a number of owls are sitting on a wire
by: guderaPosted on:

KI-Effizienz: Versteckte Zusatzkosten

Ab hier beginnt der Teil, den Business Cases erstaunlich gern in Fußnoten1 verstecken. Also genau der Teil, der später im Budget auftaucht. Ein weiterer Aspekt für die KI-Effizienz.

1. Schulungskosten

100 Mitarbeiter müssen im Umgang mit der KI geschult werden. Nicht nur ein bisschen klicken, sondern sinnvoll prompten, Ergebnisse bewerten, typische Fehler erkennen und regulatorische Grundanforderungen verstehen.

Dazu gehören nicht nur Anwendungsschulungen, sondern auch Compliance- und Governance-Schulungen: Wer mit KI arbeitet, muss wissen, welche Dokumentationspflichten bestehen, wo Freigaben erforderlich sind, welche Grenzen beim Umgang mit sensiblen Daten gelten und welche Anforderungen sich aus internen Richtlinien, Datenschutzvorgaben und dem regulatorischen Rahmen – etwa durch den AI Act – ergeben können. KI-Kompetenz ist damit nicht nur Bedienkompetenz, sondern auch Regelkompetenz.

Setzen wir konservativ an:

  • Schulungs- und Compliance-Kosten pro Mitarbeiter: 2.500 Euro
  • bei 100 Mitarbeitern: 250.000 Euro

Was gern vergessen wird: Auch die Zeit der Mitarbeiter kostet Geld.

Gehen wir konservativ von 2 Schulungstagen pro Mitarbeiter aus. Bei 7.000 Euro Vollkosten pro Monat entspricht das ungefähr 350 Euro pro Arbeitstag.

  • 2 Tage × 350 Euro = 700 Euro Opportunitätskosten pro Mitarbeiter
  • bei 100 Mitarbeitern: 70.000 Euro

Damit steigen die realen Schulungskosten auf rund 320.000 Euro. Und das wohlgemerkt ohne Auffrischungen, ohne zusätzliche Trainings, ohne rollenspezifische Vertiefungen und ohne den üblichen Effekt, dass ein Teil der Organisation nach der ersten Schulung feststellt, dass er jetzt eigentlich noch eine zweite braucht.

Gerade bei regulatorisch relevanten Einsatzfeldern dürfte diese Rechnung eher zu niedrig als zu hoch sein. Denn sobald KI nicht nur produktiv genutzt, sondern auch revisionsfest, nachvollziehbar und regelkonform eingesetzt werden soll, entstehen aus Schulungen schnell keine einmaligen Einführungskosten mehr, sondern ein laufender Qualifizierungsbedarf.

2. Compliance-Kosten

KI-Nutzung erzeugt regulatorischen Aufwand. Dokumentation, Prozesse, Freigaben, Nachvollziehbarkeit, Kontrollmechanismen sowie gegebenenfalls Risiko- und Folgenabschätzungen. Und nein, das erledigt sich nicht „mit“. Es erledigt sich vor allem mit Arbeit.

Nehmen wir als Beispiel ein halbes Mannjahr2 für eine qualifizierte Fachkraft, die sich um AI-Compliance kümmert. Bei Vollkosten von 140.000 Euro pro Jahr ergibt sich:

  • 70.000 Euro pro Jahr

Und das ist nur der direkte Personalansatz. Fachabstimmungen mit Recht, Datenschutz, Informationssicherheit und Fachbereich sind hier noch nicht eingerechnet.

3. Zusätzliche Software und Lizenzen

KI kommt nicht allein. Sie bringt Infrastruktur mit. Und Infrastruktur kostet.

  • Enterprise-KI-Lizenzen für 100 Nutzer: 120.000 Euro pro Jahr
  • Tools für Dokumentation, Governance, Modellinventar und Nachweispflichten: 60.000 Euro pro Jahr
  • Zusätzliche Security-, Monitoring- oder DLP-Erweiterungen: im Zweifel separat

Ein häufiger Irrtum entsteht bereits in der frühen Experimentierphase: Der Einsatz frei verfügbarer Tools wie ChatGPT, Perplexity oder vergleichbarer Dienste wird als Indikator für spätere Kosten herangezogen. Diese Tools sind jedoch in der Regel allenfalls für exemplarische Nutzung geeignet.

