Einordnung und Quellenlogik
Dieser Leitfaden ist eine unternehmerische Entscheidungs- und Umsetzungsgrundlage für KMU. Er ersetzt keine individuelle Rechts-, Steuer-, Datenschutz- oder IT-Sicherheitsberatung. Gerade bei personenbezogenen Daten, Mitarbeiterdaten, Hochrisiko-KI, Berufsgeheimnissen oder Betriebsratsfragen sollte die finale Bewertung durch die jeweils zuständige Fachperson erfolgen.
Begriffsschärfe in diesem Dokument:
- Gesetzliche Pflicht: ausdrücklich oder unmittelbar aus Gesetz, Verordnung oder verbindlicher behördlicher Vorgabe ableitbar.
- Rechtliche Risikozone: nicht pauschal verboten, aber nur mit sauberer Rechtsgrundlage, Dokumentation, Verträgen und Verantwortlichkeiten vertretbar.
- Best Practice: fachlich sinnvoll, aber nicht in jedem Fall gesetzlich vorgeschrieben.
- Praktische Empfehlung: pragmatische Handlungsempfehlung für KMU, damit Unternehmer nach dem Durchgehen dieses Leitfadens konkrete nächste Schritte ableiten können.
Quellenlogik: Die im Text verlinkten Quellen verweisen nach Möglichkeit direkt auf Studien, Behördeninformationen, Gesetzestexte, Anbieterbedingungen oder dokumentierte Fälle. Eigene Einordnungen sind als solche formuliert und dienen der praktischen Anwendung für KMU.
Verständlichkeitsprinzip
Dieser Leitfaden verwendet Fachbegriffe nur dort, wo sie für eine Entscheidung wirklich nötig sind. Beim ersten Auftreten werden sie möglichst einfach erklärt. Wenn ein Begriff juristisch, technisch oder englisch klingt, gilt immer die praktische Frage: Was bedeutet das für mein Unternehmen konkret?
Die wichtigste Regel beim Lesen: Sie müssen nicht jeden Paragrafen oder jede technische Abkürzung auswendig kennen. Sie sollen erkennen, wo ein Risiko liegt, welche Mindestmaßnahme sinnvoll ist und wann externe Prüfung nötig wird.
KMU-Minipfad: Keine KI einführen, aber Risiken begrenzen
In 2 Stunden:
- Fragen Sie offen, welche KI-Tools Mitarbeiter bereits für Arbeitsthemen nutzen oder nutzen würden.
- Legen Sie eine klare Regel fest: Keine personenbezogenen, vertraulichen oder geschäftskritischen Daten in nicht freigegebene KI-Tools.
- Prüfen Sie die drei wichtigsten Softwaretools auf aktivierte KI-Funktionen.
In 1 Tag:
- Erstellen Sie eine schriftliche Kein-KI-/KI-Nutzungsrichtlinie.
- Schulen Sie die Mitarbeiter kurz und dokumentieren Sie die Teilnahme.
- Legen Sie einen jährlichen Prüftermin fest, an dem die Kein-KI-Entscheidung neu bewertet wird.
Mini-Glossar: Begriffe in diesem Modul
Einleitung: Die unterschätzte Entscheidung
„Wir führen keine KI ein, also müssen wir uns nicht damit beschäftigen." Dieser Gedanke klingt logisch. Er ist aber falsch — und in manchen Fällen teuer falsch.
Die Entscheidung, keine KI einzuführen, ist legitim. Es gibt gute Gründe dafür: fehlende Ressourcen, regulatorische Unsicherheit, ein Geschäftsmodell das gut ohne KI funktioniert, oder schlicht strategische Prioritäten anderswo. Was aber nicht funktioniert: die Entscheidung treffen, und dann nichts weiter tun.
Denn Nicht-Einführen heißt nicht Nicht-Betroffen-Sein. Drei Mechanismen sorgen dafür, dass das Thema KI auch ohne aktiven Einsatz in Ihr Unternehmen dringt:
- Ihre Mitarbeiter könnten KI bereits nutzen — ob Sie es wissen oder nicht. Smartphones, Browser-Plugins, private Accounts bei ChatGPT oder Gemini. Das passiert gerade jetzt, während Sie diesen Text lesen.
- Die Software, die Sie bereits kaufen, enthält KI — Microsoft 365, Buchhaltungsprogramme, HR-Tools. Viele Anbieter haben KI-Funktionen aktiviert, ohne ihre Kunden prominent darauf hinzuweisen.
- Der EU AI Act kann auch ohne offizielles KI-Projekt relevant werden — insbesondere wenn Mitarbeiter KI-Tools im beruflichen Kontext nutzen oder eingekaufte Software KI-Funktionen enthält. Seit Februar 2025 ist Artikel 4 des AI Acts zur KI-Kompetenz in Kraft.
