[{"data":1,"prerenderedAt":3620},["ShallowReactive",2],{"autor-page-nico-meyer":3,"autor-articles-nico-meyer":185},{"id":4,"title":5,"bioShort":6,"body":7,"company":152,"companyUrl":153,"description":154,"extension":155,"hasOccupation":156,"isGuest":157,"jobTitle":158,"knowsAbout":159,"meta":171,"name":5,"navigation":172,"path":173,"photo":174,"publications":175,"sameAs":180,"seo":181,"slug":182,"stem":183,"__hash__":184},"autoren\u002Fautoren\u002Fnico-meyer.md","Nico Meyer","Gründer von Code15. Baut seit 10+ Jahren Software für den Mittelstand – heute mit Fokus auf Private KI, RAG-Systeme und sichere KI-Einführung in regulierten Branchen.",{"type":8,"value":9,"toc":143},"minimark",[10,19,24,27,31,34,41,45,73,77,95,99],[11,12,13,14,18],"p",{},"Nico Meyer ist Gründer und Geschäftsführer der Code15 GmbH mit Sitz in Unstrut-Hainich, Thüringen. Er begleitet mittelständische Unternehmen seit über zehn Jahren bei der Konzeption, Entwicklung und dem Betrieb individueller Software-Systeme – seit 2024 mit klarem Schwerpunkt auf ",[15,16,17],"strong",{},"sicheren, internen KI-Plattformen"," für Branchen mit hohen Datenschutzanforderungen: Steuerkanzleien, Wirtschaftsprüfung, Anwaltskanzleien, Ingenieurbüros und produzierende Unternehmen.",[20,21,23],"h2",{"id":22},"werdegang","Werdegang",[11,25,26],{},"Nach Stationen als Fullstack Engineer in Produkt- und Beratungsumgebungen gründete Nico 2020 die Code15 GmbH. Schwerpunkte: Vue\u002FNuxt-basierte Web-Anwendungen, AWS-Architektur und Cost-Optimierung sowie – seit 2024 – produktionsreife KI-Systeme, die ausschließlich auf eigener Infrastruktur betrieben werden („Private KI\"). Code15 hat in dieser Zeit u. a. SUSS MicroTec, Agile Heroes und German Arrowheads bei Software- und Cloud-Vorhaben unterstützt und das eigene Private-KI-Programm mit definiertem 30-Tage-Go-Live entwickelt.",[20,28,30],{"id":29},"fokus-heute-private-ki-für-regulierte-branchen","Fokus heute: Private KI für regulierte Branchen",[11,32,33],{},"Die meisten KI-Tools, die heute in Unternehmen ankommen, lösen ein neues Problem aus: Sensible Daten landen unkontrolliert in US-Cloud-Diensten. 50 % der Mitarbeitenden nutzen laut Software AG bereits KI-Tools ohne Genehmigung; 38 % geben dabei sensible Daten ein. Die durchschnittliche Datenpanne kostet deutsche Unternehmen 3,87 Mio. €. Mit NIS2 (in Kraft seit 2024, Umsetzungsdruck 2026) haftet die Geschäftsführung im Zweifel persönlich.",[11,35,36,37,40],{},"Nicos Antwort darauf ist eine ",[15,38,39],{},"schlüsselfertige Private-KI-Plattform",": Chat plus Dokumentenwissen mit Quellenangabe, Rollen und Audit-Trail – betrieben on-prem, in EU-Cloud oder in der Kunden-Infrastruktur. Kein Datenabfluss, keine US-Provider-Abhängigkeit, keine Halluzinationen ohne Quellen. Liefermodell: definierter 30-Tage-Pilot mit klarem Scope statt offener Beratungsstunden.",[20,42,44],{"id":43},"schwerpunkte","Schwerpunkte",[46,47,48,55,61,67],"ul",{},[49,50,51,54],"li",{},[15,52,53],{},"Architektur und Betrieb"," von Private-KI-Systemen (LLM-Auswahl, RAG-Pipeline, Vector-DBs, Audit-Logging)",[49,56,57,60],{},[15,58,59],{},"DSGVO- und NIS2-konforme Einführung"," von KI in Unternehmen mit Mandantengeheimnis und besonderen Sorgfaltspflichten",[49,62,63,66],{},[15,64,65],{},"KI-Workshops für Geschäftsführung und IT-Verantwortliche"," – Use-Case-Discovery, Risiko-Mapping, Richtlinien-Templates",[49,68,69,72],{},[15,70,71],{},"Modernisierung bestehender Web-Systeme"," (Vue 2 → 3 \u002F Nuxt 3, AWS-Kostenoptimierung)",[20,74,76],{"id":75},"standpunkt","Standpunkt",[78,79,80],"blockquote",{},[11,81,82,83,86,87,90,91,94],{},"„Künstliche Intelligenz im Mittelstand scheitert selten an der Technik. Sie scheitert daran, dass niemand klar definiert, ",[15,84,85],{},"welches Wissen"," das System sehen darf, ",[15,88,89],{},"wer"," Antworten freigibt und ",[15,92,93],{},"wo"," die Daten am Ende liegen. Private KI ist die Antwort auf alle drei Fragen.\"",[20,96,98],{"id":97},"kontakt","Kontakt",[46,100,101,113,122,133],{},[49,102,103,106,107,112],{},[15,104,105],{},"Telefon:"," ",[108,109,111],"a",{"href":110},"tel:+491608405463","+49 160 8405463"," – werktags 9–18 Uhr, direkt mit Nico",[49,114,115,106,118],{},[15,116,117],{},"E-Mail:",[108,119,121],{"href":120},"mailto:info@code15.dev","info@code15.dev",[49,123,124,106,127],{},[15,125,126],{},"LinkedIn:",[108,128,132],{"href":129,"rel":130},"https:\u002F\u002Fwww.linkedin.com\u002Fin\u002Ffullstack-entwickler-nico-meyer",[131],"nofollow","fullstack-entwickler-nico-meyer",[49,134,135,106,138],{},[15,136,137],{},"GitHub:",[108,139,142],{"href":140,"rel":141},"https:\u002F\u002Fgithub.com\u002FIc3m4n34",[131],"Ic3m4n34",{"title":144,"searchDepth":145,"depth":145,"links":146},"",2,[147,148,149,150,151],{"id":22,"depth":145,"text":23},{"id":29,"depth":145,"text":30},{"id":43,"depth":145,"text":44},{"id":75,"depth":145,"text":76},{"id":97,"depth":145,"text":98},"Code15 GmbH","https:\u002F\u002Fcode15.dev","Nico Meyer ist Gründer und Geschäftsführer der Code15 GmbH mit Sitz in Unstrut-Hainich, Thüringen. Er begleitet mittelständische Unternehmen seit über zehn Jahren bei der Konzeption, Entwicklung und dem Betrieb individueller Software-Systeme – seit 2024 mit klarem Schwerpunkt auf sicheren, internen KI-Plattformen für Branchen mit hohen Datenschutzanforderungen: Steuerkanzleien, Wirtschaftsprüfung, Anwaltskanzleien, Ingenieurbüros und produzierende Unternehmen.","md","Software Engineer & KI-Berater",false,"Geschäftsführer Code15 GmbH",[160,161,162,163,164,165,166,167,168,169,170],"Private KI","On-Premise LLM","Retrieval-Augmented Generation","DSGVO-konforme KI","NIS2-Compliance","KI-Workshops Mittelstand","Vue.js","Nuxt","TypeScript","AWS Cloud-Architektur","Vector-Datenbanken",{},true,"\u002Fautoren\u002Fnico-meyer","\u002Fteam\u002Fnico-meyer.webp",[176],{"title":177,"venue":178,"date":179},"Private KI im Mittelstand – ohne Datenabfluss nach außen","Antenne Thüringen","2026-04",[129,140],{"description":154},"nico-meyer","autoren\u002Fnico-meyer","CA3_fRpzY7CdAJHl7InsCwksuCh8z13SWRnazliALy8",[186,346,438,563,689,1260,1555,1851,2145,2502,3130,3367],{"id":187,"title":188,"author":182,"body":189,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":330,"description":331,"draft":157,"extension":155,"faqItems":328,"format":332,"meta":333,"navigation":172,"path":334,"pillar":335,"readMinutes":336,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":338,"speakable":172,"stem":339,"tags":340,"__hash__":345},"wissen\u002Fwissen\u002Fglossar-on-prem-llm.md","On-Prem-LLM",{"type":8,"value":190,"toc":319},[191,202,206,226,230,233,237,257,261,281,285,288,292,307,311],[11,192,193,194,196,197,201],{},"Ein ",[15,195,188],{}," (englisch ",[198,199,200],"em",{},"on-premises Large Language Model",") ist ein Sprachmodell, das auf Hardware betrieben wird, die das Unternehmen selbst besitzt und kontrolliert – meist im eigenen Rechenzentrum oder in einem dedizierten Serverraum. Daten verlassen die Hardware-Umgebung nie; bei air-gapped Setups gibt es keine Internetverbindung.",[20,203,205],{"id":204},"wann-sich-on-prem-lohnt","Wann sich On-Prem lohnt",[46,207,208,214,220],{},[49,209,210,213],{},[15,211,212],{},"Hochsensible Daten"," (Mandantengeheimnis, Verteidigung, Pharma-FuE), bei denen selbst eine EU-Cloud zu viel Drittparteien-Beteiligung darstellt.",[49,215,216,219],{},[15,217,218],{},"Bestehende Operations-Reife"," in der eigenen IT für GPU-Hardware, Modell-Updates und Lastspitzen.",[49,221,222,225],{},[15,223,224],{},"Größenordnung ab 50–150 aktive Nutzende",", ab der Hardware-Investition gegen mehrjährige Cloud-Kosten konkurriert.",[20,227,229],{"id":228},"hardware-anforderungen-2026","Hardware-Anforderungen 2026",[11,231,232],{},"Die meisten Mittelstands-Use-Cases lassen sich mit 7B–17B-Open-Source-Modellen (Llama 4 Scout, Mistral, Qwen 3) auf einer einzelnen GPU mit 24–80 GB VRAM realisieren. Größere Modelle (Llama 4 Maverick 400B, DeepSeek-V3) benötigen mehrere GPUs der H100-Klasse. Die Investition reicht je nach Modellgröße und Skalierung von ca. 30.000 € bis 80.000 € einmalig für 50–150 aktive Nutzende; größere Setups liegen darüber.",[20,234,236],{"id":235},"vorteile-gegenüber-eu-cloud","Vorteile gegenüber EU-Cloud",[46,238,239,245,251],{},[49,240,241,244],{},[15,242,243],{},"Volle Hoheit"," über Daten, Konfigurationen und Modelle.",[49,246,247,250],{},[15,248,249],{},"Keine laufende Cloud-Rechnung",", dafür Hardware-Investition und Strom\u002FKühlung.",[49,252,253,256],{},[15,254,255],{},"Air-Gap möglich"," für regulatorisch besonders sensible Setups.",[20,258,260],{"id":259},"nachteile-und-risiken","Nachteile und Risiken",[46,262,263,269,275],{},[49,264,265,268],{},[15,266,267],{},"Operations-Aufwand:"," GPU-Treiber, Modell-Updates, Backup, Capacity-Planung erfordern reife IT-Funktionen oder einen Managed-Service-Partner.",[49,270,271,274],{},[15,272,273],{},"Eingeschränkte Skalierungs-Geschwindigkeit:"," Lastspitzen lassen sich nicht binnen Stunden abfangen.",[49,276,277,280],{},[15,278,279],{},"Modell-Auswahl beschränkt"," auf Open-Source und einige kommerzielle Modelle, die On-Prem-Lizenzen anbieten.",[20,282,284],{"id":283},"abgrenzung-zu-hybridem-setup","Abgrenzung zu hybridem Setup",[11,286,287],{},"In hybriden Architekturen läuft die Inferenz on-prem (sensible Daten verlassen das Unternehmen nie), während Vektorindex und Anwendungs-Backbone in der EU-Cloud betrieben werden. Diese Variante kombiniert die Datenkontrolle on-prem mit der Skalierungs-Bequemlichkeit der Cloud.",[20,289,291],{"id":290},"verwandte-begriffe","Verwandte Begriffe",[46,293,294,300],{},[49,295,296,299],{},[108,297,160],{"href":298},"\u002Fwissen\u002Fglossar-private-ki"," – die übergeordnete Konzeption.",[49,301,302,306],{},[108,303,305],{"href":304},"\u002Fwissen\u002Fglossar-rag","RAG"," – Architektur, die ein On-Prem-LLM für wissensbasierte Antworten erweitert.",[20,308,310],{"id":309},"vertiefung","Vertiefung",[11,312,313,314,318],{},"Hosting-Modell-Vergleich im Detail: ",[108,315,317],{"href":316},"\u002Fwissen\u002Fprivate-ki-leitfaden#hosting-modelle-im-detail","„Private KI für den Mittelstand: Der Leitfaden 2026\"",".",{"title":144,"searchDepth":145,"depth":145,"links":320},[321,322,323,324,325,326,327],{"id":204,"depth":145,"text":205},{"id":228,"depth":145,"text":229},{"id":235,"depth":145,"text":236},{"id":259,"depth":145,"text":260},{"id":283,"depth":145,"text":284},{"id":290,"depth":145,"text":291},{"id":309,"depth":145,"text":310},null,"2026-05-09","2026-05-06","Definition: On-Prem-LLM bezeichnet ein Sprachmodell, das auf Hardware betrieben wird, die das Unternehmen selbst kontrolliert – meist im eigenen Rechenzentrum, optional ohne Internetverbindung.","glossar",{},"\u002Fwissen\u002Fglossar-on-prem-llm","sicherheit","3","private-ki",{"title":188,"description":331},"wissen\u002Fglossar-on-prem-llm",[341,342,343,332,337,344],"on-prem-llm","on-premise","llm","mittelstand","HxKnmjUCHRcqpMloF0WZQ9quo8P0cia5nUjSr05aWtk",{"id":347,"title":160,"author":182,"body":348,"cover":328,"coverAlt":328,"dateModified":330,"datePublished":330,"description":430,"draft":157,"extension":155,"faqItems":328,"format":332,"meta":431,"navigation":172,"path":298,"pillar":335,"readMinutes":336,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":432,"speakable":172,"stem":433,"tags":434,"__hash__":437},"wissen\u002Fwissen\u002Fglossar-private-ki.md",{"type":8,"value":349,"toc":423},[350,355,359,379,383,386,390,393,395,415,417],[11,351,352,354],{},[15,353,160],{}," bezeichnet eine KI-Plattform, deren Betrieb in einer Infrastruktur erfolgt, die das Unternehmen selbst kontrolliert. Daten verlassen die Organisation während Verarbeitung und Speicherung nicht.",[20,356,358],{"id":357},"drei-hosting-varianten","Drei Hosting-Varianten",[46,360,361,367,373],{},[49,362,363,366],{},[15,364,365],{},"On-Premise:"," im eigenen Rechenzentrum, optional ohne Internetverbindung (air-gapped). Höchste Kontrolle, höchster Aufwand.",[49,368,369,372],{},[15,370,371],{},"Souveräne EU-Cloud:"," Hosting bei europäischen Anbietern (z. B. STACKIT, IONOS, Open Telekom Cloud). Kein US-Konzern in der Verarbeitungskette, kein Cloud-Act-Konflikt.",[49,374,375,378],{},[15,376,377],{},"Hybrid:"," Inferenz on-prem, Vektorindex und Anwendungs-Backbone in EU-Cloud. Balance aus Kontrolle und operativer Einfachheit.",[20,380,382],{"id":381},"abgrenzung-zu-öffentlichen-ki-diensten","Abgrenzung zu öffentlichen KI-Diensten",[11,384,385],{},"Private KI ist keine Lizenz für ChatGPT Enterprise, Microsoft 365 Copilot oder Google Gemini Enterprise. Diese Dienste laufen auf Infrastruktur von US-Konzernen. Sie sind als Auftragsverarbeitung zulässig, aber für Branchen mit Mandantengeheimnis (Steuerberatung, Wirtschaftsprüfung, Anwaltschaft) oder NIS2-Pflichten ist die strukturelle Datenkontrolle einer Private KI oft erforderlich.",[20,387,389],{"id":388},"typische-bestandteile","Typische Bestandteile",[11,391,392],{},"Eine produktive Private-KI-Plattform setzt sich aus mindestens fünf Bausteinen zusammen: Sprachmodell (LLM), Vektordatenbank, Ingestion-Pipeline, Anwendungs-Layer mit Rollen- und Rechte-Modell, Betriebs-Layer mit Monitoring und Audit-Log.",[20,394,291],{"id":290},[46,396,397,403,410],{},[49,398,399,402],{},[108,400,401],{"href":304},"RAG (Retrieval-Augmented Generation)"," – die Architektur hinter wissensbasierten KI-Antworten.",[49,404,405,409],{},[108,406,408],{"href":407},"\u002Fwissen\u002Fglossar-schatten-ki","Schatten-KI"," – das Problem, das Private KI strukturell löst.",[49,411,412,414],{},[108,413,188],{"href":334}," – die Hardware-Variante einer Private KI.",[20,416,310],{"id":309},[11,418,419,420,318],{},"Detaillierter Leitfaden mit Architektur, DSGVO\u002FNIS2 und 30-Tage-Pilot-Modell: ",[108,421,317],{"href":422},"\u002Fwissen\u002Fprivate-ki-leitfaden",{"title":144,"searchDepth":145,"depth":145,"links":424},[425,426,427,428,429],{"id":357,"depth":145,"text":358},{"id":381,"depth":145,"text":382},{"id":388,"depth":145,"text":389},{"id":290,"depth":145,"text":291},{"id":309,"depth":145,"text":310},"Definition: Private KI bezeichnet eine KI-Plattform, die ausschließlich auf vom Unternehmen kontrollierter Infrastruktur betrieben wird – on-prem, in souveräner EU-Cloud oder hybrid – und Daten nicht an US-Provider weitergibt.",{},{"title":160,"description":430},"wissen\u002Fglossar-private-ki",[337,332,435,342,436],"dsgvo","eu-cloud","idO8StEPZFshAkIWq3HYbuhV7TDfyq7QpTuZnynx_2U",{"id":439,"title":401,"author":182,"body":440,"cover":328,"coverAlt":328,"dateModified":330,"datePublished":330,"description":554,"draft":157,"extension":155,"faqItems":328,"format":332,"meta":555,"navigation":172,"path":304,"pillar":335,"readMinutes":336,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":556,"speakable":172,"stem":557,"tags":558,"__hash__":562},"wissen\u002Fwissen\u002Fglossar-rag.md",{"type":8,"value":441,"toc":546},[442,448,452,479,483,486,490,516,520,523,525,537,539],[11,443,444,447],{},[15,445,446],{},"Retrieval-Augmented Generation (RAG)"," ist die Architektur hinter wissensbasierten KI-Assistenten 2026. Sie verbindet ein Sprachmodell (LLM) mit einer Suche in vorab indexierten Dokumenten und ermöglicht Antworten mit klarer Quellenangabe.",[20,449,451],{"id":450},"funktionsprinzip-in-vier-schritten","Funktionsprinzip in vier Schritten",[453,454,455,461,467,473],"ol",{},[49,456,457,460],{},[15,458,459],{},"Frage in Vektor übersetzen."," Ein Embedding-Modell verwandelt die Frage in einen mathematischen Vektor, der den Sinn (nicht die Wörter) abbildet.",[49,462,463,466],{},[15,464,465],{},"Passende Textstellen suchen."," In einer Vektordatenbank werden die ähnlichsten Chunks aus den eigenen Dokumenten abgerufen, inklusive Quell-Metadaten und Permissions.",[49,468,469,472],{},[15,470,471],{},"Kontext + Frage an das LLM."," Das Modell bekommt die Anweisung, ausschließlich auf Basis der gelieferten Textstellen zu antworten und die Quelle zu zitieren.",[49,474,475,478],{},[15,476,477],{},"Antwort mit Quellenangabe."," Mitarbeitende sehen die Antwort plus den Verweis auf Datei, Seite und Datum – idealerweise klickbar zum Original.",[20,480,482],{"id":481},"warum-rag-halluzinationen-reduziert","Warum RAG Halluzinationen reduziert",[11,484,485],{},"Ein klassisches Sprachmodell „rät\" aus seinem Trainingswissen. Ein RAG-System wird angewiesen, sich an die mitgelieferten Quellen zu halten und „Ich weiß es nicht\" zu sagen, wenn nichts Passendes gefunden wurde. Das eliminiert Halluzinationen nicht vollständig, reduziert sie aber strukturell.",[20,487,489],{"id":488},"wichtige-bestandteile","Wichtige Bestandteile",[46,491,492,498,504,510],{},[49,493,494,497],{},[15,495,496],{},"Embedding-Modell:"," wandelt Fragen und Dokumenten-Chunks in Vektoren um.",[49,499,500,503],{},[15,501,502],{},"Vektordatenbank:"," speichert die Chunk-Vektoren mit Metadaten (Qdrant, Weaviate, pgvector sind 2026 Standard).",[49,505,506,509],{},[15,507,508],{},"Ingestion-Pipeline:"," zerlegt Dokumente in semantisch sinnvolle Chunks, übernimmt Permissions aus Quellsystemen, hält Updates inkrementell.",[49,511,512,515],{},[15,513,514],{},"Sprachmodell mit klarer Anweisung:"," generiert die endgültige Antwort.",[20,517,519],{"id":518},"häufige-implementierungs-fehler","Häufige Implementierungs-Fehler",[11,521,522],{},"Naives Chunking auf fester Wortzahl, fehlende Permissions, keine inkrementellen Updates und keine Evaluation – die vier Stolpersteine, an denen schwache RAG-Setups 2026 erkennbar sind.",[20,524,291],{"id":290},[46,526,527,532],{},[49,528,529,531],{},[108,530,160],{"href":298}," – die Plattform, in der RAG meistens läuft.",[49,533,534,536],{},[108,535,188],{"href":334}," – Sprachmodell-Variante für RAG.",[20,538,310],{"id":309},[11,540,541,542,318],{},"Schritt-für-Schritt-Erklärung mit Beispiel: ",[108,543,545],{"href":544},"\u002Fwissen\u002Frag-einfach-erklaert","„RAG einfach erklärt: Wie KI mit Ihren eigenen Daten arbeitet\"",{"title":144,"searchDepth":145,"depth":145,"links":547},[548,549,550,551,552,553],{"id":450,"depth":145,"text":451},{"id":481,"depth":145,"text":482},{"id":488,"depth":145,"text":489},{"id":518,"depth":145,"text":519},{"id":290,"depth":145,"text":291},{"id":309,"depth":145,"text":310},"Definition: RAG kombiniert ein Sprachmodell mit einer Suche in eigenen Dokumenten. Statt aus Trainingswissen zu raten, antwortet das Modell auf Basis abgerufener Textstellen mit Quellenangabe.",{},{"title":401,"description":554},"wissen\u002Fglossar-rag",[559,560,332,561,337],"rag","retrieval-augmented-generation","vektordatenbank","fpLC3mtmle5j4J0F-frjjASP4AwmHQN_gnNy1kTBaH8",{"id":564,"title":408,"author":182,"body":565,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":330,"description":679,"draft":157,"extension":155,"faqItems":328,"format":332,"meta":680,"navigation":172,"path":407,"pillar":335,"readMinutes":336,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":681,"speakable":172,"stem":682,"tags":683,"__hash__":688},"wissen\u002Fwissen\u002Fglossar-schatten-ki.md",{"type":8,"value":566,"toc":671},[567,575,579,609,613,616,620,623,627,653,655,662,664],[11,568,569,196,571,574],{},[15,570,408],{},[198,572,573],{},"Shadow AI",") bezeichnet die Nutzung öffentlicher KI-Dienste – ChatGPT, Claude, Gemini, Microsoft Copilot, AI-Wrapper-Tools – durch Mitarbeitende, ohne dass die IT- oder Compliance-Funktion davon Kenntnis hat oder sie genehmigt hat.",[20,576,578],{"id":577},"größenordnung-2026","Größenordnung 2026",[46,580,581,587,593,599],{},[49,582,583,586],{},[15,584,585],{},"Mehr als die Hälfte"," der Knowledge Worker in Deutschland, USA und UK nutzt KI-Tools, die ihre IT nicht kennt (Software AG „Chasing Shadows\" 2024, n=6.000).",[49,588,589,592],{},[15,590,591],{},"38 %"," aller Mitarbeitenden geben sensible Daten in KI-Tools ein – Mandantenakten, Kalkulationen, Strategiepapiere, Quellcode (CybSafe \u002F NCA „Oh Behave!