Wo stehen Sie wirklich? Eine ehrliche Standortbestimmung

von

Wissen

Praxis-Artikel und Buchkapitel zu zur Copilot-Familie – alle frei verfügbar. Funktion, Sicherheit, Compliance, Governance.

Zu den Inhalten
Beratung

Beratung, Projektbegleitung, Review zur Copilot-Familie und technischen und organisatorischen KI-Fragestellungen.

Zur Beratung
Fachbücher

Meine Fachbücher Copilot für Entscheider und KI für IT-Professionals. Leseprobe herunterladen!

Zu den Büchern
Tools

Der Copilot.Diagnostiker hilft bei Einführung und sicherem Betrieb von Microsoft Copilot

Tools ansehen
Schulungen

Online-Workshops zu Fuktion, Sicherheit und Compliance – kompakt, hands-on, ohne MOC-Folienschlacht.

Zu den Schulungen

Dieser Artikel ist ein Kapitel aus:
Microsoft Copilot für Entscheider
Praxisleitfaden, ca. 600 Seiten

[ Hier bei Amazon bestellen ]
[ Mehr zum Buch ]

Table of Contents
2
3

Wo stehen Sie wirklich? Eine ehrliche Standortbestimmung

 

📋 MANAGEMENT SUMMARY — Was Sie in Kapitel 2 in 5 Minuten wissen müssen

Bevor Sie Millionen in KI investieren, brauchen Sie eine ehrliche Antwort auf eine simple Frage: Wo stehen Sie wirklich? Nicht wo Sie gerne stehen würden — sondern wo Sie tatsächlich stehen. Die meisten Unternehmen in Deutschland befinden sich in einer von drei Kategorien: Sie beobachten, sie testen vorsichtig, oder sie pilotieren aktiv. Alle drei Typen machen Fehler — nur unterschiedliche.

 

Was Sie nach diesem Kapitel wissen:

  • Welcher der drei Unternehmenstypen Sie sind — und was das konkret bedeutet.
  • Wie Ihre Mitbewerber wirklich aufgestellt sind — jenseits der Pressemitteilungen.
  • Ob Ihre Organisation technisch und organisatorisch bereit ist — mit einem 20-Punkte-Check.
  • Was Copilot wirklich kostet — die vollständige Rechnung, nicht nur die Lizenz.
  • Warum KI-Projekte scheitern — und wie Sie die häufigsten Fallstricke vermeiden.
  • Was die 3%-Adoptionsrate wirklich bedeutet — und warum sie gleichzeitig beruhigend und beunruhigend ist.

    •  

    Die unbequeme Wahrheit vorab: Shadow AI ist in Ihrem Unternehmen bereits vorhanden. Schätzungsweise 30–40 Prozent Ihrer Mitarbeiter nutzen KI-Tools inoffiziell. Die Frage ist nicht ob — die Frage ist, ob Sie es kontrollieren oder ignorieren.

     

    2.1 Die drei Typen: Wer sind Sie eigentlich?

    Es gibt in jedem deutschen Unternehmen ungefähr denselben Montagmorgen. Der Vorstand hat etwas gelesen. Oder auf einer Konferenz etwas gehört. Oder ein Mitbewerber hat eine Pressemitteilung herausgegeben, die KI im Titel trägt. Das Ergebnis ist immer dasselbe: Irgendjemand fragt, wo das Unternehmen bei KI steht.

    Die ehrliche Antwort auf diese Frage erfordert zunächst eine Selbstverortung. Nach drei Jahren Marktbeobachtung und Beratungserfahrung lassen sich praktisch alle Unternehmen in drei Typen einteilen — und keiner davon ist grundsätzlich falsch. Falsch sind nur die Fehler, die jeder Typ spezifisch macht.

     

    Abb. 2.1 — Die drei Unternehmenstypen — Merkmale, Aussagen und typische Handlungsbedarfe im KI-Umfeld

     

    Typ 1: Der ehrliche Abwarter

    Der ehrliche Abwarter hat sich bewusst entschieden zu warten. Nicht aus Ignoranz — das wäre Typ 0, den wir hier gar nicht erst betrachten — sondern aus einer legitimen Risikoabwägung: Der Markt ist noch nicht stabil. Die Compliance-Anforderungen sind unklar. Das Budget ist begrenzt. Die interne Kapazität fehlt. Das sind valide Argumente, und es wäre unfair, sie pauschal zu entwerten.

    Das Problem ist nicht die Entscheidung an sich — das Problem ist, was dabei übersehen wird. Während die Führungsebene offiziell abwartet, passiert im Unternehmen bereits etwas: Mitarbeiter öffnen ChatGPT in ihrem Browser. Sie installieren KI-Plugins in Visual Studio Code. Sie laden vertrauliche Dokumente in kostenlose KI-Dienste hoch, um schneller Zusammenfassungen zu erstellen. Das nennt man Shadow AI — und sie wächst mit jedem Monat des offiziellen Abwartens.

    Der ehrliche Abwarter unterschätzt außerdem die Lernkurve. KI-Projekte scheitern selten am technischen Teil — sie scheitern an Governance, Change Management und Datenkompetenz. Diese Fähigkeiten brauchen Zeit, um aufgebaut zu werden. Wer damit erst beginnt, wenn der Vorstand ungeduldig wird, hat bereits 12 bis 18 Monate Rückstand auf Unternehmen, die schon im Pilotbetrieb sind.

    Ein weiterer blinder Fleck des Abwarters: das Berechtigungskonzept. In den meisten Unternehmen ist die SharePoint-Berechtigungsstruktur historisch gewachsen — aufgebaut von IT-Mitarbeitern, die längst das Unternehmen verlassen haben, nach Logiken, die niemand mehr kennt, mit Ausnahmen für Projekte, die längst abgeschlossen sind. Das ist kein Qualitätsurteil, das ist Realität. Solange kein KI-System diese Daten verarbeitet, bleibt dieses Problem theoretisch. Sobald Copilot aktiviert wird, wird es praktisch und sichtbar — und dann ist der Druck, beides gleichzeitig zu lösen (Berechtigungen und KI-Einführung), deutlich größer als wenn man es sequenziell angeht.

    Was Typ 1 jetzt tun sollte: Shadow AI inventarisieren, eine minimale KI-Nutzungsrichtlinie erstellen (damit Mitarbeiter wenigstens wissen, was erlaubt ist und was nicht) und eine strukturierte Readiness-Analyse durchführen. Das kostet sechs bis acht Wochen — und spart später Monate an Nacharbeit.

    Typ 2: Der vorsichtige Tester

    Dieser Typ ist weiter als Typ 1 — aber weniger weit als er selbst denkt. Er hat einen Piloten gestartet: GitHub Copilot für die Entwicklerabteilung, vielleicht ein kleines Azure-OpenAI-Experiment in der IT, möglicherweise sogar M365-Copilot-Lizenzen für zehn ausgewählte Mitarbeiter. Das klingt gut. Das Problem liegt im Wie.

