Auf einen Blick: Die meisten teuren KI-Fehlkäufe entstehen nicht am Preis, sondern an unklaren Anforderungen. Ein einfaches Lastenheft mit sieben Kriterien (konkreter Anwendungsfall, Datenschutz und Hosting, Integration, Sicherheit, Kosten über die Laufzeit, Anbieter-Stabilität, KI-VO-Compliance) macht KI-Angebote vergleichbar und schützt vor Fehlentscheidungen. Wer zuerst den Anwendungsfall scharf stellt und dann das Tool sucht, entscheidet besser als umgekehrt.
Der häufigste Fehler bei der KI-Tool-Auswahl ist, mit dem Tool zu beginnen statt mit dem Anwendungsfall. Eine glatte Demo überzeugt, der Anbieter wirkt seriös, der Vertrag wird unterschrieben. Drei Monate später stellt sich heraus, dass das Tool sich nicht ans CRM anbinden lässt, die Daten in den USA liegen und die monatlichen Kosten bei steigender Nutzung explodieren. Ein schlankes Lastenheft hätte das alles vorher sichtbar gemacht. Es zwingt den Anbieter zu prüfbaren Aussagen statt Marketing-Versprechen und macht zwei Angebote überhaupt erst vergleichbar.
Erst der Anwendungsfall, dann das Tool
Bevor du irgendeinen Anbieter ansiehst, klärst du den Prozess und das Ziel. Welches konkrete Problem soll die KI lösen? Wer arbeitet damit? Woran erkennst du in drei Monaten, ob es sich gelohnt hat?
Das klingt selbstverständlich, wird in der Praxis aber regelmäßig übersprungen. Die Reihenfolge entscheidet über alles Weitere. Wer mit dem Anwendungsfall beginnt, sucht ein Tool, das ein definiertes Problem löst. Wer mit dem Tool beginnt, sucht im Nachhinein ein Problem, das zum Tool passt. Das zweite Vorgehen produziert Insel-Lösungen, die niemand braucht.
Ein guter Anwendungsfall ist konkret und messbar. "Wir wollen irgendwas mit KI machen" ist kein Anwendungsfall. "Wir wollen die Bearbeitungszeit für Standard-Anfragen im Vertriebspostfach von einer Stunde auf zehn Minuten am Tag senken" ist einer. Erst wenn das steht, lohnt sich die Anbietersuche.
Die sieben Kriterien als Lastenheft
Ein KI-Lastenheft muss kein dickes Dokument sein. Eine strukturierte Liste mit sieben Spalten reicht, um Angebote nebeneinanderzulegen. Diese sieben Kriterien decken die Fragen ab, an denen Projekte tatsächlich scheitern.
| Kriterium | Worauf es ankommt | Frage an den Anbieter |
|---|---|---|
| 1. Anwendungsfall und Nutzen | Löst das Tool das definierte Problem, ist der Nutzen messbar | Wie wird der Nutzen in unserem Fall messbar, passt das Tool zu unserem tatsächlichen Bedarf |
| 2. Datenschutz und Hosting | Wo liegen die Daten, gibt es einen AVV, Ausschluss vom Training | Wo werden Daten verarbeitet (EU oder Drittland), gibt es einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, werden unsere Daten vom Modelltraining ausgeschlossen |
| 3. Integration | Anbindung an bestehende Systeme | Lässt sich das Tool an E-Mail, CRM, ERP, DMS anbinden, welche Schnittstellen gibt es |
| 4. Sicherheit | Zugriffsrechte, Verschlüsselung, Nachweise | Wie sind Zugriffsrechte geregelt, gibt es Verschlüsselung und Zwei-Faktor-Authentifizierung, gibt es Nachweise wie ISO/IEC 27001 |
| 5. Kosten über die Laufzeit | Nicht der Einstiegspreis, sondern die Summe | Welche laufenden Gebühren, welche Nutzungslimits, was kostet die Skalierung, welche Wechselkosten gibt es |
| 6. Anbieter-Stabilität | Bestand, Finanzierung, Exit | Wie lange gibt es den Anbieter, wie ist er finanziert, was passiert mit unseren Daten bei Insolvenz oder Übernahme |
| 7. KI-VO-Compliance | Hochrisiko, CE, Transparenz | Ist das System hochriskant nach Anhang III KI-VO, trägt es bei Hochrisiko ein CE-Zeichen, gibt es die nötige Dokumentation, ist die Transparenzpflicht nach Art. 50 KI-VO erfüllt |
Drei dieser Kriterien werden besonders oft unterschätzt, weil sie in der Demo nicht sichtbar sind. Datenschutz, Anbieter-Stabilität und KI-VO-Compliance verdienen deshalb einen genaueren Blick.
Datenschutz und Hosting: die Frage hinter der Frage
Der wichtigste Datenschutz-Punkt ist, wo die Daten verarbeitet werden. Verlassen sie die EU, landest du im Thema Drittlandtransfer nach Art. 44 ff. DSGVO. Microsoft und Google sind zwar nach dem EU-US Data Privacy Framework zertifiziert, was die Sache erleichtert, aber das musst du wissen und dokumentieren.
