Zum Inhalt springen
K Krynex Labs
Praxis & Mittelstand

AI-Policy nach AI Act Art. 4 — ist sie Pflicht?

AI-Policy nach AI Act Art. 4 — ist sie Pflicht?

Die ehrliche Kurzantwort

Art. 4 EU AI Act seit Februar 2025:

Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach bestem Bemühen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.

Das ist eine Bemühenspflicht, kein konkreter Maßnahmen-Katalog. Der deutsche Gesetzgeber, BfDI und Aufsichtsbehörden lesen Art. 4 aber so: ohne schriftliche AI-Policy, dokumentierte Schulung und klare Verantwortlichkeiten ist die Bemühenspflicht nicht erfüllt.

In der Praxis brauchst du eine Policy aus drei Gründen:

  1. Compliance-Nachweis für AI Act Art. 4 und DSGVO Art. 5 Abs. 2
  2. Risiko-Reduktion — ohne Policy entstehen sonst Schatten-AI-Nutzungen
  3. Mitarbeiter-Klarheit — Leute wollen wissen, was erlaubt ist

Was eine gute AI-Policy enthält

Sieben Bausteine, die wir in Mittelstands-Policies 2026 immer einbauen:

1. Zweck und Geltungsbereich

Was die Policy regelt (Einsatz von KI in der täglichen Arbeit), für wen sie gilt (alle Mitarbeitende, Auszubildende, Freelancer, Praktikanten), ab wann sie wirkt (Datum). Bei Bedarf Bezug zur Betriebsvereinbarung (Art. 88 DSGVO

  • § 26 BDSG).

2. Erlaubte und verbotene Tools

Konkrete Whitelist. Beispiel:

Erlaubt:

  • ChatGPT Team und Plus (geschäftlicher Account, kein privater)
  • Claude Pro / Claude for Work
  • GitHub Copilot Business mit Public-Code-Filter
  • DeepL Pro mit deutschem Account
  • Adobe Firefly (für Marketing)

Verboten:

  • Consumer-ChatGPT mit privatem Account
  • Midjourney für offizielle Kommunikation (Urheberrechtsrisiko)
  • Chinesische Cloud-APIs (DeepSeek-Cloud, Qwen-Cloud)
  • Tools ohne abgeschlossenen AVV
  • “Kostenlose AI-Lösungen”, die nicht zentral genehmigt wurden

3. Datenklassifizierung und Erlaubnis-Matrix

Welche Daten in welches Tool dürfen. Drei-Stufen-System:

StufeBeispieleErlaubte Tools
GrünMarketing-Text, öffentliche RechercheAlle whitelisted Tools
GelbInterne Mails ohne PersonenbezugChatGPT Team, Claude for Work, Azure OpenAI
RotKunden-, Personal-, Gesundheits-, FinanzdatenNur on-prem-LLM oder dedizierter EU-Stack
SchwarzGeschäftsgeheimnisse, M&A, PatentwesenKein AI-Tool, klassische Verarbeitung

4. Output-Verantwortung

Grundsatz: Wer ein AI-Tool zur Erstellung von Inhalten nutzt, ist verantwortlich für deren Korrektheit, Rechtmäßigkeit und Qualität — wie bei selbst geschriebenen Inhalten.

Konkret: AI-Outputs müssen vor Versand/Veröffentlichung geprüft werden. Halluzinationen und Falschauskünfte gehen nicht an den Anbieter, sondern ans Unternehmen.

5. Kennzeichnungspflichten

Was extern kommuniziert werden muss. Vier typische Fälle:

  • Chatbots auf der Webseite: deutlicher Hinweis “KI-Assistent”
  • AI-generierte Marketing-Bilder: Hinweis (z. B. “Bild: KI-generiert mit Adobe Firefly”)
  • AI-gestützte Bewerber-Antworten (bei größerem Einsatz): Hinweis im Karriere-Portal
  • Übersetzte Inhalte mit DeepL/AI: in der Regel kein Hinweis nötig, aber rechtliche Sorgfaltspflicht für Korrektheit bleibt

6. Verantwortlichkeiten

Klar benennen:

  • KI-Verantwortlicher (in kleineren Unternehmen oft Personalunion mit Datenschutzbeauftragtem oder IT-Leitung) — Hauptansprechpartner, pflegt die Whitelist
  • Fachbereichs-Owner pro Use-Case — verantwortlich für Output-Qualität
  • Mitarbeitende — verantwortlich für Compliance der eigenen AI-Nutzung
  • Geschäftsführung — Rechenschaftspflicht, freigibt Hochrisiko-Projekte

7. Schulung und Updates

  • Onboarding-Modul für neue Mitarbeitende (30–60 Minuten, dokumentiert)
  • Jährliches Refresh-Training (15–30 Minuten)
  • Bei Policy-Updates: alle Betroffenen informiert, neue Version abgezeichnet
  • Bei Tool-Änderungen (Anbieter ändert AVV, Modell-Wechsel): Information an Mitarbeitende

Wo Policies in der Praxis scheitern

“Vorlage aus dem Internet kopiert”. Generic Policies, die mit der eigenen Situation nichts zu tun haben, helfen niemandem. Im Audit fragt die Aufsicht, ob die Policy gelebt wird — und sieht in zwei Minuten, ob das eine Vorlage oder eine echte ist.

