Erstgespräch kostenfrei — 20 Minuten, unverbindlich, ohne Vorbereitung.

Gespräch vereinbaren
Kontakt

Michael Höner Solutions

Kategorie: KI & Verantwortung

  • Architektur statt Aktionismus: ein Praxisbeispiel zum Anrufen

    Architektur statt Aktionismus: ein Praxisbeispiel zum Anrufen

    Warum ich mein Telefon nicht ausgelagert, sondern neu gedacht habe

    Ich verpasse Anrufe. Nicht aus Desinteresse, sondern weil ich in einem Gespräch sitze, konzentriert an einer Architektur arbeite oder schlicht nicht erreichbar bin. Jeder verpasste Anruf ist eine Frage, die unbeantwortet bleibt – und manchmal ein Gespräch, das nie zustande kommt.

    Die naheliegende Lösung wäre ein Telefonservice oder eines der neuen KI-Telefonprodukte gewesen. Stattdessen habe ich mich gefragt: *Was würde es eigentlich bedeuten, so etwas selbst zu bauen – sauber, datenschutzkonform, in meiner eigenen Hand?*

    Das ist keine Bastelei aus Langeweile. Es ist die Frage, die ich auch meinen Kunden stelle: nicht „welches Tool kaufen wir“, sondern „was genau wollen wir
    erreichen, und welche Architektur trägt das“.

    Was entstanden ist

    „Felix“ nimmt jetzt meine Anrufe entgegen. Er begrüßt den Anrufer in meinem Namen, versteht das Anliegen, ordnet es ein, nimmt bei Bedarf eine Nachricht oder eine Sprachnachricht auf und stellt wichtige Gespräche durch. Er spricht ruhig, siezt, drängt nicht – so, wie ich selbst am Telefon auftreten würde.

    Das Entscheidende ist, *wo* er läuft: auf einem kleinen Rechner bei mir, an meinem eigenen Anschluss. Die Gespräche verlassen mein Haus nicht in eine fremde Cloud.
    Den KI-Anbieter kann ich frei wählen – auch eine europäische, DSGVO-konforme Variante. **Datenhoheit ist hier kein Marketing-Versprechen, sondern eine
    Architekturentscheidung.**

    Drei Dinge, die ich dabei gelernt habe

    1. KI ist heute zugänglicher, als die meisten denken – und unmündiger, als die
      Werbung suggeriert.
      Die Bausteine sind verfügbar. Aber ein System, das am Telefon professionell auftritt, entsteht nicht durch „KI anschalten“. Es entsteht durch viele kleine, bewusste Entscheidungen: Wann unterbricht es höflich? Wie verhindert man, dass jemand vertrauliche Interna ins Telefon diktiert? Wann ist Schweigen besser als eine schnelle, falsche Antwort?
    2. Die Technik ist selten das Problem. Die Haltung ist es.
      Mein Assistent verkauft nicht. Er hört zu, ordnet ein, führt zu *einem* sinnvollen nächsten Schritt. Genau das musste ich ihm beibringen – gegen die Tendenz solcher Systeme, geschwätzig und gefällig zu sein. Eine KI ist immer auch ein Spiegel der Haltung, mit der man sie baut.
    3. Datenschutz ist eine Designfrage, kein Nachgedanke.
      Wer ihn erst am Ende „dazupackt“, hat die Architektur schon falsch aufgesetzt. Wer ihn an den Anfang stellt – eigene Hardware, eigene Schlüssel, klare Löschregeln – bekommt ihn fast geschenkt.

    Was das für Sie bedeutet

    Sie müssen kein Telefonsystem bauen. Aber die Fragen dahinter stellen sich in jedem KMU, das gerade über KI nachdenkt:

    • – Kaufen wir ein Werkzeug – oder verstehen wir zuerst, was wir erreichen wollen?
    • – Wo liegen unsere Daten, und wer hat darauf Zugriff?
    • – Behalten wir die Kontrolle über das, was im Namen unseres Unternehmens spricht?

    Das ist der Kern dessen, wofür ich stehe: **Architektur statt Aktionismus.** Nicht dem nächsten Hype hinterherlaufen, sondern erst durchdenken, dann handeln. Felix ist für mich der lebende Beweis, dass das funktioniert – im Kleinen genauso wie in großen Digitalisierungsvorhaben.

    Ein nächster Schritt

    Wenn Sie gerade vor einer KI- oder Digitalisierungsentscheidung stehen und sie einmal in Ruhe einordnen wollen: In einem kurzen Erstgespräch (20 Minuten, unverbindlich) klären wir, worum es bei Ihnen eigentlich geht – ohne Sales-Pitch, mit einer ehrlichen Einschätzung.

    Und wenn Sie demnächst bei mir anrufen: Sagen Sie Felix ruhig Guten Tag.

  • Der KI-Omnibus nimmt die Pflicht raus. Nicht das Risiko!

    Der KI-Omnibus nimmt die Pflicht raus. Nicht das Risiko!

    Der KI-Omnibus nimmt formal Druck aus der KI-Kompetenzpflicht, ändert aber nichts daran, dass Unternehmen ohne saubere Schulung ein reales Risiko fahren – rechtlich und operativ. Die Frage verschiebt sich von „Sind wir verpflichtet?“ zu „Können wir es uns leisten, es nicht zu tun?“.

    Was steckt hinter dem KI-Omnibus?

    Der „Digital Omnibus on AI“ ist ein Änderungsvorschlag der EU-Kommission zur bestehenden KI-Verordnung (EU AI Act). Ziel: Regeln vereinfachen, Bürokratie reduzieren und vor allem KMU entlasten – ohne den risikobasierten Schutzansatz über Bord zu werfen.

    Der Omnibus ist Teil einer größeren Wettbewerbs- und Entbürokratisierungsstrategie der EU. Im Kern geht es darum, KI-Regulierung praxistauglicher zu machen: weg von theoretisch perfekten, aber schwer umsetzbaren Vorgaben, hin zu Vorgaben, die Unternehmen mit vertretbarem Aufwand erfüllen können.

