„Wir probieren das einfach mal aus und schauen, was passiert.“ Dieser Satz fällt in deutschen Unternehmen täglich – wenn es um neue KI-Tools geht. ChatGPT für die Pressemitteilung, Copilot für die Quartalsplanung, Claude für die Kundenkorrespondenz. Die Begeisterung ist groß, die Hemmungen sind niedrig.
Doch was als harmloser Produktivitätsbooster beginnt, kann schnell zum Compliance-Alptraum werden. Denn KI-Systeme sind hungrig nach Daten – und sie machen keinen Unterschied zwischen öffentlichen Informationen und Geschäftsgeheimnissen.
Ein Beispiel aus der Praxis: Ein Geschäftsführer fragt Microsoft Copilot nach den geplanten Personalmaßnahmen für das dritte Quartal. Copilot antwortet prompt – mit Namen, Terminen und Kommentaren aus einem OneNote, das eigentlich nur für die Geschäftsleitung bestimmt war. Plötzlich stehen Kündigungspläne auf dem Bildschirm, die nie für diese Augen gedacht waren.
Was war passiert? Kein Hackerangriff, kein technischer Defekt. Sondern ein klassisches Governance-Problem: Copilot hatte technisch korrekt gehandelt und nur auf Daten zugegriffen, für die der Nutzer Berechtigungen hatte. Dass diese Berechtigungen viel zu weit gefasst waren, war niemandem aufgefallen – bis KI sie sichtbar machte.
Solche Szenarien sind kein Einzelfall, sondern Alltag in Unternehmen ohne durchdachte KI-Governance. Die Technologie funktioniert perfekt – aber die Rahmenbedingungen stimmen nicht.
Der Wildwuchs ist real – und gefährlicher als gedacht
Die Realität in deutschen Unternehmen sieht heute so aus: KI-Tools sprießen wie Pilze aus dem Boden. Der Vertrieb nutzt ChatGPT für Angebote, die Buchhaltung experimentiert mit automatisierten Rechnungsprüfungen, und das Marketing lässt KI Texte schreiben. Jeder macht sein Ding – und niemand hat den Überblick.
Was vielen Führungskräften nicht bewusst ist: Ihre Mitarbeiter sind längst KI-User geworden. Studien zeigen, dass über 90% der Unternehmen bereits KI einsetzen oder deren Einsatz erkunden. Der Zug ist abgefahren – die Frage ist nur, ob Sie als Unternehmen die Weichen richtig gestellt haben.
Doch dieser Wildwuchs bringt Risiken mit sich, die weit über peinliche Pannen hinausgehen. Wenn KI-Systeme unkontrolliert auf Unternehmensdaten zugreifen, entstehen Compliance-Risiken, die existenzbedrohend werden können. Microsoft selbst macht das deutlich: „Microsoft 365 Copilot only surfaces organizational data to which individual users have at least view permissions.“ Das klingt beruhigend – ist aber genau das Problem.
Denn die meisten Unternehmen haben ihre Berechtigungsstrukturen über Jahre gewachsen lassen. Wer hat Zugriff auf welche SharePoint-Bibliothek? Welche Teams-Kanäle sind wirklich vertraulich? Diese Fragen wurden oft mit „Wird schon passen“ beantwortet. Mit KI wird aus „Wird schon passen“ plötzlich „Kann richtig schiefgehen“.
Die Konsequenzen sind real: Vertrauliche Strategiedokumente landen in der falschen Abteilung, Gehaltsstrukturen werden transparent, wo sie es nicht sein sollten, und Kündigungspläne werden zum Flurfunk-Thema. Was früher mühsam gesucht werden musste, findet KI in Sekunden – und präsentiert es dem erstbesten Nutzer, der die richtige Frage stellt.
EU AI Act und DSGVO: Was der deutsche Mittelstand jetzt wissen muss
Seit August 2024 ist der EU AI Act in Kraft – und damit wird aus dem „Mal schauen, was passiert“ ein „Wir müssen handeln“. Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Risiko einer KI-Anwendung, desto strenger die Anforderungen. Für mittelständische Unternehmen bedeutet das konkret: Jeder, der KI-Systeme nutzt, muss seine Mitarbeiter im Umgang damit schulen.
Das ist keine Empfehlung, sondern Pflicht. Jeder Anwender muss wissen, wo die rechtlichen Grenzen des KI-Einsatzes verlaufen. Sonst droht nicht nur Ärger, sondern echte Bußgelder.