\" 2024, n>7.000).",[49,594,595,598],{},[15,596,597],{},"17 %"," der Unternehmen haben automatisierte technische Controls (Blocking\u002FScanning), die das Hochladen vertraulicher Daten in öffentliche KI-Tools verhindern (IBM Cost of a Data Breach Report 2025).",[49,600,601,604,605,608],{},[15,602,603],{},"97 %"," der Unternehmen mit KI-Sicherheitsvorfall hatten keine sauberen AI-Access-Controls; ",[15,606,607],{},"63 %"," haben gar keine AI-Governance-Policy (IBM 2025).",[20,610,612],{"id":611},"warum-schatten-ki-ein-compliance-problem-ist","Warum Schatten-KI ein Compliance-Problem ist",[11,614,615],{},"Die DSGVO verlangt Kontrolle über Datenflüsse und Auftragsverarbeitung. Schatten-KI bricht diese Kontrolle, weil Daten unbemerkt an Drittstaaten-Provider abfließen. NIS2 verschärft das Problem: Geschäftsführung muss Cyber-Risiken aktiv managen und haftet im Schadensfall persönlich. Eine unkontrollierte KI-Nutzung ist 2026 in einem NIS2-Audit nicht verteidigbar.",[20,617,619],{"id":618},"warum-verbote-nicht-funktionieren","Warum Verbote nicht funktionieren",[11,621,622],{},"Mitarbeitende nutzen Schatten-KI, weil sie damit Zeit sparen – täglich, spürbar. Verbote werden in der Praxis umgangen über private Geräte, persönliche Browser-Profile und alternative Tools. Die einzige strukturell wirksame Antwort ist eine offizielle, gleich gute oder bessere KI-Plattform.",[20,624,626],{"id":625},"eindämmungs-maßnahmen","Eindämmungs-Maßnahmen",[46,628,629,635,641,647],{},[49,630,631,634],{},[15,632,633],{},"Offizielle Private-KI-Plattform"," mit ChatGPT-Niveau-UX als attraktive Alternative.",[49,636,637,640],{},[15,638,639],{},"KI-Richtlinie"," auf einer Seite, die explizit erlaubt, was erlaubt ist – nicht nur verbietet.",[49,642,643,646],{},[15,644,645],{},"Audit-Log"," auf der offiziellen Plattform für NIS2-Nachweis.",[49,648,649,652],{},[15,650,651],{},"Anonyme Bestandsaufnahme"," statt repressiver Sanktionen, um echte Sichtbarkeit zu schaffen.",[20,654,291],{"id":290},[46,656,657],{},[49,658,659,661],{},[108,660,160],{"href":298}," – die strukturelle Antwort auf Schatten-KI.",[20,663,310],{"id":309},[11,665,666,667,318],{},"Praxisleitfaden mit Studienlage und Eindämmungsplan: ",[108,668,670],{"href":669},"\u002Fwissen\u002Fschatten-ki-eindaemmen","„Schatten-KI im Unternehmen: 50 % nutzen sie heimlich – was tun?\"",{"title":144,"searchDepth":145,"depth":145,"links":672},[673,674,675,676,677,678],{"id":577,"depth":145,"text":578},{"id":611,"depth":145,"text":612},{"id":618,"depth":145,"text":619},{"id":625,"depth":145,"text":626},{"id":290,"depth":145,"text":291},{"id":309,"depth":145,"text":310},"Definition: Schatten-KI bezeichnet die ungenehmigte Nutzung öffentlicher KI-Dienste durch Mitarbeitende, ohne Wissen oder Freigabe der IT- oder Compliance-Funktion.",{},{"title":408,"description":679},"wissen\u002Fglossar-schatten-ki",[684,685,332,435,686,687],"schatten-ki","shadow-ai","nis2","compliance","BH-lg9v3PiaSMXvrZyS67fob-7AWAA_qApqtp0AXYdE",{"id":690,"title":691,"author":182,"body":692,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":330,"description":1220,"draft":157,"extension":155,"faqItems":1221,"format":1246,"meta":1247,"navigation":172,"path":1248,"pillar":1249,"readMinutes":1250,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":1251,"speakable":172,"stem":1252,"tags":1253,"__hash__":1259},"wissen\u002Fwissen\u002Fki-einfuehrung-mittelstand.md","KI im Mittelstand einführen: Das 30-Tage-Playbook",{"type":8,"value":693,"toc":1207},[694,701,712,719,723,730,733,753,757,760,786,789,793,796,830,833,837,840,870,873,877,884,904,911,915,918,950,957,961,964,984,987,991,1001,1090,1094,1097,1135,1139,1142,1162,1165,1169,1173,1201],[11,695,696,697,700],{},"KI ist 2026 in jedem deutschen Mittelstandsunternehmen Thema. Was unterscheidet die Unternehmen, bei denen es ",[15,698,699],{},"funktioniert",", von denen, bei denen seit zwei Jahren über KI geredet wird, ohne dass etwas läuft?",[11,702,703,704,707,708,711],{},"Eine einzige Beobachtung aus der Praxis: Es liegt ",[15,705,706],{},"nicht"," an Strategie, Budget oder Technik. Es liegt am ",[15,709,710],{},"Vorgehensmodell",". Unternehmen, die KI erfolgreich einführen, machen einen sehr konkreten Pilot in 30 Tagen, lernen daraus und skalieren in monatlichen Iterationen. Unternehmen, die sich mit Strategiepapieren, Vendor-Auswahl-Marathons und 12-Monats-Pilotprojekten aufhalten, sehen 24 Monate später noch keine produktive Plattform.",[11,713,714,715,718],{},"Dieser Leitfaden ist das ",[15,716,717],{},"30-Tage-Playbook"," aus über zwei Dutzend Mittelstands-Einführungen in Kanzleien, Ingenieurbüros, produzierenden Unternehmen und wissensintensiven Dienstleistern. Er richtet sich an Geschäftsführung, IT-Leitung und Compliance-Verantwortliche.",[20,720,722],{"id":721},"warum-30-tage-und-nicht-6-monate","Warum 30 Tage – und nicht 6 Monate",[11,724,725,726,729],{},"Mittelstands-KI-Projekte scheitern selten an Komplexität. Sie scheitern an ",[15,727,728],{},"Reife-Asymmetrie",": Die Beratung will reifen Scope, das Unternehmen lernt aber erst durch Nutzung, was es eigentlich braucht. Sechs Monate Strategiepapier produzieren sechs Monate Annahmen. Dreißig Tage produktive Nutzung produzieren echtes Wissen.",[11,731,732],{},"Drei Effekte, die das 30-Tage-Modell strukturell richtig löst:",[46,734,735,741,747],{},[49,736,737,740],{},[15,738,739],{},"Schneller Lernzyklus."," Mitarbeitende geben nach 14 Tagen echter Nutzung besseres Feedback als nach 4 Stunden Workshop.",[49,742,743,746],{},[15,744,745],{},"Kalkulierbare Investition."," Geschäftsführung freigibt 30-Tage-Pilot deutlich leichter als 6-Monats-Vorhaben mit unklarem Ende.",[49,748,749,752],{},[15,750,751],{},"Schatten-KI-Konkurrenz."," In 30 Tagen verfestigt sich Schatten-KI weiter, wenn nichts passiert. In 30 Tagen kann eine offizielle Alternative live sein und ziehen.",[20,754,756],{"id":755},"voraussetzungen-bevor-sie-loslegen","Voraussetzungen, bevor Sie loslegen",[11,758,759],{},"Vier Punkte, die in der Vorbereitungswoche geklärt sein müssen. Ohne sie wird der Pilot uneinheitlich:",[453,761,762,768,774,780],{},[49,763,764,767],{},[15,765,766],{},"Sponsor in der Geschäftsführung."," Eine Person, die budgetär entscheidet und Hindernisse aus dem Weg räumt. Nicht delegierbar.",[49,769,770,773],{},[15,771,772],{},"Technischer Champion."," Eine Person aus IT-Leitung oder Entwicklung, die im Pilot operativ verantwortlich ist und Übergabe in den Betrieb sichert.",[49,775,776,779],{},[15,777,778],{},"Pilotgruppe."," 5–15 Mitarbeitende aus der fachlichen Praxis, die freiwillig mitmachen. Frühanwender, nicht Skeptiker (Skeptiker kommen in Sprint 2).",[49,781,782,785],{},[15,783,784],{},"Datenschutz- und ggf. Betriebsrats-Frühansprache."," Nicht zur Freigabe, sondern zur Information. Eine späte Konfrontation kann sechs Wochen kosten.",[11,787,788],{},"Wer eines dieser vier Elemente nicht aufstellen kann, braucht zuerst einen 2–4-Stunden-Workshop, um die Voraussetzungen zu schaffen – nicht den Pilot zu starten.",[20,790,792],{"id":791},"woche-1-scope-und-erfolgskriterien","Woche 1 – Scope und Erfolgskriterien",[11,794,795],{},"Ziel: ein klar abgegrenzter Use-Case mit messbaren Erfolgskriterien. Inhalte:",[46,797,798,812,818,824],{},[49,799,800,803,804],{},[15,801,802],{},"Use-Case-Workshop (Tag 1–2):"," Geschäftsführung + Champion + 3–5 Pilotvertreter. 2 Stunden. Ergebnis: 1–2 priorisierte Use-Cases, klar abgegrenzt. Klassische Erstkandidaten:\n",[46,805,806,809],{},[49,807,808],{},"„Internes ChatGPT\" für tägliche Schreib- und Mail-Aufgaben",[49,810,811],{},"„Wissensassistent mit Quellen\" für Recherche in Verträgen, Akten, Verfahrensanweisungen",[49,813,814,817],{},[15,815,816],{},"Datenquellen-Inventur (Tag 3–4):"," Welche Systeme enthalten das Wissen, das der Use-Case braucht? Typisch sind 3–5 Quellen für 60–70 % des Werts. Mehr ist Anti-Pattern.",[49,819,820,823],{},[15,821,822],{},"Erfolgskriterien (Tag 5):"," drei messbare Punkte, z. B. „85 % der wiederkehrenden Recherchefragen werden in unter 30 Sekunden beantwortet\", „mindestens 60 % der Pilot-Nutzenden verwenden das System mindestens 3-mal\u002FWoche\", „kein dokumentierter Datenschutz-Vorfall im Pilot\".",[49,825,826,829],{},[15,827,828],{},"Risiko- und Compliance-Check (Tag 5):"," Gemeinsam mit Datenschutz: welche Daten werden im Pilot verarbeitet, welche AVV-Verträge sind nötig, welche Maßnahmen werden im Verzeichnis von Verarbeitungstätigkeiten ergänzt?",[11,831,832],{},"Out-of-Scope für Woche 1: Vendor-Vergleich, Proof of Concept, fertige KI-Strategie. Diese Dinge entstehen aus dem Pilot, nicht davor.",[20,834,836],{"id":835},"woche-2-setup-und-datenanbindung","Woche 2 – Setup und Datenanbindung",[11,838,839],{},"Ziel: lauffähige Plattform mit ersten 3–5 Datenquellen. Inhalte:",[46,841,842,852,858,864],{},[49,843,844,847,848,851],{},[15,845,846],{},"Plattform-Setup (Tag 1–2):"," LLM-Auswahl (Open-Source-Modell wie Llama 4 \u002F Mistral Large \u002F Qwen 3 oder EU-gehostetes Mistral Le Chat Enterprise \u002F Aleph Alpha Pharia), Vektordatenbank (typisch Qdrant), Anwendungs-Layer mit Authentifizierung. Hosting-Modell: on-prem, EU-Cloud oder hybrid – Auswahl ist eine Konsequenz aus Datensensibilität und vorhandener Infrastruktur (siehe ",[108,849,850],{"href":316},"Hosting-Modelle im Detail",").",[49,853,854,857],{},[15,855,856],{},"Ingestion-Pipeline (Tag 3–4):"," Erste 3–5 Datenquellen anbinden. PDF-OCR, DOCX-Parsing, ggf. Confluence\u002FSharePoint-Connector. Permissions aus Quellsystemen mit übernehmen – sonst zeigt die KI jedem alles.",[49,859,860,863],{},[15,861,862],{},"Rollen- und Rechte-Modell (Tag 4–5):"," Auf der Plattform: Pilotgruppe definieren, Admin-Rolle benennen, Datenklassen abbilden.",[49,865,866,869],{},[15,867,868],{},"Audit-Log und Backup (Tag 5):"," Logging muss vor Tag 1 der Pilotnutzung aktiv sein. Kein Logging = kein NIS2-Nachweis und keine Lernschleife.",[11,871,872],{},"Anti-Pattern: „Wir machen die Datenanbindung nach dem Pilot, im Pilot reicht ein Test-Datensatz.\" Folge: Pilot-Erkenntnisse sind nicht übertragbar, weil echte Datenstrukturen ganz andere Probleme bringen als Test-Daten.",[20,874,876],{"id":875},"woche-3-pilot-mit-echter-arbeit","Woche 3 – Pilot mit echter Arbeit",[11,878,879,880,883],{},"Ziel: 5–15 Pilotnutzende arbeiten ",[15,881,882],{},"mit echten Aufgaben"," auf der Plattform. Nicht „testen\", sondern arbeiten.",[46,885,886,892,898],{},[49,887,888,891],{},[15,889,890],{},"Kick-off-Session (Tag 1, 60 Min):"," Geschäftsführung kommuniziert Pilot-Auftrag, Champion zeigt System, Pilotgruppe bekommt Zugang und einen Spickzettel mit guten Beispiel-Prompts.",[49,893,894,897],{},[15,895,896],{},"Tägliche Nutzung (Tag 2–10):"," Pilotgruppe nutzt das System für reale Aufgaben. Kanal für Feedback (Slack, Teams, einfache E-Mail) bleibt offen.",[49,899,900,903],{},[15,901,902],{},"Iterations-Mid-Point (Tag 5):"," 30-Minuten-Stand-up. Was funktioniert? Was nicht? Welche Quellen fehlen? Welche Permissions sind falsch? Champion + Plattform-Partner ziehen Anpassungen direkt nach.",[11,905,906,907,910],{},"Erfahrungswert: zwischen Tag 3 und Tag 7 entsteht das ",[15,908,909],{},"erste „Aha\""," – ein Pilotnutzer, der sagt „Damit habe ich heute 90 Minuten gespart\". Diesen Moment dokumentieren – im Pilot-Bericht und in der internen Kommunikation. Er ist wertvoller als jede Statistik.",[20,912,914],{"id":913},"woche-4-übergabe-in-den-betrieb","Woche 4 – Übergabe in den Betrieb",[11,916,917],{},"Ziel: Pilot wird zum geregelten Betrieb. Inhalte:",[46,919,920,926,932,938,944],{},[49,921,922,925],{},[15,923,924],{},"Betriebs-Check (Tag 1–2):"," Backup, Monitoring, Update-Prozess, Capacity-Planung. Was passiert bei Ausfall? Wer ist Owner?",[49,927,928,931],{},[15,929,930],{},"KI-Richtlinie verabschieden (Tag 2):"," Eine DIN-A4-Seite, freigegeben durch Geschäftsführung. Was darf in welche KI? Wo nicht? Wer hilft im Zweifel? Veröffentlichung in Onboarding und im Intranet.",[49,933,934,937],{},[15,935,936],{},"Schulung für Pilot+1 (Tag 3–4):"," Die nächste Welle Mitarbeitende (typisch 30–50 Personen) bekommt eine 60-Minuten-Schulung mit Live-Demo durch einen erfahrenen Pilotnutzer (nicht durch Externe).",[49,939,940,943],{},[15,941,942],{},"Audit-Dokumentation (Tag 4):"," Verzeichnis von Verarbeitungstätigkeiten, AVV-Verträge, Datenschutz-Folgenabschätzung (wenn nötig), Audit-Log-Konzept – alles ablagefähig.",[49,945,946,949],{},[15,947,948],{},"30-Tage-Bericht (Tag 5):"," Geschäftsführung bekommt einen 1-Seiten-Bericht: Erfolgskriterien erreicht ja\u002Fnein, drei zentrale Lerninhalte, Empfehlung für Welle 2.",[11,951,952,953,956],{},"Mit Tag 30 läuft eine produktive Plattform. Sie ist nicht „fertig\" – sie ist im ",[15,954,955],{},"Betrieb",". Skalierung passiert ab Tag 31.",[20,958,960],{"id":959},"skalierung-in-monatlichen-iterationen-tag-31","Skalierung in monatlichen Iterationen (Tag 31+)",[11,962,963],{},"Ab dem Pilot-Ende übernimmt das Unternehmen Tempo und Reihenfolge. Drei Stränge laufen parallel weiter:",[46,965,966,972,978],{},[49,967,968,971],{},[15,969,970],{},"Mehr Datenquellen:"," Im Schnitt eine neue Quelle pro Monat (Confluence, DMS-Tiefe, Mail-Postfächer, Fachanwendung X). Reihenfolge ergibt sich aus Pilot-Feedback.",[49,973,974,977],{},[15,975,976],{},"Mehr Nutzende:"," Welle 2 nach 4 Wochen, Welle 3 nach 8 Wochen. Schulung jeweils durch interne Champions.",[49,979,980,983],{},[15,981,982],{},"Neue Use-Cases:"," Sobald Plattform stabil läuft, kommen Spezial-Anwendungen hinzu (E-Mail-Triage, Vertragsprüfung, Code-Review, je nach Branche).",[11,985,986],{},"Die Geschäftsführung sieht alle 4 Wochen einen 1-Seiten-Bericht: aktive Nutzende, Datenquellen, Erfolgs-KPIs, geplante nächste Schritte. Compliance bekommt die Audit-Log-Kennzahlen.",[20,988,990],{"id":989},"stakeholder-modell-für-ki-einführung","Stakeholder-Modell für KI-Einführung",[11,992,993,994,997,998,1000],{},"Erfolgreiche Einführungen haben ein klar verteiltes Stakeholder-Modell. Wer ",[15,995,996],{},"alles"," an die IT delegiert, scheitert. Wer ",[15,999,996],{}," an Compliance delegiert, scheitert ebenfalls.",[1002,1003,1004,1020],"table",{},[1005,1006,1007],"thead",{},[1008,1009,1010,1014,1017],"tr",{},[1011,1012,1013],"th",{},"Rolle",[1011,1015,1016],{},"Verantwortung",[1011,1018,1019],{},"Zeit-Investment",[1021,1022,1023,1035,1046,1057,1068,1079],"tbody",{},[1008,1024,1025,1029,1032],{},[1026,1027,1028],"td",{},"Geschäftsführung (Sponsor)",[1026,1030,1031],{},"Strategische Freigabe, Hindernisse räumen, Kommunikation an Belegschaft",[1026,1033,1034],{},"4–6 h pro Monat",[1008,1036,1037,1040,1043],{},[1026,1038,1039],{},"Technischer Champion (IT-Leitung)",[1026,1041,1042],{},"Plattform-Architektur, Betriebs-Übergabe, technische Eskalation",[1026,1044,1045],{},"1 Tag\u002FWoche im Pilot, 1 Tag\u002FMonat danach",[1008,1047,1048,1051,1054],{},[1026,1049,1050],{},"Datenschutzbeauftragte\u002Fr",[1026,1052,1053],{},"DSFA, AVV, Verzeichnis-Eintrag, Mitarbeiter-Richtlinie",[1026,1055,1056],{},"4–8 h für Pilot, dann ad hoc",[1008,1058,1059,1062,1065],{},[1026,1060,1061],{},"Pilotgruppe (5–15 Personen)",[1026,1063,1064],{},"Echte Nutzung, Feedback, interne Multiplikatoren",[1026,1066,1067],{},"2–3 h\u002FWoche zusätzlich",[1008,1069,1070,1073,1076],{},[1026,1071,1072],{},"Externer Partner",[1026,1074,1075],{},"Architektur, Plattform-Aufbau, Methodik, Knowhow-Transfer",[1026,1077,1078],{},"Schwerpunkt Pilot, dann monatlich",[1008,1080,1081,1084,1087],{},[1026,1082,1083],{},"Betriebsrat (wenn vorhanden)",[1026,1085,1086],{},"Mitarbeiter-Richtlinie freigeben, Mitbestimmung",[1026,1088,1089],{},"1 Sitzung im Vorfeld, danach ad hoc",[20,1091,1093],{"id":1092},"sechs-anti-patterns-die-ki-einführungen-zerstören","Sechs Anti-Patterns, die KI-Einführungen zerstören",[11,1095,1096],{},"Aus über zwei Dutzend Projekten sehen wir wiederkehrend dieselben Fehler. Wer diese sechs vermeidet, hat einen Riesenvorsprung:",[453,1098,1099,1105,1111,1117,1123,1129],{},[49,1100,1101,1104],{},[15,1102,1103],{},"„Wir machen erst eine KI-Strategie, dann den Pilot.