KI-Richtlinie für Unternehmen: Inhalte und Vorlage

Eine KI-Richtlinie (KI-Policy) ist die von der Geschäftsführung freigegebene, dokumentierte Vorgabe, die regelt, wie KI im Unternehmen eingesetzt werden darf - und wie nicht. Sie definiert Geltungsbereich, erlaubte und verbotene Nutzung, Datenschutz und Vertraulichkeit, genehmigte Tools, die Kennzeichnung von KI-Inhalten, Verantwortlichkeiten, Schulung sowie Folgen bei Verstößen. Nach ISO/IEC 42001:2023 ist sie über Klausel 5.2 und das Annex-A-Control A.2.3 ein Pflichtdokument und bildet den Rahmen für alle messbaren KI-Ziele.

• Pflicht, nicht Kür: Ohne dokumentierte, von der Geschäftsführung freigegebene KI-Richtlinie ist keine ISO-42001-Zertifizierung möglich (Klausel 5.2 / Control A.2.3).
• Konkret statt floskelhaft: Eine generische Richtlinie (\"Wir nutzen KI verantwortungsvoll\") ist laut Auditpraxis 2024-2026 eine der häufigsten Beanstandungen - sie muss abhakbar und durchsetzbar sein.
• Eingebettet, nicht isoliert: Sie muss mit bestehenden Richtlinien zu Informationssicherheit, Datenschutz, Ethik und HR abgestimmt sein (Control A.2.2).

Wozu eine KI-Richtlinie - und wo sie in ISO 42001 verankert ist

Klausel 5.2 von ISO/IEC 42001 verlangt, dass die oberste Leitung eine dokumentierte KI-Richtlinie etabliert, die zum Zweck der Organisation passt, einen Rahmen für KI-Ziele liefert und eine Selbstverpflichtung zur Erfüllung anwendbarer Anforderungen sowie zur kontinuierlichen Verbesserung enthält. Das Annex-A-Control A.2.3 verstärkt dies und fordert eine dokumentierte, von der Leitung freigegebene Richtung. A.2.2 verlangt die Abstimmung mit anderen Unternehmensrichtlinien, A.2.4 die regelmäßige Überprüfung.

Die Logik dahinter ist eine Kaskade: Die Richtlinie (5.2) gibt den Rahmen für messbare KI-Ziele (6.2) vor, die wiederum über das Monitoring (9.1) und die Managementbewertung (9.3) überwacht werden. Eine Richtlinie ohne anschließende, messbare Ziele bleibt wirkungslos - und wird im Audit beanstandet.

Pflichtinhalte einer KI-Richtlinie

Eine im DACH-Raum belastbare KI-Richtlinie deckt nach ISO-42001-Praxis folgende Bausteine ab. Sie eignen sich direkt als abhakbare Gliederung.

Erlaubte und verbotene Nutzung

Dies ist das Herzstück für den Arbeitsalltag. Für KI-Agenten sollte die Richtlinie ausdrücklich die Autonomiestufen festlegen - read-only, empfehlend, handeln mit Freigabe, autonom handeln - sowie Tool-Use-Grenzen, Eskalations- und Human-in-the-Loop-Regeln und die Diversität der Modell-Anbieter. Verbotene Use-Cases gehören explizit benannt, etwa keine autonome Rechtsberatung oder keine autonome Personalentscheidung ohne menschliche Kontrolle (HITL). Control A.9.4 ist hier entscheidend: Wird ein Agent außerhalb seines vom Anbieter erklärten Verwendungszwecks genutzt, kann das nach EU AI Act Art. 25 als wesentliche Änderung gelten und löst eine neue Folgenabschätzung aus.

Datenschutz und genehmigte Tools

Die Richtlinie muss regeln, welche Daten in Prompts, Retrieval-Systeme oder Trainingsdaten fließen dürfen. Genehmigte Tools werden samt Anbieter gelistet; über Control A.10.3 ist eine dokumentierte Due-Diligence zu Zertifizierungen (ISO 27001, SOC 2 Type II, ISO 42001), Datenschutz-Posture, Subprozessoren und Modell-Deprecation-Policys vorgesehen. Eine veraltete Tool-Liste oder ein nicht geführtes Anbieter-Register zählen zu den am häufigsten beanstandeten Punkten.

Kennzeichnung von KI-Inhalten

Transparenz ist ein Kernprinzip aus Annex C.2. Control A.8.2 fordert Systemdokumentation und Informationen für Nutzer - Model Cards, Instructions for Use, Aussagen zu Fähigkeiten und Grenzen. Das deckt sich eng mit EU AI Act Art. 13 (Transparenz / Information für Nutzer). Die Richtlinie sollte regeln, wann und wie KI-generierte oder KI-unterstützte Inhalte gekennzeichnet werden.

