- Geschäftsführer-Entscheidung 1 — Make-or-Buy: Fertige SaaS-Modelle reichen für 90 Prozent der Use-Cases. Eigenentwicklung nur bei echtem Wettbewerbsvorteil.
- Geschäftsführer-Entscheidung 2 — ROI: Drei Zahlen reichen (Zeit, Volumen, Stundensatz). Break-Even typisch nach 7 bis 12 Monaten, wenn das Volumen stimmt.
- Geschäftsführer-Entscheidung 3 — Compliance: EU AI Act ab August 2026 voll wirksam. Vier Risikoklassen. Im Mittelstand zählen vor allem „minimal" und „begrenzt".
- Rund 70 Prozent aller KI-Projekte scheitern an Strategie und Menschen, nicht an Technologie. Klein starten, sauber dokumentieren, Mitarbeiter mitnehmen.
Drei Fragen, die jeder Geschäftsführer beantworten muss
KI und Prozessautomatisierung waren 2023 noch ein Investment ins Ungewisse. 2026 sind sie ein operativer Hebel — und gleichzeitig ein juristisches Pflichtprogramm. Wenn Sie als Geschäftsführer eines mittelständischen Unternehmens entscheiden müssen, ob und wie Sie einsteigen, brauchen Sie drei Antworten:
- Make-or-Buy: Selbst entwickeln, Standard-Tool konfigurieren oder Beratung einkaufen?
- ROI: Was kostet das, was bringt das — in echten Euro, nicht in PowerPoint-Versprechen?
- Compliance: Was müssen Sie wegen EU AI Act und DSGVO heute schon dokumentieren?
Die drei Antworten hängen zusammen, und keine darf fehlen. Wer operativ einsteigen will, findet im Schwester-Artikel KI-basierte Automatisierung mit RPA, Document AI und OCR die konkrete Werkzeug-Ebene. Hier konzentrieren wir uns auf die GF-Entscheidungen davor. Wer nur auf ROI schaut, fällt später über Compliance. Wer nur auf Compliance schaut, baut Bremsen ein, bevor das Auto rollt. Wer nur auf Make-or-Buy schaut, optimiert die Kostenseite und übersieht den Nutzen.
Frage 1: Make-or-Buy — wann lohnt sich was?
Im Mittelstand mit 10 bis 150 Mitarbeitern gilt: Die fertige Lösung schlägt fast immer die Eigenentwicklung. Drei Gründe.
Fertige Modelle sind reif. Azure AI Document Intelligence liest Rechnungen aus über 100 Ländern, Verträge und Quittungen — out-of-the-box mit über 95 Prozent Genauigkeit. Power Automate AI Builder klassifiziert Texte und extrahiert Daten ohne Code. Diese Tools haben Millionen Belege gesehen — Ihr eigenes Modell wird das in den ersten 12 Monaten nicht erreichen.
Eigenentwicklung kostet 5 bis 10 mal mehr. Ein eigenes Modell zu trainieren, zu hosten, zu warten und compliant zu halten bedeutet: Data Scientist (90.000 bis 130.000 EUR pro Jahr), ML Engineer (80.000 bis 110.000 EUR pro Jahr), MLOps-Infrastruktur, kontinuierliche Aktualisierung wegen Modell-Drift. Das rechnet sich erst bei Stückzahlen, die ein Mittelständler selten erreicht. Wer trotzdem den Eigenbau-Weg gehen will, sollte sich zuerst die Praxis von Co-Managed IT Services in Hamburg ansehen, wo interne IT und externer Partner gemeinsam arbeiten.
Lock-in ist überschätzt. Das Argument „wir wollen unabhängig bleiben” hören wir oft. Ehrlich: Die Daten gehören Ihnen, die Prozess-Logik liegt in der Konfiguration. Der Wechsel von einem SaaS-Anbieter zum nächsten ist machbar — der Wechsel von einer halbfertigen Eigenentwicklung zu einer produktiven Lösung dagegen wird teuer.
80 Prozent Standard-Konfiguration, 20 Prozent Anpassung an Ihre Daten und Prozesse. Wer mehr anpasst, verlässt die wirtschaftlich sinnvolle Zone. Wer weniger anpasst, hat einen unpersönlichen Bot, der nicht zur Realität passt.
Ich rate meinen Kunden immer: Nicht übertreiben, einfach anfangen. Die perfekte IT-Lösung gibt es nicht — aber eine, die morgen schon besser ist als heute. Und in drei Monaten sind Sie überrascht, wie weit Sie gekommen sind.
