AI Literacy, Compliance und Erfahrung – So gelingen KI Projekte

Im Interview mit Isabell Mader von Mader Consulting gehen wir der Frage auf den Grund, was KI-Projekte erfolgreich macht und wo die entscheidenden Stolperfallen liegen, die vermeidbar sind.

1. Wie ist aus Ihrer Sicht das beste Vorgehen, um ein erfolgreiches KI-Projekt zu definieren? 

Das beste Vorgehen beginnt nicht mit der Technologie — es beginnt mit zwei Fragen: Welche Geschäftswirkung hat diese KI-Initiative, wenn sie funktioniert? Und wie reif ist das Unternehmen, sie umzusetzen? 

Diese beiden Achsen — Geschäftswirkung und Umsetzungsreife — ergeben vier klare Felder: Was sofort skaliert werden sollte, was als Pilot getestet werden kann, was ein schneller Quick Win ist, und was gestoppt oder geparkt werden sollte. Das ist keine Theorie — das ist eine Entscheidungsgrundlage. Ich habe dafür eine Vorlage entwickelt, die Geschäftsführer selbst ausfüllen können, um ihre KI-Initiativen zu priorisieren. Wer das einmal durchdenkt, merkt: Nicht das aufregendste Projekt gehört zuerst umgesetzt — sondern das mit dem besten Verhältnis aus Wirkung und Umsetzbarkeit. 

Dann kommen Governance-Fragen: Wer entscheidet über den KI-Einsatz? Wer trägt die Verantwortung, wenn etwas schiefgeht? Wie werden Daten geschützt? Erst wenn das steht, macht ein Pilot wirklich Sinn. 

Mein Grundsatz: KI ist eine Managementaufgabe, kein IT-Projekt. 

2. Wie sieht im Vergleich dazu die Realität in Unternehmen aus? 

Die Realität sieht meistens so aus: Jemand kauft Lizenzen für Copilot oder ChatGPT, schickt die Mitarbeitenden in ein Prompting-Seminar — und drei Monate später fragt der Geschäftsführer, warum sich nichts verändert hat. 

Der „State of AI in Business 2025"-Report des MIT zeigt: 95 % der Unternehmen erzielen trotz massiver Investitionen bisher keinen messbaren finanziellen Ertrag durch KI. Das liegt nicht an der Technologie. Es liegt daran, dass keine klaren Ziele definiert wurden, keine Governance-Strukturen existieren und die Menschen im Prozess vergessen wurden. 

Was mich dabei immer wieder überrascht: Die technische Umsetzung ist oft gar nicht das Problem. Das Problem ist das Fehlen von Klarheit — darüber, was KI leisten soll, wer dafür verantwortlich ist, und was passiert, wenn es nicht funktioniert. 

3. Was sind die wichtigsten Aspekte, die regelmäßig bei KI-Implementierungen vergessen werden? 

Drei Dinge vergessen Unternehmen fast immer: 

Erstens: die Menschen. Change Management wird als lästige Pflicht behandelt. Dabei ist Widerstand gegen KI meistens Angst — Angst vor Jobverlust, vor Kontrollverlust. Ich habe erlebt, wie ein Mitarbeiter einen neuen KI-Prozess blockiert hat. Als ich ihn im vertraulichen Gespräch gefragt habe, warum, war die Antwort klar: Er hatte Angst, überflüssig zu werden. Als wir gemeinsam definiert haben, welche neue Aufgabe für ihn entsteht — mit Schulung und vertraglicher Absicherung — war der Widerstand weg. Das war kein KI-Problem. Das war ein Führungsproblem. 

Zweitens: die Haftung. Wenn KI-Entscheidungen falsch sind — wer haftet? Primär die Organisation. Aber der EU AI Act zieht in Art. 65 und 99 die Führungsebene direkt in die Verantwortung. Unklare Rollenverteilung und fehlende Aufsicht gelten als Führungsversagen — und das kann zur persönlichen Exposition des Geschäftsführers führen. Das ist kein abstraktes Risiko. 

Drittens: die Daten. Was speichert das KI-Tool? Wo? Wem gehören die Outputs? Das sind keine IT-Fragen — das sind Managementfragen, die vor dem Start geklärt sein müssen. 

