KI-SaaS sicher auswählen: Der Praxisleitfaden für Unternehmen 2026

Warum KI-SaaS anders geprüft werden muss

KI-SaaS ist nicht einfach ein weiteres Cloud-Tool. Viele Dienste verarbeiten Prompts, interne Dokumente, Kundendaten, Nutzungsprotokolle oder angebundene Wissensdatenbanken. Dadurch treffen klassische SaaS-Fragen auf neue Risiken: Modelltraining, Datenabfluss, fehlerhafte Antworten, automatische Entscheidungen und Schatten-IT.

Für deutsche Unternehmen ist deshalb nicht die erste Frage, welches Tool am meisten kann. Die erste Frage lautet: Welcher konkrete Geschäftsprozess soll unterstützt werden, welche Daten fließen in das System, und wer trägt am Ende die Verantwortung für das Ergebnis?

Ein Schreibassistent für interne Entwürfe ist anders zu bewerten als ein System, das Bewerbungen vorsortiert, Supportfälle priorisiert oder Kundendaten analysiert. Je näher ein KI-Tool an Personenentscheidungen, Compliance, Finanzen, HR oder sicherheitsrelevanten Prozessen liegt, desto sauberer muss die Prüfung dokumentiert sein.

Schritt 1: Den Use Case vor dem Anbieter definieren

Viele KI-Projekte starten falsch herum: Ein Tool wirkt beeindruckend, danach sucht das Team einen passenden Einsatzfall. Für eine belastbare Auswahl sollte es umgekehrt laufen.

Definieren Sie zuerst die Aufgabe. Soll das Tool Texte entwerfen, Daten zusammenfassen, Supportantworten vorbereiten, Code erklären, Dokumente durchsuchen oder Entscheidungen vorbereiten? Danach sollten Sie festhalten, welche Nutzergruppen beteiligt sind, welche Daten eingegeben werden und wie das Ergebnis geprüft wird.

Hilfreiche Leitfragen:

• Welche konkrete Aufgabe soll das KI-Tool schneller, besser oder konsistenter machen?
• Welche Datenarten werden eingegeben: öffentlich, intern, vertraulich oder personenbezogen?
• Wird das Ergebnis nur als Vorschlag genutzt oder beeinflusst es eine Entscheidung?
• Gibt es einen Menschen, der die Ausgabe sinnvoll prüfen kann?
• Was wäre der Schaden, wenn die KI eine falsche, unvollständige oder veraltete Antwort liefert?

Diese Vorarbeit verhindert, dass ein allgemeiner KI-Hype in eine unkontrollierte Tool-Landschaft kippt.

Schritt 2: Datenflüsse und Trainingsnutzung prüfen

Bei KI-SaaS reicht ein normaler Blick in die Preisseite nicht aus. Entscheidend ist, was mit den eingegebenen Daten passiert. Unternehmen sollten vor einem Pilot klären, ob Prompts, Uploads, Antworten und Nutzungsdaten gespeichert werden, wie lange sie gespeichert bleiben und ob sie für Training, Produktverbesserung oder Modellbewertung verwendet werden.

Besonders wichtig sind Enterprise-Einstellungen. Seriöse Anbieter sollten klar erklären, ob Kundendaten vom Modelltraining ausgeschlossen werden können, welche Subprozessoren beteiligt sind, wo Daten verarbeitet werden und welche Lösch- oder Exportmöglichkeiten bestehen.

Wenn personenbezogene Daten verarbeitet werden, kommen DSGVO-Fragen hinzu: Rollenverteilung, Auftragsverarbeitung, Drittlandtransfer, Löschkonzept, Zugriffsschutz und Zweckbindung.

Schritt 3: EU-AI-Act-Risiko realistisch einordnen

Der EU AI Act folgt einem risikobasierten Ansatz. Nicht jedes KI-SaaS ist automatisch Hochrisiko. Trotzdem sollten Unternehmen dokumentieren, warum ein Tool als geringes, transparenzpflichtiges oder potenziell hohes Risiko eingeordnet wird.

Niedriger einzuschätzen sind oft assistierende Werkzeuge, die interne Texte strukturieren, Recherche vorbereiten oder Zusammenfassungen liefern, solange ein Mensch die Ausgabe prüft und keine sensiblen Entscheidungen automatisiert werden.

