Interne oder externe KI im Mittelstand?
Entscheidungsleitfaden für KMU zwischen Kontrolle, Geschwindigkeit und Verantwortung
1
Ziel der Präsentation
Diese Präsentation unterstützt kleine und mittlere Unternehmen dabei, den passenden KI-Ansatz zu wählen: externe KI-Tools, interne KI-Systeme oder hybride Architekturen.
Kernfrage: Welche KI-Nutzung ist schnell genug, sicher genug und kontrollierbar genug für den jeweiligen Anwendungsfall?
Zielgruppe
- Geschäftsführung
- IT und Datenschutz
- Fachbereiche
- Prozessverantwortliche
- Entscheider im Mittelstand
2
Warum diese Entscheidung strategisch ist
KI ist für KMU nicht mehr nur ein Experimentierfeld. Sie wird zunehmend Teil von Kommunikation, Marketing, Vertrieb, Support, Wissensmanagement, Prozessautomatisierung und Entscheidungsunterstützung.
Nicht mehr die Frage: Welches KI-Tool ist am besten?
Sondern: Welche KI-Architektur passt zu unseren Daten, Risiken, Prozessen und Verantwortlichkeiten?
Die Wahl beeinflusst:
Datenschutz & IT-Sicherheit
Prozessqualität & Kostenstruktur
Anbieterabhängigkeit
Dokumentationsfähigkeit
Interne Kompetenz & Umsetzungsgeschwindigkeit
2026 | FRIEDMANN SOLUTIONS
3
Die drei Grundmodelle der KI-Nutzung
1. Externe KI-Tools
Öffentliche oder kommerzielle KI-Dienste von Drittanbietern: Chatbots, KI-SaaS-Plattformen, Browser-Erweiterungen oder KI-Funktionen in bestehenden Softwarelösungen.
2. Interne KI-Systeme
KI wird in kontrollierte Unternehmensumgebungen eingebunden. Datenquellen, Zugriffsrechte, Protokolle, Rollen und Prozesse können stärker gesteuert werden.
3. Hybride KI-Architekturen
Kombination aus externen Modellen und internen Schutzmechanismen – über API-Gateways, Datenmaskierung, private Dokumentenräume, Rollenmodelle oder Freigabeprozesse.
Praxisnahe Einordnung: Für viele KMU ist nicht „intern oder extern" die beste Antwort, sondern ein risikobasierter Mix.
2026 | FRIEDMANN SOLUTIONS
4
Entscheidungsprinzip: Daten zuerst, Tool danach
Eine belastbare KI-Strategie beginnt nicht beim Anbieter, sondern bei den Daten. Vor jeder Toolentscheidung sollten KMU klären:
Welche Daten werden verarbeitet?
Sind personenbezogene Daten enthalten?
Enthalten die Daten Betriebsgeheimnisse?
Werden interne Strategien, Preise oder Vertragsinhalte genutzt?
Hat die KI-Ausgabe rechtliche, finanzielle oder operative Folgen?
Muss das Ergebnis später nachvollziehbar sein?
Leitprinzip: Je sensibler Daten und Folgen sind, desto stärker müssen Kontrolle, Governance und Dokumentation sein.
5
Risikobasierte Einordnung von KI-Anwendungsfällen
Niedriges Risiko
Öffentliche Informationen & einfache Aufgaben
Öffentliche Informationen, einfache Textentwürfe, Ideenfindung, allgemeine Strukturierung.
Geeigneter Ansatz: Externe KI-Tools sind oft ausreichend, solange keine sensiblen Informationen eingegeben werden.
Mittleres Risiko
Interne Dokumente & Prozesswissen
Interne Dokumente, Prozesswissen, Angebotsvorbereitung, Kundenkontext ohne besonders sensible Details.
Geeigneter Ansatz: Hybride Lösung mit Datenklassifikation, Nutzungsregeln, Rollen und Protokollierung.
Hohes Risiko
Personenbezogene & kritische Daten
Personenbezogene Daten, HR-Daten, Finanzdaten, Geschäftsgeheimnisse, kritische Prozesse, automatisierte Entscheidungsunterstützung.
Geeigneter Ansatz: Interne oder streng kontrollierte KI-Architektur bevorzugen.
2026 | FRIEDMANN SOLUTIONS
6
Was interne KI wirklich bedeutet
Interne KI bedeutet nicht zwingend, dass ein Unternehmen ein eigenes großes Sprachmodell trainieren muss.
Interne KI kann bedeuten:
Eigene Benutzer- und Rollenverwaltung
Definierte Datenquellen & kontrollierte Dokumentenindizes
Private Wissensdatenbanken
API-Nutzung mit Schutzschicht
Protokollierung von Prompts und Ergebnissen
Freigabeworkflows
Hosting in kontrollierter Cloud- oder On-Premises-Umgebung
Klare Trennung zwischen Modell, Daten und Geschäftslogik
Wichtig: Interne KI ist vor allem ein Kontroll- und Betriebsmodell, nicht automatisch ein eigenes Modelltraining.
2026 | FRIEDMANN SOLUTIONS
7
Was externe KI wirklich bedeutet
Externe KI umfasst KI-Dienste, bei denen ein Drittanbieter wesentliche Bestandteile kontrolliert.