Die vier Risikokategorien des AI Acts sind dabei klar definiert:
Unannehmbares Risiko – Diese KI-Praktiken sind seit Februar 2025 komplett verboten: Manipulative Techniken, die das Verhalten von Personen beeinflussen, Social Scoring-Systeme, biometrische Echtzeit-Überwachung in öffentlichen Räumen und – besonders relevant für Unternehmen – Emotionserkennung am Arbeitsplatz ohne Zustimmung der Mitarbeiter.
Hochrisiko-KI – Systeme, die in kritischen Bereichen eingesetzt werden, unterliegen strengen Dokumentations- und Überwachungspflichten. Dazu gehören KI-Anwendungen in der Personalauswahl, Kreditvergabe oder Sicherheitstechnik.
Begrenztes Risiko – Hier geht es um Transparenz. Nutzer müssen wissen, dass sie mit KI interagieren. Das betrifft Chatbots, aber auch KI-generierte Inhalte.
Minimales Risiko – Die meisten KI-Anwendungen fallen in diese Kategorie, haben aber trotzdem Compliance-Anforderungen.
Parallel dazu bleibt die DSGVO in vollem Umfang gültig. KI-Systeme verarbeiten personenbezogene Daten – und damit gelten alle bekannten Datenschutzregeln. Das Problem: Viele KI-Tools sind darauf ausgelegt, möglichst viele Daten zu analysieren. Das steht im direkten Konflikt zum Grundsatz der Datenminimierung.
Ein praktisches Beispiel: Ein Unternehmen nutzt KI zur Analyse von E-Mail-Kommunikation, um Kundentrends zu identifizieren. Dabei werden automatisch auch private E-Mails von Mitarbeitern erfasst, die zufällig im gleichen Postfach landen. Ohne klare Abgrenzung und Einverständnis ist das ein DSGVO-Verstoß – auch wenn die Absicht harmlos war.
Die Botschaft ist klar: „Einfach mal machen“ funktioniert nicht mehr. Unternehmen brauchen eine durchdachte KI-Governance, die beide Regelwerke – AI Act und DSGVO – berücksichtigt und in praktische Arbeitsabläufe übersetzt.
Governance ist kein Spaßkiller – sie ist das Sicherheitsnetz für Ihre Mitarbeiter
Hier kommt der Punkt, an dem viele Unternehmen einen Denkfehler machen: Sie sehen KI-Governance als technisches Problem. Dabei ist es in erster Linie ein menschliches.
Eine aktuelle Studie von Kyndryl bringt es auf den Punkt: 71% der Unternehmen halten ihre Belegschaft für nicht KI-bereit. Aber – und das ist entscheidend – die Lücke liegt nicht im Code, sondern in der Kultur.
Mitarbeiter haben Angst vor KI. Nicht vor der Technologie an sich, sondern vor dem, was sie für ihren Arbeitsplatz bedeutet. Werde ich ersetzt? Überwacht? Kontrolliert? Diese Ängste sind real und berechtigt – und sie verschwinden nicht durch technische Lösungen.
Vertrauen ist die Grundlage dafür, dass Mitarbeitende KI akzeptieren und aktiv nutzen. Dieses Vertrauen entsteht durch Transparenz, klare Kommunikation und – ja – durch Governance-Strukturen, die Sicherheit schaffen statt Unsicherheit.
Ein Beispiel aus der Praxis: Ein mittelständisches Beratungsunternehmen führte Microsoft Copilot ein. Statt einfach die Lizenzen zu verteilen, starteten sie mit Workshops. Die Fragen der Mitarbeiter waren immer dieselben: „Kann Copilot meine E-Mails lesen?“ „Wer sieht, was ich frage?“ „Werden meine Prompts gespeichert?“
Die IT-Abteilung hätte antworten können: „Keine Sorge, ist alles sicher.“ Stattdessen zeigten sie konkret, welche Daten Copilot sieht, welche nicht, und wie die Berechtigungen funktionieren. Sie erklärten, dass Copilot nur auf Daten zugreift, die der jeweilige Mitarbeiter ohnehin sehen darf – nicht mehr, aber auch nicht weniger.
Das Ergebnis: Aus Skeptikern wurden KI-Champions. Die Mitarbeiter verstanden nicht nur, wie das Tool funktioniert, sondern auch, wo seine Grenzen liegen. Sie entwickelten eigene Best Practices und wurden zu internen Multiplikatoren.
Der Schlüssel lag nicht in der Technologie, sondern im Change Management. Nur durch ein aktives Change-Management bei der Einführung von KI können Unternehmen eine hohe Akzeptanz bei ihren Mitarbeitenden erreichen.