Dieses Modul erklärt konkret, was Sie tun müssen — auch wenn Sie bewusst keine KI einführen wollen. Es geht nicht darum, Sie zu erschrecken. Es geht darum, Sie vor Risiken zu schützen, die real und vermeidbar sind. Zur Größenordnung: Die in diesem Zusammenhang oft zitierten Millionen-Bußgelder sind gesetzliche Höchstrahmen für schwerste Fälle und Großkonzerne — für KMU liegen in der Praxis verhängte Bußgelder typischerweise im vier- bis fünfstelligen Bereich. Dokumentierte, proaktive Basismaßnahmen (Richtlinie, Schulung, Software-Audit) reduzieren das reale Risiko drastisch und wirken im Prüfungsfall ausdrücklich bußgeldmindernd. Die ausführliche Einordnung der Bußgeldpraxis finden Sie in Modul 3.
5.1 — Mitarbeiterschulung trotzdem Pflicht
Klingt widersprüchlich. Ist es aber nicht. Der Grund ist ein Phänomen, das Compliance-Experten „Schatten-KI" nennen — und das in Ihrem Unternehmen mit hoher Wahrscheinlichkeit bereits existiert (ausführlich in Modul 3, Careful #7).
Warum das relevant ist
Ein Kleinunternehmer mit 12 Mitarbeitern erklärt beim Einstellungsgespräch: „Wir nutzen hier keine KI, das ist uns wichtig." Drei Monate später schreibt seine Buchhalterin E-Mails mit ChatGPT-Unterstützung, sein Vertriebsmitarbeiter lässt Angebote von Gemini formulieren, und der Lagerleiter nutzt ein KI-Tool auf seinem Privathandy, um Lieferantenkorrespondenz zu übersetzen. Alle drei nutzen dafür — ohne es zu merken — teils vertrauliche Firmendaten.
Das Unternehmen hat offiziell keine KI. Praktisch kann es trotzdem in eine Anwender-/Deployer-Risikozone geraten, wenn KI zur Arbeitserfüllung genutzt wird und keine wirksame Governance existiert.
Studien von 2025 zeigen: Über 80 Prozent der Unternehmen weisen Anzeichen unautorisierter KI-Nutzung auf. Gartner prognostiziert, dass bis 2030 mehr als 40 Prozent aller Unternehmen Sicherheits- oder Compliance-Vorfälle durch unautorisierte Schatten-KI erleiden werden (Quelle). Die Dunkelziffer der Unternehmen, die bereits durch Schatten-KI ein Datenleck hatten, wird auf 20 Prozent geschätzt.
Was passiert, wenn Sie das ignorieren?
- Mitarbeiter geben Kundendaten, interne Kalkulationen oder Personalinformationen in öffentliche KI-Systeme ein. Diese Daten können in das Training öffentlicher Modelle einfließen.
- Das Unternehmen verstößt gegen die DSGVO — ohne es zu wissen.
- Nutzt ein Mitarbeiter ein KI-Tool zur Vorauswahl von Bewerbungen (was unter Hochrisiko-KI fällt), haftet das Unternehmen für die Einhaltung der Hochrisiko-Anforderungen des AI Acts — ohne die nötige Dokumentation zu haben.
- Im Schadensfall (z.B. Klage eines abgelehnten Bewerbers) steht das Unternehmen ohne Verteidigung da.
Was genau müssen Sie schulen? Das Minimalprogramm
Für Unternehmen, die keine KI einführen wollen, reicht ein kompaktes Schulungsprogramm. Es muss keine aufwendige Akademie sein. Aber es muss nachweisbar stattgefunden haben.
Inhalt des Minimalprogramms:
- Was ist KI? — Kurze, praxisnahe Erklärung: Was sind ChatGPT, Copilot, Gemini? Was passiert mit eingegebenen Daten? Warum sind öffentliche Gratis-Tools ein Risiko?
- Was ist bei uns verboten? — Klare Regel: Keine Eingabe von Kundendaten, Mitarbeiterdaten, internen Kalkulationen, Verträgen oder vertraulichen Informationen in öffentliche KI-Tools.
- Was passiert bei Verstößen? — Nicht als Drohung, sondern als Erklärung: rechtliche Risiken für das Unternehmen und mögliche Konsequenzen für den Mitarbeiter.
- Wo liegt die Grenze? — Privat-Nutzung außerhalb der Arbeitszeit ist Privatsache. Nutzung für berufliche Aufgaben — auch auf privaten Geräten — ist geregelte Unternehmensangelegenheit.
- An wen wende ich mich bei Fragen? — Klare Anlaufstelle im Betrieb benennen.
