KrambergAI
E-Book · Praxisleitfaden

KI-Mitarbeiter sicher in Geschäftsprozesse integrieren

Wie mittelständische Unternehmen KI-Assistenten und KI-Agenten mit definierten Aufgaben, begrenzten Berechtigungen und klarer menschlicher Verantwortung produktiv einsetzen.

Ein strukturierter Weg vom ersten Anwendungsfall bis zum kontrollierten Produktivbetrieb – mit Prozessauswahl, Rollen- und Berechtigungskonzept, Sicherheits- und Datenschutzanforderungen sowie einem erprobten 90-Tage-Pilotmodell.

KrambergAI GmbH
krambergai.com
Stand: 2026
Datenschutz nach EU-DSGVO · Made in Germany
KrambergAI
Inhalt

Übersicht

Inhaltsverzeichnis

Vom betriebswirtschaftlichen Rahmen über Architektur, Rollen und Berechtigungen bis zu Sicherheit, Betrieb und Praxisbeispielen. Jeder Teil lässt sich einzeln als Arbeitsgrundlage nutzen.

IWarum KI-Mitarbeiter zum Managementthema werden
  • ·Management Summary und sieben Kontrollschichten
  • ·Vom KI-Experiment zum betrieblichen Einsatz
  • ·Was ist ein KI-Mitarbeiter? Begriffe und Autonomiestufen
IIDer Geschäftsprozess bestimmt die Architektur
  • ·Nicht den Mitarbeiter, sondern die Aufgabe automatisieren
  • ·Welche Prozesse eignen sich? Anwendungsfall-Scorecard
  • ·Die technische Integrationsarchitektur
IIIRolle, Wissen und Berechtigungen gestalten
  • ·Einen KI-Mitarbeiter wie eine betriebliche Rolle beschreiben
  • ·Unternehmenswissen als kontrollierte Arbeitsgrundlage
  • ·Eigene Identität und minimale Berechtigungen
  • ·Menschliche Kontrollpunkte sinnvoll setzen
IVSicherheit, Datenschutz und Regulierung
  • ·Neue Sicherheitsrisiken durch KI-Agenten
  • ·Qualität muss messbar werden
  • ·Datenschutz, AI Act und betriebliche Mitwirkung
  • ·Datensouveränität und Verarbeitungsstandort
VVerantwortlichkeiten und Betrieb
  • ·Ein praktikables Betriebsmodell für den Mittelstand
  • ·Der 90-Tage-Pilot
VIPraxisbeispiele
  • ·Technischer Kundendienst und SHK
  • ·Angebotsvorbereitung im Bau- und Projektgeschäft
  • ·Verkehrssicherung und operative Einsatzplanung
VIITypische Fehlentscheidungen
  • ·Zehn Gründe, warum KI-Mitarbeiter im Betrieb scheitern
VIIIChecklisten und Entscheidungshilfen
  • ·Go-live-Checkliste
  • ·Reifegrad-Selbstcheck
  • ·Managemententscheidung und nächster Schritt
  • ·Quellen und Haftungshinweis
KrambergAI
Teil I · Einordnung

Management Summary

Nutzen entsteht nicht durch das Modell, sondern durch die Einbindung

KI-Mitarbeiter versprechen Entlastung bei Kundenanfragen, Angeboten, Dokumentation, Disposition und wiederkehrenden Verwaltungsaufgaben. In der Praxis entsteht der Nutzen jedoch nicht durch das Sprachmodell allein, sondern dadurch, wie der KI-Mitarbeiter in den jeweiligen Geschäftsprozess eingebunden wird.

Was ein produktiv nutzbarer KI-Mitarbeiter benötigt

1Klarer Auftrag

Ein abgegrenzter Auftrag statt eines universellen Zuständigkeitsbereichs.

2Verlässliche Quellen

Freigegebene, aktuelle Informationsquellen als Arbeitsgrundlage.

3Eigene Identität

Eine eigene technische Identität für volle Nachvollziehbarkeit.

4Begrenzte Rechte

Systemrechte, beschränkt auf das für die Aufgabe Notwendige.

5Kontrollpunkte

Menschliche Freigabe- und Eskalationspunkte an den richtigen Stellen.

6Messbare Qualität

Prüfbare Qualitätskriterien, Protokollierung und Monitoring.

Hinzu kommt ein geregelter Umgang mit Fehlern und Sicherheitsvorfällen. Damit unterscheidet sich ein betrieblicher KI-Mitarbeiter grundlegend von einem frei verwendeten Chatbot: Er arbeitet innerhalb einer Prozesskette, liest etwa eine Kundenanfrage, gleicht sie mit dem CRM ab, fordert fehlende Angaben an, bereitet einen Vorgang vor und übergibt ihn an einen verantwortlichen Mitarbeiter.

Je näher ein KI-System an Entscheidungen, Kundenzusagen, Zahlungsströme oder personenbezogene Daten heranrückt, desto wichtiger werden Berechtigungsmanagement, Freigaben und Nachvollziehbarkeit.

Zentrale Empfehlung

Automatisieren Sie nicht zuerst Entscheidungen. Automatisieren Sie zuerst Vorbereitung, Strukturierung und Übergabe.

Ein sicherer Einstieg beginnt daher meist assistierend. Erst nach belastbaren Praxiserfahrungen sollte der KI-Mitarbeiter begrenzte Aktionen selbst ausführen.

KrambergAI
Teil I · Einordnung

Management Summary

Die sieben Kontrollschichten eines betrieblichen KI-Mitarbeiters

Ein beherrschbarer KI-Einsatz lässt sich in sieben aufeinander aufbauende Schichten gliedern. Sie bilden zugleich die Struktur dieses E-Books: von der wirtschaftlichen Zielsetzung über Architektur und Berechtigungen bis zu Qualitätssicherung und laufendem Betrieb.

1
Geschäftszweck und messbares ZielEin konkretes, wirtschaftlich relevantes Problem und eine überprüfbare Zielgröße.
2
Abgegrenzter ProzessabschnittEin klar umrissener Ausschnitt eines Ablaufs statt eines ganzen Aufgabenfelds.
3
Freigegebene Daten- und WissensquellenVerantwortete, versionierte und aktuelle Inhalte als Arbeitsgrundlage.
4
Technische Identität und BerechtigungenEine eigene Identität mit minimalen, technisch durchgesetzten Rechten.
5
Menschliche Freigabe- und EskalationspunkteKontrolle dort, wo ein Fehler relevante Folgen hätte.
6
Qualitätsmessung und ProtokollierungTestfälle, Abnahmekriterien und lückenlose Nachvollziehbarkeit.
7
Betrieb, Monitoring und kontinuierliche VerbesserungBenannte Verantwortung, Fehleranalyse und geregelte Änderungen.
Ergebnis

Das Ergebnis ist kein unkontrollierter digitaler Alleskönner, sondern eine spezialisierte Software-Rolle innerhalb eines beherrschbaren Geschäftsprozesses. Genau darin liegt der Unterschied zwischen einem beeindruckenden Demonstrator und einem verlässlichen Betriebsmittel.

So lesen Sie den Leitfaden: Teile I–IV schaffen die fachliche und regulatorische Grundlage, Teil V Betrieb und Pilotierung, Teil VI drei Praxisfälle, Teile VII–VIII Fehlerbilder, Checklisten und Entscheidungshilfen.

KrambergAI
Teil I · Warum KI zum Managementthema wird

Marktentwicklung

Vom KI-Experiment zum betrieblichen Einsatz

Der Einsatz künstlicher Intelligenz in deutschen Unternehmen nimmt deutlich zu. Nach Angaben des Statistischen Bundesamts nutzten 2025 rund 26 Prozent der Unternehmen mit mindestens zehn Beschäftigten KI-Technologien. Die Nutzung hängt stark von der Unternehmensgröße ab.

KI-Nutzung 2025 nach Beschäftigtengrößenklasse (Statistisches Bundesamt)
UnternehmensgrößeAnteil mit KI-Nutzung
10 bis 49 Beschäftigte23 %
50 bis 249 Beschäftigte36 %
ab 250 Beschäftigte57 %
Gesamt (ab 10 Beschäftigte)26 %

Das KfW-Mittelstandspanel kommt für den breiter definierten deutschen Mittelstand auf einen KI-Nutzungsanteil von 20 Prozent. Besonders häufig setzen größere, international tätige sowie forschungsaktive Mittelständler KI ein.

Die abweichenden Zahlen sind kein Widerspruch. Sie beruhen auf unterschiedlichen Unternehmensdefinitionen, Stichproben und Fragestellungen. Gemeinsam zeigen die Erhebungen jedoch eine eindeutige Entwicklung: KI wechselt vom individuellen Hilfsmittel einzelner Mitarbeiter in den geregelten Unternehmenseinsatz.

Einordnung

Die Zahlen markieren einen Übergang. Nicht mehr die Frage, ob KI im Unternehmen vorkommt, ist entscheidend – sie kommt vielerorts bereits über einzelne Mitarbeiter herein –, sondern ob dieser Einsatz geordnet, verantwortet und überprüfbar erfolgt.

KrambergAI
Teil I · Warum KI zum Managementthema wird

Marktentwicklung

Die nächste Stufe: von der Nutzung zur Handlung

Auch die nächste Entwicklungsstufe ist bereits sichtbar. In einer internationalen Unternehmensbefragung von McKinsey gaben 62 Prozent der Befragten an, dass ihre Organisation bereits mit KI-Agenten experimentiert. 23 Prozent berichteten, agentische Systeme zumindest in einem Unternehmensbereich zu skalieren. Gleichzeitig hatten fast zwei Drittel der Unternehmen KI noch nicht unternehmensweit skaliert.