\""," Strategiepapiere ohne Praxis bleiben Annahmen. Reihenfolge umkehren: Pilot zuerst, Strategie reift mit.",[49,1106,1107,1110],{},[15,1108,1109],{},"Use-Case-Inflation."," „Lass uns gleich 12 Anwendungsfälle parallel testen.\" Folge: nichts wird produktiv. Disziplin: 1–2 Use-Cases im Pilot.",[49,1112,1113,1116],{},[15,1114,1115],{},"Beratung ohne Implementierung."," „Wir lassen erst einen Berater einen Bericht schreiben.\" 6 Monate später: Bericht da, System nicht. Wenn schon Beratung, dann mit Implementierungs-Auftrag.",[49,1118,1119,1122],{},[15,1120,1121],{},"IT-only oder Compliance-only-Projekte."," Beide gehören zusammen. IT ohne Compliance produziert Risiken; Compliance ohne IT produziert Verbote, die nicht funktionieren.",[49,1124,1125,1128],{},[15,1126,1127],{},"Pilot mit Skeptikern."," Skeptiker werden im Pilot bestätigt, nicht überzeugt. Pilot mit Frühanwendern, Skeptiker in Welle 2 mit echten Erfolgs-Stories.",[49,1130,1131,1134],{},[15,1132,1133],{},"Lautlose Einführung."," „Wir wollen Erwartungen nicht zu hoch hängen.\" Ohne Sichtbarkeit gibt es keine Adoption-Welle. Lieber bewusst Erfolge feiern, intern und extern.",[20,1136,1138],{"id":1137},"drei-kpis-mit-denen-sie-ehrlich-messen","Drei KPIs, mit denen Sie ehrlich messen",[11,1140,1141],{},"Statt 25 KPIs eine schlanke Trias:",[453,1143,1144,1150,1156],{},[49,1145,1146,1149],{},[15,1147,1148],{},"Aktive Nutzende pro Woche."," Wie viele Personen nutzen das System mindestens 3-mal\u002FWoche? Frühindikator für Adoption.",[49,1151,1152,1155],{},[15,1153,1154],{},"Quellen-Anteil."," Wie viele KI-Antworten basieren nachweisbar auf eigenen Quellen (vs. allgemeinem Modellwissen)? Kernmetrik für RAG-Qualität.",[49,1157,1158,1161],{},[15,1159,1160],{},"Self-reported Time Saved."," Stichprobe nach Tag 30, 60, 90: „Wieviel Zeit sparst du pro Woche durch das System?\" Ehrliche Selbsteinschätzung schlägt jede Modellschätzung.",[11,1163,1164],{},"Diese drei reichen, um nach 12 Wochen eine fundierte Aussage zu treffen, ob der Pilot eine Welle 2 verdient.",[1166,1167],"wissen-lead-magnet-form",{"magnet":1168},"30-tage-ki-pilot-workbook",[20,1170,1172],{"id":1171},"wo-sie-als-nächstes-weiterlesen","Wo Sie als Nächstes weiterlesen",[46,1174,1175,1181,1188,1195],{},[49,1176,1177,1180],{},[108,1178,1179],{"href":422},"\"Private KI für den Mittelstand: Der Leitfaden 2026\""," – die Sicherheits- und Architektur-Seite des Themas.",[49,1182,1183,1187],{},[108,1184,1186],{"href":1185},"\u002Fwissen\u002Fki-workshop-geschaeftsfuehrer","\"KI-Workshop für Geschäftsführer: Agenda + Template\""," – die zwei bis vier Stunden, die typischerweise vor dem Pilot stattfinden.",[49,1189,1190,1194],{},[108,1191,1193],{"href":1192},"\u002Fwissen\u002Fki-richtlinie-mitarbeiter-template","\"KI-Richtlinie für Mitarbeiter: Template + Erklärung\""," – die DIN-A4-Seite, die in Woche 4 fertig sein muss.",[49,1196,1197,1200],{},[108,1198,1199],{"href":544},"\"RAG einfach erklärt\""," – die Technik hinter dem wissensbasierten Assistenten.",[11,1202,1203,1204],{},"Wer das 30-Tage-Modell für sein eigenes Unternehmen durchsprechen möchte: ",[15,1205,1206],{},"Direkt mit Nico Meyer, werktags 9–18 Uhr.",{"title":144,"searchDepth":145,"depth":145,"links":1208},[1209,1210,1211,1212,1213,1214,1215,1216,1217,1218,1219],{"id":721,"depth":145,"text":722},{"id":755,"depth":145,"text":756},{"id":791,"depth":145,"text":792},{"id":835,"depth":145,"text":836},{"id":875,"depth":145,"text":876},{"id":913,"depth":145,"text":914},{"id":959,"depth":145,"text":960},{"id":989,"depth":145,"text":990},{"id":1092,"depth":145,"text":1093},{"id":1137,"depth":145,"text":1138},{"id":1171,"depth":145,"text":1172},"Strukturierter Fahrplan für Geschäftsführung und IT-Leitung, um KI im eigenen Unternehmen produktiv und sicher einzuführen – ohne 12-Monats-Pilotprojekt und ohne Beratungs-Hängematte.",[1222,1225,1228,1231,1234,1237,1240,1243],{"label":1223,"content":1224},"Wie lange dauert eine ernsthafte KI-Einführung in einem Mittelstandsunternehmen?","Die produktive Erstinbetriebnahme einer Plattform liegt bei 30 Tagen. Die organisatorische Verankerung – Richtlinien, Schulung, Prozessintegration, Skalierung – läuft anschließend in monatlichen Iterationen über 6–12 Monate. Wer auf das fertige Strategiepapier wartet, bevor irgendwas live geht, hat in einem Jahr immer noch kein laufendes System.",{"label":1226,"content":1227},"Müssen wir vorher KI-Strategie, KI-Governance und Use-Case-Roadmap fertig haben?","Nein. Eine vorläufige KI-Richtlinie auf einer DIN-A4-Seite, ein priorisierter Use-Case und ein klar abgegrenzter 30-Tage-Pilot sind genug zum Starten. Strategie, Governance und Roadmap reifen mit dem Pilot. Wer alles vorher klären will, blockiert Lernen.",{"label":1229,"content":1230},"Welche Use-Cases starten am häufigsten?","Internes ChatGPT-Äquivalent für tägliche Schreib- und Recherche-Aufgaben (zieht Schatten-KI auf eine offizielle Plattform) und ein wissensbasierter Assistent mit Quellenangabe aus eigenen Dokumenten. Diese zwei decken anfangs 70–80 % des Wertes ab.",{"label":1232,"content":1233},"Wer im Unternehmen muss bei einer KI-Einführung dabei sein?","Sponsor in der Geschäftsführung, technischer Champion (IT-Leitung oder beauftragte\u002Fr Entwickler\u002Fin), 5–15 Pilotnutzende aus der fachlichen Praxis, Datenschutzbeauftragte\u002Fr für Reviews, Betriebsrat (sofern vorhanden) für die Mitarbeiter-Richtlinie. Externer Partner für Architektur, Plattform-Aufbau und Methodik.",{"label":1235,"content":1236},"Brauchen wir vor der KI-Einführung erst einen KI-Workshop?","Ein 2–4-Stunden-Workshop mit Geschäftsführung und Schlüsselpersonen ist sinnvoll, um Use-Cases zu priorisieren, Risiken zu erkennen und realistische Erfolgskriterien festzulegen. Mehrere Tage Workshop-Marathon ohne anschließenden Pilot sind dagegen verlorene Zeit.",{"label":1238,"content":1239},"Wie messen wir, ob die KI-Einführung erfolgreich ist?","Drei Zahlen reichen am Anfang: aktive Nutzende pro Woche, Anteil der Antworten mit verifizierter Quelle (bei wissensbasiertem Assistent), und Zeit-Ersparnis pro Use-Case (Stichprobe nach 30, 60, 90 Tagen). Komplexere Metriken kommen, sobald die Plattform 60+ Nutzende hat.",{"label":1241,"content":1242},"Was, wenn Mitarbeitende sich gegen KI sperren?","Skepsis ist berechtigt und ein wertvolles Frühwarnsignal. Wir empfehlen: keine Pflichtnutzung, sondern eine Pilotgruppe von Frühanwendern, deren Erfahrung in monatlichen Lunch-and-Learn-Formaten ins Unternehmen getragen wird. Adoption über Sog, nicht über Druck.",{"label":1244,"content":1245},"Wie viel kostet eine KI-Einführung im Mittelstand wirklich?","Hängt vom Setup ab. Faustregel: ein produktiver Pilot inkl. erster Datenanbindung liegt deutlich unter dem, was eine Datenpanne kostet. Laufende Betriebskosten skalieren mit Nutzendenzahl und Datenvolumen. Im Erstgespräch lässt sich der Rahmen für Ihren Fall in 30 Minuten konkretisieren.","pillar",{},"\u002Fwissen\u002Fki-einfuehrung-mittelstand","einfuehrung","15",{"title":691,"description":1220},"wissen\u002Fki-einfuehrung-mittelstand",[1254,1255,344,1256,1257,1258],"ki-einfuehrung","change-management","workshop","use-case","pilot","T6E3VXEeSg7Hql6Jk8UZ0fkxvjJXVAx6C6FDQ_hGzmM",{"id":1261,"title":1262,"author":182,"body":1263,"cover":328,"coverAlt":328,"dateModified":330,"datePublished":330,"description":1545,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":1547,"navigation":172,"path":1192,"pillar":1249,"readMinutes":1548,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":1549,"speakable":172,"stem":1550,"tags":1551,"__hash__":1554},"wissen\u002Fwissen\u002Fki-richtlinie-mitarbeiter-template.md","KI-Richtlinie für Mitarbeiter: Template auf einer Seite (mit Erklärung)",{"type":8,"value":1264,"toc":1527},[1265,1268,1275,1278,1290,1300,1306,1310,1313,1318,1325,1329,1336,1342,1346,1349,1352,1356,1363,1367,1373,1377,1380,1387,1391,1398,1402,1405,1429,1433,1436,1468,1471,1475,1478,1498,1500,1502,1522],[11,1266,1267],{},"Compliance-Abteilungen lieben es, KI-Richtlinien auszuarbeiten – und schreiben dabei manchmal Dokumente von 30+ Seiten, die Mitarbeitende nie lesen. Das Ergebnis: formal abgehakt, faktisch wirkungslos. Schatten-KI-Nutzung läuft weiter, weil niemand verstanden hat, was eigentlich erlaubt ist.",[11,1269,1270,1271,1274],{},"Dieser Artikel zeigt das Gegenmodell: eine ",[15,1272,1273],{},"KI-Richtlinie auf einer DIN-A4-Seite",", die jede Mitarbeiterin und jeder Mitarbeiter in zwei Minuten liest und in der Praxis tatsächlich anwenden kann. Plus die Begründung jeder Regel und die häufigsten Stolperstellen aus 2026.",[11,1276,1277],{},"Sie können die Vorlage direkt kopieren und auf Ihr Unternehmen anpassen.",[20,1279,1281,1282,1286,1287],{"id":1280},"vorlage-ki-richtlinie-unternehmensname-stand-monat-jahr","Vorlage: KI-Richtlinie ",[1283,1284,1285],"span",{},"Unternehmensname",", Stand ",[1283,1288,1289],{},"Monat Jahr",[1291,1292,1297],"pre",{"className":1293,"code":1295,"language":1296},[1294],"language-text","KI-RICHTLINIE [UNTERNEHMENSNAME] – Stand: [Monat Jahr]\n\nDiese Richtlinie beschreibt, wie wir KI im Arbeitsalltag nutzen.\nSie ist für alle Mitarbeitenden verbindlich. Bei Fragen wenden Sie sich an [Ansprechperson].\n\n1. WAS IST UNSERE OFFIZIELLE KI?\n   Wir nutzen [Plattformname] als interne KI-Plattform. Sie finden sie unter [URL].\n   Daten, die Sie dort eingeben, verlassen unser Unternehmen NICHT.\n   Der Zugang erfolgt mit Ihrem üblichen Login.\n\n2. WAS DARF IN DIE OFFIZIELLE KI?\n   Sie dürfen alle dienstlichen Inhalte verwenden, an denen Sie ohnehin arbeiten:\n     - E-Mails formulieren oder zusammenfassen\n     - Dokumente analysieren, übersetzen, umformulieren\n     - Mit unseren eigenen Akten \u002F Verträgen \u002F Dokumenten arbeiten\n     - Code-Aufgaben, Excel-Aufgaben, Recherche\n   Bei Mandanten-\u002FKundendaten: erlaubt – sie verlassen die Plattform nicht.\n\n3. WAS DARF NICHT IN ÖFFENTLICHE KI (ChatGPT, Claude, Gemini, Copilot, …)?\n   Niemals dort eingeben:\n     - Mandanten- oder Kundendaten (Namen, Akten, Verträge, Korrespondenz)\n     - Personaldaten (Gehälter, Beurteilungen, Bewerber)\n     - Strategische Unterlagen (Pricing, M&A, Roadmaps)\n     - Quellcode mit Geschäftslogik\n     - Zugangsdaten, API-Schlüssel, Passwörter\n   Allgemein-zugängliche Inhalte (öffentliche Texte, generelle Wissensfragen) dürfen Sie weiterhin in öffentlichen KI-Tools nutzen.\n\n4. WAS GILT, WENN ICH UNSICHER BIN?\n   Frage [Ansprechperson] (Slack\u002FTeams\u002FE-Mail) ODER nutze die offizielle Plattform – die ist immer sicher.\n\n5. WIE WIRD DAS GEPRÜFT?\n   Die offizielle Plattform protokolliert für Audit-Zwecke (NIS2\u002FDSGVO):\n   wer hat wann welche Frage gestellt, welche Quellen wurden genutzt.\n   Persönliche Browser-Verläufe oder private Geräte werden NICHT überwacht.\n\n6. WAS PASSIERT BEI VERSTÖSSEN?\n   Bei unbeabsichtigten Verstößen: Meldung an [Ansprechperson], gemeinsame Lösung, keine Sanktion.\n   Bei wiederholten\u002Fvorsätzlichen Verstößen mit sensiblen Daten: arbeitsrechtliche Konsequenzen sind möglich.\n\n7. WAS, WENN DIE OFFIZIELLE KI NICHT REICHT?\n   Sprechen Sie [Ansprechperson] an. Wir können neue Datenquellen anbinden oder einzelne\n   Spezialfälle freigeben.\n\nFreigegeben durch Geschäftsführung am [Datum].\n[Unterschrift]\n","text",[1298,1299,1295],"code",{"__ignoreMap":144},[1301,1302],"wissen-inline-cta",{"body":1303,"headline":1304,"location":1305},"Wir prüfen Ihre KI-Richtlinie in 30 Minuten und schlagen konkrete Anpassungen vor – ohne Verkaufsgespräch.","Vorlage an Ihre Organisation anpassen?","wissen_richtlinie_template_inline",[20,1307,1309],{"id":1308},"warum-diese-sieben-punkte-und-nichts-mehr","Warum diese sieben Punkte – und nichts mehr",[11,1311,1312],{},"Jeder Punkt der Vorlage adressiert ein konkretes Praxisproblem aus 2026. Hier die Begründung im Detail:",[1314,1315,1317],"h3",{"id":1316},"punkt-1-was-ist-unsere-offizielle-ki","Punkt 1 – Was ist unsere offizielle KI?",[11,1319,1320,1321,1324],{},"Mitarbeitende fragen sich nicht, ob sie KI nutzen sollen, sondern ",[15,1322,1323],{},"welche",". Wenn die Antwort auf diese Frage nicht in Satz eins steht, gewinnt ChatGPT. Eine offizielle Plattform mit Login-URL, klar genannt, ist das stärkste Anti-Schatten-KI-Signal.",[1314,1326,1328],{"id":1327},"punkt-2-was-darf-in-die-offizielle-ki","Punkt 2 – Was darf in die offizielle KI?",[11,1330,1331,1332,1335],{},"Der häufigste Fehler in defensiven Richtlinien: zu viele Verbote, zu wenige Erlaubnisse. Mitarbeitende lesen das und nutzen vorsichtshalber ",[15,1333,1334],{},"gar keine"," offizielle Plattform – sie greifen weiter zu ChatGPT, weil sie sich von dort weniger abgehört fühlen.",[11,1337,1338,1339,851],{},"Lösung: explizit listen, was erlaubt ist – inklusive sensibler Daten. Das funktioniert nur, wenn die Plattform datenschutzrechtlich tatsächlich sauber aufgesetzt ist (Stichwort ",[108,1340,1341],{"href":422},"Private-KI-Leitfaden",[1314,1343,1345],{"id":1344},"punkt-3-was-darf-nicht-in-öffentliche-ki","Punkt 3 – Was darf nicht in öffentliche KI?",[11,1347,1348],{},"Konkrete Negativ-Liste statt abstraktem „nichts Vertrauliches\". Ohne diese Liste bleibt unklar, was eigentlich gemeint ist – und Mitarbeitende treffen die Entscheidung individuell, oft falsch.",[11,1350,1351],{},"Wichtig: nicht die öffentliche KI komplett verbieten. Mitarbeitende, die ChatGPT für allgemeine Fragen nutzen, ist okay. Sie zu zwingen, dafür auch eine Inhouse-Plattform zu öffnen, demotiviert.",[1314,1353,1355],{"id":1354},"punkt-4-was-gilt-wenn-ich-unsicher-bin","Punkt 4 – Was gilt, wenn ich unsicher bin?",[11,1357,1358,1359,1362],{},"Die einfache Regel: ",[15,1360,1361],{},"„Im Zweifel die offizielle Plattform\""," entkoppelt das Mitarbeitenden-Hirn vom Risikomanagement-Denken. Statt „Ist das jetzt ein Berufsgeheimnis-Fall?