Der Anbieter kontrolliert:
Modellbetrieb & Infrastruktur
Produktlogik & Update-Zyklen
Sicherheitsfunktionen & Datenverarbeitungsbedingungen
Verfügbarkeit & Schnittstellen
Preis- und Nutzungsmodelle
Funktionsumfang
Kernaussage
Das kann sehr effizient sein. Die Verantwortung für den Einsatz im Unternehmen bleibt jedoch beim Unternehmen.
Externe KI kann Arbeit abnehmen, aber sie nimmt keine Organisationsverantwortung ab.
2026 | FRIEDMANN SOLUTIONS
8
Governance: Der unterschätzte Erfolgsfaktor
KI-Governance bedeutet, dass ein Unternehmen festlegt, wie KI sicher, nachvollziehbar und zweckgebunden eingesetzt wird.
Dazu gehören:
Erlaubte und verbotene Anwendungsfälle
Datenklassen & Tool-Whitelist
Rollen und Zugriffsrechte
Freigabeprozesse & Dokumentationspflichten
Qualitätssicherung & Anbieterprüfung
Schulung der Mitarbeitenden
Incident-Prozesse & regelmäßige Reviews
Ohne Governance entsteht Schatten-KI: Mitarbeitende nutzen KI-Tools eigenständig, ohne klare Regeln, Dokumentation oder Risikobewertung.
2026 | FRIEDMANN SOLUTIONS
9
Datenschutz: Die Grundfrage
Bei KI im Unternehmen ist nicht jede Nutzung automatisch kritisch. Kritisch wird sie, wenn personenbezogene Daten verarbeitet werden oder wenn KI-Ergebnisse Auswirkungen auf Personen haben.
Praktische Leitfragen:
Werden personenbezogene Daten eingegeben?
Ist die Rechtsgrundlage geklärt?
Ist der Zweck eindeutig definiert?
Werden nur notwendige Daten verarbeitet?
Gibt es eine Aufbewahrungsregel?
Sind Betroffenenrechte berücksichtigt?
Ist die Verarbeitung technisch und organisatorisch abgesichert?
Einfache Prüffrage: Muss diese Information wirklich in ein KI-System eingegeben werden? Wenn nein: nicht eingeben. Wenn ja: Schutzmaßnahmen definieren.
2026 | FRIEDMANN SOLUTIONS
10
Datenschutz bei externer KI
Bei externen KI-Diensten müssen KMU besonders prüfen, welche Daten wohin fließen und unter welchen Bedingungen sie verarbeitet werden.
1
Verantwortlichkeit
Wer ist Verantwortlicher? Wer ist Auftragsverarbeiter? Gibt es einen Auftragsverarbeitungsvertrag?
2
Datenflüsse
Wo werden Daten verarbeitet? Werden Eingaben zum Training genutzt? Erfolgt eine Übermittlung in Drittstaaten?
3
Technische Maßnahmen
Welche technischen und organisatorischen Maßnahmen bestehen? Können Admins Nutzung und Zugriffe steuern?
4
Aufbewahrung
Gibt es Lösch- und Aufbewahrungsregeln? Welche Unterauftragnehmer sind beteiligt?
Kernaussage: Ein bekanntes KI-Tool ist nicht automatisch datenschutzkonform für jeden Unternehmenszweck.
11
Datenschutz bei interner KI
Interne KI erleichtert Datenschutz nicht automatisch. Sie macht Kontrolle aber besser gestaltbar.
Mögliche Vorteile
Datenflüsse sind besser nachvollziehbar
Zugriffe können rollenbasiert gesteuert werden
Aufbewahrungsfristen sind definierbar
Protokollierung kann zentral erfolgen
Schutzmaßnahmen lassen sich an Unternehmensrichtlinien anpassen
Lösch- und Korrekturprozesse sind besser integrierbar
Mögliches Risiko: Eine schlecht konfigurierte interne KI kann ebenfalls Datenschutzverstöße verursachen – etwa durch zu breite Dokumentenzugriffe oder fehlerhafte Rechtevererbung.
2026 | FRIEDMANN SOLUTIONS
12
DSGVO-Prinzipien als KI-Leitplanken
Die DSGVO-Prinzipien lassen sich für KI-Projekte praktisch übersetzen.
Rechtmäßigkeit
Personenbezogene Daten brauchen eine tragfähige Rechtsgrundlage.
Zweckbindung
Daten dürfen nicht beliebig für neue KI-Zwecke wiederverwendet werden.
Datenminimierung
Nur die Daten verarbeiten, die für den konkreten Zweck erforderlich sind.
Richtigkeit
KI-Ergebnisse dürfen nicht ungeprüft als Tatsachen behandelt werden.
Speicherbegrenzung
Prompts, Outputs und Protokolle brauchen klare Aufbewahrungsregeln.
Integrität & Vertraulichkeit
Zugriffe, Übertragung und Speicherung müssen geschützt sein.
