Drei Monate nach dem Go-live kommt der IT-Leiter in Ihr Büro. Das KI-Pilotprojekt im Vertrieb lief gut — die ersten Ergebnisse haben überzeugt, der Vertriebsleiter ist begeistert, und Sie haben bereits gefragt, wann das System auf alle 45 Mitarbeitenden ausgeweitet werden kann. Jetzt sitzt der IT-Leiter Ihnen gegenüber und hat eine Liste mitgebracht.
Welche Abteilungen sollen Zugang erhalten? Welche Dokumente kommen ins System, und wer pflegt sie? Wie funktioniert das mit dem Datenschutz, wenn der Außendienst die App auch auf dem Privathandy nutzt? Wer ist zuständig, wenn das Modell in sechs Monaten veraltet? Und: Auf welchem Azure-Mandanten soll das Ganze laufen?
Auf fünf dieser Fragen haben Sie keine Antwort. Auf zwei weitere hat auch der IT-Leiter keine — weil er erst heute ins Projekt einbezogen wurde. Der Rollout ist um acht Wochen verschoben. Die fünf Fragen, die diesen Moment verhindern, sind dieselben, die fast immer zu spät gestellt werden.
KI-Infrastruktur im Mittelstand: Was die Zahlen zeigen
60 %
der KI-Initiativen scheitern an der Datengrundlage — nicht an der Technologie.
Gartner, 2025
Gartner, 2025
4 / 10
deutschen Unternehmen gehen davon aus, dass Mitarbeitende private KI-Tools beruflich nutzen — ohne Wissen der IT-Abteilung.
Bitkom, 2025
Bitkom, 2025
76 %
der mittelständischen Unternehmen kämpfen mit unzureichender Datenqualität oder Datensilos.
Mittelstand Digital, 2025
Mittelstand Digital, 2025
Frage 1 — Wo liegen die Daten, und in welchem Zustand sind sie?
Das Daten-Inventar, das niemand gemacht hat
Maschinenbauunternehmen mit 200 Mitarbeitenden haben in der Regel keine Datenlücken. Sie haben ein Datenchaos. Servicereports aus dem letzten Jahrzehnt liegen auf einem Netzlaufwerk, dessen Struktur ein Techniker 2016 angelegt hat — und der seit 2021 nicht mehr im Unternehmen ist. Konfigurationsanfragen aus den letzten drei Jahren stecken in Outlook-Archiven, verteilt über fünf Vertriebsmitarbeitende. Die aktuellen Stücklisten liegen im ERP, aber welche Version bei Sonderanfertigungen gilt, weiß nur der Produktionsleiter.
60 Prozent der KI-Initiativen scheitern laut Gartner nicht an der Technologie, sondern an genau diesem Zustand [1]. Bei einem KI-Projekt mit typischen Implementierungskosten zwischen 40.000 und 120.000 Euro bedeutet das: Mehr als die Hälfte der Investitionen versickert nicht in schlechter Software, sondern in der schlechten Datenbasis, auf der die Software arbeiten soll.
Das Muster ist immer dasselbe: Ein Pilotprojekt startet mit einem klar umrissenen Dokumentenset — die 200 Datenblätter der aktuellen Produktlinie. Der Pilot funktioniert, die Ergebnisse überzeugen. Dann will der Geschäftsführer skalieren. Und dann stellt die IT die erste Frage: Welche weiteren Dokumente sollen rein? Wo liegen sie? In welchem Format? Wie aktuell sind sie? Wer verantwortet die Pflege? Die Antworten kommen nicht in einem Meeting. Sie kommen in sechs Wochen — wenn überhaupt.
Kartierung vor Konfiguration
Der erste Schritt ist kein KI-Projekt. Er ist eine Dokumentationsaufgabe. Die IT muss gemeinsam mit den Fachbereichen erfassen, welche Daten wo liegen — in welcher Form, in welchem Zustand, mit welchem Aktualisierungsrhythmus und wer dafür zuständig ist. Das klingt unspektakulär. Es ist die Voraussetzung für alles andere.
