Pflicht seit Februar 2025: Artikel 4 EU AI Act verlangt KI-Kompetenz im Unternehmen.

AI

AI Governance Schulung

EU AI Act Training für Unternehmen

Erstgespräch buchen
← Zur Wissens-Übersicht
KI Policy UnternehmenKI Richtlinie VorlageAI Act Policy

KI-Policy für Unternehmen: Vorlage und Leitfaden

Diese KI-Policy-Vorlage zeigt Unternehmen, wie sie zulässige KI-Nutzung, Verbote, Freigaben, Schulung und Dokumentation praxisnah regeln.

Veröffentlicht: 13. März 2026Letzte Aktualisierung: 15. März 20269 Min. Lesezeit

Letzte Aktualisierung: 16. März 2026

Eine KI-Policy für Unternehmen ist ein internes Regelwerk, das zulässige KI-Nutzung, Verbote, Freigaben, menschliche Prüfung, Datenschutz und Schulung verbindlich festlegt. Sie ist seit dem 2. Februar 2025 praktisch relevant, weil Art. 4 der EU-VO 2024/1689 KI-Kompetenz verlangt und Unternehmen dafür klare Leitplanken brauchen.

Die wichtigste Einordnung vorweg: Der EU AI Act verlangt nicht wörtlich ein Dokument mit dem Titel „KI-Policy“. Unternehmen brauchen aber eine belastbare interne Richtlinie, wenn sie KI-Nutzung steuern, Mitarbeitende schulen und Risiken nachweisbar begrenzen wollen. Wenn Sie zuerst die Grundpflicht verstehen möchten, lesen Sie den Beitrag zur KI-Schulungspflicht nach Artikel 4, nutzen Sie danach die AI-Act-Checkliste für Unternehmen und prüfen Sie offene Praxisfragen in der FAQ.

Das Wichtigste in 60 Sekunden

  • Eine KI-Policy ist die operative Mindestlinie für den Alltag. Sie übersetzt die abstrakten Pflichten aus Art. 4, Art. 5 und Art. 50 in konkrete Regeln für Teams.
  • Eine gute KI-Policy regelt nicht nur ChatGPT. Sie erfasst auch Copilot, integrierte KI-Funktionen in SaaS-Tools, Eigenentwicklungen und Dienstleister, die KI im Auftrag des Unternehmens nutzen.
  • Eine KI-Policy ersetzt keine Schulung. Art. 4 verlangt KI-Kompetenz bei Mitarbeitenden und sonstigen Personen, die mit dem Betrieb und der Nutzung von KI-Systemen im Auftrag des Unternehmens zu tun haben.
  • Eine KI-Policy sollte kurz, konkret und versioniert sein. Zwei bis vier Seiten mit klaren Freigaben, roten Linien, Rollen und Eskalationswegen sind in der Praxis wirksamer als ein abstraktes Grundsatzpapier.
  • Eine KI-Policy braucht Umsetzung. Ohne Schulung, Tool-Inventar und Nachweis bleibt auch die beste Vorlage nur Papier.

Wenn Sie Ihre Ausgangslage erst einschätzen möchten, starten Sie mit dem Compliance-Quiz auf der Startseite. Wenn Sie die Richtlinie direkt mit Schulung, Abschlusstest und Schulungszertifikat unterlegen möchten, ist der Kurs für Unternehmen der schnellste nächste Schritt.

Warum Unternehmen jetzt eine KI-Policy brauchen

Eine KI-Policy wird 2026 nicht wegen eines formalen Dokumententitels wichtig, sondern wegen ihrer Steuerungsfunktion. Seit dem 2. Februar 2025 müssen Anbieter und Betreiber nach bestem Bemühen sicherstellen, dass ihr Personal und andere in ihrem Auftrag handelnde Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Genau dafür braucht es klare interne Regeln, was erlaubt ist, was verboten ist und wer bei Zweifeln entscheidet.

Eine KI-Policy reduziert vor allem Organisationsrisiken. Mitarbeitende nutzen KI sonst uneinheitlich, laden sensible Daten in unfreigegebene Tools hoch, übernehmen fehlerhafte Outputs ungeprüft oder kennzeichnen KI-Interaktionen nicht sauber. Die Policy schafft deshalb nicht nur Rechtsnähe, sondern auch operative Klarheit für HR, IT, Datenschutz, Compliance, Marketing, Vertrieb und Führungskräfte.