    Die zentralen Änderungen im Überblick

    1. KI-Kompetenzpflicht wird zur Empfehlung

    Bislang verpflichtet Artikel 4 der KI-Verordnung Anbieter und Betreiber, sicherzustellen, dass ihr Personal über angemessene KI-Kompetenz verfügt. Formal war das schon eher als Appell formuliert und nicht bußgeldbewehrt, aber klar als Arbeitgeberpflicht adressiert.

    Der KI-Omnibus dreht hier weiter runter: Aus der Pflicht soll eine Empfehlung werden. Die Verantwortung, KI-Kompetenz in der Breite zu fördern, rückt stärker zur öffentlichen Hand – also zu Mitgliedstaaten und EU, etwa über Programme, Leitfäden und Bildungsinitiativen.

    Für Arbeitgeber heißt das: weniger ausdrücklicher Regulierungsdruck. Aber die Verantwortung verschwindet nicht. Wer produktiv KI einsetzt, ohne die Leute zu befähigen, schafft sich an anderer Stelle ein Haftungs- und Qualitätsproblem.

    2. Längere Übergangsfristen

    Der Omnibus sieht verlängerte Übergangsfristen für wesentliche Compliance-Pflichten vor, insbesondere für:

    • Hochrisiko-KI-Systeme

    • General Purpose AI (GPAI), also Modelle mit allgemeinem Verwendungszweck

    Unternehmen sollen mehr Luft bekommen, um Dokumentation, Risikoanalysen, technische Anpassungen und Governance-Strukturen aufzubauen. Das ist relevant, wenn KI nicht nur als Pilot läuft, sondern tief in Prozesse, Produkte oder Personalentscheidungen hineinreicht.

    3. Erleichterungen für Mittelstand und „Small Mid-Caps“

    Ein klarer Schwerpunkt liegt auf Entlastungen für kleinere Unternehmen und „Small Mid-Caps“ (bis 750 Mitarbeitende oder 150 Mio. Euro Umsatz). Vorgesehen sind unter anderem:

    • vereinfachte Konformitätsbewertungen in bestimmten Konstellationen

    • reduzierte Dokumentationsanforderungen

    • teilweise abgesenkte Bußgelder

    Die Botschaft: KI-Regulierung soll Mittelständler nicht davon abhalten, sinnvolle KI-Anwendungen überhaupt anzugehen. Gleichzeitig: Hochrisiko-Anwendungen bleiben reguliert, nur der Weg dahin wird pragmatischer.

    4. Governance, Hochrisiko-KI und Sandboxes

    Auch an der Governance-Struktur wird gedreht. Rolle und Zuständigkeiten des EU AI Office und das Zusammenspiel mit nationalen Aufsichtsbehörden sollen geschärft werden. Ziel: weniger Flickenteppich, mehr einheitliche Anwendung der KI-Verordnung in der EU.

    Für Hochrisiko-KI sollen Anforderungen praxistauglicher werden, etwa bei Risikobewertung und technischer Dokumentation. Statt pauschalem Maximalanspruch geht es stärker um reale Risikosituationen.

    Parallel stärkt der Omnibus regulatorische Sandboxes. Unternehmen können KI-Anwendungen in einem kontrollierten Rahmen testen, bevor die volle Regulierung greift. Das ist für Organisationen interessant, die ernsthaft experimentieren wollen, ohne im Blindflug unterwegs zu sein.

    Wo steht das Gesetzgebungsverfahren?

    Der KI-Omnibus ist aktuell noch ein Vorschlag, aber weit fortgeschritten. Seit April 2026 läuft der Trilog zwischen Kommission, Rat und Parlament, eine politische Einigung im Frühsommer 2026 ist realistisch. Erfahrungsgemäß folgt die formale Annahme und Veröffentlichung dann innerhalb weniger Wochen.

    Wichtig: Bis zur endgültigen Verabschiedung gilt die bestehende Rechtslage. Artikel 4 der KI-Verordnung bleibt also in Kraft. Unternehmen unterliegen weiterhin der Pflicht, KI-Kompetenz sicherzustellen – auch wenn diese Pflicht schon jetzt eher weich ausgestaltet ist.

    Was bedeutet das für Arbeitgeber?

    Die geplante Umwandlung der KI-Kompetenzpflicht in eine Empfehlung klingt nach Entlastung. In der Praxis sollte sie aber kein Argument sein, Schulungen einzusparen oder Projekte auf „Selbststudium“ umzustellen.

    Drei Punkte sind entscheidend:

    1. Haftung hört nicht auf, nur weil die Regulierung weicher wird.
      Wenn ungeschulte Mitarbeitende KI-Systeme falsch nutzen und dadurch Schäden entstehen, steht schnell die Frage im Raum, ob die Organisation ihre Sorgfaltspflichten erfüllt hat. Die KI-Verordnung ist dann nur ein Baustein in der Bewertung – Arbeitsrecht, Zivilrecht und interne Compliance spielen genauso mit hinein.

    2. Ohne Kompetenz wird KI ineffizient oder gefährlich eingesetzt.
      Mitarbeitende, die Funktionsweise, Grenzen und Risiken von KI nicht verstehen, neigen entweder zu blindem Vertrauen („die KI wird schon recht haben“) oder zu genereller Ablehnung. Beides ist schlecht: Entweder entstehen Qualitäts- und Sicherheitsprobleme, oder die Investition in KI verpufft.

    3. KI-Kompetenz ist ein Wettbewerbsfaktor, keine Strafmaß-Vermeidungsmaßnahme.
      Unternehmen, die ihr Personal strukturiert qualifizieren, integrieren KI schneller, stabiler und nachvollziehbarer. Sie können Kunden, Aufsichtsbehörden und Mitarbeitenden erklären, was das System tut – und warum. Das ist in vielen Branchen längst ein Differenzierungsmerkmal.

