What is an AI policy template and what should it include?

An AI policy template is a pre-built document organisations adapt to govern how employees use artificial intelligence tools at work. A complete AI policy template covers: scope (who the policy applies to), a list of approved AI tools and the approval process for new tools, data classification rules that specify which data can and cannot be entered into AI systems, prohibited uses such as generating discriminatory content or exfiltrating sensitive data, accountability and incident reporting procedures, and a review schedule. This template is designed to be customised with your organisation's specific tools, data tiers, and contact details before distribution.

What should an AI acceptable use policy cover?

An AI acceptable use policy should cover: the scope of who it applies to (employees, contractors, third parties); a list of approved AI tools and the process for getting new tools approved; data classification rules specifying what data can and cannot be entered into AI tools; prohibited uses such as generating discriminatory content, creating deepfakes, or circumventing security controls; accountability and incident reporting obligations; and a review schedule. Without these elements the policy cannot be enforced and provides no legal basis for action.

What is the difference between an AI acceptable use policy and an AI policy?

An AI policy is the broad governing document that sets your organisation's overall position on AI: principles, roles, risk appetite, procurement standards, and how AI decisions are made and overseen. An AI acceptable use policy (AUP) is the narrower, employee-facing rulebook that sits inside that programme and tells staff exactly what they can and cannot do with AI tools day to day: which tools are approved, what data is allowed, and what is prohibited. In practice the AUP is the part employees sign and the part you actually enforce. Many organisations publish one combined document, but the acceptable use rules are the operative section.

How often should you update an AI acceptable use policy?

Review an AI acceptable use policy at least annually, and sooner whenever something material changes: a new AI tool is approved or banned, a vendor changes its data handling or training terms, your data classification scheme changes, or a regulation such as the EU AI Act reaches a new compliance milestone. Because the approved tools list and data rules move faster than the rest of the document, keep them in an appendix you can revise without reissuing the whole policy. Record a version number, the review date, and the owner so auditors can see the policy is actively maintained.

Do I need a separate policy for ChatGPT?

You do not need a separate ChatGPT policy if your AI acceptable use policy includes a clear approved tools list and data handling rules. Reference ChatGPT by name in your approved or prohibited tools list as appropriate. If ChatGPT Enterprise is approved for internal use, specify which version, which data tiers are permitted, and whether your contract with OpenAI includes a no-training clause. A single comprehensive policy that names specific tools is cleaner to enforce than multiple tool-specific documents.

Is an AI acceptable use policy required under the EU AI Act?

The EU AI Act does not prescribe an acceptable use policy by name, but it does require deployers of high-risk AI systems to implement appropriate governance measures, conduct fundamental rights impact assessments, and maintain human oversight. ISO 42001 (AI Management Systems) and NIST AI RMF both explicitly require documented AI use policies as part of a compliant AI governance programme. Regulators and auditors increasingly expect to see a documented AI policy as baseline evidence of AI governance maturity.

How do I enforce an AI acceptable use policy?

Enforcing an AI acceptable use policy requires both technical controls and procedural measures. Technical controls include blocking unapproved AI tools at the network or endpoint level, deploying data loss prevention (DLP) tools that detect sensitive data being sent to AI services, and using an AI security platform to monitor which AI tools employees are accessing. Procedural measures include requiring employees to sign the policy, training staff on their obligations, logging violations, and having a clear disciplinary process. A policy without technical enforcement is aspirational, not operational.

Sichern Sie sich Ihre kostenlose 90-Tage-Testversion zur Risikoerkennung für generative KI:90 Tage Risikoerkennung für generative KI:Jetzt starten

Demo buchen

Kostenlose KI-Richtlinienvorlage

Vorlage für eine Richtlinie zur
akzeptablen KI-Nutzung

Kostenlose KI-Richtlinienvorlage für Mitarbeitende, die zugelassene Tools, Datenklassifizierungsregeln, verbotene Nutzungen und Compliance-Anforderungen abdeckt. Die meistgeladene KI-Governance-Vorlage für Sicherheitsteams in Unternehmen.

Vorlage herunterladen Demo buchen

Zuletzt aktualisiert: 23. Juni 2026

Eine Richtlinie zur akzeptablen KI-Nutzung ist das an die Mitarbeitenden gerichtete Regelwerk, das festlegt, wie Beschäftigte KI-Tools bei der Arbeit nutzen dürfen: welche Tools zugelassen sind, welche Daten darin eingegeben werden dürfen und welche Nutzungen verboten sind. Im Jahr 2026 muss eine brauchbare Richtlinie sechs Dinge abdecken: den Geltungsbereich (für wen sie gilt), eine Liste zugelassener Tools und den Prozess zur Aufnahme neuer Tools, Datenklassifizierungsregeln dazu, was in KI eingegeben werden darf und was nicht, verbotene Nutzungen, Verantwortlichkeit und Vorfallmeldung sowie einen Überprüfungszyklus.