In der Praxis reicht ein strukturiertes Inventar: sechs bis acht Datenkategorien — technische Dokumentation, CRM-Historien, Servicefälle, Konfigurationsregeln, Preislisten, Normennachweise — mit je drei Fragen pro Kategorie. Speicherort. Verantwortlicher. Aktualität. Das dauert in einem mittelständischen Unternehmen einen halben Tag. Es erspart drei Monate Nacharbeiten.
Frage 2 — Wer darf was sehen?
Jeder sieht alles — oder keiner sieht genug
Ein KI-System, das auf Unternehmenswissen zugreift, kann nicht selbst entscheiden, was es für wen preisgeben darf. Das ist eine interne Architekturentscheidung, die vor dem ersten Produktivbetrieb getroffen sein muss: Welche Rolle darf auf welche Datenkategorien zugreifen — und wie wird das technisch durchgesetzt?
Ein Vertriebsmitarbeitender, der nach der Werkstoffverträglichkeit eines Dichtungstyps fragt, soll keine Kalkulationsgrundlagen für Großkundenverträge erhalten — auch wenn diese Dokumente in derselben SharePoint-Bibliothek liegen. Ein Servicetechniker im Außendienst braucht Fehlercodes und Reparaturhistorien, nicht interne Einkaufspreise. Berechtigungsstrukturen, die für Dateiablagen gedacht waren, reichen für KI-Systeme mit semantischer Suchfähigkeit nicht aus — das System verknüpft Informationen, die in einer klassischen Ordnerstruktur nie in einem Suchindex gelandet wären.
76 Prozent der mittelständischen Unternehmen kämpfen laut Mittelstand Digital mit unzureichender Datenqualität oder Datensilos [5]. Unternehmen ohne explizites Berechtigungskonzept bemerken das Problem meist nicht beim Aufbau — sondern beim ersten internen Audit oder dem ersten Datenschutzvorfall. Beides kommt teurer als die Vorarbeit.
Berechtigungskonzept als Fundament
Die Antwort liegt nicht in strengeren Passwortregeln, sondern in einer rollenbasierten Architektur. Microsoft Entra ID steuert, wer auf welche Datenquellen zugreifen darf — und überträgt diese Berechtigungen direkt auf das KI-System. Wenn ein Mitarbeitender in seinem normalen Arbeitsalltag keinen Zugang zu einer Dokumentengruppe hat, bezieht das KI-System diese Dokumente bei seiner Anfrage nicht ein. Quellengenau, nachvollziehbar, auditierbar.
Die technische Einrichtung ist Aufgabe der IT. Die Vorarbeit — welche Rollen im Unternehmen welche Datenkategorien benötigen — ist eine Frage, die Fachabteilung und IT gemeinsam vor dem ersten produktiven System beantworten müssen. Nicht danach.
Ein KI-System, das nicht weiß, was es für wen sagen darf, ist kein Werkzeug. Es ist ein Compliance-Risiko mit Benutzeroberfläche.
Jonas Reuter
Geschäftsführer, Partner
Frage 3 — Wie bleibt das DSGVO-konform, und was ändert der EU AI Act?
Mitarbeitende entscheiden selbst — die IT weiß es nicht
Vier von zehn deutschen Unternehmen gehen laut Bitkom davon aus, dass ihre Mitarbeitenden private KI-Tools für berufliche Zwecke nutzen — ohne Wissen der IT-Abteilung [6]. Ein Servicetechniker fasst einen Kundenbericht mit personenbezogenen Daten in ChatGPT zusammen, weil das schneller geht als das interne System. Ein Projektingenieur optimiert ein Angebot mit vertraulichen Kostenpositionen über ein externes KI-Tool — von seinem privaten Account. Die IT weiß von beidem nichts. Das Unternehmen haftet trotzdem.
