KI im Unternehmen:Warum eine interne KI-RichtlinieChefsache ist

Warum KI-Nutzung oft längst begonnen hat

Viele Unternehmen glauben, sie müssten KI erst einführen. In Wahrheit ist KI oft längst da.

Ein Mitarbeiter nutzt ChatGPT für eine E-Mail. Eine Führungskraft lässt sich eine Präsentation strukturieren. Der Vertrieb testet ein KI-Tool für Angebote. HR formuliert Stellenanzeigen mit Unterstützung. Marketing erstellt Texte und Bilder. Controlling lässt Daten zusammenfassen. Projektteams nutzen Transkriptionen. Einzelne Abteilungen experimentieren mit Automatisierungen.

Das ist nachvollziehbar. KI ist praktisch. Schnell. Verführerisch einfach.

Aber genau hier entsteht das Problem. Wenn ein Unternehmen keine Regeln hat, entscheidet jeder selbst: welche Tools genutzt werden, welche Daten eingegeben werden, welche Ergebnisse übernommen werden, welche Quellen geprüft werden und welche Risiken akzeptiert werden.

1. KI ist Governance, nicht nur IT

KI wird häufig in der IT verortet. Das ist zu kurz.

Die IT kann Tools prüfen, Zugänge verwalten, Sicherheit bewerten und technische Vorgaben machen. Aber KI betrifft mehr: Geschäftsführung, Datenschutz, Compliance, HR, Betriebsrat, Fachabteilungen, Vertrieb, Marketing, Einkauf, Recht und Unternehmensstrategie.

KI verändert nicht nur Werkzeuge. KI verändert Entscheidungswege, Informationsqualität, Verantwortung und Kontrolle. Zu klären sind insbesondere:

• Wer entscheidet über den Einsatz von KI-Tools?
• Welche Tools sind erlaubt?
• Welche Tools sind verboten?
• Welche Daten dürfen eingegeben werden?
• Welche Daten dürfen nie eingegeben werden?
• Wer prüft KI-Ergebnisse?
• Wer dokumentiert den Einsatz?
• Welche Prozesse dürfen mit KI unterstützt werden?
• Welche Entscheidungen dürfen nicht automatisiert werden?
• Wann ist Freigabe durch Führung, Datenschutz, IT, Recht oder Betriebsrat erforderlich?
• Wer trägt Verantwortung, wenn ein KI-Ergebnis falsch ist?

KI ist nicht deshalb Chefsache, weil Geschäftsführer jede Anwendung verstehen müssen. KI ist Chefsache, weil Geschäftsführung die Ordnung schaffen muss, in der andere verantwortlich arbeiten können.

2. AI Act und neue Regulierung

Der EU AI Act schafft einen risikobasierten Rechtsrahmen für KI.

Die Verordnung (EU) 2024/1689 wurde am 13. Juni 2024 beschlossen und ist am 1. August 2024 in Kraft getreten. Nach Darstellung der EU-Kommission gelten bestimmte Teile bereits: Verbote bestimmter KI-Praktiken und AI-Literacy-Pflichten seit 2. Februar 2025, Governance-Regeln und Pflichten für General-Purpose-AI-Modelle seit 2. August 2025.

Die EU-Kommission weist außerdem darauf hin, dass der AI Act grundsätzlich ab 2. August 2026 anwendbar sein soll, mit Ausnahmen. Nach der politischen Einigung vom 7. Mai 2026 im Rahmen des AI Omnibus sollen Regeln für bestimmte High-Risk-Bereiche, darunter Biometrics, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrolle, ab 2. Dezember 2027 gelten. Für KI-Systeme in bestimmten Produkten soll der 2. August 2028 relevant werden.

Für Unternehmen bedeutet das nicht, dass jede KI-Nutzung sofort ein Hochrisiko-System ist. Es bedeutet aber: Unternehmen sollten wissen, welche KI-Systeme sie einsetzen, wofür sie eingesetzt werden, welche Rolle das Unternehmen hat und welche Risiken entstehen.

