Stellen Sie sich eine Werbeagentur mit zwölf Mitarbeitern vor. Mittwochnachmittag, eine Praktikantin sitzt vor dem Briefing eines neuen Kunden. Zehn Seiten, viele Details, knapper Termin. Sie kopiert das Dokument in ChatGPT und bittet um eine Zusammenfassung. Niemand hat sie gefragt. Niemand hat es gesehen. Der Kunden-Briefing-Text ist jetzt bei einem US-Anbieter. Ob er dort gespeichert wird, weiß im Betrieb keiner.
Solche Szenen passieren 2026 in fast jedem KMU. Mitarbeitende nutzen längst Künstliche Intelligenz – mit oder ohne Erlaubnis, mit oder ohne Regeln. Eine knappe AI-Richtlinie ist deshalb kein Konzern-Thema mehr. Sie ist ein DSGVO-, AI-Act- und Versicherungs-Thema. In diesem Artikel klären wir, warum das so ist, was eine pragmatische AI-Governance ausmacht und welche Punkte in einer dreiseitigen Richtlinie unbedingt drinstehen sollten.
Warum 2026 das Jahr für AI-Governance im Mittelstand wird
Drei Entwicklungen treffen aufeinander. Erstens: Seit dem 2. Februar 2025 verlangt der EU AI Act in Artikel 4 von jedem Unternehmen, das KI nutzt, dass Mitarbeitende „ausreichende Kenntnisse“ haben. Ohne dokumentierten Schulungsnachweis steht der Betrieb im Prüfungsfall schlecht da. Zweitens: Am 2. August 2026 greifen die umfassenden Pflichten für Hochrisiko-KI. Drittens: Cyber-Versicherer ergänzen ihre Fragebögen 2026 reihenweise um KI-bezogene Punkte. „Welche KI-Tools nutzen Mitarbeitende?“ steht inzwischen in fast jedem Antrag.
Eine eigene AI-Governance ist im AI Act zwar nicht ausdrücklich vorgeschrieben. Aber sie ist der einzige praktikable Weg, die geforderte „KI-Kompetenz“ und die DSGVO-Verantwortlichkeit zu belegen. Wir sehen bei KMU regelmäßig: Ohne Richtlinie schiebt sich die Verantwortung still und leise auf einzelne Mitarbeitende. Das ist weder fair noch sicher.
Die drei Risiken, die Mitarbeitende in der KI nicht sehen
Wer KI-Tools im Beruf einsetzt, hat selten böse Absichten. Aber drei typische Risiken werden im Tagesgeschäft unterschätzt:
- Datenabfluss. Texte, die in ein Sprachmodell eingegeben werden, verlassen den Betrieb. Bei den kostenlosen Versionen vieler Anbieter fließen sie zudem in das Trainingsmaterial. Mandanten-Daten, Personalakten, Kundenangebote landen so unkontrolliert beim Anbieter.
- Falschinformationen. Sprachmodelle „halluzinieren“ plausibel klingende Inhalte, die schlicht falsch sind. Wer einen KI-generierten Vertragsentwurf ungeprüft an einen Kunden schickt, übernimmt dessen Fehler.
- Urheberrecht und Haftung. Wer KI-Bilder in der Firmen-Broschüre einsetzt, sich aber nicht um die Lizenzlage kümmert, kann teuer abgemahnt werden. Auch die Frage, ob KI-Texte überhaupt urheberrechtlich geschützt sind, wird gerade vor deutschen Gerichten verhandelt.
Was eine pragmatische AI-Richtlinie für KMU enthält
Eine AI-Governance für 10 bis 50 Mitarbeitende muss nicht 30 Seiten lang sein. Drei Seiten reichen, wenn die richtigen Punkte abgedeckt sind. Aus unserer Beratungspraxis bewähren sich folgende Bausteine:
- Erlaubte und verbotene Tools. Eine knappe Liste: Welche KI-Anwendungen sind freigegeben, welche nicht? Microsoft Copilot Business und ChatGPT Team gelten als deutlich datenschutzfreundlicher als die Gratis-Versionen. Letztere gehören in vielen KMU auf eine Negativliste.
- Kategorien von Inhalten. Was darf in eine KI eingegeben werden, was nicht? Personenbezogene Daten, Mandanten-akten, Lohnabrechnungen, Quellcode interner Anwendungen sind in den meisten Betrieben Tabu.
- Pflicht zur Quellen- und Faktenprüfung. KI-generierte Inhalte gehen nie ungeprüft an Kunden, in Verträge oder in Pflichtdokumentationen.
- Kennzeichnungspflicht. Texte, Bilder und Code, die im Wesentlichen von KI stammen, werden intern als solche gekennzeichnet. Damit ist im Streitfall nachvollziehbar, wer was geliefert hat.
- Schulungsnachweis. Alle Mitarbeitenden, die KI nutzen, durchlaufen einmal jährlich eine kurze Unterweisung. Das erfüllt die KI-Kompetenzpflicht aus Artikel 4 des AI Act – und kostet pro Person typischerweise unter einer Stunde.
- Ansprechperson. Eine Person im Betrieb ist Anlaufstelle für KI-Fragen. Das muss kein IT-Profi sein. Wichtig ist, dass die Verantwortung benennbar ist.
Was technische Maßnahmen ergänzen
Eine Richtlinie allein reicht selten. Sie wird wirksam, wenn sie technisch begleitet wird. Drei Punkte, die wir in [Managed Services](https://bavaria-informatics.com/services/#managed-services)-Projekten regelmäßig einrichten:
- Nutzung von Geschäftsversionen statt privater Konten. Microsoft Copilot Business, ChatGPT Team oder datenschutzkonforme deutsche Anbieter haben deaktivierte Trainings-Speicherung und EU-Server.
- Conditional Access und Login-Trennung. Mitarbeitende dürfen KI nur über das Firmen-Konto verwenden, nicht über private Accounts. Damit landet auch nichts im privaten Verlauf.
- Logging der Nutzung. Wer wann welche KI eingesetzt hat, ist im Streitfall der entscheidende Nachweis. Moderne Identity-Lösungen können das ohne großen Aufwand aufzeichnen.
Eine ehrliche Einschätzung: Nicht jeder Betrieb braucht alles davon. Eine zwölf-Personen-Werbeagentur kommt mit klaren Regeln und Geschäftsversionen weit. Eine 40-Personen-Steuerberatung sollte zusätzlich die technische Trennung sauber haben.
Fazit
AI-Governance im Mittelstand ist 2026 keine Option mehr. Sie ist der Brückenkopf zwischen DSGVO, EU AI Act und der Realität in den Betrieben, in denen ChatGPT längst läuft. Drei Seiten Regelwerk, eine kurze Schulung pro Jahr und ein paar technische Eckpfeiler reichen für die meisten KMU aus.
Was es braucht, ist nicht mehr Bürokratie, sondern Klarheit. Wenn Sie wissen wollen, wie eine pragmatische AI-Richtlinie für Ihren Betrieb aussehen kann und welche technischen Bausteine sinnvoll sind, sprechen Sie uns an. Wir analysieren Ihre aktuelle KI-Nutzung in einem Erstgespräch und zeigen, wo der größte Hebel liegt – kostenfrei und ohne Fachchinesisch.
