05
MODUL 05
Die Kein-KI-Strategie
Zielgruppe: KMU-Inhaber und Führungskräfte in Österreich und Deutschland · Lesedauer: ca. 20–25 Minuten · Stand: Juni 2026 — Version 2.6
Einordnung und Quellenlogik

Dieser Leitfaden ist eine unternehmerische Entscheidungs- und Umsetzungsgrundlage für KMU. Er ersetzt keine individuelle Rechts-, Steuer-, Datenschutz- oder IT-Sicherheitsberatung. Gerade bei personenbezogenen Daten, Mitarbeiterdaten, Hochrisiko-KI, Berufsgeheimnissen oder Betriebsratsfragen sollte die finale Bewertung durch die jeweils zuständige Fachperson erfolgen.

Begriffsschärfe in diesem Dokument:

  • Gesetzliche Pflicht: ausdrücklich oder unmittelbar aus Gesetz, Verordnung oder verbindlicher behördlicher Vorgabe ableitbar.
  • Rechtliche Risikozone: nicht pauschal verboten, aber nur mit sauberer Rechtsgrundlage, Dokumentation, Verträgen und Verantwortlichkeiten vertretbar.
  • Best Practice: fachlich sinnvoll, aber nicht in jedem Fall gesetzlich vorgeschrieben.
  • Praktische Empfehlung: pragmatische Handlungsempfehlung für KMU, damit Unternehmer nach dem Durchgehen dieses Leitfadens konkrete nächste Schritte ableiten können.

Quellenlogik: Die im Text verlinkten Quellen verweisen nach Möglichkeit direkt auf Studien, Behördeninformationen, Gesetzestexte, Anbieterbedingungen oder dokumentierte Fälle. Eigene Einordnungen sind als solche formuliert und dienen der praktischen Anwendung für KMU.

Verständlichkeitsprinzip

Dieser Leitfaden verwendet Fachbegriffe nur dort, wo sie für eine Entscheidung wirklich nötig sind. Beim ersten Auftreten werden sie möglichst einfach erklärt. Wenn ein Begriff juristisch, technisch oder englisch klingt, gilt immer die praktische Frage: Was bedeutet das für mein Unternehmen konkret?

Die wichtigste Regel beim Lesen: Sie müssen nicht jeden Paragrafen oder jede technische Abkürzung auswendig kennen. Sie sollen erkennen, wo ein Risiko liegt, welche Mindestmaßnahme sinnvoll ist und wann externe Prüfung nötig wird.

KMU-Minipfad: Keine KI einführen, aber Risiken begrenzen

Keine KI einzuführen ist legitim. Nicht legitim ist, Schatten-KI, versteckte Software-KI und Mitarbeiterunsicherheit zu ignorieren.

In 2 Stunden:

  1. Fragen Sie offen, welche KI-Tools Mitarbeiter bereits für Arbeitsthemen nutzen oder nutzen würden.
  2. Legen Sie eine klare Regel fest: Keine personenbezogenen, vertraulichen oder geschäftskritischen Daten in nicht freigegebene KI-Tools.
  3. Prüfen Sie die drei wichtigsten Softwaretools auf aktivierte KI-Funktionen.

In 1 Tag:

  1. Erstellen Sie eine schriftliche Kein-KI-/KI-Nutzungsrichtlinie.
  2. Schulen Sie die Mitarbeiter kurz und dokumentieren Sie die Teilnahme.
  3. Legen Sie einen jährlichen Prüftermin fest, an dem die Kein-KI-Entscheidung neu bewertet wird.
Erweiterter Pfad: Wenn Bewerbungen, Mitarbeiterdaten, Kundendaten, Chatbots oder regulierte Prozesse betroffen sind: Nicht als „kein KI"-Thema behandeln, sondern als Compliance-Thema prüfen.

Mini-Glossar: Begriffe in diesem Modul

Schatten-KI
Mitarbeiter nutzen KI-Tools für berufliche Aufgaben, ohne dass das Unternehmen es weiß oder erlaubt hat.
KI-Richtlinie
Kurzes internes Dokument: Welche KI-Tools sind erlaubt, welche Daten sind verboten, wer ist verantwortlich?
Software-Audit
Prüfung der vorhandenen Programme: Enthalten sie KI-Funktionen? Sind diese aktiv?
KI-Kompetenz
Mitarbeiter wissen, wie sie KI sicher und verantwortungsvoll nutzen oder vermeiden.
Deployer / Anwender
Unternehmen, das ein KI-System beruflich nutzt oder dessen Nutzung zulässt.
AVV
Datenschutzvertrag mit einem Dienstleister.
Trigger
Ereignis, das eine neue Entscheidung auslösen sollte. Beispiel: Ein Großkunde verlangt KI-gestützte Prozesse.
KI-Readiness
Vorbereitung, damit ein Unternehmen später KI einführen kann, ohne bei null zu starten.

