10 min Lesezeit · 15 Jun 2026

Die einseitige KI-Richtlinie für ein DACH-Unternehmen mit 5 bis 50 Personen

Ihre Mitarbeitenden nutzen bereits KI. Die einzige Frage ist, ob sie das einheitlich und sicher tun oder in Consumer-Tools improvisieren, die Sie nicht sehen. Für ein Unternehmen mit 5 bis 50 Personen in Österreich, Deutschland oder der Schweiz brauchen Sie kein 27-seitiges Governance-Handbuch. Sie brauchen eine Seite, die auch gelesen wird, und die Folgendes abdeckt: freigegebene Tools und wie man neue beantragt, welche Daten niemals in welche Tools gehören, eine grundlegende Schulungserwartung (Ihr Anknüpfungspunkt zur KI-Kompetenz nach dem EU AI Act), eine Regel zur menschlichen Prüfung von Output, die Kennzeichnung von Chatbots und KI-Inhalten sowie eine namentlich benannte verantwortliche Person. Eine kopierfertige Vorlage finden Sie weiter unten. Das Ziel ist, sicher zu ermöglichen, nicht zu verbieten, denn ein Verbot verlagert die KI-Nutzung nur in private Accounts, in die Sie keinen Einblick haben.

Dies ist ein praktischer Leitfaden, keine Rechtsberatung. Die regulatorischen Details entsprechen dem Stand Mitte 2026, und einige sind in Bewegung; prüfen Sie sie gegen die offiziellen Quellen, bevor Sie sich darauf verlassen, und lassen Sie alles Entscheidende von Ihrer eigenen Rechtsberatung gegenlesen.

Möchten Sie das auf Ihre Tools angepasst und innerhalb einer Woche unterschriftsreif haben?

Kostenlose Beratung buchen

Warum ein kleines Unternehmen tatsächlich eine braucht

Keine Angstmacherei, nur Realität. Umfragen beziffern die KI-Nutzung unter Wissensarbeitenden auf rund drei Viertel, und die meisten bringen ihre eigenen Tools mit, in kleinen und mittleren Unternehmen noch stärker. Das ist Schatten-KI, und sie ist der Standardzustand, solange Sie keinen bekannten, freigegebenen Weg anbieten. Die Risiken sind konkret: Mitarbeitende haben vertraulichen Code und Kundendaten in Consumer-Chatbots eingefügt, und ungeprüfter KI-Output ist mit realen Folgen bei Kunden und vor Gericht gelandet. Eine einseitige Richtlinie schafft keine Bürokratie. Sie ersetzt unsichtbare, spontane Nutzung durch einen Weg, dem Menschen tatsächlich folgen können.

Es gibt auch einen rechtlichen Anstoß. Die Pflicht zur KI-Kompetenz nach dem EU AI Act (Artikel 4) gilt seit dem 2. Februar 2025 sowohl für Anbieter als auch für Betreiber, also faktisch für jedes Unternehmen, dessen Mitarbeitende KI nutzen. Die Messlatte ist bewusst flexibel: grundlegende, dokumentierte Schulung passend zur Rolle, kein Zertifizierungsprogramm, und es gibt keine eigene Strafe speziell zu Artikel 4, wobei die Durchsetzung ab August 2026 über die nationalen Behörden läuft. Ein Vorschlag zur Abschwächung von Artikel 4 (das Digital Omnibus) kursierte 2026, ist aber noch nicht beschlossen, behandeln Sie die aktuelle Pflicht also als geltend.

Was in die Richtlinie gehört

Acht kurze Abschnitte, jeder mit seiner Daseinsberechtigung.