2026 | FRIEDMANN SOLUTIONS
13
Sicherheit: Interne Kontrolle und externe Abhängigkeit
Bei externer KI hängt ein Teil der Sicherheit vom Anbieter ab:
Zugriffsschutz & Verschlüsselung
Mandantentrennung & Logging
Admin-Funktionen & Sicherheitszertifizierungen
Incident Response & Update-Politik
Verfügbarkeit & Schnittstellensicherheit
Bei interner KI liegt mehr Verantwortung intern:
Identitätsmanagement & Netzwerksegmentierung
Berechtigungen & Monitoring
Patchmanagement & Backup
Schutz von Datenbanken und Vektorspeichern
Absicherung von APIs
Kernaussage: Extern verlagert Aufwand. Intern verlagert Verantwortung.
2026 | FRIEDMANN SOLUTIONS
14
BSI-Perspektive: Cloud und KI getrennt prüfen
Cloud-Sicherheit und KI-Sicherheit sind verwandt, aber nicht identisch. Ein Cloud-Dienst kann solide abgesichert sein, ohne dass alle KI-spezifischen Risiken ausreichend bewertet sind.
KI bringt zusätzliche Fragen:
Welche Daten wurden zum Training genutzt?
Wie robust ist das Modell?
Wie werden Fehler erkannt?
Wie wird Missbrauch verhindert?
Wie wird Bias bewertet?
Wie transparent sind Ergebnisse?
Wie wird Datenqualität sichergestellt?
Wie werden Modelländerungen dokumentiert?
Praktische Konsequenz: Bei KI-Cloud-Diensten sollten KMU nicht nur allgemeine IT-Sicherheit prüfen, sondern auch KI-spezifische Kriterien.
2026 | FRIEDMANN SOLUTIONS
15
EU AI Act: Warum KMU jetzt handeln sollten
Der EU AI Act etabliert einen risikobasierten Rechtsrahmen für KI in der Europäischen Union.
1
KI-Anwendungsfälle klassifizieren
Nicht jede KI-Nutzung ist Hochrisiko – aber eine Einordnung ist erforderlich.
2
Transparenzpflichten beachten
Dokumentation wird wichtiger. Anbieterinformationen werden Teil der Beschaffung.
3
KI-Kompetenz aufbauen
Mitarbeitende brauchen KI-Kompetenz. Kritische Anwendungsfälle benötigen stärkere Kontrolle.
Wichtig: Auch wenn ein KMU nicht selbst KI-Modelle entwickelt, kann es als Anwender Pflichten haben – abhängig vom konkreten Einsatz und Risikoprofil.
16
KI-Kompetenz als Pflichtbestandteil der Organisation
KI-Kompetenz bedeutet nicht, dass alle Mitarbeitenden technische Experten werden müssen.
Grenzen verstehen
Grenzen von KI verstehen, Halluzinationen erkennen und Ergebnisse prüfen.
Datenschutz anwenden
Keine sensiblen Daten unkontrolliert eingeben. Datenschutzregeln konsequent anwenden.
Quellen bewerten
Quellen bewerten, Risiken eskalieren und geeignete Prompts nutzen.
Verantwortung behalten
Verantwortung nicht an die KI delegieren. Entscheidungen menschlich verantworten.
Merksatz: Nicht geschulte KI-Nutzung ist ein organisatorisches Risiko. Schulung ist ein kosteneffizienter Risikosenker.
2026 | FRIEDMANN SOLUTIONS
17
Typische externe KI-Anwendungsfälle
Externe KI-Tools eignen sich besonders für Aufgaben mit geringem Datenrisiko.
Kreation & Kommunikation
- Textentwürfe & Brainstorming
- Marketingideen
- Social-Media-Varianten
- Präsentationsstruktur
- Bildideen
Recherche & Analyse
- Übersetzungen
- Zusammenfassungen ohne sensible Inhalte
- Allgemeine Rechercheunterstützung
- Einfache Code-Erklärungen
Voraussetzung: Es werden keine sensiblen, personenbezogenen oder geschäftskritischen Informationen ungeprüft eingegeben.
18
Typische interne KI-Anwendungsfälle
Interne oder stark kontrollierte KI eignet sich besonders für daten- und prozessnahe Anwendungen. Hier zählt weniger der schnelle Einstieg, sondern belastbare Kontrolle.
Wissen & Dokumente
- Internes Wissensmanagement
- Support auf Basis eigener Dokumente
- Technische Dokumentation
- Qualitätsmanagement
Prozesse & Daten
- Angebots- und Vertragsvorbereitung
- HR-Prozesse mit sensiblen Daten
- Kundenservice mit Kundendaten
- Compliance-Assistenz
Systeme & Entscheidungen
- Produktions- oder Prozessdatenanalyse
- Auswertung von CRM-, ERP- oder DMS-Daten
- Geschäftskritische Entscheidungsunterstützung
2026 | FRIEDMANN SOLUTIONS
19
Der hybride Ansatz als realistischer KMU-Standard
Viele KMU benötigen keinen sofortigen Wechsel zu vollständig interner KI. Ein hybrider Ansatz kann bedeuten:
01
Externe Modelle über API nutzen
Sensible Daten vorab entfernen und kontrolliert übergeben.
02
Eigene Dokumente kontrolliert bereitstellen
Interne Berechtigungen durchsetzen und Datenquellen begrenzen.
03
Prompt- und Output-Logging aktivieren
Freigaben für kritische Ergebnisse einbauen und dokumentieren.
04
Anbieter regelmäßig prüfen
Tool-Whitelist definieren und Mitarbeitende gezielt schulen.