\" reicht der Reflex: ist es etwas Dienstliches und ich bin unsicher → offizielle Plattform.",[1314,1364,1366],{"id":1365},"punkt-5-wie-wird-das-geprüft","Punkt 5 – Wie wird das geprüft?",[11,1368,1369,1370,1372],{},"Transparenz statt Misstrauen. Mitarbeitende vermuten ohnehin Audit-Logging – wenn die Richtlinie es ",[15,1371,706],{}," erwähnt, wirkt es heimlich. Wer es offen kommuniziert (mit klarer Abgrenzung „private Geräte werden nicht überwacht\"), nimmt der Plattform den Big-Brother-Verdacht.",[1314,1374,1376],{"id":1375},"punkt-6-was-passiert-bei-verstößen","Punkt 6 – Was passiert bei Verstößen?",[11,1378,1379],{},"Ohne Sanktions-Klarheit ist die Richtlinie zahnlos. Mit zu harten Sanktionen wird sie totes Recht.",[11,1381,1382,1383,1386],{},"Die Zwei-Stufen-Logik (versehentlich = Hilfe, vorsätzlich\u002Fwiederholt mit sensiblen Daten = möglicherweise arbeitsrechtlich relevant) trifft die meisten realen Fälle. Wichtig: das ",[15,1384,1385],{},"„melden, gemeinsame Lösung, keine Sanktion\""," für versehentliche Verstöße. Sonst werden Vorfälle versteckt – das ist deutlich gefährlicher als die ursprüngliche Schatten-Nutzung.",[1314,1388,1390],{"id":1389},"punkt-7-was-wenn-die-offizielle-ki-nicht-reicht","Punkt 7 – Was, wenn die offizielle KI nicht reicht?",[11,1392,1393,1394,1397],{},"Die Plattform wächst mit dem Bedarf. Wenn Mitarbeitende keinen offiziellen Pfad haben, Lücken zu melden, weichen sie wieder aus. Ein einfacher Kanal („sprich ",[1283,1395,1396],{},"Ansprechperson"," an\") schließt diese Lücke.",[20,1399,1401],{"id":1400},"drei-häufige-fehler-bei-ki-richtlinien","Drei häufige Fehler bei KI-Richtlinien",[11,1403,1404],{},"In 2026 sehen wir drei wiederkehrende Anti-Pattern:",[453,1406,1407,1413,1419],{},[49,1408,1409,1412],{},[15,1410,1411],{},"Die Floskel-Richtlinie."," Sie spricht von „verantwortungsvoller KI-Nutzung\", „Compliance mit geltendem Recht\" und „Sensibilität für Datenschutz\". Inhalt: null. Wirkung: null.",[49,1414,1415,1418],{},[15,1416,1417],{},"Die Verbotsschilder-Richtlinie."," Sie listet 25 Dinge, die nicht erlaubt sind, ohne irgendetwas explizit zu erlauben. Wirkung: Mitarbeitende meiden das Thema komplett – auch dort, wo KI sicher und sinnvoll wäre.",[49,1420,1421,1424,1425,1428],{},[15,1422,1423],{},"Die statische Richtlinie."," Sie wurde 2024 verabschiedet und nicht mehr angefasst. Aber 2026 gibt es neue Modelle, neue Schatten-KI-Patterns und neue Vorgaben (NIS2). Eine KI-Richtlinie ist ein ",[15,1426,1427],{},"lebendes Dokument"," und sollte mindestens einmal pro Jahr aktualisiert werden, mit Datum.",[20,1430,1432],{"id":1431},"wer-freigibt-und-in-welcher-reihenfolge","Wer freigibt – und in welcher Reihenfolge",[11,1434,1435],{},"Vor der Veröffentlichung sollten folgende Funktionen zumindest informiert sein:",[46,1437,1438,1444,1450,1456,1462],{},[49,1439,1440,1443],{},[15,1441,1442],{},"Geschäftsführung:"," freigibt formal (Unterschrift im Dokument).",[49,1445,1446,1449],{},[15,1447,1448],{},"Datenschutzbeauftragte\u002Fr:"," prüft DSGVO-Konformität, ergänzt Verarbeitungsverzeichnis.",[49,1451,1452,1455],{},[15,1453,1454],{},"IT-Leitung:"," bestätigt technische Plattform-Verfügbarkeit und Audit-Log.",[49,1457,1458,1461],{},[15,1459,1460],{},"Betriebsrat (wenn vorhanden):"," Mitbestimmung bei Mitarbeiter-Richtlinien. Frühe Einbindung verhindert späte Blockade.",[49,1463,1464,1467],{},[15,1465,1466],{},"Personalabteilung:"," Integration in Onboarding und ggf. Zielvereinbarungen.",[11,1469,1470],{},"Reihenfolge: erst Datenschutz und IT-Leitung (technisch-rechtliche Korrekturen), dann Betriebsrat, dann Geschäftsführungs-Freigabe. Personal informiert kommt parallel zur Veröffentlichung.",[20,1472,1474],{"id":1473},"wie-sie-die-richtlinie-kommunizieren","Wie Sie die Richtlinie kommunizieren",[11,1476,1477],{},"Eine veröffentlichte Richtlinie, die niemand liest, ist wirkungslos. Drei Kanäle parallel sind 2026 Standard:",[46,1479,1480,1486,1492],{},[49,1481,1482,1485],{},[15,1483,1484],{},"Direkter Versand"," an alle Mitarbeitenden mit kurzem Anschreiben durch die Geschäftsführung (3–4 Sätze: Warum, was sich ändert, an wen man sich wendet).",[49,1487,1488,1491],{},[15,1489,1490],{},"Onboarding-Slot"," für Neue: 15-Minuten-Intro mit Demo der offiziellen Plattform.",[49,1493,1494,1497],{},[15,1495,1496],{},"Lunch-and-Learn nach 30 Tagen:"," ein bestehender Pilotnutzer zeigt, wie er die Plattform nutzt. Nichts überzeugt mehr als ein Kollege, der seine 90-Minuten-Zeitersparnis demonstriert.",[1166,1499],{"magnet":1168},[20,1501,1172],{"id":1171},[46,1503,1504,1510,1516],{},[49,1505,1506,1509],{},[108,1507,1508],{"href":1248},"\"KI im Mittelstand einführen: Das 30-Tage-Playbook\""," – wo diese Richtlinie in den Gesamtprozess passt.",[49,1511,1512,1515],{},[108,1513,1514],{"href":1185},"\"KI-Workshop für Geschäftsführer: Agenda + Vorlage\""," – der Workshop, in dem die Risiko-Punkte vorab geklärt werden.",[49,1517,1518,1521],{},[108,1519,1520],{"href":669},"\"Schatten-KI im Unternehmen\""," – warum Verbote nicht funktionieren und wie eine offizielle Plattform das Problem strukturell löst.",[11,1523,1524,1525],{},"Wer die Richtlinie an die eigene Organisation anpassen möchte oder eine Moderation für die Freigabe-Schleife sucht: ",[15,1526,1206],{},{"title":144,"searchDepth":145,"depth":145,"links":1528},[1529,1531,1541,1542,1543,1544],{"id":1280,"depth":145,"text":1530},"Vorlage: KI-Richtlinie Unternehmensname, Stand Monat Jahr",{"id":1308,"depth":145,"text":1309,"children":1532},[1533,1535,1536,1537,1538,1539,1540],{"id":1316,"depth":1534,"text":1317},3,{"id":1327,"depth":1534,"text":1328},{"id":1344,"depth":1534,"text":1345},{"id":1354,"depth":1534,"text":1355},{"id":1365,"depth":1534,"text":1366},{"id":1375,"depth":1534,"text":1376},{"id":1389,"depth":1534,"text":1390},{"id":1400,"depth":145,"text":1401},{"id":1431,"depth":145,"text":1432},{"id":1473,"depth":145,"text":1474},{"id":1171,"depth":145,"text":1172},"Eine KI-Richtlinie für mittelständische Unternehmen passt auf eine DIN-A4-Seite. Komplette Vorlage zum Anpassen, plus Erklärung jeder Regel und der häufigsten Stolperfallen.","spoke",{},"8",{"title":1262,"description":1545},"wissen\u002Fki-richtlinie-mitarbeiter-template",[1552,687,1553,435,686,344],"ki-richtlinie","mitarbeiter","61B7u4V3uWcpkp2yjPzyEStWRdtLpj0PbpCaii7tt-Q",{"id":1556,"title":1557,"author":182,"body":1558,"cover":328,"coverAlt":328,"dateModified":330,"datePublished":330,"description":1841,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":1842,"navigation":172,"path":1185,"pillar":1249,"readMinutes":1843,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":1844,"speakable":172,"stem":1845,"tags":1846,"__hash__":1850},"wissen\u002Fwissen\u002Fki-workshop-geschaeftsfuehrer.md","KI-Workshop für Geschäftsführer: Agenda und Vorlage zum Mitnehmen",{"type":8,"value":1559,"toc":1827},[1560,1567,1574,1577,1581,1584,1601,1608,1612,1615,1635,1638,1642,1646,1649,1669,1673,1676,1696,1700,1703,1717,1721,1724,1744,1748,1751,1757,1762,1765,1769,1772,1792,1796,1799,1801,1803,1822],[11,1561,1562,1563,1566],{},"Es gibt zwei Sorten KI-Workshops 2026: solche, nach denen die Geschäftsführung „inspiriert\" rausgeht und nichts passiert – und solche, die mit einem konkreten ",[15,1564,1565],{},"Pilot-Auftrag in der Kalenderwoche darauf"," enden.",[11,1568,1569,1570,1573],{},"Dieser Artikel beschreibt das zweite Format: einen ",[15,1571,1572],{},"3-Stunden-Workshop für Geschäftsführer und Geschäftsführerinnen"," mittelständischer Unternehmen, der bewusst auf Inspirations-Folien verzichtet und stattdessen drei harte Ergebnisse liefert: priorisierte Use-Cases, eine Risiko-Map, einen Pilot-Beschluss.",[11,1575,1576],{},"Sie können den Workshop intern selbst moderieren (Agenda und Templates folgen unten) oder ihn von einem externen Moderator führen lassen. Beides funktioniert – Hauptsache, das Ergebnis steht am Ende auf Papier.",[20,1578,1580],{"id":1579},"wer-sollte-teilnehmen","Wer sollte teilnehmen?",[11,1582,1583],{},"Maximal 8 Personen. Mehr verwässert die Diskussion. Empfohlene Besetzung:",[46,1585,1586,1589,1592,1595,1598],{},[49,1587,1588],{},"1–3 Personen aus der Geschäftsführung (Sponsor + ggf. weitere Bereichsverantwortliche)",[49,1590,1591],{},"IT-Leitung oder beauftragter technischer Champion",[49,1593,1594],{},"Datenschutzbeauftragte\u002Fr oder Compliance-Funktion",[49,1596,1597],{},"1–2 fachliche Schlüsselpersonen aus dem Tagesgeschäft (Operations, Produktion, Mandanten-Betreuung – je nach Branche)",[49,1599,1600],{},"Optional: externer Moderator mit KI-Praxis",[11,1602,1603,1604,1607],{},"Wichtig: ",[15,1605,1606],{},"keine"," reine Strategie-\u002FBeratungsrunde. Mindestens 30 % der Teilnehmenden müssen aus der täglichen Praxis kommen. Sonst priorisieren Sie Use-Cases, die nichts mit der Realität der Mitarbeitenden zu tun haben.",[20,1609,1611],{"id":1610},"vorbereitung-1-woche-vor-dem-workshop","Vorbereitung (1 Woche vor dem Workshop)",[11,1613,1614],{},"Drei Vorbereitungs-Punkte, die den Workshop von „okay\" auf „wirksam\" heben:",[453,1616,1617,1623,1629],{},[49,1618,1619,1622],{},[15,1620,1621],{},"Schatten-KI-Bestandsaufnahme."," Eine anonyme 5-Fragen-Kurzumfrage an die Belegschaft („Welche KI-Tools nutzt du im Arbeitsalltag, auch wenn nicht offiziell erlaubt?\"). Liefert Ihnen die Realität, statt Annahmen.",[49,1624,1625,1628],{},[15,1626,1627],{},"Top-10-Frust-Liste."," Jede teilnehmende Person bringt eine Liste der 5 nervigsten wiederkehrenden Aufgaben aus ihrem Bereich mit. Roh, ohne Vor-Filter.",[49,1630,1631,1634],{},[15,1632,1633],{},"Datenquellen-Übersicht."," Eine schlichte Liste der wichtigsten Wissens-Quellen (Dateifreigabe, DMS, Confluence, E-Mail, Fachanwendungen). Nur eine Liste, keine Inventur.",[11,1636,1637],{},"Mit diesen drei Inputs vor sich entsteht im Workshop substantielle Diskussion statt allgemeiner Eindrücke.",[20,1639,1641],{"id":1640},"die-3-stunden-agenda-im-detail","Die 3-Stunden-Agenda im Detail",[1314,1643,1645],{"id":1644},"block-1-status-quo-45-min","Block 1 – Status quo (45 Min)",[11,1647,1648],{},"Ziel: ehrliche Aufstellung, wo das Unternehmen 2026 steht.",[46,1650,1651,1657,1663],{},[49,1652,1653,1656],{},[15,1654,1655],{},"(15 Min) Schatten-KI-Realität:"," Ergebnisse der Kurzumfrage, plus offene Diskussion. Welche Tools werden tatsächlich genutzt? Welche Daten landen darin? Wer hat das genehmigt (Spoiler: oft niemand)?",[49,1658,1659,1662],{},[15,1660,1661],{},"(15 Min) Frust-Liste-Sammlung:"," Jede Person nennt ihre 5 wiederkehrenden Aufgaben. Moderator clustert auf Whiteboard \u002F Miro: Schreiben, Recherche, Kommunikation, Berechnung, Prüfung, Datenextraktion, Reporting.",[49,1664,1665,1668],{},[15,1666,1667],{},"(15 Min) Risiko-Wahrnehmung:"," Welche Risiken sehen wir bei aktueller Praxis? DSGVO-Verstoß durch Schatten-KI? Mandantengeheimnis-Bruch? NIS2-Audit-Risiko? Geschäftsführerhaftung?",[1314,1670,1672],{"id":1671},"block-2-use-case-priorisierung-60-min","Block 2 – Use-Case-Priorisierung (60 Min)",[11,1674,1675],{},"Ziel: 1–2 priorisierte Use-Cases, die der Pilot abdeckt.",[46,1677,1678,1684,1690],{},[49,1679,1680,1683],{},[15,1681,1682],{},"(20 Min) Use-Case-Brainstorming:"," Aus der Frust-Liste werden konkrete KI-Use-Cases destilliert. Jede Idee bekommt einen klaren Aufgaben-Satz: „KI-System X soll Aufgabe Y für Mitarbeitergruppe Z erledigen.\" Vage Ideen („KI für Marketing\") werden konkretisiert oder verworfen.",[49,1685,1686,1689],{},[15,1687,1688],{},"(20 Min) Bewertung mit zwei Achsen:"," Jeder Use-Case wird auf Whiteboard verortet. Achse 1: Wert (gespart Zeit × Anzahl betroffener Mitarbeitender). Achse 2: Aufwand (Daten verfügbar?, Komplexität der Logik?, Risiko?).",[49,1691,1692,1695],{},[15,1693,1694],{},"(20 Min) Top-2-Auswahl:"," Die zwei Use-Cases mit dem besten Verhältnis Wert\u002FAufwand werden ausgewählt. Klassische Erstkandidaten: Internes ChatGPT-Äquivalent (hoher Wert, niedriger Aufwand, zieht Schatten-KI auf offizielle Plattform) und wissensbasierter Assistent für eine konkrete Mitarbeitergruppe.",[1314,1697,1699],{"id":1698},"block-3-risiko-und-compliance-30-min","Block 3 – Risiko und Compliance (30 Min)",[11,1701,1702],{},"Ziel: Risiko-Map, die die Geschäftsführung im Audit verteidigen kann.",[46,1704,1705,1711],{},[49,1706,1707,1710],{},[15,1708,1709],{},"(15 Min) Risiko-Mapping"," der Top-2-Use-Cases: welche Datenkategorien werden verarbeitet, welche Empfänger sind beteiligt, welche Auftragsverarbeitungsverträge fehlen, welche Datenschutz-Folgenabschätzung ist nötig?",[49,1712,1713,1716],{},[15,1714,1715],{},"(15 Min) Eindämmungs-Maßnahmen:"," Welches Hosting-Modell passt (on-prem, EU-Cloud, hybrid)? Welche technischen Controls sind nötig? Welche organisatorischen Schritte (Richtlinie, Schulung)?",[1314,1718,1720],{"id":1719},"block-4-beschluss-45-min","Block 4 – Beschluss (45 Min)",[11,1722,1723],{},"Ziel: ein konkreter Pilot-Auftrag, mit Sponsor, Champion, Budget und Termin.",[46,1725,1726,1732,1738],{},[49,1727,1728,1731],{},[15,1729,1730],{},"(15 Min) Pilot-Scope verbal formulieren:"," „Wir starten in den nächsten 30 Tagen einen Pilot mit Use-Case A für Pilotgruppe B, Hosting-Variante C, mit den Erfolgskriterien D, E, F.\"",[49,1733,1734,1737],{},[15,1735,1736],{},"(15 Min) Rollen-Klärung:"," Wer ist Sponsor (Geschäftsführung)? Wer ist Champion (IT-Leitung oder Person X)? Wer im Datenschutz? Wer in der Pilotgruppe? Externer Partner ja\u002Fnein – wer?",[49,1739,1740,1743],{},[15,1741,1742],{},"(15 Min) Termine festlegen:"," Pilot-Start, Mid-Point-Review, 30-Tage-Bericht, nächstes Geschäftsführungs-Update. Alle Termine kommen direkt in den Kalender, bevor der Workshop endet.",[20,1745,1747],{"id":1746},"die-din-a4-vorlage-zum-mitnehmen","Die DIN-A4-Vorlage zum Mitnehmen",[11,1749,1750],{},"Im Anschluss an den Workshop sollte das Ergebnis auf einer einzigen Seite stehen. Verwenden Sie folgende Struktur als Kopie für Ihren Beschluss:",[1291,1752,1755],{"className":1753,"code":1754,"language":1296},[1294],"KI-Pilot-Beschluss [Datum]\n\n1. Use-Case 1\n   System: [Beschreibung]\n   Zielgruppe: [Mitarbeitergruppe]\n   Erfolgskriterien:\n     - [Messgröße 1]\n     - [Messgröße 2]\n     - [Messgröße 3]\n\n2. Use-Case 2 (falls)\n   [analog]\n\n3. Hosting-Variante: [on-prem \u002F EU-Cloud \u002F hybrid]\n\n4. Pilotgruppe: [Anzahl] Personen aus [Bereichen]\n\n5. Rollen\n   Sponsor (Geschäftsführung): [Name]\n   Champion (IT\u002FTech): [Name]\n   Datenschutz: [Name]\n   Pilotgruppe-Lead: [Name]\n   Externer Partner: [Name oder „intern\"]\n\n6. Termine\n   Pilot-Start: [Datum]\n   Mid-Point-Review: [Datum + 14 Tage]\n   30-Tage-Bericht an Geschäftsführung: [Datum + 30 Tage]\n   Folge-Workshop \u002F Welle-2-Entscheidung: [Datum + 45 Tage]\n\n7. Risiken und Eindämmung (Stichworte)\n   - [Risiko 1] → [Maßnahme]\n   - [Risiko 2] → [Maßnahme]\n\n8. Pilot-Budget-Rahmen: [Betrag bis X]\n\nGeschäftsführung freigegeben: [Unterschrift]\n",[1298,1756,1754],{"__ignoreMap":144},[1301,1758],{"body":1759,"headline":1760,"location":1761},"Wir schicken die ausgefüllte Vorlage als Beispiel und geben Ihnen ein 20-Minuten-Briefing – ohne Verkaufsgespräch.","Workshop intern moderieren?","wissen_workshop_template_inline",[11,1763,1764],{},"Dieses 1-Seiten-Dokument ist nicht „bürokratisch\" – es ist die Brücke zwischen Workshop und Pilot. Ohne es liegt der Workshop-Inhalt nach 14 Tagen in Vergessenheit.",[20,1766,1768],{"id":1767},"was-im-workshop-schiefgehen-kann","Was im Workshop schiefgehen kann",[11,1770,1771],{},"Drei Muster, die Sie aktiv unterbinden sollten:",[46,1773,1774,1780,1786],{},[49,1775,1776,1779],{},[15,1777,1778],{},"„Lass uns lieber noch 3 Tage daraus machen.\""," Drei Stunden mit klarem Beschluss schlägt drei Tage ohne Beschluss. Wenn die Diskussion ausufert, vertagen statt verlängern.",[49,1781,1782,1785],{},[15,1783,1784],{},"Vendor- oder Tool-Diskussion in Block 2."," „Sollen wir ChatGPT, Claude oder Mistral nehmen?\" – das gehört nicht in den Workshop, sondern in die Pilot-Vorbereitung mit dem Champion.",[49,1787,1788,1791],{},[15,1789,1790],{},"Reine Inspirations-Folien des Moderators."," Wenn ein externer Berater 30 Min „KI-Trends 2026\" erzählt, wird der Workshop für die Konkretisierung zu kurz. Solche Folien gehören in eine separate Vorbereitungs-Session, nicht in dieses Format.",[20,1793,1795],{"id":1794},"wenn-sie-keinen-externen-moderator-wollen","Wenn Sie keinen externen Moderator wollen",[11,1797,1798],{},"Das Format funktioniert auch intern, sofern jemand die Disziplin durchhält, an der Agenda zu bleiben. Praktischer Tipp: Setzen Sie pro Block einen Timer auf das Whiteboard. Wenn er klingelt, wird zusammengefasst und weitergegangen.",[1166,1800],{"magnet":1168},[20,1802,1172],{"id":1171},[46,1804,1805,1810,1815],{},[49,1806,1807,1809],{},[108,1808,1508],{"href":1248}," – das, was nach dem Workshop passiert.",[49,1811,1812,1814],{},[108,1813,1193],{"href":1192}," – das, was in Woche 4 verabschiedet wird.",[49,1816,1817,1821],{},[108,1818,1820],{"href":1819},"\u002Fwissen\u002Fnis2-ki-geschaeftsfuehrerhaftung","\"NIS2 + KI: Geschäftsführerhaftung 2026\""," – die Haftungs-Seite, die im Risiko-Mapping zentral ist.",[11,1823,1824,1825],{},"Wer den Workshop für sein eigenes Unternehmen vorbereiten möchte oder eine Moderation sucht: ",[15,1826,1206],{},{"title":144,"searchDepth":145,"depth":145,"links":1828},[1829,1830,1831,1837,1838,1839,1840],{"id":1579,"depth":145,"text":1580},{"id":1610,"depth":145,"text":1611},{"id":1640,"depth":145,"text":1641,"children":1832},[1833,1834,1835,1836],{"id":1644,"depth":1534,"text":1645},{"id":1671,"depth":1534,"text":1672},{"id":1698,"depth":1534,"text":1699},{"id":1719,"depth":1534,"text":1720},{"id":1746,"depth":145,"text":1747},{"id":1767,"depth":145,"text":1768},{"id":1794,"depth":145,"text":1795},{"id":1171,"depth":145,"text":1172},"Der 3-Stunden-Workshop, mit dem Geschäftsführung Klarheit über KI-Use-Cases, Risiken und nächste Schritte gewinnt. Inkl. ausführlicher Agenda zum Selbst-Anwenden.",{},"9",{"title":1557,"description":1841},"wissen\u002Fki-workshop-geschaeftsfuehrer",[1847,1848,1254,344,1849],"ki-workshop","geschaeftsfuehrer","use-case-discovery","RIs12BhXxikujpBbZzH2UrH5cwBgkKB05esz9vooe2A",{"id":1852,"title":1853,"author":182,"body":1854,"cover":328,"coverAlt":328,"dateModified":330,"datePublished":330,"description":2137,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":2138,"navigation":172,"path":544,"pillar":335,"readMinutes":2139,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":2140,"speakable":172,"stem":2141,"tags":2142,"__hash__":2144},"wissen\u002Fwissen\u002Frag-einfach-erklaert.md","RAG einfach erklärt: Wie KI mit Ihren eigenen Daten arbeitet",{"type":8,"value":1855,"toc":2123},[1856,1865,1879,1883,1886,1910,1913,1917,1922,1925,1929,1933,1944,1947,1951,1958,1965,1968,1972,1975,1994,1997,2001,2004,2009,2012,2016,2019,2039,2046,2050,2053,2079,2083,2094,2097,2099,2118],[11,1857,1858,1859,1861,1862,1864],{},"Eine der häufigsten Fragen in unseren Workshops 2026: „Wenn wir das Sprachmodell mit unseren eigenen Akten füttern – muss man das dann nicht erst trainieren?