    Die typischen Merkmale: Der Pilot hat keine klare Erfolgsmessung. Die Erkenntnisse werden nicht systematisch dokumentiert. Die Governance wurde nicht aufgebaut — weil das ja erst beim Rollout nötig sei. Der Datenschutzbeauftragte ist informiert worden, hat aber keine formale Bewertung vorgenommen. Und der Betriebsrat weiß zwar, dass es einen Piloten gibt, wurde aber nicht in die Ausgestaltung einbezogen.

    Das Ergebnis: Nach sechs Monaten weiß man, dass Copilot irgendwie nützlich ist — aber man kann es nicht belegen. Der Rollout scheitert nicht an der Technik, sondern daran, dass niemand eine überzeugende Antwort auf die Frage liefern kann: Was genau hat der Pilot gebracht? Wie reproduzieren wir das im großen Maßstab? Wer trägt die Verantwortung?

    Besonders tückisch ist das Problem der selektiven Pilotgruppe. Wer einen Pilot nur mit freiwilligen Enthusiasten durchführt — und das passiert in 80 Prozent der Fälle — erhält ein verzerrtes Bild. Enthusiasten finden immer Wege, ein Tool nützlich zu machen. Die kritische Frage ist, ob auch der durchschnittliche Mitarbeiter, der KI nicht selbst gewählt hätte, produktiv damit arbeiten kann. Das findet man nur heraus, wenn der Pilot repräsentativ aufgestellt ist. Mit anderen Worten: Der Buchhalter, der nie gebeten wurde, ob er KI mag, ist relevanter für die Rollout-Planung als der Entwickler, der seit Jahren auf KI-Tools wartet.

    Was Typ 2 jetzt tun sollte: Den laufenden Piloten strukturieren — Erfolgskriterien definieren, Erkenntnisse dokumentieren, Governance und Rollout-Plan parallel aufbauen. Den DSB formal einbinden. Und dem Betriebsrat einen konkreten Fahrplan vorlegen, damit keine bösen Überraschungen entstehen.

    Typ 3: Der aktive Pilot

    Der aktive Pilot läuft seit drei bis sechs Monaten. Er hat erste Erkenntnisse. Er hat auch die ersten Enttäuschungen erlebt: Die KI ist nicht so magisch wie erhofft. Manche Anwendungsfälle funktionieren gut, andere gar nicht. Die Mitarbeiter sind gemischt begeistert — einige schwören auf Copilot, andere ignorieren ihn konsequent.

    Das ist normal. Das ist Lernen. Das Problem bei Typ 3 liegt nicht im Piloten selbst, sondern im, was parallel dazu nicht passiert ist: Das Change Management wurde unterschätzt. Training wurde als einmaliges Kickoff-Event verstanden, nicht als kontinuierlicher Prozess. Die Begleitkosten — die Stunden, die Führungskräfte mit KI-Fragen ihrer Teams verbringen, die Support-Tickets, die IT-Anpassungen — wurden nicht budgetiert.

    Außerdem kämpft Typ 3 oft mit einer internen Governance-Lücke: Man hat im Pilot auf formale Richtlinien verzichtet, um schnell starten zu können. Das rächt sich beim Rollout, wenn plötzlich 200 statt 20 Nutzer dabei sind und alle unterschiedlich mit vertraulichen Daten umgehen.

    Ein häufig übersehenes Phänomen bei aktiven Piloten ist die Nutzungspolarisierung: Eine kleine Gruppe von 10 bis 20 Prozent der Pilotteilnehmer wird zu aktiven "Champions", die das Tool täglich einsetzen und intern promoten. Die übrigen 80 Prozent nutzen es sporadisch oder gar nicht — und sprechen intern nicht viel darüber. Die Champions dominieren das Feedback, das an die Projektleitung gemeldet wird. Das erzeugt ein unrealistisch optimistisches Bild, das sich beim breiten Rollout nicht reproduzieren lässt. Typ-3-Unternehmen müssen lernen, auch die leise Mehrheit zu hören.

    Was Typ 3 jetzt tun sollte: Change Management als eigenständiges Projekt aufsetzen — nicht als Anhang zum IT-Rollout. Eine formale KI-Richtlinie verabschieden. Die Erkenntnisse aus dem Piloten systematisch auswerten und den Rollout-Plan auf Basis echter Daten, nicht Wunschdaten, aufsetzen.

     

    Welcher Typ sind Sie? Die folgende Tabelle gibt einen schnellen Überblick:

     

    Kriterium

    Typ 1: Abwarter

    Typ 2: Tester

    Typ 3: Pilot

    KI-Strategie vorhanden

    Nein

    Rudimentär

    In Entwicklung

    Aktiver Pilot

    Nein

    Klein/punktuell

    Ja, mehrere Abt.

    Governance aufgebaut

    Nein

    Kaum

    Teilweise

    DSB einbezogen

    Nein

    Informiert

    Formal beteiligt

    Shadow AI Risiko

    Sehr hoch

    Hoch

    Mittel

    Lernrückstand

    Wächst täglich

    Moderat

    Gering

    Hauptproblem

    Shadow AI, kein Wissen aufgebaut

    Fehlende Dokumentation

    Begleitkosten unterschätzt

    Nächster Schritt

    Readiness-Analyse + Richtlinie

    Pilot strukturieren + Governance

    Change Mgmt priorisieren

    Tab. 2.1 — Die drei Unternehmenstypen im direkten Vergleich — zur Selbstverortung

     

    🏢 FALLSTUDIE — Drei Unternehmen, drei Typen

    Musterwerk GmbH — Typ 1 (ehrlicher Abwarter)

    IT-Leiter Thomas Berger hat dem Vorstand im Herbst 2023 eine klare Empfehlung gegeben: Wir beobachten das noch ein Jahr. Sein Argument war solide — die Berechtigungsstruktur im SharePoint ist seit 2019 nicht mehr angefasst worden, der DSB hat Bedenken geäußert, und das Budget für Change Management fehlt. Was Berger nicht auf dem Radar hatte: Drei seiner Entwickler nutzen GitHub Copilot über ihre privaten GitHub-Accounts. Zwei Vertriebler haben ChatGPT-Plus-Abonnements, die das Unternehmen nicht kennt. Und die Buchhaltung hat gerade herausgefunden, dass man mit Copilot im Browser Rechnungen zusammenfassen kann — über den persönlichen Microsoft-Account. Die offizielle Entscheidung war vernünftig. Die Realität ist komplizierter.