    Kein Freibrief, sondern ein Stresstest für Governance

    Der KI-Omnibus markiert einen Kurswechsel: weg von der Idee, KI-Kompetenz über harte Pflichten zu erzwingen, hin zu mehr Eigenverantwortung und staatlicher Förderung. Für Arbeitgeber ist das bequem – und gleichzeitig ein Stresstest.

    Wer KI heute ernsthaft einsetzt, sollte bestehende Schulungskonzepte, KI-Governance-Strukturen und Richtlinien nicht abbauen, sondern konsolidieren und gezielt weiterentwickeln. Der regulatorische Druck mag nachlassen. Die Verantwortung für sauberes, nachvollziehbares und sicheres Handeln bleibt bei dir.

    Wenn du magst, können wir daraus im nächsten Schritt eine sehr konkrete 1‑Seiten-KI-Schulungsroadmap für deine Kunden bauen – eher für KMU oder für größere Organisationen mit mehreren Standorten?

  • DSVGO-konforme KI ist kein Häkchen. Sondern Architektur.

    DSVGO-konforme KI ist kein Häkchen. Sondern Architektur.

    DSGVO-konforme KI heißt nicht: ein Häkchen im Tool setzen und fertig. Sie heißt: KI so in Ihre Prozesse einbauen, dass Rechte von Menschen, Geschäftsrisiken und regulatorische Pflichten sauber zusammenspielen – von der Datenerfassung bis zur Auswertung.

    Was bedeutet DSGVO-Konformität bei KI konkret?

    Sobald eine KI personenbezogene Daten verarbeitet – Namen, E-Mails, Logdaten, Nutzungsprofile, Chat-Inhalte – gilt die DSGVO mit allen Grundsätzen und Pflichten. KI ist kein Sonderrecht, sondern ein weiterer Verarbeitungsvorgang, der auf eine Rechtsgrundlage gestützt sein muss, etwa Vertragserfüllung, rechtliche Pflicht, Einwilligung oder berechtigtes Interesse nach Art. 6 DSGVO.

    Unternehmen bleiben Verantwortliche, auch wenn sie externe KI-Anbieter nutzen oder Cloudmodelle einbinden. Sie müssen also nachweisen können, dass sie Datenschutzgrundsätze einhalten, Betroffenenrechte ermöglichen und geeignete technische und organisatorische Maßnahmen getroffen haben.

    Wird KI für Profiling oder automatisierte Entscheidungen mit erheblichen Auswirkungen eingesetzt – etwa Scoring, Risikobewertungen oder Personaleinsatzplanung – kommen zusätzliche Anforderungen wie Informationspflichten zur Logik und zu den Auswirkungen der Entscheidungen dazu.

    Zentrale Datenschutzgrundsätze für KI

    Die DSGVO liefert kein eigenes KI-Kapitel, aber ihre Grundprinzipien passen sehr gut auf KI-Systeme.

    • Rechtmäßigkeit und Zweckbindung
      Vor jedem KI-Einsatz braucht es einen klar definierten Zweck: Wofür genau sollen die Daten genutzt werden (z. B. Support-Automatisierung, Fraud Detection, Wartungsprognosen)? Daraus leiten Sie die Rechtsgrundlage ab und begrenzen die Verarbeitung auf diesen Zweck.

    • Datensparsamkeit und Speicherbegrenzung
      KI „lebt“ von Daten, aber DSGVO-konform heißt: nur so viele Daten wie nötig und nur so lange wie nötig. Für Trainingsdaten, Logs und Prompt-Historien braucht es klare Löschkonzepte und Pseudonymisierung, wo immer möglich.

    • Transparenz und Fairness
      Betroffene müssen verstehen können, dass und wie KI eingesetzt wird, welche Daten verwendet werden und welche Folgen das hat. Gerade bei automatisierten Entscheidungen sind Aussagen zur involvierten Logik und zu möglichen Auswirkungen Pflicht.

    • Integrität, Vertraulichkeit und Sicherheit
      KI-Systeme müssen gegen unbefugten Zugriff, Datenlecks und Manipulation geschützt sein. Das umfasst Verschlüsselung, Zugriffskonzepte, Monitoring und regelmäßig geprüfte technische und organisatorische Maßnahmen.

    • Privacy by Design und by Default
      Datenschutz muss ins Modell und in die Architektur eingebaut werden, nicht im Nachhinein daraufgeklebt werden. Voreinstellungen sollten datenschutzfreundlich sein: minimale Datensammlung, deaktivierte unnötige Trackingfunktionen, strenge Rollen- und Berechtigungsmodelle.

    Typische Herausforderungen für Unternehmen

    In der Praxis scheitert DSGVO-konforme KI selten an der Theorie, sondern an Strukturen und Verantwortung.

    • Intransparente „Black-Box“-Modelle
      Viele Unternehmen wissen nicht genau, welche Daten der Anbieter wofür verarbeitet, wo sie gespeichert werden und ob sie zu Trainingszwecken weiterverwendet werden. Ohne diese Infos wird jede Datenschutz-Folgenabschätzung zur Glaskugelübung.

    • Unklare Rollen: Verantwortlicher vs. Auftragsverarbeiter
      Je nach KI-Szenario ist der Hersteller reiner Auftragsverarbeiter oder teilweise eigener Verantwortlicher. Das muss vertraglich sauber geklärt sein, inklusive Auftragsverarbeitungsvertrag und Unterauftragsnehmern.

    • Datenminimierung vs. Modellqualität
      Technische Teams möchten viele Daten, um Modelle zu verbessern. Datenschutz verlangt Beschränkung und klare Löschregeln. Dieser Zielkonflikt braucht Governance: jemand entscheidet bewusst, welche Daten wirklich nötig sind.