Ziel: Innovation ermöglichen, ohne Kontrolle zu verlieren.
20
Architekturmodell 1: Öffentliche KI mit Nutzungsrichtlinie
Geeignet für:
- Allgemeine Aufgaben
- Kreative Ideengenerierung
- Öffentliche Informationen
- Nicht sensitive Inhalte
- Erste Schulungs- und Testzwecke
Mindestmaßnahmen:
Klare Nutzungsrichtlinie
Verbot sensibler Daten
Hinweis auf Faktenprüfung
Tool-Whitelist
Schulung der Mitarbeitenden
Regelmäßige Prüfung der Anbieterbedingungen
Grenze: Sobald interne, vertrauliche oder personenbezogene Daten verarbeitet werden, reicht eine einfache Nutzungsrichtlinie meist nicht mehr aus.
2026 | FRIEDMANN SOLUTIONS
21
Architekturmodell 2: Externe KI mit Unternehmensvertrag
Geeignet für:
- Produktive Nutzung im Unternehmen
- Teamzugänge
- Zentrale Administration
- Geregelte Nutzung durch Fachbereiche
- Bessere Kontrolle als Einzelaccounts
Mindestmaßnahmen:
Vertrag & Auftragsverarbeitung prüfen
Admin-Konsole nutzen
Rollen und Gruppen definieren
Logging und Auditfunktionen aktivieren
Single Sign-on und MFA nutzen
Schattenaccounts vermeiden
Vorteil: Schneller Einstieg mit mehr organisatorischer Kontrolle.
2026 | FRIEDMANN SOLUTIONS
22
Architekturmodell 3: KI über API-Gateway
Geeignet für:
- Wiederkehrende Workflows
- Prozessintegration
- Eigene Anwendungen
- Kontrollierte Datenübergabe
- Zentrale Kosten- und Nutzungskontrolle
Typische Schutzmaßnahmen:
Zentrale Schnittstelle & Prompt-Templates
Datenmaskierung & Zugriffskontrolle
Nutzungsprotokolle & Kostenlimits
Anbieterwechsel vorbereiten
Output-Prüfregeln
Vorteil: Das Unternehmen kontrolliert die Anwendungsschicht stärker, ohne zwingend eigene Modelle betreiben zu müssen.
2026 | FRIEDMANN SOLUTIONS
23
Architekturmodell 4: Private Knowledge-KI
Geeignet für:
- Internes Wissensmanagement
- Dokumentensuche
- Supportbots
- Technische Handbücher
- Prozessdokumentation
- Schulungsunterlagen
Kritische Punkte:
Berechtigungen & Aktualität der Dokumente
Quellenanzeige & Versionierung
Löschung veralteter Inhalte
Protokollierung & Qualitätssicherung
Kernprinzip: Das Modell erhält nicht unbegrenzten Zugriff auf alle Unternehmensdaten, sondern ruft nur freigegebene Informationen aus definierten Quellen ab.
2026 | FRIEDMANN SOLUTIONS
24
Architekturmodell 5: On-Premises oder Private Cloud
Geeignet für:
Sehr sensible Daten
Regulierte Bereiche
Besondere Sicherheitsanforderungen
Hohe Integrationsanforderungen
Strategisches KI-Know-how
Vorteile:
Maximale Datenkontrolle
Eigene Sicherheitsarchitektur
Stärkere Anpassbarkeit
Geringere Abhängigkeit von SaaS-Oberflächen
Herausforderungen: Höhere Anfangsinvestitionen, Fachpersonal erforderlich, Betrieb und Monitoring, Sicherheitsverantwortung liegt intern.
2026 | FRIEDMANN SOLUTIONS
25
Datenklassifikation als Pflichtschritt
Vor dem KI-Einsatz sollten Daten in Schutzklassen eingeteilt werden.
1
2
3
4
1
Klasse 1: Öffentlich
Daten, die bereits öffentlich verfügbar sind.
2
Klasse 2: Intern
Informationen ohne hohe Schutzbedürftigkeit, aber nicht für die Öffentlichkeit bestimmt.
3
Klasse 3: Vertraulich
Kundeninformationen, interne Strategien, Verträge, Preise, technische Details.
4
Klasse 4: Besonders schutzbedürftig
Personenbezogene Daten, HR-Daten, Finanzdaten, Gesundheitsdaten, Geschäftsgeheimnisse.
Regel: Je höher die Datenklasse, desto stärker muss die KI-Umgebung kontrolliert werden.
2026 | FRIEDMANN SOLUTIONS
26
Rollenmodell: Wer darf was?
Ein professionelles KI-System braucht klare Rollen.
1
Normale Nutzer
Standardzugriff auf freigegebene KI-Funktionen und Datenquellen.
2
Power User & Prüfer
Erweiterte Funktionen, fachliche Freigaben und Qualitätssicherung.
3
Datenschutz & IT-Admin
Datenschutzverantwortliche und IT-Administratoren mit Systemzugriff.
4
Governance & Management
KI-Governance-Verantwortliche, Management-Sponsor und Prozessverantwortliche.
Warum das wichtig ist: KI ohne Rollenmodell führt schnell zu unkontrollierter Nutzung und unklarer Verantwortung.
2026 | FRIEDMANN SOLUTIONS
27
Prompt- und Output-Protokollierung
Protokollierung ist ein zentraler Unterschied zwischen experimenteller und produktiver KI-Nutzung.
