KI-Einstieg für Unternehmen: Die ersten 5 Schritte, bevor Sie ein Tool wählen
Sie wissen, dass KI kommt. Oder besser gesagt: Sie ist schon da. Vielleicht haben Sie den Entschluss gefasst, KI offiziell einzuführen. Vielleicht hat ein Mandant gefragt, ob Sie KI nutzen. Vielleicht haben Sie einfach mitbekommen, dass Ihre Mitarbeiter längst ChatGPT verwenden.
In jedem Fall stellt sich dieselbe Frage: Wo fange ich an?
Die meisten Unternehmen starten falsch. Sie kaufen Lizenzen. Copilot, ChatGPT Team, was auch immer der IT-Dienstleister empfiehlt. Tool ausgerollt, fertig. Und drei Monate später stellen sie fest, dass Berechtigungen ein Durcheinander sind, keine Richtlinie existiert und die DSGVO-Seite komplett offen ist.
Ich sehe das immer wieder. Deshalb habe ich die fünf Schritte aufgeschrieben, die vor der Toolwahl stehen. In dieser Reihenfolge.
Schritt 1: Finden Sie heraus, was Ihre Mitarbeiter bereits nutzen
Bevor Sie über ein neues Tool nachdenken, müssen Sie wissen, was schon im Einsatz ist. Und ich meine nicht die offiziell freigegebenen Programme.
Fragen Sie Ihre Mitarbeiter direkt. Ohne Vorwurf, ohne Konsequenzen. Einfach: Welche KI-Tools nutzt ihr im Arbeitsalltag? Private ChatGPT-Accounts? Perplexity? DeepSeek? Browser-Erweiterungen, die Texte umschreiben?
Die Antworten werden Sie überraschen. Bei praktisch jedem Unternehmen, das ich mir anschaue, finde ich Tools, von denen die Geschäftsführung nichts wusste. Das ist kein Vorwurf an die Mitarbeiter. Die Tools sind nützlich, und es gibt keine offizielle Alternative. Also nehmen sie die inoffizielle.
Alternativ oder ergänzend: Schauen Sie in Ihre Firewall-Logs oder DNS-Anfragen. Domains wie chat.openai.com, gemini.google.com, perplexity.ai tauchen dort auf, wenn sie genutzt werden. Das gibt Ihnen ein Bild ohne Befragung.
Das Ergebnis dieses Schritts ist Ihre Shadow-AI-Baseline. Sie wissen jetzt, wo Sie stehen. Nicht wo Sie vermuten zu stehen. Ich habe das Thema Shadow AI in einem eigenen Beitrag ausführlich behandelt.
Schritt 2: Erstellen Sie eine Nutzungsrichtlinie
Bevor irgendein Tool offiziell eingeführt wird, brauchen Sie Spielregeln. Eine KI-Nutzungsrichtlinie beantwortet drei Fragen:
Welche Tools sind genehmigt? Nicht „KI ist okay”, sondern konkret. ChatGPT Team mit Unternehmenslizenz. Microsoft Copilot mit Enterprise Data Protection. Oder was auch immer Sie einsetzen wollen. Private Accounts für geschäftliche Daten sind nicht erlaubt.
Welche Daten dürfen eingegeben werden? Auch das muss spezifisch sein. Allgemeine Recherchefragen und Textentwürfe ohne personenbezogene Daten: in der Regel kein Problem. Mandantendaten, Finanzdaten, Vertragsinhalte: nur in genehmigte Tools mit Auftragsverarbeitungsvertrag. Manche Daten haben in keinem KI-Tool etwas verloren.
Was passiert bei einem Verstoß? Klar formuliert, nicht als Drohung. Mitarbeiter müssen wissen, dass es einen Prozess gibt. Und dass es eine Meldestelle gibt, wenn versehentlich Daten in ein falsches Tool eingegeben wurden. Fehler passieren. Wichtig ist, dass sie gemeldet werden.
Eine gute Richtlinie passt auf zwei bis drei Seiten. Sie wird in einer Teambesprechung vorgestellt, nicht als PDF per E-Mail verschickt und vergessen. Ich habe einen ausführlichen Beitrag zur KI-Nutzungsrichtlinie geschrieben, wenn Sie tiefer einsteigen wollen.
Schritt 3: Wählen Sie ein Tool nach Datenschutzkriterien
Jetzt, nach Schritt 1 und 2, dürfen Sie über Tools reden.
Die Auswahl basiert nicht auf Features. Nicht auf Marketing-Demos. Nicht darauf, was ein Kollege auf einer Messe gesehen hat. Die Auswahl basiert auf drei Fragen:
Gibt es einen Auftragsverarbeitungsvertrag (AVV)? Ohne AVV ist die Nutzung für personenbezogene Daten nicht DSGVO-konform. Punkt.
Wo werden die Daten verarbeitet? EU-Rechenzentren sind der Standard, den Sie brauchen. US-Verarbeitung ist möglich, wenn entsprechende Garantien existieren (Standardvertragsklauseln, Data Privacy Framework). Aber es verkompliziert alles.
Ist eine DSFA durchführbar? Sie müssen die Risiken der Verarbeitung bewerten können. Dafür brauchen Sie Transparenz vom Anbieter: Was passiert mit den Daten? Werden sie für Training verwendet? Wie lange werden sie gespeichert? Wer hat Zugriff?