Genau an dieser Stelle entsteht eine Umsetzungslücke zwischen technischer Möglichkeit und betrieblicher Beherrschbarkeit:

  • Die Modelle werden leistungsfähiger.
  • Die Anzahl verfügbarer KI-Werkzeuge steigt.
  • Erste Mitarbeiter erzielen persönliche Produktivitätsgewinne.
  • Die betrieblichen Prozesse, Verantwortlichkeiten und Kontrollmechanismen entwickeln sich langsamer.

Was der Nutzen wert ist – und wovon er abhängt

Die OECD fasst experimentelle Untersuchungen zusammen, nach denen generative KI bei geeigneten Tätigkeiten wie Kundenservice, Softwareentwicklung, Recherche und Textverarbeitung durchschnittliche Produktivitätssteigerungen von etwa 5 bis mehr als 25 Prozent ermöglichen kann. Die Wirkung hängt jedoch stark von Aufgabe, Qualifikation, Prozessgestaltung und Qualitätssicherung ab.

In einer OECD-Befragung von mehr als 5.000 kleinen und mittleren Unternehmen aus sieben Ländern berichteten 65,1 Prozent der Nutzer generativer KI von einer verbesserten Arbeitsleistung. Die Studie betont zugleich die Bedeutung von Qualifizierung, verantwortlicher Nutzung und organisatorischer Einbettung. Der Produktivitätsgewinn ist also kein Automatismus, sondern das Ergebnis guter Prozessarbeit.

Die entscheidende Managementfrage

Nicht: „Welches KI-Modell sollen wir einsetzen?“ – sondern: „Welchen abgegrenzten Prozessschritt kann ein KI-System unter welchen Bedingungen übernehmen?“

KrambergAI
Teil I · Grundlagen

Begriffe

Was ist ein KI-Mitarbeiter?

Der Begriff „KI-Mitarbeiter“ beschreibt kein Beschäftigungsverhältnis und keine eigenständige verantwortliche Person. Gemeint ist eine softwarebasierte Rolle, die innerhalb vorgegebener Grenzen betriebliche Aufgaben bearbeitet. Ein KI-Mitarbeiter kombiniert dabei typischerweise ein Sprach- oder Multimodalmodell, unternehmensspezifische Anweisungen, Zugriff auf freigegebenes Unternehmenswissen, Schnittstellen zu betrieblichen Anwendungen, Regeln für Entscheidungen und Eskalationen sowie Protokollierung und Qualitätskontrollen.

Drei Begriffe sauber getrennt

KI-Assistent
reagiert auf Anfragen und erzeugt Text, Zusammenfassungen oder Vorschläge, führt aber keine eigenständigen Aktionen in Fachsystemen aus.
KI-Agent
plant mehrere Schritte selbst und ruft Werkzeuge oder Systemfunktionen auf, um ein vorgegebenes Ziel zu erreichen („agentisches System“).
KI-Mitarbeiter
bezeichnet in diesem Leitfaden die betriebliche Rolle mit klarem Auftrag und definierten Grenzen – unabhängig davon, ob sie eher assistierend oder agentisch ausgeprägt ist.

Vom Chatbot zum KI-Mitarbeiter

StufeFunktionsweiseBeispiel
Informationsassistentbeantwortet Fragen auf Basis freigegebener Quellensucht eine Wartungsanweisung
Arbeitsassistenterstellt Entwürfe und strukturiert Informationenbereitet ein Angebot vor
Prozessassistentbearbeitet mehrere zusammenhängende Prozessschritteerfasst Anfrage und legt CRM-Vorgang an
Handlungsagentführt freigegebene Aktionen in Systemen ausversendet bestätigte Terminoptionen
Teilautonomes Systementscheidet innerhalb definierter Grenzen selbstpriorisiert standardisierte Vorgänge

Für die meisten mittelständischen Unternehmen sind die ersten drei Stufen der sinnvollste Einstieg. Dort lässt sich bereits erheblicher Nutzen erzielen, ohne dem KI-System weitreichende Entscheidungsmacht einzuräumen.

KrambergAI
Teil I · Grundlagen

Autonomie

Vier Autonomiestufen für die Praxis

Für die konkrete Ausgestaltung hat sich eine feinere Einteilung bewährt. Sie beschreibt, wie viel ein KI-Mitarbeiter selbst tun darf – und ab wann ein Mensch eingebunden ist.

0Nur Vorschlag

Der KI-Mitarbeiter erstellt einen Entwurf. Ein Mitarbeiter prüft und übernimmt ihn manuell.
Beispiel: Entwurf eines Antwortschreibens auf eine Reklamation.

1Vorbereitung mit Freigabe

Der KI-Mitarbeiter liest Daten und bereitet einen Vorgang vor. Die Aktion wird erst nach menschlicher Freigabe ausgeführt.
Beispiel: Anlage eines Serviceauftrags nach Freigabe durch die Disposition.

2Begrenzte Ausführung

Der KI-Mitarbeiter führt risikoarme Aktionen innerhalb fester Regeln selbst aus.
Beispiel: Versand einer Eingangsbestätigung oder Anforderung fehlender Pflichtangaben.

3Kontrollierte Teilautonomie

Der KI-Mitarbeiter bearbeitet einen standardisierten Prozess weitgehend selbst. Ausnahmen und relevante Entscheidungen werden eskaliert.
Beispiel: bestimmte Wartungsterminanfragen bei Bestandskunden mit Wartungsvertrag.

Grundregel

Die Autonomiestufe richtet sich nicht nach den technischen Fähigkeiten des Modells. Sie richtet sich nach dem möglichen Schaden einer fehlerhaften Aktion.

Diese Regel zieht sich durch den gesamten Leitfaden: Nicht was ein Modell kann, bestimmt die Freiheitsgrade, sondern was im Fehlerfall passieren würde und wie gut sich dieser Fehler erkennen und rückgängig machen lässt.

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Zuschnitt

Nicht den Mitarbeiter, sondern die Aufgabe automatisieren

Viele KI-Projekte beginnen mit einer eindrucksvollen Produktdemonstration. Das System beantwortet Fragen, schreibt überzeugende Texte und wirkt leistungsfähig. Daraus entsteht schnell der Wunsch, einen möglichst universellen KI-Mitarbeiter einzuführen. Dieser Ansatz scheitert häufig im Betrieb: Ein universeller Auftrag wie „Unterstütze unseren Vertrieb“ enthält zu viele unterschiedliche Aufgaben, Informationsquellen, Entscheidungen und Risiken.

Ein belastbarer KI-Anwendungsfall beginnt deshalb nicht mit einer Abteilung, sondern mit einem abgegrenzten Prozessereignis.

Beispiel: „Kundenservice automatisieren“

Diese Formulierung ist zu breit. Der tatsächliche Prozess besteht aus einzelnen Schritten mit sehr unterschiedlichem Risiko:

  1. Kundenanfrage geht per E-Mail, Telefonformular oder Webformular ein.
  2. Kunde, Objekt und Vertragsstatus werden identifiziert.
  3. Das Anliegen wird einer Vorgangsart zugeordnet.
  4. Fehlende Angaben werden ermittelt.
  5. Dringlichkeit und Zuständigkeit werden geprüft.
  6. Ein Servicevorgang wird angelegt.
  7. Der nächste Bearbeitungsschritt wird vorbereitet.
  8. Der Kunde erhält eine Rückmeldung.
  9. Ein Mitarbeiter übernimmt Ausnahmen.

Nicht jeder dieser Schritte trägt dasselbe Risiko. Eine Eingangsbestätigung kann der KI-Mitarbeiter meist selbst versenden. Die Zusage eines verbindlichen Termins, die Anerkennung einer Gewährleistung oder die Einstufung eines Sicherheitsvorfalls erfordern dagegen andere Kontrollen. Wer den gesamten Block automatisiert, automatisiert das höchste Risiko gleich mit.

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Zuschnitt

Die richtige Zerlegung eines Prozesses

Für jeden einzelnen Prozessschritt werden fünf Fragen beantwortet. Erst ihre Antworten machen aus einer Idee einen umsetzbaren und prüfbaren Anwendungsfall.

1
Was löst den Schritt aus?E-Mail, Formular, Telefonnotiz, Systemereignis oder manueller Auftrag.
2
Welche Informationen werden benötigt?Kundendaten, Vertragsstatus, Produktinformationen, Richtlinien oder Projektdokumente.
3
Welche Aktion soll ausgeführt werden?Klassifizieren, zusammenfassen, vergleichen, eintragen, senden oder eskalieren.
4
Welcher Fehler könnte entstehen?Falsche Zuordnung, Datenabfluss, unzulässige Zusage, Terminfehler oder unzutreffende Information.
5
Wer trägt die fachliche Verantwortung?Vertrieb, Kundendienst, Disposition, Projektleitung, Personalabteilung oder Geschäftsführung.

Der Prozesssteckbrief

Die Antworten werden in einem kompakten Steckbrief festgehalten. Er ist die gemeinsame fachliche Grundlage für Architektur, Datenschutzprüfung, Berechtigungen und Abnahmetests.

Rahmen: Prozessname · Fachbereich · Prozessverantwortlicher · auslösendes Ereignis

Inhalt: Eingaben und Datenquellen · gewünschtes Ergebnis · zulässige Aktionen · ausgeschlossene Aktionen

Kontrolle: Freigabepunkte · Eskalationsregeln · Qualitätskriterien

Nachweis: Dokumentationsanforderungen · Protokollierung

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Prozessauswahl

Welche Prozesse eignen sich?

Nicht jeder Prozess ist ein guter Einstieg. Geeignet sind vor allem häufige, wiederkehrende und regelbasierte Aufgaben mit gut prüfbaren Ergebnissen. Aufgaben mit hoher Ermessensausübung, weitreichenden Folgen oder schlecht prüfbaren Ergebnissen gehören nicht an den Anfang.

