In vielen Unternehmen gehören ChatGPT, Microsoft Copilot oder ähnliche KI-Tools – ob mit offizieller Erlaubnis oder nicht, mittlerweile zum Arbeitsalltag. Bereits seit dem 2. Februar 2025 verpflichtet Sie die EU-KI-Verordnung dazu, dafür zu sorgen, dass diese Nutzung kompetent und sicher erfolgt. Unabhängig davon, ob Sie fünf oder 250 Beschäftigte haben.
Die unbequeme Wahrheit: Die meisten Unternehmen haben dafür bislang keine schriftliche Regelung. Weder, welche Tools erlaubt sind, noch, was Mitarbeitende eingeben dürfen – und was nicht. Genau diese Lücke schließt eine KI-Richtlinie.
Warum betrifft die KI-Richtlinie auch mein Unternehmen?
Künstliche Intelligenz ist in deutschen Betrieben längst Alltag. Laut Bitkom KI-Studie 2026 setzen bereits 41 Prozent der deutschen Unternehmen KI-Tools ein – Tendenz steigend. Gleichzeitig zeigt eine Analyse von Cyberhaven: Rund ein Drittel aller Eingaben von Beschäftigten in KI-Tools enthält sensible Daten. Nightfall AI ermittelte, dass etwa 5 Prozent der Mitarbeitenden dabei sogar vertrauliche Firmendaten eingeben – Kundendaten, Verträge, Quellcode.
| Kennzahl | Wert | Quelle |
| Unternehmen, die bereits KI-Tools nutzen | 41 % | Bitkom KI-Studie 2026 |
| Eingaben in KI-Tools mit sensiblen Daten | rund 35 % | Cyberhaven-Analyse 2025 |
| Mitarbeitende, die vertrauliche Firmendaten eingeben | rund 5 % | Nightfall AI |
| Unternehmen: rechtliche Unsicherheit als größtes KI-Hemmnis | 53 % | Bitkom |
| KI-Kompetenzpflicht (Art. 4 KI-VO) in Kraft seit | Feb. 2025 | VO (EU) 2024/1689 |
Wie schnell das eskalieren kann, zeigt ein bekannter Fall: 2023 gaben Ingenieure bei Samsung innerhalb weniger Wochen an drei Stellen vertraulichen Quellcode und interne Besprechungsprotokolle in ChatGPT ein. Die Daten waren danach unwiderruflich auf fremden Servern. Samsung ist ein Großkonzern – das Prinzip trifft aber jedes Unternehmen, das KI ohne Regeln einsetzt: Ein Mitarbeiter, der schnell eine Kundenliste auswerten oder einen Vertragsentwurf prüfen lassen will, denkt in dem Moment nicht an Datenschutz oder Geschäftsgeheimnisse. Er denkt an die Deadline.
Reicht nicht schon unsere DSGVO-Richtlinie?
Ein verbreiteter Einwand: „Wir haben doch schon eine Datenschutzrichtlinie.“ Die deckt aber nur personenbezogene Daten ab – nicht Geschäftsgeheimnisse, Quellcode oder Konstruktionspläne, die genauso in einem KI-Tool landen können.
Ein zweiter Einwand: „Wir nutzen KI ja nur für E-Mails.“ Erfahrungsgemäß bleibt es selten dabei. Ohne klare Regeln wandert die Nutzung schrittweise in sensiblere Bereiche – Angebote, Verträge, interne Auswertungen. Ohne dass jemand das aktiv entschieden hätte.
Und selbst wenn Ihr KI-Einsatz heute vorsichtig ist: Die Kompetenzpflicht aus Art. 4 KI-Verordnung verlangt einen Nachweis, keine gute Absicht. Ohne dokumentierte Richtlinie und Schulung fehlt im Zweifel genau dieser Nachweis.
Was gehört in eine KI-Richtlinie?
Keine zehn Seiten Juristendeutsch. Eine gute KI-Richtlinie beantwortet für Ihre Mitarbeitenden vier einfache Fragen: Welche Tools dürfen wir nutzen? Was dürfen wir eingeben – und was nicht? Wer prüft die Ergebnisse? Und: Wann muss ein KI-generierter Inhalt gekennzeichnet werden (Art. 50 KI-VO)?
Neu in der Security Awareness Toolbox: Vorlage KI-Richtlinie mit Erläuterungen?
Genau diesen Rahmen liefert die neu in der Security Awareness Toolbox enthaltene Vorlage für eine KI-Richtlinie – mit Freigabeprozess, Nutzungsregeln, Kennzeichnungspflicht und einer Checkliste zur Einführung.
Ergänzend dazu enthält die Security Awareness Toolbox Schulungsmodul „Datenschutz und KI“, das Ihre Mitarbeitenden für den sicheren Umgang mit KI-Tools sensibilisiert – inklusive Test und Teilnahmenachweis für die Dokumentationspflicht.
Die EU-KI-Verordnung verlangt nämlich folgendes: Nach Art. 4 müssen Sie „nach besten Kräften“ dafür sorgen, dass Ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen – abgestimmt auf technische Vorkenntnisse, Erfahrung, Ausbildung und den jeweiligen Einsatzkontext. Ein festes Schulungsformat schreibt die Verordnung nicht vor. Entscheidend ist, dass Sie die Maßnahme nachweisen können.
Vorschau Vorlage KI-Richtlinie für Unternehmen
Sie möchten einen Blick hinter die Kulissen der Security Awareness Toolbox werfen?
Kein Problem. Vereinbaren Sie einfach eine kostenlose 30-minütige Online-Demo mit 14-Tage-Testzugang.
In der Online-Demo erfahren Sie mehr über:
- die Entstehungsgeschichte der Security Awareness Toolbox (unsere eigene Cyberattacke)
- weshalb die Security Awareness Toolbox speziell für kleine und mittlere Unternehmen konzipiert wurde
- die wichtigsten Bestandteile der Security Awareness Toolbox
- wie wir Sie dabei unterstützen, mit der Security Awareness Toolbox die Mitarbeitersensibilisierung zu Datenschutz und Datensicherheit zu verbessern
👉 Jetzt kostenlose Demo vereinbaren
Weshalb Sie genau jetzt starten sollten
Drei Gründe, warum jetzt der richtige Zeitpunkt ist:
- Die KI-Kompetenzpflicht gilt bereits – nicht erst ab August 2026, wenn die Marktüberwachung startet.
- Cyberversicherer fragen zunehmend nach dokumentierten Schulungsnachweisen, auch für KI-Nutzung.
- Und: Je länger KI ohne Regeln im Betrieb läuft, desto schwerer wird es, sie nachträglich einzufangen.
Denn Sie wissen ja: Wer heute zögert, zahlt morgen drauf!
Häufig gestellte Fragen zur KI-Richtlinie
Ist eine KI-Richtlinie gesetzlich vorgeschrieben?
Gilt die KI-Kompetenzpflicht auch für kleine Unternehmen?
Was passiert, wenn wir keine Richtlinie haben?
Quellen
• Bitkom: KI-Studie 2026 (bitkom.org)
• Cyberhaven: AI Adoption and Risk Report 2025 (cyberhaven.com)
• Nightfall AI: Analyse zu vertraulichen Daten in ChatGPT-Eingaben
• Verordnung (EU) 2024/1689 (KI-Verordnung), Art. 4 und Art. 50