KI-Charta im Unternehmen: Praxisleitfaden 2026 (DSGVO + KI-VO)
Quick Answer: Was ist eine KI-Charta im Unternehmen?
Eine Charta zur KI-Nutzung im Unternehmen ist ein kurzes, durchsetzbares (das Unternehmen kann sich im Streit mit einem Mitarbeiter darauf berufen) und pädagogisches Dokument. Sie regelt die Nutzung generativer KI-Tools durch Mitarbeiter. Sie ersetzt nicht die globale KI-Politik der Organisation — sie ist deren Nutzerebene, übersetzt in konkrete Alltagsregeln.
Eine wirksame Charta enthält 2026 mindestens 8 Sektionen:
- Geltungsbereich — wer betroffen ist und auf welchen Tools.
- Erlaubte Tools — Unterscheidung zwischen Konsumenten-Tools, Enterprise-Tools und On-Premise-Installation.
- Erlaubte Daten — klare Typologie (öffentlich, geschäftlich, personenbezogen, sensibel).
- Pflichtüberprüfung — Korrekturlese- und Validierungsregeln.
- Vertraulichkeit — explizite Verbote (Geheimnisse, Kundendaten, nicht-öffentliche Finanzinformationen).
- Geistiges Eigentum — Regeln zu generierten Inhalten und deren Zuordnung.
- Vorfallmeldung — Eskalationsverfahren bei Leck oder Fehler.
- Sanktionen und Aktualisierung — disziplinarische Durchsetzbarkeit und Revisionsfrequenz.
Sie ist das durchsetzbare Dokument, das die KI-VO-Konformität (Artikel 4 — KI-Kompetenz) materialisiert und als erste DSGVO-Hürde bei einer BfDI- oder Landesdatenschutzaufsichtsprüfung dient. Ohne Charta ist die KI-Nutzung erlitten, nicht gesteuert.
Warum eine KI-Nutzungscharta 2026 unverzichtbar geworden ist
Drei kumulierte Verschiebungen machen die KI-Charta für jede Organisation mit mehr als 20 Mitarbeitern unverhandelbar.
Regulatorische Verschiebung — die KI-VO verlangt KI-Kompetenz. Artikel 4 der Verordnung (EU) 2024/1689, anwendbar seit Februar 2025, verlangt von Organisationen sicherzustellen, dass Personen, die im beruflichen Rahmen ein KI-System nutzen, über ein “ausreichendes Kompetenzniveau” verfügen — angepasst an den Nutzungskontext und die Systemart. Die Charta ist das einfachste Instrument, um diese Pflicht zu materialisieren: ein unterzeichnetes, datiertes, verteiltes Dokument, das beweist, dass die Organisation den Nutzern die Regeln erklärt hat.
Nutzungs-Verschiebung — KI ist überall, ohne Rahmen. Die Erhebungen 2025-2026 (McKinsey, BCG, Bitkom Research) konvergieren: 65 bis 80% der White-Collar-Mitarbeiter in Deutschland nutzen ChatGPT oder ein Äquivalent mindestens einmal pro Woche. Aber der Großteil dieser Nutzung erfolgt über persönliche Konten, ohne Rahmen, mit Daten, die nicht zu einem Konsumenten-LLM gelangen sollten. Keine Charta = keine Grenze = ständiges Leck- oder Fehlerrisiko.
Rechtsprechungs-Verschiebung — die ersten Sanktionen treffen ein. Garante (Italien) hat OpenAI im Dezember 2024 zu 15 Millionen Euro verurteilt. Die BfDI hat KI als Prüfungspriorität 2026 ausgewiesen, und die Landesdatenschutzbehörden (insbesondere Hamburg, Berlin, Bayern) haben bereits gegen ChatGPT-Nutzung im Unternehmenskontext ermittelt. Die Datenschutzkonferenz (DSK) hat 2024-2025 Orientierungshilfen veröffentlicht, die KI ohne formalen Rahmen ausdrücklich als Verstoß qualifizieren. Europäische Aufsichtsbehörden erwarten heute, in jeder geprüften Organisation eine KI-Charta vorzufinden — ihr Fehlen wird als Governance-Mangel behandelt.