     

    Sparfuchs & Partner — Typ 2 (vorsichtiger Tester)

    Der Kombi-DSB/Office-Manager hat nach der M365-Lizenzerneuerung bemerkt, dass Copilot-Funktionen im Paket enthalten sind. Spontan wurde ein informeller Test mit fünf Mitarbeitern gestartet: Kann Copilot Mandantengespräche zusammenfassen? Das klingt nach Innovation. Es ist tatsächlich ein DSGVO-Problem, das noch niemand vollständig analysiert hat. Eine formale Datenschutz-Folgenabschätzung existiert nicht. Der Auftragsverarbeitungsvertrag mit Microsoft wurde nicht auf KI-Verarbeitung geprüft. Aber die Zusammenfassungen sind wirklich gut.

     

    Trendforge Digital GmbH — Typ 3 (aktiver Pilot)

    Seit vier Monaten läuft ein M365-Copilot-Pilot mit 30 Nutzern. Die Entwickler lieben GitHub Copilot. Das Produktmanagement findet Copilot-in-Teams praktisch. Der CISO hat Bedenken wegen Prompt Injection, die der CTO als übertrieben abgetan hat. Es gibt keine KI-Richtlinie — man wollte das 'pragmatisch halten'. Das Ergebnis: Jeder nutzt Copilot auf seine eigene Weise, die Nutzungsqualität variiert stark, und beim Rollout auf 120 Nutzer merkt man gerade, dass man eigentlich neu anfangen muss.

     

    2.2 Wo Ihre Mitbewerber stehen — und was das für Sie bedeutet

    Die Frage "Haben unsere Mitbewerber schon KI?" ist falsch gestellt. Die richtige Frage lautet: "Welchen Vorsprung bauen Unternehmen gerade auf, die aktiv pilotieren — und was bedeutet das in 18 Monaten für die relative Wettbewerbsposition?"

    Beginnen wir mit den Zahlen, die viele beruhigen und gleichzeitig in die Irre führen.

    Die 3%-Zahl: Was sie bedeutet und was nicht

    Die Adoptionsrate von M365 Copilot im Enterprise-Segment liegt Ende 2024 bei etwa 3 Prozent. Das klingt wenig — und soll manchen Entscheider beruhigen: "Niemand macht das wirklich." Das ist eine gefährliche Fehlinterpretation.

    Erstens: 3 Prozent von großen Unternehmen ist keine homogene Gruppe. Es gibt Organisationen, die seit 18 Monaten aktiv pilotieren und mittlerweile genau wissen, was funktioniert und was nicht. Sie bauen gerade ihr Rollout-Know-how auf, während andere noch diskutieren. Dieser Lernvorsprung ist nicht kaufbar — er wurde durch Zeit und Fehler erworben.

    Zweitens: Die 3% beziehen sich auf M365 Copilot. Der breiteren Kontext KI im Unternehmen sieht anders aus: GitHub Copilot läuft seit Jahren in Entwicklungsabteilungen. Copilot-Funktionen sind in vielen M365-Apps bereits aktiv, ohne dass jemand eine separate Lizenz gekauft hat. Power Automate-Flows nutzen KI-Komponenten. Azure-Services mit KI-Erweiterungen sind in Drittsystemen integriert.

     

    Abb. 2.2 — M365 Adoptionsraten 2024 — Copilot im Vergleich zu etablierten Microsoft-Produkten

     

    Vergleichen Sie die Copilot-Adoptionsrate mit Teams im Jahr 2020: Auch Teams startete bei unter 5 Prozent und verdoppelte sich in 18 Monaten. Die Frage ist nicht ob die Kurve steigt — die Frage ist, ob Sie dabei sind, wenn sie steil wird.

    Drittens müssen Sie den Begriff "Adoptionsrate" differenziert betrachten. Es gibt einen Unterschied zwischen Unternehmen, die Copilot-Lizenzen haben und aktiviert haben, und Unternehmen, in denen Copilot wirklich produktiv genutzt wird. Wenn ein CIO sagt "Wir haben Copilot", kann das bedeuten: Die Lizenzen sind im Vertrag. Oder: Zehn Prozent der Belegschaft nutzen es täglich produktiv. Das sind zwei völlig verschiedene Aussagen. Die rohe Adoptionsrate misst das erste, nicht das zweite.

    Google, SAP, Salesforce: Was Ihre Systeme bereits können

    Die Debatte über Microsoft Copilot verdeckt eine wichtige Tatsache: KI ist in vielen Unternehmen bereits produktiv im Einsatz — nur nicht unter diesem Namen. Google Workspace hat Gemini-Funktionen in Docs, Sheets und Gmail integriert, die bei vielen Lizenzen bereits aktiv sind. Salesforce Einstein GPT ist seit 2023 in Enterprise-CRM-Paketen enthalten. SAP Business AI ist in S/4HANA-Prozessen eingebettet.

    Das bedeutet: Ihre Mitarbeiter nutzen möglicherweise bereits KI-Features in Systemen, die Ihr Unternehmen täglich einsetzt — ohne dass IT oder Datenschutz das formal bewertet haben. Das ist kein Vorwurf, das ist die Realität einer Marktentwicklung, die schneller ist als Governance-Zyklen.

    Besonders relevant ist die Situation bei Salesforce. Viele deutsche Unternehmen haben einen Salesforce-Vertrag, der Einstein-GPT-Funktionen enthält — ohne es zu wissen. Die Aktivierung ist manchmal nur einen Klick entfernt. Dasselbe gilt für SAP Joule in neueren S/4HANA-Cloud-Versionen: Die KI-Assistenz ist vorhanden, sie ist nur noch nicht eingeschaltet. Wenn Sie das nächste Mal in einem Systembriefing sitzen, fragen Sie explizit: Welche KI-Funktionen sind in unserem Vertrag enthalten, und welche davon sind bereits aktiv? Die Antwort wird Sie möglicherweise überraschen.

     

    Die folgende Tabelle gibt einen Überblick über KI-Angebote der wichtigsten Plattformhersteller:

     

    Anbieter

    KI-Produkt

    Lizenz-Modell

    Datenschutz (EU)

    Governance-Anforderung

    Microsoft 365

    Copilot M365

    Add-on $30/Nutzer/Mo

    Gut (EU Data Boundary)

    Hoch

    Google Workspace

    Gemini for Workspace

    Business+/Enterprise

    Mittel (US-Hosting mögl.)