Dabei geht es um mehr als Schulungen. Es geht darum, KI als das zu positionieren, was sie ist: Ein Werkzeug, das monotone Aufgaben übernimmt und Menschen für wertvollere Tätigkeiten freisetzt. KI soll den Menschen dienen, nicht ersetzen.
Konkret bedeutet das:
Transparenz schaffen: Mitarbeiter müssen verstehen, welche KI-Systeme im Unternehmen eingesetzt werden und wie sie funktionieren.
Ängste ernst nehmen: Die Sorge vor Jobverlust oder Überwachung ist real. Diese Themen müssen offen angesprochen werden.
Schrittweise einführen: Nicht alle Tools auf einmal, sondern gezielt und begleitet.
Erfolge kommunizieren: Zeigen, wie KI konkret hilft – nicht in Buzzwords, sondern in messbaren Verbesserungen.
Das Paradoxe: Gute KI-Governance macht KI nicht langsamer oder bürokratischer. Sie macht sie akzeptierter und damit effektiver. Mitarbeiter, die verstehen und vertrauen, nutzen KI kreativer und produktiver als solche, die Angst haben oder im Dunkeln tappen.
So gestalten Sie KI-Governance, die funktioniert
Genug der Theorie. Wie sieht praktische KI-Governance aus, die nicht nur auf dem Papier steht, sondern im Arbeitsalltag funktioniert?
Die Organisationsstruktur: Wer macht was?
Der erste Schritt ist die Klärung von Verantwortlichkeiten. Ohne klare Zuständigkeiten wird KI-Governance zum Lippenbekenntnis.
Chief AI Officer (CAIO) oder KI-Verantwortlicher: Jemand muss das Thema treiben. In größeren Mittelständlern kann das eine eigene Rolle sein, in kleineren übernimmt es oft der IT-Leiter oder Geschäftsführer. Wichtig ist: Diese Person braucht Entscheidungsbefugnis und direkten Draht zur Geschäftsführung.
AI Governance Board: Ein interdisziplinäres Gremium aus IT, HR, Recht, Datenschutz und Fachbereichen. Dieses Board trifft sich regelmäßig, bewertet neue KI-Anwendungsfälle und definiert Richtlinien. Klingt bürokratisch? Ist es nicht – wenn es richtig gemacht wird.
KI-Ambassadors in den Fachbereichen: Mitarbeiter, die als erste KI-Tools testen, Feedback geben und ihre Kollegen unterstützen. Sie sind die Brücke zwischen IT und Anwendern.
Die Prozesse: Vom Chaos zur Struktur
Schritt 1: Inventarisierung Bevor Sie neue Regeln aufstellen, müssen Sie wissen, was bereits läuft. Welche KI-Tools werden genutzt? Von wem? Für welche Zwecke? Eine ehrliche Bestandsaufnahme ist oft überraschend – und ernüchternd.
Schritt 2: Risiko-Assessment Nicht jede KI-Anwendung ist gleich kritisch. Ein Chatbot für den Kundenservice hat andere Risiken als ein System zur Personalauswahl. Bewerten Sie jeden Anwendungsfall nach Risiko und Nutzen.
Schritt 3: Berechtigungskonzepte überprüfen Hier wird es konkret: Wer darf auf welche Daten zugreifen? Microsoft 365 Berechtigungen, SharePoint-Strukturen, Teams-Kanäle – alles muss auf den Prüfstand. Das ist mühsam, aber unverzichtbar.
Schritt 4: Richtlinien definieren Klare, verständliche Regeln für den KI-Einsatz. Nicht 50 Seiten Juristendeutsch, sondern praktische Leitplanken, die jeder Mitarbeiter versteht.
Das Framework: 10 Grundprinzipien für vertrauenswürdige KI
KPMG hat mit dem „Trusted AI Framework“ einen praxiserprobten Ansatz entwickelt, der auf zehn Grundprinzipien basiert:
- Accountability (Verantwortlichkeit): Klare Zuständigkeiten für jeden KI-Einsatz
- Datenintegrität: Saubere, vollständige und aktuelle Daten als Basis
- Erklärbarkeit: KI-Entscheidungen müssen nachvollziehbar sein
- Fairness: Diskriminierung und Bias vermeiden
- Datenschutz: DSGVO-Konformität von Anfang an mitdenken
- Zuverlässigkeit: KI-Systeme müssen konsistent funktionieren
- Betriebssicherheit: Ausfallsicherheit und Backup-Strategien
- Cybersicherheit: Schutz vor Angriffen und Manipulation
- Nachhaltigkeit: Ressourcenschonender KI-Einsatz
- Transparenz: Offene Kommunikation über KI-Nutzung
Diese Prinzipien sind nicht abstrakt, sondern lassen sich in konkrete Maßnahmen übersetzen.