Zwei Punkte sind nicht verhandelbar, sobald personenbezogene Daten durch das Tool laufen: ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO und der ausdrückliche Ausschluss deiner Daten vom Modelltraining. Steht beides nicht im Vertrag, ist das ein Ausschlusskriterium, kein Verhandlungspunkt.
Kosten über die Laufzeit statt Einstiegspreis
Der Einstiegspreis sagt fast nichts aus. Viele KI-Tools sind im Einstieg günstig und teuer im Betrieb, weil sie nach Nutzung abrechnen. Rechne über zwölf Monate und mit realistischem Volumen, nicht mit dem Pilot-Volumen. Frag explizit nach Nutzungslimits und was passiert, wenn du sie überschreitest. Und denk an die Wechselkosten: ein Tool, aus dem du deine Daten nicht herausbekommst, kostet beim Ausstieg ein zweites Mal.
Anbieter-Stabilität und die Exit-Strategie
Der KI-Markt ist 2026 jung und in Bewegung. Anbieter verschwinden, werden übernommen oder ändern ihr Geschäftsmodell. Genau deshalb gehört die Stabilität des Anbieters ins Lastenheft, nicht erst in die Schadensanalyse danach.
Frag, wie lange es den Anbieter gibt und wie er finanziert ist. Ein Start-up auf Risikokapital kann morgen pivotieren, ein etablierter Anbieter mit laufendem Geschäft ist berechenbarer. Stand Mai 2026 ist das keine theoretische Sorge.
Die entscheidende Frage lautet aber: Was passiert mit deinen Daten, wenn der Anbieter insolvent wird oder von einem anderen Unternehmen geschluckt wird? Du brauchst zwei Zusagen schriftlich. Erstens einen funktionierenden Datenexport in einem offenen Format, den du jederzeit selbst auslösen kannst. Zweitens eine vertragliche Regelung, was im Insolvenzfall mit deinen Daten geschieht. Wer eine Exit-Strategie erst dann formuliert, wenn der Anbieter schon weg ist, hat keine Exit-Strategie, sondern ein Problem. Ein Tool, das deine Daten als Geisel hält, ist auch dann ein Risiko, wenn es heute hervorragend funktioniert.
KI-VO-Compliance als hartes Auswahlkriterium
Die KI-Verordnung gehört in das Lastenheft, weil sie über die Tool-Auswahl mitentscheidet. Drei Punkte musst du klären.
Ist das System hochriskant? Hochrisiko-KI nach Anhang III KI-VO betrifft unter anderem Anwendungen in Beschäftigung, Kreditvergabe und Zugang zu wesentlichen Diensten. Setzt du ein solches System ein, gelten zusätzliche Anforderungen. Die Hochrisiko-Pflichten nach Anhang III wurden nach dem Trilog vom 07.05.2026 auf den 02.12.2027 verschoben (Omnibus), die alte Frist 02.08.2026 gilt nicht mehr. Du hast also Zeit, aber das Kriterium bleibt relevant für die Auswahl.
Trägt ein Hochrisiko-System ein CE-Zeichen und liegt die nötige Dokumentation vor? Bei Hochrisiko-KI muss der Anbieter die Konformitätsbewertung durchlaufen haben. Frag nach den Nachweisen.
Ist die Transparenzpflicht nach Art. 50 KI-VO erfüllt? Diese tritt zum 02.08.2026 in Kraft und verlangt unter anderem die Kennzeichnung von KI-Inhalten und Chatbots. Wer das Tool kundenseitig einsetzt, sollte wissen, ob der Anbieter die Kennzeichnung unterstützt.
Wichtig dabei: Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt schon seit dem 02.02.2025. Sie betrifft auch das Auswahlteam. Wer KI auswählt, muss die richtigen Fragen stellen können, und das setzt voraus, dass im Team verstanden wird, wo KI fehleranfällig ist und welche rechtlichen Grenzen gelten. Genau dieses Verständnis vermittelt die geförderte Weiterbildung zum Digitalisierungsmanager über mehrere Module.
So baust du dein Lastenheft in fünf Schritten
Ein schlankes Lastenheft entsteht in wenigen Stunden. So gehst du vor.
Schritt 1: Anwendungsfall scharf stellen. Schreib in zwei, drei Sätzen, welches Problem gelöst werden soll, wer damit arbeitet und woran du den Erfolg misst. Dieser Schritt ist der wichtigste. Ohne klaren Anwendungsfall ist jedes weitere Kriterium beliebig.
Schritt 2: Die sieben Kriterien als Tabelle anlegen. Nimm die sieben Spalten von oben und ergänze pro Kriterium die Fragen, die für deinen Fall zählen. Bei einem reinen Marketing-Tool wiegt KI-VO-Compliance leicht, bei einem Bewerber-Tool wiegt sie schwer.
Schritt 3: Muss- und Kann-Kriterien trennen. Markiere, was ein Ausschlusskriterium ist (zum Beispiel EU-Hosting bei sensiblen Daten) und was nur wünschenswert ist. Das verhindert, dass dich ein Nebenfeature von einem fundamentalen Problem ablenkt.