Einleitung: Die unterschätzte Entscheidung

In einfachen Worten: Auch wer keine KI einführen will, braucht Mindestregeln. Der Grund: Mitarbeiter oder bestehende Software können KI trotzdem ins Unternehmen bringen.

„Wir führen keine KI ein, also müssen wir uns nicht damit beschäftigen." Dieser Gedanke klingt logisch. Er ist aber falsch — und in manchen Fällen teuer falsch.

Die Entscheidung, keine KI einzuführen, ist legitim. Es gibt gute Gründe dafür: fehlende Ressourcen, regulatorische Unsicherheit, ein Geschäftsmodell das gut ohne KI funktioniert, oder schlicht strategische Prioritäten anderswo. Was aber nicht funktioniert: die Entscheidung treffen, und dann nichts weiter tun.

Denn Nicht-Einführen heißt nicht Nicht-Betroffen-Sein. Drei Mechanismen sorgen dafür, dass das Thema KI auch ohne aktiven Einsatz in Ihr Unternehmen dringt:

  1. Ihre Mitarbeiter könnten KI bereits nutzen — ob Sie es wissen oder nicht. Smartphones, Browser-Plugins, private Accounts bei ChatGPT oder Gemini. Das passiert gerade jetzt, während Sie diesen Text lesen.
  2. Die Software, die Sie bereits kaufen, enthält KI — Microsoft 365, Buchhaltungsprogramme, HR-Tools. Viele Anbieter haben KI-Funktionen aktiviert, ohne ihre Kunden prominent darauf hinzuweisen.
  3. Der EU AI Act kann auch ohne offizielles KI-Projekt relevant werden — insbesondere wenn Mitarbeiter KI-Tools im beruflichen Kontext nutzen oder eingekaufte Software KI-Funktionen enthält. Seit Februar 2025 ist Artikel 4 des AI Acts zur KI-Kompetenz in Kraft.

Dieses Modul erklärt konkret, was Sie tun müssen — auch wenn Sie bewusst keine KI einführen wollen. Es geht nicht darum, Sie zu erschrecken. Es geht darum, Sie vor Risiken zu schützen, die real und vermeidbar sind. Zur Größenordnung: Die in diesem Zusammenhang oft zitierten Millionen-Bußgelder sind gesetzliche Höchstrahmen für schwerste Fälle und Großkonzerne — für KMU liegen in der Praxis verhängte Bußgelder typischerweise im vier- bis fünfstelligen Bereich. Dokumentierte, proaktive Basismaßnahmen (Richtlinie, Schulung, Software-Audit) reduzieren das reale Risiko drastisch und wirken im Prüfungsfall ausdrücklich bußgeldmindernd. Die ausführliche Einordnung der Bußgeldpraxis finden Sie in Modul 3.

5.1 — Mitarbeiterschulung trotzdem Pflicht

Das Kern-Paradox: Wer keine KI einführt, muss trotzdem schulen.

Klingt widersprüchlich. Ist es aber nicht. Der Grund ist ein Phänomen, das Compliance-Experten „Schatten-KI" nennen — und das in Ihrem Unternehmen mit hoher Wahrscheinlichkeit bereits existiert (ausführlich in Modul 3, Careful #7).

Warum das relevant ist

Ein Kleinunternehmer mit 12 Mitarbeitern erklärt beim Einstellungsgespräch: „Wir nutzen hier keine KI, das ist uns wichtig." Drei Monate später schreibt seine Buchhalterin E-Mails mit ChatGPT-Unterstützung, sein Vertriebsmitarbeiter lässt Angebote von Gemini formulieren, und der Lagerleiter nutzt ein KI-Tool auf seinem Privathandy, um Lieferantenkorrespondenz zu übersetzen. Alle drei nutzen dafür — ohne es zu merken — teils vertrauliche Firmendaten.

Das Unternehmen hat offiziell keine KI. Praktisch kann es trotzdem in eine Anwender-/Deployer-Risikozone geraten, wenn KI zur Arbeitserfüllung genutzt wird und keine wirksame Governance existiert.