Die technischen Maßnahmen: Sicherheit by Design
Microsoft 365 richtig konfigurieren: Sensitivity Labels aktivieren, Data Loss Prevention (DLP) einrichten, Audit-Logs überwachen. Microsoft liefert die Tools – Sie müssen sie nur nutzen.
Content-Filter implementieren: Verhindern, dass sensible Informationen in KI-Prompts landen. Das geht automatisch, aber nur wenn es konfiguriert ist.
Retention-Policies definieren: Wie lange werden KI-Interaktionen gespeichert? Wer hat Zugriff? Wann werden sie gelöscht?
Monitoring etablieren: Wer nutzt welche KI-Tools wann und wofür? Nicht zur Überwachung, sondern zur Optimierung und Risikominimierung.
Ein Beispiel aus der Praxis: Ein Maschinenbauunternehmen nutzte Copilot für die technische Dokumentation. Dabei stellte sich heraus, dass Konstruktionszeichnungen automatisch in Prompts eingebunden wurden – inklusive vertraulicher Kundendaten. Durch entsprechende DLP-Regeln wurde das Problem gelöst, bevor Schäden entstanden.
Der Faktor Mensch: Schulung und Sensibilisierung
Alle Technik nützt nichts, wenn die Mitarbeiter nicht mitspielen. Deshalb sind regelmäßige Schulungen Pflicht – nicht nur wegen des AI Acts, sondern aus praktischen Gründen.
Was gehört in eine KI-Schulung?
•Grundlagen: Wie funktioniert KI, wo sind die Grenzen?
•Rechtliche Aspekte: Was ist erlaubt, was verboten?
•Praktische Anwendung: Wie formuliere ich gute Prompts?
•Sicherheit: Welche Daten gehören nicht in KI-Tools?
•Troubleshooting: Was mache ich, wenn etwas schiefgeht?
Wichtig: Schulungen müssen regelmäßig aktualisiert werden. KI entwickelt sich schnell, Gesetze ändern sich, neue Tools kommen dazu.
Der nächste Schritt: Von der Erkenntnis zur Umsetzung
KI-Governance ist kein Nice-to-have mehr. Es ist eine Pflicht – rechtlich, wirtschaftlich und ethisch. Der EU AI Act läuft, die DSGVO gilt weiterhin, und die Mitarbeiter erwarten Klarheit und Sicherheit.
Aber es ist auch eine Chance. Unternehmen, die KI-Governance richtig angehen, verschaffen sich einen Wettbewerbsvorteil. Sie nutzen KI effizienter, sicherer und akzeptierter. Ihre Mitarbeiter werden zu KI-Champions statt zu Skeptikern. Und sie sind vorbereitet auf das, was kommt – denn KI wird nicht langsamer oder einfacher.
Die Frage ist nicht, ob Sie KI-Governance brauchen. Die Frage ist, wie Sie sie gestalten.
Drei Sofortmaßnahmen für den Start:
1.Bestandsaufnahme: Welche KI-Tools laufen bereits in Ihrem Unternehmen? Oft mehr, als Sie denken.
2.Berechtigungen prüfen: Wer hat Zugriff auf welche Daten? Microsoft 365, SharePoint, Teams – überall lauern Überraschungen.
3.Verantwortlichkeiten klären: Wer kümmert sich um KI-Governance? Ohne klare Zuständigkeit passiert nichts.
Das klingt nach viel Arbeit? Ist es auch. Aber die Alternative ist schlimmer: Unkontrollierte KI-Nutzung, Compliance-Risiken und Mitarbeiter, die im Dunkeln tappen.
Governance ist kein Spaßkiller. Sie ist das Sicherheitskonzept für eine Technik, die mächtiger ist als viele glauben. Und sie ist der Schlüssel dafür, dass KI-Antworten nicht den Flurfunk befeuern, sondern das Unternehmen voranbringen.
Sie fragen sich, wo Sie in Ihrem Unternehmen anfangen sollen? Oder haben bereits erste Erfahrungen gemacht und möchten diese strukturieren?
Lassen Sie uns darüber sprechen – in einem unverbindlichen Erstgespräch schauen wir gemeinsam, welche Schritte für Ihr Unternehmen sinnvoll sind. Denn KI-Governance ist kein Standardprodukt von der Stange, sondern muss zu Ihrer Unternehmenskultur, Ihren Prozessen und Ihren Menschen passen.