“Policy ist da, aber niemand kennt sie”. Wenn die Policy im Intranet-Archiv liegt und nie kommuniziert wurde, ist sie wertlos. Schulung, verpflichtende Bestätigung, Update-Kommunikation sind Pflicht.

“Policy ohne Whitelist”. “Mitarbeitende dürfen geeignete AI-Tools nutzen” ist keine Policy, sondern eine Floskel. Konkrete Tools mit klaren Erlaubnis- Regeln sind das Minimum.

“Policy ohne Sanktions-Pfad”. Was passiert bei Verstößen? Wenn jemand Kundendaten in Consumer-ChatGPT eingibt — gibt es eine Eskalations-Linie? Ohne Antwort darauf ist die Policy zahnlos.

“Keine Versionierung”. Policies veralten. Wenn die Policy von 2024 noch im Umlauf ist und 2026 darin Mistral La Plateforme noch nicht erlaubt ist, gibt es Reibung. Halbjährliche Reviews einplanen.

Praktischer Workflow zum Policy-Aufsatz

Woche 1: Bestandsaufnahme.

  • Welche AI-Tools werden aktuell genutzt? (Per Mitarbeiter-Umfrage oder IT-Audit)
  • Welche Datenarten sind im Unternehmen sensibel?
  • Welche bestehenden Policies (Datenschutz, IT-Sicherheit) müssen integriert werden?

Woche 2: Entwurf.

  • 7-Baustein-Struktur nutzen (siehe oben)
  • Mit Betriebsrat (falls vorhanden), Datenschutzbeauftragtem und IT-Leitung abstimmen
  • Stakeholder-Interviews für realistische Tool-Whitelist

Woche 3: Validierung.

  • Test-Lesen mit 5–10 Mitarbeitenden aus verschiedenen Bereichen
  • Feedback einarbeiten
  • Geschäftsführungs-Freigabe

Woche 4: Rollout.

  • Schulungs-Material erstellen
  • Mitarbeiter-Versammlung oder Online-Schulung
  • Verpflichtende Kenntnisnahme dokumentieren

Ab dann: laufender Betrieb.

  • Updates bei Tool-Änderungen oder Recht-Änderungen
  • Onboarding-Modul für neue Mitarbeitende
  • Jährliche Review

Was eine Policy für 50-Mitarbeiter-Mittelständler typisch kostet

  • Selbst erstellen: 80–120 Stunden Eigenleistung (interne Stakeholder einbinden, Texte, Schulung)
  • Mit externer Unterstützung: 8.000–15.000 € einmalig für eine Policy + Schulungs-Material + 1. Mitarbeiter-Schulung
  • Laufende Pflege: 1–2 Tage pro Jahr für Updates und Refresh-Schulung

Wer das nicht in den nächsten 6 Monaten umsetzt, hat im Aufsichtsfall ein schwer aufholbares Defizit.

Was du heute nicht tun solltest

Keine Policy mit Mustertext, der nichts mit deinem Unternehmen zu tun hat. Keine Policy ohne Mitarbeiter-Schulung und dokumentierte Kenntnisnahme. Und keine Policy, die nur intern liegt — auch die externe Datenschutzerklärung und ggf. die AGB müssen die AI-Nutzung widerspiegeln.

Pragmatischer Einstieg: 60-Minuten-Workshop, in dem wir die 7 Bausteine durchgehen und einen Erstentwurf skizzieren. Daraus wird in 2–3 Wochen eine einsatzreife Policy.

Konkrete Frage zu eurem Setup?

Ein 30-Minuten-Erstgespräch klärt meistens schon, ob euer aktueller AI-Stack hält oder wo nachzuarbeiten ist. Kostenlos, ohne Verkaufsdruck.

Erstgespräch buchen

Passend dazu

Insights

E-Rechnungs-Pflicht 2025–2028: was der Mittelstand jetzt braucht — und was warten kann

Insights

67 Tage bis zum EU AI Act: was Mittelstand wirklich zu tun hat (und was nicht)

Insights

AI in der EU: vier Hosting-Optionen, drei davon sind Fallen