Wer die KI genutzt hat
Welcher Anwendungsfall betroffen war
Welche Datenklasse verarbeitet wurde
Welcher Prompt verwendet wurde
Welche Ausgabe erzeugt wurde
Ob eine Freigabe erfolgt ist
Ob Fehler oder Risiken aufgetreten sind
Welche Version eines Workflows verwendet wurde
Wichtig: Protokolle können selbst personenbezogene oder vertrauliche Daten enthalten und müssen deshalb ebenfalls geschützt werden.
2026 | FRIEDMANN SOLUTIONS
28
Erklärbarkeit und Nachvollziehbarkeit
KI-Ergebnisse müssen nicht immer technisch vollständig erklärbar sein. Im Unternehmenskontext müssen sie aber ausreichend nachvollziehbar sein.
Datenbasis transparent machen
Auf welcher Datenbasis wurde die Antwort erstellt? Welche Quellen wurden verwendet?
Reproduzierbarkeit sicherstellen
Ist die Antwort reproduzierbar? Wurde das Ergebnis geprüft? Wer trägt die Verantwortung?
Fehler erkennen und korrigieren
Gibt es eine Dokumentation für kritische Entscheidungen? Kann eine falsche Ausgabe erkannt und korrigiert werden?
Regel: Je höher die Auswirkung einer KI-Ausgabe, desto wichtiger ist Nachvollziehbarkeit.
2026 | FRIEDMANN SOLUTIONS
29
Kostenstruktur: Einstiegspreis ist nicht Gesamtkosten
Externe KI erscheint oft günstiger, weil der Einstieg schnell und die Anfangskosten gering sind.
Typische externe Kosten:
Lizenzen & Nutzungsvolumen
API-Gebühren & Premiumfunktionen
Integrationen & Schulung
Governance-Aufwand
Typische interne Kosten:
Konzept & Implementierung
Infrastruktur & Betrieb
Sicherheit & Wartung
Monitoring & Datenaufbereitung
Interne Kompetenz
Relevante Kennzahl: Nicht der Monatspreis entscheidet, sondern die Gesamtkosten pro belastbarem Anwendungsfall.
2026 | FRIEDMANN SOLUTIONS
30
Versteckte Kosten externer KI
Externe Tools verursachen oft indirekte Kosten. Wenn jede Abteilung eigene Tools nutzt, steigt die Komplexität schnell.
Operative Kostentreiber
- Manuelle Nacharbeit
- Tool-Wildwuchs
- Doppelte Lizenzen
- Fehlende Integration
Organisatorische Kostentreiber
- Unklare Zuständigkeiten
- Geringe Wiederverwendbarkeit
- Dezentrale Einzelaccounts
- Schulung pro Tool
Strategische Kostentreiber
- Anbieterwechsel
- Compliance-Prüfungen
- Datenexporte
2026 | FRIEDMANN SOLUTIONS
31
Versteckte Kosten interner KI
Auch interne KI kann teuer werden, wenn sie falsch geplant wird.
Planungsfehler
- Schlechte Datenqualität
- Fehlendes Berechtigungskonzept
- Unklare Use Cases
- Zu früher Modellbetrieb
Betriebsfehler
- Überdimensionierte Infrastruktur
- Fehlende Fachverantwortung
- Mangelhafte Akzeptanz
- Keine Erfolgsmessung
Wartungsfehler
- Fehlende Wartung
- Keine klare Betriebsverantwortung
Interne KI lohnt sich besonders dort, wo wiederkehrender Nutzen, hohe Datenrelevanz und klare Prozesse vorhanden sind.
2026 | FRIEDMANN SOLUTIONS
32
Lieferantenbindung: Plattformabhängigkeit vermeiden
Abhängigkeiten entstehen durch:
Proprietäre Workflows & geschlossene Schnittstellen
Eigene Dateiformate
Trainierte Assistenten innerhalb einer Plattform
Schwer exportierbare Prompts
Fehlende Protokolle & Kostenmodelle
Gegenmaßnahmen:
API-first denken
Daten exportierbar halten
Prompt- und Prozesslogik dokumentieren
Mehrere Anbieter evaluieren
Kritische Workflows nicht vollständig in Blackbox-Systeme verlagern
2026 | FRIEDMANN SOLUTIONS
33
Qualität: KI ist kein Wahrheitsautomat
KI-Systeme können plausibel klingende, aber falsche Ergebnisse erzeugen. KMU brauchen Qualitätsregeln.
Qualitätsregeln:
Fakten prüfen & Quellen verlangen
Kritische Aussagen verifizieren
Fachfreigaben definieren
Keine automatisierte Veröffentlichung ohne Kontrolle
Testfälle erstellen & Fehler dokumentieren
Prompts versionieren & Ergebnisse evaluieren
Human-in-the-Loop bedeutet:
Ein Mensch prüft kritische Ergebnisse
Verantwortlichkeiten sind klar
Entscheidungen werden dokumentiert
KI-Ausgaben sind Empfehlungen
Eskalationswege sind definiert
Regel: Je größer der mögliche Schaden, desto stärker muss menschliche Kontrolle eingebaut werden.
