Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr, sondern ein integraler Bestandteil moderner Unternehmenssoftware — und SAP zählt zu den Vorreitern in der Integration von KI‑Funktionen direkt in seine Produktlandschaft. Mit der Einführung von SAP Business AI und dem KI‑Assistenten Joule verfolgt SAP das Ziel, KI nicht als isoliertes Tool, sondern als durchgängige, in Geschäftsprozesse eingebettete Technologie bereitzustellen.

SAP Business AI bildet das Herzstück der KI‑Strategie von SAP: Es umfasst hunderte KI‑Szenarien und Funktionen, die in Module wie Finance, Supply Chain, Procurement oder Customer Experience eingebettet werden. Bis Ende 2025 plant SAP, mehr als 400 KI‑Szenarien und über 1.600 Joule‑Funktionen zur Verfügung zu stellen, die auf der SAP Business Technology Platform (BTP) laufen und echte Geschäftsvorteile schaffen sollen.

Ein zentrales Merkmal ist die Integration von KI direkt in den Arbeitsalltag der Anwender: Statt separate Tools aufzurufen, stehen KI‑Funktionen dort bereit, wo Mitarbeitende arbeiten – etwa in SAP S/4HANA Cloud, SAP SuccessFactors, SAP Ariba oder SAP Customer Experience. Diese KI‑Funktionen sollen repetitive Aufgaben automatisieren, Analysen beschleunigen und Entscheidungen unterstützen, ohne dass Anwender Spezialwissen über ML‑Modelle oder Datenwissenschaft benötigen.

Gleichzeitig setzt SAP auf eine offene, erweiterbare Plattform: Über die AI Foundation auf der SAP BTP können Entwickler eigene KI‑Szenarien oder Joule‑Agenten bauen, testen und produktiv einsetzen – mit Tools wie dem Generative AI Hub oder Joule Studio.

Für Unternehmen bedeutet dies: KI wird nicht nur ein ergänzendes Feature, sondern ein integraler Bestandteil der digitalen Transformation im SAP‑Kontext. Anwender profitieren von Effizienzgewinnen im Tagesgeschäft, während Berater neue Chancen sehen, KI‑gestützte Lösungen zu implementieren und Geschäftsprozesse neu zu denken.

SAP Business AI: Kernfunktionen für Anwender und Unternehmen

SAP Business AI ist das zentrale Werkzeug, mit dem SAP Unternehmen KI‑Funktionen direkt in ihre Geschäftsprozesse integriert. Ziel ist es, Automatisierung, Entscheidungsunterstützung und Effizienzsteigerung nahtlos in SAP‑Systeme zu bringen, ohne dass Endanwender tiefgehendes KI‑Fachwissen benötigen. Die Plattform basiert auf der SAP Business Technology Platform (BTP) und unterstützt sowohl strukturierte Daten aus ERP-Systemen als auch unstrukturierte Daten aus Dokumenten oder E-Mails.

Ein wesentlicher Vorteil für Anwender ist die Prozessautomatisierung: KI‑gestützte Funktionen erkennen Muster in Bestellungen, Finanztransaktionen oder Lagerbewegungen und können Routineaufgaben wie Rechnungsprüfung, Bestandsmanagement oder Budgetplanung automatisch durchführen. Das spart nicht nur Zeit, sondern reduziert auch Fehlerquellen und ermöglicht transparente, nachvollziehbare Entscheidungen.

Ein weiteres Kernfeature sind vorausschauende Analysen (Predictive Analytics). Mit KI-gestützten Prognosen können Unternehmen frühzeitig Trends erkennen, Engpässe in Lieferketten antizipieren oder Absatzentwicklungen vorhersagen. Durch die Integration in SAP S/4HANA sind diese Analysen direkt in operative Dashboards einbettbar, sodass Entscheidungen auf Live-Daten und intelligenten Vorhersagen basieren.

Für Berater eröffnen sich damit neue Möglichkeiten: Sie können KI-Lösungen konfigurieren, Prozesse optimieren und individuelle KI-Szenarien implementieren, die spezifisch auf Kundenbedürfnisse zugeschnitten sind. Mit der AI Foundation können neue Modelle trainiert, getestet und skalierbar in bestehende Systeme integriert werden. Besonders interessant ist die Möglichkeit, generative KI direkt in Geschäftsprozesse einzubinden, etwa zur automatischen Erstellung von Berichten oder Dokumenten.

Kurz gesagt: SAP Business AI transformiert den Arbeitsalltag, indem es Routineaufgaben automatisiert, Entscheidungen unterstützt und die Effizienz steigert. Für Anwender bedeutet dies eine Entlastung und Fokus auf wertschöpfende Tätigkeiten, für Berater neue Chancen, ihre Expertise in prozessintegrierte KI-Lösungen zu erweitern.

SAP Joule & generative KI‑Assistenten im SAP‑Alltag

SAP Joule ist die generative KI-Plattform von SAP, die speziell entwickelt wurde, um KI-Funktionen direkt in den Arbeitsalltag von SAP-Anwendern zu integrieren. Joule nutzt generative KI, maschinelles Lernen und natürliche Sprachverarbeitung, um automatisierte Vorschläge, Textgenerierung und Entscheidungsunterstützung bereitzustellen. Ziel ist, dass Nutzer komplexe Aufgaben schneller erledigen, Informationen leichter verstehen und Prozesse effizienter gestalten können.