Der EU AI Act definiert den „Anwender" (Deployer) als jede juristische Person, die ein KI-System unter ihrer Autorität für berufliche Zwecke nutzt. Die Nutzung durch einen Mitarbeiter zur Erledigung seiner Arbeitsaufgaben kann dem Unternehmen zugerechnet werden, insbesondere wenn sie bekannt, geduldet, nicht wirksam geregelt oder organisatorisch naheliegend ist. Ein bloß mündliches Verbot ist als Schutz schwach, weil es kein belastbares Kontroll- und Nachweissystem ersetzt.

Studien von 2025 zeigen: Über 80 Prozent der Unternehmen weisen Anzeichen unautorisierter KI-Nutzung auf. Gartner prognostiziert, dass bis 2030 mehr als 40 Prozent aller Unternehmen Sicherheits- oder Compliance-Vorfälle durch unautorisierte Schatten-KI erleiden werden (Quelle). Die Dunkelziffer der Unternehmen, die bereits durch Schatten-KI ein Datenleck hatten, wird auf 20 Prozent geschätzt.

Was passiert, wenn Sie das ignorieren?

Was genau müssen Sie schulen? Das Minimalprogramm

Für Unternehmen, die keine KI einführen wollen, reicht ein kompaktes Schulungsprogramm. Es muss keine aufwendige Akademie sein. Aber es muss nachweisbar stattgefunden haben.

Inhalt des Minimalprogramms:

  1. Was ist KI? — Kurze, praxisnahe Erklärung: Was sind ChatGPT, Copilot, Gemini? Was passiert mit eingegebenen Daten? Warum sind öffentliche Gratis-Tools ein Risiko?
  2. Was ist bei uns verboten? — Klare Regel: Keine Eingabe von Kundendaten, Mitarbeiterdaten, internen Kalkulationen, Verträgen oder vertraulichen Informationen in öffentliche KI-Tools.
  3. Was passiert bei Verstößen? — Nicht als Drohung, sondern als Erklärung: rechtliche Risiken für das Unternehmen und mögliche Konsequenzen für den Mitarbeiter.
  4. Wo liegt die Grenze? — Privat-Nutzung außerhalb der Arbeitszeit ist Privatsache. Nutzung für berufliche Aufgaben — auch auf privaten Geräten — ist geregelte Unternehmensangelegenheit.
  5. An wen wende ich mich bei Fragen? — Klare Anlaufstelle im Betrieb benennen.

Dokumentationspflicht: Was muss nachweisbar sein?

Artikel 4 des EU AI Acts (seit Februar 2025 in Kraft) verlangt von Anwendern von KI-Systemen angemessene Maßnahmen zur KI-Kompetenz. Für Unternehmen, die offiziell keine KI einführen wollen, ist die saubere Linie deshalb: Nutzung entweder wirksam regeln und begrenzen — oder, falls KI faktisch genutzt wird, die nötige Kompetenz und Dokumentation schaffen.

Folgendes sollte dokumentiert werden:

Orientierung: Ein Betrieb mit 5–20 Mitarbeitern: Ein halber Tag Aufwand für die Erstellung der Policy, eine 60-Minuten-Schulungseinheit pro Jahr und Dokumentation in einer einfachen Tabelle können als pragmatischer Mindeststart dienen. Ob das reicht, hängt von Branche, Datenarten, Toolnutzung und Risikoprofil ab.
Wie erkennt man Schatten-KI im Betrieb?

Sie müssen keine Überwachungssoftware einsetzen. Einige pragmatische Hinweise:

  • Arbeitsergebnisse verändern sich auffällig stark in Stil, Tempo oder Umfang — das ist kein Beweis für KI-Nutzung, aber ein Anlass für offene Klärung
  • Arbeitszeiten sinken bei gleichbleibendem oder steigendem Output — ohne erkennbare Prozessänderung
  • Technische Hinweise auf Firmengeräten können bei begründetem Anlass und nur im Rahmen der arbeits- und datenschutzrechtlich zulässigen Kontrollen geprüft werden
  • Mitarbeiter fragen offen, ob sie „ChatGPT oder so" nutzen dürfen — ein gutes Zeichen, dass Klärungsbedarf besteht
  • Im Onboarding-Gespräch äußern neue Mitarbeiter Erstaunen, dass keine KI-Tools zur Verfügung stehen
Der beste Weg: Fragen Sie in einem Team-Meeting offen, ob und wie Mitarbeiter KI-Tools nutzen. Nicht als Verhör, sondern als Informationsgewinn. Sie werden überrascht sein, was Sie erfahren.
Plausibles Risikoszenario: Der DSGVO-Verstoß ohne KI-Einführung

