KI im Unternehmen: Wer nicht vorbereitet ist, merkt es zu spät
Sascha Kugler | Geschäftsführer Alchimedus Management GmbH, Nürnberg
Hinweis: Dieser Artikel gibt ausschließlich unternehmerische Einschätzungen aus Beraterperspektive wieder. Er ersetzt keine rechtliche Beratung. Für verbindliche Aussagen zur eigenen Rechtslage empfehle ich die Konsultation eines spezialisierten Anwalts.
Was passiert in einem Unternehmen, das ChatGPT, Claude oder KI-Agenten produktiv einsetzt — ohne dass irgendjemand weiss, wer dafür die Verantwortung trägt? In meiner täglichen Beratungspraxis mit mittelständischen Unternehmen ist das keine rhetorische Frage. Es ist eine Beschreibung des Istzustands in erschreckend vielen Organisationen, die ich besuche.
Der EU AI Act existiert. Er beschreibt Erwartungen an Unternehmen, die KI einsetzen. Und er ist — nach allem, was ich in zwanzig Jahren Beratungspraxis gelernt habe — weniger eine regulatorische Last als ein Seismograph: Er macht sichtbar, welche Unternehmen ihre eigene digitale Entwicklung im Griff haben — und welche nicht.
Darum geht es mir in diesem Artikel nicht um Paragrafen, sondern um unternehmerische Klarheit. Holen Sie sich die konkrete rechtliche Einschätzung für Ihr Unternehmen bitte bei einem Fachanwalt. Was ich Ihnen hier mitgeben möchte, ist die Beraterperspektive: Was zeigt mir der AI Act über den Reifegrad eines Unternehmens? Und was sollten Sie — unabhängig von jeder Regulierung — in die Hand nehmen?
Die Frage, die kein Unternehmer ignorieren kann
Stellen Sie sich vor, ein Mitarbeitender Ihres Unternehmens nutzt seit Monaten KI-Tools für Kundenkommunikation, Angebotserstellung oder interne Analysen. Sie wussten es nicht. Oder Sie wussten es, aber niemand hat formell entschieden, wie das Tool eingesetzt werden darf, welche Daten es verarbeiten darf und wer dafür die Verantwortung trägt.
Genau das ist heute in weiten Teilen des deutschen Mittelstands Realität. Laut aktuellen Erhebungen nutzen mehr als 56 Prozent der deutschen Unternehmen KI-Tools wie ChatGPT oder Copilot produktiv — aber weniger als 30 Prozent haben dafür ein auch nur rudimentäres Schulungskonzept aufgebaut. Das ist keine Compliance-Lücke. Das ist ein unternehmerisches Steuerungsproblem.
Wer nicht weiß, welche KI-Tools seine Mitarbeitenden einsetzen, steuert sein Unternehmen mit einem blinden Fleck.
Ohne rechtliche Wertungen vornehmen zu wollen: Der EU AI Act formuliert Erwartungen, die aus meiner Beraterperspektive vollkommen vernünftig sind. Unternehmen, die KI einsetzen, sollen dafür sorgen, dass ihre Mitarbeitenden die Systeme verstehen, ihre Grenzen kennen und verantwortungsvoll damit umgehen. Das ist keine überraschende Forderung — es ist das, was jeder verantwortungsvolle Unternehmer ohnehin tun würde.
Hinzu kommt: Die Regulierung unterscheidet nach Risikoprofil. Wer KI für das Verfassen von Marketingtexten einsetzt, steht vor anderen Anforderungen als derjenige, der KI in der Personalauswahl oder der Kreditvergabe einsetzt. Diese Differenzierung ist aus Unternehmersicht fair — und sie gibt kleinen und mittleren Unternehmen den Spielraum, pragmatisch vorzugehen, ohne ein Grosskonzern-Compliance-System aufzubauen.
Was ich meinen Klienten empfehle: Lassen Sie rechtlich prüfen, in welche Kategorie Ihr konkreter KI-Einsatz fällt. Und handeln Sie dann — mit dem gesunden Menschenverstand eines Unternehmers, nicht mit der Lähmung eines Bürokraten.
Die Diskussion um die Abmilderung — und was sie für Sie bedeutet
Seit Ende 2025 wird auf europäischer Ebene diskutiert, ob bestimmte Anforderungen des AI Act gelockert werden sollen — unter anderem jene, die die Qualifizierung von Mitarbeitenden betreffen. Diese Diskussion ist real, und der Ausgang ist zum Zeitpunkt dieses Artikels noch offen.