Ein zentraler Vorteil von Joule ist die natürliche Sprachinteraktion. Anwender können in Modulen wie SAP S/4HANA, SAP SuccessFactors oder SAP Ariba direkt in natürlicher Sprache Anfragen stellen, z. B. „Zeige die offenen Rechnungen der letzten 30 Tage“ oder „Erstelle einen Bericht über Lieferengpässe“. Joule verarbeitet die Anfrage, greift auf die Daten in Echtzeit zu und liefert verständliche Ergebnisse oder Vorschläge, die direkt in Entscheidungen umgesetzt werden können.

Ein weiteres wichtiges Feature ist die automatisierte Dokumentation und Berichterstellung. Joule kann Zusammenfassungen von Geschäftsprozessen, Protokolle oder Analysen generieren, die direkt in SAP-Dashboards oder Office-Anwendungen exportiert werden können. Das spart Zeit und reduziert die Fehleranfälligkeit manueller Dokumentationsprozesse.

Für Berater eröffnet Joule die Möglichkeit, kundenindividuelle KI-Lösungen schneller zu implementieren. Mit generativen Funktionen können Vorlagen, Entscheidungsbäume oder Workflow-Vorschläge erstellt und direkt getestet werden. Zudem unterstützt Joule bei der Datenaufbereitung, indem es unstrukturierte Daten aus Dokumenten, E-Mails oder PDFs in strukturierte, analysierbare Formate überführt, die in SAP-Prozessen nutzbar sind.

Insgesamt zeigt sich: SAP Joule und generative KI-Assistenten transformieren die Arbeit in SAP-Systemen, indem sie Routineaufgaben automatisieren, die Entscheidungsfindung erleichtern und Anwender sowie Berater befähigen, mehr Wertschöpfung pro Zeiteinheit zu generieren.

KI in SAP‑S/4HANA: Praxisbeispiele aus Finance, SCM & Co.

SAP‑S/4HANA, die zentrale ERP‑Plattform von SAP, integriert KI mittlerweile in zahlreichen Geschäftsbereichen. Ziel ist es, Prozesse zu automatisieren, Analysen zu beschleunigen und Entscheidungsqualität zu erhöhen, während Anwender weiterhin die Kontrolle behalten. KI wird hierbei sowohl für vorhersagende Analysen (Predictive Analytics) als auch für Automatisierung von Routineaufgaben eingesetzt.

Im Finance-Bereich hilft KI beispielsweise bei der automatischen Rechnungsprüfung: Das System erkennt Unstimmigkeiten, validiert Beträge gegen Bestellungen und kann sogar Vorschläge für Buchungen machen. Damit reduziert sich der manuelle Aufwand erheblich, gleichzeitig sinkt die Fehlerquote. Predictive Analytics unterstützt zudem Cash-Flow-Planungen, indem Trends aus historischen Finanzdaten prognostiziert werden.

Im Supply Chain Management (SCM) ermöglicht KI die Vorausschau von Lieferengpässen und die Optimierung von Bestandsmanagement. Durch die Analyse von Verkaufsdaten, Produktionskapazitäten und Lieferketteninformationen erkennt das System potenzielle Engpässe, schlägt alternative Beschaffungsquellen vor und unterstützt so die kontinuierliche Produktionsplanung.

Auch im Human Capital Management (HCM), etwa in SAP SuccessFactors, kommen KI-Funktionen zum Einsatz: Talentmanagement, Recruiting und Performance-Analysen werden durch KI unterstützt. Automatische Empfehlungen für Mitarbeiterentwicklungspläne, Vorauswahl von Bewerbern und Analyse von Mitarbeitermotivation sind nur einige Anwendungsfälle, die den HR-Prozess effizienter machen.

Diese praxisnahen Beispiele zeigen, dass KI in SAP‑S/4HANA nicht nur ein Zusatzfeature ist, sondern direkt die Effizienz, Transparenz und Entscheidungsqualität in kritischen Geschäftsprozessen erhöht. Für Berater ergibt sich daraus die Chance, KI-gestützte Prozessoptimierungen für Kunden zu implementieren und gleichzeitig die digitale Transformation voranzutreiben.

Auswirkungen auf SAP‑Berater: Rollenwandel und Zukunftsperspektiven

Die zunehmende Integration von KI-Funktionen in SAP-Systeme verändert die Rolle von SAP-Beratern fundamental. Während früher die Hauptaufgabe in der Konfiguration und Implementierung von Standardprozessen lag, verschiebt sich der Fokus heute hin zu strategischer Beratung, Prozessoptimierung und KI-gesteuerter Lösungsentwicklung. Berater müssen nicht nur die technische Umsetzung verstehen, sondern auch die Potenziale von KI für Geschäftsprozesse analysieren und nutzbar machen.

Ein wichtiger Aspekt ist die Integration von Business- und KI-Kompetenz. Berater müssen KI-Funktionen in den Kontext der jeweiligen Branche setzen, Risiken einschätzen und den Change-Management-Prozess begleiten. Sie unterstützen Unternehmen dabei, KI-gestützte Automatisierungen effizient in die bestehende Prozesslandschaft zu integrieren und sicherzustellen, dass gesetzliche Vorgaben und Compliance-Richtlinien eingehalten werden.