\". Die Antwort lautet: nein. Genau dafür gibt es ",[15,1860,162],{},", kurz ",[15,1863,305],{},". Diese Architektur ist der Standard hinter praktisch jedem produktiven wissensbasierten KI-Assistenten 2026.",[11,1866,1867,1868,1871,1872,1875,1876,1878],{},"Dieser Artikel erklärt RAG, ohne in Mathematik abzudriften. Er richtet sich an Geschäftsführung, IT-Leitung und Compliance-Funktionen, die verstehen wollen, ",[15,1869,1870],{},"warum"," KI mit eigenen Daten funktioniert, ",[15,1873,1874],{},"wie"," Quellenangabe dabei zustande kommt und ",[15,1877,93],{}," die Grenzen liegen.",[20,1880,1882],{"id":1881},"warum-nicht-einfach-das-modell-trainieren","Warum nicht einfach „das Modell trainieren\"?",[11,1884,1885],{},"Viele Erstkontakte mit KI-Themen drehen sich gedanklich darum, das Sprachmodell „auf die eigenen Daten zu trainieren\" (Fachbegriff: Fine-Tuning). Das ist möglich, aber für die meisten Mittelstands-Use-Cases der falsche Weg. Drei Gründe:",[46,1887,1888,1894,1900],{},[49,1889,1890,1893],{},[15,1891,1892],{},"Kosten."," Fine-Tuning eines mittelgroßen Modells kostet Tage Rechenzeit auf teurer Hardware. Bei jeder Daten-Aktualisierung wieder.",[49,1895,1896,1899],{},[15,1897,1898],{},"Aktualität."," Ein fine-getuntes Modell „weiß\" stand des Trainings. Sobald sich Akten oder Verträge ändern, ist das Modellwissen veraltet – ohne dass es das mitbekommt.",[49,1901,1902,1905,1906,1909],{},[15,1903,1904],{},"Quellenangabe."," Ein fine-getuntes Modell ",[15,1907,1908],{},"kann nicht erklären, woher"," seine Antwort stammt. Es vermischt alle Trainingsdaten zu einer Antwort. Für ein Berufs- oder NIS2-Audit unbrauchbar.",[11,1911,1912],{},"RAG löst alle drei Probleme strukturell.",[20,1914,1916],{"id":1915},"rag-in-einem-satz","RAG in einem Satz",[78,1918,1919],{},[11,1920,1921],{},"RAG bedeutet: bevor das Sprachmodell antwortet, sucht das System in Ihren Dokumenten nach den passenden Textstellen, gibt sie dem Modell als Kontext mit, und das Modell formuliert daraus eine Antwort mit Quellenverweis.",[11,1923,1924],{},"Das war es. Vier Schritte, von denen drei nichts mit dem Sprachmodell zu tun haben. Lassen Sie uns sie einzeln durchgehen.",[20,1926,1928],{"id":1927},"die-vier-schritte-einer-rag-antwort","Die vier Schritte einer RAG-Antwort",[1314,1930,1932],{"id":1931},"schritt-1-frage-in-vektor-übersetzen","Schritt 1 – Frage in Vektor übersetzen",[11,1934,1935,1936,1939,1940,1943],{},"Ein Mitarbeiter stellt eine Frage: „Welche Kündigungsfrist haben wir mit Lieferant Müller GmbH vereinbart?\". Diese Frage wird zunächst in einen mathematischen Vektor übersetzt – einen Liste von 768 oder 1024 Zahlen, die den ",[15,1937,1938],{},"Sinn"," der Frage repräsentiert. Diese Übersetzung passiert in einem ",[15,1941,1942],{},"Embedding-Modell"," (kein Sprachmodell, etwas Spezialisiertes).",[11,1945,1946],{},"Wichtig: ähnliche Fragen ergeben ähnliche Vektoren. „Welche Kündigungsfrist haben wir mit Müller?\" und „Wann können wir den Vertrag mit Müller kündigen?\" landen mathematisch dicht beieinander.",[1314,1948,1950],{"id":1949},"schritt-2-in-der-vektordatenbank-nach-passenden-textstellen-suchen","Schritt 2 – In der Vektordatenbank nach passenden Textstellen suchen",[11,1952,1953,1954,1957],{},"Alle Ihre Dokumente wurden vorab in viele kleine Textstücke (Chunks) zerlegt und ebenfalls in Vektoren übersetzt. Diese Chunks liegen in einer ",[15,1955,1956],{},"Vektordatenbank"," (z. B. Qdrant, Weaviate, pgvector).",[11,1959,1960,1961,1964],{},"Jetzt sucht das System: welche Chunks haben Vektoren, die der Vektor der Frage am ähnlichsten sind? Typisch werden die ",[15,1962,1963],{},"5–10 ähnlichsten"," Chunks ausgewählt, mit Quell-Metadaten (Datei, Seite, Datum, Berechtigung).",[11,1966,1967],{},"In unserem Beispiel: das System findet wahrscheinlich genau den Absatz im Liefervertrag mit der Kündigungsfrist – plus zwei oder drei Kontext-Absätze (allgemeine Vertragsbedingungen, Anhang).",[1314,1969,1971],{"id":1970},"schritt-3-kontext-frage-an-das-sprachmodell-geben","Schritt 3 – Kontext + Frage an das Sprachmodell geben",[11,1973,1974],{},"Jetzt kommt das Sprachmodell ins Spiel. Es bekommt eine Aufgabe wie:",[78,1976,1977,1980,1983],{},[11,1978,1979],{},"„Beantworte die folgende Frage NUR auf Basis der unten stehenden Textstellen.\nWenn die Antwort nicht in den Textstellen steht, sage das ehrlich.\nVerweise in der Antwort auf die Quelle (Datei, Seite).",[11,1981,1982],{},"FRAGE: Welche Kündigungsfrist haben wir mit Müller GmbH?",[11,1984,1985,1986,1989,1990,1993],{},"TEXTSTELLEN:\n",[1283,1987,1988],{},"Chunk 1: Liefervertrag-Mueller-2024.pdf, Seite 7, Absatz 3","\nDie Kündigungsfrist für diesen Vertrag beträgt drei Monate zum Quartalsende…\n",[1283,1991,1992],{},"Chunk 2: …","\n…\"",[11,1995,1996],{},"Das Modell formuliert nun eine Antwort, die strukturell auf den gefundenen Textstellen basiert. Es darf nicht „raten\", was es weiß, sondern muss aus dem mitgelieferten Material antworten.",[1314,1998,2000],{"id":1999},"schritt-4-antwort-mit-quellenangabe-ausgeben","Schritt 4 – Antwort mit Quellenangabe ausgeben",[11,2002,2003],{},"Die Antwort an den Mitarbeiter sieht typischerweise so aus:",[78,2005,2006],{},[11,2007,2008],{},"„Die Kündigungsfrist mit Müller GmbH beträgt drei Monate zum Quartalsende.\nQuelle: Liefervertrag-Mueller-2024.pdf, Seite 7.\"",[11,2010,2011],{},"Bei guten Implementierungen ist die Quelle direkt klickbar – der Mitarbeiter sieht den genauen Absatz im Originaldokument.",[20,2013,2015],{"id":2014},"warum-das-halluzinationen-reduziert-aber-nicht-eliminiert","Warum das Halluzinationen reduziert (aber nicht eliminiert)",[11,2017,2018],{},"RAG ist die wichtigste strukturelle Antwort auf das Halluzinations-Problem von Sprachmodellen. Drei Effekte:",[453,2020,2021,2027,2033],{},[49,2022,2023,2026],{},[15,2024,2025],{},"Antwort kommt aus Quelle, nicht aus Trainingswissen."," Wenn die richtigen Chunks gefunden werden, muss das Modell sich an sie halten.",[49,2028,2029,2032],{},[15,2030,2031],{},"„Ich weiß es nicht\" ist erlaubt."," Wenn keine passenden Chunks gefunden werden, soll das System ehrlich antworten – statt zu raten.",[49,2034,2035,2038],{},[15,2036,2037],{},"Quellenangabe ermöglicht Prüfung."," Mitarbeitende können sofort sehen, ob die Antwort wirklich aus dem zitierten Absatz folgt.",[11,2040,2041,2042,2045],{},"Aber: RAG ",[15,2043,2044],{},"eliminiert"," Halluzinationen nicht vollständig. Ein Sprachmodell, das die richtigen Chunks bekommt, kann sie immer noch falsch zusammenfassen oder Aussagen verdrehen. Deshalb gehören in jedes produktive RAG-System: Quellenklick, gelegentliche Stichprobenprüfung durch Fachpersonal, und ein klar kommunizierter Anspruch („Antwortvorschlag, nicht Beratungsersatz\").",[20,2047,2049],{"id":2048},"wo-rag-implementierungen-typischerweise-scheitern","Wo RAG-Implementierungen typischerweise scheitern",[11,2051,2052],{},"In der Praxis sehen wir 2026 vier wiederkehrende Probleme bei schlechten RAG-Setups:",[453,2054,2055,2061,2067,2073],{},[49,2056,2057,2060],{},[15,2058,2059],{},"Naives Chunking."," Texte werden auf fester Wortzahl zerschnitten, mitten im Satz. Folge: zerrissene Sinneinheiten, schlechte Suche. Lösung: Chunking entlang von Überschriften, Absätzen, Tabellen-Grenzen.",[49,2062,2063,2066],{},[15,2064,2065],{},"Fehlende Permissions."," Das System zeigt Mitarbeitenden Chunks aus Dokumenten, die sie eigentlich nicht sehen dürften. Datenschutz-Disaster. Lösung: ACLs aus Quellsystemen mit übernehmen, bei jeder Anfrage prüfen.",[49,2068,2069,2072],{},[15,2070,2071],{},"Keine inkrementellen Updates."," Verträge ändern sich, Akten werden gelöscht – das System weiß nichts davon und antwortet weiter aus alten Versionen. Lösung: Daily Sync mit Quellsystemen, mit klarem „Lösch-Pfad\" für entfernte Dokumente.",[49,2074,2075,2078],{},[15,2076,2077],{},"Keine Evaluation."," Niemand misst, wie oft das System richtig liegt. Folge: Mitarbeitende verlieren Vertrauen, Nutzung sinkt. Lösung: regelmäßige Stichprobenmessungen mit Fachpersonal, Kennzahlen wie Trefferquote und Prüfquote.",[20,2080,2082],{"id":2081},"rag-ist-nicht-magisch-aber-es-funktioniert","RAG ist nicht magisch – aber es funktioniert",[11,2084,2085,2086,2089,2090,2093],{},"Aus der Architektur-Sicht ist RAG keine besonders komplizierte Idee. Sie kombiniert drei bekannte Bausteine: Embedding-Modell + Vektordatenbank + Sprachmodell mit klarer Anweisung. Die Komplexität liegt in der ",[15,2087,2088],{},"Daten-Qualität"," (Chunking, Permissions, Updates) und im ",[15,2091,2092],{},"Betriebs-Modell"," (Monitoring, Evaluation, Schulung).",[11,2095,2096],{},"Wer RAG sauber aufsetzt, bekommt 2026 einen wissensbasierten Assistenten, der ein konkretes Praxisproblem löst: das ständige Suchen in eigenen Akten, Verträgen, Verfahrensanweisungen. Der Wert wird oft erst nach 4–6 Wochen Nutzung sichtbar – aber dann nachhaltig.",[20,2098,1172],{"id":1171},[46,2100,2101,2106,2111],{},[49,2102,2103,2105],{},[108,2104,1179],{"href":422}," – die Architektur-Übersicht, die RAG einbettet.",[49,2107,2108,2110],{},[108,2109,1508],{"href":1248}," – wie ein RAG-System in 30 Tagen produktiv wird.",[49,2112,2113,2117],{},[108,2114,2116],{"href":2115},"\u002Fwissen\u002Fprivate-ki-vs-chatgpt","\"Private KI vs. ChatGPT\""," – wann eine RAG-basierte Private-KI sinnvoller ist als öffentliche Tools.",[11,2119,2120,2121],{},"Wer ein RAG-Setup für die eigene Organisation durchsprechen möchte: ",[15,2122,1206],{},{"title":144,"searchDepth":145,"depth":145,"links":2124},[2125,2126,2127,2133,2134,2135,2136],{"id":1881,"depth":145,"text":1882},{"id":1915,"depth":145,"text":1916},{"id":1927,"depth":145,"text":1928,"children":2128},[2129,2130,2131,2132],{"id":1931,"depth":1534,"text":1932},{"id":1949,"depth":1534,"text":1950},{"id":1970,"depth":1534,"text":1971},{"id":1999,"depth":1534,"text":2000},{"id":2014,"depth":145,"text":2015},{"id":2048,"depth":145,"text":2049},{"id":2081,"depth":145,"text":2082},{"id":1171,"depth":145,"text":1172},"Retrieval-Augmented Generation (RAG) ist die Technologie hinter wissensbasierten KI-Assistenten mit Quellenangabe. Ohne Mathematik erklärt – für Geschäftsführung, IT-Leitung und alle, die KI-Architekturen verstehen wollen.",{},"7",{"title":1853,"description":2137},"wissen\u002Frag-einfach-erklaert",[559,560,337,561,2143],"wissensmanagement","b3Zi_peokGpxoE4ujg44dbeZNA1egv04XjWQXeGpCR8",{"id":2146,"title":2147,"author":182,"body":2148,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":2494,"description":2495,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":2496,"navigation":172,"path":1819,"pillar":335,"readMinutes":1843,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":2497,"speakable":172,"stem":2498,"tags":2499,"__hash__":2501},"wissen\u002Fwissen\u002Fnis2-ki-geschaeftsfuehrerhaftung.md","NIS2 + KI: Geschäftsführerhaftung 2026 – was Sie jetzt regeln müssen",{"type":8,"value":2149,"toc":2484},[2150,2157,2160,2164,2179,2182,2185,2213,2217,2220,2226,2232,2239,2245,2249,2256,2276,2282,2296,2300,2307,2328,2335,2338,2342,2345,2395,2398,2402,2409,2423,2426,2430,2437,2440,2455,2458,2462,2479],[11,2151,2152,2153,2156],{},"NIS2 ist das Cyber-Compliance-Thema, das 2026 vom „Wir haben davon gehört\" in das „Wir bekommen einen Bescheid\" übergeht. Während DSGVO ein Thema von Datenschutzbeauftragten ist, ist NIS2 ein Thema, bei dem die ",[15,2154,2155],{},"Geschäftsführung mit ihrem Privatvermögen haftet",", wenn die Richtlinie nicht umgesetzt wird. Und KI-Nutzung – insbesondere unkontrollierte – wird zu einem prüfbaren Element dieser Sorgfalt.",[11,2158,2159],{},"Dieser Artikel erklärt, wer betroffen ist, was NIS2 konkret zu KI verlangt, und welche acht Dinge in Ihrem Unternehmen jetzt – nach Inkrafttreten des deutschen Umsetzungsgesetzes – dokumentiert sein müssen.",[20,2161,2163],{"id":2162},"was-ist-nis2","Was ist NIS2?",[11,2165,2166,2167,2170,2171,2174,2175,2178],{},"NIS2 (Network and Information Security Directive 2) ist eine EU-Richtlinie aus 2022. Die EU-Frist zur Umsetzung in nationales Recht lief am ",[15,2168,2169],{},"17. Oktober 2024"," ab – Deutschland hat sie verpasst. Das deutsche ",[15,2172,2173],{},"NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz (NIS2UmsuCG)"," wurde am 13. November 2025 vom Bundestag verabschiedet, am 21. November 2025 vom Bundesrat bestätigt und ist ",[15,2176,2177],{},"seit 6. Dezember 2025 ohne Übergangsfrist in Kraft",". Stand 2026: Audits laufen, Bußgeldverfahren beginnen.",[11,2180,2181],{},"Ziel der Richtlinie: ein einheitliches, höheres Cyber-Sicherheitsniveau in kritischen und wichtigen Sektoren. Sie ersetzt die ältere NIS1-Richtlinie und erweitert deren Anwendungsbereich erheblich.",[11,2183,2184],{},"Drei Verschärfungen gegenüber NIS1, die 2026 spürbar werden:",[46,2186,2187,2197,2207],{},[49,2188,2189,2192,2193,2196],{},[15,2190,2191],{},"Erweiterter Anwendungsbereich."," Von ca. 4.000 Unternehmen unter NIS1 auf ",[15,2194,2195],{},"rund 29.500 in Deutschland"," unter NIS2 (BSI-Statement zur Verabschiedung).",[49,2198,2199,2202,2203,2206],{},[15,2200,2201],{},"Geschäftsführungs-Pflichten."," Geschäftsführung muss Cyber-Risikomanagement-Maßnahmen ",[15,2204,2205],{},"persönlich freigeben und überwachen",". Im Schadensfall: persönliche Haftung mit Privatvermögen.",[49,2208,2209,2212],{},[15,2210,2211],{},"Bußgelder."," Bis zu 10 Mio. € oder 2 % des Konzernumsatzes – analog DSGVO, in Einzelfällen darüber.",[20,2214,2216],{"id":2215},"wer-ist-betroffen","Wer ist betroffen?",[11,2218,2219],{},"Im Kern sind zwei Gruppen erfasst, definiert nach Sektor und Unternehmensgröße:",[11,2221,2222,2225],{},[15,2223,2224],{},"Wesentliche Einrichtungen"," (höchste Pflichten): u. a. Energie, Transport, Banken, Trinkwasser, digitale Infrastruktur, ITK-Dienstleister, öffentliche Verwaltung. Schwellwerte oft ab 250 MA oder 50 Mio. € Umsatz.",[11,2227,2228,2231],{},[15,2229,2230],{},"Wichtige Einrichtungen"," (etwas reduzierte, aber substanzielle Pflichten): u. a. Post, Abfallwirtschaft, Lebensmittelproduktion und -vertrieb, chemische Industrie, Forschung, Hersteller bestimmter digitaler Produkte. Schwellwerte oft ab 50 MA oder 10 Mio. € Umsatz.",[11,2233,2234,2235,2238],{},"Ergänzend sind ",[15,2236,2237],{},"Lieferantenketten"," mit erfasst: Wer einer wesentlichen oder wichtigen Einrichtung zuarbeitet, kann mittelbar in NIS2-Pflichten geraten – über Verträge.",[11,2240,2241,2242,2244],{},"Praxis-Empfehlung: Auch Unternehmen, die formal ",[15,2243,706],{}," unter NIS2 fallen, werden in der Praxis betroffen, sobald sie als Zulieferer einer betroffenen Organisation fungieren. Steuerberater von NIS2-Pflichtigen, IT-Dienstleister, Marketing- und Beratungs-Agenturen mit Zugang zu Kundendaten – sie alle erleben 2026, dass Auftraggeber NIS2-konforme Nachweise einfordern.",[20,2246,2248],{"id":2247},"was-hat-nis2-mit-ki-zu-tun","Was hat NIS2 mit KI zu tun?",[11,2250,2251,2252,2255],{},"NIS2 nennt KI nicht expressis verbis, aber die geforderten Maßnahmen lesen sich wie eine ",[15,2253,2254],{},"direkte Beschreibung dessen, was unkontrollierte KI-Nutzung gerade unmöglich macht",":",[46,2257,2258,2261,2264,2267,2270,2273],{},[49,2259,2260],{},"Risikobeurteilung und -behandlung im Bereich Informationssicherheit",[49,2262,2263],{},"Cybersicherheits-Vorfallbehandlung und -berichterstattung",[49,2265,2266],{},"Lieferketten-Sicherheit",[49,2268,2269],{},"Sicherheit beim Erwerb, der Entwicklung und der Wartung von Netz- und Informationssystemen",[49,2271,2272],{},"Bewertung der Wirksamkeit von Cybersicherheits-Maßnahmen",[49,2274,2275],{},"Schulungen, Verschlüsselung, Zugangskontrolle, Multi-Faktor-Authentifizierung",[11,2277,2278,2279,2281],{},"Wer in seinem Unternehmen 50 % Schatten-KI-Nutzer hat, kann ",[15,2280,1606],{}," dieser Pflichten substantiell erfüllen. Konkret prüft ein Auditor 2026 etwa:",[46,2283,2284,2287,2290,2293],{},[49,2285,2286],{},"„Haben Sie Risiken aus generativen KI-Diensten bewertet?\" → wenn keine systematische Bewertung vorliegt, ist das ein NIS2-Mangel.",[49,2288,2289],{},"„Wie stellen Sie sicher, dass keine sensiblen Daten in Drittsysteme abfließen?\" → ohne technische Controls oder offizielle Alternative ist das nicht beantwortbar.",[49,2291,2292],{},"„Welche Anbieter sind Auftragsverarbeiter Ihrer Informationen?\" → wenn Mitarbeitende ChatGPT, Claude oder Gemini privat nutzen, ist die Antwort unvollständig.",[49,2294,2295],{},"„Wie dokumentieren Sie KI-Vorfälle?