Viertens — und das ist vielleicht das Tiefste: Unternehmen verwechseln Nutzen mit Wert. Sie fragen: Was bringt KI? Schnelligkeit, Kostenersparnis, Output. Das ist Nutzen. Aber sie fragen nicht: Was darf dabei nicht verloren gehen? Vertrauen, Urteilskraft, Verantwortung, Kultur — das ist Wert. Sie haben das kürzlich sehr treffend formuliert: Systeme können effizienter werden und dabei kälter. Ich erlebe das in Unternehmen: Die KI läuft, die Zahlen stimmen — aber die Mitarbeitenden fühlen sich nicht mehr als Mitdenkende, sondern als Restgröße. Und dann bricht etwas weg, das sich nicht in Kennzahlen messen lässt, aber das Unternehmen langfristig trägt. 

4. Wie kann ich erkennen und bewerten, ob ein KI-Einsatz wirtschaftlich sinnvoll ist und letztlich Geld bringt? 

Mit einem klaren ROI-Rahmen, der vor dem Projekt definiert wird — nicht danach. 

Ich stelle drei Fragen: Was kostet das KI-Projekt vollständig — Lizenzen, Implementierung, Schulung, Governance? Was spart oder bringt es konkret — in Stunden, Euro, Fehlerquote? Und: Wann ist der Break-even erreicht? 

Ein Beispiel aus meiner eigenen Praxis: Ein Unternehmen aus der Veterinärbranche hatte 8.000 unstrukturierte Besuchsberichte als Dokumente, die bisher zwei qualifizierte Mitarbeitende über Tage durchgearbeitet haben. Eine KI-Pipeline analysiert dieselbe Datenmenge jetzt in 30 Minuten statt zwei Tagen. Die Reaktionszeit auf neue Erkenntnisse sank von einer Woche auf tagesaktuell. Das ist wirtschaftlich eindeutig — und messbar. 

Wenn ein Unternehmen dagegen KI zur „Transformation" einsetzt, ohne konkretes Use Case und ohne Baseline-Messung, wird es schwer sein, je einen ROI nachzuweisen. Die wichtigste Zahl ist oft die, die man sich vor dem Projekt hätte aufschreiben müssen. 

5. Wann kann ich auf generative KI setzen — und wann brauche ich eine eigene KI-Lösung? 

Generative KI — also ChatGPT, Claude, Copilot — eignet sich für Aufgaben, die sprachbasiert und standardisiert sind: Texte formulieren, Dokumente zusammenfassen, Brainstorming, E-Mail-Entwürfe, Recherche. Wann immer ich mit allgemeinen Daten und Standard-Workflows arbeite, ist generative KI ein sehr guter Startpunkt. Wichtig dabei: Der eigene Use Case muss mit dem Zweck übereinstimmen, den der Anbieter in seiner Betriebsanleitung definiert hat. Wer generative KI für etwas einsetzt, das weit außerhalb dieser Zweckbestimmung liegt, kann rechtlich vom Betreiber zum Anbieter werden — mit deutlich mehr Pflichten. Und sobald geschäftliche Daten einfließen, braucht es einen Auftragsverarbeitungsvertrag — denn die meisten Anbieter sitzen in den USA, und ohne AVV und geprüftes Datenschutzniveau ist das ein DSGVO-Verstoß. 

Eine eigene KI-Lösung brauche ich, wenn zwei Dinge zusammenkommen: Die Daten sind vertraulich und dürfen das Haus nicht verlassen — und der Use Case ist so spezifisch, dass eine generische KI schlicht nicht die richtigen Antworten kennt. Aber Achtung: Eine eigene Lösung klingt nach mehr Kontrolle — und die hat man auch. Gleichzeitig übernimmt man damit unter Umständen die volle Anbieterhaftung. Wenn die eigene KI in sensible Bereiche wie HR oder Kreditentscheidungen eingreift, ist sie als Hochrisiko-KI einzustufen — mit Pflichten wie technischer Dokumentation, CE-Kennzeichnung und Registrierung in der EU-Datenbank. Das wissen die wenigsten, wenn sie sagen: „Wir bauen das selbst." 

Ein konkretes Beispiel — und kein Hochrisiko-Fall: Ein Unternehmen baut eine interne KI ins Intranet ein. Ein Mitarbeiter fragt: „Wie funktioniert bei uns die Reisekostenabrechnung?" — die KI schaut im internen Regelwerk nach und antwortet korrekt, sofort, rund um die Uhr. Das nennt sich RAG — Retrieval-Augmented Generation. Die Daten bleiben im Haus, die Antworten sind unternehmensspezifisch. Genau dafür brauche ich eine eigene Lösung. 

