Ihr wollt erst selbst schauen, bevor ihr eine Agentur ruft. Fair. Wir würden's an eurer Stelle auch so machen. Was hier folgt: ein 6-Schritte-Self-Audit, das ein Geschäftsführer mit einem fokussierten Werktag plus zwei Halbtagessessions mit Stakeholdern selbst durchziehen kann. Output: eine priorisierte Liste von 3 bis 5 KI-Use-Cases mit Aufwand, Risiko und Make-or-Buy-Empfehlung. Nicht für €0, aber für die Zeit, die ihr ohnehin in das Thema steckt.
Schritt 1: Prozess-Volumen-Audit — wo wird Zeit verbrannt?
Ziel: Identifizieren, wo in eurem Unternehmen Routine-Tätigkeiten mit hohem Volumen ablaufen. Das ist der KI-Sweet-Spot — repetitive, strukturierte Tasks mit klarem Input und Output.
Zeitaufwand: 2 bis 3 Stunden, am besten mit den Abteilungsleitern.
Fragen pro Abteilung:
- Welche Tätigkeiten machen wir wöchentlich mehr als 5 Stunden pro Mitarbeiter?
- Welche dieser Tätigkeiten sind "ich lese was rein, schreibe was raus" (Klassifikation, Zusammenfassung, Übersetzung, Recherche)?
- Welche Tätigkeiten haben einen klar definierten Endzustand ("Ticket beantwortet", "Vertrag geprüft", "Lead qualifiziert")?
- Wo entstehen die meisten Fehler oder Engpässe?
- Welche Tätigkeit würden eure Mitarbeiter "morgen abgeben", wenn sie könnten?
Output: Tabelle mit 10 bis 20 Kandidaten-Tätigkeiten, Spalten: Abteilung, Tätigkeit, Volumen (Stunden/Woche), aktuelles Tool, Bottleneck- Beschreibung.
Schritt 2: Daten-Audit — wo liegen sie, wer kommt ran?
Ziel: Verstehen, welche Daten für KI-Anwendungen verfügbar wären — und welche rechtlichen oder organisatorischen Barrieren bestehen.
Zeitaufwand: 3 bis 4 Stunden, idealerweise mit IT-Leitung und ggf. Datenschutz-Verantwortlichem.
Fragen pro Datenkategorie:
- Wo liegen die Daten physisch (Cloud, On-Prem, Hybrid)? Welche Region (EU, US, sonst)?
- Wer hat Zugriff? Gibt es ein Rollen-Konzept?
- Welche Daten sind strukturiert (Datenbank, CSV) vs. unstrukturiert (Dokumente, Emails, Chats)?
- Gibt es ein Verarbeitungsverzeichnis nach DSGVO Art. 30? Wie aktuell?
- Welche Daten sind personenbezogen, welche pseudonym, welche anonym?
- Gibt es DPAs mit allen relevanten Daten-Verarbeitern?
- Welche Daten dürften für KI-Use-Cases verwendet werden, welche nicht?
Output: Daten-Inventar mit Kategorien, Speicherort, Zugriffs-Berechtigten und DSGVO-Status. Diese Liste ist später unbezahlbar für jede konkrete Use-Case-Diskussion.
Schritt 3: Tool-Landschaft-Audit — was läuft schon?
Ziel: Den Ist-Zustand der Tool-Landschaft erfassen, inklusive Schatten-IT (Mitarbeiter, die ChatGPT-Personal nutzen, ohne dass IT es weiß).
Zeitaufwand: 2 bis 3 Stunden.
Fragen:
- Welche Software-Produkte nutzen wir aktuell? (CRM, ERP, Ticketsystem, Dokumentenmanagement, Email, Collaboration.)
- Welche dieser Tools haben bereits KI-Features integriert (Copilot, Salesforce Einstein, HubSpot Breeze, etc.)? Werden sie genutzt?
- Welche KI-Tools nutzen einzelne Mitarbeiter inoffiziell? (Anonym fragen — die Antworten sind meist erschreckend.)
- Wo gibt es Insel-Lösungen, Excel-Workarounds, manuelle Schnittstellen?