Eine KI-Policy hilft außerdem bei der Trennung zwischen erlaubter und unzulässiger Nutzung. Art. 5 der EU-VO 2024/1689 verbietet bestimmte KI-Praktiken, während Art. 50 für einzelne Systeme Transparenzpflichten vorsieht. Die interne Richtlinie sorgt dafür, dass Teams solche Grenzen früh erkennen, statt erst im Incident zu reagieren.

Eine KI-Policy wird spätestens vor dem 2. August 2026 strategisch. Dann werden zentrale operative Pflichten für Hochrisiko-Systeme breit anwendbar, und Unternehmen sollten bis dahin zumindest Inventar, Zuständigkeiten, Freigabelogik und Schulungsnachweise aufgebaut haben. Wer erst dann beginnt, diskutiert gleichzeitig über Tool-Einsatz, Verantwortlichkeiten und Rechtslage statt geordnet umzusetzen.

Wichtig ist dabei die nüchterne Risikoeinordnung: Art. 99 der EU-VO 2024/1689 enthält keinen eigenen harmonisierten Bußgeldtatbestand nur für Art. 4. Fehlende KI-Kompetenz und fehlende interne Regeln bleiben trotzdem relevant, weil sie andere Verstöße begünstigen, die Sorgfaltsposition des Unternehmens schwächen und Haftungsdiskussionen verschärfen können.

Was eine gute KI-Policy regeln muss

Eine praxistaugliche KI-Policy beantwortet zehn Kernfragen. Wenn eine dieser Fragen offen bleibt, entsteht im Alltag fast immer Schattennutzung oder Verantwortungsdiffusion.

| Baustein | Was geregelt werden sollte | Warum das wichtig ist | | --- | --- | --- | | Zweck | Warum es die Richtlinie gibt und welche Ziele sie verfolgt | Schafft einen klaren Governance-Rahmen statt bloßer Verbote | | Geltungsbereich | Welche Personen, Teams, Tools und Dienstleister erfasst sind | Verhindert, dass Freelancer oder einzelne Fachbereiche herausfallen | | Zulässige Nutzung | Welche Anwendungsfälle freigegeben sind | Gibt Teams Orientierung statt pauschaler Unsicherheit | | Verbotene Nutzung | Welche roten Linien ohne Ausnahme gelten | Verhindert riskante Schnellschüsse im Tagesgeschäft | | Datenregeln | Welche Daten nie in externe KI-Tools eingegeben werden dürfen | Verbindet KI-Governance mit Datenschutz und Geheimnisschutz | | Tool-Freigabe | Wie neue KI-Systeme geprüft und freigegeben werden | Stoppt Wildwuchs und Schatten-IT | | Menschliche Prüfung | Wann KI-Output geprüft, überstimmt oder eskaliert werden muss | Sichert wirksame Aufsicht statt blindem Vertrauen | | Transparenz | Wann KI-Nutzung gegenüber Kunden, Bewerbern oder Mitarbeitenden offengelegt werden muss | Deckt Art.-50-Situationen und interne Klarheit ab | | Schulung und Nachweis | Wer geschult wird, wie oft und wie der Nachweis dokumentiert wird | Setzt Art. 4 praktisch um | | Governance und Updates | Wer Eigentümer der Policy ist und wann sie aktualisiert wird | Verhindert veraltete Richtlinien ohne Verantwortliche |

Eine gute KI-Policy sollte außerdem den realen Tool-Mix abbilden. Viele Unternehmen schreiben eine Richtlinie für „generative KI“, übersehen aber Scoring-Systeme im CRM, KI-Funktionen in HR-Software, Meeting-Assistenten, Übersetzungstools, Support-Automation oder externe Agenturen, die im Unternehmenskontext KI einsetzen. Der Geltungsbereich muss deshalb breiter sein als nur ChatGPT.

KI-Policy für Unternehmen: Vorlage zum Anpassen

Die folgende KI-Policy-Vorlage ist bewusst kompakt gehalten. Sie eignet sich als erste Fassung für KMU und kann anschließend um rollen- oder branchenspezifische Anlagen ergänzt werden.