Was dabei oft vergessen wird: So ein System braucht ein Rollenkonzept. Die KI muss dieselben Zugriffsrechte respektieren wie das Intranet selbst. Sonst fragt ein Mitarbeiter nach Gehaltsinformationen — und die KI antwortet, weil das HR-Dokument technisch im System liegt. Das ist kein technisches Problem. Das ist eine Governance-Frage, die vor der Implementierung geklärt sein muss. Und noch etwas, das viele übersehen: Auch dieser interne Chatbot fällt unter die Transparenzpflicht des EU AI Acts — Art. 50. Mitarbeitende müssen aktiv darauf hingewiesen werden, dass sie mit einer KI interagieren, nicht mit einem Menschen. Das klingt selbstverständlich, aber in der Praxis wird es regelmäßig vergessen. 

Eigene Lösungen kosten mehr, dauern länger und brauchen mehr interne Kompetenz. Das muss sich rechnen — und das rechnet sich nicht immer. 

6. Datenschutz und DSGVO: vorgeschobenes Argument oder wirklich wichtig? 

Beides — und das ist die ehrliche Antwort. 

DSGVO wird sehr oft als Vorwand genutzt, um Veränderung zu blockieren. Ich höre regelmäßig: „Das dürfen wir doch gar nicht wegen DSGVO." Wenn ich dann nachfrage, kann niemand sagen, welcher konkrete Artikel das angeblich verbietet. Das ist kein Datenschutzproblem. Das ist Veränderungsresistenz mit juristischem Deckmantel. 

Gleichzeitig gibt es echte Risiken: Wenn Mitarbeitende unbemerkt Kundendaten in ChatGPT eingeben — ohne Auftragsverarbeitungsvertrag, ohne Policy — ist das ein echter DSGVO-Verstoß. Das passiert täglich in deutschen Unternehmen. 

Was viele nicht auf dem Schirm haben: Der AVV gilt nicht nur für KI-Tools, sondern für alle Dienstleister und Subunternehmen, die personenbezogene Daten verarbeiten. Und hier wird es heikel — denn wenn ein 

Subunternehmer einen DSGVO-Fehler macht, kann der Auftraggeber haften. Das Unternehmen oben in der Kette trägt die Verantwortung, auch wenn es den Fehler nicht selbst gemacht hat. 

Der Unterschied: Wer Governance hat — also AVV-Kontrolle, Subunternehmer-Management, klare Policies — kann DSGVO-konform mit KI arbeiten. Wer keine Governance hat, hat ein echtes Problem — und kein gefühltes. 

7. Warum ist ihrer Meinung nach Compliance beim Thema KI so wichtig? 

Weil die persönliche Haftung beim Geschäftsführer liegt. Der EU-AI-Act ist kein Empfehlungsdokument — er ist Gesetz. Hochrisiko-KI-Systeme müssen ab August 2026 reguliert sein. Wer die Anforderungen nicht erfüllt, riskiert Bußgelder bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes — und wer verbotene KI einsetzt, also etwa Social Scoring oder manipulative Systeme, dem drohen sogar bis zu 35 Millionen Euro oder 7 %. Und das entscheidet nicht die IT-Abteilung. Das entscheidet der GF — mit seiner Unterschrift, oder durch das Fehlen davon. 

Aber Compliance bedeutet mehr als Bußgeldvermeidung. Unternehmen mit nachweisbarer KI-Governance werden in regulierten Märkten zum bevorzugten Partner — bei Kunden, Lieferanten, Investoren und Versicherungen. Das ist ein strategischer Vorteil, kein bürokratisches Muss. 

Kurz: Governance schützt den GF persönlich — und macht das Unternehmen langfristig wettbewerbsfähiger. 

8. Sind diese Regelwerke nicht eher hinderlich für eine neue Technologie wie KI im Unternehmen? 

Im ersten Moment ja — Governance kostet Zeit. ISO 42001 aufzubauen ist kein Sprint. Aber ich erlebe immer wieder, dass Regelwerke einen wertvollen Nebeneffekt haben: Sie erzwingen Klarheit. 

Wenn ich für ISO 42001 dokumentieren muss, welche KI-Systeme ich einsetze, wer verantwortlich ist und welche Risiken existieren — dann habe ich als Unternehmen zum ersten Mal einen vollständigen Überblick über meine eigene KI-Landschaft. Das ist keine Bremse. Das ist eine Führungsaufgabe. 

