Dieser Beitrag erschien zuerst in unserem Newsletter am 30. Juli 2025.

Im letzten Newsletter haben wir uns mit dem 1. Schritt der Vorbereitung der KI-Richtlinie beschäftigt (hier nachzulesen).

Im 2. Schritt geht es nun um den eigentlichen Entwurf der KI-Richtlinie.

Die Antwort: Der zentrale rechtliche Baustein ist die KI-Richtlinie.

Was muss ich zur KI regeln?

Wie wir im Newsletter #1 bereits dargelegt haben, soll die KI-Richtlinie als Teil des Compliance-Systems das Unternehmen und die Geschäftsführung schützen, indem Rechtsverstöße vermieden werden.

Damit das gelingt, müssen die Beschäftigten, an die sich die KI-Richtlinie richtet, verstehen, was sie beim Einsatz von KI beachten müssen.

Deshalb sollte die KI-Richtlinie in möglichst einfacher Sprache geschrieben sein und möglichst konkrete Anweisungen enthalten.

Für die einfache Verständlichkeit empfehlen wir auch, die KI-Richtlinie mit einem Allgemeinen Teil zu beginnen, in dem zunächst allgemeine Regelungen aufgestellt werden. Danach folgt der Besondere Teil, in dem dann für den konkreten Fall die Nutzung des jeweiligen KI-Systems individuell geregelt wird.

Was regelt man nun in der KI-Richtlinie? Hier sind einige Vorschläge unsererseits, die sich typischerweise als sinnvoll erwiesen haben.

Allgemeiner Teil:

1. Präambel

Die Präambel sollte kurz und knapp die wesentlichen Zielrichtungen der KI-Richtlinie beschreiben. Es bietet sich hier auch an, die Brücke zwischen dem Einsatz von KI im Unternehmen und den gelebten Unternehmenswerten zu schlagen.

2. Geltungsbereich

Ein wesentlicher Bestandteil der KI-Richtlinie ist der Geltungsbereich. Hier sollten drei Fragen klar beantwortet werden:

1. Für wen soll die KI-Richtlinie gelten? (Persönlicher Geltungsbereich)
2. Für welche KI-Systeme soll die KI-Richtlinie gelten? (Sachlicher Geltungsbereich)
3. Wann soll die KI-Richtlinie gelten? (Zeitlicher Geltungsbereich)

3. Definitionen

Verständlichkeit muss an erster Stelle stehen, damit die KI-Richtlinie von den Beschäftigten auch gelebt werden kann. Dies ist gerade im KI-Komplex eine große Herausforderung, denn sowohl juristische als auch informationstechnologische Fachbegriffe sind keine Seltenheit. Diese sollten durch Definitionen geklärt werden. Dabei sollten Sie sich an den gesetzlichen Definitionen orientieren.

4. Ansprechpartner und Zuständigkeiten

Die KI-Richtlinie ist der zentrale und erste Anlaufpunkt für die Beschäftigten. Deshalb sollten in der KI-Richtlinie Ansprechpartner genannt werden, wenn Beschäftige Fragen zum Einsatz von KI haben. Kommunizieren Sie auch klar, wer bei Unklarheiten oder offenen Fragen zuständig ist und wie diese Personen kontaktiert werden können.

Zum Beispiel:

• Wie erreicht man den Datenschutzbeauftragten?
• Gibt es eine Anlaufstelle speziell für Fragen zur IT-Sicherheit?
• Wer ist (ggf. innerhalb der Rechtsabteilung) für rechtliche Fragen etwa zum Urheberrecht zuständig?

5. KI-Nutzung nur mit Erlaubnis des Arbeitgebers

Es sollte klar geregelt werden, dass die Nutzung von KI-Tools zu betrieblichen Zwecken nur mit ausdrücklicher (vorheriger) Erlaubnis des Arbeitgebers gestattet ist. Die meisten Beschäftigten werden zwar KI-Systeme nur verwenden und nicht selbst neue KI-Systeme einführen wollen. Wenn letzteres aber doch einmal vorkommt und um die entsprechende Innovationskraft zu fördern, sollte ein Prozess  im Unternehmen etabliert werden, wie die Erlaubnis des Arbeitgebers für neue KI-Systeme beantragt werden kann.