Zudem erfordert der Einsatz von generativer KI, wie in SAP Joule, neue Fähigkeiten: Berater erstellen KI-gestützte Workflows, generative Berichte und Vorhersagemodelle und trainieren KI-Agenten, die direkt in den Geschäftsalltag eingebunden werden. Die Fähigkeit, Datenquellen zu verstehen, ML-Modelle zu interpretieren und Handlungsempfehlungen abzuleiten, wird zunehmend zum Wettbewerbsvorteil.

Für Unternehmen bedeutet dies: SAP-Berater werden zu zentralen Enablern der digitalen Transformation. Sie helfen nicht nur bei der Einführung neuer Technologien, sondern auch bei der Gestaltung KI-gesteuerter Entscheidungsprozesse, der Schulung von Mitarbeitern und der Sicherstellung, dass KI-Lösungen transparent, nachvollziehbar und nutzerfreundlich implementiert werden.

Zusammenfassend lässt sich sagen, dass die Zukunft für SAP-Berater vielversprechend und herausfordernd zugleich ist. Wer sich frühzeitig mit KI-Funktionen, generativer KI und Prozessoptimierung vertraut macht, kann sich als Experte für intelligente SAP-Lösungen positionieren und Unternehmen nachhaltig bei der Wertschöpfung durch KI unterstützen.

Auch interessant: KI-Compliance im Mittelstand: Wie deutsche Unternehmen die EU-KI-Verordnung (AI Act) rechtssicher umsetzen

Der Beitrag KI‑Funktionen im SAP und die Zukunft für Anwender und Berater erschien zuerst auf Wirtschafts Insights.

Der EU AI Act – offiziell die Verordnung (EU) 2024/1689 zur Regulierung Künstlicher Intelligenz – ist ein richtungsweisendes Gesetzespaket der Europäischen Union, das seit August 2024 in Kraft ist und seit 2025 in mehreren Stufen für Unternehmen gilt. Ziel der Verordnung ist es, einheitliche Regeln für den sicheren, vertrauenswürdigen und transparenten Einsatz von KI zu schaffen – und zwar europaweit und sektorübergreifend. Dabei setzt die EU auf einen risikobasierten Ansatz, der unterschiedliche Anforderungen je nach Art und Risiko eines KI-Systems definiert.

Für den deutschen Mittelstand hat dieser Rechtsrahmen erhebliche Bedeutung: Unternehmen, die KI-Systeme einsetzen, entwickeln, vertreiben oder verändern, müssen sich aktiv mit den neuen Vorschriften auseinandersetzen – unabhängig davon, ob sie ein reines KI-Unternehmen sind oder KI „nur“ intern nutzen. Die Vorschriften gelten nicht nur für KI-Entwickler, sondern auch für jene, die KI-Tools im Betriebsalltag nutzen oder in Kundenprozesse integrieren.

Ein zentrales Element der Verordnung ist die Einstufung von KI-Systemen nach Risikokategorien:

• Unannehmbare Risiken: bestimmte Praktiken wie Social Scoring oder subliminale Beeinflussung sind seit Februar 2025 verboten.
• Hohe Risiken: KI-Anwendungen etwa im Personalwesen, Gesundheitswesen oder bei sicherheitsrelevanten Prozessen unterliegen strengen Dokumentations-, Überwachungs- und Governance-Pflichten.
• Begrenzte bis geringe Risiken: Diese Systeme müssen grundlegende Transparenzanforderungen erfüllen und Betreiber ausreichend über den KI-Einsatz aufklären.

Für viele mittelständische Unternehmen bedeutet das nicht nur rechtliche Anpassung, sondern auch organisatorische und technische Veränderungen: Interne Prozesse zur Risikoanalyse, Compliance-Dokumentation, Datenverwaltung und Mitarbeiterschulung müssen etabliert oder erweitert werden. Gleichzeitig eröffnet der AI Act die Chance, Vertrauen bei Kunden und Partnern aufzubauen und KI-gestützte Innovationen rechtssicher zu skalieren.

Risikobasierter Ansatz der KI-Verordnung und seine praktische Bedeutung

Ein zentrales Kernprinzip des EU AI Act ist der risikobasierte Ansatz: Die Verordnung unterscheidet KI-Systeme nach dem potenziellen Risiko für Gesundheit, Sicherheit und Grundrechte und ordnet ihnen darauf basierende pflichten- und risikogerechte Anforderungen zu. Das bedeutet: Je höher das Risiko, desto strenger die Compliance-Pflichten für Unternehmen. Dieser Ansatz schafft einen pragmatischen Rahmen, um Innovation zu ermöglichen und gleichzeitig Risiken für Menschen und Gesellschaft zu begrenzen – ein Modell, das für viele deutsche Mittelständler entscheidend ist, um ihre KI-Nutzung rechtssicher auszurichten.