2026 | FRIEDMANN SOLUTIONS
34
Interne KI: Vor- und Nachteile
Hauptvorteile
Bessere Datenkontrolle & stärkere Prozessintegration
Definierbare Berechtigungen & nachvollziehbare Protokolle
Eigene Qualitätsstandards & bessere Anpassung an Unternehmenswissen
Weniger Schatten-KI & höhere Wiederverwendbarkeit
Strategischer Kompetenzaufbau
Für KMU mit vielen sensiblen Daten kann interne KI ein Wettbewerbsvorteil sein.
Hauptrisiken
Falsche Berechtigungen & Datenlecks durch fehlerhafte Indizes
Unzureichendes Monitoring & schwache Modellsteuerung
Hohe technische Komplexität & fehlende Wartung
Unklare Verantwortlichkeit & Sicherheitslücken
Falsches Vertrauen in interne Systeme
Interne KI braucht klare Architektur, Governance und Betriebskonzepte.
2026 | FRIEDMANN SOLUTIONS
35
Externe KI: Vor- und Nachteile
Hauptvorteile
Schneller Start & geringe Einstiegshürde
Laufende Modellverbesserungen & große Funktionsbreite
Einfache Skalierung & nutzerfreundliche Oberflächen
Schnelle Tests neuer Ideen & hohe Innovationsgeschwindigkeit
Für viele KMU ist externe KI der sinnvolle Einstieg – solange klare Grenzen gesetzt sind.
Hauptrisiken
Sensible Daten & unklare Vertragsbedingungen
Fehlende Transparenz & schwache Protokollierung
Schattenaccounts & ungeprüfte Browser-Plugins
Anbieterabhängigkeit & fehlende Datenlöschung
Ungeprüfte KI-Ausgaben
Das Risiko liegt oft nicht im Tool selbst, sondern in unkontrollierter Nutzung.
2026 | FRIEDMANN SOLUTIONS
36
Browser-Plugins und KI in bestehenden Systemen
Browser-Plugins: Mögliche Risiken
Zugriff auf Webseiteninhalte & Eingabefelder
Datenübertragung an Dritte
Schwache Rechtekontrolle & unbekannte Anbieter
Fehlende Unternehmensverwaltung
Unklare Datenverarbeitung
Empfehlung: KI-Browser-Plugins sollten über IT-Freigabe, Whitelisting und Sicherheitsprüfung laufen.
KI in Office, CRM und ERP
Viele Unternehmen nutzen KI künftig eingebettet in bestehende Systeme: Office, E-Mail, Kalender, CRM, ERP, Ticketsysteme, DMS, Collaboration-Plattformen.
Vorteil: Bessere Integration, zentrale Administration, direkter Zugriff auf Arbeitskontext.
Risiko: KI erhält potenziell Zugriff auf sehr viele Unternehmensdaten. Berechtigungskonzepte müssen sauber sein.
2026 | FRIEDMANN SOLUTIONS
37
Der wichtigste Kontrollpunkt: Berechtigungen
Bei Knowledge-KI ist das Berechtigungskonzept entscheidend.
Problem: Wenn eine KI Dokumente auswertet, auf die Nutzer eigentlich keinen Zugriff haben sollten, entsteht ein Sicherheits- und Datenschutzproblem.
Mindestanforderungen:
Zugriff nur auf freigegebene Quellen
Berechtigungen aus Quellsystemen übernehmen
Keine globalen Datenindizes ohne Rollenprüfung
Regelmäßige Rechteprüfung
Offboarding-Prozess
Test mit realistischen Nutzerrollen
Protokollierung kritischer Zugriffe
KI darf keine Abkürzung an bestehenden Sicherheitsregeln vorbei sein.
2026 | FRIEDMANN SOLUTIONS
38
Mindeststandards 1 & 2: Richtlinie und Use-Case-Register
Mindeststandard 1: KI-Nutzungsrichtlinie
Jedes KMU sollte eine klare KI-Richtlinie haben. Die Richtlinie sollte kurz, verständlich und praktisch anwendbar sein.
Erlaubte und verbotene Tools & Datenarten
Umgang mit personenbezogenen Daten
Quellenprüfung & Kennzeichnung von KI-Inhalten
Freigabeprozesse & Umgang mit Fehlern
Schulungspflicht & Konsequenzen bei Verstößen
Mindeststandard 2: KI-Use-Case-Register
Ein KI-Use-Case-Register dokumentiert, wo KI im Unternehmen genutzt wird.
Name, Fachbereich, Zweck, Tool
Datenarten & Risikoklasse
Verantwortliche Person & Anbieter
Vertragsstatus & Prüffrist
Freigabestatus & Schutzmaßnahmen
Das Unternehmen erhält Transparenz über KI-Nutzung und kann Risiken priorisieren.
2026 | FRIEDMANN SOLUTIONS
39
Mindeststandards 3 & 4: Anbieterprüfung und Freigabeprozess
Mindeststandard 3: Anbieterprüfung
Vor produktiver Nutzung externer KI sollten Anbieter geprüft werden.
Unternehmenssitz & Datenverarbeitung
Auftragsverarbeitung & Unterauftragnehmer
Trainingsnutzung von Eingaben
Sicherheitszertifikate & Admin-Funktionen
Exportmöglichkeiten & Löschfunktionen
Keine Prüfung bedeutet: keine belastbare Entscheidungsgrundlage.