    • DSFA-Pflicht und fehlende Informationen
      Bei vielen KI-Anwendungen ist eine Datenschutz-Folgenabschätzung (DSFA) zwingend, etwa bei umfangreicher Profilbildung oder Bewertung persönlicher Aspekte. Die Aufsichtsbehörden betonen, dass Verantwortliche dafür auf fundierte Informationen der Anbieter angewiesen sind – die oft nicht vollständig vorliegen.

    • Umgang mit Betroffenenrechten
      Auskunft, Löschung oder Widerspruch in komplexen KI-Architekturen technisch sauber umzusetzen, ist anspruchsvoll, vor allem wenn Trainingsdaten, Logs und Backups im Spiel sind.

    EU AI Act als ergänzender Rechtsrahmen

    Der EU AI Act ergänzt die DSGVO, ersetzt sie aber nicht. Während die DSGVO den Schutz personenbezogener Daten regelt, adressiert der AI Act Risiken von KI insgesamt: Sicherheit, Diskriminierung, Transparenz und menschliche Aufsicht.

    Unternehmen müssen KI-Systeme nach Risikokategorien einordnen: von verbotenen Praktiken bis hin zu Hochrisiko-KI mit strengen Pflichten, etwa Dokumentation, Risikoanalysen, Qualität des Trainingsdatensatzes, Human Oversight und Konformitätsbewertung. Für viele Organisationen bedeutet das: Inventarisierung aller KI-Systeme, Risikoanalyse und regelmäßige Überprüfung werden Pflicht.

    Datenschutz und AI Act greifen ineinander: Hochrisiko-KI muss nicht nur DSGVO-konform sein, sondern auch AI-Act-Anforderungen wie Transparenzberichte, CE-Kennzeichnung und technische Dokumentation erfüllen. Für Sie als Verantwortlichen ergibt sich daraus ein gemeinsamer Governance-Rahmen statt zwei getrennte Baustellen.

    Konkrete Handlungsempfehlungen für Unternehmen

    Statt über „KI-Strategie“ abstrakt zu diskutieren, hilft eine nüchterne Architekturperspektive. Ein mögliches Vorgehen:

    1. KI-Landkarte erstellen
      Erfassen Sie alle KI-Anwendungen im Unternehmen: eingesetzte Tools, Schnittstellen, Datentypen, Zwecke und beteiligte Dienstleister. Diese Transparenz ist Basis für jede Risikobewertung.

    2. Zwecke und Rechtsgrundlagen pro Use Case festlegen
      Für jede Anwendung klar definieren: Zweck, betroffene Personengruppen, Datenarten, Rechtsgrundlage und geplante Speicherdauer. Alles, was sich nicht sauber begründen lässt, wird entweder angepasst oder gestrichen.

    3. Datenschutz-Folgenabschätzung dort, wo das Risiko hoch ist
      Prüfen Sie systematisch, ob für einen Use Case eine DSFA erforderlich ist – bei Profiling, Scoring oder sensiblen Daten ist das oft der Fall. Grundlage sind strukturierte Infos vom Anbieter zur Funktionsweise und zu den Risiken des Systems.

    4. Verträge und TOM mit Anbietern aktualisieren
      Schließen oder aktualisieren Sie Auftragsverarbeitungsverträge, klären Sie Unterauftragsverarbeiter, Datenübermittlungen in Drittländer und dokumentieren Sie technische und organisatorische Maßnahmen. Prüfen Sie, ob der Anbieter Optionen für Privacy by Design und by Default bietet.

    5. Technische Architektur auf Datenschutz ausrichten

      • Pseudonymisierung und Anonymisierung, wo immer möglich

      • Strenge Rollen- und Rechtekonzepte für KI-Tools

      • Trennung von Produktivdaten und Trainingsdaten, definierte Löschpfade

      • Logging und Monitoring, um Zugriffe und Anomalien nachhalten zu können

    6. Transparenz- und Informationskonzepte bauen
      Passen Sie Datenschutzhinweise, interne Richtlinien und Informationsblätter an, damit Betroffene verstehen, welche KI eingesetzt wird und welche Auswirkungen das hat. Stellen Sie intern Vorlagen bereit, wie automatisierte Entscheidungen erklärt werden können.

    7. Kompetenz im Unternehmen aufbauen
      KI- und Datenschutzkompetenz lassen sich nicht vollständig outsourcen. Der AI Act verlangt, dass Mitarbeitende, die mit KI-Systemen arbeiten, angemessen geschult sind. Dazu gehören Grundlagen zu DSGVO, zu Risiken von KI sowie zur praktischen Nutzung der eingesetzten Systeme.

    8. Governance etablieren statt Einzelfallreaktion
      Richten Sie ein kleines, verbindliches Gremium ein (IT, Fachbereich, Datenschutz, ggf. Legal), das neue KI-Use-Cases prüft, Risiken bewertet und Freigaben dokumentiert. So entsteht ein wiederholbares Muster statt Einzellösungen.

  • EU AI Act: Auch wenn Sie nur ChatGPT nutzen.

    EU AI Act: Auch wenn Sie nur ChatGPT nutzen.

    „Wir nutzen doch nur ChatGPT.“ Diesen Satz höre ich oft. Er klingt harmlos — und er ist es meistens auch. Aber er ist kein Freifahrtschein. Der EU AI Act unterscheidet nicht danach, ob ein Unternehmen KI entwickelt oder nur nutzt. Er unterscheidet nach Risikoklasse, Anwendungsfall und Konsequenz.

    Das Gute: Die meisten KMU fallen nicht in die Hochrisiko-Kategorie. Das Schlechte: Dokumentations- und Governance-Pflichten treffen fast jeden — und werden regelmäßig unterschätzt.

    Was das konkret bedeutet und was jetzt zu tun ist, kläre ich hier.

    Vier Risikoklassen — eine kurze Einordnung

    Der AI Act teilt KI-Systeme in vier Klassen ein. Die Klasse bestimmt, welche Pflichten gelten.

