KI im Unternehmen einsetzen: Regeln, Risiken und Chancen im ERP-Umfeld

Auch kleine und mittlere Unternehmen setzen KI bereits ein, um beispielsweise Texte zu erstellen, Daten auszuwerten, Dokumente schneller zu erfassen und wiederkehrende Aufgaben zu vereinfachen. Besonders im ERP-Umfeld wächst das Potenzial – etwa durch KI in Buchhaltung und Controlling, HR, Dokumentenmanagement (DMS) und Warenwirtschaft.

Mit den Möglichkeiten steigen jedoch auch die Anforderungen. Wer KI im Unternehmen einsetzen möchte und dabei mit vertraulichen bzw. personenbezogenen Daten arbeitet, braucht klare Regeln für KI-Compliance. Genau hier setzt KI-Governance an: Sie schafft einen Rahmen dafür, wie KI im Unternehmen eingesetzt werden darf, wer Verantwortung übernimmt und welche Kontrollen erforderlich sind.

Der Begriff „KI-Governance” beschreibt den organisatorischen Rahmen für den sicheren, nachvollziehbaren und rechtskonformen Einsatz von KI-Systemen in einem Unternehmen. 

Im Kern beantwortet KI-Governance unter anderem die folgenden Fragen:

• Welche KI-Tools sind im Unternehmen erlaubt?
• Welche Daten dürfen Mitarbeitende in KI-Systeme eingeben?
• Wer prüft KI-Ergebnisse vor ihrer Weiterverwendung?
• Für welche Prozesse ist KI geeignet?
• Wer trägt die Verantwortung bei fehlerhaften oder riskanten Ergebnissen?
• Wie werden Datenschutz, Informationssicherheit und Compliance berücksichtigt?

Gerade für KMU ist ein pragmatischer Ansatz sinnvoll. Es geht nicht darum, umfangreiche Regelwerke zu schaffen, sondern Leitplanken zu definieren, die Orientierung geben. Oftmals genügen klar definierte Zuständigkeiten, ein einfacher KI-Freigabeprozess und eine verständliche KI-Richtlinie für die Mitarbeitenden.

Wer KI im Unternehmen einsetzen will, sollte nicht nur auf Effizienzpotenziale schauen. Ebenso wichtig ist ein Blick auf die Risiken. Fünf Themen sind für KMU besonders relevant.

1. Datenschutz und personenbezogene Daten

Sobald personenbezogene Daten verarbeitet werden, gelten hohe Anforderungen – insbesondere im Zusammenspiel von KI und DSGVO. Dazu zählen nicht nur Namen oder Anschriften, sondern je nach Kontext auch E-Mail-Adressen, Bewerbungsunterlagen, Gehaltsdaten, Informationen zu Krankheiten oder Leistungsbeurteilungen.

Besonders problematisch wird es, wenn Mitarbeitende solche Daten in frei verfügbare KI-Tools eingeben. Ohne klare Freigabe sollten unter anderem die folgenden Informationen nicht in externe KI-Systeme gelangen:

• Personalakten
• Lohn- und Gehaltsdaten
• Bewerbungsunterlagen
• Kundendaten
• Lieferantenverträge
• Rechnungen mit personenbezogenen Angaben
• interne Finanzdaten
• vertrauliche Geschäftsunterlagen
• Zugangsdaten oder technische Systeminformationen

Eine einfache Faustregel für die Praxis lautet: Alles, was nicht ohne Weiteres in einer öffentlichen E-Mail versendet werden darf, gehört auch nicht ungeprüft in ein KI-Tool.

2. Halluzinationen und fachlich falsche Ergebnisse

KI-Systeme können sprachlich überzeugende, aber inhaltlich fehlerhafte, unvollständige oder veraltete Ergebnisse liefern. Das ist im Unternehmenskontext heikel - insbesondere dann, wenn daraus rechtliche, steuerliche, finanzielle oder personelle Entscheidungen abgeleitet werden.

Hier sind einige Beispiele für falsche KI-Ergebnisse mit Risikopotenzial:

• falsch dargestellte steuerliche Hinweise 
• fehlerhaft interpretierte Fristen 
• ungenau zusammengefasste Verträge
• falsch formulierte Buchungsvorschläge
• fehlerhaft erklärte Kennzahlen 
• verkürzt oder missverständlich wiedergegebene rechtliche Änderungen

Deshalb sollte in jeder KI-Richtlinie festgehalten sein: KI-Ergebnisse sind Entwürfe, keine endgültigen Entscheidungen. Die fachliche Prüfung bleibt Pflicht.

3. Vertrauliche Dokumente und Geschäftsgeheimnisse

ERP-, Dokumentenmanagement- und Buchhaltungssysteme enthalten sensible Informationen. Dazu gehören beispielsweise Einkaufspreise, Margen, Vertragsbedingungen, Kundenlisten, Zahlungsdaten oder strategische Planungen. Wenn solche Inhalte in externe KI-Dienste gelangen, kann das erhebliche Risiken für die Vertraulichkeit und die Geschäftsgeheimnisse mit sich bringen.

