KI-Richtlinie für KMU: So erfüllst du die neuen EU-Vorgaben

---

Warum du JETZT eine KI-Richtlinie brauchst

Seit dem 2. Februar 2025 gilt Artikel 4 des EU AI Acts. Kein Übergangszeitraum, kein "wir schauen noch". Die Pflicht zur KI-Kompetenz – sogenannte AI Literacy – ist aktiv. Und sie gilt für alle Betreiber von KI-Systemen, unabhängig von Unternehmensgröße oder Branche.
Was das konkret bedeutet: Du als Geschäftsführer oder Inhaber musst "nach besten Kräften" sicherstellen, dass deine Mitarbeitenden – und externe Dienstleister, die für dich KI nutzen – ausreichend verstehen, was sie da eigentlich tun. Nicht "Data Scientist werden". Sondern: wissen, welche Daten in welches Tool dürfen, wann ein Mensch die Entscheidung treffen muss, und warum blindes Copy-Pasten aus ChatGPT manchmal ein Problem ist.
Laut einer BCG-Studie von 2025 nutzen 67 % der deutschen Beschäftigten generative KI regelmäßig. Aber nur 36 % fühlen sich ausreichend vorbereitet. Ehrlich gesagt: Das überrascht mich nicht. Ich sehe das in fast jedem Betrieb, mit dem ich arbeite.
Die gute Nachricht: Du brauchst kein 40-seitiges Compliance-Dokument. Du brauchst ein Governance-Minimal-Set – und das kannst du an einem Nachmittag aufsetzen.

---

Für wen gilt das eigentlich?

Kurze Antwort: für dich. Sobald du ein KI-System in deinem Betrieb einsetzt – also als sogenannter "Deployer" oder Betreiber agierst – greift Art. 4. Das betrifft Handwerksbetriebe genauso wie Agenturen, Beratungen oder Dienstleister. Auch wenn du nur ChatGPT für Angebote nutzt oder dein Team KI-Tools für Recherche einsetzt.
Externe Dienstleister, die in deinem Auftrag KI nutzen, sind ebenfalls in der Pflicht – aber du als Auftraggeber musst sicherstellen, dass die Kompetenz vorhanden ist. Die EU-Kommission stellt dazu klare FAQ bereit, falls du tiefer einsteigen willst.

---

Die 1-Seiten-KI-Richtlinie (Copy/Paste Vorlage)

Das ist der Kern. Keine Romanprosa, keine Juristenformulierungen. Eine Seite, die jeder liest und versteht. Hier ist die Struktur – du füllst die fettgedruckten Felder mit deinen eigenen Angaben.

Zweck & Geltungsbereich

*Diese Richtlinie gilt für alle Mitarbeitenden und externen Dienstleister von [Firmenname], die im Rahmen ihrer Tätigkeit KI-Werkzeuge einsetzen. Ziel ist ein klarer, sicherer Umgang mit KI-gestützten Systemen – im Einklang mit Art. 4 EU AI Act und den betrieblichen Datenschutzanforderungen.*

Erlaubte Tools (Whitelist) & verbotene Tools

Drei Spalten, fertig: "Freigegeben", "Freigabe auf Anfrage", "Gesperrt". Trag ein, was in deinem Betrieb Realität ist.
Daniela von Holzbau Ott hat das vor einigen Monaten genau so gemacht – eine einfache Liste mit drei Spalten, ausgedruckt, im Pausenraum aufgehängt. Kein großes Projekt. Aber vorher hatte jeder Mitarbeitende irgendwas installiert, was niemand kannte. Die Liste hat das Shadow-AI-Problem innerhalb von zwei Wochen merklich reduziert.
Das Prinzip dahinter nennt sich mittlerweile "Allow-by-process" – also nicht pauschal verbieten, sondern mit klarem Prozess freigeben. Das BSI empfiehlt genau diesen Ansatz in seinem Kriterienkatalog für KI-Modelle.

Datenklassen: Was darf in KI – was niemals

Das ist der kritischste Abschnitt. Drei Klassen reichen für den Start:
Klasse 1 – Grün (darf in KI): Öffentliche Informationen, allgemeine Textentwürfe ohne Kundenbezug, intern erstellte Vorlagen ohne personenbezogene Daten.
Klasse 2 – Gelb (nur nach Prüfung): Projektbeschreibungen ohne Klarnamen, interne Prozessdokumente, anonymisierte Beispiele.
Klasse 3 – Rot (niemals in KI ohne explizite Freigabe): Kundennamen, Adressen, Preiskalkulationen, Verträge, Bankdaten, Gesundheitsdaten, Passwörter, vertrauliche Angebote.
Karl von der Spenglerei Medvejsek hatte genau hier das Problem: Mitarbeitende haben Preiskalkulations-Tabellen direkt in ChatGPT eingefügt, um Angebotstexte zu erstellen. Kein böser Wille – einfach niemand hatte erklärt, was das bedeutet. Seit der Einführung der Datenklassen ist das Geschichte. Und der Wissenstransfer läuft jetzt strukturierter, weil klare Regeln existieren, über die man reden kann.