    Mittel

    Salesforce

    Einstein GPT / Agentforce

    Enterprise-Paket inklusive

    Mittel (je nach Konfiguration)

    Mittel

    SAP

    Business AI / Joule

    S/4HANA Cloud inklusive

    Gut (EU Hosting)

    Niedrig (eingebettet)

    ServiceNow

    Now Assist (GenAI)

    Enterprise Plus Add-on

    Mittel

    Mittel

    Tab. 2.2 — KI-Angebote der Plattformhersteller im Vergleich — Lizenz, Datenschutz, Governance-Aufwand

     

    Das wirkliche Wettbewerbsrisiko: Produktivitätslücke und Talente

    Das häufig zitierte Wettbewerbsrisiko "die haben KI und wir nicht" ist zu simpel. Das eigentliche Risiko ist vielschichtiger:

  • Produktivitätslücke: Unternehmen, die KI-gestützte Prozesse einsetzen, können in bestimmten Aufgaben 20 bis 40 Prozent schneller werden. Diese Lücke schließt sich nicht durch eine Lizenz allein — sie entsteht durch Monate der Übung und Prozessanpassung.
  • Talente: Hochqualifizierte Fachkräfte bevorzugen zunehmend Arbeitgeber, die moderne Werkzeuge anbieten. Wer als Arbeitgeber KI explizit ablehnt oder ignoriert, verliert bei der Rekrutierung. Das ist kein Trend — das ist bereits messbar.
  • Shadow AI als Sicherheitsrisiko: Je länger offizielle KI-Tools fehlen, desto mehr nutzen Mitarbeiter inoffizielle Alternativen. Das Risiko für Datenlecks und DSGVO-Verstöße wächst mit jedem Monat des Abwartens.
  • Kundenerwartungen: In B2B-Umgebungen erwarten Kunden zunehmend, dass Angebote, Berichte und Analysen schneller und personalisierter geliefert werden. Wer das nicht leisten kann, verliert Aufträge — langsam, aber messbar.

    •  

    Abb. 2.3 — Wettbewerbsrisiko-Heatmap — KI-bedingte Bedrohungen nach Wahrscheinlichkeit und Auswirkung

     

    Ein Hinweis zur richtigen Einordnung: Die Heatmap zeigt Risiken des Nicht-Handelns, keine Garantien des Handelns. KI einzuführen eliminiert diese Risiken nicht automatisch — es verschiebt sie von "wir handeln nicht" zu "wir handeln falsch". Letzteres ist immer noch besser, weil man aus Fehlern lernen kann, aus Untätigkeit nicht.

    Das Wettbewerbsrisiko "Produktivitätslücke" verdient eine genauere Betrachtung. Der Begriff klingt abstrakt, ist aber sehr konkret messbar. Stellen Sie sich zwei vergleichbare Unternehmen vor: Unternehmen A hat Copilot seit 18 Monaten im Einsatz. Die Mitarbeiter haben gelernt, Angebote effizienter zu erstellen, Meetings produktiver nachzubereiten und Marktanalysen in Stunden statt Tagen zu liefern. Unternehmen B hat in derselben Zeit beobachtet. Der Abstand, der sich in diesen 18 Monaten aufgebaut hat, ist keine Technologielücke — er ist eine Kompetenzlücke. Und Kompetenzlücken schließen sich nicht durch den Kauf einer Lizenz. Sie schließen sich durch Monate des Lernens, Scheiterns und Verbesserns.

     

    2.3 Der ehrliche Selbstcheck: Sind Sie bereit?

    Readiness ist kein Gefühl — sie ist messbar. Der folgende 20-Punkte-Check ist kein Marketinginstrument, das am Ende eine grüne Ampel zeigt, damit Sie sich gut fühlen. Er ist eine ernüchternde Bestandsaufnahme in fünf Kategorien, die ehrlich zeigt, wo Nachholbedarf besteht.

    Die fünf Kategorien sind bewusst in dieser Reihenfolge angeordnet: Datenlage kommt zuerst, weil eine schlechte Datengrundlage alle anderen Bemühungen konterkariert. Governance ist der zweite Block, weil ohne Regeln auch die beste Technik zu Chaos führt. Compliance folgt, weil DSGVO-Probleme nachträglich teurer zu lösen sind als von Anfang an eingeplant. Technik ist bewusst als viertletzter Block platziert — nicht weil sie unwichtig ist, sondern weil technische Probleme die am einfachsten lösbaren sind. Und Organisation kommt zuletzt, weil Change Management oft als selbstverständlich vorausgesetzt wird und genau deshalb so häufig scheitert.

    Vergeben Sie pro Frage einen Punkt, wenn die Antwort ohne Einschränkungen "Ja" lautet. Teilerfüllungen zählen nicht — entweder ist etwas dokumentiert, oder es ist nicht dokumentiert. Entweder ist der DSB formal eingebunden, oder er wurde nur informiert. Das klingt streng, weil es streng ist.

     

    Abb. 2.4 — KI-Readiness-Dimensionen — Durchschnitt dt. Unternehmen 2024 vs. Zielbild

     

    Der vollständige 20-Punkte-Check:

     

    #

    Kategorie

    Frage / Kriterium

    Punkt?

    1

    Datenlage

    Haben Sie eine aktuelle Datenklassifizierung (mindestens: vertraulich / intern / öffentlich)?

    □ Ja / Nein

    2

    Datenlage

    Ist Ihre SharePoint/OneDrive-Berechtigungsstruktur dokumentiert und in den letzten 12 Monaten überprüft worden?

    □ Ja / Nein

    3

    Datenlage

    Haben Sie bekannte Probleme mit duplizierten oder veralteten Dateien systematisch adressiert?

    □ Ja / Nein

    4

    Datenlage

    Können Sie sagen, welche Daten Copilot sehen würde, wenn Sie ihn heute aktivieren?

    □ Ja / Nein

    5

    Governance

    Gibt es eine formale KI-Richtlinie oder einen beschlossenen Entwurf?

    □ Ja / Nein

    6

    Governance

    Sind Verantwortlichkeiten für KI-Entscheidungen klar definiert (Rolle, kein Name)?

    □ Ja / Nein

    7

    Governance

    Gibt es definierte Eskalationswege für KI-bezogene Vorfälle?

    □ Ja / Nein

    8

    Governance

    Wurde der Betriebsrat informiert und in die Planung einbezogen?

    □ Ja / Nein

    9

    Compliance

    Wurde der DSB formal in die KI-Planung eingebunden (nicht nur informiert)?

    □ Ja / Nein

    10

    Compliance

    Wurde eine Datenschutz-Folgenabschätzung begonnen oder beauftragt?

    □ Ja / Nein

    11

    Compliance

    Wurde der Microsoft-Auftragsverarbeitungsvertrag auf KI-Verarbeitung geprüft?

    □ Ja / Nein

    12

    Compliance

    Ist der EU-Data-Boundary-Status Ihres Tenants bekannt und dokumentiert?

    □ Ja / Nein

    13

    Technik

    Haben Sie die notwendigen M365-Lizenzen (mindestens E3 oder Business Premium)?

    □ Ja / Nein

    14

    Technik

    Ist die Microsoft 365 Security Baseline konfiguriert und überprüft?