Ein Steuerberatungsbüro mit 8 Mitarbeitern in Wien hat offiziell keine KI eingeführt. Eine Mitarbeiterin nutzt seit Monaten ChatGPT, um Mandantenschreiben zu formulieren. Dafür kopiert sie gelegentlich Textbausteine aus internen Systemen — inklusive Mandantennamen und steuerrelevanter Kennzahlen.

Die Buchhaltungssoftware des Büros speichert keine dieser Daten auf externen Servern. ChatGPT (in der kostenlosen Version) jedoch kann Eingaben zum Training des Modells verwenden, wenn der Nutzer dem nicht aktiv widerspricht.

Das Ergebnis: Personenbezogene Daten von Mandanten auf Servern außerhalb der EU, ohne Rechtsgrundlage nach DSGVO. Das Büro weiß davon nichts. Bis ein Mandant fragt.

Dieser Fall ist kein Einzelfall — er ist der Regelfall in Unternehmen ohne klare KI-Policy.

5.2 — Wettbewerbsfähigkeit aktiv managen

Ehrliche Fakten, keine Panik: Was der Verzicht auf KI in der Praxis bedeutet.

Was Studien über Produktivitätsunterschiede zeigen

Der McKinsey State of AI Report 2025 liefert eine vielzitierte Zahl: 88 Prozent der weltweit befragten Unternehmen nutzen KI in mindestens einer Funktion. Diese Zahl klingt bedrohlich — ist aber mit Vorsicht zu interpretieren.

Für österreichische und deutsche KMU gilt: Laut Institut der deutschen Wirtschaft (IW Köln) nutzen rund 37 Prozent des deutschen Mittelstands KI — laut ifo Institut sogar nur 27 Prozent. Die Diskrepanz erklärt sich durch unterschiedliche Erhebungszeiträume und KI-Definitionen: IW Köln zählt auch einfache KI-Assistenten und eingebettete Softwarefunktionen, ifo Institut verwendet engere Kriterien. Beide Zahlen gelten für 2025. In Österreich haben laut einer McKinsey-Erhebung nur 20 Prozent der Unternehmen eine ausformulierte KI-Strategie, und 80 Prozent haben den Nutzen noch nicht quantifiziert.

Was das bedeutet: Ihr direkter Wettbewerber — der Handwerker zwei Straßen weiter, das mittelständische Produktionsunternehmen in der Nachbarstadt — ist wahrscheinlich nicht weiter als Sie. Die 88-Prozent-Zahl beschreibt globale Großkonzerne und technikorientierte Märkte.

Was dennoch stimmt: Ein Drittel der KI-Nutzer berichtet von einer Zeitersparnis von vier Stunden oder mehr pro Woche. Mitarbeiter, die KI-Tools kompetent einsetzen, erledigen bestimmte Aufgaben nachweislich schneller. Dieser Unterschied wird in den nächsten Jahren sichtbarer — nicht dramatisch von heute auf morgen, aber real und wachsend.

Recruiting: Erwarten qualifizierte Bewerber KI-Tools?

Die Antwort ist differenziert. Jüngere Fachkräfte und Kandidaten aus technischen Berufen erwarten zunehmend eine moderne Arbeitsumgebung — dazu gehören für sie auch KI-Tools. Eine Lightcast-Analyse von über 1,3 Milliarden Stellenanzeigen (2025) zeigt: Stellen, die KI-Kompetenzen verlangen, sind im Schnitt mit 28 Prozent höheren Gehältern ausgeschrieben — umgerechnet knapp 18.000 US-Dollar pro Jahr (Quelle). Diese Fachkräfte werden sich tendenziell Arbeitgeber suchen, die ihnen erlauben, effizient zu arbeiten.

Für ländliche KMU, traditionelle Handwerksbetriebe oder Unternehmen mit sehr stabilen Belegschaften ist dies weniger dringlich. Für Unternehmen, die regelmäßig Wissensarbeiter rekrutieren wollen — in Marketing, Verwaltung, Vertrieb, IT-nahen Bereichen — ist dies ein wachsender Faktor.