    Verbotene KI

    Systeme, die grundlegende Rechte verletzen: Social Scoring durch Behörden, biometrische Massenüberwachung in Echtzeit, manipulative KI ohne Bewusstsein der Betroffenen. Für KMU in der Praxis kaum relevant — aber wichtig zu kennen.

    Hochrisiko-KI

    Systeme in sensiblen Bereichen: Personalentscheidungen, Kreditwürdigkeit, kritische Infrastruktur, Bildung, Strafverfolgung. Hier gelten strenge Anforderungen: Konformitätsbewertung, Transparenzpflichten, menschliche Aufsicht, umfangreiche Dokumentation.

    Begrenzt riskante KI

    Chatbots, generative Systeme, Deepfakes. Die Kernpflicht: Transparenz. Nutzer müssen wissen, dass sie mit KI interagieren.

    Minimales Risiko

    Spam-Filter, KI-basierte Produktempfehlungen, einfache Automatisierungen. Keine besonderen Pflichten — aber auch hier gilt: wer es einsetzt, sollte es dokumentiert haben.

    Welche KMU-Anwendungen fallen in welche Klasse?

    Abstrakte Kategorien helfen wenig. Konkrete Beispiele helfen mehr.

    HR-Screening mit KI-Unterstützung → Hochrisiko

    Wer KI nutzt, um Bewerbungen vorzuselektieren, Eignung zu bewerten oder Kündigungsentscheidungen vorzubereiten, fällt unter die Hochrisiko-Kategorie. Das gilt auch dann, wenn ein Mensch die finale Entscheidung trifft — solange das System die Entscheidungsgrundlage beeinflusst. Konsequenz: Konformitätsbewertung, Bias-Prüfung, vollständige Dokumentation des Systems.

    Kundenservice-Bot → begrenzt riskant

    Ein Chat-Assistent auf der Website, der Anfragen beantwortet oder weiterleitet, fällt in die begrenzte Risikoklasse. Die zentrale Pflicht: Nutzer müssen erkennen können, dass sie mit einer KI kommunizieren. Ein diskreter Hinweis „Dieser Chat wird durch KI unterstützt“ reicht in den meisten Fällen aus.

    Interne Wissensbasis mit KI-Suche → minimales Risiko

    Ein internes Tool, das Dokumente durchsucht und Zusammenfassungen liefert, ist in der Regel minimal riskant. Keine besonderen Pflichten — aber eine kurze interne Dokumentation darüber, was das System tut, welche Daten es nutzt und wer dafür zuständig ist, ist trotzdem sinnvoll.

    Die entscheidende Frage ist immer: Trifft oder beeinflusst das System Entscheidungen, die Menschen direkt betreffen? Je mehr das zutrifft, desto höher die Risikoklasse.

    Fristen 2025–2027: Was wann gilt

    Februar 2025
    Verbote gelten. Verbotene KI-Praktiken sind seit dem 2. Februar 2025 unzulässig. Wer Social Scoring, manipulative KI oder unzulässige biometrische Kategorisierung einsetzt, muss das sofort beenden.
    August 2025
    GPAI-Regeln und Governance. Anforderungen an Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI) greifen. Unternehmen, die solche Modelle in eigene Produkte integrieren, müssen Transparenz- und Dokumentationspflichten erfüllen.
    August 2026
    Hochrisiko-Pflichten für neue Systeme. Neu eingesetzte Hochrisiko-KI-Systeme unterliegen ab diesem Datum dem vollständigen Anforderungsrahmen: Konformitätsbewertung, Risikomanagement, technische Dokumentation, menschliche Aufsicht.
    August 2027
    Vollständige Geltung auch für Bestandssysteme. Hochrisiko-Systeme, die bereits vor August 2026 im Einsatz waren, müssen bis dahin vollständig compliant sein. Kein Bestandsschutz mehr.

    2026 ist also das Jahr, in dem die Uhr für viele KMU wirklich zu ticken beginnt. Wer jetzt anfängt, hat noch genug Zeit für einen strukturierten Ansatz. Wer wartet, macht Compliance zur Feuerwehrübung.

    Die 5 Pflichten, die fast jedes KMU betreffen

    Selbst wenn das eigene Unternehmen keine Hochrisiko-KI einsetzt: Diese fünf Anforderungen gelten für nahezu alle, die KI geschäftlich nutzen.

    1. Transparenz

    Nutzer müssen wissen, wenn sie mit KI interagieren. Das gilt für Chatbots genauso wie für KI-generierte Inhalte. Keine versteckte Automatisierung, keine KI, die vorgibt, ein Mensch zu sein.

    2. Dokumentation

    Welche KI-Systeme werden eingesetzt? Zu welchem Zweck? Wer ist verantwortlich? Welche Daten werden verarbeitet? Das muss schriftlich vorliegen — nicht ausformuliert in einem 50-seitigen Bericht, aber nachvollziehbar und abrufbar.

    3. Kompetenznachweis

    Der AI Act fordert, dass Mitarbeiter, die KI-Systeme einsetzen, ein grundlegendes Verständnis davon haben, was das System tut und was es nicht tut. KI-Literacy ist keine Kür mehr — sie ist Pflicht. Das gilt besonders für Führungskräfte, die Entscheidungen auf Basis von KI-Ausgaben treffen.

    4. Risikobewertung

    Bevor ein KI-System produktiv genutzt wird, braucht es eine Einschätzung: Welche Risiken entstehen durch den Einsatz? Was passiert, wenn das System falsch liegt? Wer kontrolliert das? Für Nicht-Hochrisiko-Systeme reicht eine schlichte, aber ehrliche Einschätzung. Für Hochrisiko-Systeme ist ein formales Risikomanagementsystem Pflicht.

    5. Menschliche Aufsicht

    KI darf nicht unkontrolliert entscheiden. Für Systeme, die Konsequenzen für Menschen haben, muss klar geregelt sein, wer eingreift, wann eingegriffen wird und wie Entscheidungen übersteuert werden können. Das ist kein bürokratischer Zusatz — das ist gesunder Menschenverstand in Verfahren gegossen.

