Auf einen Blick: Model Context Protocol ist Anthropics offener Standard für die Verbindung zwischen LLM-Clients und externen Datenquellen oder Tools. Im Mai 2026 unterstützen Claude Desktop, Cursor, Zed, Continue, Cody und n8n den Standard nativ. Für KMU interessant: eigene Postgres-Anbindung, Sharepoint via Filesystem-Server, Mandanten-DMS-Anbindung. Alles lokal, ohne dass der Anbieter die Daten sieht.
Anthropic hat im November 2024 ein Protokoll veröffentlicht, das eines der nervigsten Probleme der LLM-Praxis löst: die Verbindung zwischen einem Chat-Modell und den Daten, die der Nutzer wirklich braucht. Wer vorher Claude oder ChatGPT mit der eigenen Datenbank, dem Mandanten-DMS oder dem Filesystem verbinden wollte, baute jedes Mal eine eigene Integration, oft mit Custom-API und Plug-in-Glue-Code. Mit Model Context Protocol gibt es jetzt einen offenen Standard, der das vereinheitlicht. Eineinhalb Jahre später, im Mai 2026, ist der Standard breit unterstützt und stabil genug für KMU-Einsatz. Dieser Artikel zeigt, was MCP ist, wie die Architektur funktioniert, welche Server und Clients heute stabil laufen und wo der Standard für KMU echten Hebel bringt.
Was MCP ist und welches Problem es löst
MCP ist eine offene Spezifikation für Verbindungen zwischen LLM-Clients und externen Systemen. Die Spezifikation liegt auf mcp.io und im GitHub-Repository modelcontextprotocol unter offener Lizenz. Anthropic hat sie veröffentlicht, betreibt aber keinen exklusiven Anspruch. Jeder darf MCP-Server und MCP-Clients bauen, und mehrere Anbieter haben das bereits getan.
Das Problem vor MCP: Jede LLM-Integration mit einem externen System brauchte eine eigene Brücke. Wer Claude mit seiner Postgres-Datenbank verbinden wollte, baute eine Custom-API und beschrieb dem LLM, wie die API funktioniert. Wer dasselbe mit ChatGPT machen wollte, baute eine ähnliche Brücke, nur in anderem Format, weil OpenAI Function Calling anders verlangt als Anthropics Tool Use. Jede Tool-Integration war ein eigenes Projekt.
MCP löst das durch eine Standard-Schnittstelle. Ein MCP-Server stellt seine Fähigkeiten in einem definierten Format bereit. Ein MCP-Client liest dieses Format und weiß, was er aufrufen kann. Wenn morgen ein neuer LLM-Client erscheint, der MCP unterstützt, läuft jeder bestehende Server ohne Anpassung weiter. Das ist genau dieselbe Logik, mit der HTTP es vor dreißig Jahren ermöglicht hat, dass jeder Browser jeden Webserver lesen kann.
Architektur in zwei Sätzen
Die Architektur ist absichtlich schlank. Es gibt zwei Komponenten: Client und Server. Der Client ist das LLM-fähige Programm, mit dem der Nutzer interagiert, also etwa Claude Desktop, Cursor oder n8n. Der Server ist eine kleine eigenständige Anwendung, die eine Datenquelle oder ein Tool zugänglich macht, also etwa einen Postgres-Zugang, ein Verzeichnis im Filesystem oder eine Anbindung an GitHub.
Die Verbindung läuft typisch über zwei Wege. Lokal über stdio, also direkt zwischen zwei Prozessen auf demselben Rechner. Remote über HTTP mit Server-Sent Events oder Streamable HTTP, wenn der Server auf einem anderen Rechner läuft. Für KMU mit Datenschutz-Anforderung ist der stdio-Weg der wichtige, weil keine Daten den eigenen Rechner verlassen.
Was der Server dem Client anbietet, ist in drei Kategorien gegliedert. Resources sind Daten, die der Server bereitstellt, etwa Dateiinhalte oder Datenbank-Auszüge. Tools sind Aktionen, die der Server ausführen kann, etwa eine SQL-Query absetzen oder eine Datei schreiben. Prompts sind Vorlagen, die der Server bereitstellt, damit der Client passende Anfragen formulieren kann.
Welche offiziellen Reference-Server existieren
Anthropic pflegt im GitHub-Repository modelcontextprotocol eine Sammlung von Reference-Servern, die als Beispiele und produktive Komponenten dienen. Stand Mai 2026 sind die folgenden stabil und werden regelmäßig gepflegt.
Filesystem-Server gibt dem Client lesenden und schreibenden Zugriff auf ein definiertes Verzeichnis. Der Anwender startet den Server mit einem Pfad als Argument, der Client sieht ab da Dateien und Ordner in diesem Bereich. Das ist der Universal-Server für alles, was im lokalen Filesystem liegt, von Sharepoint-Sync-Ordnern bis zu Projektverzeichnissen.