Wann ist KI-Verzicht legitim und wettbewerbstechnisch vertretbar?

Es gibt Situationen, in denen die bewusste Entscheidung gegen KI-Einführung unternehmerisch völlig sinnvoll ist:

  • Ihr Wettbewerbsvorteil liegt in Qualität, Beziehungen oder Handwerkskunst, nicht in Skaleneffekten
  • Ihre Kunden legen explizit Wert auf „menschliche" Dienstleistung und sind bereit, dafür zu zahlen
  • Sie sind in einer Nische tätig, in der Automatisierung keinen relevanten Vorteil bringt
  • Ihr Betrieb ist zu klein, als dass die Investition in KI-Einführung und Schulung einen Return erzeugt
  • Sie haben regulatorische oder branchenspezifische Gründe (z.B. bestimmte Zertifizierungen, die KI-Einsatz ausschließen)
Legitim ist die Entscheidung dann, wenn sie bewusst und regelmäßig überprüft wird — nicht wenn sie aus Unwissenheit oder Aufwandsvermeidung getroffen wird.
Wie kommuniziert man KI-Ablehnung?

Nach innen (Mitarbeiter):

Erklären Sie Ihre Entscheidung aktiv und transparent. Mitarbeiter, die nicht wissen, warum KI-Tools nicht erlaubt sind, werden sich fragen ob das Unternehmen den Anschluss verliert — oder sie werden heimlich Schatten-KI nutzen. Eine klare Erklärung — „Wir haben uns diese Frage gestellt und folgende Gründe für unseren aktuellen Kurs" — verhindert beides.

Nach außen (Kunden, Partner):

In den meisten KMU-Branchen ist KI-Verzicht kein kommunikationswürdiges Thema. Falls Kunden fragen, können Sie ehrlich antworten: Ihre Qualitätsprozesse basieren auf menschlichem Urteil und langjähriger Erfahrung — und das ist kein Nachteil, sondern eine Positionierungsentscheidung.

Alternativen zu KI für Effizienzgewinne

Wer auf KI verzichtet, muss Effizienz nicht aufgeben. Bewährte Alternativen:

Die Watch-Liste: Informiert bleiben ohne zu überfordern

Wenn Sie KI heute ablehnen, aber die Entwicklung verfolgen wollen, brauchen Sie kein Vollzeit-Monitoring. Folgendes reicht:

  • Einmal pro Quartal: Einen einschlägigen Newsletter lesen (z.B. von Bitkom, WKO Digital, oder einem branchenspezifischen Verband)
  • Einmal pro Jahr: Ein konkretes KI-Tool testweise 30 Minuten ausprobieren, um ein Gefühl für den Stand der Technik zu bekommen
  • Gespräche mit Mitarbeitern: Was nutzen sie privat? Was würden sie sich für die Arbeit wünschen?
  • Branchenkollegen fragen: Was machen Ihre direkten Wettbewerber? Nicht via Social Media, sondern im direkten Gespräch.

5.3 — Versteckte KI in eingekaufter Software

Das unterschätzte Risiko: Sie haben möglicherweise schon KI im Einsatz — nur wissen Sie es nicht.

Warum das fast jeden betrifft

Nahezu jede moderne Business-Software enthält heute KI-Komponenten. Das ist keine Übertreibung. Es ist die direkte Folge davon, dass die großen Softwareanbieter weltweit massiv in KI investieren und diese Funktionen in ihre bestehenden Produkte integrieren.

Konkrete Beispiele:

Illustration: Versteckte KI-Funktionen in bestehender Unternehmenssoftware

Abb. 10 — Versteckte KI: Viele Ihrer bestehenden Tools enthalten bereits KI-Funktionen — oft ohne Ihr Wissen

Wie erkennt man versteckte KI-Funktionen?

Vier praktische Wege:

  1. Blättern Sie in den Einstellungen Ihrer wichtigsten Software — suchen Sie nach Begriffen wie „KI", „Copilot", „AI", „Smart", „automatisch" oder ähnlichem.
  2. Lesen Sie die Release Notes / Changelogs der letzten zwei Updates Ihrer Software. Anbieter kündigen KI-Integrationen dort an.
  3. Fragen Sie Ihren IT-Dienstleister oder Software-Anbieter direkt — nutzen Sie die Fragenliste weiter unten.
  4. Prüfen Sie Ihre Datenschutzerklärungen gegenüber Kunden — enthalten diese noch aktuelle Hinweise auf die Verarbeitungslogik Ihrer eingesetzten Software?