    □ Ja / Nein

    15

    Technik

    Haben Sie Sensitivity Labels konfiguriert und in Nutzung?

    □ Ja / Nein

    16

    Technik

    Ist Monitoring für ungewöhnliche Datenzugriffe (Microsoft Purview oder Äquivalent) aktiv?

    □ Ja / Nein

    17

    Organisation

    Haben Sie ein definiertes Change-Management-Konzept für den KI-Rollout?

    □ Ja / Nein

    18

    Organisation

    Ist ein Trainingskonzept für verschiedene Nutzergruppen geplant oder aktiv?

    □ Ja / Nein

    19

    Organisation

    Haben Sie eine Pilotgruppe identifiziert (repräsentativ, nicht nur Enthusiasten)?

    □ Ja / Nein

    20

    Organisation

    Wurden Erfolgskriterien und Metriken für den Pilot definiert?

    □ Ja / Nein

    Tab. 2.3 — 20-Punkte-KI-Readiness-Check — ein Punkt pro eindeutiges Ja; Teilerfüllungen zählen nicht

     

    💡 TIPP — Den 20-Punkte-Check richtig nutzen

    Machen Sie den Check nicht alleine. Das Ergebnis ist nützlicher, wenn Sie ihn zusammen mit IT-Leitung, DSB und einer Führungskraft aus dem Fachbereich durchgehen.

     

    Priorisieren Sie nach Kategorie: Datenlage und Compliance (Fragen 1–12) sind Voraussetzungen für einen sicheren Rollout — hier sollten Sie mindestens 8 von 12 Punkten erreichen, bevor Sie den Piloten starten.

     

    Auswertung:

  • 0–8 Punkte: Nicht bereit. Starten Sie mit Datenlage und Governance, bevor Sie Lizenzen kaufen.
  • 9–14 Punkte: Bedingt bereit. Sie können einen kontrollierten Piloten starten — mit klaren Einschränkungen und intensiver Begleitung.
  • 15–20 Punkte: Bereit. Sie haben eine solide Basis. Jetzt kommt der eigentliche Aufwand: Change Management und Erfolgsmessung.

    •  

    Ein Ergebnis von 20/20 bedeutet übrigens nicht, dass alles gut ist — es bedeutet, dass Sie vorbereitet sind anzufangen. Der Unterschied ist erheblich.

     

    Abb. 2.5 — KI-Readiness-Entscheidungsbaum — 5 Schlüsselfragen und ihre Konsequenzen

     

    2.4 Was es wirklich kostet — die ehrliche Rechnung

    30 US-Dollar pro Nutzer und Monat. Das ist die Zahl, die Microsoft kommuniziert, die Vertriebsmitarbeiter im Angebot nennen und die Vorstände als Grundlage für Wirtschaftlichkeitsberechnungen verwenden. Diese Zahl ist korrekt. Sie ist auch irreführend.

    Die Lizenzkosten sind der kleinste Kostenpunkt in der Gesamtrechnung eines Copilot-Rollouts. Wer das nicht weiß, plant falsch. Wer das weiß und trotzdem nur die Lizenzkosten kommuniziert, plant bewusst falsch — und das rächt sich spätestens im zweiten Quartal nach dem Rollout.

    Die vollständige Kostenrechnung: 100 Nutzer, Mittelstand, Jahr 1

    Nehmen wir ein Mittelstandsunternehmen mit 100 Copilot-Lizenzen als Berechnungsbasis. Das ist kein repräsentatives Unternehmen — aber die Struktur der Kosten ist auf andere Unternehmensgrößen skalierbar.

     

    Abb. 2.6 — Copilot-Gesamtkosten Jahr 1 (100 Nutzer) — Lizenz vs. Begleitkosten

     

    Kostenkategorie

    Betrag Jahr 1

    Betrag ab Jahr 2

    Einmalig/Laufend

    Anmerkung

    M365 Copilot-Lizenzen

    36.000 €

    36.000 €

    Laufend

    30 USD × 100 × 12 Monate

    Change Management

    20.000–30.000 €

    5.000–10.000 €

    Überwiegend einmalig

    Kommunikation, Führungskräfte-Briefings, Feedbackschleifen

    Training und Enablement

    15.000–25.000 €

    5.000–8.000 €

    Überwiegend einmalig

    Initiales Training, E-Learning, Praxis-Workshops

    Governance-Aufbau

    10.000–20.000 €

    3.000–5.000 €

    Überwiegend einmalig

    Richtlinien, Prozesse, Verantwortlichkeiten, ggf. externe Beratung

    IT-Anpassungen und Tenant-Konfiguration

    8.000–15.000 €

    2.000–4.000 €

    Überwiegend einmalig

    Security Baseline, Sensitivity Labels, Purview, Monitoring

    Support-Mehraufwand (IT-Helpdesk)

    5.000–10.000 €

    3.000–5.000 €

    Laufend (sinkend)

    Erste 6 Monate deutlich erhöhtes Ticket-Volumen

    Gesamtkosten Jahr 1

    94.000–136.000 €

    54.000–68.000 €

    70% der Erstkosten sind Begleitmaßnahmen

    Tab. 2.4 — Vollständige Kostenrechnung M365 Copilot, 100 Nutzer, Mittelstand — Jahr 1 und Folgejahre

     

    Ein paar wichtige Anmerkungen zu dieser Tabelle:

  • Die Bandbreiten sind groß, weil der tatsächliche Aufwand stark von der Ausgangssituation abhängt. Ein Unternehmen mit sauberer Datenlage und guter M365-Konfiguration liegt am unteren Ende. Ein Unternehmen, das zuerst das SharePoint-Chaos von 2017 aufräumen muss, liegt am oberen Ende.
  • "Ab Jahr 2" gilt nur, wenn das Change Management in Jahr 1 wirklich funktioniert hat. Wenn nicht, beginnt der Zyklus in Jahr 2 von vorne — nur mit mehr Frustration und mehr Skepsis.
  • Diese Rechnung enthält noch keine Kosten für eventuelle Anpassungen an Drittanwendungen, API-Integrationen oder spezifische Compliance-Dokumentation (etwa für die DSFA). Die kommen on top.

    • Der größte Kostentreiber — den die meisten Unternehmen unterschätzen — ist nicht auf dieser Liste. Es ist die Opportunitätszeit von Führungskräften. Wenn Abteilungsleiter und Teamchefs jeweils drei Stunden pro Monat damit verbringen, KI-Fragen ihrer Teams zu beantworten, Nutzungsrichtlinien zu erklären, Bedenken auszuräumen und Nutzungsprobleme eskalieren zu lassen: Bei einem Unternehmen mit 20 Führungskräften und einem internen Stundensatz von 80 Euro sind das schnell 57.000 Euro pro Jahr — nur in Führungskräftezeit. Diese Position erscheint in keinem Softwareangebot. Sie erscheint aber in der Bilanz.

