen (KMU) in Mainz und Umgebung erkennen zunehmend die Potenziale von KI – stehen dabei aber ebenso vor der Herausforderung, diese Technologien verantwortungsvoll, rechtskonform und nachhaltig in ihre Organisation zu integrieren.
Eine unternehmensweit verbindliche KI-Richtlinie dient als Leitplanke für den Einsatz künstlicher Intelligenz. Sie schafft nicht nur Sicherheit im Umgang mit sensiblen Daten und automatisierten Entscheidungsprozessen, sondern schützt auch vor rechtlichen Fallstricken und Imageschäden. Gleichzeitig fördert sie das Vertrauen der Mitarbeitenden und der Öffentlichkeit in den ethischen und transparenten Einsatz moderner Technologien.
In diesem Beitrag zeigen wir praxisnah und fundiert, wie KMU eine KI-Richtlinie strukturiert aufsetzen, welche gesetzlichen Rahmenbedingungen beachtet werden müssen und wie die Richtlinie im Unternehmen verankert wird – inklusive Tipps zur Umsetzung und konkreten Formulierungshilfen.
Warum brauchen KMU eine KI-Richtlinie?
Der zunehmende Einsatz von KI wirft wichtige Fragen auf: Wer trägt die Verantwortung, wenn eine KI falsche Ergebnisse liefert? Welche Daten dürfen verarbeitet werden? Dürfen personenbezogene Informationen in generative Modelle eingegeben werden? Und wie können Mitarbeitende sicher erkennen, ob sie mit einem KI-System interagieren? Eine KI-Richtlinie hilft dabei, diese Fragen zu beantworten – noch bevor ein Problem entsteht.
Zudem ist sie ein zentrales Element zur Einhaltung gesetzlicher Vorgaben. Die europäische Datenschutz-Grundverordnung (DSGVO) enthält bereits konkrete Anforderungen an den Einsatz automatisierter Systeme, etwa in Art. 22 DSGVO: „Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.“
Auch der geplante EU AI Act, der derzeit in der finalen Abstimmung steht, wird weitreichende Anforderungen an Transparenz, Risikoklassifizierung und Aufsicht über KI-Systeme enthalten. Unternehmen, die sich frühzeitig mit einer internen Richtlinie positionieren, sind für die künftige Gesetzeslage besser vorbereitet.
Konkrete Vorteile:
- Prävention von DSGVO-Verstößen durch klare Vorgaben zum Datenumgang
- Schutz vor Haftungsrisiken und Reputationsverlust
- Förderung einer einheitlichen Nutzung von KI im Unternehmen
- Grundlage für Zertifizierungen, Audits und Lieferantenanforderungen
- Erhöhung der Akzeptanz und des Vertrauens bei Mitarbeitenden und Kunden
Praxistipp: Auch bei scheinbar harmlosen Anwendungen wie Chatbots, Textassistenten oder Übersetzungstools ist Vorsicht geboten – sie unterliegen denselben datenschutz- und sicherheitsrechtlichen Anforderungen wie komplexe KI-Modelle.
Gesetzliche Anforderungen im Überblick
1. Datenschutz-Grundverordnung (DSGVO)
- Art. 5 DSGVO: Datenverarbeitung muss rechtmäßig, zweckgebunden und transparent erfolgen.
- Art. 13–14 DSGVO: Informationspflichten gegenüber betroffenen Personen bei KI-gestützter Verarbeitung.
- Art. 22 DSGVO: Verbot rein automatisierter Entscheidungen mit wesentlichen Auswirkungen.
- Art. 35 DSGVO: Pflicht zur Datenschutz-Folgenabschätzung bei hohem Risiko – etwa bei Scoring- oder Prognosesystemen.
