Zum Hauptinhalt springen
Tactical

Dein erstes KI-Audit selbst durchführen — Template inkludiert (2026)

Sechs-Schritte-Worksheet für das KI-Self-Audit. Konkrete Fragen, Zeitschätzungen, Priorisierungs-Matrix. Für Geschäftsführer, die erst selbst schauen wollen.

Von Andreas Will11 Min. Lesezeit
#Audit#Template#Selbst-Audit#Quick-Win

Ihr wollt erst selbst schauen, bevor ihr eine Agentur ruft. Fair. Wir würden's an eurer Stelle auch so machen. Was hier folgt: ein 6-Schritte-Self-Audit, das ein Geschäftsführer mit einem fokussierten Werktag plus zwei Halbtagessessions mit Stakeholdern selbst durchziehen kann. Output: eine priorisierte Liste von 3 bis 5 KI-Use-Cases mit Aufwand, Risiko und Make-or-Buy-Empfehlung. Nicht für €0, aber für die Zeit, die ihr ohnehin in das Thema steckt.

Schritt 1: Prozess-Volumen-Audit — wo wird Zeit verbrannt?

Ziel: Identifizieren, wo in eurem Unternehmen Routine-Tätigkeiten mit hohem Volumen ablaufen. Das ist der KI-Sweet-Spot — repetitive, strukturierte Tasks mit klarem Input und Output.

Zeitaufwand: 2 bis 3 Stunden, am besten mit den Abteilungsleitern.

Fragen pro Abteilung:

  • Welche Tätigkeiten machen wir wöchentlich mehr als 5 Stunden pro Mitarbeiter?
  • Welche dieser Tätigkeiten sind "ich lese was rein, schreibe was raus" (Klassifikation, Zusammenfassung, Übersetzung, Recherche)?
  • Welche Tätigkeiten haben einen klar definierten Endzustand ("Ticket beantwortet", "Vertrag geprüft", "Lead qualifiziert")?
  • Wo entstehen die meisten Fehler oder Engpässe?
  • Welche Tätigkeit würden eure Mitarbeiter "morgen abgeben", wenn sie könnten?

Output: Tabelle mit 10 bis 20 Kandidaten-Tätigkeiten, Spalten: Abteilung, Tätigkeit, Volumen (Stunden/Woche), aktuelles Tool, Bottleneck- Beschreibung.

Schritt 2: Daten-Audit — wo liegen sie, wer kommt ran?

Ziel: Verstehen, welche Daten für KI-Anwendungen verfügbar wären — und welche rechtlichen oder organisatorischen Barrieren bestehen.

Zeitaufwand: 3 bis 4 Stunden, idealerweise mit IT-Leitung und ggf. Datenschutz-Verantwortlichem.

Fragen pro Datenkategorie:

  • Wo liegen die Daten physisch (Cloud, On-Prem, Hybrid)? Welche Region (EU, US, sonst)?
  • Wer hat Zugriff? Gibt es ein Rollen-Konzept?
  • Welche Daten sind strukturiert (Datenbank, CSV) vs. unstrukturiert (Dokumente, Emails, Chats)?
  • Gibt es ein Verarbeitungsverzeichnis nach DSGVO Art. 30? Wie aktuell?
  • Welche Daten sind personenbezogen, welche pseudonym, welche anonym?
  • Gibt es DPAs mit allen relevanten Daten-Verarbeitern?
  • Welche Daten dürften für KI-Use-Cases verwendet werden, welche nicht?

Output: Daten-Inventar mit Kategorien, Speicherort, Zugriffs-Berechtigten und DSGVO-Status. Diese Liste ist später unbezahlbar für jede konkrete Use-Case-Diskussion.

Schritt 3: Tool-Landschaft-Audit — was läuft schon?

Ziel: Den Ist-Zustand der Tool-Landschaft erfassen, inklusive Schatten-IT (Mitarbeiter, die ChatGPT-Personal nutzen, ohne dass IT es weiß).

Zeitaufwand: 2 bis 3 Stunden.