Dokumentationspflicht: Was muss nachweisbar sein?
Artikel 4 des EU AI Acts (seit Februar 2025 in Kraft) verlangt von Anwendern von KI-Systemen angemessene Maßnahmen zur KI-Kompetenz. Für Unternehmen, die offiziell keine KI einführen wollen, ist die saubere Linie deshalb: Nutzung entweder wirksam regeln und begrenzen — oder, falls KI faktisch genutzt wird, die nötige Kompetenz und Dokumentation schaffen.
Folgendes sollte dokumentiert werden:
- Datum und Inhalt der Schulungsmaßnahme
- Teilnehmerliste mit Unterschriften
- Schriftliche KI-Richtlinie (auch wenn sie ein Verbot ist) — als Anhang zum Arbeitsvertrag oder als separate Policy
- Aktualisierung dieser Dokumentation bei neuen Mitarbeitern und bei wesentlichen Änderungen der KI-Landschaft
Wie erkennt man Schatten-KI im Betrieb?
Sie müssen keine Überwachungssoftware einsetzen. Einige pragmatische Hinweise:
- Arbeitsergebnisse verändern sich auffällig stark in Stil, Tempo oder Umfang — das ist kein Beweis für KI-Nutzung, aber ein Anlass für offene Klärung
- Arbeitszeiten sinken bei gleichbleibendem oder steigendem Output — ohne erkennbare Prozessänderung
- Technische Hinweise auf Firmengeräten können bei begründetem Anlass und nur im Rahmen der arbeits- und datenschutzrechtlich zulässigen Kontrollen geprüft werden
- Mitarbeiter fragen offen, ob sie „ChatGPT oder so" nutzen dürfen — ein gutes Zeichen, dass Klärungsbedarf besteht
- Im Onboarding-Gespräch äußern neue Mitarbeiter Erstaunen, dass keine KI-Tools zur Verfügung stehen
Plausibles Risikoszenario: Der DSGVO-Verstoß ohne KI-Einführung
Ein Steuerberatungsbüro mit 8 Mitarbeitern in Wien hat offiziell keine KI eingeführt. Eine Mitarbeiterin nutzt seit Monaten ChatGPT, um Mandantenschreiben zu formulieren. Dafür kopiert sie gelegentlich Textbausteine aus internen Systemen — inklusive Mandantennamen und steuerrelevanter Kennzahlen.
Die Buchhaltungssoftware des Büros speichert keine dieser Daten auf externen Servern. ChatGPT (in der kostenlosen Version) jedoch kann Eingaben zum Training des Modells verwenden, wenn der Nutzer dem nicht aktiv widerspricht.
Dieser Fall ist kein Einzelfall — er ist der Regelfall in Unternehmen ohne klare KI-Policy.
5.2 — Wettbewerbsfähigkeit aktiv managen
Ehrliche Fakten, keine Panik: Was der Verzicht auf KI in der Praxis bedeutet.
Was Studien über Produktivitätsunterschiede zeigen
Der McKinsey State of AI Report 2025 liefert eine vielzitierte Zahl: 88 Prozent der weltweit befragten Unternehmen nutzen KI in mindestens einer Funktion. Diese Zahl klingt bedrohlich — ist aber mit Vorsicht zu interpretieren.
Für österreichische und deutsche KMU gilt: Laut Institut der deutschen Wirtschaft (IW Köln) nutzen rund 37 Prozent des deutschen Mittelstands KI — laut ifo Institut sogar nur 27 Prozent. Die Diskrepanz erklärt sich durch unterschiedliche Erhebungszeiträume und KI-Definitionen: IW Köln zählt auch einfache KI-Assistenten und eingebettete Softwarefunktionen, ifo Institut verwendet engere Kriterien. Beide Zahlen gelten für 2025. In Österreich haben laut einer McKinsey-Erhebung nur 20 Prozent der Unternehmen eine ausformulierte KI-Strategie, und 80 Prozent haben den Nutzen noch nicht quantifiziert.
Was dennoch stimmt: Ein Drittel der KI-Nutzer berichtet von einer Zeitersparnis von vier Stunden oder mehr pro Woche. Mitarbeiter, die KI-Tools kompetent einsetzen, erledigen bestimmte Aufgaben nachweislich schneller. Dieser Unterschied wird in den nächsten Jahren sichtbarer — nicht dramatisch von heute auf morgen, aber real und wachsend.
Recruiting: Erwarten qualifizierte Bewerber KI-Tools?