Für den vollständigen Rechtsrahmen siehe unseren Leitfaden DSGVO-konforme KI und unseren DSFA-Praxisleitfaden für KI-Projekte.
Die 8 Sektionen einer wirksamen KI-Charta
1. Geltungsbereich
Wer betroffen ist, auf welchen Tools, in welchem Rahmen. Eine Charta mit unklarem Geltungsbereich ist nicht durchsetzbar. Zu präzisieren:
- Welche Personenkreise: alle Mitarbeiter (unbefristet, befristet, Leiharbeitnehmer nach AÜG), externe Dienstleister, Praktikanten, Auszubildende, Werkstudenten, Freelancer mit Systemzugriff
- Welche Tools: konversationelle LLMs (ChatGPT, Claude, Gemini, Mistral), integrierte Assistenten (Copilot, Notion AI, Gemini for Workspace), Bildgeneratoren (DALL-E, Midjourney), Transkriptionswerkzeuge (Whisper, Otter), interne KI-Agenten
- In welchem Rahmen: berufliche Nutzung auf vom Unternehmen bereitgestellten Tools — die Charta deckt im Allgemeinen nicht die rein private Nutzung auf privatem Konto außerhalb der Arbeitszeit ab
2. Erlaubte Tools und Nutzungsstufen
Zentrale Unterscheidung. Eine Tabelle in der Charta ist besser als ein Absatz.
| Kategorie | Typische Tools | Erlaubte Daten |
|---|---|---|
| Konsumenten | ChatGPT.com, Claude.ai, Gemini kostenlos, Mistral Le Chat Pro | Keine nicht-öffentlichen Geschäftsdaten |
| Enterprise (AVV) | ChatGPT Team / Enterprise, Claude für Enterprise, Mistral Le Chat Enterprise, Microsoft Copilot mit angemessener Lizenz | Geschäftsdaten, bestimmte personenbezogene Daten mit Pseudonymisierung |
| On-Premise / souverän | Mistral on-prem (vLLM), Llama 3 selbst gehostet, interne Infrastruktur | Sensible Daten, Geheimnisse, M&A, identifizierbare HR, Gesundheit |
Die Konsumenten-Nutzungsbedingungen decken keine konforme gewerbliche Nutzung ab. Diese Unterscheidung muss explizit mit Beispielen sein — kein “je nach Kontext”.
Siehe unseren Leitfaden lokale LLM im Unternehmen für den On-Premise-Aspekt.
3. Erlaubte Daten — die zentrale Typologie
Das operative Herz der Charta. Vier Kategorien, konkret zu illustrieren.
| Datenart | Beispiele | Erlaubte Tools |
|---|---|---|
| Öffentlich | Bereits veröffentlichter Inhalt, externe Kommunikation, öffentliche Doku | Alle |
| Geschäftlich nicht sensibel | Interne Notizen, Entwürfe, nicht vertrauliche Projekte, nicht proprietärer Code | Enterprise-Tools (AVV) |
| Personenbezogen | Kunden, Mitarbeiter, Interessenten, identifizierbare Partner | Enterprise-Tools mit AVV + Pseudonymisierung. DSFA bei risikoreicher Verarbeitung |
| Sensibel / strategisch | Gesundheit, Biometrie, Berufsgeheimnis, Geschäftsgeheimnis, M&A, Streitigkeiten, nicht öffentlich Finanz | Nur On-Premise |
Konkrete Beispiele für jede Kategorie geben. Eine abstrakte Typologie ist im Alltag unbrauchbar.