Postgres-Server stellt eine Datenbankverbindung bereit. Der Client kann Tabellen-Schemas lesen und Read-Only-Queries absetzen. Schreibender Zugriff ist absichtlich nicht in der Default-Konfiguration, weil ein LLM nicht ohne explizite Freigabe in eine produktive Datenbank schreiben sollte.
GitHub-Server gibt Zugriff auf Repositories, Issues und Pull Requests. Das ist die Standard-Verbindung für Coding-Workflows, in denen der Client Code in eigenen Repos lesen und Issues kommentieren kann.
Google-Drive-Server bindet ein Drive-Konto an, mit Lesezugriff auf Dateien und Ordner. Slack-Server liest Channel-Nachrichten und kann Nachrichten posten, wenn die App-Berechtigung das erlaubt. Memory-Server ist ein einfacher Key-Value-Speicher, mit dem der Client zwischen Sessions Informationen behalten kann. Sequential-Thinking-Server ist ein Tool, das strukturiertes mehrstufiges Reasoning unterstützt. Brave-Search-Server gibt dem Client Web-Suche.
Daneben gibt es eine wachsende Community-Sammlung von Drittanbieter-Servern. Stand Mai 2026 listet das modelcontextprotocol-Verzeichnis über 200 Community-Server für alles von Notion über Linear bis Jira, MySQL, MongoDB, AWS-Services und viele Branchen-spezifische APIs.
Welche Clients MCP nativ unterstützen
Claude Desktop war der erste Client mit MCP-Support, seit Veröffentlichung des Standards Ende 2024. Anwender konfigurieren MCP-Server in einer JSON-Datei und sehen die Server in der Desktop-App.
Cursor, der LLM-gestützte IDE-Fork von VS Code, hat MCP seit Anfang 2025 nativ integriert. Zed, der schnelle Editor mit eingebautem Chat, unterstützt MCP seit Sommer 2025. Continue, das Open-Source-Coding-Assistent-Plugin für VS Code und JetBrains-IDEs, hat MCP-Support. Cody, der Sourcegraph-Assistent, ebenso.
Cline, ein VS-Code-Plugin für agentisches Coden, nutzt MCP für Tool-Integrationen. Aider, das Terminal-basierte Coding-Tool, hat MCP-Support für ausgewählte Server. n8n hat seit Q1 2026 einen offiziellen MCP-Node, mit dem Workflows direkt MCP-Server ansprechen können. Das ist für KMU einer der wichtigsten Hebel, weil n8n-Workflows damit ohne Custom-Code an interne Systeme anbinden.
OpenAI hat Stand Mai 2026 keine native MCP-Unterstützung in ChatGPT angekündigt. Wer ChatGPT mit den eigenen Daten verbinden will, nutzt weiterhin Custom GPTs und Function Calling oder schaltet einen Translator-Layer dazwischen. Das ist die Schwäche des Standards: er ist nicht universell durchgesetzt, sondern primär im Anthropic-Ökosystem und bei Coding-Tools verbreitet.
KMU-Use-Cases: Wo MCP heute echten Hebel bringt
Drei Anwendungsszenarien sehen wir in der Praxis bei KMU regelmäßig sinnvoll.
Erstes Szenario: eigene Datenbank-Anbindung. Eine Steuerkanzlei hat einen DATEV-Export, der nächtlich in eine Postgres-Datenbank fließt. Der Steuerberater will Claude Desktop fragen können: Welche Mandanten haben in den letzten drei Monaten ungewöhnliche Umsatzschwankungen gezeigt? Mit MCP-Postgres-Server und Read-Only-Zugriff läuft das ohne Custom-Code. Die Daten bleiben lokal, der Anbieter sieht sie nicht.
Zweites Szenario: Mandanten- oder Projekt-DMS via Filesystem. Eine Anwaltskanzlei hat ein DMS, das Akten als PDF-Dateien in einem strukturierten Ordner-Baum ablegt. Mit MCP-Filesystem-Server bekommt der Client Lesezugriff auf den Akten-Pfad. Der Anwalt kann fragen: Was steht in der Akte Müller-Schmidt zum Thema Gewährleistung? Der Client liest die PDF-Dateien und fasst zusammen.
Drittes Szenario: n8n-Workflows mit MCP-Anbindung. Ein Mittelständler nutzt n8n für Automatisierungen. Mit dem MCP-Node kann ein n8n-Workflow direkt einen MCP-Server ansprechen, etwa die eigene Postgres-Datenbank, ohne dass für jede Anfrage eine eigene HTTP-Integration gebaut werden muss. Das spart in der Praxis bei jedem neuen Workflow zwei bis vier Stunden Entwicklungszeit.