Die Antwort ist differenziert. Jüngere Fachkräfte und Kandidaten aus technischen Berufen erwarten zunehmend eine moderne Arbeitsumgebung — dazu gehören für sie auch KI-Tools. Eine Lightcast-Analyse von über 1,3 Milliarden Stellenanzeigen (2025) zeigt: Stellen, die KI-Kompetenzen verlangen, sind im Schnitt mit 28 Prozent höheren Gehältern ausgeschrieben — umgerechnet knapp 18.000 US-Dollar pro Jahr (Quelle). Diese Fachkräfte werden sich tendenziell Arbeitgeber suchen, die ihnen erlauben, effizient zu arbeiten.
Für ländliche KMU, traditionelle Handwerksbetriebe oder Unternehmen mit sehr stabilen Belegschaften ist dies weniger dringlich. Für Unternehmen, die regelmäßig Wissensarbeiter rekrutieren wollen — in Marketing, Verwaltung, Vertrieb, IT-nahen Bereichen — ist dies ein wachsender Faktor.
Wann ist KI-Verzicht legitim und wettbewerbstechnisch vertretbar?
Es gibt Situationen, in denen die bewusste Entscheidung gegen KI-Einführung unternehmerisch völlig sinnvoll ist:
- Ihr Wettbewerbsvorteil liegt in Qualität, Beziehungen oder Handwerkskunst, nicht in Skaleneffekten
- Ihre Kunden legen explizit Wert auf „menschliche" Dienstleistung und sind bereit, dafür zu zahlen
- Sie sind in einer Nische tätig, in der Automatisierung keinen relevanten Vorteil bringt
- Ihr Betrieb ist zu klein, als dass die Investition in KI-Einführung und Schulung einen Return erzeugt
- Sie haben regulatorische oder branchenspezifische Gründe (z.B. bestimmte Zertifizierungen, die KI-Einsatz ausschließen)
Wie kommuniziert man KI-Ablehnung?
Nach innen (Mitarbeiter):
Erklären Sie Ihre Entscheidung aktiv und transparent. Mitarbeiter, die nicht wissen, warum KI-Tools nicht erlaubt sind, werden sich fragen ob das Unternehmen den Anschluss verliert — oder sie werden heimlich Schatten-KI nutzen. Eine klare Erklärung — „Wir haben uns diese Frage gestellt und folgende Gründe für unseren aktuellen Kurs" — verhindert beides.
Nach außen (Kunden, Partner):
In den meisten KMU-Branchen ist KI-Verzicht kein kommunikationswürdiges Thema. Falls Kunden fragen, können Sie ehrlich antworten: Ihre Qualitätsprozesse basieren auf menschlichem Urteil und langjähriger Erfahrung — und das ist kein Nachteil, sondern eine Positionierungsentscheidung.
Alternativen zu KI für Effizienzgewinne
Wer auf KI verzichtet, muss Effizienz nicht aufgeben. Bewährte Alternativen:
- Prozessoptimierung durch Standardisierung: Vorlagen, Checklisten, klare Abläufe eliminieren viele Ineffizienzen
- Bessere Nutzung bestehender Software: Die meisten Unternehmen nutzen nur 20–30 Prozent der Funktionen ihrer vorhandenen Tools
- Outsourcing von Routineaufgaben an Dienstleister (Buchhaltung, Textverarbeitung, Recherche)
- Spezialisierung des Teams: Menschen, die sich auf ihre Kernstärken konzentrieren, sind produktiver als solche, die alles ein bisschen machen
- Automatisierung durch klassische Software (Makros, Workflows, Regeln) — ohne KI
Die Watch-Liste: Informiert bleiben ohne zu überfordern
Wenn Sie KI heute ablehnen, aber die Entwicklung verfolgen wollen, brauchen Sie kein Vollzeit-Monitoring. Folgendes reicht:
- Einmal pro Quartal: Einen einschlägigen Newsletter lesen (z.B. von Bitkom, WKO Digital, oder einem branchenspezifischen Verband)
- Einmal pro Jahr: Ein konkretes KI-Tool testweise 30 Minuten ausprobieren, um ein Gefühl für den Stand der Technik zu bekommen
- Gespräche mit Mitarbeitern: Was nutzen sie privat? Was würden sie sich für die Arbeit wünschen?
- Branchenkollegen fragen: Was machen Ihre direkten Wettbewerber? Nicht via Social Media, sondern im direkten Gespräch.
5.3 — Versteckte KI in eingekaufter Software
Warum das fast jeden betrifft
Nahezu jede moderne Business-Software enthält heute KI-Komponenten. Das ist keine Übertreibung. Es ist die direkte Folge davon, dass die großen Softwareanbieter weltweit massiv in KI investieren und diese Funktionen in ihre bestehenden Produkte integrieren.