4. Verbindliche Überprüfungsregeln
KI halluziniert — produziert plausible aber falsche Aussagen ohne Zweifelssignal. Die Charta muss vorschreiben:
- Systematische Überprüfung von Zahlen, Daten, juristischen Referenzen, Zitaten, Biografien vor jeder externen Verwendung
- Quellenkreuzung bei sensiblen Themen (juristisch, medizinisch, finanziell)
- Hinweis “KI-unterstützt erstellt” auf externer Kommunikation, wo relevant (kohärent mit Artikel 50 KI-VO zur Transparenz)
- Keine automatisierte Entscheidung ohne menschliche Überprüfung bei Themen mit rechtlicher Wirkung oder erheblichen Auswirkungen (Artikel 22 DSGVO)
5. Vertraulichkeit — explizite Verbote
Die Sektion, die die schwerwiegendsten Lecks verhindert. Explizite Liste dessen, was nie in einen Prompt kopiert werden darf, auch nicht in den Enterprise-Versionen:
- Berufsgeheimnis (Anwalt, Arzt, Steuerberater, Wirtschaftsprüfer)
- Identifizierbare Kundendaten ohne Pseudonymisierung
- Passwörter, API-Schlüssel, Zugangsdaten
- Als vertraulich oder strategisch markierte Dokumente
- M&A-Kommunikation, Geheimhaltungsvereinbarungen, laufende Streitigkeiten
- Nicht-öffentliche Finanzinformationen (Ergebnisse vor Veröffentlichung, Prognosen — WpHG-Insiderpflichten beachten)
- Identifizierbare HR-Informationen (Beurteilungen, Gehälter, individuelle Situationen)
Je expliziter und illustrierter die Liste, desto anwendbarer ist sie.
6. Geistiges Eigentum
Drei Punkte zu klären:
- Generierte Inhalte gehören dem Unternehmen — Klarstellung, dass im beruflichen Rahmen erzeugte Outputs Eigentum des Unternehmens sind, nicht des einzelnen Nutzers
- Verletzungsrisiko — ein generierter Inhalt kann ein in den Trainingsdaten geschütztes Werk substantiell reproduzieren; Pflicht zur Korrekturlesung und Anpassung
- Quellenangabe, wenn der generierte Inhalt auf einer KI-Recherche beruht (Perplexity, ChatGPT mit Websuche, Gemini Search) — Quellen prüfen und zitieren
7. Vorfallmeldung
Klares Verfahren für was passieren kann:
- Unbeabsichtigtes Leck (versehentliches Senden sensibler Daten an einen Konsumenten-LLM)
- In Produktion gegangene Halluzination (falsche Information, die einem Kunden oder intern verbreitet wurde)
- Verdacht auf Bias oder Diskriminierung in einer automatisierten Entscheidung
- Sicherheitsvorfall (kompromittiertes Konto, unbefugter Zugriff)
Zu präzisieren: wer kontaktiert wird (DSB, CISO, KI-Verantwortlicher), in welcher Frist (24-72 h je nach Schweregrad — Art. 33 DSGVO 72h-Frist beachten), mit welchen Elementen (Prompt, Output, Kontext).
8. Sanktionen und Aktualisierung
Disziplinarische Durchsetzbarkeit — Erwähnung, dass Nichteinhaltung Sanktionen nach der Arbeitsordnung oder Betriebsvereinbarung nach sich ziehen kann. Ohne dies hat die Charta keine reale rechtliche Tragweite. In Deutschland hat die Verankerung in einer Betriebsvereinbarung mit dem Betriebsrat die stärkste rechtliche Verbindlichkeit.
Revisionszyklus — mindestens jährlich, schneller bei substantiellen Veränderungen des KI-Ökosystems. Datum der aktuellen Version sichtbar.
DE-Spezifika: Mitbestimmung des Betriebsrats nach BetrVG § 87 Abs. 1 Nr. 6
Hier liegt der größte Unterschied zwischen Deutschland und anderen EU-Ländern. Die Mitbestimmung des Betriebsrats bei der Einführung von KI-Tools ist nicht optional, sondern verpflichtend, sobald das Tool zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer geeignet ist (§ 87 Abs. 1 Nr. 6 BetrVG).
Welche KI-Tools fallen unter die Mitbestimmung?
Praktisch fast alle. Das BAG hat in ständiger Rechtsprechung den Begriff “geeignet zur Überwachung” weit ausgelegt:
- ChatGPT, Claude, Gemini Enterprise: Logs der Nutzung sind für den Arbeitgeber auswertbar → Überwachungsfähigkeit gegeben → Mitbestimmung notwendig.
- Microsoft Copilot in Microsoft 365: integriert in Outlook, Teams, Word; protokolliert Nutzung pro Mitarbeiter → klar mitbestimmungspflichtig.
- Bewerber-Screening-KI: trifft oder unterstützt Personalentscheidungen → doppelte Mitbestimmung (§ 87.1.6 BetrVG + §§ 95, 99 BetrVG zu Auswahlrichtlinien und personellen Einzelmaßnahmen).