Jens HagelGeschäftsführer, hagel IT-Services GmbH
Frage 2: ROI — wie man seriös rechnet
Vergessen Sie die Beraterfolien mit „30 Prozent Effizienzgewinn”. Ihre ROI-Rechnung passt auf einen Bierdeckel:
| Position | Beispiel-Wert | Hinweis |
|---|---|---|
| Volumen pro Monat | 1.500 Rechnungen | Realistisch zählen, nicht schätzen |
| Bearbeitungszeit heute | 4 Min/Beleg | Stoppuhr nehmen, nicht raten |
| Interner Stundensatz | 45 EUR/h | Brutto + Lohnnebenkosten |
| Personalaufwand heute | 4.500 EUR/Monat | Volumen × Zeit × Stundensatz |
| Bearbeitungszeit mit KI | 1 Min/Beleg | Aus Pilot messen, nicht Anbieter glauben |
| Personalaufwand mit KI | 1.125 EUR/Monat | inkl. Prüf-Stufe |
| Einsparung | 3.375 EUR/Monat | Bleibt netto übrig |
| Setup-Kosten einmalig | 18.000 EUR | Beratung + Konfiguration |
| Lizenz + Hosting | 600 EUR/Monat | M365 Premium + Document AI |
| Break-Even nach | ~7 Monaten | Setup / (Einsparung − Lizenz) |
Diese Rechnung ist ehrlich, weil sie drei Dinge nicht versteckt:
- Prüfen bleibt. 95 Prozent Erkennung heißt: Fünf Prozent müssen Menschen anschauen. Bei 1.500 Belegen sind das 75 Fälle pro Monat.
- Lizenz läuft weiter. Power Automate, AI Builder, Document Intelligence kosten dauerhaft.
- Mitarbeiter verschwinden nicht. Die freigewordene Zeit wird zu prüfen, klären, optimieren — nicht zu Entlassung.
Wer Ihnen sechs Monate Break-Even verspricht, ohne diese drei Zahlen sauber zu kalkulieren, redet Buzzword-Bingo. Wer Ihnen 24 oder mehr Monate ohne klare Begründung sagt, hat keinen passenden Use-Case identifiziert.
Frage 3: EU AI Act — was ist Pflicht, was ist Kür?
Der EU AI Act ist seit dem 1. August 2024 in Kraft. Die meisten Bestimmungen greifen ab dem 2. August 2026 voll. Er teilt KI-Systeme in vier Risikoklassen ein — und genau die Pflichten für norddeutsche KMU haben wir in der Vertiefung EU AI Act Mittelstand 2026 inklusive Schulungspflicht, GPAI-Regeln und Bußgeldern bis 35 Mio. EUR durchgespielt:
- Inakzeptabel — verboten. Social Scoring, biometrische Massenüberwachung, manipulative Subliminal-Techniken. Im Mittelstand normalerweise kein Thema.
- Hochrisiko — umfangreiche Pflichten. Personalauswahl-Tools, Kreditscoring, kritische Infrastruktur, medizinische Diagnostik. Wer hier KI einsetzt, braucht Risikomanagement, Dokumentation, menschliche Aufsicht, Konformitätsbewertung. Wichtig: Auch als reiner Anwender (nicht Hersteller) können Sie Pflichten haben.
- Begrenzt — Transparenzpflicht. Chatbots, Deepfakes, KI-generierte Inhalte. Nutzer müssen erkennen können, dass sie mit KI interagieren. Im Mittelstand betrifft das viele Service-Chatbots.
- Minimal — keine besonderen Pflichten. Document Intelligence für Rechnungen, E-Mail-Klassifikation, Stammdaten-Pflege. Trotzdem: DSGVO bleibt voll wirksam.
Praktische DSGVO-Pflichten zusätzlich zum AI Act
DSGVO und AI Act sind nicht das Gleiche. Beides gilt parallel. Drei DSGVO-Schritte sind bei jedem KI-Prozess Pflicht:
- Verarbeitungsverzeichnis ergänzen (Art. 30 DSGVO) — Zweck, Datenarten, Empfänger, Löschfristen.
- Auftragsverarbeitungsvertrag mit dem Anbieter (Microsoft, Google, OpenAI etc.) — Standard-Verträge liegen meist im Anbieter-Portal bereit.
- Bei automatisierten Einzelentscheidungen (Art. 22 DSGVO) — Transparenz schaffen, Widerspruchsmöglichkeit anbieten. Bei Personaldaten zusätzlich eine [Datenschutz-Folgenabschätzung im Zusammenspiel mit NIS2](/it-sicherheit/nis2-beratung-hamburg "NIS-2 Beratung Hamburg — hagel IT-Services").
Viele Mittelständler glauben, dass „minimal risk" bedeutet „kein Aufwand". Falsch: DSGVO-Pflichten gelten weiter, und der AI Act verlangt auch bei minimaler Risikoklasse das Bewusstsein, in welcher Klasse Sie sind. Ein Audit fragt nicht nach der Risikoklasse — sondern nach der dokumentierten Einschätzung. Hintergrund-Lektüre dazu in den [Hinweisen des BfDI zu KI](https://www.bfdi.bund.de/DE/Service/Hinweise/KI/ki_node.html "BfDI: Künstliche Intelligenz und Datenschutz").