2. EU-KI-Verordnung (AI Act – in Vorbereitung)
- Verpflichtende Risikoklassifizierung von KI-Systemen (gering, begrenzt, hoch, verboten)
- Transparenzpflichten bei Nutzung generativer KI
- Verpflichtung zur menschlichen Aufsicht bei hochriskanten Anwendungen
- Einführung einer Kennzeichnungspflicht für KI-generierte Inhalte
Hinweis: Auch nationale Gesetze wie das BDSG (Bundesdatenschutzgesetz) oder arbeitsrechtliche Vorgaben (z. B. Mitbestimmungspflichten bei neuen Technologien) sind bei der Erstellung der Richtlinie zu berücksichtigen.
Inhalte einer umfassenden KI-Richtlinie
Die KI-Richtlinie sollte kein starres juristisches Dokument sein, sondern ein praxisnahes, für alle verständliches Regelwerk. Ziel ist es, sowohl technische als auch organisatorische Aspekte zu regeln und alle Mitarbeitenden für Chancen und Risiken von KI zu sensibilisieren. Eine gut strukturierte Richtlinie umfasst dabei folgende zentrale Inhalte:
Ziel und Anwendungsbereich der Richtlinie
Zu Beginn sollte definiert werden, auf welche Arten von KI-Systemen sich die Richtlinie bezieht – z. B. auf maschinelles Lernen, generative KI, Empfehlungssysteme oder automatisierte Entscheidungsunterstützung. Ein Beispiel wäre die Formulierung: „Diese Richtlinie gilt für alle im Unternehmen eingesetzten Anwendungen, die auf KI-Algorithmen basieren und Entscheidungen oder Inhalte automatisiert erzeugen.“
Definition zentraler Begriffe
Zur Vermeidung von Missverständnissen sollten Fachbegriffe wie „Künstliche Intelligenz“, „Trainingsdaten“, „Prompt“, „Blackbox-System“ oder „automatisierte Entscheidung“ verständlich erklärt werden. Ein KI-Glossar kann als Anhang zur Richtlinie bereitgestellt werden.
Verhaltensregeln für die Nutzung von KI-Tools
Hier sollten praxisnahe Vorgaben gemacht werden. Beispielsweise:
- Es dürfen keine personenbezogenen Daten (z. B. Namen, Gesundheitsdaten) in öffentliche KI-Systeme wie ChatGPT eingegeben werden.
- Inhalte, die mit Hilfe generativer KI erstellt wurden (z. B. Texte, Bilder), sind als solche zu kennzeichnen.
- KI-generierte E-Mails, Angebote oder Berichte sind vor dem Versand von einer natürlichen Person auf Richtigkeit zu prüfen.
Genehmigungs- und Prüfprozesse
Die Einführung neuer KI-Anwendungen sollte an ein Prüfverfahren gebunden sein. Die Richtlinie könnte etwa vorschreiben, dass vor der Einführung eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchgeführt werden muss. Auch die Bewertung durch ein internes Gremium oder eine Freigabe durch die IT-Sicherheitsbeauftragten kann verpflichtend vorgesehen sein.
Verantwortlichkeiten im Unternehmen
Festgelegte Rollen wie ein KI-Verantwortlicher, eine Datenschutzkoordination oder eine Fachabteilung für IT-Compliance erleichtern die Umsetzung. Es sollte klar sein, wer im Falle von Missbrauch, Fehlfunktionen oder Beschwerden zuständig ist.
Vorgaben zur Datenverarbeitung, Transparenz und Nachvollziehbarkeit
Die KI-Richtlinie muss regeln, welche Daten für welche Zwecke verwendet werden dürfen. Beispiel: „KI-gestützte Systeme zur Kundenbewertung dürfen ausschließlich auf pseudonymisierten Transaktionsdaten basieren. Eine Profilbildung auf Grundlage von Herkunft oder Geschlecht ist unzulässig.“
Zudem sollte die Möglichkeit bestehen, Entscheidungen von KI-Systemen zu erklären. Nutzer*innen müssen wissen, wann sie mit einer KI interagieren und wie sie eine menschliche Kontaktperson erreichen können.