- Produktivitäts- oder Schreibassistenz-KI: alles, was Output pro Mitarbeiter zählt oder Zeitnutzung trackt.
Praktische Folge: Eine Einführung ohne Betriebsratszustimmung ist ein klarer BetrVG-Verstoß. Der BR kann eine einstweilige Verfügung erwirken (§ 87 BetrVG i.V.m. § 23 Abs. 3 BetrVG) und das Tool stoppen.
Form der Mitbestimmung: die Betriebsvereinbarung
Beste Praxis: Abschluss einer Betriebsvereinbarung KI zwischen Arbeitgeber und Betriebsrat, die enthält:
- Liste der genehmigten KI-Tools
- Datentypen, die je Tool verarbeitet werden dürfen
- Logging- und Monitoring-Mechanismen (was wird erfasst, wer hat Zugriff, Aufbewahrungsdauer)
- Verbot der individuellen Leistungsbewertung anhand von KI-Logs
- Schulungspflichten
- Vorfall- und Eskalationsverfahren
Die KI-Charta wird dann Anlage zur Betriebsvereinbarung. Eine Charta ohne Betriebsvereinbarung ist faktisch nicht durchsetzbar bei Tools mit Überwachungsfähigkeit — was praktisch alle KI-Tools sind.
Einigungsstelle bei Konflikt
Wenn Arbeitgeber und Betriebsrat sich nicht einigen, kann jede Seite die Einigungsstelle nach § 76 BetrVG anrufen. Das verzögert die Einführung um typischerweise 3-6 Monate. Erfahrungswert: in 2025-2026 sind mindestens 12 Einigungsstellen-Verfahren zu KI-Tools in Deutschland anhängig oder entschieden (Quellen: Hans-Böckler-Stiftung, ver.di, IG Metall).
Nicht-Mitbestimmung als BfDI-Risiko
Über das BetrVG hinaus: Eine Nutzung ohne BR-Zustimmung beim Tool mit Verarbeitung personenbezogener Daten verschärft die DSGVO-Verletzung (fehlende Rechtsgrundlage nach Art. 6 DSGVO, da § 26 BDSG eine ordnungsgemäße kollektive Einwilligung über Betriebsvereinbarung verlangt). BfDI und Landesdatenschutzbehörden haben dies in mehreren Beanstandungen 2024-2025 gerügt.
Charta vs KI-Politik vs Nutzungsleitfaden
Drei komplementäre Dokumente, nicht zu verwechseln. Positionierungstabelle.
| Dokument | Zielgruppe | Format | Länge | Aktualisierungsfrequenz |
|---|---|---|---|---|
| KI-Politik | Geschäftsleitung, Governance | Strategisch | 10-20 Seiten | Jährlich |
| Nutzungscharta | Alle Mitarbeiter | Durchsetzbar, unterschreibbar | 3-5 Seiten | Jährlich oder + |
| Nutzungsleitfaden | Alle Mitarbeiter | Pädagogisch, Beispiele | 20-50 Seiten | Kontinuierlich |
Die KI-Unternehmenspolitik ist das strategische Governance-Dokument. Sie adressiert: warum das Unternehmen KI nutzt, welche Ziele, welcher ethische Rahmen, welche Use-Case-Validierungsprozesse, welches Budget, welche Governance (KI-Ausschuss, Sponsor in der Geschäftsleitung). Ein Organisationsdokument, kein Nutzerdokument.
Die KI-Nutzungscharta ist das durchsetzbare Nutzerdokument. Sie übersetzt die Politik in konkrete Regeln für die Mitarbeiter. In 10 Minuten lesbar, unterschreibbar.
Der KI-Nutzungsleitfaden ist das pädagogische Dokument. Er erklärt konkret, wie die Tools zu verwenden sind, gibt Prompt-Beispiele, Use Cases, Best Practices (siehe KI-Schulung im Unternehmen). Das ist kontinuierliche Schulung, keine Norm.
Eine reife Organisation verfügt über alle drei. Eine startende Organisation kann mit der Charta beginnen (am rechtlich dringendsten) und später ergänzen.
