Mehr als jedes zweite mittelständische Unternehmen in Deutschland nutzt oder testet inzwischen KI-Lösungen. Das ist ein enormer Fortschritt. Aber eine Zahl aus der aktuellen Forschung sollte jeden Geschäftsführer aufhorchen lassen: 76 % der Unternehmen haben kein KI-Governance-Framework. Sie setzen Tools wie ChatGPT oder Microsoft Copilot ein, ohne klare Regeln, ohne dokumentierte Schulungen und ohne definierte Verantwortlichkeiten.
Das ist kein kleines Versäumnis. Es ist ein handfestes rechtliches und betriebliches Risiko, das 2026 konkrete Konsequenzen haben kann.
Die Adoption läuft, die Governance hinkt hinterher
Laut dem KI-Mittelstandsindex 2026 von Salesforce und dem Deutschen Mittelstands-Bund nutzen oder testen bereits 51,2 % der mittelständischen Unternehmen KI-Lösungen, ein Plus von 54 % gegenüber dem Vorjahr. Österreichische KMU liegen mit 29 % KI-Nutzung über dem EU-Durchschnitt von 19 %. In der Schweiz hat sich der Anteil der KMU, die KI bewusst integrieren, von 22 % auf 34 % erhöht.
Die Nutzung wächst. Aber laut der KI-Studie 2025 von Maximal Digital fehlt 76 % der Unternehmen ein KI-Governance-Framework. Nur 21 % haben strukturierte KI-Trainings eingeführt. Das bedeutet: Der Großteil der KMU setzt KI ein, ohne zu definieren, wie das sicher und regelkonform geschehen soll.
Was fehlt, wenn Governance fehlt
Governance klingt nach Konzernthema. Für ein Unternehmen mit 20 oder 50 Mitarbeitenden bedeutet es aber schlicht: Gibt es klare Regeln, wer welche Daten in welches KI-Tool eingeben darf? Weiß das Team, welche Inhalte vertraulich sind? Ist dokumentiert, welche KI-Tools im Einsatz sind?
Die Realität sieht häufig anders aus. Ein Mitarbeitender fügt einen Kundenvertrag in ChatGPT ein, um eine Zusammenfassung zu erstellen. Eine andere Person nutzt ein kostenloses KI-Tool für interne Personalnotizen. Das passiert nicht aus böser Absicht, sondern weil es keine klaren Regeln gibt. Genau das nennt man Shadow AI: der unkontrollierte Einsatz von KI-Tools außerhalb jeder Unternehmensrichtlinie.
Hinweis: Öffentliche KI-Modelle können aus eingespeisten Daten lernen. Wer vertrauliche Kundeninformationen oder Geschäftsgeheimnisse in ein ungeschütztes Consumer-Tool eingibt, riskiert, dass diese Daten das Unternehmen verlassen, ohne dass jemand es bemerkt.
Die Schulungspflicht gilt bereits, ob du davon weißt oder nicht
Seit dem 2. Februar 2025 gilt Artikel 4 der EU-KI-Verordnung. Er verpflichtet alle Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Keine Übergangsfrist, keine Ausnahme für KMU, keine Ausnahme nach Branche oder Unternehmensgröße.
Was bedeutet das konkret? Bereits die gelegentliche Nutzung von Tools wie ChatGPT oder Copilot im Arbeitskontext gilt als Betrieb eines KI-Systems. Mitarbeitende müssen geschult sein, wie das jeweilige Tool funktioniert, welche Grenzen es hat und was nicht eingegeben werden darf.
Es drohen zwar keine direkten Bußgelder für fehlende Schulungen nach Artikel 4. Aber: Wer im Schadensfall nachweisen muss, verantwortlich gehandelt zu haben, und keine dokumentierten Schulungsmaßnahmen vorweisen kann, steht rechtlich sehr schlecht da. Dazu kommen DSGVO-Risiken. Der hessische Datenschutzbeauftragte meldete für 2025 über 6.000 Datenschutzbeschwerden, mit KI-Chatbots als wachsendem Treiber. DSGVO-Bußgelder können bis zu 400.000 Euro betragen.
Zeitersparnis ja, aber nur mit Struktur
Der Nutzen von KI ist real und messbar. Laut dem 2026 Small Business AI Outlook Report von Business.com spart ein KMU-Mitarbeitender im Durchschnitt 5,6 Stunden pro Woche durch den Einsatz von KI-Tools. Bei einem Unternehmen mit 50 Personen ergibt das rund 280 Stunden pro Woche, das Äquivalent von sieben Vollzeit-Mitarbeitenden.