    ROI-Mythen und was realistisch ist

    Microsoft und verschiedene Marktforscher veröffentlichen regelmäßig ROI-Studien, die beeindruckende Zahlen zeigen: Copilot-Nutzer sparen im Schnitt 1,2 Stunden pro Woche. Das ergibt bei 100 Nutzern und einem Stundensatz von 60 Euro rund 375.000 Euro Ersparnis pro Jahr. Ein ROI von über 300 Prozent — wer könnte da widerstehen?

    Die Antwort: jeder, der die Methodologie liest. Diese Studien basieren auf Selbstauskunft der Nutzer, enthalten keine Kontrollgruppen, und zählen subjektiv empfundene Zeitersparnis — nicht tatsächlich mehr produzierte Ergebnisse. Außerdem werden die Lernkosten in der Anlaufphase nicht gegengerechnet.

    Realistisch ist: In bestimmten Aufgaben — E-Mail-Zusammenfassungen, Meeting-Protokolle, erste Entwürfe für Dokumente — spart Copilot nachweisbar Zeit. Das sind echte Produktivitätsgewinne. Aber sie sind kleiner als die Marketing-Zahlen suggerieren, und sie entstehen nicht automatisch. Sie entstehen bei Mitarbeitern, die gelernt haben, Copilot gezielt einzusetzen. Das dauert Monate.

    Empfehlung: Setzen Sie in der internen Wirtschaftlichkeitsrechnung einen konservativen Ansatz: 30 Minuten Zeitersparnis pro Nutzer und Woche, nicht 1,2 Stunden. Das entspricht einer jährlichen Ersparnis von 15.000 bis 20.000 Euro bei 100 Nutzern — deutlich weniger als die Marketingzahlen, aber realistischer und verteidigbar.

     

    2.5 Warum KI-Projekte scheitern — und wie Sie das vermeiden

    KI-Projekte scheitern erstaunlich selten an der Technik. Das ist die gute Nachricht. Die schlechte Nachricht: Sie scheitern fast immer an Faktoren, die lange vor dem ersten Piloten hätten adressiert werden müssen — und die mit ausreichend Zeit und Erfahrung sehr gut vorhersehbar sind.

     

    Abb. 2.7 — Scheitergründe in KI-Projekten — Häufigkeit in europäischen Enterprise-Projekten 2023/2024

     

    Die sieben häufigsten Scheitergründe mit konkreten Gegenmaßnahmen:

     

    Scheitergrund

    Häufigkeit

    Konkrete Symptome

    Gegenmaßnahme

    Fehlende Governance

    67%

    Jeder nutzt KI anders; keine Regeln; nach erstem Vorfall Aktionismus

    Governance vor dem Rollout — auch wenn es bremst

    Datenschutzprobleme

    58%

    DSB stoppt Rollout nachträglich; DSGVO-Klärung fehlt

    DSB von Anfang an formal einbinden, nicht informieren

    Mitarbeiter nicht einbezogen

    54%

    Geringe Nutzungsrate; Widerstand; Parallelnutzung inoffizieller Tools

    Change Management als eigenes Projekt — nicht als Anhang

    Schlechte Datenqualität

    51%

    Copilot findet nichts Nützliches; falsche Antworten; Vertrauensverlust

    Datenbereinigung vor Pilotstart (mindestens teilweise)

    Unrealistische Erwartungen

    48%

    Enttäuschung nach 3 Monaten; Lizenz-Rückgabe; internes KI-Bashing

    Ehrliche Nutzenkommunikation — keine Wundermittel-Rhetorik

    Fehlendes Begleitbudget

    43%

    Lizenzen da, Training nicht; IT überlastet; keine Unterstützung

    Vollständige Kostenplanung inklusive Begleitmaßnahmen

    Technische Probleme

    21%

    Tenant falsch konfiguriert; Lizenzkonflikte; Performance-Probleme

    Technische Readiness-Prüfung vor Go-live

    Tab. 2.5 — Scheitergründe und Gegenmaßnahmen in KI-Enterprise-Projekten

     

    Das Governance-First-Prinzip

    Das wichtigste Prinzip im KI-Rollout lautet: Governance vor Lizenzen. Das klingt trivial — und wird trotzdem systematisch ignoriert, weil der Einkauf schneller ist als die Richtlinienentwicklung, und weil der Vorstand Ungeduld zeigt, sobald man von "Governance" spricht.

    Governance bedeutet in diesem Kontext nicht bürokratische Kontrolle um der Kontrolle willen. Es bedeutet: Wer darf KI für welche Zwecke einsetzen? Welche Daten dürfen in Prompts eingegeben werden? Wer ist verantwortlich, wenn etwas schiefgeht? Wie wird Nutzung überwacht und warum? Diese Fragen brauchen Antworten, bevor der erste Nutzer Copilot öffnet — nicht danach.

    Der Grund ist einfach: Eine nachträgliche Governance trifft auf bereits etablierte Nutzungsgewohnheiten. Das erzeugt Widerstand, den eine proaktive Governance nicht erzeugt hätte. Und eine nachträgliche Governance kommt oft erst, nachdem ein Vorfall sie erzwungen hat — was für alle Beteiligten unangenehm ist.

    Es gibt eine verbreitete Fehlvorstellung, dass Governance-Aufbau Monate dauern muss. Das stimmt für ein vollständiges KI-Governance-Framework — das tut es. Aber für den Start eines Piloten reicht eine Minimalversion: eine Seite Text, die erklärt, was erlaubt ist, was verboten ist, wer Ansprechpartner ist, und wo man Probleme meldet. Diese eine Seite kann in einem halben Tag geschrieben werden. Wichtig ist nicht die Vollständigkeit zum Pilotstart, sondern die Verbindlichkeit. Eine kurze Richtlinie, die tatsächlich gilt, ist wertvoller als ein 20-seitiges Framework, das niemand liest.

    Das Pilotprojekt als Lernlabor

    Ein Pilot ist kein Beweis, dass KI funktioniert. Es ist ein strukturiertes Lernlabor, in dem Ihr Unternehmen herausfindet, wie KI in Ihrem spezifischen Kontext funktioniert — mit Ihrer Datenstruktur, Ihren Prozessen, Ihrer Unternehmenskultur.

    Das klingt semantisch, ist aber praktisch wichtig: Wer einen Pilot als "Beweis" betreibt, möchte Erfolg sehen und sieht ihn auch — selektiv. Wer einen Pilot als Lernlabor betreibt, sucht systematisch nach dem, was nicht funktioniert, weil er weiß: Was jetzt im kleinen Maßstab versagt, versagt beim Rollout im großen Maßstab mit zehnfachem Schaden.