Verzahnungsschema
[KI-Politik] ──► Governance, Strategie, KI-Ausschuss
│
▼
[Betriebsvereinbarung KI] ──► BR-Mitbestimmung verankert
│
▼
[Nutzungscharta] ──► durchsetzbare Alltagsregeln
│
▼
[Nutzungsleitfaden] ──► wie konkret vorgehen
│
▼
[Feldpraxis] ◄──── Vorfall-Feedback, jährliche Revision
Rollout: Konsultation, Unterschrift, Aktualisierung
Fünf Schritte, damit eine Charta über das PDF hinaus lebt.
Schritt 1 — Vorkonsultation (4-6 Wochen). DSB, CISO, Recht, HR, IT und Hauptfachbereiche einbeziehen. Verbindlich: frühzeitige Einbindung des Betriebsrats. Eine vom DSB allein ohne Konzertierung erstellte Charta wird von den Operativen ignoriert. Eine von Operativen allein erstellte Charta übergeht die rechtlichen Risiken.
Schritt 2 — Validierung und Durchsetzbarkeit. Die Charta muss in eine Betriebsvereinbarung KI nach BetrVG eingebunden sein (mit den oben aufgeführten Punkten) oder Gegenstand eines Nachtrags zum Arbeitsvertrag. Ohne formalen Anker ist die Durchsetzbarkeit schwach. Achtung: Mitbestimmungspflichtige Tools ohne BV sind angreifbar bis hin zum Stopp durch das Arbeitsgericht.
Schritt 3 — Unterschrift. Verteilung an alle betroffenen Mitarbeiter mit Lesebestätigung. Für Hochrisiko-Organisationen elektronische Signatur über Dokumentenmanagement-Tool. Beweis für Audit aufbewahrt.
Schritt 4 — Begleitende Schulung. Die Charta ersetzt nicht die Schulung. Sie begleitet sie. Ein erfolgreicher Rollout umfasst ein kurzes Modul (30-60 min), das die Charta mit konkreten Beispielen erläutert. Siehe unseren KI-Schulungsleitfaden für Unternehmen. Hinweis: KI-VO Artikel 4 macht KI-Kompetenz-Schulung zur Pflicht.
Schritt 5 — Periodische Revision. Mindestens jährlich. Häufiger bei:
- neuem KI-Tool im Einsatz
- großer regulatorischer Änderung (KI-VO-Phase, BAG-Urteil zu KI-Monitoring, BfDI-Empfehlung)
- internem Vorfall, der eine Lücke aufdeckt
Bei jeder Revision: Versionsnummer, Datum, Änderungszusammenfassung, Wiederverteilung. Bei wesentlichen Änderungen mit Mitbestimmungsbezug: erneute BR-Zustimmung notwendig.
Typische Fehler, die die Charta unwirksam machen
Sechs wiederkehrende Fehler — jeder reicht aus, die Charta ihres Wertes zu entleeren.
Fehler 1 — Zu allgemein. “Nutzen Sie KI verantwortungsvoll” sagt nichts. Eine nützliche Charta ist so präzise, dass man sie konkret einem Verhalten entgegenhalten kann.
Fehler 2 — Zu restriktiv ohne Alternative. ChatGPT ohne Alternative zu verbieten funktioniert nicht — die Nutzung läuft als Schatten-IT weiter. Immer eine offizielle Alternative anbieten (ChatGPT Enterprise-Konto, Mistral Le Chat Enterprise-Zugang etc.).
Fehler 3 — Ohne Aktualisierung. Eine 2024 erstellte und nie angefasste Charta ist obsolet. Das Ökosystem entwickelt sich zu schnell. Mindestjahreszyklus.
Fehler 4 — Ohne begleitende Schulung. Eine Charta ohne Schulung bleibt ein ungelesenes Dokument. Die alleinige E-Mail-Verteilung ist unzureichend.
Fehler 5 — Nicht durchsetzbar. Eine nicht in eine Betriebsvereinbarung oder Arbeitsordnung eingebundene Charta hat keine disziplinarische Tragweite. Bei einem Vorfall kann sich die Organisation nicht darauf stützen, um zu sanktionieren.
Fehler 6 — Ohne BR-Beteiligung. Spezifischer DE-Fehler: Charta erstellt ohne Betriebsrat. Bei Einsatz mitbestimmungspflichtiger Tools ist das ein BetrVG-Verstoß, der zur Untersagung des Tools führen kann. Fehler 7 — Generisches Copy-paste. Jede Organisation hat unterschiedliche Daten, Risiken, Tools. Eine generische Charta verfehlt branchenspezifische Anliegen.
