f&P blogki im unternehmen
ki im unternehmenNicht die Technologie ist das Risiko – sondern der unstrukturierte Einsatz
Autor: Thomas Kasemir
Die Verunsicherung ist verständlich. KI entwickelt sich rasant, der Druck zur Einführung ist real – und gleichzeitig wächst die Zahl der Fragen: Was darf ich einsetzen? Was passiert mit unseren Daten? Wer haftet, wenn etwas schiefgeht? Und wie viel Regulierung kommt noch?
Viele mittelständische Unternehmen stehen genau hier: Sie wollen KI nutzen, wissen aber nicht, wie sie das verantwortungsvoll tun. Das ist keine Schwäche – das ist eine verständliche Haltung in einer unübersichtlichen Lage.
Die gute Nachricht: KI lässt sich sicher einführen. Nicht durch Abwarten, nicht durch überkomplexe Governance-Frameworks – sondern durch klare Entscheidungen an den richtigen Stellen.
Warum Technologie selten das eigentliche Problem ist
Die meisten Diskussionen über KI-Sicherheit drehen sich um Modelle, Algorithmen und Systeme. Das greift zu kurz. Die eigentlichen Risiken entstehen nicht in der Technologie – sie entstehen in der Art, wie Unternehmen KI einführen und betreiben.
Typische Situationen: Mitarbeitende nutzen öffentliche KI-Tools, weil sie schnell helfen – ohne zu wissen, welche Daten dabei das Unternehmen verlassen. Pilotprojekte starten begeistert, aber niemand hat definiert, wer für den Output verantwortlich ist. KI-Features werden eingeführt, aber der Prozess drumherum bleibt unverändert.
Keine böse Absicht. Aber fehlende Struktur – und die kann teuer werden.
Ein Beispiel aus dem Mittelstand
Ein mittelständisches B2B-Softwareunternehmen möchte KI im Kundensupport einsetzen: ein Assistent, der häufige Anfragen automatisch beantwortet und das Team entlastet. Klingt überschaubar. Wird aber schnell komplex, wenn die richtigen Fragen nicht gestellt werden.
Was tatsächlich passiert, wenn man es strukturiert angeht:
Schritt 1: Use-Case klar eingrenzen
Nicht „KI im Support“ als Ziel, sondern konkret: Welche Anfragen sollen automatisiert werden? Nur FAQ-Typen? Auch technische Problemstellungen? Die Abgrenzung entscheidet darüber, welche Daten ins System fließen – und welche nicht.
Schritt 2: Datenstrategie vor Technikentscheidung
Welche Kundendaten werden verarbeitet? Sind das personenbezogene Daten im Sinne der DSGVO? Werden die Daten an externe Systeme weitergegeben – und wenn ja, auf welcher vertraglichen Grundlage? Diese Fragen klären, bevor ein Anbieter ausgewählt wird, nicht danach.
Schritt 3: Einen klaren Verantwortlichen benennen
Nicht die IT allein, nicht den Datenschutzbeauftragten allein – sondern jemanden mit Produktverantwortung, der den Einsatz inhaltlich verantwortet und als Ansprechpartner für alle Beteiligten fungiert. KI braucht einen Eigentümer, keine Komiteelösung.
Schritt 4: Outputs kontrollieren, bevor sie live gehen
Gerade bei kundenseitigen Anwendungen gilt: Kein Automatismus ohne Qualitätsprüfung in der Einführungsphase. Wer die ersten Wochen begleitet, erkennt Muster – und kann eingreifen, bevor Fehler zum Problem werden.
Schritt 5: Einfache, schriftliche Nutzungsregeln für alle
Eine interne Richtlinie – welche Datenklassen in welche Systeme dürfen, was erlaubt ist, was nicht – muss kein juristisches Dokument sein. Eine klare, verständliche Seite reicht. Sie schafft Orientierung und reduziert unbewusstes Risikoverhalten erheblich.
Was NIS2 damit zu tun hat
NIS2 erweitert die Anforderungen an Informationssicherheit für viele Unternehmen erheblich – auch im Mittelstand. KI-Systeme sind davon direkt betroffen: als Teil kritischer Geschäftsprozesse, als Datenverarbeitungskomponenten, als potenzielle Angriffsfläche.
Wer die oben beschriebene Struktur aufbaut, ist nicht nur im KI-Einsatz sicherer – er schafft gleichzeitig eine Grundlage für NIS2-Konformität. Beide Themen lassen sich gemeinsam angehen, statt nacheinander. Hier in einem Artikel von F&P-Partner Frank Wichert mehr dazu.
FAZIT:Sicherheit entsteht durch Entscheidungen, nicht durch Technologie
KI ist kein unkontrollierbares Risiko. Sie ist ein Werkzeug – das verantwortungsvoll geführt werden will. Wer die richtigen Fragen stellt, klare Verantwortlichkeiten schafft und strukturiert vorgeht, kann KI sicher und wirksam einsetzen – unabhängig von Unternehmensgröße oder technischem Reifegrad.
Der entscheidende Schritt ist nicht der technische. Es ist die Entscheidung, KI nicht einfach laufen zu lassen – sondern sie zu führen.
Thomas Kasemir ist Interim & Fractional Executive sowie Berater für Produkt, Technologie und M&A. Er unterstützt B2B-Softwareunternehmen und PE-Investoren in Wachstums-, Transformations- und Integrationsphasen.