• Welche KI-Systeme werden bereits genutzt?
• Wer ist Anbieter, Betreiber, Nutzer oder Integrator?
• Geht es um reine Textunterstützung, Analyse, Entscheidungsvorbereitung oder automatisierte Entscheidung?
• Werden KI-Systeme in HR, Recruiting, Leistungsbewertung, Kundenprüfung, Kredit, Compliance oder Sicherheit eingesetzt?
• Sind Transparenzpflichten relevant?
• Sind AI-Literacy-Anforderungen organisatorisch umgesetzt?
• Gibt es verbotene Anwendungen?
• Gibt es Dokumentation und Verantwortlichkeiten?
• Wer beobachtet die weitere Entwicklung des AI Act?

Der AI Act ist kein Grund für Lähmung. Aber er ist ein deutlicher Hinweis: KI-Nutzung ohne Inventar, Verantwortlichkeit und Regeln ist nicht mehr zeitgemäß.

Quellen: Verordnung (EU) 2024/1689, EU-Kommission AI Act Timeline, Rat der EU zur politischen Einigung vom 7. Mai 2026

3. Datenschutz und personenbezogene Daten

Viele KI-Risiken beginnen mit einem scheinbar harmlosen Upload.

Eine Kundenliste. Ein Bewerbungsprofil. Ein Protokoll. Eine Personalnotiz. Ein Vertrag. Eine E-Mail. Ein CRM-Auszug. Eine Kranken- oder Leistungsinformation. Ein Screenshot. Ein Gesprächsmitschnitt.

Sobald personenbezogene Daten verarbeitet werden, ist Datenschutz zu prüfen. Je nach Tool und Einsatz können unter anderem Rechtsgrundlage, Zweckbindung, Datenminimierung, Informationspflichten, Auftragsverarbeitung, Drittlandtransfer, Löschung, Sicherheit und Zugriffskontrolle relevant werden.

Art. 28 DSGVO betrifft Auftragsverarbeitung. Art. 32 DSGVO betrifft Sicherheit der Verarbeitung. Je nach Konstellation können auch weitere DSGVO-Vorgaben relevant werden. Eine KI-Richtlinie sollte deshalb klare Datenklassen festlegen:

• öffentlich nutzbare Informationen
• interne Informationen
• vertrauliche Informationen
• personenbezogene Daten
• besondere Kategorien personenbezogener Daten
• Bewerber- und Beschäftigtendaten
• Kunden- und Lieferantendaten
• Vertragsdaten
• Gesundheitsdaten
• Geschäftsgeheimnisse

Die einfache Regel lautet: Was nicht in ein fremdes System gehört, gehört auch nicht in ein KI-Fenster. Das klingt banal. In der Praxis verhindert genau diese Banalität oft den ersten großen Fehler.

Quellen: DSGVO, insbesondere Art. 28 und Art. 32 DSGVO

4. Geschäftsgeheimnisse und vertrauliche Informationen

KI-Tools werden häufig mit genau den Informationen gefüttert, die ein Unternehmen eigentlich schützen müsste.

Strategiepapiere. Kalkulationen. Angebote. Quellcode. Produktideen. Technische Zeichnungen. Kundendaten. Verhandlungsstände. Interne Analysen. M&A-Unterlagen. Gesellschafterinformationen.

Nach § 2 GeschGehG ist ein Geschäftsgeheimnis unter anderem eine Information, die geheim ist, von wirtschaftlichem Wert ist, Gegenstand angemessener Geheimhaltungsmaßnahmen ist und bei der ein berechtigtes Interesse an Geheimhaltung besteht.

Das ist für KI-Nutzung zentral. Denn wenn Mitarbeitende vertrauliche Informationen unkontrolliert in externe KI-Tools eingeben, kann das Geschäftsgeheimnisschutz, Vertraulichkeitspflichten und Vertragsbeziehungen berühren.