Besonders geeignet

  • Kundenanfragen erfassen und klassifizieren
  • E-Mails und Dokumente zusammenfassen
  • Informationen aus Formularen und Anhängen extrahieren
  • fehlende Angaben identifizieren
  • CRM-Vorgänge vorbereiten
  • Gesprächsnotizen strukturieren
  • standardisierte Antwortentwürfe erstellen
  • Angebote aus freigegebenen Bausteinen vorbereiten
  • Wartungs- und Projektdokumentation prüfen
  • internes Wissen auffindbar machen
  • Übergaben zwischen Vertrieb, Projekt und Service vorbereiten

Nur bedingt geeignet

  • verbindliche Preisentscheidungen
  • finale Angebotsfreigaben
  • Anerkennung von Gewährleistungsansprüchen
  • technische Sicherheitsfreigaben
  • Zahlungsanweisungen
  • Personalentscheidungen
  • rechtliche Bewertungen
  • Entscheidungen mit erheblichen Auswirkungen auf Personen
  • Steuerung sicherheitskritischer Anlagen

Die rechte Spalte ist kein Verbot, sondern ein Hinweis auf erhöhten Kontrollbedarf. Solche Aufgaben lassen sich später und unter strengeren Freigaben einbinden – nicht als Einstieg.

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Prozessauswahl

Anwendungsfall-Scorecard

Bewerten Sie jeden Faktor mit 0 bis 2 Punkten. Die Summe gibt eine erste, bewusst grobe Orientierung, ob ein Prozess als Pilot taugt.

Kriterium0 Punkte1 Punkt2 Punkte
Häufigkeitseltenregelmäßigsehr häufig
Standardisierungstark wechselndteilweise standardisiertweitgehend standardisiert
Datenverfügbarkeitverstreutteilweise verfügbardigital und zugänglich
Ergebnisprüfbarkeitsubjektivteilweise prüfbareindeutig prüfbar
Fehlerfolgenhochmittelgering
Prozessverantwortungungeklärtteilweise geklärtbenannt
Integrationsaufwandsehr hochmittelgering
Nutzenpotenzialgeringmittelhoch

0–6

Kein geeigneter Startprozess.

7–11

Vorarbeiten oder enger Prototyp erforderlich.

12–16

Guter Kandidat für einen kontrollierten Pilotbetrieb.

Die besten Pilotprozesse

Ein geeigneter Pilot besitzt drei Eigenschaften: Das Ergebnis ist wirtschaftlich relevant, Fehler können erkannt und korrigiert werden, und der Prozess enthält genügend Fälle, um innerhalb weniger Wochen zu lernen. Ein KI-Mitarbeiter für eine Aufgabe, die nur zweimal im Monat auftritt, erzeugt kaum belastbare Erfahrungen. Ein Prozess mit mehreren Hundert Vorgängen pro Monat ermöglicht dagegen eine systematische Bewertung.

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Architektur

Die technische Integrationsarchitektur

Ein betrieblicher KI-Mitarbeiter besteht aus mehreren Komponenten. Das Sprachmodell ist nur eine davon. Die folgende Referenzarchitektur ordnet die Bausteine so an, dass Zuständigkeit, Kontrolle und Nachvollziehbarkeit erhalten bleiben.

1 · Eingangskanäle

E-Mail-Postfach, Webformular, Telefonieplattform, Kundenportal, Teams oder Slack, CRM-Ereignis, ERP-Ereignis oder ein manueller Arbeitsauftrag. Sie lösen den Vorgang aus und liefern die ersten Rohdaten.

2 · Orchestrierung

Die Orchestrierung steuert den Ablauf. Sie entscheidet, welcher KI-Mitarbeiter zuständig ist, welche Informationen geladen werden, welche Werkzeuge genutzt werden dürfen, wann eine Freigabe erforderlich ist und wie Fehler behandelt werden. Sie ist der Ort, an dem betriebliche Regeln verlässlich durchgesetzt werden.

3 · Modellschicht

Je nach Aufgabe können unterschiedliche Modelle zum Einsatz kommen: ein leistungsfähiges Cloud-Modell für komplexe Analysen, ein kostengünstiges Modell für einfache Klassifikation, ein lokales Modell für besonders sensible Inhalte und ein spezialisiertes Modell für Dokumenten- oder Bilderkennung.

4 · Wissensschicht

Sie stellt freigegebene Inhalte bereit: Verfahrensanweisungen, Produktdaten, Wartungsunterlagen, Vertragsbausteine, Preislisten, Projektunterlagen, häufige Kundenfragen und technische Regelwerke – jeweils in kontrollierter, aktueller Fassung.

KrambergAI
Teil II · Der Prozess bestimmt die Architektur

Architektur

Werkzeuge, Kontrolle und Zielsysteme

5 · Werkzeugschicht

Der KI-Mitarbeiter greift kontrolliert auf klar umrissene Funktionen zu: einen CRM-Datensatz lesen, ein Ticket anlegen, die Kalenderverfügbarkeit prüfen, ein Dokument erzeugen, einen E-Mail-Entwurf erstellen, einen Status aktualisieren oder eine Aufgabe zuweisen.

6 · Kontrollschicht

Hier werden Sicherheits- und Freigaberegeln umgesetzt: Eingabeprüfung, Berechtigungsprüfung, Datenfilter, Freigabeworkflow, Ausgabevalidierung, Protokollierung sowie Kosten- und Mengenbegrenzung. Diese Schicht entscheidet, ob aus einem Vorschlag eine Aktion werden darf.

7 · Zielsysteme

CRM, ERP, DMS, Ticketsystem, E-Mail, Kalender, Projektmanagement, Kundenportal oder Fachanwendung – die Systeme, in denen der Vorgang letztlich entsteht.

Architekturprinzip

Der KI-Mitarbeiter greift nach Möglichkeit nicht direkt auf Datenbanken oder vollständige Benutzeroberflächen zu, sondern über definierte Funktionen.

Kundenstatus_lesen

Servicevorgang_anlegen

Terminoptionen_ermitteln

Angebotsentwurf_speichern

Jede Funktion erhält einen begrenzten Zweck, festgelegte Eingabefelder und eine überprüfbare Rückmeldung. So bleibt technisch durchsetzbar, was der KI-Mitarbeiter darf – und was nicht.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Rollenbeschreibung

Einen KI-Mitarbeiter wie eine betriebliche Rolle beschreiben

Ein KI-Mitarbeiter benötigt mehr als einen Systemprompt. Er braucht eine vollständige Rollenbeschreibung – so, wie man sie einer neuen Fachkraft an die Hand geben würde. Das folgende Beispiel zeigt eine typische Rolle in der Serviceannahme.

KI-Mitarbeiter „Serviceannahme“ · Auftrag

Eingehende Serviceanfragen erfassen, strukturieren und für die Disposition vorbereiten.

Zulässige Tätigkeiten

  • Absender und Kundenunternehmen identifizieren
  • Objekt oder Anlage zuordnen
  • Anliegen klassifizieren
  • fehlende Pflichtangaben erkennen
  • vorhandenen Wartungsvertrag prüfen
  • Eingangsbestätigung erstellen
  • Servicevorgang als Entwurf anlegen
  • Vorgang an die zuständige Disposition übergeben

Nicht zulässige Tätigkeiten

  • verbindliche Termine zusagen
  • Preise außerhalb der freigegebenen Preisliste nennen
  • Gewährleistungsansprüche anerkennen
  • Ferndiagnosen als gesicherte Ursache darstellen
  • Notfälle eigenständig abschließend bewerten
  • Kundendaten verändern
  • Vorgänge löschen
KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Rollenbeschreibung

Eskalation, Ausgabe und das Rollenmodell

Eskalationsgründe

  • möglicher Sicherheitsvorfall
  • Personenschaden oder Gefahr
  • unklarer Kunde oder unklare Anlage
  • widersprüchliche Vertragsinformationen
  • Beschwerde oder Kündigungsandrohung
  • Datenschutzanfrage
  • ungewöhnliche Dateianhänge
  • fehlgeschlagene Systemaktion

Erwartete Ausgabe

  • strukturierte Zusammenfassung
  • erkannte Vorgangsart
  • vorhandene und fehlende Angaben
  • vorgeschlagene Priorität
  • vorgeschlagener nächster Schritt
  • Quellen und Systemdaten als Grundlage

Das Rollenmodell „Auftrag – Befugnis – Grenze – Übergabe“

AAuftrag

Welches Ergebnis soll erreicht werden?

BBefugnis

Welche Informationen und Funktionen darf das System verwenden?

GGrenze

Welche Entscheidungen und Aktionen sind ausgeschlossen?

ÜÜbergabe

Wann und in welcher Form übernimmt ein Mitarbeiter?

Fehlt eines dieser vier Elemente, entsteht entweder ein nutzloses System oder ein unnötig hohes Betriebsrisiko. Ein Auftrag ohne Grenze führt zu Überschreitungen; eine Befugnis ohne definierte Übergabe lässt Fehler unbemerkt weiterlaufen.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Wissensgrundlage

Unternehmenswissen als kontrollierte Arbeitsgrundlage

Ein KI-Mitarbeiter kann nur so zuverlässig arbeiten wie seine Informationsgrundlage. Das allgemeine Wissen eines Sprachmodells ersetzt keine freigegebenen Unternehmensinformationen – es klingt oft plausibel, ist aber nicht an Ihre Verträge, Preise und Verfahren gebunden.

