Digitalisierung im Mittelstand: Tipps & Tools von M2BC

Einleitung: KI im Unternehmen ohne Vorgaben – eine tickende Zeitbombe

Unternehmen setzen seit Jahren zunehmend auf KI-basierte Anwendungen, um Prozesse zu automatisieren, Entscheidungsfindungen zu beschleunigen und Wettbewerbsvorteile zu sichern. Doch dieser rasche Wildwuchs birgt erhebliche rechtliche Risiken: Ohne klar definierte Richtlinien für den Einsatz von KI drohen Datenschutzverletzungen, Urheberrechtsstreitigkeiten oder sogar Sanktionen aus der aktuellen EU-KI-Verordnung (AI Act). Gerade mittelständische Unternehmen mit mehr als 1 000 Mitarbeitenden und einem Jahresumsatz über 30 Mio. € sehen sich vor der Herausforderung, einerseits schnell KI-Potenziale zu nutzen und andererseits die Compliance-Anforderungen zu erfüllen.

In dieser Ausgabe unseres Newsletters „Digital Digest“ beleuchten wir die aktuellen Herausforderungen für den gehobenen Mittelstand und Großunternehmen, erläutern, warum fehlende KI-Vorgaben teuer werden können, und geben praxisnahe Empfehlungen, wie Unternehmen sich rechtzeitig absichern.

Fotocredit: M2 Business Consulting

 1. Wesentliche Eckdaten und Zeitplan 

Der AI Act ist am 1. August 2024 in Kraft getreten und wird in mehreren Stufen vollständig wirksam. So traten bereits am 2. Februar 2025 bestimmte Prohibitions- und Informationspflichten in Kraft, und ab dem 2. August 2025 gelten Regelungen für General-Purpose-AI-Modelle, während High-Risk-AI-Systeme bis zum 2. August 2027 in den Mitgliedstaaten vollständig implementiert sein müssen.

2. Risikobasierter Ansatz

Der AI Act unterscheidet vier Risikokategorien:

• Unacceptable Risk: KI-Anwendungen, die eine klare Gefahr für Sicherheit, Grundrechte oder demokratische Werte darstellen (z. B. Social Scoring oder automatisierte Emotionserkennung am Arbeitsplatz), sind verboten.
• High Risk: KI-Systeme in sicherheitsrelevanten oder hochsensiblen Bereichen (etwa kritische Infrastrukturen, HR-Rekrutierung oder Kreditwürdigkeitsprüfungen) unterliegen strikten Anforderungen wie Konformitätsbewertungen, menschlicher Aufsicht und regelmäßigen Risikoanalysen.
• Limited Risk: Systeme mit moderaten Risiken, darunter Chatbots, müssen transparente Kennzeichnungspflichten erfüllen (z. B. Nutzer:innen müssen erkennen können, dass sie mit einer KI interagieren).
• Minimal or No Risk: Anwendungen, die kaum Risiko bergen, sind weitgehend unreguliert.

Unternehmen, die KI-Systeme entwickeln oder einsetzen, müssen daher anhand einer Risikoanalyse kategorisieren und entsprechende Maßnahmen einleiten.

Fotocredit: EU

1. Unkontrollierte KI-Einsätze: Praxisbeispiele und Probleme

Täglich entstehen neue KI-Use-Cases – vom Chatbot-Support über Predictive Maintenance bis hin zu Bild-Analysetools in der Qualitätskontrolle.Ein beliebtes Beispiel ist der Einsatz von Chatbots im Kundenservice, um Anfragen automatisch zu beantworten und die Erreichbarkeit zu erhöhen. Gleichzeitig verlangen EU-Vorgaben, dass Chatbots eindeutig als KI deklariert werden und Nutzerdaten DSGVO-konform verarbeitet werden. Fehlen interne Richtlinien, wird häufig nicht ausreichend geprüft, ob die genutzten Trainingsdaten rechtmäßig sind (z. B. lizenzierte Datensätze oder personenbezogene Informationen).