Unternehmen sollten daher vor der Nutzung neuer KI-Tools unter anderem prüfen:

• Wo werden die Daten verarbeitet?
• Werden Eingaben zum Training des KI-Modells genutzt?
• Gibt es geeignete vertragliche Grundlagen?
• Welche Lösch- und Protokollierungsfunktionen sind vorhanden?
• Wie ist der Zugriff geschützt?
• Welche Administrations- und Rechtekonzepte gibt es?

4. Diskriminierung und Fehlentscheidungen im HR-Bereich

Bei KI im Personalwesen ist besondere Vorsicht geboten. Wenn Systeme Bewerbungen vorsortieren, Kandidaten bewerten oder Empfehlungen zu Leistungsbeurteilungen, Einsatzplanung oder Beförderungen abgeben, können sie tief in sensible Entscheidungsprozesse eingreifen.

Deshalb sollten KMU beim KI-Einsatz in HR-Prozessen restriktiv vorgehen. KI kann bei Aufgaben wie Formulierung, Strukturierung oder Zusammenfassung unterstützen. Entscheidungen mit unmittelbaren Auswirkungen auf Menschen müssen jedoch stets nachvollziehbar, transparent und durch Menschen kontrolliert bleiben.

5. Schatten-KI im Unternehmen

In vielen Unternehmen kommt KI bereits zum Einsatz – allerdings häufig als “Schatten-KI”. Mitarbeitende nutzen unkontrolliert frei verfügbare Tools, um beispielsweise Texte zu formulieren, Tabellen auszuwerten oder Dokumente zusammenzufassen. Das geschieht meist mit guter Absicht, jedoch ohne einheitliche Regeln.

Die Folgen:

• Sensible Daten landen in nicht freigegebenen Tools.
• Ergebnisse werden ungeprüft übernommen.
• Niemand hat einen Überblick über die eingesetzten Anwendungen.
• Compliance-Anforderungen bleiben unbeachtet.
• Abteilungen arbeiten mit unterschiedlichen Standards.

Eine klare KI-Richtlinie hilft, diese Grauzone zu vermeiden.

Der Personalbereich verdient besondere Aufmerksamkeit, weil hier sensible Daten und Entscheidungen mit direkter Auswirkung auf Beschäftigte zusammenkommen.

Besonders sensible Daten in HR und Payroll

Im HR-Umfeld werden sensible Informationen verarbeitet, zum Beispiel:

• Gehaltsdaten
• Steuer- und Sozialversicherungsinformationen
• Krankheits- und Fehlzeiten
• Bewerbungsunterlagen
• Leistungsbeurteilungen
• Vertragsdaten
• Bankverbindungen
• private Kontaktdaten

Solche Daten sollten nur auf einer geprüften rechtlichen und technischen Grundlage in KI-Systemen verarbeitet werden.

Besonders sensible Entscheidungen

Noch kritischer wird es, wenn KI Entscheidungen nicht nur unterstützt, sondern aktiv vorbereitet oder beeinflusst – etwa bei der Bewerberauswahl, Gehaltsanpassungen, Leistungsbewertungen, der Schicht- oder Einsatzplanung, Beförderungen oder Kündigungsentscheidungen. In solchen Fällen gilt: KI kann zuarbeiten, die Entscheidung treffen jedoch Menschen. Transparenz, nachvollziehbare Dokumentation und eindeutig geregelte Verantwortlichkeiten sind dabei unverzichtbar.

Auch ohne eigene Compliance-Abteilung können KMU KI-Governance wirksam organisieren. Wichtig ist vor allem, dass Zuständigkeiten eindeutig zugeordnet sind.

Ein pragmatisches Modell kann so aussehen:

Wichtig ist: KI-Governance sollte nicht ausschließlich bei der IT liegen. KI betrifft Prozesse, Daten, Menschen und Entscheidungen und ist damit ein Thema für das gesamte Unternehmen.

Ein KMU möchte KI nutzen, um Eingangsrechnungen schneller zu prüfen. Die Anwendung soll Rechnungen analysieren, Beträge und Lieferantendaten erkennen, Abweichungen markieren und eine kurze Zusammenfassung erstellen.

Ohne KI-Governance würden Mitarbeitende womöglich Rechnungen in ein frei verfügbares KI-Tool hochladen. Damit könnten Lieferantendaten, Zahlungsinformationen, Vertragsdetails und interne Kosteninformationen an einen externen Dienst übermittelt werden.

Mit einer klaren KI-Governance sieht der Prozess anders aus:

1. Das Unternehmen prüft, welche Daten verarbeitet werden.
2. Es nutzt ausschließlich ein freigegebenes System.
3. Datenschutz und vertragliche Grundlagen werden vorab geprüft.
4. Die KI darf Vorschläge machen, aber keine Buchung eigenständig auslösen.
5. Die Buchhaltung kontrolliert alle Ergebnisse.
6. Auffälligkeiten werden dokumentiert.
7. Mitarbeitende wissen genau, welche Tools erlaubt sind.