Mindestmodell v1 — wo anfangen
Für Organisationen, die schnell starten wollen, kann eine einseitige Mindestvorlage als v1 dienen, später anzureichern. Vorgeschlagene Struktur:
1. Geltungsbereich: anwendbar auf alle Mitarbeiter und Dienstleister von [Organisation].
2. Erlaubte Tools:
- Auf Geschäftsdaten: [Liste der genehmigten Enterprise-Tools]
- Auf sensible Daten: [On-Premise-Tool oder Verbot ohne Genehmigung]
- Konsumenten-Tools: verboten auf beruflichen Daten.
3. Nutzungsregeln:
- Keine identifizierbaren Kundendaten auf nicht genehmigten Tools
- Pflichtüberprüfung von Zahlen, Daten und Referenzen
- Keine automatisierte Entscheidung ohne menschliche Revision
- Vertraulichkeit: nie Geheimnisse, Passwörter, M&A, identifizierbare HR kopieren
4. Bei Vorfall:
- Kontakt: [DSB + Adresse]
- Frist: 24 Stunden bei Leck-Verdacht (72h DSGVO-Meldepflicht)
5. Aktualisierung: Version 1.0 — [Datum]. Jährliche Revision.
Gelesen und akzeptiert: [Unterschrift]
[Anlage: Liste der Tools mit Mitbestimmungsstatus BetrVG]
Dieses Mindestmodell ist rechtlich operativ — es beweist die Existenz eines Rahmens, was die KI-VO-Anforderung ist. Für Tools mit Überwachungsfähigkeit muss zwingend eine Betriebsvereinbarung dazukommen, sonst ist die Charta angreifbar.
Sanktionen bei Fehlen der Charta / KI-Schulung
Konkrete Risiken in Deutschland 2026:
- KI-VO Art. 99: bis 15 Mio. € oder 3% des weltweiten Jahresumsatzes bei Art. 4-Verstoß (KI-Kompetenz).
- DSGVO Art. 83: bis 20 Mio. € oder 4% des weltweiten Jahresumsatzes bei Art. 5/22/32-Verstoß.
- BetrVG: Untersagung des Tools, einstweilige Verfügung des Arbeitsgerichts auf Antrag des BR. Praktisch bedeutet das den sofortigen Stopp der KI-Nutzung im Unternehmen, mit allen operativen Folgen.
- Bußgeld nach § 121 BetrVG: bis 10.000 € pro Fall der Behinderung des Betriebsrats — kann sich addieren.
- § 26 BDSG i.V.m. Art. 6 DSGVO: rechtswidrige Verarbeitung von Beschäftigtendaten ohne wirksame Rechtsgrundlage.
In aggregierter Form: das Risiko ist nicht hypothetisch, es ist 2025-2026 mehrfach materialisiert. Eine Charta plus Betriebsvereinbarung kosten 8-12 Wochen Projekt; das Fehlen kostet Größenordnungen mehr.
Was wir nicht versprechen
Drei wiederkehrende Antipatterns, die wir bei DPLIANCE in der Arbeit mit einer Kundenorganisation an deren KI-Use-Cases vermeiden.
“Wir liefern eine universelle Charta schlüsselfertig.” Nein. Eine universelle Charta ist nicht anwendbar. Jede Organisation hat eine Branche, Daten, Tools, eine interne Kultur. Eine generische Vorlage ist ein Ausgangspunkt — sie reicht nicht aus, um eine robuste Charta zu produzieren. Die seriöse Erstellung führt über interne Konsultation (DSB, CISO, Recht, HR, Fachbereiche, zwingend Betriebsrat in Deutschland), also mehrere Wochen.
“Die Charta wird das Schatten-IT lösen.” Nein. Eine Charta ohne offizielle Alternative drängt das Schatten-IT nur stärker in den Untergrund. Praxisregel: Bevor eine Charta verbietet, die genehmigte Alternative bereitstellen.