Die Verordnung unterscheidet im Wesentlichen vier Risikokategorien:

1. Unannehmbare Risiken – Diese KI-Systeme sind verboten, weil sie als klare Bedrohung für Grundrechte und Sicherheit gelten. Dazu zählen etwa Systeme zur Manipulation von Verhalten, Ausnutzung von Schwachstellen spezifischer Gruppen, Sozial-Scoring oder bestimmte biometrische Klassifikationen ohne legitimen Zweck. Seit Februar 2025 gelten diese Verbote in der EU verbindlich.
2. Hohe Risiken – Systeme, die gesundheitliche oder fundamentale Rechte beeinflussen können, wie KI in kritischen Infrastrukturen, im Personalwesen, in Kredit- oder Versicherungsentscheidungen, unterliegen besonders umfassenden Vorschriften. Dazu gehören etwa Risikomanagement, technische Dokumentation, menschliche Aufsicht und Transparenzpflichten. Hochrisiko-KI muss vor dem Einsatz einer Konformitätsbewertung unterzogen und in ein EU-Register eingetragen werden.
3. Begrenzte Risiken – KI-Systeme, die keine unmittelbaren Gefahren für Grundrechte bergen, aber potenziell irreführend sein könnten (z. B. Chatbots oder generierte Inhalte), müssen Transparenzanforderungen erfüllen: Nutzer müssen erkennen, dass sie mit AI interagieren, und bestimmte generierte Inhalte müssen klar gekennzeichnet werden.
4. Minimale oder keine Risiken – Viele Alltags-AI-Anwendungen wie Spam-Filter oder einfache Empfehlungssysteme fallen in diese Kategorie. Für sie gelten keine spezifischen Pflichten im AI Act, sie können aber freiwillig Codes of Conduct folgen, um vertrauenswürdig zu operieren.

Für den Mittelstand bedeutet dieser risikobasierte Ansatz vor allem eines: eine strategische Klassifikation der eingesetzten KI-Systeme als Grundlage der Compliance-Planung. Unternehmen müssen nicht pauschal alle AI-Tools überregulieren, sondern priorisieren je nach Einstufung – was Aufwand und Kosten senken kann. Außerdem fordert der Gesetzgeber eine laufende Risikoanalyse über den gesamten Lebenszyklus der KI, sodass Risiken frühzeitig erkannt und Gegenmaßnahmen implementiert werden.

Ein praktischer Vorteil dieses Modells ist, dass die Verordnung Flexibilität bietet, indem sie unterschiedliche Anforderungen je nach Risiko vorsieht. So sind innovative, risikoarme Lösungen nicht durch übermäßige Bürokratie gebremst, während gleichzeitig sensible Anwendungen auf ein hohes Sicherheits-, Transparenz- und Kontrollniveau gehoben werden. Diese differenzierte Regulierung unterstützt den Mittelstand dabei, rechtliche Sicherheit zu schaffen und gleichzeitig Wettbewerbsfähigkeit und Innovationskraft zu stärken.

Schritte zur rechtssicheren Compliance-Umsetzung im Mittelstand

Die Umsetzung der EU-KI-Verordnung (EU AI Act) im Mittelstand ist kein einmaliger Akt, sondern ein mehrstufiger Compliance-Prozess, der systematisch geplant und etabliert werden muss. Während viele Unternehmen KI-Tools heute bereits verwenden, fehlt häufig noch eine formalisierte, rechtskonforme Struktur rund um Governance, Risikoanalyse und Dokumentation – genau hier setzt die EU-Regulierung an.

1. Bestandsaufnahme & KI-Inventarisierung

Der erste entscheidende Schritt für jedes mittelständische Unternehmen ist die systematische Inventarisierung aller KI-Systeme im eigenen Betrieb. Dazu gehören nicht nur selbst entwickelte Anwendungen, sondern auch genutzte Tools von Drittanbietern (z. B. Chatbots, automatische Analyse-Software oder generative Modelle). Alle KI-Systeme sollten erfasst, beschrieben und anhand der EU-Regeln klassifiziert werden (unangemessen, hoch, begrenzt oder minimal riskant).

Warum das wichtig ist: Ohne eine vollständige Übersicht lässt sich nicht rechtssicher bestimmen, welche Systeme hohe Anforderungen erfüllen müssen, welche nur grundlegende Transparenzpflichten haben und welche kaum reglementiert sind. Unternehmen, die diesen Schritt überspringen, riskieren Bußgelder oder regulatorische Nachforderungen.

2. Risikoanalyse & Einstufung nach AI Act

Nach der Inventarisierung folgt die Risikoeinstufung: Hier wird jedes KI-System nach dem potenziellen Risiko für Nutzer, Kundendaten oder Geschäftsprozesse beurteilt. Systeme, die etwa Personalentscheidungen, Kreditwürdigkeitsprüfungen oder sicherheitskritische Prozesse unterstützen, können als hochriskant gelten und müssen besonders strenge Anforderungen erfüllen.

Diese Einstufung hat enorme operative Auswirkungen: Für hochriskante KI sind u. a. zwingend ein Risikomanagementsystem, technische Dokumentation, Datenqualitätskontrollen, menschliche Aufsicht und fortlaufende Überwachung gesetzlich vorgeschrieben – inklusive einer Konformitätsbewertung vor dem Einsatz.

3. Transparenz, Dokumentation & Offenlegungspflichten

Nach der Bewertung folgt der Aufbau oder die Anpassung von internen Prozessen zur Transparenz und Dokumentation. Für viele Mittelständler bedeutet das:

• Transparenzhinweise für Mitarbeitende und Kunden darüber, wann und wie KI genutzt wird (z. B. „Dieses System nutzt künstliche Intelligenz zur Analyse“).
• Technische Dokumentationen, die Zweck, Datenquellen, Modelleigenschaften, Risiken und Tests jedes KI-Systems beschreiben.
• Protokollierung und Audit-Trails, um Betrieb, Entscheidungen und Änderungen nachvollziehbar zu machen.