Sicherheitsanforderungen und Tool-Auswahl
Die Nutzung von KI-Systemen sollte grundsätzlich auf geprüfte, sichere und vertrauenswürdige Anbieter beschränkt werden. Die Richtlinie könnte vorgeben, dass ausschließlich Tools genutzt werden dürfen, die:
- Verschlüsselung während der Datenübertragung bieten
- Sitz in der EU oder vergleichbarem Datenschutzniveau haben
- regelmäßige Audits oder Zertifizierungen nachweisen können
Dokumentations- und Schulungspflichten
Die Schulung von Mitarbeitenden gehört zu den wichtigsten Bestandteilen einer wirksamen KI-Richtlinie. Schulungsinhalte können etwa sein:
- Grundlagen der Künstlichen Intelligenz
- rechtliche Anforderungen (DSGVO, AI Act)
- interne Regelungen und Fallbeispiele
Zusätzlich sollten Unternehmen dokumentieren, welche Schulungen durchgeführt wurden, wer daran teilgenommen hat und welche Systeme im Einsatz sind. Diese Dokumentation dient sowohl dem internen Überblick als auch externen Prüfungen durch Aufsichtsbehörden.
Hinweise zur regelmäßigen Aktualisierung
Die Richtlinie sollte mindestens einmal jährlich auf Aktualität geprüft werden. Neue technologische Entwicklungen, Gesetzesänderungen oder Vorfälle im Unternehmen können Anlass für eine Überarbeitung geben. Ein Vorschlag: „Die Richtlinie wird halbjährlich durch die IT-Abteilung gemeinsam mit der Geschäftsführung und dem Datenschutzbeauftragten überprüft.“
Praxistipp: Ergänzen Sie die Richtlinie um konkrete Anwendungsszenarien aus Ihrem Unternehmen. Zum Beispiel:
- Dürfen Marketingtexte mit KI erstellt werden?
- Wie werden Supportanfragen durch Chatbots verarbeitet?
- Was ist beim Einsatz von Copilot in Microsoft 365 zu beachten?
Solche Beispiele erhöhen die Verständlichkeit und Akzeptanz der Regelungen im Arbeitsalltag.
Integration der Richtlinie in den Arbeitsalltag
Die beste Richtlinie nützt nichts, wenn sie nicht gelebt wird. Deshalb sollte die Einführung von Schulungen, Workshops und internen Informationskampagnen begleitet werden. Dabei empfiehlt sich ein stufenweiser Rollout – beginnend mit Schlüsselabteilungen wie IT, HR und Geschäftsführung.
Regelmäßige Aktualisierungen sind Pflicht, denn der technologische und rechtliche Rahmen entwickelt sich dynamisch weiter. Empfehlenswert ist ein fester Überprüfungszyklus von 6 bis 12 Monaten.
Fazit
Die Einführung einer KI-Richtlinie ist kein reiner Formalakt, sondern ein strategischer Schritt für moderne Unternehmen. Sie sichert Innovationsfähigkeit, stärkt das Vertrauen in neue Technologien und reduziert Risiken durch klare Rahmenbedingungen. Gerade KMU profitieren davon, wenn sie frühzeitig Verantwortung übernehmen und ihre Mitarbeitenden mit einem gut durchdachten Regelwerk unterstützen.
Über uns
Die anyWARE AG ist der führende IT-Dienstleister für kleine und mittlere Unternehmen im Raum Mainz. Wir unterstützen Sie bei der Einführung und Umsetzung von KI-Richtlinien, begleiten Technologieprojekte datenschutzkonform und entwickeln gemeinsam mit Ihnen Lösungen für den digitalen Wandel – fundiert, individuell und praxisorientiert.
Vereinbaren Sie jetzt ein kostenloses Erstgespräch und starten Sie mit einer klaren KI-Strategie in die Zukunft Ihrer IT.