Sicherheits-Modell
Hier liegt der eigentliche Wert von MCP für DSGVO-sensible Branchen. Der Standard ist von Anfang an für lokale Ausführung entworfen worden.
MCP-Server laufen typisch auf demselben Rechner wie der Client, gestartet durch den Client-Prozess. Über stdio läuft die Kommunikation direkt zwischen den beiden Prozessen, ohne Netzwerk. Der LLM-Anbieter sieht nur das, was der Client ihm im Chat-Kontext übermittelt, also typisch die Antwort des Servers auf eine konkrete Anfrage, nicht den vollständigen Datenbestand.
Praktisch bedeutet das: Eine Anwaltskanzlei kann Mandantenakten via MCP an Claude Desktop hängen, und die Akteninhalte verlassen den Kanzlei-Rechner nur dann, wenn die KI auf eine konkrete Frage eine konkrete Antwort gibt. Der Filesystem-Server liest die Datei lokal, der Client liest die Antwort des Servers und schickt nur den relevanten Auszug an Anthropic. Was nicht in einer Anfrage abgegriffen wird, sieht der Anbieter nicht.
Das löst nicht alle DSGVO-Fragen. Ein Auftragsverarbeitungsvertrag mit Anthropic nach Art. 28 DSGVO bleibt nötig, sobald personenbezogene Daten in den Chat-Kontext fließen. Die EU-Hosting-Frage ist getrennt zu klären. Aber gegenüber der Alternative, einen kompletten Datenbestand in einen externen Vector Store zu laden, ist die MCP-Architektur deutlich sparsamer.
Was Sicherheits-relevant zu beachten ist: Ein MCP-Server hat genau die Rechte, mit denen er gestartet wird. Wer den Postgres-Server mit Admin-Zugang konfiguriert, gibt dem LLM-Client Admin-Zugang. Wer einen Filesystem-Server auf das gesamte Home-Verzeichnis aufsetzt, gibt dem Client Lesezugriff auf alles. Default-Konfigurationen sollten daher minimal sein, mit Read-Only und auf den engsten möglichen Pfad eingeschränkt.
Wo der Standard im Mai 2026 wirklich steht
Eigene Haltung: Die Adoption ist im Coding-Bereich und im Anthropic-Ökosystem stabil, aber außerhalb davon noch nicht universell. Wer in einer reinen ChatGPT-Welt arbeitet, hat von MCP wenig direkten Nutzen. Wer Claude oder einen MCP-fähigen Editor produktiv einsetzt, gewinnt durch jeden neuen Reference-Server eine Funktion, die sonst Custom-Integration gewesen wäre.
Was sich im Mai 2026 abzeichnet: Open-Source-MCP-Server für Branchen-spezifische Systeme wachsen schnell. DATEV-Anbindung gibt es als Community-Projekt mit MCP, ebenso für Lexware, sevDesk, BuchhaltungsButler. Im Legal-Tech-Bereich gibt es Server für Beck-Online und juris als kommerzielle Angebote. Im Maschinenbau gibt es Server für Siemens MindSphere und PTC ThingWorx als Beta-Versionen.
Was wir im Mai 2026 noch nicht zuverlässig sehen: Eine breite Adoption in Konzern-IT. SAP, Salesforce und Oracle haben keine offiziellen MCP-Server angekündigt. Solange diese Anbieter ihre eigenen proprietären KI-Integrationen pushen, bleibt MCP eher die Wahl für Open-Source-affine Mittelständler und für Kanzleien, die ihre eigene Datenwelt im Griff haben wollen.
Praxis: Wagenknecht Steuerberatung in Bayreuth
Wagenknecht Steuerberatung, eine fiktive mittelständische Kanzlei mit 18 Mitarbeitern in Bayreuth, hat im Februar 2026 begonnen, MCP für interne Recherche-Workflows einzusetzen. Schwerpunkt: Mandantendaten-Auswertung und Steuerrechts-Recherche.
Was sie tun: Sie betreiben einen lokalen Postgres-Server, in den DATEV-Daten nächtlich exportiert werden. Auf einem Kanzlei-Mac mit Claude Desktop läuft ein MCP-Postgres-Server mit Read-Only-Zugriff auf eine geschützte Auswertungs-View, die personenbezogene Daten auf Anzeigen-Felder reduziert. Der Steuerberater stellt Fragen wie: Welche Mandanten haben in Q1 2026 ungewöhnliche Vorsteuer-Verhältnisse gemeldet? Die KI generiert eine SQL-Query, schickt sie an den Server, bekommt die Ergebnisse zurück und fasst sie zusammen.
Daneben läuft ein Filesystem-Server auf dem Kanzlei-NAS, der die Mandantenakten als PDF zugänglich macht. Über NotebookLM wäre das zwar auch möglich, aber bei Wagenknecht bleibt die Anforderung, dass kein Mandantendokument in einen externen Vector Store hochgeladen wird. Mit MCP bleibt das Dokument auf dem NAS, nur der relevante Auszug wandert in den Chat.