Prompt-Regeln (Kurz & Bündig)

Keine personenbezogenen Daten in Prompts. Keine Firmengeheimnisse. Kein Einfügen von Verträgen oder Angeboten. Ausgaben immer auf Richtigkeit prüfen – KI kann halluzinieren.
Vier Sätze. Die hängt man daneben.

Human-in-the-loop: Wann muss ein Mensch entscheiden?

Nicht jede KI-Ausgabe braucht eine Freigabe. Aber manche schon. Definiere das vorab – zum Beispiel so:
Immer ein Mensch nötig bei: Kündigungen oder HR-Entscheidungen, Angeboten über einem definierten Betrag (z. B. 10.000 €), medizinischen oder rechtlichen Einschätzungen, Kommunikation in Konfliktsituationen.

Logging & Dokumentation

Minimal-Logging bedeutet: Wer hat wann welches Tool für welchen Zweck genutzt? Eine einfache Tabelle im internen System reicht. Kein Überwachungsapparat – aber ein Nachweis, dass du dir Gedanken gemacht hast. Das ist für Art. 4 der entscheidende Punkt.

Rollen & Verantwortlichkeiten

Drei Rollen, die du benennen solltest:
Geschäftsführung: Gibt die Richtlinie frei, trägt Gesamtverantwortung. KI-Verantwortlicher (intern): Prüft Tool-Freigaben, pflegt die Whitelist, ist Ansprechpartner bei Fragen. DSB/IT (intern oder extern): Bewertet Datenschutzaspekte neuer Tools.
Bei kleinen Betrieben unter 20 Mitarbeitenden kann die GF beide ersten Rollen übernehmen – kein Problem.

---

Tool-Freigabeprozess in 30 Minuten

Andreas von J.S. Fenster hat mir mal gesagt: "Marco, ich will nicht für jedes neue Tool eine Woche Bürokratie." Vollkommen verständlich. Deshalb haben wir einen Prozess gebaut, der wirklich in 30 Minuten läuft.
Schritt 1 – Antrag (5 Min): Mitarbeitender füllt ein kurzes Formular aus: Tool-Name, Zweck, welche Daten werden genutzt, Kosten.
Schritt 2 – Kurzcheck (15 Min): KI-Verantwortlicher prüft: Ist das Tool DSGVO-konform (Serverstandort, Datenverarbeitung)? Gibt es eine Datenschutzerklärung? Ist die Funktion bereits durch ein freigegebenes Tool abgedeckt? Der BSI-Kriterienkatalog liefert dabei gute Orientierungspunkte zu Sicherheitsanforderungen.
Schritt 3 – Entscheidung (5 Min): Freigabe, bedingte Freigabe (z. B. nur für Klasse-1-Daten) oder Ablehnung mit Begründung.
Schritt 4 – Eintrag in Whitelist & Logging (5 Min): Fertig.
Andreas hat das für sein Team von 12 Mitarbeitenden eingeführt. Die Verantwortlichkeiten sind klar, niemand wartet wochenlang auf eine Antwort, und die GF hat den Überblick. Zack, läuft.

---

KI-Literacy-Nachweis: Proof statt Perfektion

Art. 4 verlangt keinen Zertifikatsstapel. Er verlangt, dass du nachweisen kannst, was du unternommen hast. Das geht mit einer einfachen Tabelle.

Name	Rolle	Genutztes Tool	Schulung abgeschlossen (Datum)	Kurzcheck bestanden	Bemerkung
Max M.	Monteur	ChatGPT	15.03.2025	Ja	—
Lena K.	Büro	ChatGPT, Notion AI	15.03.2025	Ja	Datenklassen erklärt
Der Kurzcheck kann ein internes 15-Minuten-Gespräch sein: Was darf in die KI? Was nicht? Was tust du, wenn eine Ausgabe falsch wirkt? Wer ist dein Ansprechpartner?
Daniela bei Holzbau Ott macht das quartalsweise als Team-Runde – 20 Minuten, neue Tools auf dem Tisch, kurze Diskussion. Der Eintrag in die Tabelle ist der Nachweis. Einfach, prüfbar, ausreichend. Die EU-Kommission bestätigt: AI Literacy ist kontextabhängig – nicht jeder muss alles wissen, aber jeder muss für seinen Einsatzbereich ausreichend vorbereitet sein.

---

Umsetzung in 7 Tagen

Hier ist der ehrliche Zeitplan:
Tag 1-2: 1-Seiten-Richtlinie auf Basis der Vorlage oben anpassen. GF unterschreibt, wird intern kommuniziert. Tag 3: Whitelist erstellen – was nutzt das Team gerade wirklich? Einfach fragen. Tag 4: Datenklassen definieren und mit einem konkreten Beispiel aus dem Betrieb erklären. Tag 5: Kurzschulung (kann 20 Minuten sein), Tabelle anlegen. Tag 6-7: Tool-Freigabeprozess dokumentieren, Zuständigen benennen.
Das ist kein IT-Projekt. Das ist Organisationsarbeit – und die meisten Betriebe schaffen das intern, wenn jemand die Struktur kennt.
Falls du dabei Unterstützung willst – zum Beispiel, weil du nicht nur die Richtlinie willst, sondern auch selbst in der Lage sein möchtest, KI sinnvoll einzusetzen und dein Team zu befähigen – dann schau dir die Synclaro Academy an. Genau das machen wir dort: strukturiert, praxisnah, ohne dass du zum Entwickler werden musst.

