Blogserie Nachhaltigkeit to go KI-Richtlinie KMU

Nachhaltigkeit To Go: KI-Richtlinien für KMU (inkl. Vorlage)

Allgemein, Nachhaltigkeit to go / Von

Blog für praxisorientiertes Wissen und Erfahrungen zur Förderung von mehr Nachhaltigkeit in kleinen und mittelständischen Unternehmen (KMU).

KI im KMU: In 10 Minuten zur ersten Richtlinie (inkl. Vorlage)

KI-Richtlinie KMU – was jetzt wichtig zu wissen ist:

Künstliche Intelligenz ist im Büroalltag angekommen – egal, ob sie offiziell eingeführt wurde oder Mitarbeitende bereits „einfach so“, teilweise mit privaten Accounts (ChatGPT, Copilot & Co.), damit arbeiten. Oft passiert das lange bevor es klare Regeln im Unternehmen gibt. Genau dadurch entstehen Risiken, etwa wenn sensible Daten oder vertrauliche Interna unkontrolliert in externe KI-Dienste eingegeben werden.

Seit Inkrafttreten des EU AI Act (KI-Verordnung) gilt: Unternehmen, die KI-Systeme einsetzen oder betreiben, müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt – das steht ausdrücklich in Artikel 4 („KI-Kompetenz“). Weitere Infos: https://www.digitalzentrum-fokus-mensch.de/kos/WNetz?art=News.show&id=2809

Das ist ein Baustein digitaler Nachhaltigkeit: Corporate Digital Responsibility. Es geht darum, technologische Chancen zu nutzen und gleichzeitig Datenschutz, Fairness und Transparenz ernst zu nehmen – auch, weil der AI Act für Unternehmen jeder Größe, also auch für KMU, verbindliche Anforderungen schafft. Notwendig ist dafür kein 40-seitiges Regelwerk, sondern klare, verständliche Leitplanken.

Dieser Beitrag beantwortet die wichtigsten Fragen rund um KI-Richtlinien im KMU und bietet dir:

  • die drei wichtigsten Grundregeln für den KI-Einsatz im Team
  • eine Mini-Vorlage für die erste KI-Richtlinie
  • eine Einordnung, was rechtlich Pflicht ist und was „Good Practice“ ist
  • Links zu vertiefenden, rechtlich geprüften Muster-Richtlinien

Pflicht oder Kür? Was der AI Act wirklich verlangt

Der AI Act schreibt nicht wörtlich vor, eine „KI-Richtlinie“ als Dokument zu erstellen, verpflichtet aber dazu, KI-Kompetenz im Unternehmen sicherzustellen.

  • Artikel 4 AI Act („KI-Kompetenz“) verlangt von Anbietern und Betreibern von KI-Systemen, Maßnahmen zu ergreifen, „um nach besten Kräften sicherzustellen, dass Mitarbeitende und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.
  • Seit 2025 gilt diese Pflicht praktisch für alle Unternehmen, die in der EU KI entwickeln oder einsetzen – explizit auch für kleine und mittlere Unternehmen.

Praktisch bedeutet das:

  • Pflicht ist, nachweisbar etwas zu tun, damit Mitarbeitende KI kompetent und verantwortungsvoll nutzen, etwa durch Schulungen, interne Regeln und klare Zuständigkeiten.
  • Eine schriftliche KI-Richtlinie ist kein ausdrückliches Muss, aber ein naheliegender Baustein von KI-Compliance: Sie dokumentiert, welche Regeln gelten und wie Sorgfaltspflichten erfüllt werden.

Stark regulierte Branchen wie der Finanzsektor, das Gesundheitswesen oder die Industrie arbeiten schon länger mit KI- oder Algorithmus-Richtlinien, weil dort hohe Anforderungen an das Risiko- und Compliance-Management gelten. Mit dem AI Act verschiebt sich das Thema nun in die Breite – vom Handwerksbetrieb über die Agentur bis zum Bildungs- oder Beratungsunternehmen, das KI in der täglichen Arbeit einsetzt.

