Drei Leute am Tisch. Der Geschäftsführer will KI in der Konstruktion. Der IT-Leiter blockiert. Der Datenschutzbeauftragte sitzt mit verschränkten Armen daneben.
Alle drei haben Recht.
Genau deshalb passiert seit zwei Jahren das hier: nichts.
Solche Räume habe ich in den letzten Monaten oft gesehen. Stuttgart, Bielefeld, Ruhrgebiet. Immer Mittelstand, immer gesund, immer ambitioniert. Immer festgefahren an einer einzigen Frage, auf die bisher niemand eine saubere Antwort gibt.
Wem gehören eigentlich die Daten, wenn KI sie verarbeitet?
Die Zahl, die alle falsch lesen
Bitkom hat in der KI-Studie 2026 eine Zahl rausgelegt: 41 Prozent der deutschen Unternehmen nutzen mittlerweile KI. Bei Konzernen ab 500 Mitarbeitern sind es weit über 60 Prozent. Bei den inhabergeführten Mittelständlern bricht die Quote spürbar ein.
Die übliche Interpretation: Der Mittelstand sei zu langsam, scheue Investitionen, verschlafe den nächsten Tech-Sprung. Wieder mal.
Klingt nach Rückstand. Ist aber keiner.
Der Mittelstand ist nicht zu langsam. Er wartet auf eine Antwort, die ihm bisher niemand gibt. Solange diese Antwort fehlt, ist das Nichts-Tun die rationalste Option, die Geschäftsführung und Aufsichtsrat treffen können.
Es liegt nicht an den Tools
Die Tool-Welt ist gelöst. ChatGPT, Claude, Microsoft 365 Copilot, Mistral, lokale Modelle auf hauseigenen GPUs. Für jeden Use Case findet sich heute ein passendes Werkzeug. Und für jedes Werkzeug einen Anbieter, der es verkaufen will.
Was nicht gelöst ist: die strategische Frage hinter dem Werkzeug.
Wenn ein Konstruktionsleiter im Maschinenbau eine Spezifikation in ein Sprachmodell schiebt, fliessen Geschäftsgeheimnisse durch ein System, das möglicherweise in Texas oder Dublin sitzt. Wenn die Buchhaltung Kreditorenrechnungen automatisiert auswerten lässt, sind Lieferantenkonditionen plötzlich Trainingsdaten für irgendein Foundation Model.
Solange diese Frage offen ist, blockt der Datenschutzbeauftragte. Zu Recht. Und solange er blockt, kommt der Geschäftsführer nicht weiter. Auch zu Recht. Der IT-Leiter sieht zu, wie zwischen Compliance und Pragmatismus jeder einzelne Pilot im Sande verläuft.
Souveränität ist nicht das Gegenteil von Tempo
Hier kommt die übliche Pointe: Werdet mutiger, einfach machen, Fehler erlauben. Move fast, break things.
Funktioniert nicht. Nicht in einem Familienunternehmen mit fünfzig Jahren Marktstellung, das Schlampigkeit in der IT mit Pleite oder Reputationsschaden bezahlt.
Die richtige Pointe ist anders.
Souveränität ist nicht das Gegenteil von Tempo. Sie ist die Erlaubnis dafür.
Wenn die Daten-Frage geklärt ist, fällt der Datenschutzbeauftragte vom Blocker zum Beschleuniger. Wenn die Architektur sitzt, ist jeder weitere Use Case kein Sondervotum mehr, sondern ein Standardvorgang. Und wenn klar ist, wer verantwortet, wenn die KI Mist baut, hört das ewige Eskalieren auf jede Vorstandsebene auf.
Souveränität ist das Fundament. Tempo ist das Haus darauf.
Die drei Hebel, die den Knoten lösen
In der Praxis sind es drei Entscheidungen, die einen festgefahrenen Mittelständler in sechs bis acht Wochen produktiv machen. Nicht zwölf. Nicht achtzehn. Sechs bis acht.
1. Datenklassifizierung
Wer in eurem Unternehmen kann eigentlich beantworten, welche Daten wohin dürfen?