In produktiven Umgebungen stellen sich schnell andere Anforderungen:

  • Datenschutz und Vertraulichkeit von Unternehmensdaten
  • Nachvollziehbarkeit und Dokumentation von Ergebnissen
  • Integration in bestehende Systeme und Prozesse
  • kontrollierbare Modellversionen und stabile Schnittstellen

Hinzu kommt, dass generische Modelle häufig nicht ausreichend auf spezifische Fachdomänen zugeschnitten sind. Für belastbare Ergebnisse sind daher oft optimierte oder spezialisierte Modelle, zusätzliche Konfigurationen oder ergänzende Systeme notwendig.

Das führt in der Praxis dazu, dass aus einem zunächst „kostenlosen“ Einstieg relativ schnell eine lizenz- und infrastrukturbasierte Lösung wird – inklusive der entsprechenden Anforderungen an Datenschutzprüfung, Betrieb und Governance.

Wer on-premise arbeitet, spart hier übrigens nicht automatisch. Er verschiebt die Kosten lediglich von Abogebühren zu Infrastruktur, Betrieb, Wartung und Personal.

4. Consulting und Einführung

Spätestens bei Architektur, Prozessdesign, Governance, Integrationen oder regulatorischer Einordnung stehen viele Organisationen vor derselben Erkenntnis: Man braucht Beratung. Natürlich nur kurz. Natürlich nur am Anfang. Natürlich wird danach alles einfacher.

Was dabei gern übersehen wird: Auch die Beratungsseite bewegt sich in vielen Fällen auf vergleichsweise neuem Terrain. Die technologische Entwicklung ist schnell, die regulatorischen Rahmenbedingungen sind im Fluss, und belastbare Langzeiterfahrungen aus vergleichbaren Projekten sind naturgemäß noch begrenzt.

Das bedeutet nicht, dass Beratung keinen Wert hat – im Gegenteil. Es bedeutet nur, dass ein Teil der Leistungen zwangsläufig auf abgeleiteten Best Practices, Annahmen und Erfahrungsfragmenten basiert, nicht auf über Jahre stabil validierten Mustern.

In der Praxis führt das dazu, dass Organisationen nicht nur Lösungen einkaufen, sondern auch ein Stück weit gemeinsam mit den Beratern lernen. Das erhöht den Abstimmungsbedarf, verlängert Entscheidungszyklen und verschiebt Teile des Risikos zurück in die Organisation.

Setzen wir für Einführung, Setup und punktuelle externe Unterstützung an:

  • 100.000 Euro im ersten Jahr

Das ist keine extravagante Annahme. Eher die Mindestmenge an externer Ernüchterung.

5. Regelmäßige Assessment-Kosten

KI-Systeme wollen regelmäßig bewertet werden – funktional, regulatorisch und sicherheitstechnisch. Es geht dabei nicht um freiwillige Qualitätstests, sondern um den Nachweis, dass Systeme regelkonform betrieben werden.

Dazu gehören insbesondere:

  • interne Audits (z.B. durch Compliance, Revision oder Informationssicherheit)
  • externe Prüfungen und Assessments
  • regelmäßige Reviews von Dokumentation, Prozessen und Entscheidungslogiken

Was dabei gern übersehen wird: Weder interne noch externe Prüfer sind frei von Bias. Interne Stellen bewegen sich innerhalb bestehender organisatorischer Logiken und Zielkonflikte, externe Prüfer bringen ihre eigenen methodischen Annahmen, Erfahrungsräume und wirtschaftlichen Interessen mit.

Hinzu kommt ein strukturelles Problem: belastbare Praxiserfahrungen sind auch auf Prüferseite noch begrenzt. Viele Bewertungsmaßstäbe entstehen aktuell parallel zur Technologie selbst. Das führt dazu, dass Assessments nicht nur prüfen, sondern oft auch interpretieren, ableiten und im Zweifel mit Unsicherheit arbeiten.

Das bedeutet nicht, dass Assessments verzichtbar wären – im Gegenteil. Es bedeutet nur, dass ihre Ergebnisse nicht als objektive Endpunkte verstanden werden sollten, sondern als Teil eines laufenden Lern- und Anpassungsprozesses.

