Was mache ich, wenn ich nicht weiß, welche KI-Systeme im Unternehmen genutzt werden?

„Ach so, das nutzt KI?“ – Wenn Du erst im Audit davon erfährst

Ich sitze in einem Auditgespräch mit einem mittelständischen Unternehmen. Der externe Auditor fragt beiläufig: „Nutzen Sie eigentlich KI-Systeme?“ – kurze Pause. Dann sagt jemand aus dem Marketing: „Ach so, ja – unser neues Analysetool hat so eine KI-Funktion, glaube ich.“ Ein Raunen geht durch den Raum. Niemand wusste davon.

Solche Momente erlebe ich immer häufiger. KI-Systeme tauchen in Unternehmen oft auf, ohne dass jemand sie bewusst eingeführt hat. Ein neues Feature hier, ein automatisches Assistenztool dort – und schon ist Künstliche Intelligenz Teil des Alltags, ohne dass Verantwortliche es mitbekommen.

Das Problem: Wenn keiner weiß, welche KI im Einsatz ist, kann auch niemand beurteilen, welche Daten verarbeitet, welche Risiken entstehen oder welche Pflichten greifen. Genau hier beginnt die eigentliche Herausforderung – und die Chance, KI-Governance pragmatisch aufzubauen, bevor der EU AI Act sie erzwingt.

---

Schatten-KI im Unternehmen – wenn Künstliche Intelligenz unsichtbar bleibt

Dass KI-Systeme „einfach so“ im Unternehmen auftauchen, ist längst kein Ausnahmefall mehr. In vielen Organisationen entsteht derzeit eine neue Form von Schatten-IT – die „Schatten-KI“. Tools werden ausprobiert, integriert, wieder vergessen. Eine KI-Funktion in der Buchhaltungssoftware, ein automatisches Texttool fürs Marketing, ein Chatbot im Support: alles scheinbar harmlos – bis jemand fragt, wer das eigentlich eingeführt hat.

Das eigentliche Problem ist fehlende Transparenz. Niemand weiß genau, welche Systeme im Einsatz sind, welche Daten verarbeitet werden oder ob sensible Informationen an externe Dienste fließen. Damit entstehen gleich mehrere Risiken: Datenschutzverletzungen, unbeabsichtigte Haftung oder Fehlentscheidungen durch unkontrollierte Automatisierung.

Oft steckt keine böse Absicht dahinter. Mitarbeitende nutzen neue Funktionen, um Prozesse zu verbessern oder Zeit zu sparen. Doch weil KI noch „neu und heikel“ wirkt, trauen sich viele nicht, offen darüber zu sprechen. Aus Angst, etwas Verbotenes getan zu haben, bleibt die Nutzung lieber unerwähnt. So entsteht ein blinder Fleck – genau dort, wo eigentlich Steuerung gefragt wäre.

Der EU AI Act macht diese Lücken deutlich: Unternehmen müssen künftig – mindestens bei Hochrisiko-Systemen – dokumentieren können, wie ihre KI-Systeme gesteuert und überwacht werden. Auch die ISO/IEC 42001 (KI-Managementsysteme) fordert in Kapitel 6 („Planung“) eine klare Governance-Struktur und ein Inventar aller relevanten KI-Anwendungen.

Selbst wenn die gesetzliche Pflicht nur für bestimmte KI-Kategorien gilt, ist Transparenz für alle Unternehmen sinnvoll, um Risiken und Pflichten rechtzeitig zu erkennen.

Kurz gesagt: Wer nicht weiß, wo KI im Unternehmen arbeitet, verliert die Kontrolle über Daten, Risiken und Entscheidungen. Und während die Technologie weiterläuft, bleibt die Organisation blind – bis das nächste Audit oder ein Vorfall zeigt, wie teuer Unsichtbarkeit werden kann.

---

Warum KI-Systeme oft unbemerkt im Unternehmen landen

Viele Unternehmen glauben, sie hätten noch gar nichts mit Künstlicher Intelligenz zu tun – bis sie genauer hinschauen. Der eigentliche Grund, warum unbekannte KI-Systeme im Unternehmen auftauchen, liegt oft in der Art, wie moderne Software funktioniert.

Heute wird KI selten „bewusst eingeführt“. Sie steckt einfach in bestehenden Tools:

• Microsoft 365 analysiert Texte, schlägt Formulierungen vor oder priorisiert E-Mails.
  
• CRM-Systeme bewerten Leads automatisch.
  
• Security- oder HR-Plattformen erkennen Muster im Verhalten oder in Bewerbungen.

Viele dieser Funktionen tragen kein sichtbares „KI“-Label. Und so nutzen Teams sie ganz selbstverständlich – ohne zu wissen, dass sie gerade eine KI-basierte Entscheidung treffen lassen.