Die meisten Geschäftsführer sagen: Das macht die IT. Die IT sagt: Das ist eine Geschäftsentscheidung. Der Datenschutzbeauftragte sagt: Das müsste ich erst selbst bewerten, dafür habe ich keine Kapazität.
Es braucht keine perfekte ISO-Norm. Es braucht eine pragmatische Klassifizierung in vier Schubladen: öffentlich, intern, vertraulich, geheim. Und für jede Schublade eine klare Regel, welche KI-Tools sie sehen dürfen. Das ist in einem Workshop machbar, wenn alle drei Rollen am Tisch sitzen.
2. Architektur-Entscheidung
On-Premise, Sovereign Cloud, Hyperscaler. Drei Wege, drei Kostenstrukturen, drei Risikoprofile.
Die ehrliche Diagnose: Die meisten Mittelständler brauchen einen Mix. Vertrauliche Konstruktionsdaten auf der eigenen Hardware. Standard-Office-Workloads bei Microsoft oder Google. Sektorspezifische Modelle bei einem europäischen Anbieter mit ordentlichem AVV.
Was sie nicht brauchen, ist die Grundsatzdebatte zwischen IT-Idealisten und Geschäftsführungs-Pragmatikern. Diese Debatte killt mehr Projekte als jeder regulatorische Anlass.
3. Betriebsmodell
Wer verantwortet, wenn die KI Mist baut?
Klingt nach Compliance-Kleinkram. Ist es nicht. Es ist die zentrale Governance-Entscheidung, ohne die nichts in Bewegung kommt.
Ein klares Betriebsmodell regelt: Welche Use Cases laufen mit Human in the Loop. Wer eskaliert wann. Wer trägt das wirtschaftliche Risiko, wenn ein Modell halluziniert und ein Kunde Schaden nimmt. Wer trainiert nach, wenn die Genauigkeit kippt.
Im Mittelstand ist das oft mit drei Seiten Papier erledigt. In Konzernen mit dreihundert. Beide Versionen funktionieren. Was nicht funktioniert, ist gar keine.
Was sechs Wochen möglich machen
Eine Szene, die ich in den letzten Monaten oft gesehen habe. Familienunternehmen, dritte Generation, Marktführer in einer engen Nische. Maschinenbau. Konstruktion will KI, IT blockt, Datenschutz arbeitet im Modus „nein, sicher nicht“.
Von dort zur produktiven KI in der Konstruktion in sechs Wochen. Ohne PowerPoint-Schlacht. Ohne dass jemand das Datenschutz-Team kündigt.
Was dafür nötig war: ein Workshop mit allen drei Rollen am Tisch, eine pragmatische Datenklassifizierung, eine Architektur-Entscheidung in der Geschäftsführungssitzung, und ein einseitiges Betriebsmodell mit klaren Eskalationswegen. Den Rest hat die KI-Plattform selbst geliefert.
Kein Hexenwerk. Governance, die ihren Job tut.
Warum die Vorstandsebene das nicht delegieren kann
Wer das in den letzten zehn Jahren bei Cybersecurity erlebt hat, sieht es jetzt wieder. Die Tools werden besser, die Anbieter zahlreicher, die Versprechen lauter. Parallel werden die strategischen Fragen tiefer, nicht oberflächlicher.
KI-Souveränität gehört auf die Agenda jeder Vorstandssitzung, jedes Aufsichtsrats, jedes Beirats. Nicht als Compliance-Punkt, sondern als strategische Standortbestimmung. Wer das delegiert, delegiert auch die Antwort. Und die Antwort entscheidet, ob euer Unternehmen in fünf Jahren noch über seine eigenen Daten verfügt oder nicht.
Im Mittelstand ist diese Entscheidung dringender als anderswo. Konzerne haben Cashflow für teure Korrekturen und regulatorische Polster, die einen Daten-Reset überstehen. Mittelständler nicht. Wer hier falsch wählt, zahlt zweimal.
Quelle: Bitkom KI-Studie 2026, Februar 2026.