Gerade die Dokumentation ist ein zentraler Punkt im AI Act: Ohne nachvollziehbare Unterlagen können Unternehmen bei Prüfungen durch Behörden nicht nachweisen, dass sie regelkonform gehandelt haben, was rechtliche und finanzielle Risiken erhöht.

4. Vertrags- & Lieferketten-Management

Ein oft unterschätzter Aspekt der Umsetzung ist das Management von Drittanbietern: Mittelständische Unternehmen nutzen häufig externe KI-Lösungen. Hier gilt es, bestehende Verträge anzupassen, um sicherzustellen, dass Lieferanten oder KI-Anbieter Informationen, Sicherheits- und Compliance-Nachweise liefern und Veränderungen melden.

Wesentliche Vertragsinhalte sollten sein:

• Verpflichtung des Anbieters zur Transparenz über Modelleigenschaften und Datenquellen
• Zusicherung, dass das gelieferte KI-System den EU-Vorschriften entspricht
• Rechte zur Prüfung oder Auditierung durch das Unternehmen selbst in Bezug auf Compliance-Nachweise

5. Mitarbeiterschulungen & Awareness

Compliance umfasst nicht nur technische Maßnahmen, sondern auch den Aufbau von Kompetenzen im Unternehmen. Der EU AI Act fordert, dass Mitarbeitende im Umgang mit KI sensibilisiert werden – insbesondere jene, die KI-Systeme betreuen oder Entscheidungen treffen, die von KI beeinflusst werden.

Effektive Maßnahmen sind:

• Regelmäßige Schulungen zur KI-Verwendung, Risikoerkennung und rechtlichen Pflichten
• Spezielle Trainings für Entwickler, Entscheider und Compliance-Teams
• Aufbau eines Verständnisses für AI-Governance, Datenethik und Haftungsrisiken

Eine fundierte Schulung reduziert nicht nur Risiken, sondern fördert auch das vertrauensvolle und effiziente Arbeiten mit KI-Tools – ein entscheidender Wettbewerbsvorteil in der digitalen Transformation.

Herausforderungen und Lösungsansätze für deutsche Unternehmen

Die Umsetzung des EU-AI-Act im Mittelstand bringt nicht nur neue Pflichten, sondern auch reale Herausforderungen, die viele kleine und mittlere Unternehmen (KMU) vor erhebliche organisatorische, technische und finanzielle Aufgaben stellen. Gleichzeitig eröffnen sich Chancen, wenn diese Herausforderungen strategisch angegangen werden.

1. Hoher Umsetzungsaufwand und Ressourcenknappheit

Eine der größten Herausforderungen für den Mittelstand ist der intensive Ressourcenaufwand zur AI-Compliance. Viele KMU verfügen weder über interne Compliance-Teams noch über spezialisiertes Personal, das die komplexen Anforderungen des AI Act fachkundig interpretieren und umsetzen kann. Gerade für hochriskante Systeme sind umfangreiche Dokumentations-, Überwachungs- und Managementsysteme erforderlich, die nicht nur Zeit, sondern auch finanzielle und personelle Ressourcen beanspruchen. Kleinere Unternehmen kämpfen häufig mit begrenzten Budgets, was insbesondere bei der Implementierung von Risikomanagementsystemen oder technischen Konformitätsprüfungen spürbar wird.

Lösungsansatz: KMU können Partnerschaften mit externen Beratern, spezialisierten Dienstleistern oder digitalen Compliance-Plattformen eingehen. Diese bieten oft standardisierte Tools für Risikoanalysen, Dokumentationsvorlagen und Automatisierungsfunktionen, was den Aufwand erheblich reduziert. Ebenso können öffentliche Förderprogramme oder Digital-Hubs genutzt werden, um finanzielle Unterstützung und Expertise zu erhalten.

2. Technische und regulatorische Unsicherheiten

Ein weiteres Problem liegt in der Komplexität und teilweise fehlenden Standardisierung technischer Vorgaben. Für viele hochriskante KI-Systeme müssen technische Standards eingehalten werden, doch ein Großteil dieser harmonisierten Standards wurde bis Ende 2025 noch nicht veröffentlicht. Das schafft Unsicherheit bei der praktischen Umsetzung und erschwert es Unternehmen, klare Compliance-Strategien zu entwickeln.

Lösungsansatz: Unternehmen sollten sich aktiv über die Entwicklung harmonisierter Standards informieren, z. B. über Branchennetzwerke, Standardisierungsgremien oder regulatorische Informationsplattformen. Ebenfalls sinnvoll ist die Teilnahme an Workshops, Schulungen und Austauschformaten, um frühzeitig auf Änderungen zu reagieren und praxisnahe Lösungen zu entwickeln.

3. Kosten für Compliance und Wettbewerb

Viele Beratungen zeigen, dass die Kosten für Compliance-Maßnahmen – vor allem im Zusammenhang mit menschlicher Aufsicht, laufenden Risikokontrollen oder Reportingsystemen – für mittelständische Unternehmen eine spürbare Belastung darstellen. Diese können Wettbewerbsnachteile zur Folge haben, wenn etwa internationale Konkurrenz mit lockereren Vorgaben innovativer und schneller agiert.