---

Häufig gestellte Fragen

Was ist eine KI-Richtlinie Vorlage und wozu brauche ich sie?

Eine KI-Richtlinie Vorlage ist ein vorgefertigtes Dokument, das regelt, wie Mitarbeitende KI-Tools im Unternehmen nutzen dürfen. Sie legt fest, welche Tools erlaubt sind, welche Daten in KI eingegeben werden dürfen und wann ein Mensch die Entscheidung treffen muss. Seit Februar 2025 ist sie für alle Betreiber von KI-Systemen durch Art. 4 EU AI Act de facto Pflicht – auch für kleine und mittlere Unternehmen.

Gilt der EU AI Act Artikel 4 auch für kleine Handwerksbetriebe?

Ja. Art. 4 unterscheidet nicht nach Unternehmensgröße. Sobald ein Betrieb KI-Systeme einsetzt – also zum Beispiel ChatGPT für Angebote nutzt oder KI-gestützte Tools in der Verwaltung betreibt – greift die Pflicht zur AI Literacy. Die Anforderungen sind aber kontextabhängig: Ein kleiner Handwerksbetrieb muss keine aufwendigen Zertifizierungen vorzeigen, aber einen nachvollziehbaren Nachweis erbringen, dass Mitarbeitende ausreichend vorbereitet sind.

Was muss ein KI-Literacy-Nachweis enthalten?

Mindestens: Wer wurde geschult, wann, für welches Tool und mit welchem Ergebnis. Eine einfache Tabelle im internen System reicht aus – keine aufwendigen Zertifikate nötig. Wichtig ist, dass du nachweisen kannst, dass du aktiv Maßnahmen ergriffen hast. Die EU-Kommission spricht von "best extent" – also nach besten Kräften, nicht nach Perfektion.

Wie funktioniert ein Tool-Freigabeprozess für KI im KMU?

Der Prozess läuft in vier Schritten: Antrag durch den Mitarbeitenden (Tool-Name, Zweck, genutzte Daten), Kurzcheck durch den KI-Verantwortlichen (DSGVO-Konformität, Sicherheit, Redundanz), Entscheidung (Freigabe/Ablehnung), Eintrag in die interne Whitelist. Das Ganze dauert realistische 30 Minuten pro Tool – kein bürokratisches Großprojekt.

Welche Daten dürfen nicht in KI-Tools eingegeben werden?

Grundsätzlich niemals: Kundennamen und -adressen, Preiskalkulationen, Vertragsunterlagen, Bankdaten, Gesundheitsdaten und Passwörter. Das sind sogenannte Klasse-3-Daten – also alles, was vertraulich ist oder personenbezogene Informationen enthält. Verstöße können DSGVO-Konsequenzen nach sich ziehen. Eine klare Datenklassen-Regelung in der internen KI-Richtlinie Vorlage verhindert solche Fehler.

Brauche ich als Einzelunternehmer oder Freelancer auch eine KI-Richtlinie?

Streng genommen ja, sobald du KI-Tools in Kundenprojekten einsetzt – vor allem wenn Kundendaten ins Spiel kommen. Praktisch reicht hier oft eine sehr schlanke Version: eine kurze Selbstverpflichtung zu Datenklassen und ein Logging, was du wann genutzt hast. Das dauert keine Stunde und schützt dich rechtlich.

Gibt es die KI-Richtlinie Vorlage als Word oder PDF zum Download?

Die Vorlage in diesem Artikel ist als strukturierter Text aufgebaut, den du direkt in Word oder jedes andere Textprogramm kopieren kannst. Für eine fertig formatierte Version oder individuelle Anpassung auf deinen Betrieb kannst du ein kostenloses Erstgespräch bei Synclaro buchen – dort schauen wir gemeinsam, was für deinen spezifischen Kontext sinnvoll ist.

---

Und jetzt?

Eine KI Richtlinie Vorlage ist ein guter erster Schritt. Aber ehrlich gesagt ist sie nur der Anfang. Die Betriebe, die ich begleite – Daniela, Andreas, Karl und andere – haben nicht nur eine Richtlinie eingeführt. Sie haben gelernt, KI sinnvoll einzusetzen, Prozesse zu automatisieren und dabei die Kontrolle zu behalten. Das ist ein anderes Kaliber.
Wenn du wissen willst, wie das für deinen Betrieb konkret aussehen kann – ohne dass du zum Entwickler werden musst:
Zur Synclaro Academy | Erstgespräch buchen