• Welche Informationen gelten als vertraulich?
• Welche Informationen gelten als Geschäftsgeheimnisse?
• Welche Informationen dürfen nicht in öffentliche KI-Tools eingegeben werden?
• Welche Tools sind für vertrauliche Informationen freigegeben?
• Welche technischen Schutzmaßnahmen bestehen?
• Welche vertraglichen Schutzmaßnahmen bestehen?
• Wie werden Mitarbeitende geschult?
• Wie werden Verstöße behandelt?
• Wie wird dokumentiert, dass angemessene Geheimhaltungsmaßnahmen bestehen?

Geschäftsgeheimnisse verlieren nicht erst ihren Schutz, wenn jemand sie böse verrät. Manchmal reicht schon ein gut gemeinter Prompt mit falschem Inhalt.

Quelle: § 2 GeschGehG

5. Urheberrecht, Inhalte und Arbeitsergebnisse

KI wird oft für Texte, Bilder, Präsentationen, Code, Übersetzungen, Produktbeschreibungen, Konzepte oder Analysen genutzt.

Dabei stellen sich urheber- und nutzungsrechtliche Fragen. Nicht jede KI-Ausgabe ist automatisch frei von Rechten Dritter. Nicht jede Eingabe darf zur Bearbeitung genutzt werden. Nicht jedes Ergebnis darf ohne Prüfung veröffentlicht, verkauft oder an Kunden weitergegeben werden.

• Welche Inhalte werden in KI-Tools eingegeben?
• Bestehen Rechte Dritter an diesen Inhalten?
• Darf das Unternehmen diese Inhalte verarbeiten lassen?
• Welche Nutzungsbedingungen gelten für das KI-Tool?
• Wer darf KI-generierte Inhalte freigeben?
• Sind Quellen, Zitate oder Fakten geprüft?
• Gibt es Kennzeichnungspflichten?
• Wer haftet bei fehlerhaften oder rechtsverletzenden Inhalten?
• Welche Regeln gelten für Code, Bilder, Marken, Claims und Fachtexte?

KI kann Inhalte beschleunigen. Sie ersetzt aber nicht die Verantwortung für deren Nutzung. Ein Text wird nicht dadurch rechtlich sauber, dass er flüssig klingt.

6. Mitarbeitende, Betriebsrat und Arbeitsorganisation

KI verändert Arbeitsprozesse. Deshalb kann auch Arbeitsrecht relevant werden.

Arbeitgeber sollten regeln, ob und wie Mitarbeitende KI nutzen dürfen. Das betrifft erlaubte Tools, Daten, Prüfungspflichten, Kennzeichnung, Verantwortung und Verbote.

Besteht ein Betriebsrat, können Mitbestimmungsrechte relevant werden. § 87 Abs. 1 Nr. 6 BetrVG betrifft die Einführung und Anwendung technischer Einrichtungen, die dazu bestimmt sind, das Verhalten oder die Leistung der Arbeitnehmer zu überwachen. Je nach KI-Tool, Protokollierung, Auswertung, Monitoring oder Leistungsbezug sollte dies früh geprüft werden.

Auch Schulung und Qualifikation sind wichtig. Der AI Act enthält Anforderungen an AI Literacy. Unternehmen sollten deshalb prüfen, wie Mitarbeitende angemessen für KI-Nutzung sensibilisiert und geschult werden.

• Dürfen Mitarbeitende KI-Tools nutzen?
• Welche Tools sind freigegeben?
• Welche Zwecke sind erlaubt?
• Welche Zwecke sind verboten?
• Müssen KI-Ergebnisse gekennzeichnet werden?
• Müssen KI-Ergebnisse fachlich geprüft werden?
• Wer trägt Verantwortung für Arbeitsergebnisse?
• Werden Nutzungsdaten oder Leistungsdaten erfasst?
• Ist der Betriebsrat zu beteiligen?
• Welche Schulungen sind erforderlich?
• Wie wird Fehlgebrauch behandelt?