- Welche Tools sind DSGVO-konform aufgesetzt (Enterprise-Lizenz, DPA, EU-Region)?
- Welche Integrationen fehlen — wo werden Daten manuell von A nach B geschoben?
Output: Tool-Landkarte mit Status, Nutzung, KI-Reife und Integration-Gaps. Häufig zeigt diese Karte schon den ersten Quick-Win: Ein bereits lizenziertes KI-Feature im CRM, das niemand nutzt.
Schritt 4: ICP-Use-Cases-Brainstorm — 3 bis 5 Top-Kandidaten
Ziel: Aus den vorherigen drei Schritten 3 bis 5 konkrete Use-Case-Hypothesen formen, die das Unternehmen wirklich nach vorn bringen würden.
Zeitaufwand: 2 Stunden, im Idealfall ein Workshop mit 4 bis 6 Stakeholdern.
Methodik: Für jede Tätigkeit aus Schritt 1 fragen:
- Gibt es genug strukturierte oder semi-strukturierte Daten dafür? (Schritt 2)
- Ist das Tool-Landschaft passend, oder bauen wir auf Sand? (Schritt 3)
- Ist das Volumen hoch genug, um einen Business-Case zu rechtfertigen? (Mindestens 200h pro Monat aggregiert wäre eine pragmatische Schwelle.)
- Ist der Outcome messbar? (Tickets/Tag, Conversion-Rate, Durchlaufzeit.)
- Ist eine Person bereit, Business-Owner zu werden — also die Verantwortung für den Produktivnutzen zu tragen?
Output: 3 bis 5 Use-Case-Cards, jeweils mit Hypothese, Daten-Quelle, geschätztem Volumen, vermutetem Aufwand und benanntem Business-Owner.
Schritt 5: Quick-Win-Priorisierung — die Impact-Aufwand-Risiko-Matrix
Ziel: Aus den 3 bis 5 Kandidaten den einen identifizieren, mit dem ihr starten solltet.
Zeitaufwand: 1 Stunde Bewertung plus 1 Stunde Diskussion.
Bewertungs-Dimensionen pro Use Case (Skala 1 bis 5):
- Impact: Wie viel €-Wert oder Stunden-Ersparnis pro Jahr realistisch? (1 = unter €10k, 5 = über €200k pro Jahr.)
- Aufwand: Wie viel Implementierungs-Aufwand? (1 = unter €5k und 2 Wochen, 5 = über €100k und 6 Monate.)
- Risiko: Welches Compliance-, Reputations- oder operative Risiko? (1 = internes Tool, keine externen Folgen; 5 = Hochrisiko nach AI Act, DSFA-pflichtig.)
Priorisierungs-Regel: Score = Impact / (Aufwand × Risiko). Use Cases mit Score > 1.0 sind starke Quick-Win-Kandidaten. Score zwischen 0.5 und 1.0 sind mittelfristige Projekte. Unter 0.5 vorerst zurückstellen.
Wichtig: Der höchste Score gewinnt nicht automatisch — sondern der höchste Score mit benanntem Business-Owner. Ohne Owner kein Sprint, das ist der häufigste Gescheitert-Grund (siehe unseren Beitrag zu Pilot-Failures).
Schritt 6: Make-or-Buy-Entscheidung pro Top-Kandidat
Ziel: Für den priorisierten Use Case klären, ob ihr ihn selbst baut, ein SaaS-Tool nutzt oder einen externen Partner einbindet.
Zeitaufwand: 1 bis 2 Stunden Recherche plus 1 Stunde Entscheidung.
Drei Optionen, je Use Case prüfen:
- Buy: Gibt es eine fertige SaaS-Lösung (Intercom Fin für Customer-Service, Personio mit KI für HR, Salesforce Einstein für Sales)? Vorteil: schnell, vorhersehbare Kosten. Nachteil: Lock-in, Standard-Funktionalität, manchmal nicht DSGVO-fit.
- Build: Eigenes System auf Basis von OpenAI, Anthropic oder Open-Source-Modellen. Vorteil: maximale Anpassung, Datensouveränität. Nachteil: 2 bis 6 Monate Vorlauf, AI-Ops-Aufwand.