    Ein guter Pilot hat klare Lernziele: Welche Anwendungsfälle funktionieren gut? Bei welchen Aufgaben bringt Copilot keinen Mehrwert? Wie ist die Nutzerakzeptanz in verschiedenen Abteilungen? Welche Datenschutz- oder Sicherheitsprobleme treten praktisch auf? Die Antworten auf diese Fragen — nicht die Erfolgsgeschichten — sind das Wertvollste aus einem Piloten.

     

    ⚠️ RISIKO — Shadow AI: Das parallele KI-Universum in Ihrem Unternehmen

    Shadow AI ist nicht die Zukunft — sie ist bereits Gegenwart. Aktuelle Schätzungen gehen davon aus, dass in deutschen Unternehmen 30 bis 40 Prozent der Mitarbeiter regelmäßig KI-Tools nutzen, die nicht offiziell genehmigt sind. Das sind keine Randgruppen — das sind Ihre besten Mitarbeiter, die produktiv sein wollen.

     

    Was dabei passiert:

  • Vertrauliche Dokumente werden in kostenlose ChatGPT-Konten hochgeladen, um Zusammenfassungen zu erstellen.
  • Kundendaten werden in Gemini oder Claude eingegeben, um E-Mails zu formulieren.
  • Quellcode wird in externe KI-Dienste übertragen, um Fehler zu debuggen.
  • HR-Informationen werden verarbeitet, um Stellenbeschreibungen oder Absagen zu formulieren.

    •  

    Das rechtliche Problem: Jede dieser Aktivitäten ist potenziell ein DSGVO-Verstoß — eine Übermittlung personenbezogener Daten an einen Drittanbieter ohne geprüfte Rechtsgrundlage und ohne Auftragsverarbeitungsvertrag. Das ist nicht theoretisch. Das passiert heute.

     

    Die Lösung ist nicht Verbot — Verbote ohne Alternativen erhöhen die Shadow AI. Die Lösung ist: schnell genug eine offizielle, sichere Alternative anbieten, damit die inoffizielle unattraktiv wird. Wer sechs Monate wartet, hat sechs Monate unkontrollierten Datenaustausch mit externen KI-Diensten.

     

    🏢 FALLSTUDIE — Trendforge Digital GmbH: CTO gegen CISO — wer verliert?

    Trendforge hatte alle Voraussetzungen für einen erfolgreichen Copilot-Rollout: technisch versierte Mitarbeiter, modernes M365-Setup, Enthusiasmus auf allen Ebenen. Was sie nicht hatten, war eine klare Entscheidungsstruktur.

     

    CTO Marcus Weber wollte schnell liefern: Pilot starten, Ergebnisse zeigen, Rollout ankündigen. 'Wir sind ein Tech-Unternehmen — wir müssen vorangehen.' CISO Sandra Krause wollte zuerst eine Sicherheitsbewertung: Prompt Injection, Datenzugriffe, Audit-Logs. 'Wir sind ein Tech-Unternehmen — wir sollten es besser wissen als andere.'

     

    Beide hatten recht. Das war das Problem.

     

    Was passierte: Der Pilot startete ohne formale Sicherheitsbewertung, weil Weber den Druck des Vorstands nutzte. Krause blockierte drei Monate lang den Rollout mit Sicherheitsanforderungen, die in keiner Richtlinie standen und die Weber als Blockade interpretierte. Ergebnis: Nach sechs Monaten hatte man einen halbgar dokumentierten Piloten, eine beschädigte Beziehung zwischen CTO und CISO, und einen Vorstand, der anfing, die KI-Initiative grundsätzlich zu hinterfragen.

     

    Was geholfen hätte: Eine klare Governance-Struktur vor dem Pilot — wer entscheidet was, nach welchen Kriterien, und wer hat das letzte Wort bei Sicherheitsfragen. Das hätte den Konflikt nicht verhindert, aber einen Rahmen gegeben, in dem er lösbar gewesen wäre.

     

    Die Lehre: Bei KI-Projekten ist die größte Gefahr selten die Technologie. Sie ist die Organisationsstruktur, die mit der Komplexität nicht umgehen kann.

     

    2.6 Die Adoptionsrealität: Was die Zahlen wirklich sagen

    Zahlen zur KI-Adoption werden gerne zitiert und selten richtig interpretiert. Dieser Abschnitt versucht, die wichtigsten Kennzahlen einzuordnen — ohne Marketing-Optimismus und ohne Technologie-Pessimismus.

    Was 3% wirklich bedeuten

    Ende 2024 liegt die aktive Nutzungsrate von M365 Copilot im Enterprise-Segment bei etwa 3 Prozent der lizenzierten Nutzer. Das bedeutet: Von zehn Unternehmen, die Copilot-Lizenzen gekauft haben, nutzen im Durchschnitt nur drei von hundert Nutzern das Tool wirklich aktiv — also mehr als einmal pro Woche, für mehr als triviale Aufgaben.

    Das ist kein Microsoft-spezifisches Phänomen. Die Adoption neuer Enterprise-Software folgt fast immer demselben Muster: Lizenzen werden gekauft, Training wird angekündigt, die ersten Wochen gibt es Neugier, danach folgt ein Nutzungseinbruch, und dann stabilisiert sich die Nutzung auf einem Niveau, das maßgeblich vom Change-Management-Aufwand abhängt.

    Der Unterschied bei Copilot: Die Lernkurve ist steiler als bei klassischer Enterprise-Software. Copilot-Prompts zu schreiben, die wirklich nützliche Ergebnisse liefern, ist eine Fertigkeit — wie das Formulieren von Suchanfragen in Google, nur komplexer. Wer in Woche zwei nach dem ersten Training kein gutes Ergebnis bekommt, hört auf. Und kommt nicht von selbst zurück.

     

    Abb. 2.8 — Shadow AI Realität: Offiziell genehmigte KI-Nutzung vs. inoffizielle Nutzung

     

    Aktivierungsrate vs. echte Nutzung

    Aktivierungsrate und Nutzungsrate sind zwei sehr unterschiedliche Kennzahlen. Aktivierungsrate misst, wie viele lizenzierte Nutzer sich mindestens einmal angemeldet haben. Das klingt wie ein sinnvoller KPI — ist es aber nicht, weil einmaliges Ausprobieren keine Aussage über dauerhaften Nutzen macht.

    Echte Nutzung misst wöchentliche aktive Nutzer bei produktiven Aufgaben. Diese Zahl liegt typischerweise bei 20 bis 30 Prozent der aktivierten Nutzer — also 20 bis 30 Prozent derer, die schon einmal etwas ausprobiert haben. Das ist die relevante Kennzahl für Ihren ROI.