Konkrete Beispiele:
- Microsoft 365 (Word, Excel, Outlook, Teams): Microsoft Copilot ist in vielen Lizenzen automatisch enthalten oder wird ohne aktive Abmeldung aktiviert. Copilot analysiert E-Mails, schlägt Formulierungen vor, fasst Meetings zusammen — alles auf Basis von KI. Wer Microsoft 365 nutzt, ist automatisch potenzieller KI-Anwender im Sinne des AI Acts.
- Salesforce und andere CRM-Systeme: „Salesforce Einstein" (KI-Komponente) ist in den gängigen Lizenzen enthalten. Ähnlich bei HubSpot, Pipedrive und anderen.
- Buchhaltungssoftware: DATEV, Sage, Lexware, BMD — alle integrieren zunehmend KI-Funktionen für automatische Belegzuordnung, Plausibilitätsprüfungen und Prognosen. Finmatics (weit verbreitet in Österreich) ist explizit ein KI-Tool für Buchhaltung.
- HR-Tools: Personio, Rexx und ähnliche Systeme integrieren KI für Bewerbermanagement, Screening und Weiterbildungsempfehlungen.
- E-Mail- und Kommunikationstools: Grammarly (Sprachkorrektur mit KI), Google Workspace (Smart Compose, Smart Reply) und viele andere sind KI-Systeme, ohne dass sie explizit so vermarktet werden.
Abb. 10 — Versteckte KI: Viele Ihrer bestehenden Tools enthalten bereits KI-Funktionen — oft ohne Ihr Wissen
Wie erkennt man versteckte KI-Funktionen?
Vier praktische Wege:
- Blättern Sie in den Einstellungen Ihrer wichtigsten Software — suchen Sie nach Begriffen wie „KI", „Copilot", „AI", „Smart", „automatisch" oder ähnlichem.
- Lesen Sie die Release Notes / Changelogs der letzten zwei Updates Ihrer Software. Anbieter kündigen KI-Integrationen dort an.
- Fragen Sie Ihren IT-Dienstleister oder Software-Anbieter direkt — nutzen Sie die Fragenliste weiter unten.
- Prüfen Sie Ihre Datenschutzerklärungen gegenüber Kunden — enthalten diese noch aktuelle Hinweise auf die Verarbeitungslogik Ihrer eingesetzten Software?
Welche rechtlichen Pflichten entstehen?
Wenn Ihre Software KI-Funktionen enthält und Sie diese nutzen (auch passiv, weil sie standardmäßig aktiviert sind), werden Sie zum Anwender (Deployer) im Sinne des EU AI Acts. Das hat Konsequenzen:
- Transparenzpflicht: Betroffene Personen müssen informiert werden, wenn KI-gestützte Systeme eingesetzt werden — insbesondere im Personalbereich.
- Schulungspflicht (Art. 4 AI Act): Ihr Personal muss über ausreichende KI-Kompetenz verfügen, um die Systeme verantwortungsvoll zu nutzen.
- Menschliche Aufsicht: Bei Hochrisiko-KI-Systemen (z.B. KI-gestützte Personalentscheidungen) muss ein qualifizierter Mensch die KI-Ergebnisse prüfen und korrigieren können.
- Dokumentationspflicht: Sie müssen nachweisen können, dass Sie die Anforderungen des AI Acts kennen und umsetzen.
- DSGVO-Konformität: Datenverarbeitung durch KI-Komponenten in Ihrer Software muss in Ihrer Datenschutzerklärung abgebildet sein.
Checkliste: 10 Fragen, die Sie Softwareanbietern stellen müssen
Schicken Sie diese Fragen schriftlich an Ihre wichtigsten Softwareanbieter. Fordern Sie schriftliche Antworten an — das ist Ihr Recht als Auftraggeber und schützt Sie rechtlich:
- Enthält Ihre Software KI-Funktionen oder maschinelles Lernen? Wenn ja, welche?
- Sind diese Funktionen in meiner aktuellen Lizenz automatisch aktiviert?
- Kann ich KI-Funktionen deaktivieren? Wenn ja: wie?
- Wo werden meine Daten zur KI-Verarbeitung gespeichert und verarbeitet (Serverstandort)?
- Werden meine Daten für das Training von KI-Modellen genutzt? Kann ich dem widersprechen?
- Unter welche Risikoklasse des EU AI Acts fällt Ihr System?
- Welche Dokumentation stellen Sie mir für meine AI-Act-Compliance zur Verfügung?
- Wie informieren Sie mich über neue KI-Funktionen, bevor diese aktiviert werden?
- Haben Sie eine Datenschutz-Folgenabschätzung für Ihre KI-Funktionen durchgeführt? Kann ich diese einsehen?
- Wer ist Ansprechpartner für KI- und Datenschutz-Rückfragen in Ihrem Unternehmen?