Lösungsansatz: Mittelstand und Verbände können zusammen branchenübergreifende Standards und Best Practices entwickeln, um den Kosten- und Implementierungsaufwand zu reduzieren. Außerdem bieten EU-Förderprogramme und nationale Initiativen finanzielle Unterstützung für Digitalisierung und Compliance-Projekte. Eine proaktive Kommunikation über transparente KI-Nutzung und ethische Standards kann zudem Markt- und Kundenvertrauen stärken.

4. Kompetenzaufbau im Unternehmen

Ein oft übersehener Aspekt ist die Notwendigkeit von Mitarbeiterschulungen und Kompetenzaufbau im Umgang mit KI und regulatorischen Anforderungen. Ohne fundiertes Wissen über Risiken, Datenethik oder Compliance-Prozesse können Unternehmen zwar Tools einsetzen, aber nicht nachhaltig rechtssicher steuern.

Lösungsansatz: Unternehmen sollten regelmäßige Trainings, Awareness-Programme und interne Guidelines etablieren. Kooperationen mit Bildungsanbietern oder Netzwerken aus dem Mittelstand können den Kompetenzaufbau unterstützen. Die Schaffung einer KI-Governance-Rolle oder eines KI-Beauftragten im Unternehmen kann zudem Verantwortlichkeiten klar verankern.

Fazit: Chancen durch KI-Compliance im Mittelstand

Die KI-Compliance nach dem EU AI Act wird von vielen mittelständischen Unternehmen zunächst als regulatorische Bürde wahrgenommen. Tatsächlich zeigt sich jedoch bei genauer Betrachtung, dass die rechtssichere Umsetzung der EU-KI-Verordnung weit mehr ist als reine Pflichterfüllung: Sie bietet dem deutschen Mittelstand eine strategische Chance, Wettbewerbsvorteile, Vertrauen und Innovationsfähigkeit nachhaltig auszubauen.

Der EU AI Act zwingt Unternehmen dazu, sich erstmals strukturiert mit ihren KI-Systemen auseinanderzusetzen: Wo wird KI eingesetzt? Welche Daten fließen ein? Welche Risiken bestehen für Kunden, Mitarbeitende oder Geschäftsprozesse? Diese Transparenz ist nicht nur regulatorisch relevant, sondern verbessert auch die interne Steuerung und Qualitätssicherung. Mittelständler, die ihre KI-Systeme inventarisieren, klassifizieren und dokumentieren, schaffen damit eine solide Grundlage für Skalierung, Audit-Sicherheit und zukünftige Innovationen.

Ein weiterer entscheidender Vorteil ist der Vertrauensaufbau gegenüber Kunden, Partnern und Investoren. Gerade in Deutschland herrscht eine hohe Sensibilität gegenüber automatisierten Entscheidungen, Datenschutz und algorithmischer Intransparenz. Unternehmen, die offen kommunizieren, wie sie KI einsetzen, welche Sicherheitsmaßnahmen existieren und wie menschliche Aufsicht gewährleistet wird, positionieren sich als verantwortungsbewusste und verlässliche Marktteilnehmer. Dieses Vertrauen kann sich unmittelbar auf Kaufentscheidungen, Kooperationsbereitschaft und Markenimage auswirken.

Auch im Hinblick auf den internationalen Wettbewerb wirkt KI-Compliance stabilisierend: Während andere Märkte oft auf schnelle, aber unregulierte Innovation setzen, etabliert Europa mit dem AI Act einen Qualitätsstandard für „vertrauenswürdige KI“. Mittelständische Unternehmen, die frühzeitig konforme Prozesse aufbauen, können diese Standards später in andere Märkte exportieren – ein nicht zu unterschätzender Vorteil bei der Expansion oder im B2B-Geschäft mit regulierten Branchen wie Industrie, Healthcare oder Finance.

Nicht zuletzt fördert der AI Act die Professionalisierung interner Strukturen. Rollen wie KI-Beauftragte, Governance-Teams oder regelmäßige Schulungsprogramme sorgen dafür, dass KI nicht isoliert, sondern strategisch verantwortet wird. Das reduziert operative Risiken, minimiert Haftungsfragen und verbessert langfristig die Wirtschaftlichkeit von KI-Projekten.

Der Beitrag KI-Compliance im Mittelstand: Wie deutsche Unternehmen die EU-KI-Verordnung (AI Act) rechtssicher umsetzen erschien zuerst auf Wirtschafts Insights.

Im Streben nach Effizienz und Auswahl ist es wichtig, weder sich selbst zu schaden noch das Potenzial des Unternehmens zu gefährden. In diesem Artikel untersuchen wir, wie wir mittels der Prozesse und Technologien anpassen können, damit das Unternehmen von den Stärken der KI profitieren kann, und wie wir die Risiken zu erkennen und uns davor zu schützen vermögen. Diese hängen mit der Arbeit des Unternehmens mit KI zusammen.

Schritt 1: Untersuchen, ob KI eingesetzt werden kann

In vielen Geschäftsbereichen ist der Einsatz von KI nur eingeschränkt möglich. Entwickelt Ihr Unternehmen beispielsweise eine Lösung zur biometrischen Erkennung von Menschen in einer Menschenmenge, verstößt dies möglicherweise gegen die Anforderungen des EU-KI-Gesetzes, und Sie werden schlicht nicht genügend Kunden haben, um die Investition und die Kosten wieder zu erstatten.

Andere potenziell gefährliche Nischen könnten das Gesundheitswesen, Rechtsdienstleistungen, Steuerberatung, Kinderbetreuung oder soziale Medien sein (z. B. wenn Sie mithilfe generativer KI Inhalte in Echtzeit erstellen möchten).