Der GF-Fahrplan für die ersten 90 Tage
- Tag 1–14: Inventur. Welche Prozesse haben hohes Volumen und nerven manuell? Drei Kandidaten identifizieren, mit Zahlen unterlegen (Volumen, Zeit, Kosten).
- Tag 15–30: Make-or-Buy-Entscheidung. Welche fertigen Tools passen? Demo-Termine vereinbaren, intern oder mit Partner. Risikoklasse nach EU AI Act einschätzen.
- Tag 31–60: Pilot mit einem Use-Case starten. 100 bis 200 echte Belege, Erkennungsrate messen, Prüf-Stufe einbauen, Datenschutzbeauftragten einbinden.
- Tag 61–90: Stabilisieren und Mitarbeiter schulen. Prüf-Workflow festigen, Fehlerfälle dokumentieren, Modell nachjustieren. Nächsten Use-Case planen.
Ich habe neun IT-Häuser angeschrieben. Nur drei haben ein Angebot geschickt, das ich als Nicht-ITler verstanden habe. hagel IT war eins davon.
Was Geschäftsführer häufig falsch machen — vier Anti-Pattern
1. „Wir warten, bis die Technologie ausgereift ist.” Die Technologie ist reif. Was nicht reif ist, sind die internen Prozesse. Warten heißt: Wettbewerber sammeln Erfahrungen, während Sie stillstehen. Das deckt sich mit dem State of AI Report 2024 von McKinsey, der zeigt, dass Vorreiter ihren Vorsprung in 12 bis 24 Monaten kaum mehr einholbar ausbauen.
2. „Wir starten gleich mit drei Use-Cases parallel.” Drei halbfertige Bots sind weniger wert als ein produktiver. Klein anfangen, stabilisieren, nächsten dazunehmen.
3. „Datenschutz klären wir am Ende.” Wer am Ende Datenschutz klärt, baut um. Eine frühe Einbindung des Datenschutzbeauftragten kostet zwei Tage und spart zwei Wochen.
4. „Mitarbeiter bringt der Bot schon zum Akzeptieren.” Bringt er nicht. Stille Sabotage ist real. Wer KI-Prozesse einführt und Mitarbeiter im Unklaren lässt, hat in sechs Monaten einen Bot, den niemand benutzt — oder gegen den alle gegenchecken. Wer transparent kommuniziert und Weiterbildung als Teil des Managed-IT-Pakets versteht, gewinnt das Buy-in. Falls Sie an dieser Stelle „aber wir brauchen mehr als nur Standard” denken: dafür gibt es Enterprise IT — Multi-Site, Compliance-Level, dedizierter Service Manager.
Wann ein Partner hilft — und wann nicht
Es gibt drei Konstellationen, in denen wir Geschäftsführern eher ehrlich zur internen Lösung raten als zum eigenen Beratungstag:
- Eigene IT mit über fünf Personen + Cloud-Erfahrung. Sie haben das Know-how, brauchen nur Inspiration und gelegentliche Sparringspartner.
- Standard-Use-Case bei sehr niedrigem Volumen. Wenn Sie 200 Rechnungen pro Monat haben, rechnet sich auch der schönste Bot nicht.
- Sehr unklare Strategie. Wenn das Unternehmen gerade in Umbruch ist, lohnt sich erst Strategie, dann KI. Sonst automatisieren Sie Prozesse, die in zwölf Monaten anders aussehen.
In allen anderen Fällen — also bei den meisten Mittelständlern zwischen 10 und 150 Mitarbeitern — bringt ein erfahrener Partner zwei Dinge: Tempo (Sie überspringen Lernkurven) und Realismus (jemand sagt Ihnen, was wirklich passt).
Fazit: Drei Antworten, eine Entscheidung
KI-Prozessautomatisierung lohnt sich 2026 für fast jeden Mittelständler — vorausgesetzt, Sie haben drei Antworten parat:
- Make-or-Buy: Buy. Standard-Tools schlagen Eigenentwicklung in 90 Prozent der Fälle.
- ROI: Sauber rechnen. Drei Zahlen reichen. Break-Even bei 7 bis 12 Monaten ist normal.
- Compliance: EU AI Act und DSGVO früh klären. Risikoklasse einschätzen, dokumentieren, Datenschutzbeauftragten einbinden.
Wer alle drei Antworten hat, kann starten. Wer nur zwei hat, holt die dritte in zwei Wochen ein. Wer weniger als zwei hat, sollte sich Beratung holen — die Zeit lohnt sich, bevor Sie 18.000 EUR Setup-Kosten falsch investieren. Wenn Sie wollen, schauen wir gemeinsam, wo Ihr Unternehmen steht: 15 Minuten Erstgespräch, ohne Verkaufsdruck.
Make-or-Buy bei Ihnen — was lohnt sich?
15 Minuten Erstgespräch. Realistische Einschätzung statt Buzzword-Bingo.
Erstgespräch buchen →