\" → ohne Audit-Log existieren Vorfälle nicht offiziell – und genau das ist das Problem.",[20,2297,2299],{"id":2298},"persönliche-haftung-der-geschäftsführung","Persönliche Haftung der Geschäftsführung",[11,2301,2302,2303,2306],{},"Der Punkt, den viele Gründer und Geschäftsführerinnen 2026 unterschätzen: NIS2 verlangt nicht, dass das Unternehmen sich kümmert – es verlangt, dass ",[15,2304,2305],{},"Sie als Person sich kümmern",". Konkret:",[46,2308,2309,2319,2325],{},[49,2310,2311,2312,2315,2316,318],{},"Geschäftsführung ",[15,2313,2314],{},"muss"," die Cybersicherheits-Risikomanagement-Maßnahmen ",[15,2317,2318],{},"billigen und überwachen",[49,2320,2321,2322,318],{},"Bei Pflichtverletzung haftet sie ",[15,2323,2324],{},"mit Privatvermögen",[49,2326,2327],{},"Der Schaden muss nicht eingetreten sein – es reicht eine festgestellte Sorgfaltsverletzung.",[11,2329,2330,2331,2334],{},"In der Praxis heißt das: ein Geschäftsführer, der bei Schatten-KI-Nutzung weggeschaut hat, der keine offizielle Alternative bereitgestellt hat, der keine KI-Richtlinie verabschiedet hat – haftet im Schadensfall persönlich. Selbst wenn er es delegiert hat, kann er die Haftung nicht vollständig delegieren. Die ",[15,2332,2333],{},"Übersichtspflicht"," verbleibt bei ihm.",[11,2336,2337],{},"Dieser Punkt verändert 2026 die Geschwindigkeit, mit der Geschäftsführungen entscheiden. Was 2024 noch „Wir warten ab\" war, wird 2026 „Lassen Sie uns das diese Woche durchsprechen\".",[20,2339,2341],{"id":2340},"acht-punkte-die-jetzt-dokumentiert-sein-müssen","Acht Punkte, die jetzt dokumentiert sein müssen",[11,2343,2344],{},"Das NIS2UmsuCG enthält keine Übergangsfrist – die Pflichten gelten seit dem Tag der Verkündung. Aus Audit-Sicht und aus Haftungs-Sicht sind dies die acht konkreten Dokumente \u002F Maßnahmen, die in einer NIS2-pflichtigen Organisation 2026 vorhanden sein sollten:",[453,2346,2347,2353,2359,2365,2371,2377,2383,2389],{},[49,2348,2349,2352],{},[15,2350,2351],{},"Cybersicherheits-Risikoanalyse",", in der KI-Nutzung als Risiko-Kategorie auftaucht und bewertet wird.",[49,2354,2355,2358],{},[15,2356,2357],{},"Verzeichnis aller eingesetzten KI-Dienste"," (offiziell und tolerierter Schatten-KI), inkl. Datenklassen und Verarbeiter-Sitz.",[49,2360,2361,2364],{},[15,2362,2363],{},"KI-Richtlinie für Mitarbeitende",", freigegeben durch Geschäftsführung, kommuniziert in Onboarding und Regel-Trainings.",[49,2366,2367,2370],{},[15,2368,2369],{},"Auditierbares Logging"," aller offiziellen KI-Verarbeitungen – wer hat wann welche Daten verarbeitet, mit welchem Ergebnis.",[49,2372,2373,2376],{},[15,2374,2375],{},"Technische Maßnahmen"," zur Eindämmung von Schatten-KI: Web-Filter, DLP-Regeln (Data Loss Prevention), Endpoint-Controls, oder funktional gleichwertige Maßnahmen plus eine offizielle KI-Plattform mit besserer UX als die Schatten-Variante.",[49,2378,2379,2382],{},[15,2380,2381],{},"Vorfallsbehandlungs-Prozess",", der KI-spezifische Vorfälle (Datenabfluss, Halluzinationen, Bias) explizit abdeckt.",[49,2384,2385,2388],{},[15,2386,2387],{},"Lieferanten-Bewertung"," für KI-Dienste, inklusive Auftragsverarbeitungsvertrag und Sub-Auftragnehmer-Kette.",[49,2390,2391,2394],{},[15,2392,2393],{},"Geschäftsführungs-Beschluss",", der die Maßnahmen formal billigt und einen Verantwortlichen für die laufende Überwachung benennt.",[11,2396,2397],{},"Diese acht Punkte sind nicht nur eine Compliance-Pflichtübung. Sie sind in Summe das, was eine professionelle KI-Einführung im Mittelstand sowieso ausmacht – und sie schützen Sie persönlich.",[20,2399,2401],{"id":2400},"wo-private-ki-ins-spiel-kommt","Wo Private KI ins Spiel kommt",[11,2403,2404,2405,2408],{},"NIS2 verlangt ",[15,2406,2407],{},"Kontrolle"," über Datenflüsse und Verarbeitung. Eine Private-KI-Plattform, korrekt aufgesetzt, liefert genau das:",[46,2410,2411,2414,2417,2420],{},[49,2412,2413],{},"Vollständiges Audit-Log über alle KI-Verarbeitungen → Punkt 4.",[49,2415,2416],{},"Technische Eindämmung von Schatten-KI durch attraktive offizielle Alternative → Punkt 5.",[49,2418,2419],{},"Klare Auftragsverarbeitungs-Kette mit EU-Anbietern → Punkt 7.",[49,2421,2422],{},"Strukturierte Risikoanalyse statt diffuser Annahmen → Punkt 1.",[11,2424,2425],{},"Sie löst NIS2 nicht alleine – aber sie löst die KI-Komponenten von NIS2 strukturell, statt mit Workarounds.",[20,2427,2429],{"id":2428},"empfehlung","Empfehlung",[11,2431,2432,2433,2436],{},"Wenn Ihr Unternehmen NIS2-pflichtig ist (oder mittelbar betroffen, weil Sie Lieferant eines Pflichtigen sind), ist 2026 ",[15,2434,2435],{},"das Jahr",", in dem Schatten-KI von einem ärgerlichen IT-Thema zu einem persönlichen Geschäftsführungs-Risiko wird.",[11,2438,2439],{},"Drei pragmatische Schritte:",[453,2441,2442,2445,2448],{},[49,2443,2444],{},"Klären Sie binnen vier Wochen, ob und wie Sie unter NIS2 fallen. Eine seriöse Anwaltskanzlei oder ein spezialisierter Berater liefert das in einer Sitzung.",[49,2446,2447],{},"Verabschieden Sie eine vorläufige KI-Richtlinie und ein Risikoregister, das KI als Kategorie enthält. Ihr Datenschutzbeauftragter kann das innerhalb weniger Wochen aufsetzen.",[49,2449,2450,2451,2454],{},"Planen Sie eine ",[15,2452,2453],{},"Private-KI-Pilotphase"," mit definiertem 30-Tage-Scope, Pilotgruppe und Erfolgskriterien. Damit nehmen Sie der Schatten-KI strukturell die Grundlage und liefern den Audit-Nachweis.",[1166,2456],{"magnet":2457},"nis2-audit-checkliste",[20,2459,2461],{"id":2460},"weiterlesen","Weiterlesen",[46,2463,2464,2469,2474],{},[49,2465,2466,2468],{},[108,2467,1179],{"href":422}," – der Hauptleitfaden mit Architektur, DSGVO\u002FNIS2 und 30-Tage-Pilot.",[49,2470,2471,2473],{},[108,2472,1520],{"href":669}," – das praktische Pendant zur NIS2-Sicht.",[49,2475,2476,2478],{},[108,2477,2116],{"href":2115}," – die Tool-Diskussion.",[11,2480,2481,2482],{},"Wer NIS2 + KI persönlich durchsprechen möchte: ",[15,2483,1206],{},{"title":144,"searchDepth":145,"depth":145,"links":2485},[2486,2487,2488,2489,2490,2491,2492,2493],{"id":2162,"depth":145,"text":2163},{"id":2215,"depth":145,"text":2216},{"id":2247,"depth":145,"text":2248},{"id":2298,"depth":145,"text":2299},{"id":2340,"depth":145,"text":2341},{"id":2400,"depth":145,"text":2401},{"id":2428,"depth":145,"text":2429},{"id":2460,"depth":145,"text":2461},"2026-05-05","Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit 6. Dezember 2025 ohne Übergangsfrist in Kraft. Rund 29.500 deutsche Unternehmen müssen jetzt nachweisen, dass sie Cyber- und KI-Risiken aktiv managen. Geschäftsführung haftet im Schadensfall persönlich.",{},{"title":2147,"description":2495},"wissen\u002Fnis2-ki-geschaeftsfuehrerhaftung",[686,435,687,2500,337,344],"geschaeftsfuehrerhaftung","dmoXLVa0jkdSIh7N2WJV4XiPX1d-2zdtdmoHN3Ixr1w",{"id":2503,"title":2504,"author":182,"body":2505,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":2494,"description":3098,"draft":157,"extension":155,"faqItems":3099,"format":1246,"meta":3124,"navigation":172,"path":422,"pillar":335,"readMinutes":3125,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":3126,"speakable":172,"stem":3127,"tags":3128,"__hash__":3129},"wissen\u002Fwissen\u002Fprivate-ki-leitfaden.md","Private KI für den Mittelstand: Der Leitfaden 2026",{"type":8,"value":2506,"toc":3072},[2507,2518,2525,2529,2536,2554,2564,2575,2579,2582,2586,2589,2592,2596,2602,2605,2609,2616,2619,2623,2626,2630,2637,2640,2644,2654,2657,2661,2664,2694,2697,2700,2703,2706,2709,2712,2716,2719,2726,2730,2733,2737,2740,2743,2775,2786,2790,2793,2831,2838,2842,2845,2889,2892,2896,2899,2931,2935,2942,2968,2971,2975,2982,2989,3004,3011,3015,3022,3029,3032,3034,3036,3066],[11,2508,2509,2510,2513,2514,2517],{},"KI ist 2026 in jedem Mittelstands-Unternehmen längst angekommen. Die Frage ist nur: ",[15,2511,2512],{},"kontrolliert"," oder ",[15,2515,2516],{},"unkontrolliert",". Laut der Software-AG-Studie „Chasing Shadows\" (2024, n=6.000 Knowledge Worker in DE\u002FUSA\u002FUK) nutzt mehr als die Hälfte der Belegschaft KI-Tools, die ihre IT nicht kennt. CybSafe \u002F NCA „Oh Behave!\" (2024, n>7.000) hat erhoben, dass 38 % aller Mitarbeitenden sensible Daten in öffentliche KI-Modelle eingeben – Mandantenakten, Kalkulationen, Personaldaten, Quellcode. Eine durchschnittliche Datenpanne kostet deutsche Unternehmen 3,87 Mio. € (IBM Cost of a Data Breach Report 2025) – in der Industrie sogar 6,67 Mio. €. Mit dem NIS2UmsuCG (in Kraft seit Dezember 2025) haftet die Geschäftsführung im Zweifel persönlich.",[11,2519,2520,2521,2524],{},"Dieser Leitfaden zeigt, wie Sie das Problem lösen, ohne KI komplett zu verbieten – durch eine ",[15,2522,2523],{},"Private-KI-Plattform",", die Ihren Mitarbeitenden eine attraktive offizielle Alternative gibt, sensible Daten im Unternehmen hält und gegenüber Auditoren sauber dokumentiert ist. Er richtet sich an Geschäftsführung, IT-Leitung, Datenschutzverantwortliche und Compliance-Funktionen in mittelständischen Unternehmen mit 30–500 Mitarbeitenden.",[20,2526,2528],{"id":2527},"was-bedeutet-private-ki-und-was-nicht","Was bedeutet „Private KI\" – und was nicht?",[11,2530,2531,2532,2535],{},"Private KI bezeichnet eine KI-Plattform, die ausschließlich auf Infrastruktur betrieben wird, ",[15,2533,2534],{},"die Sie selbst kontrollieren",". Das kann sein:",[46,2537,2538,2543,2549],{},[49,2539,2540,2542],{},[15,2541,365],{}," im eigenen Rechenzentrum, optional air-gapped",[49,2544,2545,2548],{},[15,2546,2547],{},"EU-Cloud:"," in einer souveränen europäischen Cloud (z. B. STACKIT, IONOS, Open Telekom Cloud)",[49,2550,2551,2553],{},[15,2552,377],{}," Inferenz on-prem, Vektorindex in der EU-Cloud, Modelle bei einem EU-Hyperscaler",[11,2555,2556,2557,2559,2560,2563],{},"Was Private KI ",[15,2558,706],{}," ist: Eine Lizenz für „ChatGPT Enterprise\" oder „Microsoft 365 Copilot\". Diese Produkte sind kommerziell relevante, aber ",[15,2561,2562],{},"öffentliche"," KI-Dienste – die Daten verlassen Ihr Unternehmen, auch wenn vertraglich Auftragsverarbeitung zugesichert wird. Für ein Steuerberater-Mandantengeheimnis oder für streng vertrauliche Industriedokumentation reicht das oft nicht.",[11,2565,2566,2567,2570,2571,2574],{},"Private KI ist auch keine reine Inhouse-Entwicklung. Sie kombiniert in der Regel ",[15,2568,2569],{},"Open-Source-Komponenten"," (LLMs wie Llama 4, Mistral oder Qwen 3, Vektordatenbanken wie Qdrant, Anwendungs-Frameworks wie LangChain) mit einer ",[15,2572,2573],{},"applikationsspezifischen Schicht"," für Authentifizierung, Rechte und Auditierung. Sie kaufen also nicht ein einzelnes Produkt, sondern eine Architektur und einen Betrieb.",[20,2576,2578],{"id":2577},"warum-sich-das-thema-2026-nicht-mehr-aussitzen-lässt","Warum sich das Thema 2026 nicht mehr aussitzen lässt",[11,2580,2581],{},"Drei Treiber bringen die Entscheidung in jedem Mittelstands-Unternehmen 2026 auf den Tisch:",[1314,2583,2585],{"id":2584},"_1-schatten-ki-ist-bereits-da","1. Schatten-KI ist bereits da",[11,2587,2588],{},"Nur 17 % der Unternehmen haben laut IBM Cost of a Data Breach Report 2025 automatisierte Controls (Blocking\u002FScanning), die verhindern, dass Mitarbeitende vertrauliche Daten in öffentliche KI-Tools hochladen. 97 % der Unternehmen, in denen es zu einem KI-bezogenen Sicherheitsvorfall kam, hatten keine sauberen AI-Access-Controls; 63 % haben gar keine AI-Governance-Policy. Das Problem ist also nicht „sollen wir KI einführen?\", sondern „wie holen wir die Schatten-KI offiziell auf eine kontrollierte Plattform?\".",[11,2590,2591],{},"Die zweite Beobachtung aus der Praxis: Verbote funktionieren nicht. Sobald Mitarbeitende bemerken, dass ein KI-Tool ihnen abends zwei Stunden spart, finden sie Wege. Eine offizielle, gleich gute oder bessere Alternative ist die einzige nachhaltige Antwort.",[1314,2593,2595],{"id":2594},"_2-nis2-macht-cyber-sorgfalt-zur-geschäftsführerpflicht","2. NIS2 macht Cyber-Sorgfalt zur Geschäftsführerpflicht",[11,2597,2598,2599,2601],{},"Das deutsche NIS2-Umsetzungsgesetz (NIS2UmsuCG) ist seit dem 6. Dezember 2025 ohne Übergangsfrist in Kraft. Rund 29.500 deutsche Unternehmen müssen messbar nachweisen, dass sie Cyber- und Daten-Risiken aktiv managen. Geschäftsführung haftet im Schadensfall ",[15,2600,2324],{},". Eine unkontrollierte KI-Nutzung ist in einem NIS2-Audit 2026 schwer zu verteidigen.",[11,2603,2604],{},"Konkret heißt das: Ein Auditor, der fragt „Wo werden Mandantendaten verarbeitet?\", erwartet eine vollständige Antwort. „Wir vermuten, dass einige Mitarbeitende ChatGPT nutzen, sind aber nicht sicher\" reicht nicht. Eine Private-KI-Plattform mit Audit-Log und dokumentiertem Rechte-Konzept liefert die Antwort, die NIS2 verlangt.",[1314,2606,2608],{"id":2607},"_3-mandantengeheimnis-und-besondere-sorgfaltspflichten","3. Mandantengeheimnis und besondere Sorgfaltspflichten",[11,2610,2611,2612,2615],{},"Steuerberater (§ 57 StBerG), Wirtschaftsprüfer (§ 43 WPO), Anwälte (§ 43a BRAO) und Ärzte (§ 203 StGB) haben ",[15,2613,2614],{},"persönliche"," Verschwiegenheitspflichten. Eine KI, die Mandantendaten an US-Provider weitergibt, verstößt potenziell gegen Berufsrecht – mit Konsequenzen weit über DSGVO-Bußgelder hinaus.",[11,2617,2618],{},"Das gilt zunehmend auch für Industrieunternehmen mit FuE-Doku, Steuerberatungs-Outsourcing-Anbieter oder ITK-Dienstleister mit Auftragsdatenverarbeitung. Die Pflicht zur eigenständigen Kontrolle der Daten lässt sich nicht delegieren.",[20,2620,2622],{"id":2621},"die-zwei-anwendungsfälle-mit-denen-private-ki-im-mittelstand-beginnt","Die zwei Anwendungsfälle, mit denen Private KI im Mittelstand beginnt",[11,2624,2625],{},"Erfahrungsgemäß deckt eine produktive Private-KI-Plattform anfangs zwei Use-Cases ab, die zusammen bereits den Großteil der Wertschöpfung erzeugen:",[1314,2627,2629],{"id":2628},"a-internes-chatgpt-ohne-datenabfluss","A) Internes „ChatGPT\" – ohne Datenabfluss",[11,2631,2632,2633,2636],{},"Ein interner Chat-Assistent, mit dem Mitarbeitende täglich arbeiten – Texte zusammenfassen, Entwürfe schreiben, Code erklären, Mails formulieren. ",[15,2634,2635],{},"Dieselbe Funktion wie ChatGPT, aber mit der Garantie, dass nichts das Unternehmen verlässt."," Damit ziehen Sie 80 % der Schatten-KI-Nutzung auf eine offizielle Plattform.",[11,2638,2639],{},"Praxisrelevant: Die UX muss mindestens so gut sein wie das, was Mitarbeitende heute privat nutzen. Eine träge, häßliche Inhouse-Lösung wird nicht angenommen, egal wie sicher sie ist. Einer der häufigsten Pilot-Fehler ist es, an dieser Stelle zu sparen.",[1314,2641,2643],{"id":2642},"b-wissensbasierter-assistent-wo-steht-das-nochmal","B) Wissensbasierter Assistent („Wo steht das nochmal?\")",[11,2645,2646,2647,2650,2651,2653],{},"Ein KI-Assistent, der Antworten ",[15,2648,2649],{},"mit Quellenangabe"," aus Ihren eigenen Dokumenten gibt: Verträge, Verfahrensanweisungen, Arbeitsanweisungen, Mandanten-Akten, technische Spezifikationen. Statt „raten\" liefert das System konkrete Textstellen mit Verweis auf Datei, Seite und Datum. Die Technologie dahinter heißt ",[15,2652,446],{}," und ist 2026 Standard in produktiven Setups.",[11,2655,2656],{},"Der Wert wird oft erst sichtbar, wenn Mitarbeitende das System ein paar Wochen genutzt haben. Vorher klingen die Use-Cases abstrakt, danach kommen Sätze wie „Wie haben wir vor zehn Jahren ohne das Ding gearbeitet?\". Genau das ist das Ziel.",[20,2658,2660],{"id":2659},"architektur-einer-produktiven-private-ki-plattform","Architektur einer produktiven Private-KI-Plattform",[11,2662,2663],{},"Eine produktionsreife Private-KI-Lösung besteht aus mindestens fünf Bausteinen:",[453,2665,2666,2672,2677,2682,2688],{},[49,2667,2668,2671],{},[15,2669,2670],{},"Sprachmodell (LLM):"," open-source-basiert (z. B. Llama 4, Mistral Large, Qwen 3, DeepSeek-V3) oder kommerziell (z. B. EU-gehostetes Mistral Le Chat Enterprise, Aleph Alpha Pharia). Auswahl hängt von Sprachqualität, Kontextfenster und Hosting-Variante ab.",[49,2673,2674,2676],{},[15,2675,502],{}," speichert Dokument-Embeddings, ermöglicht semantische Suche. Optionen: Qdrant, Weaviate, pgvector.",[49,2678,2679,2681],{},[15,2680,508],{}," normalisiert PDFs, DOCX, Confluence, SharePoint, E-Mails, Datenbanken zu durchsuchbarem Text mit Quellen-Metadaten.",[49,2683,2684,2687],{},[15,2685,2686],{},"Anwendungs-Layer:"," Chat-UI, Rollen- und Rechte-Modell, Audit-Log, Admin-Panel.",[49,2689,2690,2693],{},[15,2691,2692],{},"Betriebs-Layer:"," Monitoring, Backup, Updates, Capacity-Planning.",[11,2695,2696],{},"Ohne eine saubere Ingestion-Pipeline und ein durchdachtes Rechte-Modell entsteht schnell ein Risiko-Tool: Das System darf nicht jedem alles zeigen. Eine Praktikantin sollte keine Vorstandsverträge sehen, ein Mandanten-Sachbearbeiter keine Akten anderer Mandanten.",[11,2698,2699],{},"Die folgenden drei Sektionen vertiefen die Bausteine, an denen mittelständische Einführungen am häufigsten kippen: Hosting-Modell, Modellauswahl und Datenanbindung.",[20,2701,850],{"id":2702},"hosting-modelle-im-detail",[1314,2704,2705],{"id":342},"On-Premise",[11,2707,2708],{},"Das Modell mit der höchsten Kontrolle. Modelle, Vektorindex und Anwendung laufen in Ihrem Rechenzentrum, optional air-gapped (ohne Internetverbindung). Sinnvoll bei besonders sensiblen Daten (Mandantengeheimnis, FuE, Verteidigung), bei vorhandener IT-Infrastruktur und ab einer Größe, in der die Hardware-Investition (typisch 30.000–80.000 € für 50–150 aktive Nutzende mit Open-Source-LLMs auf einer Single- oder Dual-GPU-Konfiguration) sich gegen mehrjährige SaaS-Kosten rechnet.",[11,2710,2711],{},"Anti-Pattern: On-Premise „weil es sich richtig anfühlt\", obwohl die IT keine GPU-Erfahrung hat. Ohne Operations-Reife für GPU-Treiber, Modell-Updates und Lastspitzen wird das Projekt teuer.",[1314,2713,2715],{"id":2714},"souveräne-eu-cloud","Souveräne EU-Cloud",[11,2717,2718],{},"Hosting bei deutschen oder europäischen Anbietern wie STACKIT (Schwarz-Gruppe), IONOS, Open Telekom Cloud oder OVHcloud. Vorteil: keine Hardware-Investition, schneller Aufbau, Skalierbarkeit. Daten bleiben in EU-Rechtskreis, kein Cloud-Act-Konflikt. Modell der Wahl für die meisten Mittelständler ohne eigenes Rechenzentrum.",[11,2720,2721,2722,2725],{},"Praxis-Hinweis: Bei der Provider-Auswahl auf den ",[15,2723,2724],{},"Sitz der Konzernmutter"," achten, nicht nur auf den Server-Standort. Ein „EU-Server\" eines US-Konzerns ist datenschutzrechtlich nicht gleichbedeutend mit einem EU-Anbieter.",[1314,2727,2729],{"id":2728},"hybrid","Hybrid",[11,2731,2732],{},"Inferenz on-prem (sensitive Daten verlassen das Unternehmen nie), Vektorindex und Anwendungs-Backbone in der EU-Cloud (Skalierung und Ausfallsicherheit). Sinnvoll für Unternehmen mit hoher Datensensibilität, aber begrenzter eigener Operations-Tiefe. Mehraufwand in der Architektur, dafür beste Balance aus Kontrolle und Betrieb.",[20,2734,2736],{"id":2735},"modellauswahl-was-2026-für-den-mittelstand-zählt","Modellauswahl: Was 2026 für den Mittelstand zählt",[11,2738,2739],{},"Die Modell-Landschaft hat sich 2024–2026 dramatisch verändert. Open-Source-Modelle (Llama 4 von Meta, Mistral Large, Qwen 3, DeepSeek-V3) sind in vielen Disziplinen mit den führenden kommerziellen Modellen konkurrenzfähig – bei deutlich geringeren Kosten und voller Kontrolle. Llama 