Seit dem 2. Februar 2025 verpflichtet Artikel 4 des EU AI Acts alle Unternehmen, die KI einsetzen, zur nachweisbaren KI-Kompetenz ihrer Mitarbeitenden [7]. Ab dem 2. August 2026 greifen die Hochrisiko-Pflichten — mit Bußgeldern bis zu 30 Millionen Euro oder 6 Prozent des Jahresumsatzes [7]. Die Frage, ob ein Unternehmen KI einsetzt, stellt sich dabei nicht mehr. Sie ist durch Schatten-KI in den meisten Unternehmen bereits beantwortet.
Kontrollierte Infrastruktur schlägt Verbote
Samsung hat ChatGPT nach drei Datenlecks 2023 verboten. Die Mitarbeitenden verlagerten die Nutzung auf private Geräte. Verbote wirken nicht — sie erzeugen nur weniger Sichtbarkeit.
Die Alternative ist eine kontrollierte Infrastruktur: ein DSGVO-konformes KI-System auf europäischen Servern, mit einem Auftragsverarbeitungsvertrag — kurz AVV, der Vertrag, der regelt, dass Ihr Dienstleister Ihre Daten ausschließlich für die vereinbarten Zwecke verarbeiten darf und sie nicht zum Training öffentlicher Modelle verwendet. Microsoft betreibt seine Azure-Dienste seit Anfang 2025 vollständig über die sogenannte EU-Datengrenze: Ihre Inhalte werden ausschließlich auf europäischen Servern verarbeitet und gespeichert, ohne Umweg über US-Rechenzentren [8]. Ergänzt durch eine interne KI-Nutzungsrichtlinie ist das ein rechtssicher handhabbares Setup — und das einzige, das Schatten-KI dauerhaft zurückdrängt.
Diese Entscheidung muss die IT vorbereiten, bevor der erste Use Case produktiv geht. Wer das nachlädt, repariert unter Betrieb.
Frage 4 — Wer ownt den Betrieb?
Der Pilot läuft — und dann steht niemand am Schalter
Ein Hersteller von Fördertechnik hat sein KI-Projekt nach vier Wochen Pilotphase für gut befunden. Ein externes Beratungsteam hat ein System aufgesetzt, das die technische Dokumentation durchsucht und Servicemitarbeitenden in Sekunden die relevanten Stellen ausgibt. Begeisterung im Team, positives Feedback von der Geschäftsführung. Dann endet das Projekt. Die Berater ziehen sich zurück. Zwei Monate später veraltet das zugrunde liegende Modell. Neue Dokumente werden nicht eingepflegt. Ein Servicetechniker meldet, dass die Antworten nicht mehr stimmen. Niemand weiß, wer zuständig ist.
Nicht weil die KI versagt hat — sondern weil nie entschieden wurde, wer für das System verantwortlich ist. Wer pflegt die Datenbasis? Wer entscheidet, wenn das Modell ausgetauscht werden muss? Wer reagiert bei einem Sicherheitsvorfall? Diese Fragen müssen vor dem Go-live geklärt sein — nicht im Nachgang.
IT-Ownership klar benennen
Der Unterschied zwischen einem Piloten und einer Infrastruktur ist die Eigentümerfrage. KI-Infrastruktur gehört in die IT — nicht ins Fachbereichsbudget, nicht in die Verantwortung eines Projektteams, das nach dem Go-live wieder zu seinen Tagesaufgaben zurückkehrt.
In der Praxis bedeutet das: einen benannten IT-seitigen Owner, der für Datenpflege, Modell-Updates, Kostenkontrolle und Monitoring zuständig ist — mit dediziertem Zeitbudget und Reportingpflicht gegenüber der Geschäftsführung. Nicht als Vollzeitrolle. Aber als klare, nicht delegierbare Verantwortung.