Genau deshalb ist es wichtig, regelmäßig zu prüfen und zu dokumentieren, welche Systeme aktiv sind – also KI-Systeme zu erfassen, bevor sie zu einer Schatten-KI werden, die keiner mehr überblickt.

Einfache Faustregel: Wenn ein Tool aus Daten lernt, Muster erkennt oder Inhalte erzeugt, kannst Du es als KI-Funktion betrachten – auch wenn es nicht ausdrücklich so genannt wird. Diese Einschätzung hilft, den Überblick im KI-Inventar zu behalten.

Dazu kommt: Der Begriff „KI-System“ ist selbst unscharf. Ist ein Autokorrektur-Tool schon KI? Oder erst ein Chatbot mit Sprachmodell? Die Unsicherheit darüber führt dazu, dass viele gar nicht erkennen, dass sie mit regulierten Technologien arbeiten.

Hier lohnt sich ein Blick in die Vergangenheit: Beim Aufbau von ISMS war das erste Problem immer Transparenz. Niemand konnte Risiken steuern, solange unklar war, welche Systeme existierten. Mit KI ist es genauso – nur schneller und komplexer.

Das Ziel ist daher nicht, Schuldige zu suchen, sondern Verständnis zu schaffen: KI ist längst Teil des Alltags. Wer das erkennt, kann anfangen, Verantwortung zu übernehmen – statt im nächsten Audit überrascht zu werden.

---

KI-Bestandsaufnahme im Unternehmen – wie Du Transparenz statt Kontrolle schaffst

Wenn Du herausfinden willst, welche KI-Systeme im Unternehmen tatsächlich genutzt werden, beginne mit einer einfachen KI-Bestandsaufnahme. Du brauchst keine Großoffensive, sondern einen klaren, pragmatischen Einstieg. Das Ziel ist Sichtbarkeit, nicht Kontrolle. Denn erst wenn Du weißt, was da ist, kannst Du entscheiden, was geregelt werden muss – und was nicht.

Schritt 1: KI-Inventar starten
Fang klein an. Frag in den Teams nach, welche Tools oder Funktionen KI enthalten könnten. Oft reicht ein gemeinsames Whiteboard oder eine einfache Excel-Liste mit Spalten wie „Tool“, „Zweck“, „Abteilung“ und „KI-Funktion“. Diese erste KI-Inventur im Unternehmen ist der Startpunkt jeder KI-Bestandsaufnahme – sie schafft Überblick, nicht Kontrolle. Wichtig ist, dass die Menschen verstehen: Es geht nicht um Sanktionen, sondern um Transparenz.

Schritt 2: Verantwortung klären
Bestimme, wer neue KI-Tools prüft oder freigibt – und wer bei Unsicherheiten entscheidet. Das kann dieselbe Person sein, die heute Softwareanschaffungen koordiniert, oder jemand aus IT, Datenschutz oder Compliance. Der Punkt ist: Es braucht eine erkennbare Stelle, sonst passiert gar nichts.

Schritt 3: Risikoabschätzung light
Nicht jedes Tool braucht eine tiefgehende Analyse. Aber ein kurzes Nachdenken hilft enorm:

• Werden personenbezogene oder vertrauliche Geschäftsdaten verarbeitet?
• Trifft oder unterstützt das Tool Entscheidungen über Menschen oder Geschäftsprozesse?
• Läuft das System in der Cloud, und weißt Du, wo die Daten liegen?
• Könnte ein Fehler oder eine falsche Empfehlung spürbare Folgen haben?

Diese kleine „Risiko-Light-Prüfung“ reicht oft aus, um kritische Fälle früh zu erkennen – ohne Bürokratie, aber mit gesundem Bewusstsein.

Schritt 4: Kommunikation statt Kontrolle
Statt Kontrolle von oben hilft Transparenz von unten. Sprich offen über die Frage: Welche Tools nutzen wir – und warum?
Ein Kunde von mir, ein 120-Mitarbeiter-Unternehmen, hat dazu einen „KI-Nutzungs-Workshop“ durchgeführt. Jede Abteilung durfte Tools nennen, bei denen man sich unsicher war, ob KI im Spiel ist. Das Ergebnis: Über 30 Anwendungen kamen zusammen – vom Marketing bis zur Personalabteilung. Viele davon waren bisher niemandem bekannt.
Dieser Workshop war kein Audit, sondern ein Gesprächsanlass. Und genau das wirkte: Die Mitarbeitenden fühlten sich ernst genommen, nicht kontrolliert.

Solche einfachen Formate zeigen, dass KI-Governance keine Hochglanzrichtlinie braucht, sondern Aufmerksamkeit und Dialog. Du musst nicht auf die perfekte Policy warten.
Fang an, sichtbar zu machen, was da ist – der Rest ergibt sich Schritt für Schritt.
So entsteht Ordnung im KI-Chaos – nicht durch Verbote, sondern durch Verständnis.