Typische Wissensquellen

Prozessbeschreibungen und Arbeitsanweisungen

technische Dokumentationen und Regelwerke

Produkt- und Leistungsbeschreibungen

Angebotsbausteine und Preislisten

Service-Level, Reaktionszeiten, Wartungsverträge

Projektakten und Checklisten

interne Ansprechpartner und Zuständigkeiten

häufige Fehlerbilder und Erfahrungswissen

häufige Kundenfragen

Häufiges Problem: vorhanden, aber nicht betriebsfähig

In vielen Unternehmen liegen relevante Inhalte in persönlichen Dateiablagen, E-Mail-Postfächern, ungepflegten SharePoint-Ordnern, alten PDF-Versionen, gescannten Dokumenten, Tabellen ohne Verantwortlichen oder parallelen Ablagen mit widersprüchlichen Angaben. Ein KI-Mitarbeiter löst diese Probleme nicht. Er kann widersprüchliche Informationen sogar schneller verbreiten. Die Wissensordnung ist damit keine Nacharbeit, sondern eine Voraussetzung.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Wissensgrundlage

Mindestanforderungen, RAG und ein belastbares Antwortprinzip

Mindestanforderungen an Wissensquellen

Jede produktiv genutzte Quelle sollte einen benannten fachlichen Verantwortlichen, einen dokumentierten Gültigkeitsbereich, einen Versionsstand, einen Freigabestatus, ein Datum der letzten Prüfung, definierte Zugriffsrechte sowie eine Archivierungs- oder Löschregel besitzen. Fehlt eines dieser Merkmale, ist die Quelle nicht betriebsreif.

Retrieval Augmented Generation (RAG)

Bei RAG-Systemen werden relevante Unternehmensinhalte passend zur konkreten Anfrage gesucht und dem Sprachmodell als Zusatzinformation bereitgestellt. Das Modell muss dadurch nicht mit sämtlichen Unternehmensdaten neu trainiert werden. Die deutsche Datenschutzkonferenz veröffentlichte 2025 eine eigene Orientierungshilfe zu datenschutzrechtlichen Besonderheiten von RAG-Systemen – unter anderem zu Datenquellen, Embeddings, Löschung, Zugriffssteuerung und der Verarbeitung personenbezogener Informationen.

Empfehlenswertes Antwortprinzip

Der KI-Mitarbeiter sollte fachliche Aussagen möglichst mit Quelle, Dokumentenname, Versionsstand, relevanter Textstelle und einem Unsicherheits- oder Abweichungshinweis ausgeben. Findet er keine freigegebene Quelle, sollte er nicht improvisieren, sondern den Vorgang an einen Mitarbeiter übergeben.

Dieses Prinzip verwandelt eine scheinbar souveräne Antwort in eine überprüfbare. Es ist zugleich die Grundlage dafür, dass sich Ergebnisse später fachlich abnehmen und beanstanden lassen.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Identität & Rechte

Eigene Identität und minimale Berechtigungen

Ein KI-Mitarbeiter darf nicht einfach mit dem Benutzerkonto eines Mitarbeiters arbeiten. Er benötigt eine eigene technische Identität. Nur so lässt sich nachvollziehen, welche Daten er gelesen, welche Vorgänge er angelegt, welche Aktionen er ausgeführt und welche Fehler er verursacht hat – und welche Berechtigungen tatsächlich genutzt wurden.

Prinzip der minimalen Berechtigung

Der KI-Mitarbeiter erhält nur die Rechte, die für seinen konkreten Auftrag notwendig sind. Ein KI-Mitarbeiter für die Serviceannahme benötigt beispielsweise Leserechte auf Kundenstammdaten und Wartungsverträge sowie ein Schreibrecht für neue Ticketentwürfe – aber kein Löschrecht, kein Recht zur Änderung von Kundendaten und kein Recht für Preis- oder Vertragsänderungen.

Berechtigungsmatrix (Beispiel Serviceannahme)
System · FunktionLesenAnlegenÄndernLöschenFreigabe
CRM · Kundenstammdatenjaneinneinneinnein
CRM · Aktivitätjajabegrenztneinteilweise
Ticketsystem · ServicevorgangjaEntwurfEntwurfneinja
DMS · Wartungsverträgejaneinneinneinnein
E-Mail · Eingangsbestätigungjajaneinnach Regel
Kalender · Verfügbarkeitjaneinneinneinnein
ERP · PreiseAuswahlneinneinneinnein
KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Identität & Rechte

Schutzmaßnahmen – und warum Sprache keine Grenze ist

Weitere Schutzmaßnahmen

separate Servicekonten statt persönlicher Konten

zeitlich begrenzte Zugriffstoken

Schlüsselverwaltung außerhalb des Prompts

Netzwerkbeschränkungen

Funktionstrennung von Lesen, Erstellen und Freigeben

maximale Anzahl von Aktionen pro Vorgang

Betrags- und Mengenlimits

Sperrung bei ungewöhnlichem Verhalten

Ergänzt wird dies durch eine regelmäßige Berechtigungsprüfung. Rechte, die einmal vergeben wurden, sollten nicht dauerhaft unbeobachtet bestehen bleiben.

Grundsatz

Keine Berechtigung durch Sprache. Eine Anweisung im Prompt wie „Lösche niemals Datensätze“ ist keine ausreichende Sicherheitskontrolle. Das Löschrecht darf technisch schlicht nicht vorhanden sein.

Sprachliche Vorgaben steuern das Verhalten im Normalfall. Sie versagen jedoch genau dann, wenn es darauf ankommt: bei manipulierten Eingaben, unerwarteten Formaten oder gezielten Angriffen. Wirksame Grenzen liegen deshalb in der Berechtigungs- und Funktionsebene, nicht im Text.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Menschliche Kontrolle

Menschliche Kontrollpunkte sinnvoll setzen

Menschliche Kontrolle bedeutet nicht, dass jeder einzelne Satz manuell gelesen werden muss. Sie muss dort wirken, wo ein Fehler relevante Folgen hätte. Drei Formen haben sich in der Praxis bewährt.

1 · Freigabe vor einer Aktion

Ein Mitarbeiter bestätigt die Aktion, bevor sie ausgeführt wird. Geeignet für verbindliche Angebote, Preisabweichungen, Terminbestätigungen mit Kapazitätswirkung, Vertragsänderungen, externe Stellungnahmen sowie Zahlungen oder Bestellungen.

2 · Prüfung nach einer Aktion

Der KI-Mitarbeiter führt eine risikoarme Aktion aus. Die Ergebnisse werden stichprobenartig oder nachträglich geprüft. Geeignet für Eingangsbestätigungen, interne Zusammenfassungen, Kategorisierungen, Dokumentenverschlagwortung und Aufgabenanlage.

3 · Ausnahmebasierte Übergabe

Der KI-Mitarbeiter arbeitet selbstständig, solange definierte Bedingungen erfüllt sind. Eine Übergabe erfolgt beispielsweise bei fehlenden Pflichtdaten, niedriger Erkennungssicherheit, widersprüchlichen Quellen, Beschwerden, ungewöhnlichen Beträgen, Sicherheitsbezug, personenbezogenen Sonderkategorien oder wiederholtem technischen Fehler.

KrambergAI
Teil III · Rolle, Wissen und Berechtigungen

Menschliche Kontrolle

Die Freigabefalle – und Kontrolle nach Risikostufe

Ein Freigabeschritt ist wirkungslos, wenn der Mitarbeiter lediglich auf „Bestätigen“ klickt. Freigaben, die niemand wirklich prüfen kann, erzeugen ein trügerisches Gefühl von Kontrolle.

Eine wirksame Freigabeoberfläche zeigt

welche Aktion ausgeführt werden soll · welche Daten verwendet wurden · welche Annahmen das System getroffen hat · welche Pflichtfelder fehlen · welche Regel die Freigabe erforderlich macht · welche Auswirkung die Freigabe hat.

Kontrollpunkte nach Risikostufe
RisikostufeBeispielKontrolle
niedriginterne ZusammenfassungStichprobe
moderatKundenantwort ohne ZusageRegelprüfung oder Freigabe
erhöhtTermin, Preis oder Vertragverpflichtende Freigabe
hochPersonal-, Kredit- oder Sicherheitsentscheidungspezialisiertes Verfahren oder Ausschluss
Praktische Regel

Je schwieriger eine Entscheidung nachträglich rückgängig gemacht werden kann, desto früher muss die menschliche Kontrolle im Prozess stattfinden.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Sicherheit

Neue Sicherheitsrisiken durch KI-Agenten

KI-Mitarbeiter verbinden Sprachmodelle mit Unternehmensdaten und Werkzeugen. Dadurch entstehen zusätzliche Angriffswege. Die OWASP führt Prompt Injection, die Offenlegung sensibler Informationen, die unsichere Verarbeitung von Modellausgaben, Schwächen in Vektor- und Embedding-Systemen sowie unkontrollierten Ressourcenverbrauch unter den zentralen Risiken generativer KI-Anwendungen. Für agentische Systeme wurde zusätzlich ein eigener Risikokatalog entwickelt.

Risiko 1 · Prompt Injection

Ein Angreifer versteckt Anweisungen in einer E-Mail, einer Website oder einem Dokument. Der KI-Mitarbeiter interpretiert diese als Arbeitsauftrag. Beispiel: Ein angeblicher Lieferantenanhang enthält den versteckten Hinweis, vertrauliche Inhalte an eine externe Adresse zu senden.

Gegenmaßnahmen

  • externe Inhalte grundsätzlich als nicht vertrauenswürdig behandeln
  • Anweisungen und Nutzdaten technisch trennen
  • Ausgaben vor Aktionen validieren
  • externe Zieladressen beschränken
  • sensible Funktionen hinter Freigaben legen

Risiko 2 · Zu weitreichende Handlungsmacht

Der KI-Mitarbeiter verfügt über mehr Funktionen oder Datenzugriffe, als für die Aufgabe erforderlich sind.