Der Haken: Diese Effizienzgewinne entstehen nur dort, wo KI strukturiert und regelkonform eingesetzt wird. Wer einfach alle Tools laufen lässt ohne Schulung und Richtlinie, spart kurzfristig vielleicht etwas Zeit, aber schafft gleichzeitig Risiken, die die Einsparungen um ein Vielfaches übersteigen können.
- Datenpannen durch unbeabsichtigte Weitergabe vertraulicher Informationen
- Falschentscheidungen auf Basis unkritisch übernommener KI-Outputs
- Haftungsrisiken für die Geschäftsführung bei fehlender Dokumentation
- Reputationsschäden bei Kunden und Partnern
Was Governance für ein KMU konkret bedeutet
Governance muss kein 50-seitiges Dokument sein. Für kleine Teams reicht ein strukturierter Einstieg in drei Schritten, den Experten aktuell empfehlen:
Schritt 1: KI-Inventur machen
Welche KI-Tools werden tatsächlich genutzt, von wem und für welche Zwecke? Oft haben Geschäftsführer keinen vollständigen Überblick über die Tools, die das Team bereits im Einsatz hat. Dieser Überblick ist der erste notwendige Schritt.
Schritt 2: Risiken je Anwendungsfall prüfen
Nicht jeder KI-Einsatz trägt das gleiche Risiko. Eine KI, die Produkttexte formuliert, ist anders zu bewerten als eine KI, die Kundendaten analysiert. Für jeden relevanten Anwendungsfall sollten Datenschutz, Urheberrecht, Geschäftsgeheimnisse und die Risikoklasse nach EU AI Act kurz geprüft werden.
Schritt 3: Rollenspezifisch schulen und dokumentieren
Eine pauschale Schulung für alle reicht nicht. Der Entwickler, der Copilot für Code-Reviews nutzt, braucht andere Kompetenzen als die Vertriebsmitarbeiterin, die mit KI Angebote formuliert. Wichtig ist zudem: Schulungen müssen dokumentiert werden, damit du bei einer Prüfung nachweisen kannst, dass die Kompetenzpflicht nach Artikel 4 erfüllt wurde.
Was bedeutet das für dein Unternehmen?
Wenn du KI-Tools bereits nutzt oder planst einzuführen, stellen sich heute drei konkrete Fragen: Weißt du, welche Tools dein Team wirklich verwendet? Gibt es eine schriftliche Richtlinie, was erlaubt ist und was nicht? Und sind Schulungen dokumentiert?
Laut der KI-Studie 2025 erkennen zwar 86 % der KMU die Relevanz von KI, aber nur 23 % haben konkrete Projekte erfolgreich umgesetzt. Die Lücke zwischen Erkennen und strukturiertem Handeln ist das eigentliche Problem. Genau hier setzt eine KI-Governance-Strategie an, auch wenn sie für ein kleines Unternehmen zunächst ungewohnt klingt.
Plattformen wie ConRat AI sind gezielt für KMU konzipiert, die KI verantwortungsvoll einsetzen wollen. Statt öffentlicher Consumer-Tools arbeiten Mitarbeitende in einer geschlossenen Umgebung, in der Datenschutz und Nutzungsregeln bereits eingebaut sind.
Tipp: Starte mit einer einfachen internen Regel: Welche Daten dürfen in kein externes KI-Tool eingegeben werden? Schreib das auf eine halbe Seite, teile sie mit dem Team und du hast den wichtigsten ersten Schritt in Richtung Governance gemacht.
Unser Fazit
KI ist kein Risiko, das vermieden werden sollte. Es ist ein Werkzeug, das 2026 über Wettbewerbsfähigkeit entscheidet. Aber KI ohne Regeln ist wie ein leistungsstarkes Fahrzeug ohne Führerschein und Versicherung: Es funktioniert, bis etwas passiert. Und dann haftet jemand.
Die gute Nachricht: Der Aufwand für eine solide Grundlage ist überschaubar. Eine interne Richtlinie, rollenspezifische Schulungen und eine dokumentierte Übersicht der genutzten Tools reichen für die meisten KMU als Ausgangspunkt. Was nicht geht: noch weiter abwarten.
Quellen
- KI-Studie 2025, Maximal Digital: Governance-Defizite und Kompetenzlücken in deutschen Unternehmen
- KI-Mittelstandsindex 2026, Salesforce und Deutscher Mittelstands-Bund (DMB)
- 2026 Small Business AI Outlook Report, Business.com
- KMU im Fokus 2025, Bundesministerium für Wirtschaft Österreich / KMU Forschung Austria
- EU AI Act, Artikel 4: KI-Kompetenzpflicht (ai-act-law.eu)
- Datenschutz und KI-Chatbots: DSGVO-Risiken für Unternehmen (infinitask.ai, April 2026)