Was tun, wenn Sie entdecken, dass Sie ungewollt KI nutzen?
- Dokumentieren Sie, was Sie entdeckt haben — welches Tool, welche Funktion, seit wann aktiv.
- Prüfen Sie, ob sensible Daten betroffen sind — Kundendaten, Mitarbeiterdaten, vertrauliche Geschäftsinformationen.
- Deaktivieren Sie die KI-Funktion, wenn möglich, bis Sie die rechtliche Situation geklärt haben.
- Informieren Sie Ihren Datenschutzbeauftragten (falls vorhanden) oder holen Sie externe Beratung ein.
- Aktualisieren Sie Ihre Datenschutzerklärung gegenüber Kunden, wenn nötig.
- Entscheiden Sie bewusst, ob Sie die Funktion weiter nutzen wollen — mit den nötigen Maßnahmen — oder nicht.
Die gute Nachricht: Wenn Sie proaktiv reagieren und Maßnahmen ergreifen, bevor ein Schaden entsteht, ist das rechtlich deutlich besser als ein entdeckter Verstoß ohne Gegenmaßnahmen.
5.4 — Die Überprüfungs-Strategie: Wann doch KI einführen?
Für Unternehmen, die KI heute ablehnen, aber eine Entscheidungsgrundlage für morgen wollen.
Die bewusste Entscheidung gegen KI sollte keine dauerhafte Entscheidung sein — sie sollte eine Entscheidung auf Zeit sein, die regelmäßig überprüft wird. Märkte verändern sich. Technologie entwickelt sich. Was heute nicht sinnvoll ist, kann in zwei Jahren anders aussehen.
5 konkrete Trigger, die eine Neubeurteilung erfordern
Ihr direkter Wettbewerber bietet nachweislich schnellere Lieferzeiten oder günstigere Preise an. Schwellenwert: Wenn ein Konkurrent in Ihrer Branche messbar effizienter agiert und Sie keine anderen Erklärungen haben — fragen Sie gezielt, ob KI-Einsatz der Grund ist. Reagieren, wenn der Unterschied dauerhaft mehr als 10–15 Prozent beträgt.
Wenn in Bewerbungsgesprächen wiederholt das Fehlen moderner Tools als Ablehnungsgrund genannt wird, ist das ein Signal — nicht zwingend für KI, aber für eine Modernisierungsüberprüfung insgesamt. Handlungsbedarf: Fragen Sie in Zukunft aktiv nach, welche Tools Kandidaten erwarten.
Wenn ein Kunde, der mehr als 20 Prozent Ihres Umsatzes ausmacht, KI-basierte Prozesse, Reporting oder Dokumentation einfordert, ist das ein unmittelbarer Handlungsbedarf. Prüfen Sie, welche Anforderungen konkret gemeint sind — oft reicht ein strukturierter Datenaustausch, kein KI-Vollprojekt.
Wenn Sie Stellen nicht besetzen können und die Konsequenz ist, dass Kapazität fehlt — während ein klar definierter Prozess theoretisch automatisierbar wäre — ist der Zeitpunkt für eine konkrete Analyse gekommen. Nicht bei vorübergehenden Engpässen — bei strukturellen.
Wenn ab August 2026 AI-Act-Pflichten für Ihre Branche oder Ihre eingekaufte Software neue Anforderungen schaffen, die ohne strukturierte digitale Prozesse nicht mehr erfüllbar sind — ist das der finale Trigger. Hier hilft kein Abwarten mehr.
Wie bleibt man informiert ohne Überforderung?
Drei Quellen, die ohne Technologie-Vorwissen verständlich sind:
- WKO Digital (Österreich) / Digitalverbände in Deutschland — Branchenspezifische Updates, oft mit konkreten Praxisbeispielen für KMU
- Bitkom-Studien — jährlich, kostenlos, mit guten Vergleichsdaten für den Mittelstand
- Ihr Steuerberater oder Unternehmensberater — fragen Sie explizit: Was müssen Unternehmen wie meines jetzt wissen?
Minimalmaßnahmen für KI-Readiness ohne aktive Einführung
„KI-Readiness" bedeutet: Sie können KI einführen, wenn Sie es wollen — ohne von vorne anfangen zu müssen. Das können Sie schon heute vorbereiten:
- Datenhygiene: Kundendaten, Produktdaten, Prozessdokumentation in ordentlichen, strukturierten Formaten halten. Das ist die Grundlage für jeden KI-Einsatz — und für sich allein bereits wertvoll.
- Prozessdokumentation: Wissen Sie, wie Ihre wichtigsten Prozesse abzulaufen haben? Wenn nicht, dokumentieren Sie sie. KI kann nur unterstützen, was klar definiert ist.