Was sie nicht tun: schreibender Zugriff. Weder Postgres-Inserts noch Datei-Anpassungen darf die KI selbständig auslösen. Der Berater bekommt die Vorschläge, prüft sie und führt sie manuell aus. Bei sensiblen Mandanten, also Großunternehmen mit eigenem Vertraulichkeitsprofil, wird MCP nicht eingesetzt, weil auch der Chat-Kontext zu Anthropic geht, was vertragsrechtlich vorher mit dem Mandanten geklärt sein muss.
Implementierungszeit: Sechs Wochen vom ersten Test bis zum produktiven Einsatz, davon drei Wochen für die Postgres-View-Architektur und die Definition der Read-Only-Filter. Die KI-Werkzeuge selbst waren nach einer halben Stunde Konfiguration einsatzbereit.
Wie der Einstieg aussieht
Für KMU sehen wir drei sinnvolle Stufen.
Stufe eins: Claude Desktop mit Filesystem-Server auf einem definierten Projekt- oder Arbeitsverzeichnis. Das geht in zwanzig Minuten Setup, kostet außer dem Claude-Pro-Abo nichts und gibt sofort den Effekt, dass der Client lokale Dateien lesen kann, ohne dass sie hochgeladen werden müssen.
Stufe zwei: Postgres-Server auf einer Read-Only-View einer geschäftlichen Datenbank. Das verlangt eine Stunde Vorarbeit, in der die View definiert wird, was sichtbar sein darf. Danach läuft das Werkzeug stabil und gibt Auswertungs-Möglichkeiten, die sonst eigene SQL-Kenntnisse oder ein BI-Tool verlangt hätten.
Stufe drei: n8n-Workflows mit MCP-Node. Das ist für KMU mit bestehender n8n-Installation der nächste Schritt, weil bestehende Workflows damit ohne Custom-Code an interne Systeme anbinden.
Wer überlegt, wie sich n8n-Automation, MCP-Integration und KI-Praxis im Betrieb sauber verbinden lassen, findet im Digitalisierungsmanager eine viermonatige geförderte Weiterbildung, die genau diese Verbindung von Tools und Prozessen vermittelt. Mit Bildungsgutschein 0 Euro, komplett online.
Häufige Fragen
Was ist Model Context Protocol in einem Satz?
Model Context Protocol ist eine von Anthropic im November 2024 veröffentlichte offene Spezifikation, mit der LLM-Clients wie Claude Desktop oder Cursor sich über einen standardisierten Weg mit Datenquellen und Tools verbinden, statt für jede Integration eine eigene Brücke zu bauen. Die Spezifikation ist Open Source unter mcp.io und im GitHub-Repository modelcontextprotocol.
Welche LLM-Clients unterstützen MCP Stand Mai 2026?
Native MCP-Unterstützung bieten Claude Desktop, Cursor, Zed, Continue, Cody, Cline, Aider und n8n mit dem offiziellen MCP-Node seit Q1 2026. OpenAI hat in ChatGPT bislang keine native MCP-Unterstützung angekündigt. Wer in einer reinen ChatGPT-Welt arbeitet, hat von MCP wenig direkten Nutzen. Wer Claude oder einen MCP-fähigen Editor produktiv einsetzt, profitiert mit jeder neuen Server-Implementierung.
Welche MCP-Server sind für KMU besonders interessant?
Filesystem-Server für lokalen Datei-Zugriff, Postgres-Server für Datenbank-Anbindung, GitHub-Server für Code-Repositories, Google-Drive-Server für Cloud-Dateien und Slack-Server für Team-Kommunikation. Daneben wachsen Community-Server für DATEV, Lexware, sevDesk, Beck-Online, juris und viele weitere Branchen-Systeme. Stand Mai 2026 sind über 200 Community-Server im modelcontextprotocol-Verzeichnis gelistet.
Wie sicher ist MCP für DSGVO-sensible Daten?
MCP-Server laufen lokal und kommunizieren über stdio direkt mit dem Client, ohne Netzwerk. Der LLM-Anbieter sieht nur das, was im Chat-Kontext ausgetauscht wird, nicht den gesamten Datenbestand. Das ist deutlich sparsamer als die Alternative, ganze Datenbestände in einen externen Vector Store zu laden. DSGVO-Anforderungen wie der Auftragsverarbeitungsvertrag nach Art. 28 DSGVO bleiben aber bestehen, sobald personenbezogene Daten im Chat fließen. Wichtig: ein MCP-Server hat genau die Rechte, mit denen er gestartet wird. Read-Only und engster möglicher Pfad sind die Default-Empfehlung.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weisst, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.