Fachartikel·Einführung & Praxis

KI-Richtlinie für Mitarbeiter: Template auf einer Seite (mit Erklärung)

Eine KI-Richtlinie für mittelständische Unternehmen passt auf eine DIN-A4-Seite. Komplette Vorlage zum Anpassen, plus Erklärung jeder Regel und der häufigsten Stolperfallen.

Nico MeyerNico MeyerGeschäftsführer Code15 GmbH06. Mai 2026 8 Min. Lesezeit

Compliance-Abteilungen lieben es, KI-Richtlinien auszuarbeiten – und schreiben dabei manchmal Dokumente von 30+ Seiten, die Mitarbeitende nie lesen. Das Ergebnis: formal abgehakt, faktisch wirkungslos. Schatten-KI-Nutzung läuft weiter, weil niemand verstanden hat, was eigentlich erlaubt ist.

Dieser Artikel zeigt das Gegenmodell: eine KI-Richtlinie auf einer DIN-A4-Seite, die jede Mitarbeiterin und jeder Mitarbeiter in zwei Minuten liest und in der Praxis tatsächlich anwenden kann. Plus die Begründung jeder Regel und die häufigsten Stolperstellen aus 2026.

Sie können die Vorlage direkt kopieren und auf Ihr Unternehmen anpassen.

Vorlage: KI-Richtlinie Unternehmensname, Stand Monat Jahr

KI-RICHTLINIE [UNTERNEHMENSNAME] – Stand: [Monat Jahr]

Diese Richtlinie beschreibt, wie wir KI im Arbeitsalltag nutzen.
Sie ist für alle Mitarbeitenden verbindlich. Bei Fragen wenden Sie sich an [Ansprechperson].

1. WAS IST UNSERE OFFIZIELLE KI?
   Wir nutzen [Plattformname] als interne KI-Plattform. Sie finden sie unter [URL].
   Daten, die Sie dort eingeben, verlassen unser Unternehmen NICHT.
   Der Zugang erfolgt mit Ihrem üblichen Login.

2. WAS DARF IN DIE OFFIZIELLE KI?
   Sie dürfen alle dienstlichen Inhalte verwenden, an denen Sie ohnehin arbeiten:
     - E-Mails formulieren oder zusammenfassen
     - Dokumente analysieren, übersetzen, umformulieren
     - Mit unseren eigenen Akten / Verträgen / Dokumenten arbeiten
     - Code-Aufgaben, Excel-Aufgaben, Recherche
   Bei Mandanten-/Kundendaten: erlaubt – sie verlassen die Plattform nicht.

3. WAS DARF NICHT IN ÖFFENTLICHE KI (ChatGPT, Claude, Gemini, Copilot, …)?
   Niemals dort eingeben:
     - Mandanten- oder Kundendaten (Namen, Akten, Verträge, Korrespondenz)
     - Personaldaten (Gehälter, Beurteilungen, Bewerber)
     - Strategische Unterlagen (Pricing, M&A, Roadmaps)
     - Quellcode mit Geschäftslogik
     - Zugangsdaten, API-Schlüssel, Passwörter
   Allgemein-zugängliche Inhalte (öffentliche Texte, generelle Wissensfragen) dürfen Sie weiterhin in öffentlichen KI-Tools nutzen.

4. WAS GILT, WENN ICH UNSICHER BIN?
   Frage [Ansprechperson] (Slack/Teams/E-Mail) ODER nutze die offizielle Plattform – die ist immer sicher.

5. WIE WIRD DAS GEPRÜFT?
   Die offizielle Plattform protokolliert für Audit-Zwecke (NIS2/DSGVO):
   wer hat wann welche Frage gestellt, welche Quellen wurden genutzt.
   Persönliche Browser-Verläufe oder private Geräte werden NICHT überwacht.

6. WAS PASSIERT BEI VERSTÖSSEN?
   Bei unbeabsichtigten Verstößen: Meldung an [Ansprechperson], gemeinsame Lösung, keine Sanktion.
   Bei wiederholten/vorsätzlichen Verstößen mit sensiblen Daten: arbeitsrechtliche Konsequenzen sind möglich.

7. WAS, WENN DIE OFFIZIELLE KI NICHT REICHT?
   Sprechen Sie [Ansprechperson] an. Wir können neue Datenquellen anbinden oder einzelne
   Spezialfälle freigeben.