Genauer hinsehen sollten Unternehmen bei KI in HR, Bildung, Kreditwürdigkeit, kritischer Infrastruktur, bestimmten regulierten Produkten oder Prozessen, die Menschen erheblich betreffen können. Dort reicht eine allgemeine Anbieterbeschreibung nicht aus. Es braucht Nachvollziehbarkeit, menschliche Aufsicht, klare Verantwortlichkeiten und belastbare Dokumentation.

Wichtig für 2026: Die Anwendung des AI Act erfolgt stufenweise. Unternehmen sollten die EU-Timeline nicht als Grund verstehen, Governance aufzuschieben. Eine einfache interne KI-Tool-Liste mit Use Case, Datenarten, Anbieter, Owner, Risikoeinschätzung und Freigabestatus ist ein pragmatischer Anfang.

Schritt 4: Security-Nachweise richtig lesen

Zertifikate und Berichte sind hilfreich, aber kein Freifahrtschein. ISO 27001, SOC 2 oder BSI C5 können zeigen, dass ein Anbieter strukturiert mit Informationssicherheit umgeht. Sie beantworten aber nicht automatisch, ob die konkrete Konfiguration für Ihr Unternehmen sicher ist.

Fragen Sie deshalb konkret:

• Unterstützt das Tool SSO und verpflichtende Mehrfaktor-Authentifizierung?
• Gibt es rollenbasierte Rechte für Admins, Nutzer und externe Gäste?
• Sind Audit-Logs für Login, Datenzugriff, Export und Admin-Aktionen verfügbar?
• Können sensible Integrationen getrennt aktiviert werden?
• Wie schnell meldet der Anbieter Sicherheitsvorfälle?
• Gibt es klare Löschung nach Vertragsende?
• Können Daten exportiert werden, wenn das Tool ersetzt wird?

Ein Anbieter, der auf diese Fragen nur mit Marketingtext antwortet, ist für produktive Unternehmensdaten selten die richtige erste Wahl.

Schritt 5: Pilot, Vertrag und laufende Kontrolle verbinden

Ein guter KI-SaaS-Pilot misst nicht nur Begeisterung. Er misst, ob das Tool unter realistischen Bedingungen zuverlässig, kontrollierbar und wirtschaftlich sinnvoll ist.

Sinnvolle Pilotmetriken sind Zeitersparnis pro Aufgabe, Qualität der Ergebnisse, Fehlerquote, notwendige menschliche Nacharbeit, Datenschutz- oder Security-Auffälligkeiten, Akzeptanz im Team und administrativer Aufwand. Gerade bei generativer KI sollte das Team Beispiele sammeln, in denen Antworten ungenau, veraltet oder zu selbstsicher waren.

Vor dem Rollout sollten Vertrag und Betrieb zusammenpassen. Dazu gehören Auftragsverarbeitung, Subprozessoren, Datenstandorte, Trainingsnutzung, SLA, Support, Incident-Meldung, Löschung, Exportmöglichkeiten und ein klarer Tool Owner.

Checkliste für die Auswahl

• Use Case schriftlich definiert.
• Datenarten klassifiziert.
• Personenbezogene und vertrauliche Daten geprüft.
• EU-AI-Act-Risikokategorie dokumentiert.
• Anbieterfragebogen beantwortet.
• AVV und Subprozessoren geprüft.
• Training mit Kundendaten deaktiviert oder vertraglich geregelt.
• SSO, MFA, Rollen und Logs vorhanden.
• Pilotmetriken definiert.
• Menschliche Kontrolle im Prozess gesichert.
• Exit-Plan und Löschprozess vorhanden.
• Verantwortlicher Tool Owner benannt.

Fazit

KI-SaaS kann Unternehmen schneller machen, aber nur, wenn der Einsatz kontrolliert bleibt. Der beste Ansatz ist kein Innovationsstopp, sondern ein schlanker Prüfprozess: Use Case definieren, Datenflüsse verstehen, regulatorisches Risiko einordnen, Security prüfen, Pilot messen und den Betrieb laufend überwachen.

So wird KI nicht zur Schatten-IT, sondern zu einem belastbaren Werkzeug im Unternehmen.