KI-Infrastruktur, die für zehn Nutzer funktioniert und bei hundert zusammenbricht, ist kein Fundament. Es ist ein Pilot mit Ablaufdatum.
Jonas Reuter
Geschäftsführer, Partner
Frage 5 — Wie wächst die Infrastruktur mit?
Sechs Piloten, keine Infrastruktur
67 Prozent der Unternehmen stecken laut Studienlage 2026 in der Experimentierphase fest und schaffen den Sprung zur Skalierung nicht [12]. Einer der häufigsten Gründe: jede Fachabteilung hat ihren eigenen Piloten gestartet. Vertrieb nutzt Tool A, Service nutzt Tool B, Einkauf experimentiert mit Tool C. Jedes System hat seine eigene Datenbasis, sein eigenes Zugriffsmodell, seine eigene Kostenstelle.
Ein mittelständisches Unternehmen, das drei parallel laufende Pilotprojekte betreibt — je eigene Lizenzen, eigene Datenpflege, eigene externe Betreuung — zahlt im laufenden Betrieb leicht das Zwei- bis Dreifache dessen, was eine einzige zentrale Infrastruktur kosten würde. Dazu kommen sechs bis zwölf Monate Verzögerung bei jedem weiteren Use Case, weil die Grundlagenarbeit jedes Mal neu gemacht werden muss. Das Ergebnis: steigende Betriebskosten, inkompatible Systeme und keine gemeinsame Datenbasis, auf der weitere Anwendungen aufgebaut werden könnten.
Zentraler Tenant statt Insellösung
Was das konkret bedeutet: ein zentraler Azure-Tenant, in dem alle KI-Anwendungen unter einem Dach laufen. Rollenkonzept und Zugriffsrechte werden einmal definiert und zentral verwaltet — nicht je Use Case neu erfunden. Neue Anwendungsfälle — ob Vertrieb, Service oder Einkauf — bauen auf derselben Plattform auf, statt eigene Insellösungen zu schaffen, die sich gegenseitig nicht kennen.
Azure AI Foundry bündelt über 1.800 KI-Modelle, Integration in Microsoft 365, Protokollierung aller Zugriffe und Governance-Funktionen auf einer Plattform [10]. Entscheidend ist nicht die Plattformwahl. Entscheidend ist, dass die Architekturentscheidung einmal getroffen wird — und dann für alle künftigen Use Cases gilt.
Strategische Impulse für die nächsten Schritte
Vier Maßnahmen, die Ihre IT jetzt angehen kann — unabhängig davon, welche KI-Lösung Sie wählen.
Datenkartierung in einem halben Tag
Erfassen Sie gemeinsam mit den Fachbereichen, welche Daten wo liegen — in sechs Kategorien: technische Dokumentation, CRM-Historien, Servicefälle, Konfigurationsregeln, Preislisten, Normennachweise. Das Ergebnis ist kein IT-Dokument. Es ist die Grundlage jeder belastbaren KI-Architektur.
Berechtigungskonzept vor dem ersten Prompt
Definieren Sie, welche Rollen welche Datenkategorien benötigen. Das Ergebnis wird in Microsoft Entra ID übersetzt — und schützt vor dem nächsten Audit und vor unkontrollierten Informationszugriffen, die kein Passwort verhindert.
Pilot direkt auf Produktionsinfrastruktur
Starten Sie auch den ersten Piloten nicht auf einem Testmandanten, der später weggeworfen wird — sondern auf der zentralen Infrastruktur mit dem richtigen Berechtigungskonzept. Was zunächst nach mehr Aufwand klingt, spart beim Rollout sechs bis acht Wochen Nacharbeit. Wer den Piloten richtig aufsetzt, braucht für die Skalierung keine neue Infrastruktur — sondern nur mehr Nutzer.