Aus Beraterperspektive ändert das wenig an meiner Empfehlung. Denn die Frage, ob Ihre Mitarbeitenden KI-Tools kompetent und verantwortungsvoll einsetzen, ist keine regulatorische Frage — sie ist eine unternehmerische. Eine Abmilderung im Gesetzestext schützt Sie nicht vor Fehlern, die entstehen, weil niemand in Ihrem Team die Grenzen eines KI-Systems kennt. Sie schützt Sie nicht vor dem Reputationsschaden, wenn ein KI-generierter Fehler in einem Kundenangebot sichtbar wird. Und sie schützt Sie nicht vor dem Wettbewerbsnachteil gegenüber Unternehmen, die ihre KI-Nutzung heute schon strukturiert haben.
Regulierung kann abgemildert werden. Die unternehmerische Sorgfaltspflicht bleibt.
Drei Schritte, die ich jedem Unternehmen empfehle
In meiner Beratungspraxis habe ich erlebt, dass die wirkungsvollsten Massnahmen nicht die aufwendigsten sind. Es braucht keine externe Zertifizierung und kein neues Organigramm. Es braucht Klarheit — und drei konkrete Schritte, die jedes Unternehmen bis 250 Mitarbeiter in wenigen Wochen umsetzen kann.
Der erste Schritt ist die KI-Inventur: Welche Tools werden genutzt? Von wem? Wofür? Was wird dabei verarbeitet? Diese Bestandsaufnahme ist in den meisten Unternehmen in zwei bis drei Tagen abgeschlossen — und sie liefert fast immer Erkenntnisse, die das Management überraschen.
Der zweite Schritt ist die Qualifizierung: nicht als Pflichtseminar, das niemanden interessiert, sondern als gezielte, praxisnahe Einführung in die konkreten Tools, die das Unternehmen tatsächlich nutzt. Was kann dieses System? Was kann es nicht? Wo liegt die Verantwortung des Menschen? Diese Fragen lassen sich in einem halbtägigen Workshop klären — und sie stärken die Urteilsfähigkeit der Mitarbeitenden unmittelbar.
Der dritte Schritt ist die Verantwortungsklärung: Wer entscheidet im Unternehmen, welche KI-Anwendungen zugelassen werden? Wer ist Ansprechpartner bei Fragen und Vorfällen? Diese Struktur muss nicht gross sein — in einem Unternehmen mit 50 Mitarbeitenden kann das eine einzige Person mit klarer Befugnis sein. Entscheidend ist, dass es sie gibt.
Drei Schritte, einige Wochen Arbeit, eine strukturell bessere Organisation: Das ist der Aufwand. Der Nutzen ist Steuerungsfähigkeit — heute und in jedem KI-Szenario der Zukunft.
Was dieser Moment wirklich bedeutet
Ich begleite Unternehmer seit mehr als zwei Jahrzehnten. Und ich habe gelernt: Die Unternehmen, die Regulierung als Frühwarnsystem begreifen, sind denjenigen überlegen, die sie als Bedrohung erleben. Der AI Act signalisiert, dass KI kein Randthema mehr ist — nicht für die Gesellschaft, nicht für den Gesetzgeber, und damit auch nicht für den Unternehmer.
Das Unternehmen, das seinen KI-Einsatz heute strukturiert, tut nicht nur etwas für die Compliance. Es baut Vertrauen auf — bei Mitarbeitenden, die wissen, dass das Unternehmen mit neuen Technologien verantwortungsvoll umgeht. Bei Klienten, die zunehmend fragen, wie ihre Daten verarbeitet werden. Bei Partnern, die Verlässlichkeit als Auswahlkriterium nutzen.
Die grösste Gefahr ist nicht das Bussgeldsystem des AI Act. Die grösste Gefahr ist die schleichende Erosion der Steuerungsfähigkeit in einer Zeit, in der KI-Systeme täglich wirkungsvoller werden. Wer jetzt nicht den Überblick gewinnt, wird ihn schwerer zurückgewinnen.
Beginnen Sie mit der Inventur. Sprechen Sie mit Ihrem Anwalt über die konkrete Rechtslage Ihres Unternehmens. Und richten Sie Ihre Governance so ein, dass Sie in jedem Gespräch — mit Mitarbeitenden, Klienten oder Behörden — mit Überzeugung sagen können: Wir haben das im Griff. Nicht weil wir mussten. Sondern weil wir es für richtig halten.
Das ist Unternehmertum. Das ist Wirkung.
Über Sascha Kugler:
Sascha Kugler ist Gründer und Geschäftsführer der Alchimedus Management GmbH, Nürnberg, und Autor von 22 Büchern über nachhaltig erfolgreiche Unternehmensführung. Er begleitet ein Netzwerk von rund 900 aktiven Beratern für den deutschen Mittelstand. Weitere Informationen: www.alchimedus-methode.de
Web:
Sascha Kugler – Unternehmensberatung in der Region Nürnberg
Alchimedus® Gründer Sascha Kugler – Alchimedus Consulting Network