KI-Policy für [Unternehmensname]
Version: [1.0]
Gültig ab: [Datum]
Verantwortlich: [Rolle/Name]

1. Zweck
Diese KI-Policy regelt die sichere, rechtmäßige und nachvollziehbare Nutzung von KI-Systemen im Unternehmen. Sie soll Risiken reduzieren, klare Verantwortlichkeiten schaffen und die KI-Kompetenz der betroffenen Personen unterstützen.

2. Geltungsbereich
Diese Richtlinie gilt für alle Mitarbeitenden, Führungskräfte, freien Mitarbeitenden und Dienstleister, die KI-Systeme im Auftrag von [Unternehmensname] auswählen, konfigurieren, nutzen, überwachen oder deren Ergebnisse weiterverarbeiten.

3. Erfasste KI-Systeme
Als KI-Systeme gelten insbesondere generative KI-Tools, KI-Funktionen in Standardsoftware, Analyse- und Scoring-Systeme, Assistenzsysteme, Automatisierungen mit KI-Komponenten sowie Eigenentwicklungen mit KI-Bezug.

4. Zulässige Nutzung
Zulässig ist die Nutzung freigegebener KI-Systeme für die in der Tool-Freigabe dokumentierten Zwecke. KI darf insbesondere für Recherche, Zusammenfassungen, Textentwürfe, interne Ideensammlung und unterstützende Analysen genutzt werden, soweit keine verbotenen Daten oder Prozesse betroffen sind.

5. Verbotene Nutzung
Untersagt ist insbesondere:
- die Eingabe vertraulicher, personenbezogener oder geheimhaltungsbedürftiger Daten in nicht freigegebene Tools
- die ungeprüfte Übernahme von KI-Ergebnissen in rechtlich, finanziell oder personell relevante Entscheidungen
- die Nutzung von KI zur verdeckten Manipulation, diskriminierenden Bewertung oder unzulässigen Profilbildung
- die Umgehung interner Freigaben durch private Accounts oder Schatten-Tools

6. Daten- und Geheimnisschutz
Personenbezogene Daten, Geschäftsgeheimnisse, Kundeninformationen, Vertragsdokumente, Quellcode, sensible HR-Daten und vertrauliche Finanzinformationen dürfen nur in dafür freigegebene Systeme eingegeben werden. Im Zweifel ist vor der Nutzung die zuständige Stelle aus Datenschutz, IT oder Compliance einzubeziehen.

7. Menschliche Prüfung und Verantwortung
KI-Systeme dürfen menschliche Prüfung nicht ersetzen, wenn Ergebnisse rechtliche, finanzielle, personelle oder reputationsrelevante Auswirkungen haben. Die fachlich verantwortliche Person muss Output auf Plausibilität, Vollständigkeit, Bias, Halluzinationen und sachliche Eignung prüfen.

8. Tool-Freigabe
Neue KI-Systeme oder neue KI-Funktionen in bestehender Software dürfen erst nach interner Prüfung genutzt werden. Die Prüfung umfasst mindestens Zweck, Anbieter, Datenarten, mögliche Risiken, erforderliche Transparenz, menschliche Aufsicht und verantwortliche Ansprechpersonen.

9. Transparenz und Kennzeichnung
Wenn Kunden, Bewerber, Mitarbeitende oder sonstige Betroffene mit KI interagieren oder KI-generierte Inhalte erhalten und eine Offenlegung erforderlich oder sachlich geboten ist, ist die KI-Nutzung klar zu kennzeichnen. Fachbereiche stimmen die konkrete Umsetzung mit den verantwortlichen Stellen ab.

10. Schulung und KI-Kompetenz
Alle betroffenen Personen müssen vor oder bei Aufnahme der KI-Nutzung eine angemessene Schulung erhalten. Die Schulung umfasst mindestens Funktionsweise, Grenzen, Risiken, interne Regeln, Eskalationswege und den Umgang mit sensiblen Daten. Teilnahme, Datum und Schulungsstand sind zu dokumentieren.