---

Was in der Praxis wirklich hilft, um KI im Unternehmen zu steuern

In der Beratung sehe ich immer wieder: Die Unternehmen, die früh anfangen zu dokumentieren, schlafen ruhiger – besonders mit Blick auf den EU AI Act. Sie wissen, was eingesetzt wird, und können bei Bedarf sofort zeigen, dass sie Verantwortung übernehmen.

Der entscheidende Punkt ist nicht Perfektion, sondern Bewegung. Ein einfaches Excel-Register, in dem Abteilungen ihre Tools eintragen, kann den Unterschied machen. Oder ein offenes Gespräch im Team, bei dem alle ehrlich sagen dürfen, welche KI-Funktionen sie nutzen. Selbst wenn die Liste am Anfang lückenhaft ist – sie schafft Bewusstsein.

Kleine Schritte wirken. Wenn Verantwortliche verstehen, dass KI-Governance keine Regelflut bedeutet, sondern Transparenz und gesundes Nachfragen, entsteht Akzeptanz. Manche Unternehmen starten mit einem Pilotprozess, zum Beispiel im Marketing oder HR, um Erfahrung zu sammeln. Danach fällt die Ausweitung leicht, weil es keine theoretische Übung mehr ist.

Und genau das ist die wichtigste Erkenntnis: KI im Unternehmen zu steuern heißt nicht, Kontrolle auszuüben – sondern Verantwortung zu zeigen.
Wer das früh erkennt, braucht keine Angst vor Regularien zu haben. Denn dann wird aus einem vermeintlichen Risiko ein handhabbares Thema – und aus Unsicherheit gelebte Sorgfalt.

Übrigens: Wer zu den nach NIS2 als wichtige oder essenzielle Einrichtungen eingestuften Unternehmen zählt, profitiert doppelt: Ein früher Überblick über eingesetzte KI-Tools unterstützt nicht nur die KI-Governance, sondern auch die Cyber- und Business-Continuity-Pflichten dieser Richtlinie.

---

Zum Mitnehmen & Weiterdenken – erste Schritte zu klarer KI-Transparenz

Wenn Du eins aus diesem Thema mitnimmst, dann das: Du kannst keine KI-Compliance schaffen, wenn Du nicht weißt, welche KI-Systeme im Unternehmen im Einsatz sind. Transparenz ist keine bürokratische Pflicht, sondern der Anfang von Verantwortung.

Viele Unternehmen glauben, sie müssten erst große Richtlinien schaffen, bevor sie anfangen dürfen. In Wahrheit ist es umgekehrt: Inventarisierung ist kein Kontrollakt – sie ist Risikovorsorge. Du musst nicht alles sofort regeln, aber Du solltest wissen, wo KI überall wirkt.

Mach das Thema sichtbar – nicht perfekt. Ein erster Überblick, ein gemeinsamer Workshop oder eine einfache Tool-Liste bringen mehr Fortschritt als monatelanges Warten auf die „richtige“ Governance-Struktur. Jede Klarheit, die Du heute schaffst, erspart Dir morgen Aufwand, falls der EU AI Act greift.

Drei Impulsfragen für Dich:

• Weißt Du, welche Tools oder Funktionen in Deinem Unternehmen bereits KI nutzen?
  
• Wer entscheidet heute über den Einsatz solcher Systeme – bewusst oder zufällig?
  
• Wie würde Dein Unternehmen reagieren, wenn ein KI-Fehler morgen Konsequenzen hätte?

Diese Fragen sind kein Risiko-Check, sondern der Startpunkt für echte KI-Verantwortung.

---

Was Du jetzt tun kannst – der erste Schritt zu KI-Governance im Unternehmen

Quick-Check:

• Gibt es bereits eine Übersicht über genutzte KI-Systeme oder -Funktionen?
  
• Wird die Nutzung intern offen kommuniziert – oder eher verschwiegen?
  
• Ist klar, wer über neue Tools entscheidet oder sie freigibt?

Wenn Du diese Fragen nicht eindeutig beantworten kannst, bist Du nicht allein. Die meisten Unternehmen stehen genau hier: Sie wissen, dass KI im Einsatz ist – aber nicht genau wo und wie.

Der wichtigste Schritt ist Transparenz. Du musst keine Richtlinie schreiben oder gleich ein Managementsystem aufsetzen. Fang mit einer offenen Liste an – sie ist im Grunde Deine erste KI-Bestandsaufnahme. Lade die Teams ein, ihre Tools einzutragen – ohne Bewertung, einfach zur Sichtbarmachung.

Mini-CTA: Wenn Du heute nicht weißt, wo überall KI genutzt wird – starte mit einer KI-Bestandsaufnahme im Unternehmen. Transparenz ist der erste Schritt zur Steuerung.

Regelwerksbezug: Dieses Thema berührt EU AI Act Art. 4 (Governance und Risikomanagement), ISO/IEC 42001 Kap. 6 (Planung) sowie ISO 27001 Annex A.8 (Asset Management).

---