Abschnitt	Was er besagt
Geltungsbereich und Grundsätze	Wen und was sie abdeckt, plus ein paar klare Grundsätze: Ein Mensch bleibt verantwortlich, Daten schützen, transparent sein, vor dem Verlassen prüfen.
Freigegebene Tools	Eine namentliche Liste erlaubter Tools pro Anwendungsfall und ein einzeiliger Weg, ein neues zu beantragen. Genau das beseitigt Schatten-KI: ein Ja-Weg.
Umgang mit Daten	Was niemals in welche Tools gehört. Consumer- und Gratis-Tarife sind nichts für Unternehmensdaten; ein Business-Tarif mit unterzeichnetem DPA bzw. AVV ist der freigegebene Weg.
KI-Kompetenz	Eine kurze, dokumentierte Erwartung, dass Mitarbeitende eine grundlegende Schulung erhalten. Das ist Ihr Anknüpfungspunkt zu Artikel 4.
Output-Regeln	Verpflichtende menschliche Prüfung; kein ungeprüfter KI-Output im Kundenkontakt sowie in rechtlichen oder finanziellen Kontexten. Ein Vier-Augen-Prinzip für kritische Outputs.
Kennzeichnung	Sagen Sie Menschen, wenn sie mit einem Bot sprechen; kennzeichnen Sie KI-Inhalte, wo vorgeschrieben, mit der unten genannten Ausnahme bei menschlicher redaktioneller Kontrolle.
Eskalation und verantwortliche Person	Eine namentlich benannte verantwortliche Person und ein Ansprechpartner. Ohne Verantwortliche driften Richtlinie und Realität auseinander.
Überprüfungsrhythmus	Mindestens alle sechs Monate überprüfen. Tools und Recht bewegen sich schnell.

Der DACH-Datenschutzteil

Wenn ein Mitarbeitender personenbezogene oder Kundendaten in ein Tool eingibt, entscheidet Ihr Unternehmen über Zweck und Mittel, ist also Verantwortlicher und trägt die DSGVO-Pflichten. Die Nutzung eines externen KI-Anbieters zur Verarbeitung personenbezogener Daten erfordert in der Regel einen Auftragsverarbeitungsvertrag (eine AVV nach Artikel 28), den Consumer-Gratis-Tarife meist nicht anbieten und die zudem mit Ihren Eingaben trainieren könnten, während Business-Tarife einen solchen üblicherweise bieten und Ihre Daten standardmäßig nicht zum Training nutzen. Das revidierte Datenschutzgesetz der Schweiz (revDSG) gilt parallel und wird als technologieneutral verstanden, deckt also auch die KI-Verarbeitung ab. Ein bewegliches Detail, das es hervorzuheben gilt: Anbieterbedingungen ändern sich schnell, beziehen Sie sich daher auf den jeweils aktuellen DPA des Anbieters, statt etwas anzunehmen. Wie diese Regime ineinandergreifen, behandeln wir in wie DSGVO und AI Act für eine DACH-SaaS zusammenspielen.

Die kopierfertige einseitige Vorlage

Einfügen, die Klammern ausfüllen, Unzutreffendes löschen. Sie ist für ein Unternehmen mit 5 bis 50 Personen gebaut, nicht für einen Konzern.

KI-Nutzungsrichtlinie, [Firmenname]
Version [1.0] · Verantwortlich: [Name oder Rolle] · Zuletzt überprüft: [Datum] · Nächste Überprüfung: [+6 Monate]

1. Geltungsbereich und Grundsätze. Dies gilt für alle Mitarbeitenden und Auftragnehmer, die KI-Tools für Arbeiten von [Firma] nutzen. Unsere Grundsätze: Ein Mensch bleibt für jeden Output verantwortlich; wir schützen Kunden-, personenbezogene und vertrauliche Daten; wir sind transparent über den KI-Einsatz; wir prüfen, bevor wir uns verlassen.

2. Freigegebene Tools. Verwenden Sie nur: [zum Beispiel ChatGPT Team oder Enterprise, Microsoft 365 Copilot, Claude for Work]. Verwenden Sie keine privaten oder kostenlosen Accounts für Firmenarbeit. Um ein neues Tool zu beantragen, fragen Sie [Verantwortliche], bevor Sie es nutzen.