2. Datenschutz und DSGVO-Konformität

KI-Modelle verarbeiten große Datenmengen, darunter oft personenbezogene Daten, um Vorhersagen zu treffen oder Texte zu generieren. Ohne klare Vorgaben entstehen erhebliche Datenschutzrisiken: Werden zum Beispiel Kundeninteraktionen über Chatbots protokolliert und anschließend für KI-Training verwendet, kann dies gegen Artikel 5 und 6 der DSGVO verstoßen, wenn keine Einwilligung vorliegt oder kein angemessenes Datenmanagement erfolgt . Aufgrund fehlender Transparenz lässt sich nicht immer nachverfolgen, aus welcher Quelle Daten stammen – das Risiko von Datenpannen und kostspieligen Bußgeldern steigt .

3. Urheberrechtskonflikte und geistiges Eigentum

Viele KI-Systeme greifen auf große, oft öffentlich verfügbare Datensätze zurück (Texte, Bilder, Code). Fehlen klare Richtlinien für die Validierung der Urheberrechte, drohen Klagen von Rechteinhabern, insbesondere wenn KI-generierte Inhalte kommerziell genutzt werden. So hat etwa der europäische Gerichtshof bereits mehrfach betont, dass das Training von KI-Modellen an urheberrechtlich geschütztem Material ohne entsprechende Lizenz problematisch ist . Lizenzen und Nutzungsrechte müssen daher explizit geprüft und dokumentiert werden.

4. Haftungsfragen und Reputationsrisiken

Wenn KI-Systeme unvorhersehbare Entscheidungen treffen – sei es bei Kreditentscheidungen, Diagnosen oder automatisierten HR-Entscheidungen – stellt sich stets die Frage nach der Haftung: Wer haftet, wenn KI-Entscheidungen zu Schäden führen? In vielen Fällen lassen sich Verantwortlichkeiten ohne klare Governance-Strukturen kaum festlegen. Dies kann zu langwierigen Rechtsstreitigkeiten und erheblichen Reputationsverlusten führen.

1. Bußgelder und Sanktionen

Gemäß AI Act drohen bei Verstößen gegen Vorgaben besonders hoher Bußgelder: Für schwerwiegende Verstöße bis zu 30 Mio. € oder 6 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für Verstöße gegen Transparenzpflichten (z. B. fehlende Kennzeichnung von Chatbots) können bis zu 20 Mio. € oder 4 % des Jahresumsatzes verhängt werden

2. Kosten durch Reputationsschäden

Falls eine KI-Lösung fehlerhafte Entscheidungen trifft – etwa im Underwriting-Prozess einer Versicherung – und Kund:innen dadurch Schäden erleiden, ist nicht nur die rechtliche Haftung relevant, sondern auch der Imageschaden, der zu Umsatzrückgängen führen kann.

3. Verlust von Wettbewerbsvorteilen

Unternehmen, die sich rechtzeitig um ein umfassendes KI-Governance-Framework kümmern, profitieren von einem raschen, aber sicheren Einsatz neuer Technologien und können so Innovationen schneller monetarisieren. Wer jedoch auf spontane „Proof of Concept“-Projekte ohne klare Richtlinien setzt, läuft Gefahr, bei regulatorischen Prüfungen ins Hintertreffen zu geraten und Spätfolgen schwer abfedern zu können.

Unsere Managementperspektive: Kreativität und Compliance Hand in Hand

M2BC-Perspektive: Der Mensch als entscheidende Zutat

Als Führungskraft stehen Sie vor der Aufgabe, Innovationsdruck und Regulatorik gleichermaßen zu meistern. KI-Projekte sind keine rein technische Angelegenheit, sondern strategische Initiativen, die Unternehmenskultur, Prozesse und Governance verändern. Unser Management-Framework hilft Ihnen dabei, den Spagat zwischen Agilität und Rechtssicherheit zu schaffen:

1. Strategische Verankerung
   – Vision & Ziele: Legen Sie gemeinsam mit Executive Board und Bereichsleitern fest, welche Business-Outcome-Ziele Sie mit KI erreichen wollen (etwa Effizienzsteigerung, neue Geschäftsmodelle, bessere Kundenbindung).
   – Risikotoleranz: Definieren Sie auf Management-Ebene eine klare Risikostrategie: In welchen Bereichen dürfen Sie experimentieren, wo sind strikte Kontrollen nötig?