Fragen:

  • Welche Software-Produkte nutzen wir aktuell? (CRM, ERP, Ticketsystem, Dokumentenmanagement, Email, Collaboration.)
  • Welche dieser Tools haben bereits KI-Features integriert (Copilot, Salesforce Einstein, HubSpot Breeze, etc.)? Werden sie genutzt?
  • Welche KI-Tools nutzen einzelne Mitarbeiter inoffiziell? (Anonym fragen — die Antworten sind meist erschreckend.)
  • Wo gibt es Insel-Lösungen, Excel-Workarounds, manuelle Schnittstellen?
  • Welche Tools sind DSGVO-konform aufgesetzt (Enterprise-Lizenz, DPA, EU-Region)?
  • Welche Integrationen fehlen — wo werden Daten manuell von A nach B geschoben?

Output: Tool-Landkarte mit Status, Nutzung, KI-Reife und Integration-Gaps. Häufig zeigt diese Karte schon den ersten Quick-Win: Ein bereits lizenziertes KI-Feature im CRM, das niemand nutzt.

Schritt 4: ICP-Use-Cases-Brainstorm — 3 bis 5 Top-Kandidaten

Ziel: Aus den vorherigen drei Schritten 3 bis 5 konkrete Use-Case-Hypothesen formen, die das Unternehmen wirklich nach vorn bringen würden.

Zeitaufwand: 2 Stunden, im Idealfall ein Workshop mit 4 bis 6 Stakeholdern.

Methodik: Für jede Tätigkeit aus Schritt 1 fragen:

  • Gibt es genug strukturierte oder semi-strukturierte Daten dafür? (Schritt 2)
  • Ist das Tool-Landschaft passend, oder bauen wir auf Sand? (Schritt 3)
  • Ist das Volumen hoch genug, um einen Business-Case zu rechtfertigen? (Mindestens 200h pro Monat aggregiert wäre eine pragmatische Schwelle.)
  • Ist der Outcome messbar? (Tickets/Tag, Conversion-Rate, Durchlaufzeit.)
  • Ist eine Person bereit, Business-Owner zu werden — also die Verantwortung für den Produktivnutzen zu tragen?

Output: 3 bis 5 Use-Case-Cards, jeweils mit Hypothese, Daten-Quelle, geschätztem Volumen, vermutetem Aufwand und benanntem Business-Owner.

Schritt 5: Quick-Win-Priorisierung — die Impact-Aufwand-Risiko-Matrix

Ziel: Aus den 3 bis 5 Kandidaten den einen identifizieren, mit dem ihr starten solltet.

Zeitaufwand: 1 Stunde Bewertung plus 1 Stunde Diskussion.

Bewertungs-Dimensionen pro Use Case (Skala 1 bis 5):

  • Impact: Wie viel €-Wert oder Stunden-Ersparnis pro Jahr realistisch? (1 = unter €10k, 5 = über €200k pro Jahr.)
  • Aufwand: Wie viel Implementierungs-Aufwand? (1 = unter €5k und 2 Wochen, 5 = über €100k und 6 Monate.)
  • Risiko: Welches Compliance-, Reputations- oder operative Risiko? (1 = internes Tool, keine externen Folgen; 5 = Hochrisiko nach AI Act, DSFA-pflichtig.)

Priorisierungs-Regel: Score = Impact / (Aufwand × Risiko). Use Cases mit Score > 1.0 sind starke Quick-Win-Kandidaten. Score zwischen 0.5 und 1.0 sind mittelfristige Projekte. Unter 0.5 vorerst zurückstellen.

Wichtig: Der höchste Score gewinnt nicht automatisch — sondern der höchste Score mit benanntem Business-Owner. Ohne Owner kein Sprint, das ist der häufigste Gescheitert-Grund (siehe unseren Beitrag zu Pilot-Failures).

Schritt 6: Make-or-Buy-Entscheidung pro Top-Kandidat

Ziel: Für den priorisierten Use Case klären, ob ihr ihn selbst baut, ein SaaS-Tool nutzt oder einen externen Partner einbindet.

Zeitaufwand: 1 bis 2 Stunden Recherche plus 1 Stunde Entscheidung.