Welche rechtlichen Pflichten entstehen?

Wenn Ihre Software KI-Funktionen enthält und Sie diese nutzen (auch passiv, weil sie standardmäßig aktiviert sind), werden Sie zum Anwender (Deployer) im Sinne des EU AI Acts. Das hat Konsequenzen:

Checkliste: 10 Fragen, die Sie Softwareanbietern stellen müssen

Schicken Sie diese Fragen schriftlich an Ihre wichtigsten Softwareanbieter. Fordern Sie schriftliche Antworten an — das ist Ihr Recht als Auftraggeber und schützt Sie rechtlich:

  1. Enthält Ihre Software KI-Funktionen oder maschinelles Lernen? Wenn ja, welche?
  2. Sind diese Funktionen in meiner aktuellen Lizenz automatisch aktiviert?
  3. Kann ich KI-Funktionen deaktivieren? Wenn ja: wie?
  4. Wo werden meine Daten zur KI-Verarbeitung gespeichert und verarbeitet (Serverstandort)?
  5. Werden meine Daten für das Training von KI-Modellen genutzt? Kann ich dem widersprechen?
  6. Unter welche Risikoklasse des EU AI Acts fällt Ihr System?
  7. Welche Dokumentation stellen Sie mir für meine AI-Act-Compliance zur Verfügung?
  8. Wie informieren Sie mich über neue KI-Funktionen, bevor diese aktiviert werden?
  9. Haben Sie eine Datenschutz-Folgenabschätzung für Ihre KI-Funktionen durchgeführt? Kann ich diese einsehen?
  10. Wer ist Ansprechpartner für KI- und Datenschutz-Rückfragen in Ihrem Unternehmen?

Was tun, wenn Sie entdecken, dass Sie ungewollt KI nutzen?

Keine Panik — aber handeln Sie. In dieser Reihenfolge:
  1. Dokumentieren Sie, was Sie entdeckt haben — welches Tool, welche Funktion, seit wann aktiv.
  2. Prüfen Sie, ob sensible Daten betroffen sind — Kundendaten, Mitarbeiterdaten, vertrauliche Geschäftsinformationen.
  3. Deaktivieren Sie die KI-Funktion, wenn möglich, bis Sie die rechtliche Situation geklärt haben.
  4. Informieren Sie Ihren Datenschutzbeauftragten (falls vorhanden) oder holen Sie externe Beratung ein.
  5. Aktualisieren Sie Ihre Datenschutzerklärung gegenüber Kunden, wenn nötig.
  6. Entscheiden Sie bewusst, ob Sie die Funktion weiter nutzen wollen — mit den nötigen Maßnahmen — oder nicht.

Die gute Nachricht: Wenn Sie proaktiv reagieren und Maßnahmen ergreifen, bevor ein Schaden entsteht, ist das rechtlich deutlich besser als ein entdeckter Verstoß ohne Gegenmaßnahmen.

5.4 — Die Überprüfungs-Strategie: Wann doch KI einführen?

Für Unternehmen, die KI heute ablehnen, aber eine Entscheidungsgrundlage für morgen wollen.

Die bewusste Entscheidung gegen KI sollte keine dauerhafte Entscheidung sein — sie sollte eine Entscheidung auf Zeit sein, die regelmäßig überprüft wird. Märkte verändern sich. Technologie entwickelt sich. Was heute nicht sinnvoll ist, kann in zwei Jahren anders aussehen.

5 konkrete Trigger, die eine Neubeurteilung erfordern

🏢Trigger 1: Wettbewerber wird messbar effizienter

Ihr direkter Wettbewerber bietet nachweislich schnellere Lieferzeiten oder günstigere Preise an. Schwellenwert: Wenn ein Konkurrent in Ihrer Branche messbar effizienter agiert und Sie keine anderen Erklärungen haben — fragen Sie gezielt, ob KI-Einsatz der Grund ist. Reagieren, wenn der Unterschied dauerhaft mehr als 10–15 Prozent beträgt.

👥Trigger 2: Qualifizierte Bewerber lehnen ab

Wenn in Bewerbungsgesprächen wiederholt das Fehlen moderner Tools als Ablehnungsgrund genannt wird, ist das ein Signal — nicht zwingend für KI, aber für eine Modernisierungsüberprüfung insgesamt. Handlungsbedarf: Fragen Sie in Zukunft aktiv nach, welche Tools Kandidaten erwarten.