Schulung und KI-Kompetenz

Klausel 7.2 (Kompetenz) und 7.3 (Bewusstsein) verlangen Nachweise, dass Mitarbeitende mit aktiven KI-Rollen geschult sind. Dies knüpft direkt an EU AI Act Art. 4 (KI-Kompetenz) an. In Agenten-Deployments ist genau dieser Nachweis ein häufiger Schwachpunkt, weil Kompetenz über die rein technischen Teams hinaus oft nicht belegt wird.

ISO 42001 und EU AI Act - die Brücke

ISO 42001 ist kein harmonisierter Standard und erzeugt keine Konformitätsvermutung mit dem EU AI Act. Sie gilt jedoch als die stärkste organisatorische Grundlage zur AI-Act-Vorbereitung. Für die Richtlinie sind vor allem zwei Artikel relevant: Art. 4 (KI-Kompetenz) wird über die Klauseln 7.2/7.3 abgebildet, Art. 13 (Transparenz/Information für Nutzer) über die Controls A.8.2 und A.8.5. Die Selbstverpflichtung zur Einhaltung anwendbarer Vorschriften (DSGVO, EU AI Act, branchenspezifische Regulierung) gehört ausdrücklich in den Text.

Hinweis: Dieser Beitrag dient der fachlichen Orientierung und ersetzt keine Rechtsberatung. Konkrete Pflichten, Artikelbezüge und Fristen sind im Einzelfall rechtlich zu prüfen.

Vorlage: abhakbare Gliederung einer KI-Policy

```
KI-Richtlinie [Unternehmen] - Version x.y - Freigabe [Datum/Geschäftsführung]

1. Zweck & Geltungsbereich

• erfasste KI-Systeme/Agenten und Bereiche
  
• Rolle: Anbieter / Betreiber / beide
  

2. Leitprinzipien (menschl. Aufsicht, Transparenz, Fairness, Datenschutz, Sicherheit, Robustheit)
3. Rollen & Verantwortlichkeiten (Leitung, AI Officer/AIMS-Manager, Control-Owner)
4. Erlaubte Nutzung

• Autonomiestufen je Anwendungsfall
  
• Tool-Use-Grenzen, Eskalation/HITL
  

5. Verbotene Nutzung (Negativliste, z. B. autonome Personal-/Rechtsentscheidung)
6. Datenschutz & Vertraulichkeit (zulässige Daten in Prompts/Retrieval)
7. Genehmigte Tools & Anbieter (+ Anbieter-Due-Diligence A.10.3)
8. Kennzeichnung von KI-Inhalten (Transparenz, Model Cards, Instructions for Use)
9. Risiko- & Folgenabschätzung (Selbstverpflichtung)
10. Schulung & KI-Kompetenz (Plan, Turnus)
11. Verstöße & Durchsetzung (Konsequenzen, Meldekanal)
12. Selbstverpflichtung zu Recht (DSGVO, EU AI Act) & kontinuierl. Verbesserung
13. Review-Rhythmus, Versionskontrolle, Freigabesignaturen
    ```

Praxisbeispiel: messbare Ziele und Schulungs-Attestierung

Eine Richtlinie wirkt erst über messbare Ziele nach Klausel 6.2. Ein DACH-Mittelständler (Blueprint ISO-A, 500-2.000 Mitarbeitende) konkretisiert seine Policy etwa so:

• Kompetenz (Klausel 7.2 + AI Act Art. 4): \"Alle Beschäftigten mit aktiver KI-Rolle absolvieren jährlich eine KI-Kompetenz-Schulung; 100 % Attestierung.\"
• Transparenz: \"100 % der Hochrisiko-Agenten verfügen bis Q3 über eine aktuelle Model Card und ein nutzerseitiges Instruktionsblatt.\"
• Abdeckung: \"100 % der produktiven KI-Agenten sind binnen 14 Tagen nach Go-live im KI-Inventar registriert und einer Risikoklasse zugeordnet.\"

Solche Ziele machen die Richtlinie auditfähig und schließen die Lücke zwischen Anspruch und Nachweis - genau dort, wo generische Policys scheitern.

Für Agenturen und B2B

Für Marketing-Agenturen ist eine KI-Richtlinie doppelt relevant: intern als Nachweis für die eigene Kompetenz nach AI Act Art. 4, extern als Vertrauenssignal in Pitches und Ausschreibungen - DAX-, SMI- und ATX-Kunden fragen KI-Governance zunehmend in RFPs ab. Für B2B-Entscheider ist die Policy der erste, kostengünstige Schritt einer ISO-42001-Reise (Gesamtbudget Blueprint ISO-A: EUR 50.000-150.000, 9-12 Monate, Stand 2026): Sie lässt sich in der Policy-Stack-Phase in vier bis acht Wochen erstellen und legt das Fundament für Risiko-, Folgen- und Lifecycle-Prozesse. Wir unterstützen bei der Erstellung einer abhakbaren, durchsetzbaren KI-Policy und der Anbindung an messbare Ziele - ohne Floskeln, mit Blick auf Auditfähigkeit.