KI-Tools im Unternehmen: 7 Schritte für Auswahl, Einkauf & Einführung

Warum KI-Projekte mehr sind als ein IT-Thema

Viele Unternehmen starten mit einem spontanen Test: Ein Team probiert ein KI-Tool aus, die Ergebnisse sind beeindruckend – und plötzlich steht die Frage im Raum, wie man das Ganze „offiziell“ einführt.

Genau hier entstehen Risiken.

KI-Projekte betreffen nicht nur die IT. Sie greifen in Prozesse ein, verändern Entscheidungsstrukturen und können rechtliche Pflichten auslösen. Je stärker ein System in operative Abläufe oder sogar in Entscheidungsprozesse eingreift, desto höher sind die Anforderungen an Governance, Dokumentation und Kontrolle.

Wer KI erfolgreich einsetzen will, sollte sie deshalb als Management- und Compliance-Projekt verstehen – nicht als reines Software-Upgrade.

1. Die richtige Grundlage: Strategie vor Tool-Auswahl

Bevor Anbieter verglichen oder Lizenzen verhandelt werden, sollte Klarheit über das eigentliche Ziel herrschen.

Hilfreiche Leitfragen sind:

• Welches Problem soll konkret gelöst werden?
• Welche Prozesse verändern sich durch den KI-Einsatz?
• Welche Rolle übernimmt die KI – unterstützend, prüfend oder automatisiert entscheidend?
• Wie kritisch ist der betroffene Geschäftsprozess?
• Wie messen wir den Erfolg (KPI, Wirtschaftlichkeit, Effizienz)?

Ein häufiger Fehler ist es, mit dem Tool zu beginnen – statt mit dem Use Case.

KI-Governance von Anfang an etablieren

Bereits in der Planungsphase sollten klare Strukturen geschaffen werden:

• Benennung von Verantwortlichen (Owner)
• Dokumentation der KI-Strategie
• Einrichtung eines interdisziplinären Gremiums (IT, Legal, Fachbereich, HR)
• Aufbau eines KI-Verzeichnisses

Ein solches Verzeichnis sorgt für Transparenz: Welche KI-Systeme sind im Einsatz? In welchen Abteilungen? Mit welchem Zweck? Wer trägt die Verantwortung?

Diese Übersicht ist nicht nur organisatorisch sinnvoll, sondern auch regulatorisch zunehmend relevant.

2. KI-Einkauf: Vertrag, Lizenz und Risikoprüfung

Ist der Anwendungsfall definiert, beginnt der strukturierte Einkauf. Dabei geht es um deutlich mehr als den Preis.

Zentrale Fragen beim KI-Einkauf

• Welches Modell wird konkret genutzt?
• Welche Lizenzform ist erforderlich?
• Wo werden Daten verarbeitet?
• Gibt es besondere regulatorische Anforderungen?
• Wie wird die Nutzung dokumentiert?

Besonders kritisch ist die Vertragsprüfung.

Dabei sollten unter anderem folgende Punkte geprüft werden:

• Umfang der Nutzungsrechte
• Datenschutz- und IT-Sicherheitsstandards
• Leistungsbeschreibung und Service Levels
• Haftung und Gewährleistung
• Open-Source-Komponenten
• Regelungen zur Beendigung und Datenrückgabe (Exit)

Gerade bei generativen KI-Systemen ist entscheidend, ob und in welcher Form Eingaben weiterverarbeitet oder für Trainingszwecke genutzt werden.

Ein professioneller KI-Einkauf unterstützt Fachbereiche und IT durch klare Checklisten und definierte Freigabeprozesse.

3. Vor dem Rollout: Der Compliance-Check

Bevor ein KI-Tool produktiv eingesetzt wird, sollte eine strukturierte Vorabprüfung erfolgen.

Typische Prüffelder sind:

• Datenschutz-Compliance
• IT-Sicherheit
• Geheimnisschutz
• Bewertung nach der KI-Verordnung (AI Act)
• Beteiligungsrechte des Betriebsrats
• Fragen zu Feintuning und Training

Datenschutz richtig einordnen

KI-Systeme verarbeiten Daten in unterschiedlichen Phasen – von der Eingabe über mögliche Trainingsschritte bis zur Nutzung des Outputs.