🤝Trigger 3: Großkunde fordert KI-Nachweise

Wenn ein Kunde, der mehr als 20 Prozent Ihres Umsatzes ausmacht, KI-basierte Prozesse, Reporting oder Dokumentation einfordert, ist das ein unmittelbarer Handlungsbedarf. Prüfen Sie, welche Anforderungen konkret gemeint sind — oft reicht ein strukturierter Datenaustausch, kein KI-Vollprojekt.

⚙️Trigger 4: Kernprozesse werden zum Engpass

Wenn Sie Stellen nicht besetzen können und die Konsequenz ist, dass Kapazität fehlt — während ein klar definierter Prozess theoretisch automatisierbar wäre — ist der Zeitpunkt für eine konkrete Analyse gekommen. Nicht bei vorübergehenden Engpässen — bei strukturellen.

📋Trigger 5: Neue Regulierung überfordert manuelle Prozesse

Wenn ab August 2026 AI-Act-Pflichten für Ihre Branche oder Ihre eingekaufte Software neue Anforderungen schaffen, die ohne strukturierte digitale Prozesse nicht mehr erfüllbar sind — ist das der finale Trigger. Hier hilft kein Abwarten mehr.

Wie bleibt man informiert ohne Überforderung?

Drei Quellen, die ohne Technologie-Vorwissen verständlich sind:

  • WKO Digital (Österreich) / Digitalverbände in Deutschland — Branchenspezifische Updates, oft mit konkreten Praxisbeispielen für KMU
  • Bitkom-Studien — jährlich, kostenlos, mit guten Vergleichsdaten für den Mittelstand
  • Ihr Steuerberater oder Unternehmensberater — fragen Sie explizit: Was müssen Unternehmen wie meines jetzt wissen?

Minimalmaßnahmen für KI-Readiness ohne aktive Einführung

„KI-Readiness" bedeutet: Sie können KI einführen, wenn Sie es wollen — ohne von vorne anfangen zu müssen. Das können Sie schon heute vorbereiten:

Die Entscheidungsmatrix: Wann ist der richtige Zeitpunkt?

Nicht jedes Unternehmen braucht KI zur gleichen Zeit. Der richtige Zeitpunkt hängt von vier Faktoren ab:

FaktorSofort prüfenNoch ZeitKein Druck
Wettbewerb nutzt KI aktiv in Ihrer NischeJaNeinNein
Mitarbeiter-Engpässe bei RoutineaufgabenJaGelegentlichKaum
Regulatorische Pflichten aus AI ActBestehendUnklarKeine
Datenqualität und Prozessdokumentation vorhandenJaTeilweiseNein
Wenn Sie bei mehr als zwei Faktoren in der Spalte „Sofort prüfen" landen: Es ist Zeit für eine strukturierte Analyse. Das bedeutet nicht sofortige Einführung — aber mindestens eine ehrliche Bestandsaufnahme mit externer Unterstützung.

Abschluss: Die 12-Punkte-Checkliste für „Kein-KI"-Unternehmen

Diese Checkliste richtet sich an Unternehmen, die bewusst keine KI einführen — aber die nötigen Mindestmaßnahmen umsetzen wollen, um rechtlich geschützt zu bleiben und strategisch handlungsfähig zu bleiben.

Rechtliche Mindestpflichten

Software-Audit

Wettbewerbs-Monitoring

Mitarbeiter-Kommunikation

Jährliche Überprüfung

Zusammenfassung

Keine KI einzuführen ist eine legitime Entscheidung. Aber sie ist keine passive Entscheidung. Wer sie trifft, übernimmt aktive Verantwortung dafür, dass sein Unternehmen trotzdem rechtlich konform bleibt, dass Mitarbeiter wissen was erlaubt ist, und dass die Entscheidung regelmäßig auf ihre Richtigkeit überprüft wird.

Der häufigste Fehler: Wer Nein zu KI sagt, glaubt oft, damit sei das Thema erledigt. Ist es nicht.

Wer diese Checkliste abarbeitet, hat getan, was in seiner Situation getan werden muss. Mehr ist nicht nötig. Weniger wäre fahrlässig.

ANHANG: 3-Phasen-Aktionsplan für Unternehmen im Verbots-Regime

Hier ist der konkrete Aktionsplan — in drei Phasen.