11. Meldung von Vorfällen und Zweifelsfällen
Auffällige Outputs, Fehlfunktionen, Datenabflüsse, diskriminierende Ergebnisse oder sonstige Vorfälle sind unverzüglich an [Rolle/Kontakt] zu melden. Bis zur Klärung ist die Nutzung des betroffenen Systems auszusetzen, wenn erhebliche Risiken nicht ausgeschlossen werden können.

12. Verstöße und Maßnahmen
Verstöße gegen diese Richtlinie können arbeitsrechtliche, vertragliche oder organisatorische Maßnahmen nach sich ziehen. Die Bewertung erfolgt risikobasiert und unter Berücksichtigung von Vorsatz, Schwere und möglichem Schaden.

13. Pflege und Aktualisierung
Diese KI-Policy wird mindestens quartalsweise oder anlassbezogen überprüft, insbesondere bei neuen KI-Tools, geänderten Prozessen, neuen rechtlichen Vorgaben oder relevanten Vorfällen.

Diese Vorlage funktioniert am besten zusammen mit drei Begleitdokumenten: einem KI-Inventar, einer Tool-Freigabeliste und einem Schulungsnachweis. Wenn Ihnen diese Bausteine noch fehlen, liefert unsere AI-Act-Checkliste für Unternehmen die richtige Reihenfolge für den Aufbau.

Leitfaden: So führen Sie die Vorlage in 6 Schritten ein

Die Einführung einer KI-Policy sollte mit dem realen Einsatz beginnen, nicht mit Formulierungsdetails. Wer zuerst bestehende Tools, Nutzergruppen und sensible Prozesse erfasst, schreibt am Ende eine Richtlinie, die wirklich angewendet wird.

  1. Erstellen Sie zuerst ein KI-Inventar. Listen Sie freigegebene, geduldete und bislang ungeregelte Tools nach Fachbereich, Zweck und Datenarten auf.
  2. Definieren Sie Rollen und Eigentümer. Legen Sie fest, wer die Policy verantwortet und wer für Freigaben, Datenschutzfragen, Incident-Meldungen und Schulungsupdates zuständig ist.
  3. Trennen Sie erlaubte und verbotene Nutzung klar. Eine wirksame Policy lebt von wenigen eindeutigen Regeln, etwa zu sensiblen Daten, Personalentscheidungen, Kundenkommunikation und Output-Prüfung.
  4. Bauen Sie den Freigabeprozess klein, aber verbindlich. Ein kurzes Prüfblatt für neue Tools ist in KMU meist wirksamer als ein schwerfälliges Gremium ohne Entscheidungsgeschwindigkeit.
  5. Unterlegen Sie die Policy mit Schulung. Mitarbeitende müssen nicht nur unterschreiben, sondern die Regeln verstehen und praktisch anwenden können.
  6. Versionieren Sie Richtlinie und Nachweise. Halten Sie fest, welche Policy-Version wann galt, wer geschult wurde und welche Tools zu diesem Zeitpunkt freigegeben waren.

Eine KI-Policy sollte außerdem nicht isoliert entstehen. HR, IT, Datenschutz, Compliance und betroffene Fachbereiche sollten die Kernregeln gemeinsam freigeben, damit spätere Konflikte über Datennutzung, Tool-Einsatz oder Verantwortlichkeit nicht erst nach dem Rollout entstehen. Wer hinter unseren Inhalten und Kursen steht, sehen Sie auf Über uns.

Typische Fehler bei KI-Richtlinien

Die häufigsten Fehler sind nicht juristisch kompliziert, sondern organisatorisch banal. Genau deshalb passieren sie so oft.

  • Zu abstrakt formuliert: Wenn eine Policy nur „verantwortungsvolle KI-Nutzung“ fordert, hilft sie im Alltag niemandem.
  • Nur auf ein Tool zugeschnitten: Eine reine ChatGPT-Richtlinie scheitert, sobald Teams Copilot, CRM-KI oder externe Agenturen einsetzen.
  • Keine Datenregeln: Ohne klare Verbote für sensible Eingaben wird Datenschutz zur individuellen Bauchentscheidung.
  • Keine menschliche Prüfung: Wer kritische Outputs ungeprüft übernimmt, baut Automatisierungsbias in Prozesse ein.
  • Keine Schulung: Eine unterschriebene Richtlinie ohne Training erfüllt weder ihren Governance-Zweck noch die praktische Logik von Art. 4.
  • Kein Update-Zyklus: KI-Policies veralten schnell, wenn neue Tools eingeführt werden und niemand die Richtlinie anpasst.