4 (April 2025) bringt mit den Varianten Scout und Maverick erstmals Mixture-of-Experts-Architektur und Kontextfenster bis 10 Mio. Tokens in den Open-Source-Bereich.",[11,2741,2742],{},"Auswahlkriterien:",[46,2744,2745,2751,2757,2763,2769],{},[49,2746,2747,2750],{},[15,2748,2749],{},"Deutsch-Qualität:"," nicht alle Modelle sind in Deutsch gleich gut. Mistral, Aleph Alpha (Pharia-1) und einige Llama-4-Finetunes sind hier führend; viele asiatische Modelle fallen ab, allerdings hat Qwen 3 in Deutsch deutlich aufgeholt.",[49,2752,2753,2756],{},[15,2754,2755],{},"Kontextfenster:"," wieviel Text das Modell pro Anfrage „sehen\" kann. 128k Tokens sind 2026 Standard; Llama 4 Scout liegt bei 10 Mio. Tokens, was für ganze Akten-Korpora reicht.",[49,2758,2759,2762],{},[15,2760,2761],{},"Lizenz:"," Llama 4 und Mistral sind kommerziell nutzbar (mit Einschränkungen für sehr große Anbieter). Manche Modelle sind nur für Forschung freigegeben.",[49,2764,2765,2768],{},[15,2766,2767],{},"Hardware-Footprint:"," ein 70B-Modell braucht andere GPUs als ein 7B-Modell. Für viele Mittelstands-Use-Cases reichen Modelle in der 7B–17B-Klasse (z. B. Llama 4 Scout mit 17B aktiven Parametern), die auf einer einzelnen H100 laufen.",[49,2770,2771,2774],{},[15,2772,2773],{},"EU-Hosting verfügbar:"," Mistral, Aleph Alpha und einige Llama-Distributionen werden von EU-Anbietern als Managed Service angeboten.",[11,2776,2777,2778,2781,2782,2785],{},"In den meisten unserer Projekte wählen wir nicht ",[15,2779,2780],{},"das beste"," Modell, sondern das ",[15,2783,2784],{},"passendste",": Eine Mistral- oder Llama-4-Variante in einer mittleren Größe, EU-gehostet, mit guten Deutsch-Leistungen. Bei besonders anspruchsvollen Aufgaben (komplexe juristische Recherche, Code-Review) ergänzen wir später ein größeres Modell für ausgewählte Anwendungsfälle.",[20,2787,2789],{"id":2788},"datenanbindung-vom-dokument-zur-durchsuchbaren-antwort","Datenanbindung: Vom Dokument zur durchsuchbaren Antwort",[11,2791,2792],{},"Die Ingestion-Pipeline bestimmt, ob das System gut wird. Schritte:",[453,2794,2795,2801,2807,2813,2819,2825],{},[49,2796,2797,2800],{},[15,2798,2799],{},"Quellen identifizieren:"," Welche Systeme enthalten das Wissen? Typisch: Dateifreigaben (SMB\u002FSharePoint), DMS (DocuWare, ELO, d.velop), Confluence, Jira, E-Mail-Postfächer, Fachanwendungen mit eigenem Datenmodell.",[49,2802,2803,2806],{},[15,2804,2805],{},"Permissions extrahieren:"," ACLs aus den Quellsystemen müssen mit übernommen werden, sonst zeigt das System jedem alles. Das ist die häufigste Stolperstelle in der Praxis.",[49,2808,2809,2812],{},[15,2810,2811],{},"Normalisierung:"," PDFs (mit OCR für gescannte Dokumente), DOCX, XLSX, HTML, E-Mails werden in durchsuchbaren Text mit Metadaten umgewandelt.",[49,2814,2815,2818],{},[15,2816,2817],{},"Chunking:"," Texte werden in semantisch sinnvolle Abschnitte zerlegt (typisch 500–1.500 Tokens pro Chunk). Naives Chunking auf fester Wort-Anzahl produziert schlechte Antworten – sinnvoll ist Chunking entlang von Überschriften, Absätzen, Tabellen.",[49,2820,2821,2824],{},[15,2822,2823],{},"Embeddings:"," jeder Chunk wird in einen mathematischen Vektor übersetzt (typisch 768 oder 1024 Dimensionen) und in der Vektordatenbank gespeichert.",[49,2826,2827,2830],{},[15,2828,2829],{},"Inkrementelle Updates:"," Wenn ein Vertrag geändert wird, muss das System die neue Version sehen, die alte vergessen, die Permissions neu prüfen. Daily Sync ist Minimum.",[11,2832,2833,2834,2837],{},"Wir empfehlen, mit ",[15,2835,2836],{},"3–5 Quellen"," zu starten, die zusammen 60–70 % des relevanten Wissens abdecken. Ein vollständiger Ingest aller Systeme ist eher eine Falle: zu viel Aufwand, zu viel Rauschen, zu wenig schneller Nutzen.",[20,2839,2841],{"id":2840},"dsgvo-und-nis2-was-eine-saubere-einführung-adressieren-muss","DSGVO und NIS2: Was eine saubere Einführung adressieren muss",[11,2843,2844],{},"Eine Private-KI-Einführung, die später einem Audit standhalten soll, muss von Anfang an folgende Punkte sauber dokumentieren:",[46,2846,2847,2853,2859,2865,2871,2877,2883],{},[49,2848,2849,2852],{},[15,2850,2851],{},"Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO):"," ergänzt um „interne KI-Verarbeitung\" mit Beschreibung von Zwecken, Datenkategorien und Empfängern.",[49,2854,2855,2858],{},[15,2856,2857],{},"Auftragsverarbeitungsverträge"," mit allen relevanten Sub-Providern (Hosting, ggf. Modell-Provider in der EU).",[49,2860,2861,2864],{},[15,2862,2863],{},"Rollen- und Rechte-Konzept:"," wer darf welche Quellen sehen, wer darf Antworten freigeben, wer ist Daten-Verantwortlicher.",[49,2866,2867,2870],{},[15,2868,2869],{},"Audit-Log:"," revisionssicher, mindestens 12 Monate aufbewahrt – kritisch für NIS2 und Berufsrechts-Compliance. Inhalte: Wer hat wann welche Frage gestellt, welche Quellen wurden gesehen, welche Antwort wurde generiert.",[49,2872,2873,2876],{},[15,2874,2875],{},"KI-Richtlinie für Mitarbeitende:"," klare Regeln, was das System darf und was nicht, integriert in Onboarding und Trainings.",[49,2878,2879,2882],{},[15,2880,2881],{},"Datenschutz-Folgenabschätzung (Art. 35 DSGVO):"," verpflichtend, wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen mit sich bringt – insbesondere bei systematischer Verarbeitung besonderer Datenkategorien oder neuer Technologien.",[49,2884,2885,2888],{},[15,2886,2887],{},"Lösch-Konzept:"," Wenn ein Vertrag oder eine Akte gelöscht wird, muss das System die zugehörigen Embeddings ebenfalls vergessen. Nicht trivial, aber Pflicht.",[11,2890,2891],{},"Wer diese Punkte erst nachträglich aufsetzt, hat den dreifachen Aufwand. Es zahlt sich aus, sie als Teil des Rollout-Pakets zu behandeln.",[20,2893,2895],{"id":2894},"fünf-anti-patterns-die-ki-piloten-zerstören","Fünf Anti-Patterns, die KI-Piloten zerstören",[11,2897,2898],{},"In unseren Projekten sehen wir immer wieder dieselben Fehler. Wer diese fünf vermeidet, hat schon viel gewonnen:",[453,2900,2901,2907,2913,2919,2925],{},[49,2902,2903,2906],{},[15,2904,2905],{},"Die „eierlegende Wollmilchsau\"-Spezifikation."," „Es soll alle unsere Daten kennen und alle unsere Fragen beantworten\" ist kein Use-Case, sondern eine Wunschliste. Erfolgreiche Piloten haben 1–2 sehr konkret beschriebene Anwendungsfälle.",[49,2908,2909,2912],{},[15,2910,2911],{},"Beim Pilot an der UX sparen."," Ein hässliches, langsames Interface wird nicht genutzt, egal wie sicher es ist. Mitarbeitende vergleichen mental mit ChatGPT – nicht mit der Excel-Tabelle, die sie ersetzen sollen.",[49,2914,2915,2918],{},[15,2916,2917],{},"Permissions später lösen."," Ein System, das im Pilot „erstmal alles zeigt\", muss im Produktivbetrieb komplett umgebaut werden. Permissions und ACLs gehören in Tag 1.",[49,2920,2921,2924],{},[15,2922,2923],{},"Zu kleines Modell wählen, um Geld zu sparen."," Ein 3B-Modell, das nicht überzeugend antwortet, kostet langfristig mehr (in Vertrauensverlust) als ein 13B-Modell auf einer richtigen GPU.",[49,2926,2927,2930],{},[15,2928,2929],{},"Kein Owner für den Betrieb."," Nach dem Pilot „läuft das Ding ja\". Bis es nicht mehr läuft, oder bis ein Modell-Update neue Antwortmuster bringt. Ohne klaren Operations-Owner zerfasert die Nutzung über 6–12 Monate.",[20,2932,2934],{"id":2933},"vom-pilot-zum-betrieb-in-30-tagen","Vom Pilot zum Betrieb in 30 Tagen",[11,2936,2937,2938,2941],{},"Code15 strukturiert Private-KI-Einführungen in einem ",[15,2939,2940],{},"definierten 30-Tage-Pilot-Modell"," statt in offenen Beratungsstunden. Das macht das Vorhaben für Geschäftsführung und Controlling planbar und reduziert das klassische Risiko von KI-Projekten („wir haben 200.000 € ausgegeben und niemand nutzt das Ding\").",[46,2943,2944,2950,2956,2962],{},[49,2945,2946,2949],{},[15,2947,2948],{},"Woche 1 – Scope und Erfolgskriterien:"," Use-Cases priorisieren, Datenquellen identifizieren, Erfolgskriterien definieren (z. B. „85 % der wiederkehrenden Recherchefragen beantwortet das System in unter 30 Sekunden\").",[49,2951,2952,2955],{},[15,2953,2954],{},"Woche 2 – Setup und Datenanbindung:"," Infrastruktur aufsetzen, erste 3–5 Datenquellen anbinden, Rechte-Konzept implementieren.",[49,2957,2958,2961],{},[15,2959,2960],{},"Woche 3 – Pilot mit 5–15 Nutzenden:"," echte Arbeit damit, Feedback einsammeln, Ingestion und Prompts anpassen.",[49,2963,2964,2967],{},[15,2965,2966],{},"Woche 4 – Übergabe und Betriebs-Check:"," Audit-Log, Backup, Monitoring, Schulungen, KI-Richtlinie. System geht in den geregelten Betrieb.",[11,2969,2970],{},"Nach 30 Tagen läuft eine produktive Plattform. Skalierung auf weitere Datenquellen und Nutzergruppen passiert anschließend in monatlichen Iterationen.",[20,2972,2974],{"id":2973},"beispiel-roi-steuerkanzlei-mit-50-mitarbeitenden","Beispiel-ROI: Steuerkanzlei mit 50 Mitarbeitenden",[11,2976,2977,2978,2981],{},"Eine Beispielrechnung aus unserer Praxis (Kanzlei, 50 MA, ca. 35 fachlich arbeitende Personen): Vor Einführung verbrachten Mitarbeitende ",[15,2979,2980],{},"im Schnitt 45 Minuten pro Tag"," mit Recherche in alten Akten, Verfahrensanweisungen, internen Klärungs-Mails und Steuerrichtlinien. Bei 35 Personen, 220 Arbeitstagen und einer internen Stundenrate von 65 € sind das:",[11,2983,2984,2985,2988],{},"35 × (45\u002F60) × 220 × 65 € ≈ ",[15,2986,2987],{},"376.000 €"," pro Jahr an unproduktiver Suchzeit.",[11,2990,2991,2992,2995,2996,2999,3000,3003],{},"Eine Private-KI-Plattform reduziert diesen Aufwand erfahrungsgemäß ",[15,2993,2994],{},"um 40–60 %"," (bei sauberem Pilot und realer Nutzung). Selbst auf der niedrigeren Schätzung sind das ca. ",[15,2997,2998],{},"150.000 €"," an wiedergewonnener Arbeitszeit pro Jahr. Setup- und Betriebskosten einer mittelgroßen Plattform liegen typischerweise im ",[15,3001,3002],{},"deutlich unteren sechsstelligen Bereich pro Jahr"," – die Amortisationszeit unter 12 Monaten.",[11,3005,3006,3007,3010],{},"Wichtig: Die wahre Wirkung liegt selten nur in der Effizienz, sondern in der ",[15,3008,3009],{},"Qualität"," der Antworten. Mandanten bekommen schneller belastbare Auskünfte; Onboarding neuer Mitarbeitender geht von Wochen auf Tage; Schlüsselwissen wird unabhängiger von einzelnen Personen.",[20,3012,3014],{"id":3013},"was-kostet-das","Was kostet das?",[11,3016,3017,3018,3021],{},"Eine ehrliche Antwort lautet: ",[15,3019,3020],{},"das hängt vom Setup-Umfang ab."," Faktoren sind die Anzahl der Nutzenden, das Modellbedürfnis (Open-Source on-prem vs. EU-Cloud-Premium), die Anzahl angebundener Datenquellen und die Frage, ob Sie selbst betreiben oder Managed Service kaufen.",[11,3023,3024,3025,3028],{},"Was wir verbindlich sagen können: Wir besprechen den konkreten Setup-Rahmen im Erstgespräch. Es gibt ",[15,3026,3027],{},"kein Modell, das im Mittelstand sinnvoll ist und gleichzeitig pauschal vorhersagbar ist"," – wer Ihnen pauschal eine Zahl nennt, optimiert ein Standardpaket, nicht Ihre tatsächlichen Use-Cases.",[11,3030,3031],{},"Faustregel: Ein produktiver Pilot (Woche 1–4) liegt deutlich unter dem, was eine durchschnittliche Datenpanne kostet (3,87 Mio. € in Deutschland 2025; 6,67 Mio. € in der Industrie laut IBM Cost of a Data Breach Report 2025). Der laufende Betrieb skaliert mit Nutzendenzahl und Datenvolumen, ist aber gut planbar – nicht nutzungsabhängig wie bei kommerziellen KI-Diensten.",[1166,3033],{"magnet":2457},[20,3035,1172],{"id":1171},[46,3037,3038,3047,3053,3058],{},[49,3039,3040,3041,3044,3045,318],{},"Wenn Sie noch entscheiden, ",[15,3042,3043],{},"ob Private KI oder ChatGPT Enterprise"," das Richtige ist: lesen Sie ",[108,3046,2116],{"href":2115},[49,3048,3049,3050,318],{},"Wenn Sie das Schatten-KI-Problem in Ihrem Haus eindämmen wollen: ",[108,3051,3052],{"href":669},"\"Schatten-KI im Unternehmen: 50 % nutzen sie heimlich – was tun?\"",[49,3054,3055,3056,318],{},"Wenn Sie als Geschäftsführerin oder Geschäftsführer die NIS2-Haftungsfrage klären müssen: ",[108,3057,1820],{"href":1819},[49,3059,3060,3061,3065],{},"Wenn Sie speziell als Steuerberater einsteigen: ",[108,3062,3064],{"href":3063},"\u002Fwissen\u002Fki-fuer-steuerberater","\"KI in der Steuerkanzlei: Praxis-Guide 2026\""," (in Vorbereitung).",[11,3067,3068,3069],{},"Wer das Thema lieber direkt durchsprechen möchte, ruft an: ",[15,3070,3071],{},"Direkt mit Nico Meyer, werktags 9–18 Uhr, ohne Verkaufsgespräch.",{"title":144,"searchDepth":145,"depth":145,"links":3073},[3074,3075,3080,3084,3085,3090,3091,3092,3093,3094,3095,3096,3097],{"id":2527,"depth":145,"text":2528},{"id":2577,"depth":145,"text":2578,"children":3076},[3077,3078,3079],{"id":2584,"depth":1534,"text":2585},{"id":2594,"depth":1534,"text":2595},{"id":2607,"depth":1534,"text":2608},{"id":2621,"depth":145,"text":2622,"children":3081},[3082,3083],{"id":2628,"depth":1534,"text":2629},{"id":2642,"depth":1534,"text":2643},{"id":2659,"depth":145,"text":2660},{"id":2702,"depth":145,"text":850,"children":3086},[3087,3088,3089],{"id":342,"depth":1534,"text":2705},{"id":2714,"depth":1534,"text":2715},{"id":2728,"depth":1534,"text":2729},{"id":2735,"depth":145,"text":2736},{"id":2788,"depth":145,"text":2789},{"id":2840,"depth":145,"text":2841},{"id":2894,"depth":145,"text":2895},{"id":2933,"depth":145,"text":2934},{"id":2973,"depth":145,"text":2974},{"id":3013,"depth":145,"text":3014},{"id":1171,"depth":145,"text":1172},"Wie mittelständische Unternehmen Künstliche Intelligenz produktiv einführen, ohne sensible Daten an US-Provider zu verlieren – DSGVO, NIS2 und Mandantengeheimnis konform.",[3100,3103,3106,3109,3112,3115,3118,3121],{"label":3101,"content":3102},"Was unterscheidet Private KI von ChatGPT Enterprise oder Microsoft Copilot?","Private KI bezeichnet eine KI-Plattform, die ausschließlich auf Infrastruktur betrieben wird, die das Unternehmen selbst kontrolliert – on-prem, in einer souveränen EU-Cloud oder hybrid. ChatGPT Enterprise und Microsoft Copilot sind Auftragsverarbeitungen über US-Konzerne; Daten verlassen das Unternehmen, auch wenn vertraglich Zusicherungen bestehen. Für Branchen mit Mandantengeheimnis oder NIS2-Pflichten ist das oft nicht ausreichend.",{"label":3104,"content":3105},"Brauche ich für eine Private KI ein eigenes Rechenzentrum?","Nein. Drei Hosting-Modelle sind sinnvoll: On-Premise im eigenen Rechenzentrum (höchste Kontrolle), in einer souveränen EU-Cloud (z. B. STACKIT, IONOS, Open Telekom Cloud) oder hybrid (Inferenz on-prem, Vektorindex EU-Cloud). Welches Modell passt, hängt von der Sensibilität der Daten, der vorhandenen IT-Infrastruktur und der Skalierungserwartung ab.",{"label":3107,"content":3108},"Wie lange dauert eine Private-KI-Einführung im Mittelstand?","Mit einem definierten Pilot-Modell läuft die erste produktive Private-KI-Plattform nach 30 Tagen. Woche 1 Scope, Woche 2 Setup und Datenanbindung, Woche 3 Pilot mit 5–15 Nutzenden, Woche 4 Übergabe in den Betrieb. Skalierung auf weitere Datenquellen passiert anschließend in monatlichen Iterationen.",{"label":3110,"content":3111},"Welche Datenschutz-Anforderungen muss eine Private KI erfüllen?","DSGVO-konforme Auftragsverarbeitung mit allen Sub-Providern, Eintrag im Verzeichnis von Verarbeitungstätigkeiten (Art. 30), Datenschutz-Folgenabschätzung bei sensiblen Daten (Art. 35), revisionssicheres Audit-Log (mindestens 12 Monate, NIS2-relevant), dokumentiertes Rollen- und Rechte-Konzept und eine schriftliche KI-Richtlinie für Mitarbeitende.",{"label":3113,"content":3114},"Halluziniert eine Private KI weniger als ChatGPT?","Halluzinationen sind ein Eigenschaft des Sprachmodells, nicht des Hostings. Eine Private-KI-Plattform reduziert Halluzinationen aber strukturell durch Retrieval-Augmented Generation (RAG): Antworten basieren auf Textauszügen aus eigenen Dokumenten, jede Antwort enthält Quellenangabe (Datei, Seite, Datum). Wo keine Quelle gefunden wird, soll das System dies sagen statt zu raten.",{"label":3116,"content":3117},"Wie geht eine Private KI mit Mitarbeitern um, die unterschiedliche Berechtigungen haben?","Über ein Rollen- und Rechte-Modell auf Dokumentenebene. Ein Praktikant darf keine Vorstandsverträge sehen, ein Mandanten-Sachbearbeiter keine Akten anderer Mandanten. Konkret: Jedes Dokument erhält ACLs (Access Control Lists) aus dem Quellsystem (SharePoint, DMS, Dateifreigabe), die in die Vektordatenbank übernommen und bei jeder Anfrage berücksichtigt werden.",{"label":3119,"content":3120},"Was passiert, wenn wir die Private KI später wechseln oder abschalten wollen?","Anders als bei ChatGPT Enterprise oder Copilot besitzen Sie sämtliche Daten, Modelle und Konfigurationen selbst – inklusive der Vektorindizes. Ein Wechsel der LLM-Plattform (z. B. von Llama auf Mistral) ist eine technische Migration ohne Vertrags-Lock-in. Eine Abschaltung verbleibt bei Ihnen ohne Datenrückforderung von Dritten.",{"label":3122,"content":3123},"Lohnt sich Private KI auch für 30 Mitarbeitende oder erst ab 200?","Sinnvoll wird Private KI ab etwa 10 aktiven Nutzenden, sobald regelmäßig sensible Daten verarbeitet werden oder eine Schatten-KI-Nutzung absehbar ist. Untergrenze wirtschaftlich: ca. 30 Mitarbeitende. Im Bereich 30–500 MA liegt der Schwerpunkt unserer Kunden – darüber sind die Anforderungen ähnlich, aber die IT-Strukturen meist eigenständig.",{},"18",{"title":2504,"description":3098},"wissen\u002Fprivate-ki-leitfaden",[337,435,686,342,684,559,344],"z5Huv2AvyOMzVPP13SwqL_7dl0AkccG1EuvAjtN3wZ8",{"id":3131,"title":3132,"author":182,"body":3133,"cover":328,"coverAlt":328,"dateModified":2494,"datePublished":2494,"description":3357,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":3358,"navigation":172,"path":2115,"pillar":335,"readMinutes":3359,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":3360,"speakable":172,"stem":3361,"tags":3362,"__hash__":3366},"wissen\u002Fwissen\u002Fprivate-ki-vs-chatgpt.md","Private KI vs. ChatGPT: Was deutscher Mittelstand 2026 wirklich braucht",{"type":8,"value":3134,"toc":3344},[3135,3149,3153,3156,3167,3171,3174,3178,3185,3189,3196,3200,3207,3211,3217,3221,3314,3318,3325,3327,3330,3335,3337],[11,3136,3137,3138,3141,3142,3145,3146,318],{},"Eine der häufigsten Fragen 2026: „Brauchen wir wirklich eine eigene KI – ChatGPT Enterprise oder Microsoft Copilot reichen doch?