“Charta unterschrieben und fertig.” Nein. Die Charta ist kein Amulett. Sie funktioniert nur kombiniert mit: Schulung (mindestens kurzes Modul), Dokumentation der zugelassenen Tools, identifiziertem Kontaktpunkt für Vorfälle und jährlichem Revisionszyklus. In Deutschland zusätzlich: gültige Betriebsvereinbarung. Ohne diese Komplemente ist die Charta ein inertes juristisches Papier.
DPLIANCE ist Software-Editor. Wenn wir eine maßgeschneiderte KI-Lösung für eine Organisation entwerfen, richten wir uns an deren bestehender Nutzungscharta aus: kompatible Modellwahl (Mistral, On-Premise), Aufsichtsniveau, Logging, Verarbeitungsverzeichnis-Speisung. DSB und CISO bleiben Eigentümer der Charta; wir operationalisieren sie.
FAQ
Ist eine KI-Charta in Deutschland 2026 verpflichtend?
Nicht buchstäblich verpflichtend — es gibt 2026 keine Vorschrift, die wörtlich besagt: “Jedes deutsche Unternehmen muss eine KI-Charta haben”. Aber Artikel 4 der KI-Verordnung verlangt KI-Kompetenz der Nutzer, die DSGVO verlangt Verarbeitungsdokumentation und Information der Betroffenen, und § 87 Abs. 1 Nr. 6 BetrVG verlangt zwingend die Mitbestimmung des Betriebsrats bei der Einführung technischer Einrichtungen, die zur Überwachung des Verhaltens oder der Leistung der Arbeitnehmer geeignet sind — was viele KI-Tools sind. Die Charta ist das einfachste, durchsetzbarste und kostengünstigste Instrument, um diese drei Konformitäten nachzuweisen.
Gilt die KI-Charta auch für externe Dienstleister?
Ja, sofern sie in den Dienstleistungsverträgen verankert ist. Eine Charta, die nur Mitarbeiter abdeckt, lässt eine Lücke für Subunternehmer, Leiharbeitnehmer (AÜG), Freelancer und Praktikanten. Sie muss als Anlage zu Lieferverträgen sowie Praktikums- oder Werkverträgen beigefügt werden. Bei einer BfDI- oder Landesdatenschutz-Prüfung wird der genaue Verpflichtungsumfang geprüft; eine vertragliche Lücke bei Drittdienstleistern ist eine klassische Beanstandung.
Wie lange dauert die Erstellung einer KI-Charta in Deutschland?
Für ein Mindestmodell v1 (1 operative Seite, durchsetzbar, unterschreibbar): 2 bis 3 Personentage — Erstellung, juristische Prüfung, Validierung durch Datenschutzbeauftragten (DSB) und CISO. Für eine vollständige, konzertierte Charta mit Betriebsratsmitbestimmung nach BetrVG und Schulungs-Rollout: 8 bis 12 Wochen Zyklus — länger als in anderen EU-Ländern, weil die Mitbestimmung des Betriebsrats bei Überwachungs-tauglichen KI-Tools nicht umgangen werden kann. Praxisregel: schnell ein v1-Mindestmodell ausrollen, dann über die folgenden 6-12 Monate anreichern.
Müssen Mitarbeiter die Charta unterschreiben?
Ja, dringend empfohlen. Eine individuell unterschriebene Charta (oder mit elektronischer Lesebestätigung) ist deutlich durchsetzbarer als eine, die per E-Mail oder Intranet verteilt wurde. Bei einem schwerwiegenden Vorfall (Datenleck, Missbrauch) beweist die individuelle Unterschrift, dass der Nutzer über die Regeln informiert wurde. Ohne diese Nachvollziehbarkeit verliert die Charta ihren disziplinarischen Wert. Wichtig: Eine Charta mit Überwachungsbezug (Logs, Monitoring der Nutzung) bedarf der Zustimmung des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG — die Unterschrift des Mitarbeiters ersetzt diese Zustimmung nicht.
Muss die Charta für alle Funktionen identisch sein?