Der regulatorische Rahmen verlangt zwar nicht immer explizit „Assessments“, erzwingt aber über Konformitätsbewertungen, Risikomanagement, Dokumentationspflichten und laufendes Monitoring genau diese Prüfmechanismen.

Diese Prüfungen sind keine einmalige Angelegenheit, sondern laufender Aufwand:

  • 60.000 Euro pro Jahr

6. Cybersecurity: mehr Tools, mehr Angriffsfläche, mehr Aufwand

KI erhöht unter Umständen die Anforderungen an Cybersecurity. Nicht weil KI per se problematisch wäre, sondern weil zusätzliche Systeme, Schnittstellen und Datenflüsse das Sicherheitsniveau nicht automatisch verbessern.

Das bedeutet konkret:

  • Überarbeitung von Threat-Szenarien
  • Erweiterung bestehender Bedrohungsmodelle
  • Berücksichtigung neuer Risiken wie Prompt Injection, Datenabfluss oder Modellmissbrauch
  • Integration von Schwachstelleninformationen und Monitoring

Was dabei häufig unterschätzt wird: Es fehlen nicht nur Erfahrungswerte, sondern oft auch ein ausreichendes Verständnis für die spezifischen Angriffslogiken von KI-Systemen. Klassische Sicherheitsmodelle greifen hier nur bedingt.

Angriffe zielen nicht mehr ausschließlich auf Systeme und Schnittstellen, sondern zunehmend auf die Funktionsweise der Modelle selbst. Dazu gehören beispielsweise:

  • gezielte Beeinflussung von Trainings- oder Inputdaten
  • Ausnutzung von Schwächen im Modellverhalten
  • systematische Verzerrung (Bias) von Ergebnissen
  • Manipulation von Entscheidungslogiken durch indirekte Eingaben

Das bedeutet: Sicherheitskonzepte müssen nicht nur technische Infrastruktur schützen, sondern auch Daten, Modelle und deren Verhalten berücksichtigen. Und genau hier fehlt in vielen Organisationen noch die notwendige Erfahrung, um Bedrohungsszenarien realistisch zu antizipieren.

In der Praxis entstehen zusätzlich:

  • DLP-Erweiterungen zur Kontrolle von Datenflüssen
  • Monitoring- und Logging-Tools
  • Sicherheitslösungen für API- und Modellzugriffe

Diese Maßnahmen führen zu zusätzlichen Lizenzkosten, Integrationsaufwand und laufendem Betrieb.

Konservativ angesetzt:

  • 50.000 Euro pro Jahr

7. Betrieb, Wartung, Updates, Pflege

Auch ein KI-Tool ist am Ende nur Software. Also genau jenes Objekt, das regelmäßig gepflegt, aktualisiert und überwacht werden muss.

Dazu gehören:

  • Wartung und Updates
  • Pflege von Schnittstellen
  • Betriebsüberwachung
  • Pflege von Datenbeständen und Systemkonfigurationen
  • Rechtemanagement und Zugriffskontrolle

Was sich dabei jedoch grundlegend von klassischer Software unterscheidet: Updatezyklen und Änderungsdynamik sind bei KI-Systemen deutlich höher und schwerer planbar. Modellwechsel, neue Versionen, veränderte Trainingsdaten oder strategische Anpassungen der Anbieter führen dazu, dass Systeme häufiger angepasst, getestet und neu bewertet werden müssen.

Das hat mehrere Konsequenzen:

  • Updatefrequenzen sind oft nicht mehr mit klassischen Release-Zyklen vergleichbar
  • jede neue Modellversion kann verändertes Verhalten mit sich bringen
  • bestehende Ergebnisse, Prozesse und Kontrollen müssen regelmäßig neu validiert werden

Hinzu kommt, dass Strategiewechsel auf Anbieter- oder Organisationsseite direkte Auswirkungen auf den Betrieb haben können – etwa durch geänderte Schnittstellen, neue Funktionslogiken oder veränderte Nutzungsmodelle.

Ein oft unterschätzter Punkt: In vielen Szenarien fließen Ergebnisse und Nutzungsdaten direkt oder indirekt wieder in Trainings- oder Optimierungsprozesse ein. Damit wird der laufende Betrieb selbst zu einer Quelle zukünftiger Systemveränderungen.