6. Zugriffskonzept

Der Zugriff auf Unternehmensdaten durch KI-Systeme muss in zweierlei Hinsicht geregelt werden:

1. Welche Beschäftigten erhalten wie Zugang zu KI-Systemen, die den Zugriff auf Unternehmensdaten ermöglichen?
2. Welche KI-Systeme erhalten Zugriff zu welchen Unternehmensdaten?

Dies kann sich etwa an dem bestehenden Zugriffskonzept für IT-Systeme orientieren und kann ggf. darauf verweisen.

7. Verbot der Privatnutzung betrieblicher KI-Systeme

Wir empfehlen die Privatnutzung betrieblicher KI-Systeme zu untersagen. Wenn Beschäftigte KI-Systeme (oder IT-Systeme allgemein) auch privat nutzen, fallen dort personenbezogene Daten der Beschäftigten an. Dies kann dazu führen, dass sich betriebliche und private Daten nicht mehr trennen lassen und der Zugriff auch auf die betrieblichen Daten durch den Arbeitgeber – z.B. nach dem Ausscheiden des Beschäftigten aus dem Arbeitsverhältnis – datenschutzrechtlich nicht mehr möglich ist. Wenn Privatnutzung dennoch gewünscht ist, sollten Sie dies ausdrücklich regeln. Es bietet sich dann an, trotzdem im Allgemeinen Teil die Privatnutzung zu untersagen und nur punktuell für einzelnen KI-Systeme ausnahmsweise zuzulassen.

8. Verbot der Nutzung privat beschaffter KI-Systeme

Die Nutzung von privaten KI-Systemen (und Accounts) für betriebliche Zwecke sollten Sie ebenfalls untersagen und nur ausnahmsweise nach vorheriger Prüfung für einzelnen KI-Systeme zulassen. Das sonst auftretende Phänomen der sogenannten „Schatten-KI“ führt dazu, dass Sie keinerlei Überblick mehr haben, welche KI-Systeme eingesetzt werden. Dies gefährdet sowohl Ihre rechtliche Compliance wie auch die IT-Sicherheit Ihres Unternehmens.

9. Einsatzzwecke 

Ein zentraler Bestandteil der KI-Strategie des Unternehmens sollte die Frage sein, in welchen Prozessen und zu welchen Zwecken KI eigentlich eingesetzt werden soll. Ein blinder Einsatz von KI, ohne klare Zielsetzung, wird nicht sinnvoll sein. Daher brauchen Führungskräfte Klarheit darüber, was konkret mit dem KI-Einsatz erreicht werden soll. Das Ergebnis dieser Überlegungen sollte sich hier in allgemeiner Art widerspiegeln, während die konkreten Zwecke in den individuellen Anweisungen im besonderen Teil abgebildet werden sollten.

10. Datenschutz

Grundsätzlich gilt im Umgang mit KI hinsichtlich des Datenschutzes nichts anderes, als beim Einsatz von anderen IT-Tools auch: Die DSGVO und die übrigen Datenschutzgesetze müssen eingehalten werden. Wenn man hier bereits auf eine interne Datenschutzrichtlinie verweisen und auf einem dahinter stehenden Datenschutzkonzept aufbauen kann, ist das vorteilhaft. Andernfalls raten wir dazu, ein grundsätzliches Verbot der Eingabe von personenbezogenen Daten z.B. in Chatbots aufzustellen. Wenn keine besonderen Gründe dagegen sprechen, empfehlen wir auch automatisierte Entscheidungen mittels KI nach Art. 22 DSGVO zu untersagen.

11. Geschäftsgeheimnisse; sensible Unterlagen

In der Regel wird man Geschäftsgeheimnisse und andere sensible Unterlagen nicht in offene KI-Systeme geben wollen. Der Grund ist einfach: Diese landen auf den Servern der Anbieter und verlassen damit unwiederbringlich den Einflussbereich des Unternehmens. Um das den Beschäftigten klar zu machen, sollten Sie regeln, welche Unterlagen und Unternehmensdaten von der KI-Nutzung ausgenommen sein sollen.