- Mitarbeiter-Offenheit erhalten: Schaffen Sie kein Klima, in dem KI als Bedrohung gilt. Erklären Sie Ihre Entscheidung, aber signalisieren Sie, dass Sie offen bleiben.
- Software-Verträge prüfen: Haben Sie Exit-Optionen? Können Sie KI-Funktionen ein- und ausschalten? Wissen Sie, wo Ihre Daten liegen?
Die Entscheidungsmatrix: Wann ist der richtige Zeitpunkt?
Nicht jedes Unternehmen braucht KI zur gleichen Zeit. Der richtige Zeitpunkt hängt von vier Faktoren ab:
| Faktor | Sofort prüfen | Noch Zeit | Kein Druck |
|---|---|---|---|
| Wettbewerb nutzt KI aktiv in Ihrer Nische | Ja | Nein | Nein |
| Mitarbeiter-Engpässe bei Routineaufgaben | Ja | Gelegentlich | Kaum |
| Regulatorische Pflichten aus AI Act | Bestehend | Unklar | Keine |
| Datenqualität und Prozessdokumentation vorhanden | Ja | Teilweise | Nein |
Abschluss: Die 12-Punkte-Checkliste für „Kein-KI"-Unternehmen
Diese Checkliste richtet sich an Unternehmen, die bewusst keine KI einführen — aber die nötigen Mindestmaßnahmen umsetzen wollen, um rechtlich geschützt zu bleiben und strategisch handlungsfähig zu bleiben.
Rechtliche Mindestpflichten
- ☐ 1. Schriftliche KI-Richtlinie erstellt: Eine klare, schriftliche Regelung existiert, die definiert, welche KI-Tools Mitarbeiter beruflich (nicht) nutzen dürfen. Diese Richtlinie ist Teil des Arbeitsvertrags oder wird als Anhang ausgehändigt.
- ☐ 2. Alle Mitarbeiter wurden geschult: Mindestens eine dokumentierte Schulungseinheit zu den Risiken von Schatten-KI, DSGVO-Relevanz und den Unternehmensregeln hat stattgefunden. Teilnahme ist dokumentiert (Datum, Namen, Unterschriften).
- ☐ 3. Schulung ist für neue Mitarbeiter integriert: Im Onboarding-Prozess ist die KI-Richtlinie ein fester Bestandteil — nicht nur mündlich, sondern schriftlich übergeben und bestätigt.
- ☐ 4. Datenschutzbeauftragter informiert: Falls ein Datenschutzbeauftragter vorhanden ist (oder extern beauftragt), ist dieser über die Situation informiert und hat die Richtlinie geprüft.
Software-Audit
- ☐ 5. Inventar der genutzten Software erstellt: Sie haben eine Liste Ihrer wichtigsten Softwaretools und wissen, welche davon KI-Funktionen enthalten könnten.
- ☐ 6. Anfragen an Softwareanbieter gestellt: Sie haben mindestens bei den drei wichtigsten Anbietern schriftlich nachgefragt, ob und welche KI-Funktionen enthalten sind und wie Sie diesen widersprechen können.
- ☐ 7. KI-Funktionen bewusst ein- oder ausgeschaltet: Für jede relevante Software haben Sie aktiv entschieden, ob KI-Funktionen aktiviert bleiben — und diese Entscheidung dokumentiert.
Wettbewerbs-Monitoring
- ☐ 8. Regelmäßiger Informationsrhythmus etabliert: Sie haben mindestens eine Informationsquelle (Newsletter, Verband, Berater), über die Sie einmal pro Quartal über relevante KI-Entwicklungen informiert werden.
- ☐ 9. Trigger-Liste definiert: Sie haben festgelegt, bei welchen konkreten Ereignissen (Wettbewerbssituation, Recruiting-Probleme, Kundenforderungen) Sie Ihre KI-Entscheidung neu überprüfen — mit messbaren Schwellenwerten.
Mitarbeiter-Kommunikation
- ☐ 10. Begründung kommuniziert: Mitarbeiter wissen, warum das Unternehmen aktuell keine KI einführt — nicht als Dekret, sondern als erklärte, nachvollziehbare Entscheidung mit offenem Ohr für Rückmeldungen.
- ☐ 11. Offene Kommunikationskultur etabliert: Mitarbeiter wissen, an wen sie sich wenden können, wenn sie Fragen zu KI-Tools haben, unsicher sind ob etwas erlaubt ist, oder einen konkreten Vorschlag haben.
Jährliche Überprüfung
- ☐ 12. Jährliches Review eingeplant: Sie haben einen fixen Termin (z.B. im Rahmen der Jahresplanung), zu dem Sie Ihre KI-Entscheidung bewusst überprüfen — mit Blick auf aktuelle Marktsituation, regulatorische Entwicklungen und das Feedback Ihrer Mitarbeiter.