Gegenmaßnahmen

  • minimale Berechtigungen und kleine, spezialisierte Werkzeuge
  • Betrags-, Zeit- und Mengenlimits
  • keine universellen Administratorfunktionen
  • getrennte Rollen für Lesen, Erstellen und Freigeben
KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Sicherheit

Ausgaben, Datenabfluss und Kostenkontrolle

Risiko 3 · Ungeprüfte Modellausgaben

Modellausgaben werden direkt in E-Mails, Datenbanken, Skripte oder Fachsysteme übernommen.

Gegenmaßnahmen

  • strukturierte Ausgabeformate sowie Feld- und Wertevalidierung
  • erlaubte Wertebereiche und technische Plausibilitätsprüfungen
  • keine direkte Ausführung generierten Codes

Risiko 4 · Datenabfluss

Vertrauliche Informationen gelangen über Eingaben, Protokolle, Modellanbieter oder angeschlossene Werkzeuge nach außen.

Gegenmaßnahmen

  • Datenklassifikation, Eingabefilter und Verschlüsselung
  • Auftragsverarbeitungsprüfung und definierte Speicherfristen
  • EU- oder lokale Verarbeitung, sofern erforderlich
  • Ausschluss besonders sensibler Daten

Risiko 5 · Endlosschleifen und Kosten

Agentische Systeme können wiederholt Werkzeuge aufrufen oder umfangreiche Berechnungen auslösen.

Gegenmaßnahmen

  • maximale Schrittzahl und Laufzeitbegrenzung
  • Kostenbudget je Vorgang und Abbruchregeln
  • Quoten, Rate Limits und Alarmierung bei Abweichungen

Das NIST empfiehlt, Risiken generativer KI systematisch über Governance, Risikomessung, Vorabtests, Inhaltsherkunft und Incident Management zu behandeln. Diese fünf Blickwinkel eignen sich auch als schlanke Prüfliste für den Mittelstand.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Qualität

Qualität muss messbar werden

Ein KI-Mitarbeiter ist nicht „gut“, weil einzelne Beispiele überzeugend wirken. Vor der produktiven Einführung werden messbare Qualitätskriterien benötigt. Sieben Dimensionen haben sich bewährt.

1Fachliche Richtigkeit

Sind Aussagen, Klassifikationen und Vorschläge sachlich korrekt?

2Vollständigkeit

Wurden alle notwendigen Angaben, Dokumente und Prozessschritte berücksichtigt?

3Regelkonformität

Wurden interne Vorgaben, Freigaben und Ausschlüsse eingehalten?

4Quellenbezug

Beruhen Aussagen auf freigegebenen und aktuellen Quellen?

5Prozessqualität

Wurde der Vorgang im richtigen System und mit den richtigen Feldern angelegt?

6Kommunikationsqualität

Ist die Ausgabe verständlich, angemessen und frei von unzulässigen Zusagen?

7Robustheit

Funktioniert der Prozess auch bei unvollständigen, widersprüchlichen oder ungewöhnlichen Eingaben? Robustheit trennt einen vorführbaren Demonstrator von einem betriebstauglichen System.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Qualität

Testdatensatz und Abnahme

Testdatensatz

Vor dem Pilotbetrieb sollte ein Testdatensatz mit realistischen Fällen erstellt werden. Er bildet die Grundlage für jede spätere Abnahme.

30 bis 50 Standardfälle

10 bis 20 unvollständige Fälle

10 Grenzfälle

5 bis 10 Sicherheits- und Missbrauchsfälle

typische Dateianhänge und Formate

widersprüchliche und mehrsprachige Anfragen, sofern relevant

Beispielhafte Abnahmekriterien

  • mindestens 95 Prozent korrekte Kundenzuordnung
  • mindestens 90 Prozent korrekte Vorgangsklassifikation
  • 100 Prozent Erkennung definierter Eskalationsfälle
  • keine unzulässige externe Aktion
  • keine Preis- oder Terminzusage ohne Freigabe
  • vollständige Protokollierung aller Systemaktionen
  • weniger als 3 Prozent manuelle Korrekturen bei Pflichtfeldern
Fachliche Abnahme

Die Abnahme erfolgt nicht allein durch IT oder den Anbieter. Der Fachbereich muss bewerten, ob das Ergebnis im Tagesgeschäft verwendbar ist, ob branchentypische Begriffe richtig verstanden werden, ob die Übergaben vollständig sind, ob zusätzliche Nacharbeiten entstehen und ob Ausnahmen zuverlässig erkannt werden. Technische Funktion und fachliche Eignung sind zwei getrennte Abnahmedimensionen.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Regulierung

EU AI Act: Einordnung und Fristen

Die rechtliche Einordnung hängt vom konkreten Verwendungszweck, den verarbeiteten Daten und der Rolle des Unternehmens ab. Ein allgemeiner KI-Assistent ist nicht automatisch ein Hochrisiko-KI-System. Bestimmte Einsatzbereiche – insbesondere Personalentscheidungen, biometrische Anwendungen, kritische Infrastruktur oder Entscheidungen über wesentliche Leistungen – können jedoch deutlich strengeren Anforderungen unterliegen.

Wesentliche Anwendungszeitpunkte (Stand 2026)
ZeitpunktRegelungsbereich
1. August 2024Inkrafttreten des AI Act
2. Februar 2025verbotene KI-Praktiken und Pflicht zur KI-Kompetenz
2. August 2025Pflichten für Modelle mit allgemeinem Verwendungszweck (GPAI)
2. August 2026weite Teile der Transparenzpflichten (Artikel 50)
2. Dezember 2026Kennzeichnung synthetischer Inhalte für Bestandssysteme; neue Verbote zu nicht einvernehmlichem intimem und Missbrauchsmaterial
2. Dezember 2027Pflichten für eigenständige Hochrisiko-Systeme (Anhang III)
2. August 2028Pflichten für in Produkte eingebettete Hochrisiko-Systeme (Anhang I)

Die Anwendungsfristen für Hochrisiko-Systeme wurden im Rahmen des „Digital Omnibus on AI“ geändert. Nach der politischen Einigung von Anfang Mai 2026 gelten feste Termine; das Europäische Parlament billigte die Regelung am 16. Juni 2026, der Rat erteilte am 29. Juni 2026 seine finale Zustimmung. Unternehmen sollten den jeweiligen Umsetzungsstand dennoch vor jedem relevanten Projekt erneut prüfen.

Die Transparenzpflichten aus Artikel 50 bedeuten nicht, dass jeder intern erzeugte Text pauschal mit einem KI-Hinweis versehen werden muss. Die Anforderungen hängen von Inhalt, Nutzung und Adressaten ab.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Regulierung

Datenschutz-Grundverordnung und betriebliche Mitwirkung

Was der AI Act für den Betrieb bedeutet

Für Unternehmen besonders relevant sind die KI-Kompetenz der beteiligten Mitarbeiter, ein dokumentierter Verwendungszweck, die Risikoeinstufung, menschliche Aufsicht, technische Dokumentation, Protokollierung, Transparenz gegenüber Betroffenen sowie die Überwachung während des Betriebs.

Datenschutz-Grundverordnung

Beim Einsatz personenbezogener Daten sind unter anderem zu prüfen: Zweck und Rechtsgrundlage, Datenminimierung, Empfänger und Unterauftragnehmer, Drittlandübermittlung, Lösch- und Speicherfristen, Betroffenenrechte, technische und organisatorische Maßnahmen sowie die Erforderlichkeit einer Datenschutz-Folgenabschätzung.

Der Europäische Datenschutzausschuss betont, dass die Rechtmäßigkeit der Entwicklung und Nutzung von KI-Modellen einzelfallbezogen beurteilt werden muss. Auch die Annahme, ein Modell sei anonym, erfordert eine belastbare Prüfung.

Artikel 22 DSGVO

Artikel 22 begrenzt Entscheidungen, die ausschließlich automatisiert getroffen werden und für eine Person rechtliche oder vergleichbar erhebliche Auswirkungen haben. Ein nur formaler menschlicher Bestätigungsschritt reicht nicht zwangsläufig aus.

Betriebsrat

Werden Arbeitsverfahren, Leistungsüberwachung, Personalauswahl oder Aufgabenverteilung durch KI beeinflusst, sollte der Betriebsrat frühzeitig eingebunden werden. Das Betriebsverfassungsgesetz enthält ausdrückliche Regelungen zur Beratung beim Einsatz künstlicher Intelligenz und zur Hinzuziehung von Sachverständigen. Dieses E-Book ersetzt keine rechtliche Einzelfallprüfung.

KrambergAI
Teil IV · Sicherheit, Datenschutz und Regulierung

Verarbeitungsstandort

Datensouveränität und Verarbeitungsstandort

Für viele mittelständische Unternehmen ist nicht nur entscheidend, ob KI zulässig ist, sondern wo und durch wen Daten verarbeitet werden. Der Verarbeitungsstandort berührt Datenschutz, Vertraulichkeit und die Frage, wie viel Kontrolle im Haus bleibt. Diese Aspekte lassen sich früh und bewusst gestalten.

EUVerarbeitung im EU-Raum

Verarbeitung und Speicherung möglichst innerhalb der EU, um Drittlandübermittlungen und zusätzliche Prüfpflichten zu vermeiden.

AVAuftragsverarbeitung

Klare Auftragsverarbeitungsverträge mit Modell- und Plattformanbietern, einschließlich Speicherfristen und Ausschluss der Trainingsnutzung.

LLokale Modelle

Für besonders sensible Inhalte kommen lokale oder dedizierte Modelle in Betracht, die das Haus nicht verlassen.

KKlassifikation

Eine einfache Datenklassifikation entscheidet, welche Inhalte über welchen Weg verarbeitet werden dürfen.

Positionierung

Datenschutz nach EU-DSGVO und eine nachvollziehbare, europäische Verarbeitung sind kein Hindernis, sondern ein belastbares Qualitätsmerkmal – gerade im Mittelstand, wo Vertrauen und Vertraulichkeit zum Kern der Kundenbeziehung gehören.