Mindeststandard 4: KI-Freigabeprozess
01
Use Case beschreiben & Datenklasse bestimmen
02
Risiko einschätzen & Tool auswählen
03
Datenschutz & Sicherheit prüfen
04
Pilot durchführen & Ergebnisse bewerten
05
Freigabe erteilen & Monitoring starten
2026 | FRIEDMANN SOLUTIONS
40
Reifegradmodell für KMU
Stufe 1: Experimentell
Einzelne Mitarbeitende testen KI ohne zentrale Regeln.
Stufe 2: Geregelt
Es gibt Richtlinien, Tool-Listen und erste Schulungen.
Stufe 3: Kontrolliert
Use Cases werden bewertet, Datenklassen genutzt, Anbieter geprüft.
Stufe 4: Integriert
KI ist in Prozesse eingebunden, mit Rollen, Logging und Qualitätssicherung.
Stufe 5: Strategisch
KI ist Teil der Unternehmensarchitektur, Governance und Wertschöpfung.
Realistisches Ziel: Viele KMU sollten zunächst kontrolliert von Stufe 1 zu Stufe 3 oder 4 gelangen.
2026 | FRIEDMANN SOLUTIONS
41
Entscheidungsbaum: Extern, intern oder hybrid?
Die Wahl des richtigen Modells hängt von Datensensibilität, Prozesstiefe und strategischer Bedeutung ab. Ein risikobasierter Ansatz führt zur passenden Architektur.
2026 | FRIEDMANN SOLUTIONS
42
Praxisbeispiele 1–3: Marketing, Angebot, HR
Niedriges Risiko
Beispiel 1: Marketingtext für öffentliche Kampagne
Datenlage: Öffentliche Produktinformationen, keine sensiblen Daten.
Ansatz: Externes KI-Tool oder Unternehmensaccount. Keine Kundendaten eingeben, Fakten prüfen, Markenrichtlinien beachten, finale Freigabe durch Marketing.
Mittleres Risiko
Beispiel 2: Angebotsentwurf mit Kundendaten
Datenlage: Kundeninformationen, Preise, Projektkontext, interne Kalkulation.
Ansatz: Hybrid oder interne KI. Datenminimierung, Kundendaten pseudonymisieren, Zugriff beschränken, Prompt und Output dokumentieren.
Hohes Risiko
Beispiel 3: HR-Bewerberauswertung
Datenlage: Personenbezogene Daten, potenziell sensible Informationen, mögliche Auswirkungen auf Personen.
Ansatz: Sehr vorsichtig prüfen. Rechtsgrundlage klären, automatisierte Alleinentscheidungen vermeiden, Bias-Risiken bewerten, Datenschutz-Folgenabschätzung prüfen.
2026 | FRIEDMANN SOLUTIONS
43
Praxisbeispiele 4–5: Wissensassistent und Kundenservice-Bot
Beispiel 4: Interner Wissensassistent
Datenlage: Interne Dokumente, Prozesse, Richtlinien, technische Informationen, gegebenenfalls vertrauliche Inhalte.
Geeigneter Ansatz: Private Knowledge-KI oder hybrider Ansatz.
Rollenbasierter Zugriff & Quellenanzeige
Dokumentenfreigabe & Versionierung
Regelmäßige Aktualisierung & Logging
Hoher Nutzen, aber nur mit sauberer Daten- und Rechtearchitektur.
Beispiel 5: Kundenservice-Bot
Datenlage: Kundenanfragen, personenbezogene Daten, Supporthistorie, Vertrags- oder Bestelldaten.
Geeigneter Ansatz: Hybrid oder kontrollierte Plattformlösung.
Klare Eskalation zum Menschen
Datenschutzprüfung & Logging
Sichere Integration in CRM
Qualitätsmonitoring & definierte Antwortgrenzen
Produktiver Nutzen möglich, aber Governance zwingend erforderlich.
2026 | FRIEDMANN SOLUTIONS
44
Praktischer 30-Tage-Startplan für KMU
1
Woche 1: Transparenz
Genutzte KI-Tools erfassen, Fachbereiche befragen, Risiken grob kategorisieren, schnelle Verbote für kritische Daten definieren.
2
Woche 2: Regeln
KI-Richtlinie formulieren, Datenklassen definieren, Tool-Whitelist erstellen, Schulung vorbereiten.
3
Woche 3: Pilot
1–2 Use Cases priorisieren, Nutzen und Risiko bewerten, Anbieter prüfen, Erfolgskriterien definieren.
4
Woche 4: Testen
Pilot durchführen, Ergebnisse messen, Feedback einholen, Governance anpassen, Entscheidung für Skalierung treffen.
45
Praktischer 90-Tage-Fahrplan
Ergebnis: KI wird nicht zufällig genutzt, sondern strukturiert in die Organisation eingeführt – mit klarer Ordnung, bewusster Architekturentscheidung und produktiver Absicherung.