    Schnittstelle zu DSGVO und NIS-2: Doppelarbeit vermeiden

    Wer die DSGVO bereits ernst nimmt, hat einen Vorsprung. Viele Anforderungen des AI Act überschneiden sich mit bestehenden Datenschutzpflichten — und das lässt sich gezielt nutzen.

    DSGVO und AI Act: Datenschutz-Folgenabschätzungen (DSFA) und KI-Risikobewertungen haben denselben Grundgedanken: systematisch durchdenken, was schiefgehen kann. Wer bereits DSFA-Prozesse hat, kann diese erweitern, statt von vorn zu beginnen. Besonders relevant: Transparenz- und Informationspflichten gelten in beiden Regelwerken — mit ähnlichem Inhalt, aber unterschiedlicher Rechtsgrundlage. Einmal aufsetzen, für beide nutzen. Mehr dazu im Artikel zu DSGVO-konformer KI.

    NIS-2 und AI Act: Wer KI in kritischen oder wichtigen Einrichtungen einsetzt — Energie, Gesundheit, Transport, digitale Infrastruktur — muss beide Regelwerke im Blick haben. NIS-2 fordert Sicherheitsmaßnahmen und Meldepflichten. Der AI Act ergänzt das um Anforderungen an das KI-System selbst. Überschneidungen gibt es beim Risikomanagement, bei der Dokumentation und bei der Zuständigkeitsregelung. Sauber strukturiert, lässt sich das in einem gemeinsamen Governance-Rahmen abbilden. Mehr dazu im Artikel zu NIS-2.

    Das Muster ist immer dasselbe: Wer Compliance als isolierte Aufgabe behandelt, zahlt dreimal. Wer einen gemeinsamen Rahmen aufbaut, zahlt einmal — und hat mehr davon.

    Pragmatischer Startplan in 4 Schritten

    Kein Projekt, kein Beratermarathon. Vier konkrete Schritte, die sich in den nächsten Wochen umsetzen lassen.

    Schritt 1: KI-Bestandsaufnahme (1–2 Tage)

    Welche KI-Systeme oder KI-gestützten Tools sind im Unternehmen im Einsatz — bewusst oder unbewusst? Das schließt SaaS-Produkte mit KI-Features ein: Microsoft Copilot, ChatGPT, Recruiting-Tools, CRM mit KI-Scoring. Einfach dokumentieren: Name, Zweck, eingesetzte Abteilung, Entscheidungsrelevanz.

    Schritt 2: Risikoklasse bestimmen (halber Tag)

    Für jedes identifizierte System die Frage stellen: Trifft es Entscheidungen über Menschen? In welchem Kontext? Die meisten Tools landen in begrenzt riskant oder minimal riskant. Wer unsicher ist, kann das mit unserem AI Act Kurzcheck in wenigen Minuten einordnen.

    Schritt 3: Sofortmaßnahmen für bestehende Pflichten (1 Woche)

    Transparenzhinweise für Chatbots und KI-generierte Inhalte einführen. Zuständigkeiten klären: Wer ist intern verantwortlich für welches System? Kurze Schulung oder Information der betroffenen Mitarbeiter zur KI-Literacy. Das sind keine großen Projekte — das sind Entscheidungen und kurze Texte.

    Schritt 4: Governance-Struktur aufbauen (1–4 Wochen, je nach Größe)

    Eine einfache KI-Richtlinie festlegen: Was darf eingesetzt werden, unter welchen Bedingungen, wer entscheidet darüber. Dokumentationsvorlage für neue KI-Systeme einführen. Risikobewertung in die Einführung neuer Tools integrieren — als feste Frage, nicht als Sonderprojekt.

    Wer diese vier Schritte durchgeht, hat keine perfekte Compliance — aber eine ehrliche, nachvollziehbare Grundlage. Das ist der Unterschied zwischen vorbereitet und unvorbereitet, wenn eine Aufsichtsbehörde fragt.

    📋EU AI Act Kurzcheck

    Welche Risikoklasse trifft auf Ihr KI-Projekt zu? Eine Seite, klare Fragen, sofortige Einordnung. Kein Registrierungsformular, kein Newsletter — einfach herunterladen und nutzen.

    Kurzcheck herunterladen (PDF)

    Fazit: Nicht warten auf Hochrisiko

    Die häufigste Fehleinschätzung ist diese: „Wir nutzen keine Hochrisiko-KI, also betrifft uns der AI Act kaum.“ Das stimmt nicht. Transparenz, Dokumentation, Kompetenz, Aufsicht — das sind Anforderungen, die unabhängig von der Risikoklasse gelten und die jetzt schon in Kraft sind oder in Kürze greifen.

    Die gute Nachricht: Das lässt sich strukturiert angehen. Es braucht kein großes Projekt, keinen externen Berater für alles, keine monatelange Analyse. Es braucht eine klare Bestandsaufnahme, eine ehrliche Einordnung und ein paar konkrete Entscheidungen.

    Wenn Sie das strukturiert und ohne Umwege angehen wollen, schauen wir uns das gemeinsam an. Ich helfe Ihnen, die richtigen Fragen zu stellen — und die richtigen Antworten zu dokumentieren.

    Passende Themen:

    Quellen und weiterführende Dokumente:

    Fragen zur Einordnung Ihrer KI-Systeme? Sprechen Sie mich an.

  • KI-Einführung am falschen Ende

    „Wir wollen jetzt auch was mit ChatGPT machen.“

    Dieser Satz ist harmlos. Er klingt nach Aufbruch, nach Modernisierung, nach einem Unternehmen, das die Zeit versteht. Aber er ist der Anfang von mehr Problemen, als er löst.

    Nicht weil KI falsch wäre. Sondern weil das Falsche zuerst kommt.