Der Verarbeitungsstandort sollte Teil des Prozesssteckbriefs und der Sicherheitsbewertung sein, nicht eine nachträgliche Klärung. Wer ihn früh festlegt, vermeidet spätere Rückbauten und schafft die Grundlage für eine glaubwürdige Kommunikation gegenüber Kunden und Aufsicht.

KrambergAI
Teil V · Verantwortlichkeiten und Betrieb

Betriebsmodell

Ein praktikables Betriebsmodell für den Mittelstand

Ein KI-Mitarbeiter benötigt einen fachlichen und einen technischen Eigentümer. Ohne benannte Verantwortung bleibt das System ein Pilot ohne geregelten Betrieb. Die folgenden Rollen lassen sich im Mittelstand auch von wenigen Personen abdecken – entscheidend ist, dass sie besetzt sind.

Geschäftsführung

genehmigt Einsatzrahmen und Risikobereitschaft, entscheidet über besonders relevante Anwendungen, stellt Ressourcen bereit und überprüft Nutzen und wesentliche Risiken.

Fachlicher Prozessverantwortlicher

beschreibt den Zielprozess, definiert fachliche Regeln, pflegt Eskalationsgründe, verantwortet Qualitätskriterien und entscheidet über fachliche Änderungen.

IT / technischer Betreiber

betreibt Integrationen und Identitäten, setzt Berechtigungen um, überwacht Schnittstellen und verantwortet Backup, Verfügbarkeit und technische Änderungen.

Datenschutz

prüft die Verarbeitung personenbezogener Daten, bewertet Rechtsgrundlagen und Schutzmaßnahmen, unterstützt bei Folgenabschätzungen und prüft Verträge und Löschkonzepte.

Informationssicherheit

führt Risiko- und Bedrohungsanalyse durch, definiert Sicherheitskontrollen, bewertet Anbieter und Architektur und begleitet Incident Management und Tests.

Key User / fachlicher Betreuer

bewertet Ergebnisse im Tagesgeschäft, meldet Fehler und neue Falltypen, pflegt Beispiele und Arbeitsanweisungen und unterstützt Schulungen.

KrambergAI
Teil V · Verantwortlichkeiten und Betrieb

Betriebsmodell

Verantwortung im Überblick: RACI

Die vereinfachte RACI-Matrix macht sichtbar, wer ausführt, wer die Ergebnisverantwortung trägt, wer einbezogen und wer informiert wird.

AufgabeGeschäfts­führungFachbereichITDatenschutz / Sicherheit
Anwendungsfall freigebenARCC
Prozessregeln definierenIA/RCC
Systemzugriffe umsetzenICA/RC
DatenschutzprüfungICCA/R
Qualität abnehmenIA/RCC
Betrieb überwachenIRA/RC
Vorfall bearbeitenI/ARRR

R verantwortlich für die Ausführung  ·  A trägt die Ergebnisverantwortung  ·  C wird einbezogen  ·  I wird informiert

Orientierungsrahmen

ISO/IEC 42001 beschreibt ein Managementsystem für die verantwortliche Entwicklung und Nutzung von KI – mit Zuständigkeiten, Zielen, Risikomanagement, Überwachung und kontinuierlicher Verbesserung. Eine Zertifizierung ist nicht für jedes Unternehmen erforderlich; die Grundstruktur eignet sich jedoch als Referenz für ein schlankes Betriebsmodell.

KrambergAI
Teil V · Verantwortlichkeiten und Betrieb

Pilotierung

Der 90-Tage-Pilot

Ein KI-Mitarbeiter sollte nicht direkt als unternehmensweiter Rollout gestartet werden. Ein begrenzter Pilot liefert belastbare Aussagen zu Qualität, Nutzen und Betriebsaufwand. Bewährt hat sich ein Ablauf in fünf Phasen über rund zwölf Wochen.

Phase 1
Auswahl und ProzessaufnahmeWoche 1–2
  • Prozess und Zielgruppe festlegen, Ist-Ablauf aufnehmen
  • Volumen, Bearbeitungszeiten und Fehlerfolgen ermitteln
  • Daten- und Systemzugriffe erfassen, Prozessverantwortlichen benennen
  • Erfolgskriterien definieren
Ergebnis: freigegebener Prozesssteckbrief
Phase 2
Rollen- und KontrollkonzeptWoche 3–4
  • Aufgaben und Grenzen formulieren, Autonomiestufe festlegen
  • Berechtigungen definieren, menschliche Kontrollpunkte bestimmen
  • Eskalationsregeln festlegen, Datenschutz- und Sicherheitsprüfung durchführen
  • Testfälle erstellen
Ergebnis: Betriebs- und Kontrollkonzept
Phase 3
Technische UmsetzungWoche 5–7
  • Modell und Hosting auswählen, Wissensquellen anbinden
  • Systemfunktionen entwickeln, Identität und Berechtigungen einrichten
  • Protokollierung aktivieren, Freigabeoberfläche umsetzen
  • Fehler- und Abbruchbehandlung konfigurieren
Ergebnis: testfähiger KI-Mitarbeiter
KrambergAI
Teil V · Verantwortlichkeiten und Betrieb

Pilotierung

Test, kontrollierter Betrieb und Entscheidung

Phase 4
Test und fachliche AbnahmeWoche 8–9
  • Standardfälle sowie Grenz- und Missbrauchsfälle testen
  • Ergebnisse fachlich bewerten, Fehlermuster kategorisieren
  • Rollenbeschreibung und Quellen nachschärfen
  • Abnahmekriterien prüfen
Ergebnis: Pilotfreigabe
Phase 5
Kontrollierter BetriebWoche 10–12
  • begrenzte Benutzergruppe, vollständige menschliche Freigabe
  • tägliche oder mehrmals wöchentliche Auswertung, Fehlerprotokoll
  • Nutzerfeedback einholen
  • Bearbeitungszeit und Nacharbeit messen
Ergebnis: belastbare Skalierungsentscheidung

Entscheidung nach 90 Tagen

Am Ende steht eine bewusste Entscheidung auf Basis von Daten statt Eindrücken. Möglich sind: stoppen · fachlich überarbeiten · im gleichen Umfang weiterbetreiben · auf weitere Benutzer ausrollen · zusätzliche Aktionen freigeben · auf weitere Prozesse übertragen.

Der Wert des Piloten liegt nicht nur im Ergebnis, sondern in der Entscheidungsfähigkeit, die er schafft: Nach zwölf Wochen ist belegbar, was der KI-Mitarbeiter leistet, wo er an Grenzen stößt und welcher Betriebsaufwand realistisch ist.

KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 1

Technischer Kundendienst und SHK

Ausgangssituation

Ein SHK- oder technischer Servicebetrieb erhält Anfragen über Telefon, E-Mail und Website. Häufig fehlen wesentliche Angaben: Name und Kontaktdaten, Objektadresse, betroffene Anlage, Hersteller und Typ, Störungsbild, Dringlichkeit, Vertrags- oder Gewährleistungsstatus, Zugangsbedingungen sowie Fotos oder Fehlermeldungen. Die Disposition muss Angaben nachfordern, den Kunden im System suchen und den Vorgang an den richtigen Servicetechniker weitergeben.

Rolle des KI-Mitarbeiters

Der KI-Mitarbeiter übernimmt die strukturierte Serviceannahme. Er kann E-Mail oder Telefonnotiz auswerten, Kunde und Objekt im CRM suchen, Anlage und Wartungsvertrag zuordnen, das Anliegen als Störung, Wartung, Reklamation oder allgemeine Anfrage klassifizieren, fehlende Pflichtangaben ermitteln, eine Rückfrage vorbereiten oder versenden, einen Ticketentwurf anlegen und den Vorgang der Disposition übergeben.

Fachbegriffe und Prozesslogik

Der KI-Mitarbeiter muss zwischen folgenden Sachverhalten unterscheiden:

Störung · Ausfall

Wartung · Instandsetzung

Gewährleistung · Kulanz

Notdienst · Terminwunsch

wiederkehrender Mangel

Fremdanlage · Wartungsvertrag

KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 1

Kontrollpunkte, Messgrößen und Nutzen (SHK)

Freigabe erforderlich bei

  • möglicher Gefahr für Personen oder Gebäude
  • Gasgeruch, Rauchentwicklung oder Wasserschaden
  • Notdienstanforderung
  • Gewährleistungsbehauptung
  • verbindlicher Termin- oder Kostenzusage
  • Beschwerde oder Eskalation
  • unklarer Anlagenzuordnung

Messgrößen

  • Anteil vollständig vorbereiteter Vorgänge
  • Zeit bis zur ersten Rückmeldung
  • Rückfragequote der Disposition
  • fehlerhafte Kundenzuordnungen
  • Korrekturaufwand je Ticket
  • Anteil korrekt eskalierter Fälle

Erwarteter Nutzen

Weniger Rückfragen, strukturierte Übergaben, schnellere Erfassung, bessere Datenqualität im Ticketsystem, Entlastung von Disposition und Innendienst sowie eine nachvollziehbare Bearbeitung.

Abgrenzung

Der KI-Mitarbeiter ersetzt nicht die technische Diagnose durch den Servicetechniker. Er verbessert die Qualität der Informationen, mit denen der technische Prozess beginnt – und schafft so ruhigere, planbarere Abläufe im Innendienst.

KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 2

Angebotsvorbereitung im Bau- und Projektgeschäft

Ausgangssituation

Ein mittelständischer Projektbetrieb erhält Leistungsverzeichnisse, Anfragen, Pläne und Anlagen in unterschiedlichen Formaten. Vor der Kalkulation müssen relevante Informationen zusammengetragen werden: Leistungspositionen, Mengen, Ausführungsfristen, Einsatzorte, Vertragsbedingungen, Nachweise, besondere technische Anforderungen, Ausschlüsse und Nebenleistungen sowie fehlende oder widersprüchliche Angaben.