2. Governance-Struktur
   – KI-Lenkungsausschuss: Richten Sie ein Steering Committee ein, das regelmäßig KI-Use-Cases prüft, Freigaben erteilt und Eskalationen steuert. Binden Sie dabei Compliance, IT, Datenschutz und Business Stakeholder ein.
   – Entscheidungspfade: Etablieren Sie transparente Entscheidungsprozesse, damit sowohl technische als auch rechtliche Fragen in einem abgestimmten Team beantwortet werden.

3. Kultur & Change Management
   – Psychologische Sicherheit: Fördern Sie eine Fehlerkultur, in der Mitarbeitende Fehlentwicklungen offen ansprechen können, bevor sie in die Produktion gehen.
   – Cross-funktionale Teams: Setzen Sie multidisziplinäre Projektteams auf, in denen Data Scientists, Juristen, Fachexperten und Change Manager gemeinsam arbeiten – so entstehen Lösungen, die sowohl innovativ als auch regelkonform sind.

4. Governance-Tools & Metriken
   – Dashboards & KPI: Definieren Sie Kennzahlen wie Anzahl der durchgeführten Impact-Assessments, Compliance-Score Ihrer Modelle oder durchschnittliche Time-to-Compliance eines neuen Use-Cases.
   – Audit-Trails: Sorgen Sie dafür, dass jede KI-Entscheidung lückenlos dokumentiert ist – von den Datensätzen über Modell-Versionen bis hin zu Freigabeprotokollen.

5. Investition & ROI
   – Budgetierung: Planen Sie nicht nur für Technologie- und Lizenzkosten, sondern auch für Schulungen, externe Audits und juristische Begleitung.
   – Wertbeitrag messen: Erfassen Sie den Mehrwert Ihrer KI-Projekte anhand konkreter Business-Kennzahlen (z. B. Kosten­einsparungen, Umsatzzuwachs, höhere Kundenzufriedenheit).

6. Kontinuierliche Weiterentwicklung
   – Review-Zyklen: Etablieren Sie halbjährliche Strategy Reviews, um Ihr KI-Portfolio auf neue regulatorische oder technologische Entwicklungen abzustimmen.
   – Best-Practice-Sharing: Richten Sie Knowledge-Hubs ein, in denen erfolgreiche Use-Cases und Lessons Learned unternehmensweit verfügbar sind – so profitieren alle Bereiche von Ihrem Fortschritt.

Unsere Haltung bei M2BC: KI ist für uns kein Tech-Thema – sondern Führungsaufgabe. Denn nur wenn Menschen verantwortungsvoll, kreativ und reflektiert mit KI umgehen, entsteht echter Mehrwert. Wir stellen den Menschen ins Zentrum jeder KI-Strategie – nicht als Bremse, sondern als entscheidende Zutat für sichere Innovation.

Wir glauben: 

• … dass Ethik, Recht und Technologie zusammengedacht werden müssen.
• … dass Klarheit über Ziele, Risiken und Rollen den Unterschied macht.
• … dass echte KI-Kompetenz nicht im Code beginnt, sondern im Kopf.

Unser Rat: Schaffen Sie jetzt die Grundlagen für verantwortungsvolle KI – nicht erst, wenn der AI Act greift:

• Verankern Sie KI-Governance im Management.
• Machen Sie Ihre Teams kompetent – nicht nur compliant.
• Setzen Sie auf Klarheit statt Kontrollverlust.

Denn: Nichtstun ist das größte Risiko.

Praxis-Tipps: Wie können Unternehmen nun ganz praktisch mit der unüberschaubaren KI-Vielfalt umgehen, ohne in Entscheidungsstarre zu verfallen?