Ich mache dabei gerne einen Vergleich mit der Produktion — und der trifft besonders bei meinen Kunden. In der Fertigung ist es selbstverständlich: Jeder Prozess ist dokumentiert, jede Maschine ist erfasst, jedes Asset wird gepflegt. Qualitätsmanagement, Wartungsintervalle, Sicherheitsvorschriften — niemand fragt dort, ob das hinderlich ist. Es ist die Grundlage dafür, dass das Unternehmen zuverlässig liefert. Die Frage ist: Warum machen wir das nicht genauso mit allen relevanten Themen im Unternehmen — auch mit KI? 

Wer sein Spielfeld kennt, wer weiß welche KI-Systeme er einsetzt, wer verantwortlich ist und wo die Grenzen liegen, der kann in einer komplexen Welt schneller und sicherer entscheiden. Nicht trotz der Struktur — sondern wegen ihr. Governance schafft Klarheit. Und wer Klarheit hat, muss nicht bei jedem neuen Einfluss von vorne anfangen zu denken — der kann intuitiv und sicher reagieren. 

Was tatsächlich hemmt, sind überbürokratische Genehmigungsprozesse, die länger dauern als der Technologiesprung, den man verpasst. Aber das ist ein Umsetzungsproblem — kein Regulierungsproblem. Und wer glaubt, Regulierung und Innovation schließen sich aus, sollte Art. 57 des EU-AI-Acts kennen: Er sieht explizit KI-Reallabore vor — geschützte Experimentierräume, in denen Unternehmen neue KI-Systeme unter Aufsicht testen dürfen, bevor sie auf den Markt kommen. Der Gesetzgeber hat Innovation also nicht verboten. Er hat ihr einen sicheren Rahmen gegeben. 

9. Praktisch alle Führungskräfte sind überfordert angesichts der Vielfalt an Möglichkeiten durch künstliche Intelligenz und der rasenden Geschwindigkeit der Entwicklung. Was raten Sie denen, um sich zu orientieren und den eigenen Weg zu finden? 

Mein erster Rat: innehalten. Ich erlebe GFs, die jede Woche drei neue KI-Artikel lesen, auf LinkedIn über Agenten und Modelle diskutieren — und trotzdem keine einzige Entscheidung treffen. Die Überforderung kommt nicht vom Unwissen. Sie kommt von zu viel Input ohne Orientierung. 

Drei Schritte helfen: 

Erstens: Kein Tool kaufen, bevor die Strategie steht. Die meisten GFs kaufen Tools, weil ein Wettbewerber es macht oder weil der Vertrieb überzeugend war. Das ist kein strategischer Grund. 

Zweitens: Eine KI-Bestandsaufnahme machen. Welche KI-Tools nutze ich heute schon — bewusst und unbewusst? Welche Use Cases haben echtes Potenzial? Das gibt Orientierung ohne Überforderung. Aus dieser Bestandsaufnahme entsteht Fokus — und Fokus ist das Gegenmittel gegen Überforderung. 

Drittens: Einen Verantwortlichen benennen. Den KI-Beauftragten. Diese Person ist die Schnittstelle zwischen Technologie, Recht und Business. Wichtig dabei: Es reicht nicht, jemanden zu benennen. Diese Person braucht echte Befugnis — auch die Autorität, ein KI-System bei erkennbarem Risiko zu stoppen. Wer nur den Titel hat, aber nicht die Macht, ist Compliance auf dem Papier. Das schützt niemanden. 

KI wird nicht langsamer. Aber Geschwindigkeit ohne Richtung ist Chaos. Wer weiß, wo er steht und wer verantwortlich ist, kann auch bei hohem Tempo sicher navigieren. 

10. Welchen Stellenwert haben Erfahrungswissen, Domänen-Expertise und Intuition? 

Einen enormen — und das wird massiv unterschätzt. Wobei ich präzisieren möchte: Der EU AI Act unterschätzt das nicht. Art. 4 verpflichtet Unternehmen, aktiv dafür zu sorgen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Expertise ist also keine Kür — sie ist gesetzliche Pflicht. 