KI-Nutzungsrichtlinie vor Go-live
Verabschieden Sie eine interne Richtlinie, bevor der erste Use Case live geht: Welche Tools sind freigegeben? Welche Datenkategorien dürfen genutzt werden? Wer haftet, wenn eine KI-Antwort falsch oder schädlich ist? Das braucht keine Rechtsabteilung — aber eine Entscheidung. Unternehmen ohne Richtlinie bezahlen Schatten-KI-Risiken und EU AI Act-Schulungsdefizite gleichzeitig.
Was muss Ihre IT vor dem ersten KI-Projekt klären?
Mittelständische Unternehmen unterschätzen regelmäßig, welche Vorarbeiten eine belastbare KI-Infrastruktur erfordert — und welche Fragen zu spät gestellt werden. MORGEN entwickelt mit Ihnen in einem strukturierten Erstgespräch einen Infrastruktur-Readiness-Check: bevor das erste Modell konfiguriert wird.
Erfolgreiche KI-Projekte
Weitere Beiträge zum Thema KI
14.06.2026
Fünf Fragen, die Ihre IT beantworten muss, bevor Sie KI einführen
09.06.2026
Warum Ihr bester Vertriebsingenieur Ihr größter Engpass ist
02.06.2026
Von der Schatten-KI zur KI-Infrastruktur: Die vier Phasen, die kein Mittelständler überspringen kann
22.06.2025
Vier Reifegrade für Ihr B2B-Marketing im produzierenden Mittelstand
Quellen
[1] Gartner (2025): 60 % der KI-Initiativen scheitern an der Datenbasis. Via Modular Ops, April 2026. https://modular-ops.de/blog/ki-readiness-mittelstand-2026/
[2] Gartner (April 2026): AI Projects in I&O Stall. https://www.gartner.com/en/newsroom/press-releases/2026-04-07-gartner-says-artificial-intelligence-projects-in-infrastructure-and-operations-stall-ahead-of-meaningful-roi-returns
[3] Gartner (Februar 2024): 80 % of D&A Governance Initiatives Will Fail by 2027. https://www.gartner.com/en/newsroom/press-releases/2024-02-28-gartner-predicts-80-percent-of-data-and-analytics-governance-initiatives-will-fail-by-2027-due-to-a-lack-of-a-real-or-manufactured-crisis-
[4] Gartner (Juli 2024): 30 % of GenAI Projects Abandoned After POC. https://www.gartner.com/en/newsroom/press-releases/2024-07-29-gartner-predicts-30-percent-of-generative-ai-projects-will-be-abandoned-after-proof-of-concept-by-end-of-2025
[5] Mittelstand Digital / KI-Studie 2025: 76 % Datenqualität. https://maximal.digital/studie-ki-im-mittelstand-und-kmu-2025-einblicke-und-impulse-aus-der-ki-studie-2025
[6] Bitkom (2025): Schatten-KI. Via Superkind. https://superkind.ai/de/blog/shadow-ai-governance
[7] EU AI Act, Artikel 4. Via Haufe Akademie. https://www.haufe-akademie.de/digital-suite/blog/ds-ki-schulungspflicht
[8] Microsoft / Assecor (2025): DSGVO Azure, EU Data Boundary. https://www.assecor.de/blog/ki-und-datenschutz-leitfaden-2025
[9] DMB / Salesforce (Februar 2025): KI-Index Mittelstand 2025. Via Bebensee IT. https://bebensee.it/de/blog/ki-im-deutschen-mittelstand-strategieluecken-fakten-und-handlungsrahmen/index.html
[10] Pexon Consulting (März 2026): Azure AI Foundry. https://pexon-consulting.de/blog/azure-ai-foundry-leitfaden/
[11] Springer Professional (Mai 2026): KI im Mittelstand. https://www.springerprofessional.de/ki-im-mittelstand-schnell-starten/52350668
[12] Blogist.de (Mai 2026): Studienlage 2026. https://www.blogist.de/studienlage-2026-warum-ki-in-unternehmen-nicht-am-budget-sondern-an-organisation-und-umsetzung-scheitert/