Drei Optionen, je Use Case prüfen:

  • Buy: Gibt es eine fertige SaaS-Lösung (Intercom Fin für Customer-Service, Personio mit KI für HR, Salesforce Einstein für Sales)? Vorteil: schnell, vorhersehbare Kosten. Nachteil: Lock-in, Standard-Funktionalität, manchmal nicht DSGVO-fit.
  • Build: Eigenes System auf Basis von OpenAI, Anthropic oder Open-Source-Modellen. Vorteil: maximale Anpassung, Datensouveränität. Nachteil: 2 bis 6 Monate Vorlauf, AI-Ops-Aufwand.
  • Partner: Externe Agentur (wie Will AIgency) implementiert auf euren Daten und übergibt. Vorteil: schneller als Build, fokussierter als SaaS. Nachteil: Beziehungs-Abhängigkeit, höhere Initialkosten.

Faustregel: Wenn der Use Case generisch ist (Standard-Email-Klassifikation, Standard-FAQ-Bot): Buy. Wenn der Use Case unternehmens-spezifisch ist (eigene Geschäftslogik, eigene Datenmodelle): Build oder Partner. Wenn ihr in den ersten 12 Monaten lernen wollt und keine AI-Ops-Kapazität habt: Partner.

1 Werktag

Typische Zeit für ein Geschäftsführer-Self-Audit plus zwei Halbtagessessions mit Stakeholdern

Typische Stolpersteine beim Self-Audit

Aus der Praxis: Was schief läuft, wenn Geschäftsführer das selbst versuchen.

  • Zu breit: "Wir wollen KI in allen Abteilungen einsetzen" ist kein Audit, das ist eine Liste. Self-Audit muss zu einer priorisierten Auswahl führen.
  • Vendor-First-Denken: "Lass uns mit Copilot anfangen" ist eine Vendor-Entscheidung, kein Use-Case. Erst Use-Case, dann Tool.
  • Daten-Realität ignorieren: "Wir haben super Daten" stimmt selten. Schritt 2 ehrlich machen, sonst baut Sprint 1 auf Sand.
  • Business-Owner-Lücke: Wenn niemand bereit ist, Owner zu werden, ist der Use Case nicht reif. Lieber zurück und einen anderen finden.
  • Compliance als Nachgedanke: DSGVO und AI Act gehören in Schritt 5 (Risiko-Dimension), nicht in eine separate Phase nach der Auswahl.

Was nach dem Self-Audit?

Wenn ihr durch die sechs Schritte durch seid, habt ihr:

  • Eine priorisierte Liste von 3 bis 5 Use-Cases
  • Einen Top-Kandidaten mit benanntem Business-Owner
  • Eine grobe Make-or-Buy-Empfehlung
  • Daten- und Tool-Landschaft als Grundlage für weitere Entscheidungen

Was jetzt fehlt: Validierung von außen. Ein häufiger Audit-Fehler ist, dass interne Audits zu optimistisch im Aufwand und zu konservativ im Impact schätzen. Eine zweite Meinung — sei es vom Beirat, von einem befreundeten Geschäftsführer mit KI-Erfahrung, oder eben einer Agentur — katalysiert die Validierung.

Konkrete nächste Schritte nach dem Self-Audit:

  1. Owner-Commitment einholen: Der benannte Business-Owner muss schriftlich (Email reicht) zustimmen, die Rolle zu übernehmen.
  2. Sprint-Vorbereitung: Eval-Set definieren (200 bis 500 reale Beispiele für den geplanten Use Case), Erfolgskriterien fixieren.
  3. DSGVO-/AI-Act-Klassifizierung: für den priorisierten Use Case formal abschließen, bei Hochrisiko DSFA starten.
  4. Implementation oder externe Validierung: je nach Make-or-Buy- Entscheidung.

Häufige Fragen

Was Geschäftsführer zum KI-Self-Audit fragen.