Ein Unternehmen möchte KI nutzen, um Bewerbungen schneller zu sichten. Die Anwendung soll Lebensläufe analysieren und Kandidatinnen und Kandidaten priorisieren. Gerade hier ist Zurückhaltung wichtig. 

Wer auf Nummer sicher gehen will, berücksichtigt die folgenden Vorgaben:

• KI nur für Formatierung oder Zusammenfassung einsetzen
• keine automatische Rangfolge erstellen
• Auswahlentscheidungen ausschließlich Menschen überlassen
• Bewertungskriterien vorab festlegen
• Ergebnisse nachvollziehbar dokumentieren
• Bewerberdaten nur in freigegebenen Systemen verarbeiten

KI-Governance ist nicht nur ein Schutzmechanismus. Sie kann auch ein echter Produktivitäts- und Vertrauensfaktor sein. Unternehmen mit klaren Regeln handeln schneller, weil die Mitarbeitenden wissen, welche Anwendungen erlaubt sind, welche Daten tabu sind und wann eine Prüfung erforderlich ist.

Das reduziert Unsicherheit, verhindert Schatten-KI und schafft Vertrauen bei Kunden, Mitarbeitenden und Geschäftspartnern. Gerade im ERP-Umfeld ist das ein wichtiger Vorteil, weil hier zentrale Unternehmensdaten zusammenlaufen: Finanzen, Personal, Dokumente, Warenbewegungen, Kunden- und Lieferanteninformationen.

Wer KI hier sinnvoll einsetzt, beschleunigt Abläufe, verbessert die Datenverarbeitung und unterstützt fundiertere Entscheidungen. Wer KI unkontrolliert einsetzt, riskiert dagegen Datenschutzprobleme, Fehlentscheidungen und Vertrauensverlust.

Künstliche Intelligenz bietet kleinen und mittleren Unternehmen große Chancen. Sie kann Routineaufgaben vereinfachen und Informationen schneller verfügbar machen. Dadurch entlastet sie Mitarbeitende in Bereichen wie Buchhaltung, Personalwesen, Dokumentenmanagement, Warenwirtschaft und Controlling. 

Gleichzeitig gilt: Je näher KI an ERP-Daten, sensible Dokumente und geschäftskritische Abläufe heranrückt, desto wichtiger werden klare Regeln. Eine pragmatische KI-Governance schafft den hierfür notwendigen Rahmen. Sie hilft Unternehmen, Potenziale gezielt zu nutzen, Risiken früh zu erkennen und den Einsatz von KI verlässlich zu steuern.

Der Einstieg muss dabei nicht kompliziert sein. Zunächst sollten die vorhandenen oder geplanten KI-Anwendungen erfasst, Verantwortlichkeiten festgelegt und sensible Daten wirksam geschützt werden. Darauf aufbauend sollten Unternehmen einen Freigabeprozess definieren, Mitarbeitende schulen, Ergebnisse prüfen und die eigene Richtlinie regelmäßig aktualisieren.

So wird KI nicht zum unkontrollierbaren Risiko, sondern zu einem wertvollen und sicheren Bestandteil des digitalen Unternehmensalltags.

Was ist KI-Governance?

KI-Governance beschreibt die Regeln, Verantwortlichkeiten und Kontrollen für den Einsatz von KI im Unternehmen. Ziel ist es, Chancen nutzbar zu machen und Risiken bei Datenschutz, Qualität und Compliance zu begrenzen.

Warum brauchen KMU eine KI-Richtlinie?

Weil KI-Tools oft schnell eingeführt oder informell genutzt werden. Eine KI-Richtlinie schafft Orientierung, verhindert Schatten-KI und hilft dabei, sensible Daten sowie kritische Prozesse besser zu schützen.

Darf KI personenbezogene Daten verarbeiten?

Das hängt vom konkreten Einsatz, der rechtlichen Grundlage und vom verwendeten System ab. Ohne Prüfung von Datenschutz, Sicherheit und vertraglichen Rahmenbedingungen sollten personenbezogene Daten nicht in KI-Systeme eingegeben werden.

Wo sollte KI in KMU besonders vorsichtig eingesetzt werden?

Besonders sensible Bereiche sind HR, Lohnabrechnung, Buchhaltung, Vertragsmanagement und alle Prozesse, in denen Entscheidungen rechtliche, finanzielle oder personelle Folgen haben.

Müssen KI-Ergebnisse immer geprüft werden?

Ja, vor allem dann, wenn sie in sensible Prozesse einfließen. KI kann unterstützen, aber die fachliche Verantwortung bleibt im Unternehmen - und damit bei Menschen.

Hinweis: Dieser Beitrag bietet einen allgemeinen Überblick und ersetzt keine rechtliche Beratung. Gerade bei Datenschutz-, Arbeitsrechts- und Compliance-Fragen sollten Unternehmen ihre Datenschutzbeauftragten, Rechtsberatung oder zuständigen Fachstellen einbeziehen.

Bildquelle: TippaPatt - stock.adobe.com