Künstliche Intelligenz im deutschen Mittelstand funktioniert dort, wo sie klein bleibt. Eine neue Studie von Cancom und ServiceNow zeigt: Unternehmen setzen KI-Pilotprojekte erfolgreich um, scheitern aber beim Sprung in den Produktivbetrieb regelmäßig an Integration, Sicherheit und Governance. Genau an diesem Übergang entscheidet sich, ob KI im Unternehmen zur Routine wird oder ein Sammelsurium einzelner Insellösungen bleibt.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Cancom und ServiceNow zeigen: Mittelständler nutzen KI produktiv in einzelnen Fachbereichen, scheitern aber an der unternehmensweiten Skalierung
  • Die Ursache ist strukturell: fehlende einheitliche Zugriffsrechte, Daten-Governance und Auditierbarkeit über Abteilungsgrenzen hinweg
  • Der Befund bestätigt eine seit Jahren stabile Bitkom-Beobachtungsreihe zur Lücke zwischen KI-Interesse und produktiver Nutzung
  • Ab 2026 greifen gestaffelte EU-AI-Act-Pflichten, die Betreiber, nicht Plattformanbieter, in die Verantwortung nehmen

Warum scheitert die KI-Skalierung ausgerechnet an der Organisation?

Miniaturampel mit Holzkorpus und leuchtenden Rot- und Gelbphasen, an der ein Schild mit der Aufschrift „FREIGABE AUSSTEHEND“ hängt
Isolierte Datentöpfe ermöglichen schnelle Piloten, scheitern aber in der Produktion ohne einheitliche Berechtigungskonzepte und Nachverfolgbarkeit

Das Problem sitzt selten im Modell selbst. Isolierte Datentöpfe in einzelnen Fachabteilungen erlauben zunächst schnelle Pilotergebnisse, weil dort niemand abteilungsübergreifende Zugriffsregeln beachten muss. Sobald ein Anwendungsfall aber in den Produktivbetrieb wechselt, braucht er einheitliche Berechtigungskonzepte, nachvollziehbare Datenherkunft und Auditierbarkeit über die gesamte Organisation. Genau diese Struktur fehlt in vielen gewachsenen Mittelstands-IT-Landschaften.

Cancom benennt das Problem in eigenen Veröffentlichungen unumwunden: KI-Projekte scheitern in der Praxis häufig an Unsicherheiten bei Betriebssicherheit, Skalierbarkeit und regulatorischen Anforderungen. Ohne definierte Verantwortlichkeiten für Modellfreigaben, Datenqualität und Zugriffskontrollen bleibt jede Skalierung ein manuelles Einzelprojekt statt eines wiederholbaren Prozesses. Wer die Grundlagen großer Sprachmodelle im Unternehmenskontext verstehen möchte, findet im LLMs-Ratgeber die technische Einordnung dazu.

Cancom & ServiceNow Studie
KI im Mittelstand: Der Sprung vom Pilot zum Produktivbetrieb scheitert an der Governance

Deutsche Unternehmen nutzen KI erfolgreich in einzelnen Fachbereichen — doch bei der unternehmensweiten Skalierung bremsen fehlende Zugriffsrechte, Daten-Governance und Auditierbarkeit.

