KI-Policy ist die dokumentierte Richtlinie einer Organisation für den verantwortungsvollen Einsatz von KI — gefordert als Pflichtdokument in ISO 42001 Clause 5.2. Als KI-Policy Definition beschreibt der Begriff also keine Absichtserklärung, sondern verbindliche Vorgaben zu Grundsätzen, Zuständigkeiten, Freigaben und Kontrollen für alle relevanten KI-Anwendungen im Unternehmen.
Warum eine KI-Policy wichtig ist
Eine KI-Policy schafft Klarheit, bevor einzelne Teams KI-Tools unterschiedlich einsetzen. Gerade in KMU mit 50 bis 500 Mitarbeitenden entstehen sonst schnell widersprüchliche Regeln: Der Vertrieb nutzt generative KI für Angebote, HR testet Bewerber-Scoring und die IT führt eigene Freigaben durch. Eine zentrale Richtlinie bündelt diese Anforderungen in einem nachvollziehbaren Rahmen und ist damit ein Kernelement von AI Governance.
Für ISO/IEC 42001:2023 ist die KI-Policy besonders wichtig, weil Klausel 5.2 ausdrücklich verlangt, dass das Top-Management eine geeignete AI Policy festlegt, kommuniziert, aufrechterhält und regelmäßig überprüft. Die Richtlinie muss zum Kontext der Organisation passen, den Rahmen für Ziele liefern und die Verpflichtung zur Erfüllung relevanter Anforderungen sowie zur fortlaufenden Verbesserung des AI-Managementsystems enthalten. In der Praxis hängt die Policy eng mit Rollen nach Klausel 5.3 zusammen, etwa mit einem KI-Beauftragten oder einem Governance-Gremium.
Auch für den EU AI Act ist die KI-Policy operativ relevant, obwohl die Verordnung den Begriff nicht ausdrücklich verwendet. Seit dem 1. August 2024 ist die EU-VO 2024/1689 in Kraft, und seit dem 2. Februar 2025 gilt bereits Art. 4 zur KI-Kompetenz. Ab dem 2. August 2026 greifen weitere Kernpflichten für Hochrisiko-KI, darunter Risikomanagement nach Art. 9, technische Dokumentation nach Art. 11, menschliche Aufsicht nach Art. 14 und Betreiberpflichten nach Art. 26. Eine KI-Policy bündelt diese Anforderungen in interne Regeln, die Mitarbeitende tatsächlich anwenden können.
Pflichtinhalte einer KI-Policy
Eine belastbare KI-Policy umfasst meist 7 bis 10 Kernelemente. Für mittelständische Unternehmen reicht oft ein schlankes, aber verbindliches Dokument, wenn es tatsächlich gelebt wird.
| Element | Zweck |
|---|---|
| Zweck und Geltungsbereich | Festlegen, für welche KI-Systeme, Teams und Prozesse die Richtlinie gilt |
| KI-Grundsätze | Fairness, Transparenz, Sicherheit, Datenschutz und menschliche Kontrolle definieren |
| Rollen und Verantwortlichkeiten | Zuständigkeiten von Geschäftsführung, Fachbereichen, IT und Governance benennen |
| Freigabeprozess | Regeln, wann neue KI-Anwendungen geprüft und freigegeben werden müssen |
| Daten- und Modellanforderungen | Mindeststandards für Datenqualität, Tests, Monitoring und Änderungen festlegen |
| Dokumentation und Nachweise | Vorgaben für Inventar, Protokolle, Entscheidungen und Reviews schaffen |
| Schulung und Awareness | Anforderungen an Kompetenz und regelmäßige Unterweisung festlegen |
| Review und Eskalation | Jährliches Review, Vorfallmeldung und Aktualisierung der Richtlinie steuern |
Praxisbeispiel aus dem KMU-Alltag
Ein Industrieunternehmen mit 180 Mitarbeitenden führt einen generativen KI-Assistenten für Angebotsentwürfe und ein Modell zur Qualitätsprognose in der Fertigung ein. Ohne KI-Policy entscheiden Vertrieb, Produktion und IT jeweils selbst, welche Daten eingegeben werden dürfen, wann Ergebnisse geprüft werden müssen und wer bei Fehlern verantwortlich ist. Das erhöht Rechts-, Qualitäts- und Haftungsrisiken.
Mit einer KI-Policy legt die Geschäftsführung zunächst fest, dass nur freigegebene Anwendungsfälle produktiv genutzt werden dürfen. Die Richtlinie verbietet die Eingabe vertraulicher Kundendaten in öffentliche Tools, verlangt eine menschliche Prüfung vor externen Entscheidungen und ordnet jedem KI-System einen fachlichen Owner zu. Zusätzlich wird ein jährliches Review eingeführt, bei dem neue Risiken, Vorfälle und regulatorische Änderungen bewertet werden. Aus einem unkoordinierten Tool-Einsatz wird so ein steuerbarer Prozess.
Abgrenzung zu Strategie und Kontrollen
Die KI-Policy ist nicht dasselbe wie eine KI-Strategie. Die Strategie beantwortet, welche geschäftlichen Ziele mit KI verfolgt werden. Die Policy regelt dagegen, unter welchen Bedingungen diese Ziele zulässig und beherrschbar umgesetzt werden. Ebenso ersetzt die Richtlinie keine operativen Kontrollen; sie bildet vielmehr die Grundlage, auf der einzelne Maßnahmen, ein gelebtes Risikomanagement-System und passende Kontrollen aus Annex A definiert, dokumentiert und geprüft werden.
Wenn Sie den Begriff nicht nur definieren, sondern praktisch umsetzen wollen, ist unser ISO-42001-Leitfaden der passende nächste Schritt. Für die Kompetenzanforderungen nach Art. 4 EU-VO 2024/1689 ergänzt außerdem die EU AI Act Schulung die organisatorische Umsetzung.