Freigegeben durch Geschäftsführung am [Datum].
[Unterschrift]

Vorlage an Ihre Organisation anpassen?

Wir prüfen Ihre KI-Richtlinie in 30 Minuten und schlagen konkrete Anpassungen vor – ohne Verkaufsgespräch.

Mit Nico sprechen oder Nachricht schreiben

Warum diese sieben Punkte – und nichts mehr

Jeder Punkt der Vorlage adressiert ein konkretes Praxisproblem aus 2026. Hier die Begründung im Detail:

Punkt 1 – Was ist unsere offizielle KI?

Mitarbeitende fragen sich nicht, ob sie KI nutzen sollen, sondern welche. Wenn die Antwort auf diese Frage nicht in Satz eins steht, gewinnt ChatGPT. Eine offizielle Plattform mit Login-URL, klar genannt, ist das stärkste Anti-Schatten-KI-Signal.

Punkt 2 – Was darf in die offizielle KI?

Der häufigste Fehler in defensiven Richtlinien: zu viele Verbote, zu wenige Erlaubnisse. Mitarbeitende lesen das und nutzen vorsichtshalber gar keine offizielle Plattform – sie greifen weiter zu ChatGPT, weil sie sich von dort weniger abgehört fühlen.

Lösung: explizit listen, was erlaubt ist – inklusive sensibler Daten. Das funktioniert nur, wenn die Plattform datenschutzrechtlich tatsächlich sauber aufgesetzt ist (Stichwort Private-KI-Leitfaden).

Punkt 3 – Was darf nicht in öffentliche KI?

Konkrete Negativ-Liste statt abstraktem „nichts Vertrauliches". Ohne diese Liste bleibt unklar, was eigentlich gemeint ist – und Mitarbeitende treffen die Entscheidung individuell, oft falsch.

Wichtig: nicht die öffentliche KI komplett verbieten. Mitarbeitende, die ChatGPT für allgemeine Fragen nutzen, ist okay. Sie zu zwingen, dafür auch eine Inhouse-Plattform zu öffnen, demotiviert.

Punkt 4 – Was gilt, wenn ich unsicher bin?

Die einfache Regel: „Im Zweifel die offizielle Plattform" entkoppelt das Mitarbeitenden-Hirn vom Risikomanagement-Denken. Statt „Ist das jetzt ein Berufsgeheimnis-Fall?" reicht der Reflex: ist es etwas Dienstliches und ich bin unsicher → offizielle Plattform.

Punkt 5 – Wie wird das geprüft?

Transparenz statt Misstrauen. Mitarbeitende vermuten ohnehin Audit-Logging – wenn die Richtlinie es nicht erwähnt, wirkt es heimlich. Wer es offen kommuniziert (mit klarer Abgrenzung „private Geräte werden nicht überwacht"), nimmt der Plattform den Big-Brother-Verdacht.

Punkt 6 – Was passiert bei Verstößen?

Ohne Sanktions-Klarheit ist die Richtlinie zahnlos. Mit zu harten Sanktionen wird sie totes Recht.

Die Zwei-Stufen-Logik (versehentlich = Hilfe, vorsätzlich/wiederholt mit sensiblen Daten = möglicherweise arbeitsrechtlich relevant) trifft die meisten realen Fälle. Wichtig: das „melden, gemeinsame Lösung, keine Sanktion" für versehentliche Verstöße. Sonst werden Vorfälle versteckt – das ist deutlich gefährlicher als die ursprüngliche Schatten-Nutzung.

Punkt 7 – Was, wenn die offizielle KI nicht reicht?

Die Plattform wächst mit dem Bedarf. Wenn Mitarbeitende keinen offiziellen Pfad haben, Lücken zu melden, weichen sie wieder aus. Ein einfacher Kanal („sprich Ansprechperson an") schließt diese Lücke.

Drei häufige Fehler bei KI-Richtlinien

In 2026 sehen wir drei wiederkehrende Anti-Pattern:

  1. Die Floskel-Richtlinie. Sie spricht von „verantwortungsvoller KI-Nutzung", „Compliance mit geltendem Recht" und „Sensibilität für Datenschutz". Inhalt: null. Wirkung: null.
  2. Die Verbotsschilder-Richtlinie. Sie listet 25 Dinge, die nicht erlaubt sind, ohne irgendetwas explizit zu erlauben. Wirkung: Mitarbeitende meiden das Thema komplett – auch dort, wo KI sicher und sinnvoll wäre.
  3. Die statische Richtlinie. Sie wurde 2024 verabschiedet und nicht mehr angefasst. Aber 2026 gibt es neue Modelle, neue Schatten-KI-Patterns und neue Vorgaben (NIS2). Eine KI-Richtlinie ist ein lebendes Dokument und sollte mindestens einmal pro Jahr aktualisiert werden, mit Datum.