Um eine solche umzusetzen, inventarisieren Sie die bereits genutzten KI-Tools (einschließlich Shadow AI), ordnen Sie Ihre Datenklassifizierungsstufen klaren Erlaubnis- und Verbotsregeln zu, benennen Sie den Verantwortlichen und den Meldekontakt und verteilen Sie sie anschließend zur Kenntnisnahme durch die Mitarbeitenden. Die untenstehende Vorlage ist ausfüllbereit. Der Teil, den die meisten Richtlinien auslassen, ist die Durchsetzung: Ein Dokument allein hält sensible Daten nicht davon ab, ein KI-Tool zu erreichen. Der Abschnitt nach der Vorlage zeigt daher, wie jede Klausel einer technischen Kontrolle entspricht, die Sie tatsächlich betreiben können.

0 %

der Mitarbeitenden nutzen KI bei der Arbeit

0 Abschnitte

vollständige Richtlinienabdeckung

0 Rahmenwerke

EU AI Act, ISO 42001, NIST

Kostenlos

nutzbar und anpassbar

Warum Sie eine Richtlinie zur akzeptablen KI-Nutzung brauchen

Die meisten Organisationen haben KI-Tools eingeführt, ohne eine formale Richtlinie dafür, wie Mitarbeitende sie nutzen dürfen. Das schafft ein reales rechtliches, regulatorisches und reputationsbezogenes Risiko, insbesondere da Regulierungsbehörden beginnen, KI-Governance-Anforderungen durchzusetzen.

78 %

Mitarbeitende nutzen KI-Tools ohne IT-Freigabe

Der Großteil der KI-Einführung geschieht außerhalb genehmigter Kanäle und erzeugt eine unkontrollierte Datenexposition.

Die meisten Organisationen haben keine formale KI-Richtlinie

Ohne eine dokumentierte Richtlinie gibt es keine rechtliche Grundlage, um KI-Nutzungsregeln durchzusetzen oder disziplinarische Maßnahmen zu ergreifen.

Regulatorische Rahmenwerke verlangen jetzt KI-Governance

EU AI Act, ISO 42001 und NIST AI RMF verlangen allesamt eine dokumentierte KI-Governance einschließlich Nutzungsrichtlinien.

24 Std.

Die Vorfallreaktion erfordert eine Richtlinien-Grundlage

Ohne eine Richtlinie können Sie nicht feststellen, ob ein KI-bezogener Datenvorfall einen Verstoß darstellt, und auch die Haftung nicht beurteilen.

Die Richtlinienvorlage

Klicken Sie auf jeden Abschnitt, um den Richtlinientext aufzuklappen. Passen Sie die hervorgehobenen Platzhalter an Ihre Organisation an.

Diese Richtlinie regelt die Nutzung von Tools und Diensten der künstlichen Intelligenz (KI) durch alle Mitarbeitenden, Auftragnehmer und Dritte, die im Namen von [Organisation Name] handeln. Sie gilt für alle zu Arbeitszwecken genutzten KI-Tools, unabhängig davon, ob der Zugriff über Unternehmensgeräte oder private Geräte erfolgt.

Vollständige Richtlinie herunterladen

So passen Sie diese Vorlage an Ihre Organisation an

Die obige Vorlage ist ein Ausgangspunkt. Befolgen Sie diese Schritte, um sie in eine durchsetzbare Richtlinie für Ihre spezifische Umgebung zu verwandeln.

Fügen Sie den Namen Ihrer Organisation hinzu

Ersetzen Sie alle Vorkommen von [Organisation Name] durch den Namen Ihrer Rechtseinheit.

Erstellen Sie Ihre Liste zugelassener Tools

Füllen Sie Anhang A mit konkreten KI-Tools, Versionen und allen zugelassenen Anwendungsfall-Beschränkungen. Benennen Sie den IT-Sicherheitskontakt für Anfragen zu neuen Tools.

Ordnen Sie Ihre Datenklassifizierungsstufen zu

Bringen Sie Abschnitt 3 mit Ihrer bestehenden Datenklassifizierungsrichtlinie in Einklang. Fügen Sie Stufennamen (z. B. Beschränkt, Vertraulich, Intern, Öffentlich) und alle toolspezifischen Regeln hinzu.

Benennen Sie Ihre Meldekontakte

Ersetzen Sie [IT Security Contact] durch eine benannte Person oder einen Team-Alias. Fügen Sie einen Eskalationspfad für Vorfälle hinzu, die eine regulatorische Meldung erfordern könnten.

Legen Sie Ihren Überprüfungszyklus fest

Legen Sie die Überprüfungshäufigkeit fest (jährlich ist das Minimum), benennen Sie den Richtlinienverantwortlichen und fügen Sie eine Versionshistorie-Tabelle hinzu, damit Auditoren Änderungen nachverfolgen können.