Der KI-Adoptions-Trichter im Mittelstand
Pilotprojekte starten
Fachbereiche testen KI-Anwendungsfälle isoliert und mit schnellen Ergebnissen
Hoch
Erste Skalierungsversuche
Abteilungsübergreifende Nutzung erfordert einheitliche Berechtigungskonzepte
Mittel
Unternehmensweiter Produktivbetrieb
Governance, Auditierbarkeit und Datenherkunft fehlen — Skalierung stockt
Niedrig
Die drei Bremsklötze der KI-Skalierung
Isolierte Datentöpfe
Fachabteilungen arbeiten mit eigenen Datensilos ohne abteilungsübergreifende Zugriffsregeln
Fehlende Governance
Keine definierten Verantwortlichkeiten für Modellfreigaben, Datenqualität und Zugriffskontrollen
Mangelnde Auditierbarkeit
Ohne nachvollziehbare Datenherkunft bleibt jede Skalierung ein manuelles Einzelprojekt
Ab 2026
EU AI Act: Gestaffelte Pflichten treffen den Betreiber
Risikomanagement
Verpflichtende Risikoeinstufung für KI-Systeme in sensiblen Prozessen
Dokumentationspflicht
Nachvollziehbare Nachweise über Einsatz, Daten und Entscheidungslogik
Menschliche Aufsicht
Betreiber, nicht Plattformanbieter, tragen die Verantwortung im Betrieb
Was Entscheider jetzt konkret tun sollten
1
Vollständigen Überblick schaffen
Erfassen Sie alle laufenden und geplanten KI-Anwendungsfälle inklusive der jeweils verarbeiteten Daten
2
Verantwortliche klar benennen
Definieren Sie Modell-Owner, Daten-Owner und Freigabeverantwortliche pro Anwendungsfall statt KI als IT-Nebensache zu behandeln
3
Freigabeprozess etablieren
Richten Sie einen verbindlichen Freigabeprozess ein, der vor jedem Produktivrollout greift — nicht erst danach nachgereicht wird

Keineswegs. Der Befund reiht sich in eine seit Jahren stabile Beobachtungsreihe von Bitkom-Studien ein, die für den deutschen Mittelstand regelmäßig dieselbe Lücke dokumentieren: großes Interesse an KI, aber deutlich geringere tatsächliche produktive Nutzung, gebremst durch Governance-Defizite, Datenschutz und fehlende Fachkräfte.

Bemerkenswert ist der Kontext dieser Studie selbst. Cancom und ServiceNow verbindet eine strategische Partnerschaft: ServiceNow liefert die technologische Plattform, Cancom übernimmt Implementierung und Betrieb für den DACH-Mittelstand. Der Governance-Befund liest sich damit auch als Argument für Managed-AI-Angebote. Diese Nähe macht die Aussage nicht falsch, sie bleibt aber einordnungsbedürftig.

Das Muster passt zur aktuellen Post-Pilot-Phase der KI-Adoption: Erste Erfolge erzeugen Erwartungsdruck, den die bestehende IT-Governance nicht bedienen kann.

Welche Pflichten kommen jetzt konkret auf Mittelständler zu?

Mit dem EU AI Act greifen ab 2026 gestaffelte Pflichten für Risikomanagement, Dokumentation und menschliche Aufsicht bei KI-Systemen. Diese Pflichten treffen auch Mittelständler, sobald KI in personalbezogenen, sicherheitsrelevanten oder kundenrelevanten Prozessen läuft, etwa in Bewerberauswahl, Kreditvergabe oder automatisierter Kundenkommunikation.

Die Verantwortung liegt beim Betreiber, nicht beim Plattformanbieter. Kombiniert mit DSGVO-Vorgaben zu Auftragsverarbeitung und Datenminimierung ergibt sich klarer Handlungsbedarf. Sinnvoll ist eine zentrale AI-Governance-Instanz mit eindeutig zugewiesenen Rollen für Modell-Owner, Daten-Owner und Freigabeverantwortliche.

Dazu gehören ein Register aller KI-Anwendungsfälle inklusive Risikoeinstufung sowie ein verbindlicher Freigabeprozess vor jedem Produktivrollout. Wer diese Struktur erst beim ersten Audit aufbaut, riskiert Verzögerungen bei der Skalierung und im schlimmsten Fall Bußgelder nach AI Act und DSGVO.

Was sollten Entscheider jetzt konkret tun?

Drei Schritte lassen sich sofort angehen, unabhängig von der Unternehmensgröße. Zunächst braucht jedes Unternehmen einen Überblick über sämtliche laufenden und geplanten KI-Anwendungsfälle, inklusive der Frage, welche Daten jeweils verarbeitet werden. Danach folgt die Benennung konkreter Verantwortlicher pro Anwendungsfall, statt KI-Projekte als IT-Nebensache laufen zu lassen.

Zuletzt gehört ein Freigabeprozess etabliert, der vor dem Produktivstart greift und nicht erst danach nachgereicht wird. Diese Grundlagen kosten Zeit. Sie verhindern aber genau die Verzögerungen, die aktuell viele Mittelstandsprojekte im Pilotstadium festhalten.

4,3 19 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?