- Partner: Externe Agentur (wie Will AIgency) implementiert auf euren Daten und übergibt. Vorteil: schneller als Build, fokussierter als SaaS. Nachteil: Beziehungs-Abhängigkeit, höhere Initialkosten.
Faustregel: Wenn der Use Case generisch ist (Standard-Email-Klassifikation, Standard-FAQ-Bot): Buy. Wenn der Use Case unternehmens-spezifisch ist (eigene Geschäftslogik, eigene Datenmodelle): Build oder Partner. Wenn ihr in den ersten 12 Monaten lernen wollt und keine AI-Ops-Kapazität habt: Partner.
Typische Zeit für ein Geschäftsführer-Self-Audit plus zwei Halbtagessessions mit Stakeholdern
Typische Stolpersteine beim Self-Audit
Aus der Praxis: Was schief läuft, wenn Geschäftsführer das selbst versuchen.
- Zu breit: "Wir wollen KI in allen Abteilungen einsetzen" ist kein Audit, das ist eine Liste. Self-Audit muss zu einer priorisierten Auswahl führen.
- Vendor-First-Denken: "Lass uns mit Copilot anfangen" ist eine Vendor-Entscheidung, kein Use-Case. Erst Use-Case, dann Tool.
- Daten-Realität ignorieren: "Wir haben super Daten" stimmt selten. Schritt 2 ehrlich machen, sonst baut Sprint 1 auf Sand.
- Business-Owner-Lücke: Wenn niemand bereit ist, Owner zu werden, ist der Use Case nicht reif. Lieber zurück und einen anderen finden.
- Compliance als Nachgedanke: DSGVO und AI Act gehören in Schritt 5 (Risiko-Dimension), nicht in eine separate Phase nach der Auswahl.
Was nach dem Self-Audit?
Wenn ihr durch die sechs Schritte durch seid, habt ihr:
- Eine priorisierte Liste von 3 bis 5 Use-Cases
- Einen Top-Kandidaten mit benanntem Business-Owner
- Eine grobe Make-or-Buy-Empfehlung
- Daten- und Tool-Landschaft als Grundlage für weitere Entscheidungen
Was jetzt fehlt: Validierung von außen. Ein häufiger Audit-Fehler ist, dass interne Audits zu optimistisch im Aufwand und zu konservativ im Impact schätzen. Eine zweite Meinung — sei es vom Beirat, von einem befreundeten Geschäftsführer mit KI-Erfahrung, oder eben einer Agentur — katalysiert die Validierung.
Konkrete nächste Schritte nach dem Self-Audit:
- Owner-Commitment einholen: Der benannte Business-Owner muss schriftlich (Email reicht) zustimmen, die Rolle zu übernehmen.
- Sprint-Vorbereitung: Eval-Set definieren (200 bis 500 reale Beispiele für den geplanten Use Case), Erfolgskriterien fixieren.
- DSGVO-/AI-Act-Klassifizierung: für den priorisierten Use Case formal abschließen, bei Hochrisiko DSFA starten.
- Implementation oder externe Validierung: je nach Make-or-Buy- Entscheidung.
Häufige Fragen
Was Geschäftsführer zum KI-Self-Audit fragen.
Was unterscheidet das Self-Audit von eurem AI Audit S?
Brauche ich Vorbildung, um das Self-Audit selbst durchzuführen?
Welche Tools nutze ich für die Self-Audit-Sessions?
Wann lohnt sich externe Beratung trotz Self-Audit?
Wie validiere ich meine Self-Audit-Ergebnisse?
Was als Nächstes?
Wer das Self-Audit ehrlich durchzieht, gewinnt etwas Wertvolleres als eine Use-Case-Liste: ein realistisches Bild der eigenen KI-Reife. Das ist die Grundlage jedes weiteren Sprints. Wer den Self-Audit lieber extern begleiten lässt — oder die Ergebnisse von außen validieren will: unser Audit S (€3.500, 10 Werktage) liefert genau das. Discovery-Call ist 30 Minuten und kostet nichts. In dem Call schauen wir gemeinsam auf euren Top-Kandidaten und stellen die zwei oder drei Fragen, an denen sich entscheidet, ob euer Self-Audit-Ergebnis trägt.