Rechtlicher Kurzüberblick

Der AI Act verlangt nicht ausdrücklich ein Dokument mit der Überschrift „KI-Richtlinie“. Für Unternehmen, die Hochrisiko-KI in Produkten oder Dienstleistungen einsetzen, sind aber ein dokumentiertes Risiko- und Qualitätsmanagementsystem Pflicht, inklusive interner Regeln und Verfahren. Für alle anderen Unternehmen, die KI „nur“ intern nutzen (z. B. Copilot, Chatbots, Assistenztools), ist eine schriftliche KI-Richtlinie der pragmatischste Weg, um die Anforderungen aus Art. 4 AI Act zur KI-Kompetenz sowie Transparenz- und Dokumentationspflichten nachvollziehbar zu erfüllen.

Die drei goldenen Regeln für den KI-Alltag

Bevor Formulierungen für eine Richtlinie entstehen, sollten drei Grundregeln geklärt sein:

  1. Datenschutz
    Keine personenbezogenen Daten von Kund:innen oder Mitarbeitenden, keine vertraulichen Geschäftsgeheimnisse und keine internen Strategie- oder Finanzinformationen in frei zugängliche, öffentliche KI-Systeme eingeben (zum Beispiel kostenlose Web-Chatbots wie ChatGPT, Gemini etc. ohne Unternehmenslizenz). Hintergrund ist, dass dort wenig Kontrolle über Ort, Dauer und Zweck der Datenverarbeitung besteht.
  2. Faktencheck („Human in the loop“)
    KI-Tools können sachlich falsch, unvollständig oder verzerrt sein, oft in sehr überzeugendem Ton. Artikel 4 macht deutlich, dass KI-Kompetenz auch die Fähigkeit einschließt, Ergebnisse kritisch einzuordnen. Die Verantwortung liegt stets bei der Person, die Inhalte prüft, freigibt und nach außen trägt.
  3. Transparenz
    Wenn Inhalte maßgeblich durch KI entstanden sind, sollten sie als solche kenntlich gemacht werden. Transparenz wird im Kontext des AI Act und in vielen Branchenleitfäden als Kernprinzip verantwortungsvoller KI-Nutzung gesehen und stärkt Vertrauen bei Kund:innen, Partnern und Mitarbeitenden.

Sind diese drei Regeln intern verstanden, lässt sich darauf eine konkrete Richtlinie aufbauen.

Öffentliche vs. Enterprise-KI: Warum die Unterscheidung wichtig ist

Für KMU ist eine klare Unterscheidung wichtig zwischen den beiden Varianten:

  • Öffentliche, frei zugängliche KI-Tools
    Dazu gehören kostenlose Web-Chatbots oder frei verfügbare Online-Dienste ohne spezifischen Unternehmensvertrag. Häufig fehlen hier detaillierte Vereinbarungen zu Datenverarbeitung, Speicherort und Zweckbindung, was die Nutzung für personenbezogene Daten oder Geschäftsgeheimnisse datenschutzrechtlich riskant macht.
  • Enterprise-/Business-Lösungen
    Hier bestehen Verträge mit klar geregelter Datenverarbeitung, etwa in Form von Auftragsverarbeitungsverträgen. Oft gibt es Zusagen zu Speicherort, Löschkonzepten und zur Nichtverwendung von Eingaben für das Modelltraining. Risiken werden dadurch verringert, die Pflicht zu Schulung, KI-Kompetenz und internen Regeln bleibt aber bestehen.

Eine Richtlinie sollte diese Unterscheidung klar benennen:

  • Mitarbeitende verstehen besser, warum der „schnelle Copy-Paste in den kostenlosen Chatbot“ problematisch ist.
  • Gleichzeitig wird sichtbar, dass Art. 4 AI Act ernst genommen und durch konkrete organisatorische Maßnahmen umgesetzt wird.

10-Minuten-Vorlage: deine erste KI-Richtlinie

Die folgende Vorlage kann als Schulungsunterlage oder in Form einer internen Arbeitsanweisung in ein Intranet, ein Team-Notizbuch oder an ein Schwarzes Brett übernommen und an die eigene Organisation angepasst werden. Sie ersetzt keine individuelle Rechtsberatung, ist aber ein pragmatischer Einstieg in KI-Compliance.

