KI-Richtlinie ohne KI-Nutzung? Null-Richtlinie!

Auch, wenn Sie entschieden haben, in Ihrem Unternehmen überhaupt keine KI einzusetzen, sollten Sie eine KI-Richtlinie haben, die genau das aussagt: Eine sogenannte Null-Richtlinie.

Für wen gilt die KI-Verordnung?

Grundsätzlich gilt die KI-VO für Anbieter, Nutzer und Inverkehrbringer von KI-Systemen oder -Produkten in der EU. Wenn Ihr Unternehmen keine KI einsetzt und auch keine KI-Produkte entwickelt oder vertreibt, fällt es nicht in den aktiven Anwendungsbereich der materiellen Pflichten der KI-VO.

Besteht eine Pflicht zur Null-Richtlinie, wenn keine KI genutzt wird?

Eine KI-Richtlinie im Sinne der KI-Verordnung müssen Sie nicht vorhalten, wenn Sie keine KI im Unternehmen einsetzen. Ebenfalls bestehen dann keine Dokumentations-, Risiko-, Transparenz– oder Meldepflichten.

Besteht eine Rechenschaftspflicht?

Nach KI-VO besteht keine allgemeine Rechenschaftspflicht. Sehr wohl jedoch einen kontextuellen Rechenschaftsrahmen, der je nach Ausgangslage im Unternehmen festgelegt wird. Proportional zum bestehenden Risiko sind Maßnahmen zu treffen. Besonders bei Schadensfällen oder Grundrechtsgefährdungen muss die Sorgfaltspflicht der Geschäftsleitung nachgewiesen werden können. Eine Festlegung, in welcher Form KI genutzt werden darf, ist besonders wichtig, um zu wissen, welchem Pflichtenkatalog ein Unternehmen nachkommen muss.

Warum ist eine Null-Richtlinie wichtig, wenn keine KI genutzt wird?

Trotzdem kann es strategische oder organisatorische Gründe geben, eine Null-Richtlinie oder Grundsatzerklärung zur KI vorzuhalten:

1. Prävention & Transparenz:

Mitarbeitenden greifen heute oft selbst auf KI-Tools (z. B. ChatGPT, Copilot, DALL·E) zurück, auch ohne offizielle Freigabe. Eine Richtlinie könnte klarstellen: „Der Einsatz von KI ist bei uns untersagt / nur nach Freigabe erlaubt.“

Auf diese Art sichern Sie sich rechtlich ab. Denn sollte es zu einem Verstoß gegen geltendes Recht kommen, wird Ihre Unternehmenshaftpflicht- oder Cyberversicherung in der Regel nur dann greifen, wenn Sie nachweisen können, dass Ihre Mitarbeitenden von dem Nutzungsverbot für KI wussten. Das kann den Unterschied dafür machen, ob es sich bei einem Verstoß um eine Fahrlässigkeit oder eine grobe Fahrlässigkeit des Unternehmens oder des Mitarbeitenden handelt und ob der Mitarbeitende oder der Unternehmer haftbar ist.

2. Compliance-Nachweis:

Bei Audits, Kundenanfragen oder Zertifizierungen kann es sinnvoll sein, dokumentiert zu zeigen:

• „Wir haben geprüft, ob KI im Einsatz ist.“
• „Derzeit wird KI nicht eingesetzt, eine Einführung ist aber in Planung/nicht vorgesehen.“

3. Vorbereitung auf künftige Nutzung:

Unternehmen können durch eine schlanke Null-Richtlinie zeigen, dass sie die regulatorische Entwicklung verfolgen und bei Einführung von KI sofort handlungsfähig sind.

4. Branchenerwartungen:

In regulierten Branchen (Gesundheit, Finanzwesen, öffentlicher Sektor) erwarten Stakeholder zunehmend klare Positionierungen zum Umgang mit KI, auch, wenn diese nicht genutzt wird.

Welche Risiken bestehen, wenn Mitarbeitende eines Unternehmens ohne KI-Richtlinie KI nutzen?

• Verstoß gegen die Pflicht zur KI-Kompetenz (Art. 4)

Unternehmen müssen sicherstellen, dass Personen, die KI im Auftrag des Unternehmens bedienen, ausreichend KI-kompetent sind (z. B. Schulung). Das gilt unabhängig vom Risikograd des Systems. Ohne Schulung/Richtlinie ist ein Verstoß wahrscheinlich. Diese Pflicht gilt seit dem 2. Februar 2025.

• Transparenzverstöße (Art. 50)

Setzen Mitarbeitende z. B. Chatbots gegenüber Kunden oder Partnern ein, erzeugen KI generierte Inhalte für Marketing oder nutzen Emotionserkennung/Biometrie, greifen Kennzeichnungs- und Hinweispflichten. Eine fehlende Richtlinie, die die unternehmensinterne Handhabung regelt, führt schnell zu Falschkennzeichnung/Nicht-Kennzeichnung. Konnten Mitarbeitende dies nicht wissen, haftet das Unternehmen

• High-Risk-Pflichten missachtet (Art. 26 i. V. m. Annex III)

Nutzen Fachbereiche (typisch: HR) KI für Recruiting/Performance/Arbeitsentscheidungen, fällt das regelmäßig in Annex III (High-Risk). Dann sind u. a. Prozess- und Oversight-Regeln, Log-Aufbewahrung (mind. 6 Monate) und die Information der Beschäftigten fällig. Ohne Richtlinie und ausreichende MItarbeitendenschulung werden diese Pflichten oft übersehen.

• Verbotene Praktiken (Art. 5) – hohes Bußgeldrisiko

Manche Nutzungen sind per se verboten (z. B. Emotionserkennung am Arbeitsplatz, bestimmte manipulative Dark-Patterns, Social Scoring u. a.). Ohne klare Verbote in Ihrer KI-Richtlinie kann es zu ungewollten Einsätzen kommen, die die höchsten Bußgeldstufen nach sich ziehen.

• „Right to Explanation“ (Art. 86) nicht erfüllbar

Fließen High-Risk-Outputs in rechtlich oder ähnlich erheblich wirkende Entscheidungen über Personen ein, müssen Sie auf Verlangen eine nachvollziehbare Erklärung zur Rolle der KI und den maßgeblichen Entscheidungsfaktoren geben. Ohne Dokumentation/Prozess ist das oft nicht möglich.

• Bußgelder & Durchsetzung (Art. 99 + Timeline)
  • Für Verbote (Art. 5): bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.
  • Für Pflichten u. a. der Deployer (Art. 26) und Transparenz (Art. 50): bis 15 Mio. € oder 3 %.

Die Bußgeld-Artikel gelten seit 2. August 2025; erste Pflichten (Verbote, AI-Literacy) seit 2. Februar 2025.

Fazit

Rein rechtlich brauchen Sie keine KI-Richtlinie, wenn Sie sich als Unternehmen dafür entschieden haben, keine KI zu nutzen. Praktisch ist es jedoch trotzdem sinnvoll, in diesem Fall eine Null-Richtlinie vorzuhalten, denn eine „präventive Richtlinie“ kann Klarheit schaffen, Mitarbeitende sensibilisieren, Sie rechtlich absichern und Kunden sowie Partnern Sicherheit geben.

Wenn Sie eine weiterführende Beratung oder eine Unterstützung beim Erstellen einer KI-Richtlinie wünschen, kontaktieren Sie uns gern!