    Das Tool steht vor der Frage

    Die meisten KI-Projekte in KMU beginnen mit dem Tool. Irgendjemand hat ChatGPT ausprobiert, LinkedIn hat drei Wochen lang nichts anderes gezeigt, und ein Wettbewerber hat angeblich seine Prozesse damit halbiert. Also startet man.

    Das Ergebnis ist fast immer dasselbe: Ein paar Wochen Begeisterung, dann stilles Abflauen. Das Tool läuft irgendwie, aber es verändert nichts Wesentliches. Der erhoffte Effekt bleibt aus.

    Das ist kein Zufall. Es ist die direkte Folge einer falschen Reihenfolge.

    Wer mit dem Tool beginnt, löst Probleme, die er nicht hat — und übersieht die, die zählen.

    Die drei häufigsten Fehler

    Tool vor Ziel. Ohne klares Bild davon, was sich verändern soll, wird das Tool zum Spielzeug. Man findet Anwendungsfälle, die beeindruckend aussehen, aber keine echte Wirkung entfalten. Texte werden schneller. Zusammenfassungen entstehen auf Knopfdruck. Aber der Prozess dahinter bleibt unberührt.

    Hype vor Analyse. Die öffentliche Diskussion um KI ist laut. Sie besteht aus Versprechen, Rekordmeldungen und Angstszenarien. Wer in diesem Lärm eine Entscheidung trifft, entscheidet emotional — nicht auf Basis der eigenen Situation. Was für ein Technologieunternehmen mit 500 Mitarbeitern funktioniert, ist für einen Handwerksbetrieb mit 30 Personen irrelevant.

    Pilot vor Strategie. Ein Pilot ohne Einbettung in die Gesamtstrategie bleibt ein Pilot. Er zeigt, dass etwas möglich ist. Er zeigt nicht, ob es sinnvoll ist, es dauerhaft zu tun.

    Was stattdessen am Anfang steht

    KI-Einführung ist kein Technologieprojekt. Es ist ein Organisationsprojekt, das Technologie einsetzt.

    Der Anfang gehört nicht dem Tool, sondern drei Fragen:

    Was soll sich verändern? Nicht „wir wollen effizienter werden“, sondern konkret: Welcher Prozess kostet heute zu viel Zeit? Wo entstehen Fehler, die vermeidbar wären? Welche Arbeit macht niemand gerne und warum?

    Wer ist betroffen? KI verändert Arbeitsweisen. Das betrifft Menschen. Wer nicht früh klärt, wer die Veränderung mitträgt und wer sie fürchtet, bekommt keinen Piloten — sondern Widerstand.

    Was passiert, wenn es nicht klappt? Eine Standortbestimmung schließt auch das Risiko ein. Was sind die Abhängigkeiten? Was kostet ein Fehlschlag — in Zeit, Geld, Vertrauen?

    Erst wenn diese Fragen eine belastbare Antwort haben, macht die Auswahl eines Tools Sinn.

    Wie eine KI-Standortbestimmung abläuft

    Eine KI-Standortbestimmung ist kein langes Strategieprojekt. Sie ist ein strukturierter Blick auf das, was vorhanden ist und was wirklich gebraucht wird.

    In der Praxis läuft das in zwei Wochen:

    Woche 1 — Verstehen. Gespräch mit den Entscheidern und einem oder zwei Mitarbeitern, die täglich mit den betroffenen Prozessen arbeiten. Kein Fragebogen, sondern echte Gespräche. Wo hakt es? Was würde sich lohnen, schneller oder besser zu machen?

    Woche 2 — Einordnen. Die Erkenntnisse werden geordnet: Welche Anwendungsfälle sind realistisch? Welche sind Hype? Was ist der nächste sinnvolle Schritt — und was sollte man vorerst lassen?

    Das Ergebnis ist kein 50-Seiten-Bericht. Es ist eine klare Priorisierung mit konkreter Handlungsempfehlung.

    Ein Beispiel aus der Praxis

    Ein mittelständisches Unternehmen aus dem produzierenden Gewerbe kam mit dem Wunsch, „die Dokumentation mit KI zu automatisieren“. Der Auslöser: Ein Wettbewerber hatte auf LinkedIn etwas über ChatGPT gepostet.

    Im ersten Gespräch stellte sich heraus: Die eigentliche Dokumentation war gar nicht das Problem. Das Problem war, dass drei verschiedene Teams dieselben Informationen in drei verschiedenen Systemen pflegten — ohne Synchronisation, ohne klare Zuständigkeit. Jede Woche verloren Mitarbeiter Stunden damit, denselben Stand manuell abzugleichen.

    Das war kein KI-Problem. Das war ein Strukturproblem.

    Die Empfehlung lautete nicht „kaufen Sie dieses Tool“. Sie lautete: Klären Sie zuerst, welches System die einzige Quelle der Wahrheit sein soll. Erst dann ergibt eine KI-gestützte Unterstützung Sinn — weil das Modell dann auf saubere Daten trifft statt auf drei widersprüchliche Versionen.

    Das Unternehmen hat sechs Wochen in diese Strukturarbeit investiert. Danach war die KI-Einführung in zwei Wochen umgesetzt. Ohne Reibung, ohne Rückbau, ohne Ernüchterung.

    Das ist der Unterschied zwischen Klarheit und Aktionismus.

    Fünf Fragen, bevor Sie ein Tool evaluieren

    Bevor Sie sich für ein KI-Tool entscheiden, lohnt sich ein kurzer Halt:

    • Welches konkrete Problem soll dieses Tool lösen?
    • Wie sieht der betroffene Prozess heute aus — Schritt für Schritt?
    • Wer arbeitet täglich damit und was braucht diese Person, damit es funktioniert?
    • Wie messen Sie, ob das Tool einen Unterschied macht?
    • Was passiert mit den Daten, die das Tool verarbeitet?

