Nicht jede KI-Nutzung braucht dieselbe Kontrolle

Kurzfassung: EU-KI-Verordnung, Europäische Kommission und NIST-Rahmen machen KI-Steuerung greifbarer. Für KMU heißt das nicht, jeden Einsatz gleich schwer zu regeln. Entscheidend ist die Eingriffstiefe: Ein Formulierungsvorschlag braucht andere Kontrolle als ein System, das Fälle sortiert, Prioritäten nahelegt oder Arbeitsschritte vorbereitet.

Mit der Verordnung (EU) 2024/1689 liegt ein verbindlicher europäischer Rahmen für künstliche Intelligenz vor. Die Europäische Kommission beschreibt ihn als regulatorische Grundlage. NIST liefert ergänzend ein praktisches Modell, um Risiken, Kontrollen und laufende Bewertung zu strukturieren. Für Mittelständler entsteht daraus leicht der Eindruck, KI-Governance müsse vor allem umfassender werden. Der wichtigere Punkt ist aber ein anderer: Sie muss genauer werden.

Nicht jede KI-Nutzung verändert Arbeit auf dieselbe Weise. Ein Werkzeug, das einen internen Text glättet, ist anders zu beurteilen als ein System, das Kundenfälle vorsortiert. Eine Zusammenfassung für persönliche Vorbereitung ist weniger tief im Betrieb verankert als eine Empfehlung, die bestimmt, welcher Vorgang zuerst bearbeitet wird. Deshalb hilft eine pauschale Regelung kaum. Sie überlastet harmlose Nutzung und unterschätzt Einsätze, die tatsächlich Einfluss auf Entscheidungen, Reihenfolgen oder Behandlungspfade nehmen.

Eingriffstiefe statt Werkzeugkategorie

Viele Unternehmen sortieren KI noch nach Werkzeugen: Chat, Assistenz, Automatisierung, Analyse. Für Führung ist das zu grob. Entscheidend ist, wie tief ein Einsatz in reale Arbeit eingreift. Die erste Stufe ist rein unterstützend. Das System formuliert, erklärt, übersetzt oder fasst zusammen, ohne dass daraus automatisch ein weiterer Schritt folgt. Hier braucht es Sorgfalt, aber meist keine schwere Kontrollarchitektur.

Die zweite Stufe beginnt, wenn KI Arbeit vorbereitet. Sie zieht Informationen zusammen, markiert offene Punkte, ordnet Inhalte oder erstellt eine Grundlage, auf der Mitarbeitende weiterarbeiten. Hier steigt die Bedeutung fachlicher Prüfung. Nicht jede Ausgabe muss formal freigegeben werden, aber es muss klar sein, was nur Vorarbeit ist und was als belastbare Grundlage verwendet werden darf.

Die dritte Stufe ist erreicht, wenn KI Reihenfolgen, Prioritäten oder Bearbeitungspfade beeinflusst. Dann wirkt sie nicht mehr nur auf die Form eines Ergebnisses, sondern auf die Verteilung von Aufmerksamkeit. Im Service kann das bedeuten, dass ein Fall höher oder niedriger eingestuft wird. Im Vertrieb kann es bedeuten, dass bestimmte Kundengruppen anders angesprochen werden. In Projekten kann es bedeuten, dass Risiken oder Aufgaben in eine bestimmte Reihenfolge geraten.

Die vierte Stufe betrifft Ausführung oder faktische Vorentscheidung. Wenn ein System Arbeitsschritte auslöst, externe Kommunikation vorbereitet oder Entscheidungen so stark rahmt, dass Menschen sie nur noch abnicken, ist Kontrolle nicht mehr optional. Dann muss klar sein, wer verantwortlich bleibt, welche Prüfung zwingend ist und wie Ausnahmen behandelt werden.