Rolle des KI-Mitarbeiters

Der KI-Mitarbeiter unterstützt die Angebotsprüfung und Arbeitsvorbereitung. Er kann Anfrage und Anlagen inventarisieren, Leistungspositionen extrahieren, Fristen und Termine erkennen, technische Anforderungen zusammenfassen, fehlende Unterlagen identifizieren, Positionen mit internen Leistungsbausteinen abgleichen, Rückfragen für den Auftraggeber vorbereiten, eine Angebotsstruktur oder Kalkulationsvorlage erzeugen sowie Risiken und Abweichungen markieren.

Nicht zulässige Aktionen

  • finales Angebot versenden
  • Preise eigenständig festsetzen
  • Vertragsbedingungen akzeptieren
  • technische Machbarkeit verbindlich bestätigen
  • Normen oder Regelwerke ohne Quellenbezug interpretieren
  • Mengen ohne Kennzeichnung verändern
  • Nachträge oder Haftungszusagen formulieren
KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 2

Kontrollpunkte, Messgrößen und Nutzen (Projektgeschäft)

Der Kalkulator oder Projektleiter prüft

  • erkannte Mengen und Positionen
  • Ausschlüsse und Nebenleistungen
  • technische Besonderheiten
  • Terminanforderungen
  • Vertrags- und Haftungsrisiken
  • Preisgrundlagen und offene Rückfragen

Messgrößen

  • Zeit für die Erstsichtung
  • Anteil erkannter Pflichtunterlagen
  • Anzahl übersehener Fristen
  • Qualität der Rückfragen
  • Zeit bis zur Entscheidung „Angebot oder Absage“
  • Nachbearbeitungszeit der Kalkulation

Nutzen

Der KI-Mitarbeiter automatisiert nicht die kaufmännische Verantwortung. Er reduziert den Zeitaufwand für Sichtung, Strukturierung und Vorbereitung.

Wirkung

Gerade im Projektgeschäft hilft diese Entlastung, mehr Anfragen qualifiziert zu bewerten, ohne die Kalkulationsabteilung durch ungeeignete Ausschreibungen zu belasten. Die knappe Fachkapazität fließt in die Fälle, die sie wirklich braucht.

KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 3

Verkehrssicherung und operative Einsatzplanung

Ausgangssituation

Ein Unternehmen für Verkehrssicherung bearbeitet Anfragen zu Baustellen, Veranstaltungen, Straßensperrungen und temporären Verkehrsführungen. Die Vorgänge enthalten unter anderem Lage und Ausdehnung der Arbeitsstelle, Straßentyp, Verkehrsführung, geplante Dauer, Arbeitszeiten, benötigte Absperrtechnik, Genehmigungsstatus, Pläne und verkehrsrechtliche Anordnungen, Auf- und Abbauzeiten sowie Kontroll- und Dokumentationspflichten.

Rolle des KI-Mitarbeiters

Der KI-Mitarbeiter unterstützt die kaufmännische und organisatorische Vorgangsvorbereitung. Er kann Anfrage und Anlagen strukturieren, Einsatzort, Zeitraum und Ansprechpartner erfassen, den Maßnahmentyp erkennen, fehlende Unterlagen identifizieren, die Projektakte vorbereiten, Fristen und Wiedervorlagen anlegen, Material- und Personalbedarf als Vorschlag zusammenstellen, die Übergabe an Planung oder Projektleitung vorbereiten sowie Dokumentationsanforderungen markieren.

Eindeutige Grenze

Der KI-Mitarbeiter darf keine eigenständige verkehrsrechtliche oder sicherheitstechnische Freigabe erteilen. Die Auswahl und Umsetzung einer Verkehrsführung bleibt Aufgabe qualifizierter Fachkräfte und der zuständigen Behörden.

KrambergAI
Teil VI · Praxisbeispiele

Praxisbeispiel 3

Kontrollpunkte, Messgrößen und Nutzen (Verkehrssicherung)

Menschliche Kontrollpunkte

  • technische Planung
  • Auswahl des Regelplans
  • Abweichungen von Standardfällen
  • Personal- und Materialdisposition
  • Sicherheitsbewertung
  • Freigabe von Verkehrszeichenplänen
  • Abstimmung mit Behörde oder Auftraggeber
  • Änderung einer laufenden Maßnahme

Messgrößen

  • Vollständigkeit der Projektakte
  • fehlende Unterlagen beim Planungsstart
  • Zeit von Anfrage bis interner Übergabe
  • fehlerhafte Terminübernahmen
  • Rückfragen zwischen Innendienst und Projektleitung
  • Anteil automatisch erstellter Wiedervorlagen

Nutzen

Die größte Wirkung entsteht nicht durch eine automatische Fachplanung, sondern durch vollständigere Projektinformationen, weniger Medienbrüche und eine schnellere Übergabe an qualifizierte Planer und Einsatzverantwortliche.

In allen drei Beispielen gilt dasselbe Muster: Der KI-Mitarbeiter übernimmt Erfassung, Strukturierung und Vorbereitung. Die fachliche und sicherheitsrelevante Entscheidung bleibt beim Menschen. Genau darin liegt der beherrschbare, sofort nutzbare Einstieg.

KrambergAI
Teil VII · Typische Fehlentscheidungen

Fehlerbilder

Warum KI-Mitarbeiter im Betrieb scheitern

Die meisten Fehlschläge haben nicht technische, sondern organisatorische Ursachen. Zehn Muster treten besonders häufig auf.

1Ein universeller KI-Mitarbeiter für alles

Der Auftrag ist zu breit. Verantwortlichkeiten, Berechtigungen und Qualitätskriterien lassen sich nicht beherrschen.

Bessermehrere spezialisierte Rollen mit begrenztem Auftrag.

2Automatisierung eines ungeordneten Prozesses

Uneinheitliche Abläufe werden nicht besser, nur weil KI eingesetzt wird.

BesserMindestprozess und Pflichtinformationen vor der Automatisierung definieren.

3Zu frühe Autonomie

Das System darf E-Mails versenden, Datensätze ändern oder Termine buchen, bevor seine Ergebnisqualität geprüft wurde.

Besserzunächst Vorschläge und Entwürfe, anschließend begrenzte Aktionen.

4Prompt statt Berechtigungskonzept

Verbote werden nur textlich beschrieben, technisch aber nicht durchgesetzt.

BesserRechte auf System- und Funktionsebene beschränken.

5Ungepflegte Wissensquellen

Der KI-Mitarbeiter erhält Zugriff auf widersprüchliche, veraltete oder nicht freigegebene Dokumente.

BesserQuellenverantwortung, Versionierung und Freigabestatus einführen.

KrambergAI
Teil VII · Typische Fehlentscheidungen

Fehlerbilder

Fehlerbilder (Fortsetzung)

6Keine fachliche Abnahme

Die technische Demonstration wird mit betrieblicher Einsatzfähigkeit verwechselt.

Besserrepräsentative Testfälle und messbare Abnahmekriterien.

7Menschliche Kontrolle nur auf dem Papier

Mitarbeiter bestätigen Ergebnisse, ohne die Entscheidungsgrundlagen zu sehen.

BesserFreigabeoberflächen mit Quellen, Annahmen und Auswirkungen.

8Kein geregelter Betrieb

Nach dem Pilot gibt es keinen Verantwortlichen für Fehleranalyse, Quellenpflege und Modelländerungen.

BesserBetreiber, Fachverantwortlichen und Review-Zyklus benennen.

9Nutzen nur über eingesparte Stellen bewerten

Viele Anwendungsfälle verbessern zunächst Durchlaufzeit, Datenqualität und Reaktionsfähigkeit.

BesserNutzen über Prozesskennzahlen messen.

10Modellwechsel ohne erneute Prüfung

Ein neues Modell kann andere Ergebnisse, Antwortstile und Fehlermuster erzeugen.

Besserrelevante Modell-, Prompt- und Architekturänderungen wie Softwareänderungen testen und freigeben.

KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Go-live-Checkliste

Vor dem Start: Geschäft, Daten und Rechte

Geschäft und Prozess
  • Ein konkretes Geschäftsproblem ist beschrieben.
  • Der betrachtete Prozessabschnitt ist abgegrenzt.
  • Prozessverantwortung und Betreiber sind benannt.
  • Nutzen und Zielkennzahlen sind definiert.
  • Eingaben, Ausgaben und Folgeaktionen sind dokumentiert.
  • Ausgeschlossene Entscheidungen sind festgelegt.
Daten und Wissen
  • Alle verwendeten Datenquellen sind inventarisiert.
  • Zugriffsrechte wurden geprüft.
  • Quellen besitzen einen Verantwortlichen.
  • Versions- und Freigabestatus sind erkennbar.
  • Personenbezogene und vertrauliche Daten wurden bewertet.
  • Lösch- und Speicherfristen sind festgelegt.
Berechtigungen
  • Der KI-Mitarbeiter besitzt eine eigene Identität.
  • Es gilt das Prinzip der minimalen Berechtigung.
  • Schreib-, Änderungs- und Löschrechte sind getrennt.
  • Kritische Aktionen erfordern eine Freigabe.
  • Mengen-, Zeit- und Kostenlimits sind eingerichtet.
  • Zugangsdaten werden nicht in Prompts gespeichert.
KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Go-live-Checkliste

Vor dem Start: Qualität, Recht und Betrieb

Qualität
  • Repräsentative Testfälle wurden erstellt.
  • Grenz- und Missbrauchsfälle wurden getestet.
  • Abnahmekriterien sind messbar.
  • Der Fachbereich hat die Ergebnisse abgenommen.
  • Fehler und Korrekturen werden kategorisiert.
  • Modell- und Promptversionen sind dokumentiert.
Recht und Organisation
  • Die Rolle nach AI Act wurde geprüft.
  • Datenschutz und Informationssicherheit wurden einbezogen.
  • Eine mögliche Datenschutz-Folgenabschätzung wurde bewertet.
  • Der Betriebsrat wurde bei Bedarf eingebunden.
  • Betroffene Mitarbeiter wurden geschult.
  • Transparenz- und Informationspflichten wurden bewertet.
Betrieb
  • Protokollierung ist aktiviert.
  • Monitoring und Alarmierung sind eingerichtet.
  • Ein Incident-Prozess ist definiert.
  • Der KI-Mitarbeiter kann kurzfristig deaktiviert werden.
  • Ein manueller Ersatzprozess ist vorhanden.
  • Regelmäßige Reviews sind terminiert.
KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Reifegrad-Selbstcheck

Wie weit ist Ihr Unternehmen?

