Interne KI-Richtlinie: Pflicht und Praxis für Unternehmen

Art. 4 EU AI Act verpflichtet Betreiber und Anbieter zur Sicherstellung ausreichender KI-Kompetenz ihrer Mitarbeitenden. Art. 26 regelt Pflichten der Betreiber, die ohne schriftliche interne Regelungen kaum nachweisbar sind. Darüber hinaus schaffen KI-Systeme neue Haftungsrisiken: Wer haftet, wenn eine KI-Entscheidung zu einem Schaden führt? Eine klare Richtlinie schützt das Unternehmen und gibt Mitarbeitenden Sicherheit im Umgang mit KI-Tools.

Folgende Inhalte sollte jede KI-Richtlinie abdecken: Anwendungsbereich (welche Systeme, welche Abteilungen), Definition von KI im Unternehmenskontext, Klassifizierungsverfahren für neue KI-Systeme, Genehmigungsprozess für KI-Beschaffung, Pflichten der Mitarbeitenden beim KI-Einsatz, Transparenz gegenüber Kunden und Betroffenen, Datenschutz und DSGVO-Schnittstellen, Meldepflichten bei Vorfällen, Schulungsanforderungen, Überprüfungsintervall der Richtlinie.

Eine bewährte Struktur für KMU umfasst: 1. Zweck und Geltungsbereich. 2. Definitionen (KI-System, Hochrisiko, Betreiber, Anbieter). 3. KI-Governance-Struktur (Verantwortlichkeiten). 4. KI-Inventar und Klassifizierung. 5. Genehmigungsverfahren für neue KI-Systeme. 6. Pflichten beim Betrieb von KI-Systemen. 7. Schulung und Kompetenzanforderungen. 8. Transparenz und Kennzeichnungspflichten. 9. Vorfallmanagement. 10. Überprüfung und Aktualisierung.

KMU sollten die Richtlinie pragmatisch halten – eine 5-seitige klare Richtlinie ist wertvoller als ein 50-seitiges Dokument, das niemand liest. Integrieren Sie die KI-Richtlinie in bestehende Compliance-Strukturen (ISO 27001, DSGVO-Dokumentation). In der Schweiz beachten: Das revidierte DSG gilt parallel, eine KI-Richtlinie sollte DSG-konform sein. In Deutschland empfiehlt sich eine Abstimmung mit dem Betriebsrat, sofern Mitarbeitende von KI-Systemen betroffen sind (BetrVG § 87).

Die KI-Richtlinie darf nicht isoliert betrachtet werden. Datenschutz: Jedes KI-System, das personenbezogene Daten verarbeitet, braucht eine DSGVO-Rechtsgrundlage und ggf. eine DSFA. Arbeitsrecht: KI-gestützte Mitarbeiterüberwachung oder -bewertung unterliegt in Deutschland der Mitbestimmung (§ 87 Abs. 1 Nr. 6 BetrVG). Haftung: Klären Sie vertraglich mit KI-Anbietern, wer bei Fehlfunktionen haftet. Vergaberecht (öffentliche Stellen): Besondere Anforderungen an Transparenz und Diskriminierungsfreiheit.

Eine Richtlinie entfaltet nur Wirkung, wenn sie bekannt ist und gelebt wird. Empfohlene Maßnahmen: Pflicht-Onboarding-Training für alle neuen Mitarbeitenden, jährliche Auffrischungsschulungen für KI-Nutzer, spezifische Vertiefungsschulungen für KI-Verantwortliche, klare Kommunikation bei Richtlinienänderungen, Feedback-Kanal für Mitarbeitende bei Unklarheiten. Dokumentieren Sie alle Schulungen – dies ist bei einer Behördenprüfung nachzuweisen.

Der EU AI Act ist ein dynamisches Regelwerk. Delegierte Rechtsakte, technische Standards (CEN/CENELEC) und Leitlinien der EU-KI-Behörde werden laufend ergänzt. Legen Sie fest: Mindestens jährliche Überprüfung der Richtlinie, anlassbezogene Überprüfung bei neuen KI-Systemen oder Rechtsänderungen, klare Versionsverwaltung der Richtlinie, Genehmigungspflicht durch Geschäftsführung bei wesentlichen Änderungen.