KI-LEITLINIE FÜR [UNTERNEHMENSNAME]

1. Zweck und Geltungsbereich
Diese Leitlinie regelt den verantwortungsvollen Einsatz von Künstlicher Intelligenz (KI) in unserem Unternehmen. Sie gilt für alle Mitarbeitenden sowie für freie Mitarbeitende, die in unserem Auftrag tätig werden. Ziel ist es, rechtliche Anforderungen – insbesondere aus der EU-KI-Verordnung (AI Act), Art. 4 „KI-Kompetenz“ – sowie unsere eigenen Werte zu beachten.

2. Zulässige KI-Tools
Wir unterscheiden zwischen öffentlichen KI-Diensten und Enterprise-/Business-Lösungen:

  • Öffentliche, frei zugängliche KI-Dienste (z. B. kostenlose Web-Chatbots ohne Unternehmenslizenz) dürfen nur für allgemeine, nicht vertrauliche Anfragen genutzt werden.
  • Bevorzugt nutzen wir von der Geschäftsführung/IT freigegebene Enterprise-Lösungen: [z. B. Microsoft Copilot, ChatGPT Enterprise, spezialisierte Fach-Tools].
    Die Nutzung privater Accounts für dienstliche Zwecke ist [erlaubt / untersagt]. Wenn erlaubt, gelten die Regeln dieser Leitlinie entsprechend.

3. Datenschutz und Vertraulichkeit
Die Eingabe folgender Informationen in öffentliche KI-Dienste ist untersagt:

  • jegliche personenbezogene Daten (z. B. Namen, E-Mail-Adressen, Telefonnummern, Kundennummern),
  • vertrauliche Kundendaten,
  • interne Strategie-, Finanz- und Vertragsunterlagen sowie sonstige Geschäftsgeheimnisse.
    Auch bei Enterprise-Lösungen ist vor jeder Nutzung zu prüfen, ob die Eingabe dieser Daten erforderlich und im Rahmen der jeweiligen Vertrags- und Datenschutzregelungen zulässig ist. Im Zweifel ist Rücksprache mit [z. B. Datenschutzbeauftragte:r / Geschäftsführung] zu halten.

4. Qualität, Verantwortung und Faktencheck
Inhalte, die mit Unterstützung von KI erstellt wurden, müssen immer durch eine fachkundige Person geprüft werden. Dies umfasst insbesondere Richtigkeit, Vollständigkeit, Tonalität und rechtliche Angemessenheit.
Die Verantwortung für alle Ergebnisse, die nach außen gegeben oder intern verbindlich genutzt werden, liegt bei der Person, die den Inhalt freigibt – nicht beim KI-System.

5. Kennzeichnung nach außen
Öffentlich verwendete Inhalte (z. B. Website, Newsletter, Präsentationen, Angebote), die maßgeblich mit Unterstützung von KI entstanden sind, werden mit einem Hinweis wie „Erstellt mit Unterstützung von KI“ gekennzeichnet – soweit dies dem Medium angemessen ist.

6. Schulung und KI-Kompetenz
Wir fördern den verantwortungsvollen und kompetenten Umgang mit KI im Sinne von Art. 4 AI Act. Dazu gehören regelmäßige Informationen zu Chancen und Risiken sowie bedarfsorientierte Schulungen.
Bei Fragen zur Nutzung von KI-Tools oder zur Auslegung dieser Leitlinie ist [Name/Rolle, z. B. Geschäftsführung / Datenschutz / IT] Ansprechpartner:in.

Version
Diese Leitlinie ist Version 1.0 und wird bei Bedarf angepasst, insbesondere wenn sich rechtliche Rahmenbedingungen oder die eingesetzten KI-Tools ändern.

Weiterführende Muster und Leitfäden

Wer die eigene KI-Richtlinie über eine kompakte Erstversion hinaus ausbauen möchte, kann auf bestehende Muster zurückgreifen. Die IHK stellt beispielsweise eine ausführliche Muster-KI-Richtlinie als Word-Dokument zur Verfügung, die sich besonders für formelle Dienstanweisungen eignet:
https://www.ihk.de/blueprint/servlet/resource/blob/6644920/f6ce0e19333d88d09fe6368d8c9068b4/muster-ki-richtlinie-data.docx

Guideline online erstellen

Die Wirtschaftskammer Österreich (WKO) bietet mit den „KI-Guidelines für KMU“ einen praxisnahen Leitfaden mit Muster-Guidelines für Mitarbeitende, der bereits mit Blick auf den EU AI Act aktualisiert wurde – auch als online Formular:
Übersichtsseite: https://www.wko.at/digitalisierung/ki-guidelines-fuer-kmu
Direkter PDF-Download: https://www.wko.at/oe/digitalisierung/kmu-ki-guidelines.pdf