3. Datenregeln. Geben Sie in kein nicht freigegebenes Tool ein: personenbezogene oder Kundendaten, vertrauliche oder vertragliche Informationen, Zugangsdaten oder Quellcode. Freigegebene Business-Tools mit unterzeichnetem DPA oder AVV und ohne Training mit unseren Daten dürfen Arbeitsdaten gemäß ihrem Tarif verarbeiten. Im Zweifel fragen Sie [Verantwortliche].

4. Schulung. Alle, die KI nutzen, absolvieren [kurzes Onboarding oder Link] und eine Auffrischung [jährlich]. Fragen Sie [Verantwortliche], wenn Sie unsicher sind, wie ein Tool funktioniert oder wo seine Grenzen liegen.

5. Output-Regeln. KI-Output ist ein Entwurf, niemals eine endgültige Antwort. Eine qualifizierte Person prüft jeden Output vor der Nutzung auf Richtigkeit und Kontext. Bei Inhalten im Kundenkontakt sowie in rechtlichen oder finanziellen Kontexten gilt das Vier-Augen-Prinzip. Senden Sie niemals ungeprüften KI-Output an Kunden oder Behörden.

6. Kennzeichnung. Sagen Sie Menschen, wenn sie mit einem KI-Chatbot interagieren. Kennzeichnen Sie KI-generierte Inhalte, wo vorgeschrieben; Inhalte, die ein Mensch geprüft und für die er die Verantwortung übernommen hat, brauchen keine Kennzeichnung pro Element.

7. Fragen und Eskalation. Verantwortlich: [Name, Rolle, Kontakt]. Melden Sie jedes Datenleck, jeden fehlerhaften Output, der einen Kunden erreicht hat, oder jede "Ist das erlaubt"-Frage sofort. Kein Vorwurf fürs Fragen.

8. Überprüfung. Mindestens alle sechs Monate überprüft und immer dann, wenn sich Tools oder Recht wesentlich ändern. Bestätigt: [Unterschrift oder Freigabe].

"Eine einseitige Richtlinie, die Menschen tatsächlich lesen und befolgen, schlägt ein 27-seitiges Dokument, das in einem Ordner liegt. Die Aufgabe ist nicht, compliant auszusehen. Sie besteht darin, Ihrem Team ein sicheres Ja statt einer unsichtbaren Notlösung zu geben."

Was man bewusst weglässt

Theater ist hier der Feind. Lassen Sie das vage Wunschdenken weg ("KI verantwortungsvoll nutzen" ohne Konkretes), das nur ein falsches Gefühl von Compliance erzeugt. Lassen Sie eine vollständige ISO-42001-Zertifizierung oder einen kompletten NIST-Aufbau zum KI-Risikomanagement weg; beides ist auf Konzernebene angesiedelt und für ein kleines Team unverhältnismäßig, auch wenn sie als Referenzvokabular taugen, falls Sie später wachsen. Lassen Sie lange Risikotaxonomien und erschöpfende Anwendungsfall-Kataloge weg, die niemand pflegt. Und veröffentlichen Sie niemals eine Richtlinie ohne benannte verantwortliche Person oder ohne Überprüfungsdatum, denn beides garantiert, dass sie zur Fiktion wird. Beschränken Sie sich auf die Seite, die gelesen wird.

Häufig gestellte Fragen

Braucht ein kleines Unternehmen eine KI-Richtlinie?

Ja, praktisch gesehen schon. Ihre Mitarbeitenden nutzen bereits KI, oft mit eigenen Tools, und die Pflicht zur KI-Kompetenz nach dem EU AI Act (Artikel 4) gilt seit Februar 2025. Für ein Unternehmen mit 5 bis 50 Personen genügt eine einzige Seite.

Was muss eine KI-Richtlinie nach dem EU AI Act enthalten?

Der AI Act schreibt keine Vorlage vor, aber Artikel 4 erwartet, dass Mitarbeitende über ausreichende KI-Kompetenz verfügen, und Artikel 50 erwartet ab August 2026 Transparenz bei Chatbots und KI-Inhalten. Decken Sie grundlegende Schulung plus Kennzeichnung ab, und Sie sind ausgerichtet.