Wer freigibt – und in welcher Reihenfolge

Vor der Veröffentlichung sollten folgende Funktionen zumindest informiert sein:

  • Geschäftsführung: freigibt formal (Unterschrift im Dokument).
  • Datenschutzbeauftragte/r: prüft DSGVO-Konformität, ergänzt Verarbeitungsverzeichnis.
  • IT-Leitung: bestätigt technische Plattform-Verfügbarkeit und Audit-Log.
  • Betriebsrat (wenn vorhanden): Mitbestimmung bei Mitarbeiter-Richtlinien. Frühe Einbindung verhindert späte Blockade.
  • Personalabteilung: Integration in Onboarding und ggf. Zielvereinbarungen.

Reihenfolge: erst Datenschutz und IT-Leitung (technisch-rechtliche Korrekturen), dann Betriebsrat, dann Geschäftsführungs-Freigabe. Personal informiert kommt parallel zur Veröffentlichung.

Wie Sie die Richtlinie kommunizieren

Eine veröffentlichte Richtlinie, die niemand liest, ist wirkungslos. Drei Kanäle parallel sind 2026 Standard:

  • Direkter Versand an alle Mitarbeitenden mit kurzem Anschreiben durch die Geschäftsführung (3–4 Sätze: Warum, was sich ändert, an wen man sich wendet).
  • Onboarding-Slot für Neue: 15-Minuten-Intro mit Demo der offiziellen Plattform.
  • Lunch-and-Learn nach 30 Tagen: ein bestehender Pilotnutzer zeigt, wie er die Plattform nutzt. Nichts überzeugt mehr als ein Kollege, der seine 90-Minuten-Zeitersparnis demonstriert.

Kostenloses Workbook

30-Tage-KI-Pilot-Workbook für den Mittelstand

Strukturierter Wochen-Plan, Erfolgskriterien-Vorlage, Stakeholder-Sheet und Pilot-Beschluss-Template – fertig zum Ausfüllen.

  • Use-Case-Discovery-Worksheet mit Bewertungsachsen
  • 4-Wochen-Sprint-Plan mit Tagesaufgaben
  • Pilot-Beschluss DIN-A4-Vorlage
  • KPI-Tracking-Sheet

Workbook anfordern

Keine Spam-Mails, keine Weitergabe an Dritte. Datenverarbeitung gemäß Datenschutz .

Wo Sie als Nächstes weiterlesen

Wer die Richtlinie an die eigene Organisation anpassen möchte oder eine Moderation für die Freigabe-Schleife sucht: Direkt mit Nico Meyer, werktags 9–18 Uhr.

Nico Meyer

Autor

Nico Meyer

Geschäftsführer Code15 GmbH

Gründer von Code15. Baut seit 10+ Jahren Software für den Mittelstand – heute mit Fokus auf Private KI, RAG-Systeme und sichere KI-Einführung in regulierten Branchen.

Mehr von Nico

Private KI für Unternehmen: Sprechen Sie mit Nico

Direkt mit dem Gründer. Ohne Verkaufsgespräch, werktags 9–18 Uhr. Wir besprechen, ob und wie Private KI in Ihrem Unternehmen Sinn ergibt.

Direkt mit Nico Meyer sprechen
Lieber schreiben? Nachricht senden Termin selbst wählen
Mehr Details: Private KI für Unternehmen

Mehr aus dieser Säule

Leitfaden

KI im Mittelstand einführen: Das 30-Tage-Playbook

Strukturierter Fahrplan für Geschäftsführung und IT-Leitung, um KI im eigenen Unternehmen produktiv und sicher einzuführen – ohne 12-Monats-Pilotprojekt und ohne Beratungs-Hängematte.

15 Min. Lesezeit Fachartikel

KI-Workshop für Geschäftsführer: Agenda und Vorlage zum Mitnehmen

Der 3-Stunden-Workshop, mit dem Geschäftsführung Klarheit über KI-Use-Cases, Risiken und nächste Schritte gewinnt. Inkl. ausführlicher Agenda zum Selbst-Anwenden.

9 Min. Lesezeit