Ergänzend liefern Mittelstand-Digital-Zentren und ähnliche Initiativen Leitfäden und Checklisten, um KI-Strategie, Toolauswahl und Qualifizierung im Unternehmen Schritt für Schritt zu planen – ideal, wenn aus der 10-Minuten-Richtlinie später ein umfassenderes KI-Management entstehen soll. Ein guter Einstieg sind zum Beispiel die Materialien der Digitalzentren (z. B. für Handel, Handwerk oder regionale Mittelstandsinitiativen), die auf den jeweiligen Projektwebseiten verlinkt sind.

Wer heute schon eine KI-Richtlinien hat und warum

  • In stark regulierten Branchen wie Finanzdienstleistungen, Versicherungen und Gesundheitswesen sind KI- und Algorithmus-Richtlinien bereits weit verbreitet, weil dort umfangreiche Vorgaben zu Risiko-, Datenschutz- und Compliance-Management gelten.
  • Große Konzerne und Beratungsunternehmen nutzen KI-Richtlinien als Teil ihrer Governance-Strukturen, inklusive Schulungskonzepten, Dokumentation und Prüfprozessen.

Für KMU steigt der Druck vor allem durch:

Viele kleine und mittlere Unternehmen beginnen aktuell, einfache KI-Richtlinien mit Schulungsangeboten und Checklisten zu kombinieren – als pragmatischen Einstieg, der später zu einem umfassenderen KI-Management weiterentwickelt werden kann.

Fazit: Welche Fragen dieser Artikel beantwortet hat

Dieser Beitrag zeigte, warum KI-Richtlinien für KMU seit dem EU AI Act kein „Nice-to-have“ mehr sind, sondern ein wichtiger Baustein verantwortungsvoller Unternehmensführung. Er erklärte, welche rechtlichen Pflichten insbesondere aus Artikel 4 AI Act zur KI-Kompetenz von Mitarbeitenden entstehen und wann zusätzliche Governance- und Dokumentationspflichten greifen, etwa beim Einsatz von Hochrisiko-KI in Produkten oder Dienstleistungen.

Lesende haben erfahren, ob für ihr Unternehmen bereits eine faktische Pflicht zur KI-Richtlinie besteht, wie sich die Nutzung öffentlicher KI-Tools von Enterprise-Lösungen unterscheidet und welche Risiken sich daraus für Datenschutz und Geschäftsgeheimnisse ergeben. Der Beitrag beantwortet außerdem die Frage, welche Mindestregeln für den Alltag mit KI im Team sinnvoll sind (Datenschutz, Faktencheck, Transparenz) und liefert eine konkrete Kurzvorlage, wie eine erste KI-Richtlinie in weniger als 10 Minuten formuliert werden kann. So dient der Artikel als praxisnaher Einstieg für KMU, die klären wollen, wie sie KI rechtssicher, effizient und im Sinne digitaler Nachhaltigkeit in ihrem Unternehmen einsetzen können.

Rückfragen & Unterstützung

Du hast Rückfragen zu diesem Thema oder zu bestimmten Informationen in diesem Beitrag?

Du suchst konkrete Unterstützung bei Nachhaltigkeitsberichten?

Dann lass es mich wissen und schreibe mir eine Email mit deinem Anliegen unter:
hallo (ät) sarahnock (punkt) de
Ich melde mich mit konkreten Informationen bei dir persönlich zurück.

In der Blogserie „Nachhaltigkeit To Go“ erhältst Du praxisorientierte Tipps und Strategien, um nachhaltige Maßnahmen erfolgreich in Deinem Unternehmen umzusetzen. Jeder Beitrag bietet leicht verständliche Anleitungen, konkrete Beispiele und hilfreiche Vorlagen, die nicht nur helfen, Nachhaltigkeitsziele zu erreichen, sondern auch die gesetzlichen Berichtspflichten effizient zu erfüllen und gleichzeitig Eure Unternehmenskultur zu stärken.

Related Posts

de_DEGerman
de_DEGerman
Nach oben scrollen