Phase 1 — Sofortmaßnahmen (Monate 1–2)

Ziel: Die größten Haftungsrisiken eliminieren.

  1. KI-Inventar anlegen: Alle genutzten Tools auflisten — inklusive Schatten-KI. Kurze Befragung der Mitarbeiter: „Welche Tools nutzt ihr für Arbeitsaufgaben?"
  2. Schriftliche KI-Richtlinie erstellen und unterzeichnen lassen: Ein bis zwei Seiten reichen. Positiv- und Negativliste. Unterschriften aller Mitarbeiter dokumentieren.
  3. Pflichtschulung durchführen: 60–90 Minuten, alle Mitarbeiter, Teilnehmerliste aufbewahren. Inhalt: Was ist KI, was ist verboten, warum, an wen wende ich mich.
  4. Hochrisiko-Sofort-Check: Wird irgendwo (auch heimlich) KI für Bewerberselektion, Kreditbeurteilung oder Leistungsüberwachung genutzt? Wenn ja: sofort abstellen und Compliance-Lage prüfen.
Phase 2 — Strukturaufbau (Monate 3–6)

Ziel: Dauerhaft sichere Grundlage schaffen.

  1. Software-Audit abschließen: Alle genutzten Programme auf KI-Funktionen prüfen. Anbieter schriftlich anfragen. KI-Funktionen bewusst ein- oder ausschalten.
  2. Datenschutz aktualisieren: VVT-Einträge für Schatten-KI anlegen, AVVs für alle Tools mit Personendaten-Zugriff abschließen oder kündigen.
  3. IT-Technische Absicherung: IT-Dienstleister beauftragen, ungenehmigte Browser-Extensions einzuschränken. Whitelisting-Strategie implementieren.
  4. Kommunikation normalisieren: KI-Nutzungsregeln in reguläre Teammeetings integrieren — nicht einmalig, sondern dauerhaft als laufendes Thema.
Phase 3 — Laufende Governance (ab Monat 7)

Ziel: Nicht in einen Rückstand geraten.

  1. Quartalsweises Monitoring: KI-Entwicklungen und regulatorische Änderungen verfolgen (Quellen: EU AI Act auf EUR-Lex, EU-Kommission AI Literacy Q&A, Rat der EU zum Digital Omnibus).
  2. Jährliches Review: Ist die Nicht-KI-Entscheidung noch richtig? Trigger-Liste prüfen.
  3. Omnibus-Entwicklung beobachten: Das Digital-Omnibus-Paket (vorläufige Einigung Mai 2026) soll die Compliance-Last verändern. Insbesondere für Unternehmen unter 750 Mitarbeitern (geplante SMC-Kategorie) kann der Aufwand für Hochrisiko-Compliance sinken, wenn der Omnibus formal angenommen und veröffentlicht wird.
Hinweis zur Planungssicherheit: Das Digital-Omnibus-Paket (vorläufige Einigung 7. Mai 2026) soll — wenn formal angenommen und veröffentlicht — die Compliance-Pflichten für kleinere Unternehmen spürbar erleichtern. Unternehmen unter 750 Mitarbeitern und 150 Mio. € Umsatz könnten als SMC-Kategorie ähnliche Erleichterungen wie KMU erhalten. Das ändert nichts an den grundlegenden Pflichten (Schulung, Richtlinie, AVV) — kann aber den Aufwand bei Hochrisiko-Szenarien reduzieren.

Ausgewählte Quellen

Version 2.6 — Juni 2026: Quellenrevision, KMU-Minipfad ergänzt, Deployer-Aussagen präzisiert, Schatten-KI-Indikatoren datenschutzfreundlicher formuliert.

Herausgeber: x10aix.tech — Projekt der Dräxler Versicherungsberatung GmbH | Hetzendorfer Strasse 73a, 1120 Wien | contact@x10aix.tech

Diese Publikation stellt eine allgemeine Information dar und ersetzt keine individuelle rechtliche oder unternehmerische Beratung.

KI-Kompass Updates erhalten

Benachrichtigung bei neuer Version — keine Werbung, kein Spam.

Sie wollen wissen, wo Ihr Unternehmen aktuell steht?

In einem AI Sounding Board prüfen wir gemeinsam, welche KI-Nutzung bei Ihnen bereits stattfindet, wo Risiken entstehen und welche nächsten Schritte wirtschaftlich sinnvoll sind.

▸ AI Sounding Board anfragen