KI-Richtlinien sollten Mitarbeitende nicht bevormunden. Sie sollten ihnen eine verlässliche Leitplanke geben. Denn nichts ist unproduktiver als ein Unternehmen, in dem alle KI nutzen, aber niemand weiß, ob es erlaubt ist.

Quellen: § 87 BetrVG, AI Act zu AI Literacy

7. Tool-Auswahl, Verträge und Auftragsverarbeitung

Nicht jedes KI-Tool ist für Unternehmensnutzung geeignet.

Vor Einführung sollten Unternehmen prüfen, welche Vertragsbedingungen gelten, wo Daten verarbeitet werden, ob Eingaben zum Training genutzt werden, welche Sicherheitsstandards bestehen, ob Unterauftragnehmer eingesetzt werden und welche Rechte an Ausgaben bestehen.

Bei bestimmten Konstellationen kann Auftragsverarbeitung nach Art. 28 DSGVO relevant werden. Dann muss ein Vertrag oder anderes Rechtsinstrument die Verarbeitung regeln.

• Wer ist Anbieter des KI-Tools?
• Für welchen Zweck wird das Tool genutzt?
• Welche Daten werden verarbeitet?
• Werden Eingaben zum Training genutzt?
• Wo werden Daten gespeichert?
• Gibt es Drittlandtransfers?
• Gibt es einen Auftragsverarbeitungsvertrag?
• Welche Unterauftragnehmer bestehen?
• Welche Löschfristen gelten?
• Welche Sicherheitsmaßnahmen bestehen?
• Welche Audit- oder Kontrollrechte bestehen?
• Welche Nutzungsrechte an Ergebnissen sind geregelt?
• Welche Haftungsbegrenzungen enthält der Vertrag?

Ein KI-Tool ist nicht dadurch unternehmenstauglich, dass es beeindruckende Antworten liefert. Unternehmenstauglich wird es erst, wenn Vertrag, Daten, Sicherheit und Verantwortung zusammenpassen.

8. Haftung, Kontrolle und Dokumentation

KI-Ergebnisse können falsch, unvollständig, verzerrt, veraltet oder rechtlich problematisch sein.

Deshalb braucht KI-Nutzung im Unternehmen klare Kontrollregeln.

• Welche KI-Ergebnisse müssen geprüft werden?
• Wer prüft fachliche Richtigkeit?
• Wer prüft rechtliche oder regulatorische Risiken?
• Welche Ergebnisse dürfen nicht ungeprüft verwendet werden?
• Darf KI für Entscheidungen über Menschen genutzt werden?
• Wie werden Quellen geprüft?
• Wie werden Prompts und Ergebnisse dokumentiert?
• Wann ist menschliche Freigabe erforderlich?
• Welche Fehler- oder Eskalationsprozesse bestehen?
• Welche Haftungsfragen können gegenüber Kunden, Mitarbeitenden oder Dritten entstehen?

KI kann Arbeit erleichtern. Aber sie unterschreibt nicht. Sie haftet nicht. Sie sitzt nicht im Gespräch mit dem Kunden, wenn etwas schiefgeht. Das Unternehmen bleibt verantwortlich.

9. Was eine interne KI-Richtlinie regeln sollte

Eine gute KI-Richtlinie ist kein 80-seitiges Werk, das niemand liest. Sie muss verständlich, konkret und nutzbar sein.

Sie sollte mindestens folgende Punkte regeln:

• Zweck der KI-Richtlinie
• Geltungsbereich
• erlaubte KI-Tools
• verbotene KI-Tools
• erlaubte Anwendungsfälle
• verbotene Anwendungsfälle
• Datenklassen
• Regeln für personenbezogene Daten
• Regeln für Geschäftsgeheimnisse
• Regeln für Kunden- und Vertragsdaten
• Regeln für Bewerber- und Beschäftigtendaten
• Prüfungspflichten für KI-Ergebnisse
• Kennzeichnungspflichten
• Freigabeprozesse
• Dokumentation
• Betriebsratsfragen
• Tool-Freigabeprozess
• Schulung und AI Literacy
• Umgang mit Fehlern
• Sanktionen bei Verstößen
• regelmäßige Aktualisierung

Eine KI-Richtlinie muss nicht alles verbieten. Sie muss verhindern, dass jeder seine eigene Rechtslage erfindet.