Die folgenden Tipps helfen, Struktur in das KI-Thema zu bringen und die Einführung Schritt für Schritt zu meistern:

Risiko:  Warum Unternehmen jetzt handeln müssen

• Rechtliche Risiken minimieren
  Die AI Act verpflichtet Unternehmen, KI-Systeme zu klassifizieren und entsprechende Compliance-Maßnahmen zu ergreifen. Ohne interne Richtlinien drohen hohe Bußgelder und Haftungsrisiken.
• Datenschutz und Urheberrecht wahren
  Ohne klare Vorgaben können KI-Systeme unbeabsichtigt personenbezogene Daten verarbeiten oder urheberrechtlich geschützte Inhalte nutzen, was zu rechtlichen Auseinandersetzungen führen kann.
• Vertrauen schaffen
  Eine transparente KI-Strategie stärkt das Vertrauen von Kunden, Partnern und Aufsichtsbehörden. Unternehmen, die KI verantwortungsvoll einsetzen, positionieren sich als Vorreiter in Sachen Compliance und Ethik.

Fazit

Der EU AI Act stellt Unternehmen vor neue Herausforderungen, bietet jedoch auch die Chance, verantwortungsvolle und transparente KI-Systeme zu etablieren. Durch proaktives Handeln und die Implementierung geeigneter Compliance-Maßnahmen können Unternehmen nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen von Kunden und Partnern stärken.

Die rasante Verbreitung von KI-Technologien bietet immense Chancen für Effizienzsteigerungen und Innovationssprünge, birgt aber ohne klare interne Richtlinien hohe rechtliche Risiken. Unternehmen aus gehobenem Mittelstand und DAX-Konzernen müssen sich auf die stufenweise Einführung des AI Act konzentrieren, um Vorbehalte bei Datenschutz, Urheberrecht und Haftung zu proaktiv adressieren. Ein robustes KI-Governance-Framework, unterstützt durch Schulungen und kontinuierliche Risikoanalysen, gewährleistet, dass KI-Projekte nicht nur compliant, sondern auch nachhaltig erfolgreich sind.

Fotocredit: Unsplash

NEU: Unsere Lernplattform ist online – mit einem topaktuellen Kurs zur Künstlichen Intelligenz!

Stell dir vor, du gehst morgens zur Arbeit – und ohne es zu merken, trifft eine Künstliche Intelligenz (KI) in deinem Namen eine Entscheidung. Nicht irgendwann in der Zukunft, sondern jetzt – genau da, wo du arbeitest.
Ob im Kundenservice, Controlling oder HR: KI ist längst Teil unseres Alltags. Und genau deshalb ist es Zeit, sich mit ihr auseinanderzusetzen.

Unsere neue Lernplattform ist da!
Ab sofort findest du dort praxisnahe, moderne Kurse – und als erstes Highlight den neuen Kurs:

🎓 „KI verstehen und verantwortungsvoll nutzen“

In diesem Kurs erfährst du:

• Wo und wie KI heute schon im Unternehmen eingesetzt wird
• Welche Risiken und ethischen Fragen damit verbunden sind
• Was der neue EU AI Act für dich bedeutet
• Wie du im Alltag sicher und kompetent mit KI umgehst

Warum du diesen Kurs machen solltest?

🔒 Rechtliche Sicherheit: Die EU verpflichtet Unternehmen zur KI-Schulung ihrer Mitarbeitenden.
🚀 Wettbewerbsvorteil: Wer KI versteht, kann besser entscheiden – und aktiver gestalten.
💡 Persönliche Weiterentwicklung: KI-Kompetenz wird zur Schlüsselqualifikation der digitalen Arbeitswelt.

Bist du bereit für deine KI-Zukunft?

Dann klick hier und leg los!

Werde fit im verantwortungsvollen Umgang mit KI – einfach, praxisnah und relevant.

KI ist kein Thema für „die anderen“. Sie betrifft uns alle.

Und deine Kompetenz beginnt genau hier – bei dir.

Viel Spaß beim Entdecken und Lernen!