12. Compliance mit der KI-Verordnung

Nach Artikel 5 der Verordnung (EU) 2024/1689 (kurz „KI-VO“) sind bestimmte KI-Praktiken verboten. Dies sollten Sie Ihren Beschäftigten bewusst machen, insbesondere hinsichtlich derjenigen Praktiken, die in Ihrem konkreten Unternehmen naheliegend sind (z.B. KI-Systeme zur Ableitung von Emotionen einer Person am Arbeitsplatz). Desweiteren muss vor dem Einsatz eines KI-Systems geprüft werden, ob es sich um ein Hochrisiko-KI-System handelt. Sie sollten deshalb Regelungen in die KI-Richtlinie aufnehmen, die die Beschäftigten darüber aufklären, nach welchem Prozess die Prüfung abläuft und an wen sie sich wenden können, wenn sie vermuten, dass es sich bei einem KI-System um ein Hochrisiko-KI-System handeln könnte. Schließlich ist der Arbeitgeber verpflichtet, sicherzustellen, dass seine Beschäftigten über ein angemessenes Maß an KI-Kompetenz verfügen, wenn diese KI-Systeme nutzen (Art. 4 KI-VO). Hierzu sollten Sie regeln, welche Vorkenntnisse Beschäftigte mitbringen oder welche Schulungen sie abgeschlossen haben müssen, um KI-Systeme nutzen zu dürfen. Hinsichtlich einzelner KI-Systeme können hier im Besonderen Teil spezifische Regelungen getroffen werden.

13. Hinweise auf sonstige gesetzliche Regelungen

Eine Richtlinie sollte nach unserem Verständnis so konkrete Anweisungen geben wie möglich. Abstrakte Hinweise auf Gesetze  z.B. auf die DSGVO oder die KI-VO oder die bloße Wiedergabe von einzelnen Normen werden in der Regel nicht gelesen oder nicht verstanden. Trotzdem kann es im Einzelfall sinnvoll sein, einzelne gesetzliche Regelungen hervorzuheben, etwa im Umgang mit Hochrisiko-KI oder verbotenen KI-Praktiken. Branchenspezifische Besonderheiten sollten Sie dabei hervorheben (insbesondere wenn Ihr Unternehmen besonderen regulatorischen Anforderungen unterliegt).

14. Hinweis auf Haftung und Rechtsfolgen bei Verstößen gegen die KI-Richtlinie

Wird die KI-Richtlinie nicht gelebt, ist sie das Papier nicht wert, auf dem sie steht. Daher sollte Sie auch darauf hingewiesen, dass die KI-Richtlinie verbindlich ist und die Missachtung arbeitsrechtliche Folgen haben kann.

Besonderer Teil:

Konkrete Anweisungen für einzelne KI-Systeme:

1. [Am Beispiel von:] ChatGPT Pro

a) Beschreibung des KI-Systems:

[…]

b) Geltungsbereich:

Voller Geltungsbereich gemäß KI-Richtlinie

c) Zuständigkeiten

Zuständigkeiten gemäß KI-Richtlinie

d) Erlaubnis des Arbeitgebers

Gemäß Erlaubnis Prozess geregelt in der KI-Richtlinie

e) Privatnutzung 

Untersagt

f) Einsatzzwecke

Verbesserung und Anpassung der Texte von Social Media und Blog Beiträgen

g) Datenschutz

Verbot der Eingabe von personenbezogenen Daten im Chat

h) Geschäftsgeheimnisse/Sensible Unterlagen

Verbot der Eingabe von Geschäftsgeheimnissen/sensiblen Unterlagen

i) Sonstige gesetzliche

Urheberrecht: Erhöhte Vorsicht im Umgang mit Urheberrechtlich geschützten Material, bei Zweifeln Rücksprache mit Legal

2. […]

Nun haben Sie idealerweise einige Ideen, um Ihre eigene KI-Richtlinie zu entwerfen.

Im nächsten Newsletter geht es weiter mit dem  3. Schritt: Der Bekanntmachung der KI-Richtlinie. Hier soll die Frage beantwortet werden „Wie kommuniziere ich diese Regeln, damit sie gelten?”

Wir bedanken uns für das Lesen unseres Newsletters und freuen uns auf Ihr Feedback (gerne an kanzlei@stegerpfahler.de).

Ihr

RA Dejan Steger
RA David Pfahler