Zusammenfassung
Der häufigste Fehler: Wer Nein zu KI sagt, glaubt oft, damit sei das Thema erledigt. Ist es nicht.
Wer diese Checkliste abarbeitet, hat getan, was in seiner Situation getan werden muss. Mehr ist nicht nötig. Weniger wäre fahrlässig.
ANHANG: 3-Phasen-Aktionsplan für Unternehmen im Verbots-Regime
Hier ist der konkrete Aktionsplan — in drei Phasen.
Phase 1 — Sofortmaßnahmen (Monate 1–2)
Ziel: Die größten Haftungsrisiken eliminieren.
- KI-Inventar anlegen: Alle genutzten Tools auflisten — inklusive Schatten-KI. Kurze Befragung der Mitarbeiter: „Welche Tools nutzt ihr für Arbeitsaufgaben?"
- Schriftliche KI-Richtlinie erstellen und unterzeichnen lassen: Ein bis zwei Seiten reichen. Positiv- und Negativliste. Unterschriften aller Mitarbeiter dokumentieren.
- Pflichtschulung durchführen: 60–90 Minuten, alle Mitarbeiter, Teilnehmerliste aufbewahren. Inhalt: Was ist KI, was ist verboten, warum, an wen wende ich mich.
- Hochrisiko-Sofort-Check: Wird irgendwo (auch heimlich) KI für Bewerberselektion, Kreditbeurteilung oder Leistungsüberwachung genutzt? Wenn ja: sofort abstellen und Compliance-Lage prüfen.
Phase 2 — Strukturaufbau (Monate 3–6)
Ziel: Dauerhaft sichere Grundlage schaffen.
- Software-Audit abschließen: Alle genutzten Programme auf KI-Funktionen prüfen. Anbieter schriftlich anfragen. KI-Funktionen bewusst ein- oder ausschalten.
- Datenschutz aktualisieren: VVT-Einträge für Schatten-KI anlegen, AVVs für alle Tools mit Personendaten-Zugriff abschließen oder kündigen.
- IT-Technische Absicherung: IT-Dienstleister beauftragen, ungenehmigte Browser-Extensions einzuschränken. Whitelisting-Strategie implementieren.
- Kommunikation normalisieren: KI-Nutzungsregeln in reguläre Teammeetings integrieren — nicht einmalig, sondern dauerhaft als laufendes Thema.
Phase 3 — Laufende Governance (ab Monat 7)
Ziel: Nicht in einen Rückstand geraten.
- Quartalsweises Monitoring: KI-Entwicklungen und regulatorische Änderungen verfolgen (Quellen: EU AI Act auf EUR-Lex, EU-Kommission AI Literacy Q&A, Rat der EU zum Digital Omnibus).
- Jährliches Review: Ist die Nicht-KI-Entscheidung noch richtig? Trigger-Liste prüfen.
- Omnibus-Entwicklung beobachten: Das Digital-Omnibus-Paket (vorläufige Einigung Mai 2026) soll die Compliance-Last verändern. Insbesondere für Unternehmen unter 750 Mitarbeitern (geplante SMC-Kategorie) kann der Aufwand für Hochrisiko-Compliance sinken, wenn der Omnibus formal angenommen und veröffentlicht wird.
Ausgewählte Quellen
- EU AI Act Volltext: EUR-Lex
- EU-Kommission: AI Literacy — Questions & Answers: Quelle
- Rat der EU: Digital Omnibus / AI-Act-Vereinfachung, Provisional Agreement 7. Mai 2026: Quelle
- Infosecurity Magazine / Gartner-Prognose zu Shadow AI: Quelle
- Lightcast: Beyond the buzz — AI skills employers need: Quelle
Version 2.6 — Juni 2026: Quellenrevision, KMU-Minipfad ergänzt, Deployer-Aussagen präzisiert, Schatten-KI-Indikatoren datenschutzfreundlicher formuliert.
Herausgeber: x10aix.tech — Projekt der Dräxler Versicherungsberatung GmbH | Hetzendorfer Strasse 73a, 1120 Wien | contact@x10aix.tech
Diese Publikation stellt eine allgemeine Information dar und ersetzt keine individuelle rechtliche oder unternehmerische Beratung.
Benachrichtigung bei neuer Version — keine Werbung, kein Spam.
Sie wollen wissen, wo Ihr Unternehmen aktuell steht?
In einem AI Sounding Board prüfen wir gemeinsam, welche KI-Nutzung bei Ihnen bereits stattfindet, wo Risiken entstehen und welche nächsten Schritte wirtschaftlich sinnvoll sind.
▸ AI Sounding Board anfragen