    Wenn Sie auf alle fünf Fragen eine klare Antwort haben, sind Sie bereit für die Tool-Auswahl. Wenn nicht, ist die Standortbestimmung der richtige nächste Schritt.

    Klarheit vor Tool

    KI ist kein Wundermittel. Es ist ein Werkzeug — und Werkzeuge entfalten ihre Wirkung nur, wenn man weiß, was man damit bauen will.

    Wer zuerst das Werkzeug kauft, baut meistens das Falsche. Wer zuerst klärt, was entstehen soll, wählt danach das richtige Werkzeug — oder stellt fest, dass er es gar nicht braucht.

    Beides ist ein gutes Ergebnis.

    Wenn Sie wissen wollen, ob eine KI-Standortbestimmung für Ihr Unternehmen gerade sinnvoll ist: 15 Minuten am Telefon reichen meist, um das zu klären.

    Kein Verkaufsgespräch, kein Angebot — nur ein ehrliches Bild der Lage.

  • Drei Dinge, die ChatGPT nicht kann.

    ChatGPT ist in vielen Unternehmen angekommen. Erste Use Cases laufen, Teams experimentieren, die Effizienz scheint zu steigen. Gleichzeitig entsteht ein diffuses Gefühl: Es geht schneller, aber nicht immer besser. Genau hier trennt sich echter Nutzen von Scheinproduktivität.

    Die entscheidende Frage ist nicht, ob ChatGPT eingesetzt wird. Sondern wie bewusst.

    Wo ChatGPT echte Entlastung bringt

    Richtig eingesetzt ist ChatGPT ein starker Hebel. Vor allem bei strukturierten, wiederkehrenden Aufgaben.

    Typische Beispiele aus der Praxis:

    • Texte strukturieren, zusammenfassen oder neu formulieren
    • E-Mails, Angebote oder Dokumentationen vorbereiten
    • Ideen generieren, Varianten vergleichen, Denkprozesse beschleunigen
    • Technische Konzepte grob vorstrukturieren

    Der Effekt ist klar messbar: weniger Zeit für Routine, mehr Raum für echte Wertschöpfung. Mitarbeiter kommen schneller zu einem ersten Ergebnis und können darauf aufbauen.

    Das funktioniert aber nur, wenn die Verantwortung beim Menschen bleibt.

    Wo Schein-Effizienz entsteht

    Viele Unternehmen tappen in dieselbe Falle: Geschwindigkeit wird mit Qualität verwechselt.

    ChatGPT liefert schnell plausible Ergebnisse. Genau das macht es gefährlich. Denn plausibel ist nicht automatisch korrekt oder sinnvoll.

    Typische Symptome von Schein-Effizienz:

    • Inhalte klingen gut, sind aber fachlich oberflächlich
    • Entscheidungen werden auf Basis ungeprüfter KI-Antworten getroffen
    • Mitarbeiter hinterfragen Ergebnisse weniger, weil sie „gut aussehen“
    • Prozesse werden beschleunigt, ohne dass die Qualität gesichert ist

    Das Ergebnis: Mehr Output, aber nicht mehr Wirkung.

    In sensiblen Bereichen wie IT-Sicherheit, Architektur oder Compliance kann das schnell kritisch werden.

    Die drei harten Grenzen von ChatGPT

    1. Kein echtes Verständnis
      ChatGPT erkennt Muster, aber versteht keine Zusammenhänge wie ein Mensch. Es kann Zusammenhänge simulieren, aber nicht bewerten. Gerade bei komplexen Systemen oder individuellen Anforderungen stößt das schnell an Grenzen.
    2. Keine Verantwortung
      Die KI trifft keine Entscheidungen und trägt keine Konsequenzen. Sie liefert Vorschläge. Die Verantwortung bleibt immer im Unternehmen. Wer das vergisst, delegiert Risiko ohne Kontrolle.
    3. Keine Verlässlichkeit ohne Kontext
      Ohne klaren Kontext produziert ChatGPT Durchschnitt. Je unschärfer die Eingabe, desto generischer das Ergebnis. Hochwertige Ergebnisse entstehen nur mit klaren Anforderungen, sauberem Prompting und fachlicher Kontrolle.

    Wo die Geschäftsleitung eingreifen muss

    Der Einsatz von ChatGPT ist kein IT-Thema. Es ist ein Führungs- und Strukturthema.

    Drei konkrete Ansatzpunkte:

    • Klare Leitplanken definieren
      Wo darf KI eingesetzt werden, wo nicht? Welche Inhalte müssen geprüft werden? Welche nicht? Ohne Regeln entsteht Wildwuchs.
    • Qualitätsverantwortung festlegen
      Jeder Output braucht einen Verantwortlichen. KI darf unterstützen, aber nicht entscheiden.
    • Kompetenzen aufbauen
      Mitarbeiter müssen lernen, mit KI zu arbeiten. Nicht nur technisch, sondern kritisch. Gute Ergebnisse entstehen durch gute Fragen, nicht durch Zufall.

    Ein einfaches Praxisbeispiel

    Ein Mitarbeiter erstellt ein IT-Sicherheitskonzept mit ChatGPT.
    Ohne Prüfung entsteht ein formal sauberes Dokument mit Standardinhalten.
    Mit fachlicher Bewertung wird daraus ein belastbares Konzept, das zum Unternehmen passt.

    Der Unterschied liegt nicht in der KI. Sondern im Umgang damit.

    Fazit aus der Praxis

    ChatGPT ist kein Wundermittel. Es ist ein Werkzeug. Ein sehr gutes sogar.

    Unternehmen profitieren dann, wenn sie zwei Dinge gleichzeitig tun:
    Sie nutzen die Geschwindigkeit der KI – und sichern die Qualität durch klare Verantwortung.

    Wer nur beschleunigt, verliert Kontrolle.
    Wer bewusst steuert, gewinnt echte Effizienz.

    Genau hier entsteht der Unterschied zwischen Spielerei und Wettbewerbsvorteil.