10. Typische Fehler bei KI im Unternehmen

Aus anwaltlicher Sicht wiederholen sich beim KI-Einsatz in Unternehmen bestimmte Muster.

Der letzte Fehler ist erstaunlich häufig. Unternehmen schreiben Regeln, die niemand lesen will, und wundern sich dann, dass alle improvisieren. Gute Governance beginnt nicht mit Papier. Sie beginnt mit Verständlichkeit.

Einordnung von

Lutz Färber

Rechtsanwalt und Senior Legal Advisor

Aus meiner Sicht ist KI im Unternehmen kein Thema für Hysterie. Aber auch keines für Naivität.

Die größte Gefahr liegt nicht darin, dass ein Unternehmen KI nutzt. Die größere Gefahr liegt darin, dass KI längst genutzt wird, ohne dass jemand Verantwortung dafür übernommen hat.

Ein Mitarbeiter lädt einen Vertrag hoch. Eine Führungskraft lässt eine Personalnotiz formulieren. Der Vertrieb nutzt Kundendaten für eine Analyse. Marketing veröffentlicht KI-Inhalte. HR prüft Bewerbungen mit Unterstützung. Jeder meint es gut. Und genau so entsteht manchmal das Problem. Nicht böse. Nicht dramatisch. Einfach ungeordnet.

Eine interne KI-Richtlinie ist deshalb keine Innovationsbremse. Sie ist eine Leitplanke. Sie sagt nicht: Nutzt keine KI. Sie sagt: Nutzt KI so, dass Daten, Menschen, Rechte, Geschäftsgeheimnisse und Verantwortung geschützt bleiben.

Für mich ist das Chefsache. Nicht, weil die Geschäftsführung jeden Prompt freigeben soll. Sondern weil sie entscheiden muss, welche Ordnung im Unternehmen gilt.

KI braucht nicht mehr Lärm. Sie braucht Verantwortlichkeit.

Checkliste für Geschäftsführer

Fazit

KI im Unternehmen ist nicht mehr Zukunft. Sie ist Arbeitsalltag.

Gerade deshalb braucht sie Regeln. Nicht als Innovationsbremse. Nicht als Bürokratieübung. Sondern als Schutz der Handlungsfähigkeit. Unternehmen müssen wissen, welche Tools genutzt werden, welche Daten eingegeben werden dürfen, wer Ergebnisse prüft, welche Freigaben nötig sind, welche Rolle Datenschutz, Betriebsrat, Geschäftsgeheimnisse, Urheberrecht und AI Act spielen und wer Verantwortung trägt.

Aus anwaltlicher Sicht ist die entscheidende Frage nicht: Nutzen wir KI? Die Frage lautet: Nutzen wir KI so, dass das Unternehmen auch morgen noch erklären kann, was es heute getan hat?

Das ist der Kern. Nicht Angst vor Technologie. Sondern Ordnung vor Wirkung.

Häufige Fragen

Über den Autor

Lutz Färber

Rechtsanwalt und Senior Legal Advisor

Lutz Färber begleitet Unternehmer, Unternehmen, Gesellschafter, Geschäftsführer und Leitungsorgane in rechtlichen und strategischen Fragen. Sein Schwerpunkt liegt an der Schnittstelle von Wirtschaftsrecht, unternehmerischer Entscheidung und Verantwortung.

WirtschaftsrechtSenior Legal AdvisorKI-GovernanceKI-RichtlinieAI ActComplianceDatenschutzAuftragsverarbeitungGeschäftsgeheimnisseBetriebsrat