Für Unternehmen, die bereits Microsoft 365 nutzen, ist Copilot oft die naheliegende Wahl. Nicht weil Microsoft die beste KI hat, sondern weil die Infrastruktur bereits steht: AVV, EU-Rechenzentren, Integration in bestehende Berechtigungsstrukturen. Aber Copilot muss konfiguriert werden. Ohne Konfiguration erbt Copilot jedes Berechtigungsproblem, das in Ihrem SharePoint existiert.
Ich habe die gängigen KI-Tools hinsichtlich ihrer DSGVO-Tauglichkeit verglichen. Das kann bei der Auswahl helfen.
Schritt 4: Compliance-Assessment durchführen
Sie haben jetzt ein Tool ausgewählt. Bevor es an Mitarbeiter ausgerollt wird, kommt die Prüfung. Eine DSFA nach Art. 35 DSGVO. Eine Berechtigungsprüfung, wenn das Tool auf bestehende Unternehmensressourcen zugreift (bei Copilot ist das SharePoint, OneDrive, Teams, Exchange). Sensitivity Labels und DLP-Policies, die steuern, welche Daten das Tool einbeziehen darf.
Das ist der Schritt, bei dem ich ins Spiel komme. Nicht weil die Schritte 1 bis 3 trivial wären, sondern weil Schritt 4 technisch und regulatorisch zusammenkommt. Eine DSFA für ein KI-Tool ist kein Formular zum Ausfüllen. Sie müssen verstehen, wie das Tool Daten verarbeitet, wo die Risiken liegen und welche Maßnahmen die Risiken auf ein akzeptables Niveau senken.
Bei Copilot bedeutet das konkret: Berechtigungen in SharePoint und OneDrive prüfen. Sensitivity Labels erstellen oder anpassen. DLP-Policies konfigurieren. Sicherstellen, dass das Audit-Log aktiviert ist und die Nutzung nachvollziehbar bleibt. Testen, ob die Konfiguration hält, was sie soll.
Das klingt nach viel. In der Praxis ist es eine Sache von Tagen. Wenn die Microsoft-365-Infrastruktur sauber aufgesetzt ist, geht es schneller. Wenn die Berechtigungen ein Durcheinander sind (was häufig vorkommt), dauert es etwas länger. Aber es bleibt überschaubar.
Schritt 5: Pilotgruppe starten, dann erweitern
Rollen Sie das Tool nicht an alle gleichzeitig aus. Starten Sie mit einer kleinen Gruppe. Fünf Personen, vielleicht zehn. Mitarbeiter, die motiviert sind und die bereit sind, Feedback zu geben.
Die Pilotphase dient nicht nur dem Testen der Technik. Sie dient dem Testen der Richtlinie. Sind die Regeln verständlich? Gibt es Situationen, die die Richtlinie nicht abdeckt? Nutzen die Mitarbeiter das Tool so, wie Sie es sich vorgestellt haben? Oder umgehen sie Einschränkungen, weil sie unpraktisch sind?
Sammeln Sie Feedback nach zwei bis vier Wochen. Passen Sie Labels, DLP-Policies und die Richtlinie an, wenn nötig. Dann erweitern Sie schrittweise.
Dieses Vorgehen hat einen weiteren Vorteil: Die Pilotgruppe wird zu Ihren internen KI-Experten. Die Kollegen, die es zuerst genutzt haben und die den anderen zeigen können, wie es funktioniert. Das ist effektiver als jede Schulung von außen.
Was Sie nicht tun sollten
Überspringen Sie nicht Schritt 1 und 2 und gehen direkt zu Schritt 3. Die meisten Unternehmen machen genau das. Tool kaufen, Lizenzen verteilen, irgendwann über Compliance nachdenken. Das führt zuverlässig zu Problemen.
Kaufen Sie keine Lizenzen, bevor das Compliance-Assessment abgeschlossen ist. Lizenzen kosten Geld. Wenn die Prüfung ergibt, dass Ihre SharePoint-Berechtigungen zuerst aufgeräumt werden müssen, stehen die Lizenzen monatelang ungenutzt herum.
Und gehen Sie nicht davon aus, dass Ihr IT-Dienstleister die DSGVO-Seite abdeckt. IT-Dienstleister konfigurieren Software. DSGVO-Compliance ist ein anderes Fach. Die meisten IT-Häuser richten Copilot technisch ein und überlassen die Datenschutzseite dem Kunden. Das ist keine Kritik an IT-Dienstleistern. Es ist einfach nicht ihr Kerngeschäft.
So arbeite ich
Mein Engagement folgt genau diesen fünf Schritten. Bestandsaufnahme der aktuellen KI-Nutzung. Nutzungsrichtlinie erstellen oder prüfen. Tool-Bewertung nach Datenschutzkriterien. Compliance-Assessment mit DSFA, Berechtigungsprüfung, Labeling, DLP. Begleitung der Pilotphase.
Das ist ein strukturierter Prozess mit klarem Anfang und Ende. Kein laufender Beratungsvertrag, der sich über Monate zieht.
Wenn Sie nicht wissen, wo Sie anfangen sollen: Fangen Sie bei Schritt 1 an. Und wenn Sie dabei Unterstützung brauchen, melden Sie sich.
Termin buchen: 30 Minuten KI-Compliance-Einschätzung
Oder starten Sie mit dem KI-Compliance-Check. Zwei Minuten, und Sie wissen, wo Handlungsbedarf besteht.
Jose Lugo ist CISSP-zertifizierter KI-Compliance-Berater mit Sitz in Deutschland. Er unterstützt Steuerberater, Kanzleien und Finanzberater bei der DSGVO-konformen Einführung von KI-Tools. Mehr unter joselugo.de und unter Leistungen.