Von der Richtlinie zur Durchsetzung

Ein Richtlinien-PDF hält niemanden davon ab, Kundendaten in einen Chatbot einzufügen. Jede Klausel der obigen Vorlage entspricht einer Kontrolle, die Sie betreiben können. Das ist der Teil, den die meisten KI-Richtlinien-Leitfäden auslassen, und genau das macht aus einer geschriebenen Regel etwas, das Sie nachweisen können.

Richtlinienklausel

Wie Aona sie durchsetzt

Liste zugelassener Tools (Abschnitt 2)

Aona erkennt jedes genutzte KI-Tool über ein Browser-Plugin für Chrome, Edge und Firefox sowie eine native Endpunkt-App für Windows und macOS und gleicht die Nutzung mit einem Katalog von über 5.600 KI-Tools ab. Sie sehen, wer welches Tool nutzt, einschließlich nicht genehmigter Shadow AI, und werden alarmiert, wenn ein nicht zugelassenes Tool auftaucht, sodass die Erlaubnis- und Sperrlisten Ihrer Richtlinie auf echter Transparenz beruhen.

Datenklassifizierungsregeln (Abschnitt 3)

Wenn ein Mitarbeitender einen Prompt einreicht oder eine Datei hochlädt, prüft Aona den Inhalt serverseitig, bevor er das Modell erreicht, klassifiziert alle sensiblen Daten (PII, Finanzunterlagen, Quellcode, vertrauliche Dokumente) und wendet Ihre Richtlinie an. Die Daten, die laut Ihrer Richtlinie niemals in ein KI-Tool gelangen dürfen, werden zum Zeitpunkt der Einreichung abgefangen und nicht erst später in einem Audit entdeckt.

Verbotene Nutzungen (Abschnitt 4)

Wenn ein Prompt oder eine Datei gegen die Regeln verstößt, blockiert Aona ihn hart mit einem modalen Dialog ohne „Bestätigen-und-fortfahren"-Option oder schwärzt den sensiblen Teil, bevor die Anfrage durchgeht, je nach der Richtlinie, die Sie pro Team, Tool und Datentyp festlegen. Das Verbot wird im Moment der Nutzung durchgesetzt, statt sich darauf zu verlassen, dass das Personal sich daran erinnert.

Verantwortlichkeit und Meldung (Abschnitt 5)

Jede Prüfung, Blockierung und Schwärzung wird protokolliert und gibt Ihrem Sicherheitsteam den Audit-Trail, von dem Vorfallmeldung und disziplinarische Prozesse abhängen. Die Daten bleiben in der von Ihnen gewählten Region über 7 aktive Regionen hinweg ansässig, und Aona ist SOC 2 Type II zertifiziert.

Sehen Sie, wie das für Ihre gesamte Belegschaft funktioniert, unter Workforce AI Security, oder erkunden Sie die Aona-Plattform. Diese Seite dient der Information und stellt keine Rechtsberatung dar.

FAQ

Häufig gestellte Fragen

Eine Richtlinie zur akzeptablen KI-Nutzung sollte abdecken: den Geltungsbereich, für wen sie gilt (Mitarbeitende, Auftragnehmer, Dritte); eine Liste zugelassener KI-Tools und den Prozess, um neue Tools zulassen zu lassen; Datenklassifizierungsregeln, die festlegen, welche Daten in KI-Tools eingegeben werden dürfen und welche nicht; verbotene Nutzungen wie das Erzeugen diskriminierender Inhalte, das Erstellen von Deepfakes oder das Umgehen von Sicherheitskontrollen; Pflichten zur Verantwortlichkeit und Vorfallmeldung; und einen Überprüfungsplan. Ohne diese Elemente kann die Richtlinie nicht durchgesetzt werden und bietet keine rechtliche Grundlage zum Handeln.

Erste Schritte

Setzen Sie Ihre KI-Richtlinie automatisch durch

Eine schriftliche Richtlinie ist nur der erste Schritt. Aona setzt Ihre Richtlinie zur akzeptablen KI-Nutzung in Echtzeit durch, blockiert nicht zugelassene Tools, erkennt sensible Daten, die in KI-Dienste gelangen, und erzeugt den Audit-Trail, den Ihr Compliance-Team benötigt.

Demo buchen

Verwandte KI-Governance-Vorlagen

Charta des KI-Governance-Ausschusses Vorlage zur KI-Risikobewertung Leitfaden zur KI-Datenklassifizierung Bewertung der KI-Governance-Reife Tracker für regulatorische KI-Compliance Aona-AI-Plattform KI-Governance-Rahmenwerk Alle KI-Governance-Vorlagen

Vorlage für eine Richtlinie zurakzeptablen KI-Nutzung

Setzen Sie Ihre KI-Richtlinie automatisch durch

Vorlage für eine Richtlinie zur
akzeptablen KI-Nutzung