Je nach Konstellation kommen unterschiedliche Rechtsgrundlagen in Betracht, etwa:

• Einwilligung
• Berechtigtes Interesse
• Vertragserfüllung

Jede dieser Grundlagen erfordert eine eigene Prüfung, Dokumentation und Transparenz.

Unternehmen sollten zudem sicherstellen, dass Mitarbeitende klar wissen, welche Daten sie in KI-Systeme eingeben dürfen – und welche nicht.

4. IT-Sicherheit: Neue Risiken verstehen

KI-Systeme bringen eigene Angriffsszenarien mit sich. Dazu gehören etwa:

• Manipulation von Eingaben (Prompt Injection)
• Verfälschung von Trainingsdaten (Poisoning)
• Angriffe zur Offenlegung sensibler Informationen
• Umgehung von Schutzmechanismen durch minimale Änderungen

Deshalb braucht es sowohl technische als auch organisatorische Maßnahmen.

Technisch können beispielsweise umgesetzt werden:

• Sicheres Hosting
• Monitoring von Ausgaben
• Testen auf Angreifbarkeit

Organisatorisch sind unter anderem sinnvoll:

• Anpassung interner Richtlinien
• Vendor-Risk-Management
• KI-spezifische Vertragsklauseln
• Schulungen
• Business-Continuity-Pläne

KI-Sicherheit ist kein einmaliges Projekt, sondern ein laufender Prozess.

5. Betriebsrat und interne Beteiligung

Sobald KI-Systeme Verhaltens- oder Leistungsdaten erfassen, können Mitbestimmungsrechte ausgelöst werden.

Eine frühzeitige Information und Einbindung des Betriebsrats reduziert Konfliktpotenzial erheblich.

Auch unabhängig von formalen Mitbestimmungsrechten ist Transparenz entscheidend. Mitarbeitende müssen verstehen:

• Wofür das System eingesetzt wird
• Welche Daten verarbeitet werden
• Welche Auswirkungen die Nutzung hat

Vertrauen ist ein zentraler Erfolgsfaktor jeder KI-Einführung.

6. Urheberrecht: Input und Output richtig behandeln

KI-Systeme arbeiten mit Inhalten – und diese unterliegen häufig urheberrechtlichem Schutz.

Unternehmen sollten klare Regeln definieren:

Was darf in die KI eingegeben werden?

• Eigene Inhalte zur Überarbeitung
• Gemeinfreie Werke
• Selbst erstellte Prompts

Bei fremden, geschützten Werken ist Vorsicht geboten.

Wem gehören KI-generierte Inhalte?

Reine KI-Outputs sind in der Regel nicht automatisch urheberrechtlich geschützt. Schutz kann entstehen, wenn eine intensive menschliche Nachbearbeitung erfolgt.

Werden bestehende Werke reproduziert oder übersetzt, bleiben die Rechte beim ursprünglichen Urheber.

Ohne klare interne Regeln entstehen hier schnell rechtliche Unsicherheiten.

7. Operativer Einsatz: Governance dauerhaft verankern

Mit dem Go-live beginnt die eigentliche Arbeit.

Vor dem operativen Einsatz sollte geklärt sein:

• Ist die Nutzung intern geregelt?
• Gibt es definierte Use Cases mit Freigabeprozess?
• Werden KI-generierte Inhalte gekennzeichnet?
• Ist ein Change-Management-Prozess etabliert?
• Wird die Nutzung überwacht und dokumentiert?

Eine KI-Nutzungsrichtlinie schafft hier Klarheit und Verbindlichkeit.

Sie sollte sowohl allgemeine Leitplanken als auch tool-spezifische Vorgaben enthalten.

Fazit: Erfolgreiche KI beginnt mit Struktur

KI kann enorme Effizienz- und Innovationspotenziale freisetzen. Doch ohne klare Prozesse entstehen Haftungsrisiken, Datenschutzprobleme und interne Konflikte.

Die erfolgreiche Einführung von KI-Tools erfordert:

• Eine klare Strategie
• Strukturierte Einkaufsprozesse
• Sorgfältige Vertragsprüfung
• Compliance-Checks vor dem Rollout
• Laufende Governance im operativen Betrieb

Wer KI strategisch denkt, rechtlich absichert und organisatorisch sauber implementiert, verschafft seinem Unternehmen nicht nur technologische Vorteile – sondern nachhaltige Wettbewerbsstärke.