Dürfen Mitarbeitende ChatGPT bei der Arbeit nutzen?

Ja, in einem freigegebenen Business- oder Enterprise-Tarif, der nicht mit Ihren Daten trainiert und einen DPA bietet. Vermeiden Sie kostenlose oder private Accounts für Firmen- oder personenbezogene Daten.

Ist das kostenlose ChatGPT für Kundendaten DSGVO-konform?

Im Allgemeinen nein. Die Consumer-Tarife Free und Plus trainieren standardmäßig möglicherweise mit Eingaben und bieten keinen DPA bzw. AVV, sind also für personenbezogene oder Kundendaten ungeeignet.

Was ist der Unterschied zwischen Consumer- und Business-KI-Tarifen?

Business-Tarife trainieren standardmäßig nicht mit Ihren Daten, bieten einen DPA mit Standardvertragsklauseln und geben Kontrolle über die Speicherdauer. Genau das macht sie für Unternehmensdaten geeignet. Anbieter-Standardeinstellungen ändern sich, prüfen Sie daher die aktuellen Bedingungen.

Müssen wir KI-generierte Inhalte kennzeichnen?

Ab August 2026 müssen manche KI-Inhalte offengelegt werden, aber Text, den ein Mensch prüft und für den er die redaktionelle Verantwortung übernimmt, ist ausgenommen. Interne Entwürfe brauchen keine Kennzeichnung.

Wer sollte in einem kleinen Unternehmen für die KI-Richtlinie verantwortlich sein?

Eine namentlich benannte Person, oft der Inhaber, die Betriebsleitung oder der IT-Ansprechpartner. Eine Richtlinie ohne Verantwortliche driftet von der Realität ab.

Was ist die Pflicht zur KI-Kompetenz nach dem EU AI Act (Artikel 4)?

Seit dem 2. Februar 2025 müssen Anbieter und Betreiber sicherstellen, dass Mitarbeitende über ein ausreichendes Maß an KI-Kompetenz verfügen, abgestuft nach Rolle und Kontext. Es gibt keine eigene Strafe speziell zu Artikel 4; die Durchsetzung läuft ab August 2026 über die nationalen Behörden. Ein Abschwächungsvorschlag existiert, ist aber noch nicht Gesetz.

Gibt es eine kostenlose deutsche KI-Richtlinie-Vorlage?

Ja. Die WKO bietet eine kostenlose Ausfüll-Vorlage für KMU, und auch deutsche Stellen veröffentlichen Leitfäden. Die einseitige Vorlage oben ist ein fertiger DACH-Ausgangspunkt, den Sie anpassen können.

Reicht eine einseitige Richtlinie wirklich aus?

Für 5 bis 50 Personen ja. Eine kurze Richtlinie, die gelesen und befolgt wird, schlägt eine lange, die ignoriert wird, und Sie können sie jederzeit erweitern, wenn Sie wachsen.

Fazit

Eine KI-Richtlinie für ein kleines DACH-Unternehmen ist kein Compliance-Projekt. Sie ist eine einseitige Vereinbarung, die Ihrem Team einen sicheren, bekannten Weg gibt, die Tools zu nutzen, die es ohnehin bereits nutzt.

Benennen Sie die freigegebenen Tools, ziehen Sie eine harte Linie um Daten, setzen Sie eine Regel zur menschlichen Prüfung, verweisen Sie auf eine grundlegende Schulung, benennen Sie eine verantwortliche Person und überprüfen Sie das Ganze zweimal im Jahr. Das genügt, um die Pflichten zu erfüllen, die Sie tatsächlich betreffen, und um zu verhindern, dass vertrauliche Daten in einen privaten Account abfließen. Schreiben Sie die Seite, die gelesen wird, und halten Sie sie aktuell, während sich die Tools und das Recht bewegen.

Möchten Sie Hilfe dabei, das in Ihre echte, freigegebene Richtlinie zu verwandeln?