KI-Richtlinie: 5 essenzielle Bausteine für den Mittelstand

Eine KI-Richtlinie ist 2026 keine Kür mehr, sondern Pflicht — auch wenn das Wort „Pflicht” in vielen Mittelstandsetagen noch nicht angekommen ist. Während Geschäftsführer überlegen, ob ChatGPT erlaubt sein soll, nutzen laut Logicalis CIO Report 2026 bis zu 90 Prozent der Wissensarbeiter generative KI bereits heimlich am Arbeitsplatz. Nur 37 Prozent der CIOs haben überhaupt Sichtbarkeit darauf, welche KI-Tools im eigenen Haus laufen. Wildwuchs ist also nicht das Risiko der Zukunft — er ist der Status quo der Gegenwart.

Dieser Beitrag zeigt, warum klassische Verbote bei generativer KI ins Leere laufen, was DSGVO, EU AI Act und BSI von einer Unternehmens-KI-Richtlinie verlangen, und wie eine wirksame Richtlinie in fünf Bausteinen aussieht — pragmatisch genug für den Mittelstand, robust genug für ein Audit.

Warum Verbote bei generativer KI nicht funktionieren

Der typische Reflex nach den ersten ChatGPT-Datenlecks war ein E-Mail-Rundschreiben: „Die Nutzung von ChatGPT ist untersagt.” Das Problem an dieser Lösung ist messbar. Die Bitkom-Studie Künstliche Intelligenz in Deutschland 2026 zeigt, dass für 50 Prozent der Unternehmen Datenschutz inzwischen als KI-Innovationsbremse wirkt. Wo das Unternehmen keinen offiziellen Weg anbietet, suchen Mitarbeiter ihn selbst. Bring Your Own AI (BYOAI) heißt das Phänomen — vergleichbar mit der Schatten-IT der frühen 2010er-Jahre, nur in deutlich höherer Geschwindigkeit.

Drei harte Faktoren machen reine Verbote schwach:

1. Produktivitätsdruck. Die Marketing-Mitarbeiterin, die ihren Newsletter-Entwurf in zehn statt sechzig Minuten fertig hat, gibt das Tool nicht freiwillig auf.
2. Unsichtbarkeit. Cloud-KI hinterlässt keine Software-Installation, die ein klassisches Asset-Management erfasst. Browser-Tabs sind kein revisionssicherer Audit-Trail.
3. Konsumerisierung. ChatGPT, Claude und Gemini sind im privaten Alltag normal geworden. Die Trennlinie zur beruflichen Nutzung verschwimmt — wer abends Rezepte erstellt, fragt morgens das Vertragsexposé ab.

Verbote alleine schaffen also genau den Wildwuchs, den sie verhindern sollen. Was wirkt, ist eine klar formulierte KI-Richtlinie, die einen erlaubten Weg definiert und alles andere darum herum sauber abgrenzt.

Was DSGVO, EU AI Act und BSI von Ihrer KI-Richtlinie verlangen

Drei Regelwerke geben den Rahmen für jede Unternehmens-KI-Richtlinie vor. Wer sie ignoriert, riskiert nicht nur Bußgelder, sondern auch den Versicherungsschutz und das Vertrauen seiner Kunden.

DSGVO: Jede Eingabe ist Datenverarbeitung

Aus Sicht der DSGVO ist jeder Prompt an einen externen KI-Dienst eine Datenverarbeitung. Werden personenbezogene Daten eingegeben — und das passiert beim Zusammenfassen einer Kundenmail, beim Übersetzen eines Bewerbungsschreibens oder beim Formulieren einer Vertragsklausel fast immer — gilt zusätzlich das Drittlandstransfer-Regime nach Art. 44 ff. DSGVO. Ohne dokumentierten Auftragsverarbeitungsvertrag, ohne Standardvertragsklauseln, ohne Datenschutz-Folgenabschätzung ist die Nutzung schlicht nicht rechtssicher. Aufsichtsbehörden haben 2025 und 2026 die Prüfintensität in diesem Bereich deutlich erhöht.

EU AI Act: KI-Inventur und Schulungspflicht

Mit dem 2. August 2026 wird der Großteil des EU AI Acts vollständig anwendbar. Bereits seit 2. Februar 2025 gilt die KI-Kompetenzpflicht nach Art. 4 EU AI Act — Unternehmen müssen sicherstellen, dass alle Mitarbeiter, die KI-Systeme nutzen, ein angemessenes Maß an KI-Kompetenz besitzen. Hinzu kommt die Pflicht, eine vollständige Inventur aller eingesetzten KI-Systeme zu führen und sie nach Risikoklassen einzuordnen. Bußgelder reichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes.