Warum pauschale Kontrolle schadet

Für KMU ist diese Unterscheidung wichtig, weil knappe Führungszeit sonst falsch gebunden wird. Wer jede kleine Nutzung gleich behandelt, erzeugt Bürokratie und nimmt Teams die Bereitschaft, nützliche Hilfen offen zu verwenden. Gleichzeitig entsteht ein blinder Fleck bei Einsätzen, die zwar unscheinbar wirken, aber tief in Arbeitsabläufe greifen. Ein Textwerkzeug kann harmlos sein. Dasselbe Werkzeug kann kritisch werden, wenn es mit Kundendaten, Preislogik oder Priorisierung verbunden wird.

Im Vertrieb ist der Unterschied gut sichtbar. Eine KI, die eine E-Mail freundlicher formuliert, verändert wenig. Eine KI, die Angebotsargumente aus Kundendaten ableitet und daraus eine Struktur vorschlägt, greift tiefer ein. Noch gewichtiger wird es, wenn sie bestimmte Rabatte, Lieferannahmen oder technische Einschränkungen nahelegt. Dann entsteht eine fachliche Wirkung, die Führung nicht mit dem Hinweis auf Eigenverantwortung der Mitarbeitenden abräumen kann.

Im Kundendienst gilt Ähnliches. Antwortbausteine sind eine niedrige Eingriffstiefe, solange Mitarbeitende den Fall selbst einschätzen. Eine automatische Vorsortierung nach Dringlichkeit oder Zuständigkeit hat dagegen unmittelbare Wirkung. Kunden erleben nicht die interne Technik, sondern Bearbeitungszeit, Konsistenz und Fairness. Wenn ähnliche Anliegen unterschiedlich behandelt werden, weil die Einstufung unklar ist, wird Governance zur Frage der Servicequalität.

Ein praktischer Steuerungsrahmen

Der NIST-Rahmen hilft hier vor allem als Denkweise: Risiken werden nicht einmalig gelöst, sondern identifiziert, gemessen, gesteuert und überprüft. Für ein KMU lässt sich das einfach übersetzen. Pro KI-Einsatz sollte die Eingriffstiefe benannt werden. Danach richtet sich, wie streng Prüfung, Dokumentation und Zuständigkeit sein müssen.

Bei niedriger Eingriffstiefe reichen oft klare Nutzungsregeln: keine ungeprüften Fakten übernehmen, keine vertraulichen Inhalte in ungeeignete Systeme geben, Ausgaben als Hilfsmittel behandeln. Bei mittlerer Eingriffstiefe braucht es fachliche Prüfpunkte: Welche Annahmen müssen kontrolliert werden? Welche Quelle ist maßgeblich? Wer erkennt Abweichungen? Bei hoher Eingriffstiefe kommen verbindliche Verantwortlichkeiten hinzu: Wer entscheidet im Grenzfall? Welche Nutzung wird protokolliert? Wann muss ein Mensch vor Weitergabe oder Ausführung eingreifen?

Das ist keine Verharmlosung von Regulierung. Es ist die Voraussetzung dafür, dass Regulierung praktisch wird. Die EU-KI-Verordnung schafft den Rahmen, die Kommission ordnet ihn ein, NIST strukturiert das Denken. Im Alltag eines Mittelständlers entscheidet aber die genaue Einordnung des jeweiligen Einsatzes.

Die eigentliche Führungsaufgabe

KI-Governance im Arbeitsalltag bedeutet daher nicht, möglichst viele Regeln über alle Nutzungen zu legen. Sie bedeutet, Wirkungstiefe zu erkennen. Führungskräfte sollten ihre wichtigsten KI-Anwendungen nicht zuerst nach Anbieter, Abteilung oder Begeisterung sortieren, sondern nach der Frage: Bleibt das System Hilfsmittel, bereitet es Arbeit vor, beeinflusst es Prioritäten oder löst es faktisch Handlungen aus?

Aus dieser Antwort ergibt sich die passende Kontrolle. Das entlastet einfache Nutzung und verschärft den Blick dort, wo KI Arbeit tatsächlich steuert. Für KMU ist das der pragmatische Weg zwischen Laissez-faire und Überregulierung: nicht jede Nutzung gleich behandeln, sondern genau dort führen, wo Eingriffstiefe entsteht.