Was unterscheidet das Self-Audit von eurem AI Audit S?
Self-Audit liefert ihr selbst, kostet einen Werktag und basiert auf eurer internen Sicht. Unser Audit S kostet €3.500, dauert 10 Werktage, liefert eine externe Validierung plus Benchmark-Daten aus 30+ Projekten. Inhaltlich erreichen beide ähnliche Outputs — wir bringen die zweite Meinung, den geschulten Blick auf blinde Flecken und konkrete Architektur-Empfehlungen. Für viele Geschäftsführer rechnet sich die externe Schärfung; manche bevorzugen die Selbst-Erarbeitung. Beides legitim.
Brauche ich Vorbildung, um das Self-Audit selbst durchzuführen?
Geschäftsführer-Verständnis reicht. Ihr braucht keine ML-Kenntnisse, kein Python, keine Tech-Hintergründe. Was hilft: Grundverständnis von DSGVO (das solltet ihr ohnehin haben), ein Bild von der eigenen Daten-Landschaft und die Bereitschaft, ehrlich zu priorisieren. Wer komplett neu im Thema ist, liest vorher eine Stunde unsere Beiträge zu Pilot-Failures und Modell-Auswahl — das reicht für das Vokabular.
Welche Tools nutze ich für die Self-Audit-Sessions?
Notion, Miro oder schlicht eine geteilte Excel-Tabelle reichen vollkommen. Wir nutzen intern eine Notion-Vorlage, die wir auf Anfrage gerne teilen. Wichtiger als das Tool ist die Disziplin, die Fragen aus jedem Schritt vollständig abzuarbeiten und die Ergebnisse schriftlich zu fixieren. Mündliche Workshops ohne schriftliches Output sind drei Wochen später vergessen.
Wann lohnt sich externe Beratung trotz Self-Audit?
Drei Trigger: (1) Wenn euer Self-Audit-Output drei oder mehr Hochrisiko-Use-Cases identifiziert — dann braucht ihr Compliance-Schärfung. (2) Wenn die Make-or-Buy-Entscheidung unklar bleibt — dann hilft die zweite Meinung. (3) Wenn intern keine technische Beurteilung der Implementierungs-Optionen möglich ist. Wer durch alle drei Trigger sauber durchkommt: ihr braucht uns nicht, gratuliere, viel Erfolg.
Wie validiere ich meine Self-Audit-Ergebnisse?
Zwei pragmatische Wege: (1) Vorstellung im Beirat oder bei zwei befreundeten Geschäftsführern, die KI-Erfahrung haben — kostet nichts, bringt oft die fehlende Außensicht. (2) 30-minütige Discovery-Calls mit zwei bis drei Beratungs- oder Agentur-Partnern, in denen ihr eure Top-3-Use-Cases vorstellt. Die Fragen, die die Profis stellen, decken Lücken auf, die ihr selbst übersehen habt. Beides kostenlos.

Was als Nächstes?

Wer das Self-Audit ehrlich durchzieht, gewinnt etwas Wertvolleres als eine Use-Case-Liste: ein realistisches Bild der eigenen KI-Reife. Das ist die Grundlage jedes weiteren Sprints. Wer den Self-Audit lieber extern begleiten lässt — oder die Ergebnisse von außen validieren will: unser Audit S (€3.500, 10 Werktage) liefert genau das. Discovery-Call ist 30 Minuten und kostet nichts. In dem Call schauen wir gemeinsam auf euren Top-Kandidaten und stellen die zwei oder drei Fragen, an denen sich entscheidet, ob euer Self-Audit-Ergebnis trägt.

Mehr lesen.

Tactical

Wie du KI-Outputs systematisch testest — Eval-Frameworks für Production

Tech-Anleitung für Eval-Pipelines in Production: 4-Layer-Strategy mit deterministischen Tests, LLM-as-Judge, Golden-Datasets und Drift-Monitoring.

Strategie

EU AI Act 2026 — Was österreichische Unternehmen jetzt tun müssen

Konkreter Compliance-Leitfaden zum EU AI Act für Geschäftsführer in Österreich. Mit Risikoklassen, Strafen, Fristen und einer 12-Schritte-Checkliste.

Case Study

Case Study — Internes Wissensportal mit RAG: Bauträger spart 60% Onboarding-Zeit

Wie ein regionaler Bauträger in Salzburg/OÖ mit RAG, Permissions-Filter und Slack-Integration die Onboarding-Zeit neuer Projektleiter von 8 auf 3 Wochen gedrückt hat.

Bereit für eine ehrliche Einschätzung?

Discovery-Call kostet 30 Minuten — und kann euer 2026 entscheiden.