2026 | FRIEDMANN SOLUTIONS
46
KPI: Wie KMU KI-Erfolg messen können
Produktivitäts-KPIs
- Zeitersparnis pro Prozess
- Anzahl automatisierter Teilschritte
- Bearbeitungsdauer
- Wiederverwendungsquote
Qualitäts-KPIs
- Fehlerquote
- Nacharbeitsaufwand
- Quellenqualität
- Fachfreigabequote
Risiko-KPIs
- Verstöße gegen KI-Richtlinie
- Schatten-Tools
- Kritische Datenvorfälle
- Ungeprüfte Outputs
Akzeptanz-KPIs
- Aktive Nutzer
- Schulungsquote
- Feedbackbewertung
- Anzahl freigegebener Use Cases
2026 | FRIEDMANN SOLUTIONS
47
Häufige Fehlentscheidungen
1
Tool ohne Use Case
Tool kaufen, ohne Use Case zu definieren.
2
Komplettverbot
KI komplett verbieten und dadurch Schattennutzung fördern.
3
Sensible Daten extern
Öffentliche KI mit sensiblen Daten füttern.
4
Schlechte Datenbasis
Interne KI auf schlechte Daten setzen.
5
Keine Governance
Keine Rollen, keine Protokolle, keine Verantwortlichen.
6
Ungeprüfte Ergebnisse
KI-Ergebnisse ohne Prüfung veröffentlichen oder verwenden.
7
Nur Lizenzkosten
Kosten nur anhand von Lizenzpreisen bewerten.
2026 | FRIEDMANN SOLUTIONS
48
Management-Fragen vor jeder KI-Investition
Vor einer Entscheidung sollte die Geschäftsleitung fragen:
1
Welches konkrete Problem lösen wir?
2
Welche Daten werden verarbeitet und welche Risiken entstehen?
3
Wer ist verantwortlich und wie wird Qualität geprüft?
4
Welche Anbieterabhängigkeit und gesetzlichen Anforderungen sind relevant?
5
Wie wird der Nutzen gemessen und wie werden Mitarbeitende geschult?
6
Wie wird die Lösung beendet oder gewechselt, falls nötig?
Ziel: Nicht maximale Komplexität, sondern klare Entscheidungsfähigkeit.
2026 | FRIEDMANN SOLUTIONS
49
Empfehlung: Control-first statt Tool-first
Die beste KI-Strategie für KMU beginnt nicht mit einer Tool-Liste. Sie beginnt mit Kontrolle.
Daten
Kontrolle über Daten und Datenklassen
Zugriffe
Kontrolle über Zugriffsrechte und Rollen
Prozesse
Kontrolle über Prozesse und Workflows
Qualität
Kontrolle über Qualität und Ergebnisse
Verantwortung
Kontrolle über Verantwortung und Kosten
Merksatz: KI darf schnell eingeführt werden, aber nicht blind.
2026 | FRIEDMANN SOLUTIONS
50
Zielbild für KMU
Ein reifes KMU-KI-Modell sieht so aus:
Governance & Regeln
- Klare KI-Richtlinie
- Klassifizierte Daten
- Freigegebene Tools
- Dokumentierte Use Cases
Menschen & Rollen
- Geschulte Mitarbeitende
- Geprüfte Anbieter
- Definierte Rollen
Betrieb & Qualität
- Protokollierung
- Qualitätssicherung
- Regelmäßige Reviews
Architektur & Nutzen
- Pragmatische Architektur
- Messbarer Nutzen
Das Ziel ist nicht maximale Bürokratie. Das Ziel ist sichere, skalierbare und wirtschaftliche KI-Nutzung.
2026 | FRIEDMANN SOLUTIONS
51
Schlussfolgerung
Interne KI bietet mehr Kontrolle, bessere Integration und stärkere Anpassung an Unternehmensprozesse.
Externe KI bietet Geschwindigkeit, niedrige Einstiegshürden und schnelle Innovationsmöglichkeiten.
Der beste Weg für KMU: Risikobasierter Ansatz
Einfache Aufgaben extern
Sensible Daten kontrolliert
Kritische Prozesse intern oder hybrid
Governance immer verbindlich
Qualität immer überprüfbar
Verantwortung immer menschlich zugeordnet
KI wird dann wertvoll, wenn sie nicht nur ausprobiert, sondern verantwortungsvoll betrieben wird.
2026 | FRIEDMANN SOLUTIONS
52
Quellen und fachliche Grundlage
Dieses Script basiert auf öffentlich überprüfbaren regulatorischen und fachlichen Referenzen.
Datenschutz & KI-Regulierung
- Datenschutz-Grundverordnung der Europäischen Union
- EU AI Act / Verordnung über künstliche Intelligenz
- EU-Kommission: Informationen zum AI Act und zur Anwendung der Regelungen
- Europäischer Datenschutzausschuss: Hinweise zu KI-Modellen und Datenschutzgrundsätzen
IT-Sicherheit & Standards
- Bundesamt für Sicherheit in der Informationstechnik: C5-Kriterienkatalog für Cloud Computing
- Bundesamt für Sicherheit in der Informationstechnik: AIC4-Kriterienkatalog für KI-Cloud-Dienste
- ISO/IEC 42001: Managementsysteme für künstliche Intelligenz
- NIST AI Risk Management Framework
Hinweis: Die Inhalte sind ein fachlicher Orientierungsrahmen für KMU. Sie ersetzen keine individuelle Rechts-, Datenschutz- oder IT-Sicherheitsberatung.
2026 | FRIEDMANN SOLUTIONS
53