Schritt 4: Mindestens zwei Anbieter dieselben Fragen beantworten lassen. Schick das Lastenheft an die Anbieter und lass sie schriftlich antworten. Ein Anbieter, der ausweicht oder nur Marketing-Material schickt, hat sich gerade selbst aussortiert.
Schritt 5: Die Antworten nebeneinanderlegen und bewerten. Jetzt vergleichst du nicht mehr glatte Demos, sondern prüfbare Aussagen. Wo ein Anbieter eine Zusage nicht geben will, weißt du, woran du bist.
Praxis-Beispiel: zwei Tools im Vergleich
Die Lehmann Spedition GmbH aus Kassel, ein Logistikunternehmen mit 45 Mitarbeitern, wollte ein KI-Tool zur automatischen Erfassung und Vorsortierung eingehender Frachtaufträge per E-Mail einführen. Zwei Anbieter standen in der engeren Wahl. Anbieter A überzeugte mit einer schnellen, schicken Demo und einem niedrigen Einstiegspreis. Anbieter B wirkte nüchterner und war im Einstieg etwas teurer.
Der Geschäftsführer ließ beide das Lastenheft beantworten. Anbieter A verarbeitete die Daten auf US-Servern, konnte keinen Ausschluss vom Modelltraining zusichern und hatte keine Schnittstelle zum vorhandenen Speditionssystem, der Auftrag hätte manuell übertragen werden müssen. Beim Thema Datenexport bei Vertragsende blieb die Antwort vage. Anbieter B hostete in der EU, legte einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor, hatte eine Schnittstelle zum Speditionssystem und sicherte den Datenexport in einem offenen Format vertraglich zu.
Auf die zwölf Monate gerechnet war Anbieter B nur unwesentlich teurer, lieferte aber die Integration, die den eigentlichen Zeitgewinn überhaupt erst ermöglichte. Ohne das Lastenheft wäre die Wahl auf Anbieter A gefallen, weil die Demo besser aussah. Der manuelle Übertrag hätte den Nutzen aufgefressen, und das US-Hosting hätte spätestens beim ersten Datenschutz-Audit Ärger gemacht.
Die teuerste Frage, die fast niemand stellt
In der Praxis sehen wir, dass Betriebe bei der KI-Auswahl viel Energie in den Funktionsumfang und den Preis stecken und genau eine Frage vergessen: Wie komme ich wieder raus? Der Wechsel oder Ausstieg aus einem KI-Tool ist der teuerste Moment, und er wird beim Einkauf nie verhandelt, weil niemand am ersten Tag ans Ende denken will.
Wer seine Daten nicht in einem offenen Format exportieren kann, ist gebunden, auch wenn der Anbieter teurer wird, das Produkt schlechter oder der Service unzuverlässig. Diese Bindung ist kein abstraktes Risiko. Sie kostet bares Geld, sobald ein besseres oder günstigeres Tool auf den Markt kommt und der Wechsel an der Datenmigration scheitert. Frag den Datenexport beim Einkauf ab, nicht beim Ausstieg. Das ist die Frage, die den größten Unterschied macht und am häufigsten fehlt.
Häufige Fragen
Woran erkenne ich einen guten KI-Anbieter?
Ein guter Anbieter beantwortet dein Lastenheft schriftlich und mit prüfbaren Aussagen statt mit Marketing-Material. Er legt einen Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vor, sagt EU-Hosting und den Ausschluss vom Modelltraining zu und kann den Datenexport in einem offenen Format zusichern. Wer bei diesen Punkten ausweicht, hat sich selbst aussortiert.
Was muss im Vertrag mit einem KI-Anbieter stehen?
Mindestens ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO, der Ort der Datenverarbeitung (EU oder Drittland), der ausdrückliche Ausschluss deiner Daten vom Modelltraining, die Nutzungslimits mit den Kosten bei Überschreitung sowie eine Regelung zum Datenexport und zum Umgang mit deinen Daten bei Insolvenz oder Übernahme. Bei Hochrisiko-KI gehören die KI-VO-Nachweise dazu.
Wie prüfe ich den Datenschutz bei einem KI-Tool?
Frag konkret, wo die Daten verarbeitet werden, ob ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO vorliegt und ob deine Daten vom Modelltraining ausgeschlossen sind. Liegt die Verarbeitung außerhalb der EU, prüfst du die Rechtsgrundlage für den Drittlandtransfer nach Art. 44 ff. DSGVO. Bei besonders sensiblen Daten ist EU-Hosting oder lokale Verarbeitung der sichere Weg.
Brauche ich für ein kleines KI-Tool wirklich ein Lastenheft?
Ja, gerade dann. Ein Lastenheft muss kein dickes Dokument sein, eine Tabelle mit den sieben Kriterien reicht und ist in wenigen Stunden erstellt. Der Aufwand ist klein, der Schutz vor einem Fehlkauf groß. Die meisten teuren Fehlentscheidungen entstehen bei vermeintlich einfachen Tools, weil dort niemand genau hinschaut.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 28. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.