Das hat unmittelbare Auswirkungen auf Qualität und Risiko:

  • fehlerhafte oder verzerrte Ergebnisse können sich verstärken
  • Bias kann sich über Zeit stabilisieren oder ausweiten
  • unerwünschte Nutzungsmuster können in das System „eingelernt“ werden

Damit werden Qualitätsrichtlinien und ethische Maßstäbe nicht nur zu abstrakten Leitlinien, sondern zu operativen Steuerungsgrößen. Es muss klar definiert sein:

  • welche Daten zurückgeführt werden dürfen
  • unter welchen Bedingungen eine Nutzung als Trainingssignal gilt
  • wie Qualität, Fairness und fachliche Korrektheit überprüft werden

Damit gewinnen auch organisatorische Aspekte weiter an Bedeutung:

  • klare Update- und Release-Policies (wer darf wann was ändern?)
  • definierte Freigabeprozesse für Modell- oder Systemänderungen
  • enge Verzahnung von Betrieb, Fachbereich und Compliance

Gerade beim Rechtemanagement steigt die Komplexität deutlich: Zugriffe beziehen sich nicht nur auf Systeme, sondern auch auf Datenflüsse, Prompts, generierte Inhalte und Modellkonfigurationen. Fehlkonfigurationen führen hier nicht nur zu technischen Problemen, sondern schnell zu Datenschutz- oder Compliance-Verstößen.

Setzen wir dafür konservativ an:

  • 120.000 Euro pro Jahr

8. Jemand muss den Hut aufhaben

Ein besonders unterschätzter Punkt: Jemand muss die KI-Nutzung insgesamt verantworten. Strategisch, organisatorisch, prozessual und regulatorisch.

Der regulatorische Rahmen verlangt keine konkrete Rolle, aber klar zugewiesene Verantwortung. In der Praxis bedeutet das:

  • Anpassung von Jobdescriptions
  • Überarbeitung des rollenbasierten Organigramms
  • klare Zuordnung von Zuständigkeiten

Diese Anpassung ist kein formaler Akt, sondern ein Abstimmungsprozess über Fachbereiche hinweg.

Was dabei häufig unterschätzt wird: Verantwortung endet nicht bei der Benennung, sondern beginnt dort erst. Sie muss durchsetzbar, entscheidungsfähig und organisatorisch abgesichert sein.

Das bedeutet konkret:

  • klare Entscheidungsbefugnisse (wer darf im Zweifel stoppen, freigeben oder korrigieren?)
  • Konfliktfähigkeit gegenüber Fachbereichen, IT und Management
  • ausreichende Ressourcen zur Wahrnehmung der Verantwortung

Hinzu kommt ein weiterer kritischer Punkt: Verantwortung muss auch in Haftung und Eskalationsstrukturen übersetzt werden. Wenn unklar ist, wer im Fehlerfall tatsächlich verantwortlich ist, ist die Rolle zwar formal vorhanden, aber faktisch wirkungslos.

Gleichzeitig muss sichergestellt werden, dass Verantwortung nicht an einzelnen Personen „hängt“, sondern strukturell verankert ist. Rollen müssen unabhängig von individuellen Besetzungen funktionieren – inklusive Vertretungsregelungen, Dokumentation und klar definierten Übergaben.

Und: Diese Verantwortung steht nicht im luftleeren Raum. Sie erzeugt zusätzlichen Abstimmungsbedarf, zusätzliche Entscheidungen und zusätzliche Schnittstellen – also genau jene Aufwände, die in vielen Business Cases nicht auftauchen.

Konservativ angesetzt:

  • 80.000 Euro einmalig

Zusätzlich entsteht laufend:

  • 30.000 Euro pro Jahr

Das ist keine neue Luxusposition. Das ist schlicht der Preis dafür, dass am Ende nicht alle behaupten können, zuständig sei „irgendwie die Organisation“ gewesen.

9. Outsourcing verschiebt nur das Doing, nicht die Verantwortung

Ein beliebter Fluchtgedanke lautet: Dann lagern wir das eben aus. Das verschiebt allerdings nur das Doing. Nicht die Verantwortung.