Bewerten Sie jede Aussage mit 0 Punkten (nicht vorhanden), 1 Punkt (teilweise vorhanden) oder 2 Punkten (ausreichend vorhanden). Die Summe ordnet Ihre Ausgangslage grob ein.

  1. 1Ein konkreter Prozess und ein messbares Ziel sind definiert.
  2. 2Ein fachlicher Prozessverantwortlicher ist benannt.
  3. 3Die heutigen Bearbeitungsschritte sind dokumentiert.
  4. 4Eingaben, Ergebnisse und Folgeaktionen sind bekannt.
  5. 5Die benötigten Datenquellen sind identifiziert.
  6. 6Die Qualität und Aktualität der Wissensquellen ist ausreichend.
  7. 7Zugriffsrechte können technisch begrenzt werden.
  8. 8Der KI-Mitarbeiter erhält eine eigene technische Identität.
  9. 9Verbotene Aktionen und Entscheidungsgrenzen sind beschrieben.
  10. 10Menschliche Freigabe- und Eskalationspunkte sind festgelegt.
  11. 11Testfälle und Qualitätskennzahlen können erstellt werden.
  12. 12Datenschutz und Informationssicherheit sind eingebunden.
  13. 13Fehler und Systemaktionen können protokolliert werden.
  14. 14Ein Verantwortlicher für den laufenden Betrieb ist vorgesehen.
  15. 15Die betroffenen Mitarbeiter werden in die Einführung einbezogen.
KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Reifegrad-Selbstcheck

Auswertung

Von maximal 30 Punkten. Die Einordnung sagt weniger über Technik als über die organisatorische Startfähigkeit aus.

0–10Grundlagen fehlen

Der Prozess sollte zunächst strukturiert werden. Ein technischer KI-Pilot wäre verfrüht.

11–20Pilot grundsätzlich möglich

Ein begrenzter Assistenzprozess mit vollständiger menschlicher Freigabe ist realistisch. Offene Punkte müssen Teil des Pilotprojekts werden.

21–26Gute Ausgangslage

Ein produktiver Pilot mit begrenzten Systemaktionen ist möglich.

27–30Skalierbare Grundlage

Das Unternehmen verfügt über wesentliche Voraussetzungen für einen kontrollierten Betrieb und kann zusätzliche Prozesse oder höhere Autonomiestufen prüfen.

Der Selbstcheck ersetzt keine Detailanalyse. Er hilft jedoch, ehrlich zu entscheiden, ob zuerst der Prozess oder bereits die Technik im Vordergrund stehen sollte.

KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Entscheidung

Managemententscheidung und Optionen

Ein KI-Mitarbeiter sollte eingeführt werden, wenn fünf Bedingungen erfüllt sind:

  1. Es gibt einen häufigen und wirtschaftlich relevanten Prozess.
  2. Der betrachtete Prozessabschnitt lässt sich eindeutig begrenzen.
  3. Die notwendigen Informationen sind digital verfügbar.
  4. Qualität und Fehlerfolgen können gemessen werden.
  5. Fachliche Verantwortung und Betrieb sind geregelt.

Entscheidungsoptionen

ANoch nicht automatisieren

Geeignet, wenn Prozesse, Daten oder Verantwortlichkeiten ungeordnet sind.
Nächster Schritt: Prozessaufnahme und Wissensstrukturierung.

BAssistenzpilot

Der KI-Mitarbeiter liest, strukturiert und erstellt Vorschläge. Mitarbeiter führen alle Aktionen aus.
Geeignet für: erste Erfahrungen und sensible Prozesse.

CKontrollierter Prozesspilot

Der KI-Mitarbeiter bereitet Vorgänge vor und führt einzelne risikoarme Aktionen aus. Relevante Schritte benötigen eine Freigabe.
Geeignet für: standardisierte Kunden-, Service- und Verwaltungsprozesse.

DBegrenzter Produktivbetrieb

Der KI-Mitarbeiter bearbeitet definierte Standardfälle selbstständig. Ausnahmen werden übergeben.
Geeignet für: erprobte Prozesse mit stabilen Regeln und Kontrollen.

KrambergAI
Teil VIII · Checklisten und Entscheidungshilfen

Umsetzung mit KrambergAI

Vom ersten Anwendungsfall zum kontrollierten Betrieb

KrambergAI unterstützt mittelständische Unternehmen bei der Einführung betrieblicher KI-Mitarbeiter – vom ersten Anwendungsfall bis zum kontrollierten Produktivbetrieb. Der Anspruch bleibt dabei nüchtern: KI soll Arbeit ruhiger machen und für Entlastung, Kontrolle, Sicherheit und Souveränität sorgen, nicht für zusätzliche Komplexität.

Der strukturierte KI-Integrationscheck

Auswahl und Bewertung geeigneter Geschäftsprozesse

Prozess- und Risikoeinstufung

Rollen- und Berechtigungskonzept

Daten- und Wissensquellen

menschliche Kontrollpunkte

Zielarchitektur und Integrationen

Pilot- und Betriebsmodell

Qualitäts- und Nutzenkennzahlen

Empfohlener nächster Schritt

Lassen Sie einen konkreten Geschäftsprozess auf Eignung, Nutzen und Integrationsrisiken prüfen.

Nicht jede Aufgabe benötigt einen autonomen KI-Agenten. Häufig entsteht der größte betriebliche Nutzen bereits durch einen spezialisierten KI-Mitarbeiter, der Informationen strukturiert, Arbeit vorbereitet und vollständige Vorgänge an die verantwortlichen Mitarbeiter übergibt.

KrambergAI GmbH · krambergai.com · Datenschutz nach EU-DSGVO · Made in Germany

KrambergAI
Anhang · Quellen

Anhang

Quellen und weiterführende Grundlagen

Marktdaten und Studien
  • Statistisches Bundesamt: Nutzung künstlicher Intelligenz in Unternehmen 2025. destatis.de
  • KfW Research: Einsatz von künstlicher Intelligenz im deutschen Mittelstand, 2026. kfw.de
  • Bitkom: Künstliche Intelligenz in Deutschland, Unternehmensbefragungen 2025/2026. bitkom.org
  • OECD: Generative AI and the SME Workforce, 2025. oecd.org
  • OECD: Effects of Generative AI on Productivity, Innovation and Entrepreneurship, 2025. oecd.org
  • McKinsey & Company: The State of AI 2025 – Agents, Innovation and Transformation. mckinsey.com
  • Stanford HAI: AI Index Report 2026. hai.stanford.edu
Regulierung und Datenschutz
  • Europäische Kommission: AI Act und Umsetzungszeitplan. digital-strategy.ec.europa.eu
  • Rat der EU / Europäisches Parlament: Digital Omnibus on AI, 2026. consilium.europa.eu
  • Europäischer Datenschutzausschuss: Opinion 28/2024 zu KI-Modellen und personenbezogenen Daten. edpb.europa.eu
  • Datenschutzkonferenz (DSK): Orientierungshilfen zu KI, TOM und RAG-Systemen, 2025. datenschutzkonferenz-online.de
  • Bundesministerium für Arbeit und Soziales: KI-Einsatz im Betrieb; Betriebsrätemodernisierungsgesetz. bmas.de
Sicherheit und Governance
  • Bundesamt für Sicherheit in der Informationstechnik: Sicherheit von KI-Systemen und generativen Modellen. bsi.bund.de
  • NIST: AI Risk Management Framework und Generative AI Profile. nist.gov
  • OWASP: Top 10 for LLM Applications 2025; Top 10 for Agentic Applications 2026. genai.owasp.org
  • ISO: ISO/IEC 42001 – Managementsysteme für künstliche Intelligenz. iso.org
KrambergAI
Anhang · Haftung und Kontakt

Anhang

Haftungshinweis

Dieses E-Book dient der fachlichen Orientierung. Es ersetzt keine Rechtsberatung, Datenschutzberatung, Prüfung der Informationssicherheit oder branchenspezifische Sicherheitsbewertung. Anforderungen müssen für den jeweiligen Anwendungsfall, die eingesetzten Systeme und die verarbeiteten Daten geprüft werden.

Regulatorische Angaben, insbesondere zum EU AI Act und zum Digital Omnibus on AI, entsprechen dem Stand 2026. Da sich Fristen und Auslegungen ändern können, sollte der jeweils aktuelle Umsetzungsstand vor jedem relevanten Projekt erneut geprüft werden.


Kontakt

KrambergAI GmbH
www.krambergai.com

Positionierung

Datenschutz nach EU-DSGVO
Made in Germany
Entlastung · Kontrolle · Sicherheit · Souveränität

Kernbotschaft

Automatisieren Sie zuerst Vorbereitung, Strukturierung und Übergabe. Ein spezialisierter KI-Mitarbeiter mit klarem Auftrag, begrenzten Rechten und menschlicher Kontrolle schafft mehr Wert – und weniger Risiko – als ein universeller, aber unkontrollierter Alleskönner.