Der gemeinsame Kern (Vertraulichkeitsverbote, je Datenart erlaubte Tools, Meldeverfahren, Sanktionen, Aktualisierung) muss einheitlich sein, um Durchsetzbarkeit und Kohärenz zu gewährleisten. Funktionsspezifische Regeln können über fachbereichliche Anlagen variieren: HR (Wachsamkeit bei Art. 22 DSGVO und Nicht-Diskriminierung beim Lebenslauf-Screening), Finanzen (M&A und Insiderinformationen verstärkt nach WpHG), F&E (Quellcode und IP-Regeln), Recht (Anwaltsgeheimnis), Gesundheit (Patientendaten, ärztliche Schweigepflicht). Eine Charta ohne fachbereichliche Anlagen ist zu allgemein; eine Charta ohne gemeinsamen Kern ist unverwaltbar.
Wer erstellt die KI-Charta?
In der Praxis steuern DSB und CISO die Erstellung gemeinsam. Die Rechtsabteilung validiert. HR signiert mit für die Durchsetzbarkeit als Bestandteil der Arbeitsordnung oder Betriebsvereinbarung. Die Hauptfachbereiche (Vertrieb, Operations, F&E, Support) werden konsultiert. Die Geschäftsführung billigt formal. Der Betriebsrat (BR) ist verbindlich einzubeziehen, sobald die Charta Themen enthält, die der Mitbestimmung unterliegen — was bei KI-Tools fast immer der Fall ist (BetrVG § 87.1.6, Überwachungsfähigkeit). Keine dieser Akteure allein kann eine robuste Charta produzieren — fachübergreifende Arbeit über 8-12 Wochen.
Wie oft muss die KI-Charta überarbeitet werden?
Mindestens jährlich. Schneller, wenn: ein neues KI-Tool im Unternehmen ausgerollt wird, eine wesentliche regulatorische Änderung eintritt (nächste KI-VO-Phase, EuGH-Rechtsprechung, BAG-Urteil zu KI am Arbeitsplatz), ein interner Vorfall eine Lücke offenbart, oder die Use Cases substantiell erweitert werden. Eine Charta, die seit 18 Monaten nicht aktualisiert wurde, ist fast immer obsolet — das KI-Ökosystem bewegt sich zu schnell. Bei wesentlichen Änderungen muss der Betriebsrat erneut zustimmen.
Ist eine 2024 erstellte Charta noch gültig?
Zu prüfen. Die KI-VO wendet sich seit Februar 2025 stufenweise an, mit aufeinanderfolgenden Phasen 2025-2027. Die BfDI- und Datenschutzkonferenz-Empfehlungen wurden 2024-2025 veröffentlicht. Die wichtigsten LLM-Anbieter (Mistral, OpenAI, Anthropic) haben ihre Unternehmensangebote und AVVs weiterentwickelt. Eine Charta von 2024 muss mindestens auf vier Punkten überprüft und aktualisiert werden: aktualisierter KI-VO-Bezugsrahmen, Liste der zugelassenen Tools, Lieferantenklauseln, Meldeverfahren. Anschließende Betriebsratszustimmung erforderlich.
Quellen: Verordnung (EU) 2024/1689 (KI-VO), insbesondere Artikel 4 zur KI-Kompetenz und Artikel 50 zur Transparenz; Verordnung (EU) 2016/679 (DSGVO) und BDSG, insbesondere § 26; Betriebsverfassungsgesetz (BetrVG), insbesondere § 87 Abs. 1 Nr. 6, §§ 95, 99; Arbeitsgerichtsgesetz (ArbGG); BfDI — Empfehlungen zur KI und DSGVO (bfdi.bund.de); Datenschutzkonferenz (DSK) — Orientierungshilfe KI; ständige Rechtsprechung des BAG zur Mitbestimmung bei IT-Systemen mit Überwachungsfähigkeit; EDSA, Stellungnahme 28/2024 zu KI-Modellen und DSGVO; ANSSI, Sicherheitsleitfaden generative KI; Rechtsprechung Garante (Italien) — OpenAI-Entscheidungen 2023 und 2024.
Um die Erstellung und Bereitstellung einer KI-Charta in Ihrer Organisation zu rahmen — Verzahnung mit Ihrer KI-Politik, Auswahl ausgerichteter Tools, begleitende Schulung, Betriebsvereinbarung — siehe unseren Leitfaden DSGVO-konforme KI, unseren KI-Schulungsleitfaden, unseren Leitfaden souveräne KI, oder kontaktieren Sie uns über unsere maßgeschneiderten KI-Lösungen.