Es ist außerdem wichtig, sicherzustellen, dass der Einsatz von KI in die Data-Governance-Praktiken des Unternehmens integriert ist. Beispiele:

• KI darf nicht  die Angaben verfälschen, löschen, ersetzen oder vergessen, die sie bei ihren Berechnungen zu berücksichtigen haben.
• Es gibt einen Prozess, der überprüft, ob die KI die korrekten Berechnungen durchgeführt hat.
• KI zieht keine Schlussfolgerungen, wenn den Daten keine Beweise zugrunde liegen.
• KI darf ohne Aufsicht des Mitarbeiters keine Ratschläge zum Aufsuchen eines bestimmten Spezialisten, zur Behandlung einer bestimmten Krankheit, zur Einnahme bestimmter Medikamente oder zum Vornehmen bestimmter Eingriffe geben.

Berücksichtigen Sie die Risiken, die KI für Ihr Unternehmen verursachen könnte. Testen Sie beispielsweise die identifizierten Angriffe auf den Datenschutz auf die folgenden die vom Europäischen Datenschutzausschuss (EDSA) registriert sind:

• Attribut- und Mitgliedschaftsinferenz (attribute and membership inference);
• Exfiltration;
• Wiedergabe von Trainingsdaten (regurgitation of training data);
• Modellinversion (model inversion),
• Rekonstruktionsangriff (reconstruction attack).

Ein weiterer Vergleichsmaßstab könnte OWASP sein. Werfen Sie einen Blick auf die OWASP Top 10 für LLM-Anwendungen 2025 – sie weist auf folgende Risiken hin, die bewertet und minimiert werden müssen:

• Prompt-Injection;
• Offenlegung sensibler Informationen (Sensitive Information Disclosure);
• Lieferkette (Supply Chain);
• Daten- und Modellvergiftung (Data and Model Poisoning);
• Unsachgemäße Ausgabeverarbeitung (Improper Output Handling);
• Übermäßige Handlungsfähigkeit (Excessive Agency);
• Prompt-Leakage im System (System Prompt Leakage);
• Schwächen bei Vektoren und Einbettungen (Vector and Embedding Weaknesses);
• Fehlinformationen (Misinformation);
• Unbegrenzter Konsum (Unbounded Consumption).

Dokumentieren Sie diesen Prozess: erstellen Sie eine Risikobewertung, tragen Sie diese Risiken in das Risikoregister ein und beraten Sie sich mit Ihrem Datenschutzbeauftragten und Informationssicherheitsspezialisten über die Verfahren zur Minimierung dieser Risiken, die für Ihr Unternehmen optimal wären.

Schritt 2: Prüfen Sie, ob die KI, die Sie verwenden möchten, zuverlässig ist

KI gibt es in vielen Formen. Die bei Verbrauchern beliebteste Form ist die Chatbot-Form der großen KI-Unternehmen (OpenAI, Google, Anthropic). Manchmal stoßen dieselben Verbraucher jedoch auf Chatbots oder eventuell Dienste anderer Unternehmen (z. B. den Chat eines Lieferdienstes oder eines Online-Shops), die die Modelle und Fähigkeiten derselben großen KI-Unternehmen nutzen.

In diesem Fall sollten Sie als Unternehmen für Folgendes sorgen:

• Dieses Modell unterliegt Ihren Einstellungen (z. B. erlaubt es den Suchmaschinen nicht, Gespräche Ihrer Kunden mit KI zu indizieren),
• dass das Modell, das Unternehmen oder das Produkt ihre Position nicht gefährdet (z. B. wurden die ersteren nicht entwickelt, um den Endbenutzer davon zu überzeugen, dass sich auf der anderen Seite des Gesprächs eine tatsächliche Person befindet), und
• dass Ihre Daten und Ihr geistiges Eigentum (oder die Lizenz, die Ihre Kunden Ihnen hierfür erteilt haben) geschützt bleiben und nicht verletzt werden.

Manchmal setzen Unternehmen KI-Modelle lokal ein (d. h., auf ihren eigenen Servern unter voller Kontrolle über die Funktionsweise der KI). In der Regel verwenden sie Modelle, die jemand anderer erstellt hat. Daher ist es wichtig, das Modell und das darauf basierende Produkt zu testen, um sicherzustellen, dass sie sich wie erwartet verhalten.

Noch seltener verfügen die Unternehmen über die Ressourcen, eigene KI-Modelle zu entwickeln. In diesem Fall ist es besser, zunächst Trainingsdaten zu sammeln und festzulegen, dass das Modell während des Trainingsprozesses keine manipulativen oder anderweitig schädlichen Trends aufweist.

Nehmen Sie die zuvor erstellte Risikobewertung und das Risikoregister und fügen Sie Folgendes hinzu:

• einen Datenmanagementplan oder einen Daten-Governance-Plan,
• bewerten Sie den Auftragnehmer, der Ihnen das KI-Modell oder KI-Produkt bereitstellt – testen Sie dessen Zuverlässigkeit anhand synthetischer oder Testdaten (es ist wichtig, dass diese Daten keine personenbezogenen Daten enthalten!), und
• suchen Sie nach Berichten oder Veröffentlichungen von KI-Sicherheitsforschern über ihre Tests oder Benchmarks – diese verfügen oft über die notwendige Ausrüstung oder Kredite von KI-Anbietern, um das Modell zu testen und seine Schwachstellen zu ermitteln.