BSI: Sicherheits-Mindestanforderungen für generative KI

Das BSI hat sein Management-Blitzlicht zur sicheren Nutzung generativer KI als Leitfaden für Organisationen mit wenig KI-Erfahrung veröffentlicht. Die Kernaussage: Eine sichere KI-Nutzung beginnt nicht beim Tool, sondern bei der Organisation. Das BSI fordert ausdrücklich eine schriftliche Richtlinie, eine Festlegung erlaubter und unzulässiger Datenklassen sowie regelmäßige Schulungen — strukturell deckungsgleich mit der DSGVO-DSFA und dem EU AI Act.

Die 5 essenziellen Bausteine einer wirksamen KI-Richtlinie

Aus diesen drei Anforderungs-Säulen ergibt sich ein klares, mittelstandstaugliches Modell. Eine wirksame KI-Richtlinie für den Mittelstand besteht aus genau fünf Bausteinen — keinem mehr, keinem weniger.

Baustein 1: Tool-Whitelist und Verbots-Liste

Die Richtlinie benennt namentlich, welche KI-Tools im Unternehmen erlaubt sind und welche nicht. Erlaubt sind in der Regel die unternehmensseitig lizenzierten Dienste mit Auftragsverarbeitungsvertrag — typisch Microsoft 365 Copilot in einem korrekt konfigurierten Tenant, ein lokal gehostetes Sprachmodell oder eine über das eigene Rechenzentrum bereitgestellte KI-Plattform. Verboten ist alles ohne AV-Vertrag, also klassisch ChatGPT in der Free- oder privaten Plus-Version, Claude.ai für Privatnutzer und beliebige Browser-Plug-ins.

Baustein 2: Datenklassen mit klaren Erlaubnis-Regeln

Nicht jede Information darf in jedes Tool. Die Richtlinie ordnet die Datenkategorien des Unternehmens — öffentlich, intern, vertraulich, streng vertraulich — den freigegebenen Tools zu. Faustregel: Personenbezogene Daten, Kundenstammdaten, Vertragsentwürfe und Finanzkennzahlen gehören niemals in eine Public-Cloud-KI ohne EU Data Boundary und ohne dokumentierten AV-Vertrag.

Baustein 3: KI-Inventur und Risikoeinstufung

Eine Richtlinie ohne Inventur bleibt Theorie. Der dritte Baustein verpflichtet zu einer vollständigen Aufnahme aller im Unternehmen eingesetzten KI-Systeme — inklusive eingebetteter KI-Funktionen in Bestandssoftware (Microsoft 365, CRM, ERP, HR-Tools). Jedes System wird nach den EU-AI-Act-Risikoklassen eingestuft. Diese Inventur ist die Basis für jede spätere Audit-Anfrage und für die Datenschutz-Folgenabschätzung.

Baustein 4: Schulungspflicht nach Art. 4 EU AI Act

Die Richtlinie definiert, wer wann welches Schulungsniveau braucht. Drei Stufen haben sich bewährt: Basiswissen für alle Mitarbeiter mit KI-Berührung (60–90 Minuten Online), vertieftes Wissen für Power-User (4 Stunden), Fachverantwortung für KI-Verantwortliche und IT (mehrtägig). Schulungen sind dokumentationspflichtig — Teilnehmerlisten, Inhalte, Datum. Wer für NIS2 bereits einen Nachweis aufgebaut hat, kann das Schema eins zu eins übernehmen.

Baustein 5: Review-Zyklus und Verstöße

Eine KI-Richtlinie altert schneller als jede andere Compliance-Regel — der Markt ändert sich monatlich. Der fünfte Baustein definiert deshalb einen formalen Review-Zyklus (mindestens halbjährlich) und einen Eskalationspfad für Verstöße. Sanktionen sind klar benannt: vom Hinweis-Gespräch bei erstmaliger Verletzung bis zu arbeitsrechtlichen Konsequenzen bei wiederholtem Datenschutzverstoß.

KI-Richtlinie einführen: 4 Reflexionsfragen für die Geschäftsführung

Bevor Sie mit dem Schreiben beginnen, beantworten Sie für sich und Ihr Führungsteam vier ehrliche Fragen — sie entscheiden, wie tief Ihr Hebel ansetzen muss.

Fazit: Vom Wildwuchs zum kontrollierten KI-Einsatz

Eine KI-Richtlinie ist 2026 weder Bürokratie noch optionaler Luxus. Sie ist die kürzeste Verbindung zwischen drei Pflichten — DSGVO, EU AI Act und BSI-Empfehlung — und der einzige praktikable Weg, Schatten-KI im Mittelstand zurückzudrängen, ohne Innovation zu blockieren. Fünf Bausteine reichen, wenn sie sauber miteinander verzahnt sind. Wer sie verbindet mit einer ehrlichen Inventur, einer klaren Zuständigkeit und einem halbjährlichen Review, verwandelt Wildwuchs in einen kontrollierten, prüfbaren KI-Einsatz — und gewinnt vor Aufsicht, Versicherung und Kunden gleichzeitig.