Besonders riskant ist die Annahme, eine KI-Policy allein genüge bereits als Compliance-Nachweis. Die EU-Kommission betont in ihrer AI-Literacy-FAQ, dass Maßnahmen auf Rolle, Kontext, betroffene Personen und eingesetzte Systeme zugeschnitten sein müssen. Eine Policy ist dafür der Rahmen, aber Schulung, Tool-Prüfung und Dokumentation bleiben eigenständige Bausteine.

FAQ zur KI-Policy für Unternehmen

Braucht jedes Unternehmen eine KI-Policy?

Ja, sobald KI im Arbeitsalltag genutzt wird, ist eine interne KI-Policy sinnvoll. Der AI Act verlangt zwar kein Dokument mit genau diesem Titel, aber ohne Richtlinie lassen sich Schulung, Freigabe, Datenregeln und Eskalationswege in der Praxis kaum konsistent steuern.

Reicht eine KI-Policy ohne Schulung aus?

Nein. Art. 4 der EU-VO 2024/1689 verlangt KI-Kompetenz, nicht nur ein unterschriebenes Papier. Eine Policy ohne Schulung erklärt Regeln, stellt aber noch nicht sicher, dass Mitarbeitende Chancen, Grenzen, Risiken und Verbote tatsächlich verstehen.

Muss jede KI-Anwendung vorab freigegeben werden?

Ja, jedenfalls jede neue KI-Anwendung oder neue KI-Funktion in bestehender Software sollte einem verbindlichen Freigabeprozess unterliegen. Das gilt besonders dann, wenn personenbezogene Daten, Kundendialoge, HR-Prozesse oder entscheidungsnahe Workflows betroffen sind.

Wer sollte die KI-Policy verantworten?

Die fachliche Verantwortung liegt meist bei Compliance, Datenschutz oder der Geschäftsführung, die operative Pflege oft bei einem interdisziplinären Kreis aus IT, HR und Fachbereichen. Entscheidend ist nicht der Titel, sondern dass Freigaben, Schulung und Updates einen klaren Eigentümer haben.

Braucht jede geschulte Person ein Zertifikat?

Nicht zwingend, aber ein sauberer Schulungsnachweis ist sehr empfehlenswert. Ein Schulungszertifikat, ein bestandener Abschlusstest oder eine gleichwertige Dokumentation helfen dabei, den Schulungsstand nachvollziehbar festzuhalten, ohne einen besonderen Rechtsstatus zu behaupten.

CTA: KI-Policy mit Schulung und Nachweis verbinden

Die beste KI-Policy scheitert, wenn Teams sie nicht verstehen oder neue Tools daran vorbeilaufen. Wenn Sie die Richtlinie zügig ausrollen möchten, kombinieren Sie sie mit unserem Kurs für Unternehmen, klären offene Detailfragen in der FAQ und nutzen den Compliance-Check auf der Startseite, um den Handlungsdruck intern sichtbar zu machen.

Für viele KMU ist genau diese Reihenfolge sinnvoll: Policy verabschieden, Schlüsselrollen schulen, Nachweise versioniert ablegen und neue Tools nur noch über einen klaren Freigabepfad zulassen. So wird aus einer Vorlage ein belastbares Governance-System statt eines einmalig versendeten PDFs.

Quellen

Naechster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, schauen Sie zuerst in den Kurs, die FAQ und unsere Einordnung zur Umsetzung.

Kurs ansehen

Prüfen Sie Aufbau, Lernzeit und Nachweisstruktur des geschützten Kursbereichs.

FAQ aufrufen

Klaeren Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Team kennenlernen

Sehen Sie, wer hinter AI Governance Schulung steht und wie wir Inhalte aufbereiten.

Erstgespräch buchenWeitere Artikel lesen

Autor

AI Governance Schulung

Redaktion

Die Redaktion von AI Governance Schulung bereitet EU-AI-Act-Inhalte für Entscheider, HR und Compliance in klarer, belastbarer Form auf.