Es ist auch wichtig zu berücksichtigen, wie sich das KI-Tool in Ihr persönliches Datenmanagementprogramm einfügt. Haben Sie Richtlinien, die diese KI und die Auswirkungen auf Unternehmensprozesse beachten? Falls nicht, lohnt es sich, Ihre DSGVO-Konformität zu überprüfen und zu aktualisieren.

Schritt 3: Schützen Sie sich vor KI-Schwachstellen

Am einfachsten ist es, KI zu nutzen, die bereits in Ihren Systemen integriert ist. Wenn Ihre gesamte Website oder Anwendungsinfrastruktur bereits auf Google-Produkten basiert, ist es sinnvoll, die bereits in diese Produkte oder Infrastruktur integrierte Google-KI zu nutzen. Dadurch bleiben alle Ihre Daten und Ihr geistiges Eigentum an einem Ort und sind leichter zu kontrollieren.

Wenn diese Lösung für Ihr Unternehmen nicht geeignet ist, versuchen Sie die folgenden Schutzmaßnahmen zu treffen:

• Beschränken Sie den Einsatz von KI auf bestimmte Positionen, Rollen oder Zwecke.
• Beschränken Sie die Nutzung auf bestimmte KI-Modelle oder -Produkte und überwachen Sie, dass keine anderen verwendet werden.
• Schulen Sie Ihre Mitarbeiter und Auftragnehmer im ethischen und sicheren Einsatz von KI ein (z. B. keine Kunden- oder Kollegendaten die auf den KI-basierten Chatbots weitergeben).
• Erstellen Sie die erforderliche Dokumentation (Konformitätsbewertung, DSFA, LIA, TIA usw.).
• Schließen Sie die Auftragsverarbeitungsverträge (AV-Vertrag) ab und prüfen Sie die öffentlichen Dokumente der KI-Anbieter (Datenschutzerklärungen, Vereinbarungen zur Verarbeitung personenbezogener Daten, öffentliche Angebote).
• Aktualisieren Sie Ihre Dokumente (z. B. Datenschutzerklärung) und informieren Sie Ihre Benutzer oder Kollegen ausreichend über diese KI, damit sie diese sicher nutzen können.
• Verfolgen Sie ständig die Neuigkeiten über die von Ihnen verwendete KI und seien Sie bereit, sie durch eine andere zu ersetzen oder freizuschalten: stellen Sie sicher, dass im Betrieb Sicherheitsvorkehrungen getroffen werden (Human-in-the-Loop).

Vergessen Sie nicht, sich regelmäßig selbst zu überprüfen. Sind die KI-Konfigurationen und -Einstellungen korrekt? Ist die Schnittstelle, über die Benutzer auf die KI zugreifen, sicher? Erstellen Ihre Mitarbeiter die KI-Agenten, die mehr Zugriff auf Systeme haben, als Sie für notwendig halten?

Achten Sie auch auf personenbezogene Daten. Vergessen Sie nicht, Daten zu anonymisieren oder zu pseudonymisieren, bevor Sie sie zur Verarbeitung an KI senden. Verschlüsseln Sie außerdem die KI-Antworten, insbesondere wenn diese sensible Informationen oder Schlussfolgerungen enthalten könnten. Fügen Sie die Möglichkeiten zur Ausübung der Rechte der betroffenen Personen in KI-Tools hinzu:

• Erklären Sie, wie KI funktioniert und auf welcher Grundlage sie Entscheidungen trifft;
• Fügen Sie die Filter hinzu, um die Generierung verbotener Inhalte zu entfernen oder zu unterbinden (z. B. die Verwendung von KI für Doxing);
• Entfernen Sie alte und veraltete Modelle;
• Verwenden Sie Modelle nur mit aktuellen und qualitativ hochwertigen Daten und stellen Sie sicher, dass es nicht zu Überanpassung kommt (dass das Modell viele unterschiedliche Daten hat und sich nicht die Telefonnummer einer Person als einzig mögliches Beispiel merkt);
• Aktualisieren Sie Datenschutzerklärungen und Vereinbarungen zur Verarbeitung personenbezogener Daten mit Auftragnehmern und Kunden und fügen Sie dort Informationen über KI hinzu.

Wo soll ich anfangen?

Prüfen Sie, ob Ihr Team bereits KI nutzt, und wenn ja, auf welche Art und Weise. Wenn es sich um einen Bildgenerator handelt, stellen Sie sicher, dass die Bilder keine geistigen Eigentumsrechte verletzen. Wenn es sich um einen Notizblock handelt, überzeugen Sie sich, dass dieser im Rechtsrahmen Ihres Unternehmens legal ist.

Lesen Sie alles, was Sie über die Risiken einer solchen Nutzung finden können. Versuchen Sie, Ihr Unternehmen zu analysieren, diese Risiken zu identifizieren und herauszufinden, wie Sie sie vermeiden oder auf das Mindestmaß reduzieren können. Decken Sie sich mit der Unterstützung erfahrener Datenschutzbeauftragter ein – insbesondere solcher mit Erfahrungen im Bereich Datenschutz und KI.

Der Beitrag 3 Tipps zur KI-Governance für 2025 und 2026 erschien zuerst auf Wirtschafts Insights.