\" Die Antwort ist differenziert und hängt an drei Punkten: ",[15,3139,3140],{},"wo Daten landen",", ",[15,3143,3144],{},"wer haftet"," und ",[15,3147,3148],{},"welche Quellen das System sehen muss",[20,3150,3152],{"id":3151},"was-sie-mit-chatgpt-enterprise-copilot-bekommen","Was Sie mit ChatGPT Enterprise \u002F Copilot bekommen",[11,3154,3155],{},"Beide sind exzellente Produkte mit klaren Stärken: solide Modellqualität, riesiges Ökosystem, schnelle Einführung, vertraglich zugesicherte Auftragsverarbeitung. Für viele Standardaufgaben – Texte umformulieren, Mails zusammenfassen, Code-Snippets erklären – reichen sie aus.",[11,3157,3158,3159,3162,3163,3166],{},"Was sie aber ",[15,3160,3161],{},"strukturell"," nicht ändern: Ihre Daten verlassen Ihr Unternehmen. Auch wenn OpenAI und Microsoft vertraglich zusichern, Daten nicht zum Modelltraining zu verwenden, bleibt es eine ",[15,3164,3165],{},"Auftragsverarbeitung in den USA"," oder über US-Konzerne, mit den bekannten DSGVO-Grauzonen rund um den Cloud Act.",[20,3168,3170],{"id":3169},"wann-das-ein-problem-wird","Wann das ein Problem wird",[11,3172,3173],{},"Drei Konstellationen, in denen öffentliche KI-Dienste für Mittelständler 2026 keine saubere Lösung sind:",[1314,3175,3177],{"id":3176},"_1-sie-haben-mandantengeheimnis-oder-vergleichbare-berufsgeheimnisse","1. Sie haben Mandantengeheimnis oder vergleichbare Berufsgeheimnisse",[11,3179,3180,3181,3184],{},"Steuerberater, Wirtschaftsprüfer, Anwälte, Ärzte, Notare: Ihre Verschwiegenheitspflicht ist ",[15,3182,3183],{},"persönlich"," (nicht delegierbar) und wird von Berufskammern aktiv geprüft. Ein Verstoß ist berufsrechtlich relevant – nicht nur DSGVO-relevant. Eine externe Cloud, in der Mandantenakten landen, ist hier kein Alltag-Fall, sondern ein Ausnahmefall, der dokumentiert und genehmigt sein müsste.",[1314,3186,3188],{"id":3187},"_2-sie-unterliegen-nis2-oder-branchen-compliance-kritis-bafin-etc","2. Sie unterliegen NIS2 oder Branchen-Compliance (KRITIS, BAFIN, etc.)",[11,3190,3191,3192,3195],{},"Mit NIS2 wird Cyber-Sorgfalt zur ",[15,3193,3194],{},"Geschäftsführerpflicht",". Wer in einem Audit nicht erklären kann, wo welche Daten verarbeitet werden, bekommt ein Problem. Eine Private-KI-Plattform mit Audit-Log und vollständiger Datenkontrolle ist deutlich einfacher zu verteidigen als „wir nutzen ChatGPT Enterprise und vertrauen den Verträgen\".",[1314,3197,3199],{"id":3198},"_3-ihr-wertvollstes-asset-ist-ihr-internes-wissen","3. Ihr wertvollstes Asset ist Ihr internes Wissen",[11,3201,3202,3203,3206],{},"Konstruktionspläne im Maschinenbau, Verfahrensdokumentation in der Pharma, Strategiepapiere im Beratungsgeschäft, Prozesswissen im produzierenden Gewerbe: Wenn das, womit Sie Geld verdienen, ",[15,3204,3205],{},"nicht in einer fremden Cloud landen sollte",", ist eine Private-KI-Plattform keine teure Sonderlösung, sondern Standard-Risikomanagement.",[20,3208,3210],{"id":3209},"wann-chatgpt-copilot-ausreichen","Wann ChatGPT \u002F Copilot ausreichen",[11,3212,3213,3214,3216],{},"Genauso ehrlich umgekehrt: Wenn Ihr Unternehmen ",[15,3215,1606],{}," der oben genannten Punkte erfüllt – und die KI nur für unstrukturierte Texte ohne sensiblen Bezug genutzt wird – sind ChatGPT Enterprise oder Copilot oft die schnellere und einfachere Wahl. Sie zahlen für ein fertiges Produkt; Sie sparen sich Ingestion-Pipeline, Hosting und Betrieb. Wer „nur\" einen smarten Schreibassistenten will, braucht keine eigene Vektordatenbank.",[20,3218,3220],{"id":3219},"direkter-vergleich","Direkter Vergleich",[1002,3222,3223,3236],{},[1005,3224,3225],{},[1008,3226,3227,3230,3233],{},[1011,3228,3229],{},"Kriterium",[1011,3231,3232],{},"ChatGPT Enterprise \u002F Copilot",[1011,3234,3235],{},"Private KI (on-prem oder EU-Cloud)",[1021,3237,3238,3249,3260,3271,3282,3292,3303],{},[1008,3239,3240,3243,3246],{},[1026,3241,3242],{},"Wo landen Daten?",[1026,3244,3245],{},"Auftragsverarbeiter (US-Konzern, EU-Region)",[1026,3247,3248],{},"Eigene Infrastruktur oder EU-Cloud",[1008,3250,3251,3254,3257],{},[1026,3252,3253],{},"Mandantengeheimnis sauber?",[1026,3255,3256],{},"Eingeschränkt, einzelfallabhängig",[1026,3258,3259],{},"Ja, bei sauberer Architektur",[1008,3261,3262,3265,3268],{},[1026,3263,3264],{},"Antworten mit Quellen aus eigenen Dokumenten?",[1026,3266,3267],{},"Begrenzt (Connectors)",[1026,3269,3270],{},"Ja (RAG mit Quellenangabe)",[1008,3272,3273,3276,3279],{},[1026,3274,3275],{},"Rollen- und Rechte-Modell auf Dokumentebene?",[1026,3277,3278],{},"Begrenzt",[1026,3280,3281],{},"Ja, frei konfigurierbar",[1008,3283,3284,3287,3289],{},[1026,3285,3286],{},"Audit-Log NIS2-tauglich?",[1026,3288,3278],{},[1026,3290,3291],{},"Ja, vollständig im eigenen System",[1008,3293,3294,3297,3300],{},[1026,3295,3296],{},"Time-to-Value",[1026,3298,3299],{},"Tage",[1026,3301,3302],{},"30 Tage (mit Pilot-Modell)",[1008,3304,3305,3308,3311],{},[1026,3306,3307],{},"Laufende Kosten",[1026,3309,3310],{},"Pro User pro Monat",[1026,3312,3313],{},"Setup + Betrieb (planbar)",[20,3315,3317],{"id":3316},"häufiger-mittelweg-hybrid","Häufiger Mittelweg: Hybrid",[11,3319,3320,3321,3324],{},"In der Praxis sehen wir 2026 oft einen ",[15,3322,3323],{},"Hybrid-Ansatz",": ChatGPT Enterprise oder Copilot für den breiten Mitarbeiter-Alltag (Texte, Schnellzugriff, allgemeine Recherche) – und parallel eine Private-KI-Plattform für die wirklich sensiblen Use-Cases (Mandantenakten, Verträge, interne Strategie). Das gibt Mitarbeitenden Komfort und schützt das Kronjuwel-Wissen.",[20,3326,2429],{"id":2428},[11,3328,3329],{},"Die richtige Frage ist nicht „ChatGPT oder Private KI?\", sondern: „Wo verläuft bei uns die Linie zwischen unkritisch und kritisch?\". Diese Linie zu ziehen ist eine Geschäftsführungs-Entscheidung, kein IT-Projekt. Wer diese Frage nicht aktiv beantwortet, beantwortet sie passiv – und das ist genau das, was bei einem NIS2-Audit nicht überzeugend wirkt.",[11,3331,3332,3333],{},"Wer die Frage einmal sauber durchsprechen will – wo bei Ihnen die Linie verläuft, was öffentliche KI abdeckt und wo Private KI sinnvoll ist – ruft an: ",[15,3334,1206],{},[20,3336,2461],{"id":2460},[46,3338,3339],{},[49,3340,3341,3343],{},[108,3342,1179],{"href":422}," – der Hauptleitfaden mit Architektur, DSGVO\u002FNIS2 und Pilot-Modell.",{"title":144,"searchDepth":145,"depth":145,"links":3345},[3346,3347,3352,3353,3354,3355,3356],{"id":3151,"depth":145,"text":3152},{"id":3169,"depth":145,"text":3170,"children":3348},[3349,3350,3351],{"id":3176,"depth":1534,"text":3177},{"id":3187,"depth":1534,"text":3188},{"id":3198,"depth":1534,"text":3199},{"id":3209,"depth":145,"text":3210},{"id":3219,"depth":145,"text":3220},{"id":3316,"depth":145,"text":3317},{"id":2428,"depth":145,"text":2429},{"id":2460,"depth":145,"text":2461},"ChatGPT, Copilot oder eigene Private-KI-Plattform? Ein nüchterner Vergleich für mittelständische Unternehmen mit DSGVO-, NIS2- und Mandantengeheimnis-Anforderungen.",{},"5",{"title":3132,"description":3357},"wissen\u002Fprivate-ki-vs-chatgpt",[337,3363,3364,435,344,3365],"chatgpt","copilot","vergleich","_xa_KBPh-i-Q-D2iVvX_h54E8BefEp03cejr_hZ9iWU",{"id":3368,"title":3369,"author":182,"body":3370,"cover":328,"coverAlt":328,"dateModified":329,"datePublished":2494,"description":3614,"draft":157,"extension":155,"faqItems":328,"format":1546,"meta":3615,"navigation":172,"path":669,"pillar":335,"readMinutes":2139,"relatedServiceSlug":337,"relatedVariantSlug":328,"seo":3616,"speakable":172,"stem":3617,"tags":3618,"__hash__":3619},"wissen\u002Fwissen\u002Fschatten-ki-eindaemmen.md","Schatten-KI im Unternehmen: 50 % nutzen sie heimlich – was tun?",{"type":8,"value":3371,"toc":3605},[3372,3375,3381,3385,3388,3418,3421,3425,3428,3431,3451,3462,3466,3469,3489,3495,3499,3512,3515,3535,3538,3542,3545,3565,3567,3577,3580,3582,3584,3600],[11,3373,3374],{},"„Wir haben das nicht erlaubt.\" Diesen Satz hören wir 2026 von vielen Geschäftsführern, kurz bevor wir gemeinsam einen Stichprobentest auf den Browser-History-Logs machen. Das Ergebnis: ChatGPT, Claude, Gemini und ein halbes Dutzend AI-Wrapper-Dienste tauchen in fast jedem Unternehmen auf – auch dort, wo offiziell „keine KI\" eingesetzt wird.",[11,3376,3377,3378,3380],{},"Das Phänomen heißt ",[15,3379,408],{},". Und es ist 2026 die wahrscheinlich größte unbewertete Compliance-Lücke in deutschen Mittelstands-Unternehmen.",[20,3382,3384],{"id":3383},"wie-groß-ist-das-problem-wirklich","Wie groß ist das Problem wirklich?",[11,3386,3387],{},"Vier aktuelle Erhebungen zeichnen ein konsistentes Bild:",[46,3389,3390,3396,3402,3412],{},[49,3391,3392,3395],{},[15,3393,3394],{},"Software AG „Chasing Shadows\" (2024):"," Mehr als die Hälfte der Knowledge Worker (n=6.000 in DE\u002FUSA\u002FUK) nutzt KI-Tools, die ihre IT nicht kennt.",[49,3397,3398,3401],{},[15,3399,3400],{},"CybSafe \u002F NCA „Oh Behave!\" (2024):"," 38 % aller Mitarbeitenden (n>7.000) geben sensible Daten in KI-Tools ein – Mandantenakten, Kalkulationen, Strategiepapiere, Quellcode.",[49,3403,3404,3407,3408,3411],{},[15,3405,3406],{},"IBM Cost of a Data Breach Report (2025):"," Nur 17 % der Unternehmen haben automatisierte Controls (Blocking\u002FScanning), die das Hochladen vertraulicher Daten in öffentliche KI-Tools verhindern. Datenpannen mit hohem Schatten-KI-Anteil kosten im Schnitt ",[15,3409,3410],{},"670.000 USD mehr"," als ohne. 97 % der Unternehmen mit KI-Sicherheitsvorfall hatten keine sauberen AI-Access-Controls.",[49,3413,3414,3417],{},[15,3415,3416],{},"IBM (2025):"," Eine durchschnittliche Datenpanne in Deutschland kostet 3,87 Mio. € (Industrie: 6,67 Mio. €). Trotz Rückgang gegenüber dem Vorjahr (4,9 Mio. €) bleibt sie ein zentrales Geschäftsrisiko.",[11,3419,3420],{},"Im NIS2-Audit ist „wir wissen nicht, wo unsere Daten verarbeitet werden\" eine Aussage, die Geschäftsführer-Haftung auslöst – und das deutsche NIS2-Umsetzungsgesetz ist seit Dezember 2025 ohne Übergangsfrist in Kraft.",[20,3422,3424],{"id":3423},"warum-nutzen-mitarbeitende-schatten-ki-überhaupt","Warum nutzen Mitarbeitende Schatten-KI überhaupt?",[11,3426,3427],{},"Aus einer einfachen, oft übersehenen Logik: Sie sparen damit Zeit – und sie haben für ihren Aufgabenbereich oft keine offizielle, gleich gute Alternative.",[11,3429,3430],{},"Drei typische Muster:",[453,3432,3433,3439,3445],{},[49,3434,3435,3438],{},[15,3436,3437],{},"Der Schreiber."," Eine Sachbearbeiterin formuliert E-Mails an Mandanten oder Kunden. ChatGPT spart ihr 10 Minuten pro E-Mail. Bei 8 E-Mails am Tag sind das 80 Minuten – jeden Tag.",[49,3440,3441,3444],{},[15,3442,3443],{},"Die Recherchierende."," Ein Steuerassistent sucht nach BFH-Urteilen oder Verwaltungsanweisungen zu einem Spezialfall. ChatGPT liefert in 30 Sekunden, wofür sonst eine halbe Stunde Recherche nötig ist.",[49,3446,3447,3450],{},[15,3448,3449],{},"Der Code-Übersetzer."," Ein Entwickler oder ein technischer Sachbearbeiter braucht eine SQL-Abfrage oder ein Excel-Makro. ChatGPT erstellt es. Die Alternative wäre 60 Minuten Stack Overflow oder ein Ticket bei der IT.",[11,3452,3453,3454,3457,3458,3461],{},"In all diesen Fällen ist die KI nicht ",[15,3455,3456],{},"Bequemlichkeit",", sondern ",[15,3459,3460],{},"Produktivität",". Und sie wird nicht aufhören – egal, was die Compliance-Abteilung schreibt.",[20,3463,3465],{"id":3464},"warum-verbote-scheitern","Warum Verbote scheitern",[11,3467,3468],{},"Wir sehen in der Praxis immer dieselben Verlaufsmuster, wenn Unternehmen versuchen, Schatten-KI per Richtlinie zu unterbinden:",[453,3470,3471,3477,3483],{},[49,3472,3473,3476],{},[15,3474,3475],{},"Phase 1 (Wochen 1–4):"," Richtlinie wird kommuniziert, formal akzeptiert. Nutzung sinkt sichtbar.",[49,3478,3479,3482],{},[15,3480,3481],{},"Phase 2 (Wochen 5–12):"," Druck im Tagesgeschäft kommt zurück. Mitarbeitende finden Wege – privates Smartphone, persönlicher Browser-Login, lokal installierte Apps. Nutzung steigt wieder.",[49,3484,3485,3488],{},[15,3486,3487],{},"Phase 3 (ab Monat 4):"," Ein Teil hat resigniert (und arbeitet langsamer als möglich), ein anderer Teil nutzt Schatten-KI noch versteckter als vorher. Compliance hat formal gewonnen, faktisch verloren.",[11,3490,3491,3492,3494],{},"Verbote funktionieren in einer Welt mit einem Tool und einem klaren Risiko. Bei KI haben Sie zehn Tools, fünf Eingabewege und einen Produktivitäts-Hebel, den Mitarbeitende ",[15,3493,3183],{}," spüren. Das lässt sich nicht regulieren.",[20,3496,3498],{"id":3497},"was-strukturell-funktioniert-die-offizielle-alternative","Was strukturell funktioniert: die offizielle Alternative",[11,3500,3501,3502,3505,3506,3508,3509,3511],{},"Erfolgreich ist nur ein Modell: Sie geben Mitarbeitenden eine ",[15,3503,3504],{},"offizielle, gleich gute oder bessere KI-Alternative",", die ihre Daten nicht das Unternehmen verlassen lässt. Konkret eine ",[15,3507,2523],{}," (wir haben das im ",[108,3510,1341],{"href":422}," ausführlich beschrieben).",[11,3513,3514],{},"Drei Eigenschaften, die sie haben muss:",[46,3516,3517,3523,3529],{},[49,3518,3519,3522],{},[15,3520,3521],{},"UX auf ChatGPT-Niveau."," Geschwindigkeit, Antwortqualität, mobile Nutzbarkeit. Wenn die offizielle Lösung lahmer und hässlicher ist als die Schatten-Lösung, gewinnt die Schatten-Lösung.",[49,3524,3525,3528],{},[15,3526,3527],{},"Klare „Was ist erlaubt\"-Kommunikation."," Mitarbeitende brauchen explizit die Erlaubnis, sensitive Inhalte einzugeben – sonst nutzen sie weiter heimlich, in der Annahme, dass „KI mit echten Daten\" verboten sei.",[49,3530,3531,3534],{},[15,3532,3533],{},"Audit-Log, das auch der Mitarbeitenden helfen kann."," Sehen können, was sie gefragt haben, was geantwortet wurde, woher die Quellen kamen. Das schafft Vertrauen statt Überwachungsangst.",[11,3536,3537],{},"Sobald diese drei Bedingungen erfüllt sind, kippt das Verhalten innerhalb von 4–8 Wochen. Mitarbeitende ziehen freiwillig auf die offizielle Plattform um, weil sie schneller und sicherer ist als die heimliche Variante. Ein Verbot ist dann gar nicht mehr nötig – Schatten-KI verschwindet von selbst.",[20,3539,3541],{"id":3540},"was-sie-diese-woche-tun-können","Was Sie diese Woche tun können",[11,3543,3544],{},"Drei Schritte, die in jeder Mittelstands-Organisation 2026 sofort sinnvoll sind:",[453,3546,3547,3553,3559],{},[49,3548,3549,3552],{},[15,3550,3551],{},"Sichtbarkeit schaffen, ohne Schuld zuzuweisen."," Eine anonyme Kurzumfrage („Welche KI-Tools nutzt du im Arbeitsalltag, auch privat-zugängliche?\") liefert in einer Woche ein realistisches Bild. Wer Strafe androht, bekommt Schweigen.",[49,3554,3555,3558],{},[15,3556,3557],{},"Eine vorläufige KI-Richtlinie auf einer DIN-A4-Seite."," Was darf in welche KI? Wo nicht? Wer hilft im Zweifel? Eine Seite, die Mitarbeitende verstehen, ist mehr wert als ein 30-seitiges Compliance-Dokument, das niemand liest.",[49,3560,3561,3564],{},[15,3562,3563],{},"Eine Private-KI-Pilotphase planen."," Nicht „wir prüfen\", sondern eine konkrete 30-Tage-Roadmap mit definiertem Scope, Pilot-Gruppe und Erfolgskriterien. Solange das nicht in Ihrem Kalender steht, wird Schatten-KI weiter wachsen.",[20,3566,2429],{"id":2428},[11,3568,3569,3570,3573,3574,3576],{},"Wer Schatten-KI 2026 ignoriert, hat in 12 Monaten ein NIS2-Auditproblem ",[15,3571,3572],{},"und"," ein Berufsrechtsproblem ",[15,3575,3572],{}," einen messbaren Produktivitätsverlust gegenüber Wettbewerbern, die das Thema gelöst haben.",[11,3578,3579],{},"Wer das Thema strukturell anpackt – mit einer offiziellen Private-KI-Plattform statt mit Verboten – gewinnt auf drei Ebenen gleichzeitig: Compliance, Produktivität, Mitarbeiterzufriedenheit.",[1166,3581],{"magnet":2457},[20,3583,2461],{"id":2460},[46,3585,3586,3590,3595],{},[49,3587,3588,3343],{},[108,3589,1179],{"href":422},[49,3591,3592,3594],{},[108,3593,2116],{"href":2115}," – wann eine öffentliche KI ausreicht, wann nicht.",[49,3596,3597,3599],{},[108,3598,1820],{"href":1819}," – die regulatorische Seite des Schatten-KI-Risikos.",[11,3601,3602,3603],{},"Wer das Thema in der eigenen Organisation diskutieren möchte: ",[15,3604,1206],{},{"title":144,"searchDepth":145,"depth":145,"links":3606},[3607,3608,3609,3610,3611,3612,3613],{"id":3383,"depth":145,"text":3384},{"id":3423,"depth":145,"text":3424},{"id":3464,"depth":145,"text":3465},{"id":3497,"depth":145,"text":3498},{"id":3540,"depth":145,"text":3541},{"id":2428,"depth":145,"text":2429},{"id":2460,"depth":145,"text":2461},"Aktuelle Studien zu Schatten-KI in deutschen Unternehmen, was sie kostet, warum Verbote nicht funktionieren und wie eine offizielle Private-KI-Plattform das Problem strukturell löst.",{},{"title":3369,"description":3614},"wissen\u002Fschatten-ki-eindaemmen",[337,684,435,344,687],"lswVgIEJ_9TIhP7KWlqVDzumjDXXZEacx7GCcGrQYOk",1778412786664]