Haftung, Ergebnisqualität, regulatorische Pflichten und Kontrollanforderungen verschwinden nicht dadurch, dass auf der Rechnung ein anderer Firmenname steht.

Stattdessen entstehen zusätzliche Aufwände:

  • Abstimmungen zwischen Auftraggeber und Auftragnehmer
  • Regelrunden und Review-Meetings
  • Qualitätssicherung und Abnahmeprozesse

Hinzu kommt ein oft unterschätzter Punkt: Für ein präzises Ergebnis braucht der Dienstleister ein sauber formuliertes Lastenheft. Was intern häufig „per Zuruf“ funktioniert, muss extern explizit und widerspruchsfrei beschrieben werden.

Das führt zu echten Requirements-Engineering-Prozessen – mit entsprechendem Aufwand.

Was dabei oft fehlt: Outsourcing reduziert nicht nur operative Arbeit, sondern auch internes Wissen. Mit jeder ausgelagerten Tätigkeit sinkt die Fähigkeit, Ergebnisse fachlich einzuordnen, Qualität zu bewerten oder Probleme eigenständig zu lösen.

Gleichzeitig entsteht eine Abhängigkeit vom Dienstleister. Wechselkosten, eingeschränkte Flexibilität und mögliche Preisanpassungen führen dazu, dass die vermeintlich variable Leistung schnell zu einer strukturellen Bindung wird.

Ein zusätzlicher Risikofaktor ergibt sich aus der aktuellen Marktsituation: Der Markt für KI-Dienstleister ist in vielen Bereichen noch nicht stabil und langfristig konsolidiert, sondern weist häufig einen ausgeprägten Startup-Charakter auf.

Das hat konkrete Auswirkungen:

  • Anbieter können kurzfristig vom Markt verschwinden
  • Übernahmen durch größere Unternehmen können Strategien und Geschäftsmodelle verändern
  • Policies zu Datenschutz, Nutzung oder Preismodellen können sich verschieben

Für die Organisation bedeutet das: Es reicht nicht, einen Anbieter auszuwählen. Es muss dauerhaft damit gerechnet werden, dass dieser Anbieter sich verändert – oder nicht mehr existiert.

Darüber hinaus entsteht ein zusätzlicher Steuerungsaufwand, der über reine Abstimmung hinausgeht:

  • Definition und Überwachung von Leistungskennzahlen (KPIs, SLAs)
  • Vertragliche Regelungen zu Qualität, Haftung und Nachbesserung
  • Sicherstellung von Auditierbarkeit und regulatorischer Konformität

Ein weiterer Effekt: Geschwindigkeit geht verloren. Was intern in kurzer Abstimmung geklärt werden kann, durchläuft extern häufig mehrere Schleifen – mit entsprechenden Verzögerungen.

Und schließlich: Mehr externe Leistung bedeutet nicht automatisch weniger Aufwand. Häufig skaliert mit dem Output auch der Steuerungs- und Kontrollbedarf.

Diese Koordinationsarbeit ist schwer zu standardisieren, schlecht zu automatisieren und entsprechend teuer.

Zwischenfazit

Die Einführung von KI erzeugt nicht nur Effizienzgewinne, sondern einen zusätzlichen Kostenapparat.

Ein erheblicher Teil dieser Kosten entsteht nicht durch die Technologie selbst, sondern durch alles, was nötig ist, um sie sicher, regelkonform, nachvollziehbar und dauerhaft betreibbar zu machen.

Oder anders gesagt: Man kauft mit KI nicht nur Funktionalität, sondern auch Schulung, Governance, Betrieb, Verantwortung – und einen nicht unerheblichen Anteil organisatorischer Komplexität.

Und genau hier endet die Rechnung noch nicht. Denn selbst wenn Kosten sauber erfasst und Systeme technisch beherrscht werden, bleibt die eigentliche Herausforderung bestehen: die Organisation selbst.

Wie Rollen, Verantwortlichkeiten, Entscheidungswege und Wertschöpfung sich durch KI verschieben – und warum viele Unternehmen dabei eher Verwaltung als Produktivität aufbauen – genau darum geht es im nächsten Teil.

Kommentar verfassen

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre, wie deine Kommentardaten verarbeitet werden.

Beliebte Beiträge