KI kann Muster erkennen in Datenmengen, die kein Mensch je durchsehen könnte. Aber sie kann nicht einschätzen, ob ein Lieferant wirklich vertrauenswürdig ist, ob ein Mitarbeiter gerade unter persönlichem Druck steht, oder warum ein Produkt in einer bestimmten Region plötzlich nicht mehr funktioniert. Das erfordert Kontext, Beziehung und Erfahrung. 

Intuition ist dabei kein Gegensatz zu Daten — und auch keine Esoterik. Sie ist verdichtete Erfahrung: Wahrnehmung und Urteil, die sich über Jahre eingeschliffen haben, bis sie schnell und sicher abrufbar sind. Wer 20 Jahre in einer Branche gearbeitet hat, merkt sofort, wenn eine KI-Empfehlung „zu glatt" klingt. Das ist kein Bauchgefühl — das ist Expertise in Echtzeit. Der EU-AI-Act hat dafür sogar einen Begriff: Automation Bias. Art. 14 schreibt vor, dass Aufsichtspersonen in der Lage sein müssen, der Neigung zu widerstehen, KI-Outputs blind zu vertrauen. Was ich mit Intuition beschreibe, ist also regulatorisch bereits eingefordert. 

Ich erlebe das in meiner eigenen Arbeit — und ehrlich gesagt auch beim Hyrox. Ein Wettkampf braucht 80 % Disziplin: Ich plane, wie ich durch die Stationen gehe, welches Tempo ich halte, wo ich Energie spare. Aber die restlichen 20 % entscheide ich intuitiv — wie ich mich gerade fühle, wo noch Reserven sind, wann ich Gas gebe. KI-Projekte funktionieren genauso: Struktur und Governance geben den Rahmen. Intuition sagt mir, wo ich genauer hinschauen muss — welche Frage noch nicht gestellt wurde, welches Risiko noch nicht auf dem Tisch liegt.

Die Unternehmen, die in der KI-Ära gewinnen werden, sind nicht die mit den besten Algorithmen. Es sind die, die wissen: KI verstärkt menschliche Leistung — aber sie ersetzt nicht menschliches Urteil.

11. Was passiert, wenn eine KI-Entscheidung Schaden anrichtet — wie sollten Unternehmen damit umgehen?

Das ist die Frage, die fast niemand stellt — bis es passiert. Und dann ist es für Vorbereitung zu spät.

Ich sage meinen Kunden immer: Governance ist nicht dafür da, Fehler zu verhindern. KI wird Fehler machen Governance ist dafür da, dass man weiß was zu tun ist, wenn es passiert.

Konkret bedeutet das drei Dinge:

Erstens: Human in the Loop. Bei Entscheidungen mit echten Konsequenzen — für Menschen, für Verträge,für Sicherheit — muss ein Mensch im Prozess sein, der prüft und freigibt. Nicht als Alibi, sondern mit echter Befugnis Das ist auch gesetzlich gefordert: Art. 14 EU-AI-Act schreibt für Hochrisiko-KI vor, dass Aufsichtspersonen das System im Notfall stoppen können müssen.

Zweitens: Dokumentation vor dem Schaden. Wenn ein KI-System einen Fehler macht und ich nicht dokumentiert habe, welche Version ich eingesetzt habe, wer verantwortlich war und welche Risikobewertung vorlag — dann kann ich mich nicht entlasten. ISO 42001 fordert genau diese Rückverfolgbarkeit Sie ist kein bürokratischer Aufwand. Sie ist mein Schutzschild.

Drittens: Meldepflicht kennen. Bei Hochrisiko-KI schreibt Art. 73 EU AI Act vor, schwerwiegende Vorfälle den Marktüberwachungsbehörden zu melden — spätestens 15 Tage nach Kenntnisnahme, bei Todesfällen 10 Tage. Wer das nicht tut, riskiert zusätzliche Bußgelder bis zu 15 Mio. Euro — über den eigentlichen Haftungsschaden hinaus. Und wenn dabei personenbezogene Daten betroffen sind, läuft parallel die DSGVO-Uhr: 72 Stunden bis zur Meldung an die Datenschutzbehörde. Zwei Fristen, zwei Behörden, gleichzeitig. Das überfordert Unternehmen, die dafür keine Prozesse haben.

Der entscheidende Punkt: Unternehmen, die vor dem Schadensfall Governance aufgebaut haben, kommen schneller wieder auf die Beine. Sie können zeigen, dass sie sorgfältig gehandelt haben. Die anderen stehen vor den Trümmern — ohne Dokumentation, ohne klare Verantwortung, ohne Antworten.