    Was bedeutet das konkret? Wenn Sie 100 Copilot-Lizenzen kaufen, werden nach drei Monaten etwa 70 bis 80 Prozent der Nutzer das Tool zumindest einmal ausprobiert haben. Davon werden 15 bis 25 Prozent echte, regelmäßige Nutzer. Das sind 15 bis 25 Mitarbeiter, die wirklich produktiv damit arbeiten — die anderen haben es versucht, keine überzeugende Erfahrung gemacht, und sind zurück zu ihren alten Methoden.

    Das ist kein Versagen — das ist normale Adoption. Aber es bedeutet: Der Return on Investment kommt nicht von 100 Nutzern. Er kommt von 15 bis 25. Und die 15 bis 25 müssen gut genug sein, um die Kosten für alle 100 Lizenzen zu rechtfertigen.

     

    Abb. 2.9 — Typischer KI-Reifegrad-Weg: Von der Beobachtung zur kontinuierlichen Optimierung

     

    Prognose 2025–2026: Wo die Kurve hingeht

    Basierend auf dem historischen Muster bei Teams, SharePoint und anderen Enterprise-Tools lässt sich eine vorsichtige Prognose formulieren: Die Copilot-Adoptionsrate wird bis Ende 2025 auf 8 bis 12 Prozent steigen, und bis Ende 2026 auf 15 bis 25 Prozent bei Unternehmen, die aktiv investieren. Das ist kein exponentielles Wachstum — das ist die typische S-Kurve.

    Was diese Kurve bedeutet: Unternehmen, die jetzt starten, werden in 18 Monaten die Phase der "frühen Mehrheit" sein — gut aufgestellt, aber keine Pioniere mehr. Unternehmen, die noch 12 Monate abwarten, starten mitten in der Wachstumsphase — dann, wenn Compliance-Anforderungen klarer sind, aber auch der Markt mehr Erfahrung hat und die Messlatte gestiegen ist.

     

    Abb. 2.10 — KI-Budget-Benchmark nach Unternehmensgröße: Ist 2023/2024 und Plan 2025

     

    Die Budgetentwicklung zeigt eine klare Richtung: Unternehmen aller Größenklassen planen, ihren KI-Anteil am IT-Budget in 2025 deutlich zu erhöhen. Das ist keine Modeerscheinung — das ist eine strategische Neuausrichtung von Investitionsbudgets. Wer 2025 nicht dabei ist, kämpft 2026 um einen größer werdenden Rückstand mit einem Markt, der kaum mehr auf Nachzügler wartet.

    Was das für Ihre Entscheidung bedeutet: Jetzt oder nach der Kurve?

    Die Frage ist nicht "KI ja oder nein" — diese Diskussion hat der Markt bereits beantwortet. Die Frage ist: In welcher Phase steigen Sie ein?

    Einstieg jetzt (2025): Lernkurve in einer Phase, in der die Technologie noch reift und die Fehler noch keine Katastrophen sind. Governance aufbauen, während der Druck noch moderat ist. Wissen aufbauen, das schwer zu kopieren ist. Kostenvorteil: Lernkosten jetzt sind geringer als Aufholkosten später.

    Einstieg in 12–18 Monaten: Technologie ist stabiler, Compliance-Anforderungen klarer, Erfahrungsberichte zahlreicher. Kostennachteil: Der Markt ist strukturierter, aber der Lernrückstand kostet Zeit — die nicht kaufbar ist. Und die Governance-Anforderungen werden strenger sein, nicht lockerer.

    Es gibt eine dritte Option, die selten explizit diskutiert wird: Den gezielten Teilbereichseinstieg. Statt eines unternehmensweiten Piloten starten Sie mit einem eng definierten Anwendungsfall in einer Abteilung, die technisch reif und motiviert ist. Das senkt das Risiko, komprimiert die Lernkurve und liefert ein internes Erfolgsbeispiel, das Sie bei der Überzeugungsarbeit gegenüber anderen Abteilungen nutzen können. GitHub Copilot in der Entwicklungsabteilung ist das klassische Beispiel: begrenzter Scope, messbare Ergebnisse, kein Enterprise-Rollout-Druck. Dieser Ansatz eignet sich besonders für Unternehmen vom Typ 1, die bereit sind, aus dem reinen Abwarten herauszukommen, aber noch nicht für einen breiten Pilot gerüstet sind.

    Die ehrliche Empfehlung: Starten Sie jetzt mit einem strukturierten Piloten — nicht weil KI alles löst, sondern weil der Aufbau von Kompetenz, Governance und Prozessen Zeit braucht, die man nicht auf Knopfdruck kaufen kann. Ein schlechter Pilot mit guter Dokumentation ist wertvoller als kein Pilot mit perfekter Planung.

     

    ℹ️ TECHNISCHER HINTERGRUND — Copilot-Adoptionsrate 3%: Was die Zahl bedeutet

    Die 3%-Zahl stammt aus Microsoft-Quartalszahlen und unabhängigen Marktanalysen (u.a. Gartner, IDC). Sie bezieht sich auf aktive Nutzer von M365 Copilot im Enterprise-Segment, nicht auf lizenzierte Nutzer.

     

    Was die Zahl einschließt:

  • Nutzer, die mindestens wöchentlich aktiv mit Copilot arbeiten.
  • Gemessen an der Gesamtzahl der M365-Enterprise-Nutzer, nicht nur der lizenzierten Copilot-Nutzer.

    •  

    Was die Zahl nicht einschließt:

  • GitHub Copilot-Nutzer (deutlich höhere Adoptionsrate in Entwicklungsabteilungen).
  • Copilot-Funktionen in Word/Excel/PowerPoint ohne separate Lizenz (Preview-Features).
  • Shadow AI — inoffizielle KI-Nutzung, die in keiner Metrik erscheint.

    •  

    Warum die Zahl trügerisch ist: Sie zeigt den Durchschnitt über alle Unternehmen — auch jene, die noch gar keine Lizenzen haben. Bei Unternehmen, die aktiv pilotieren und Change Management betreiben, liegen die Adoptionsraten signifikant höher: 20–45% der lizenzierten Nutzer werden zu regelmäßigen Nutzern.

     

    Marktdaten zur Copilot-Adoption: Was die Zahlen konkret bedeuten

    Microsoft meldet weltweit mehr als 300 Millionen aktive M365-Nutzer. Die Zahl der bezahlten Copilot-Lizenzen lag Anfang 2026 bei rund 15 Millionen — das entspricht einer Durchdringung von etwa 5 Prozent. Gartner schätzt die tatsächliche aktive Nutzung enger und kommt auf 3 bis 5 Prozent der M365-Nutzer weltweit, die Copilot regelmäßig für produktive Aufgaben einsetzen. Der Rest hat eine Lizenz — oder wartet noch.

    Regional zeigt sich ein deutliches Gefälle: UK und USA liegen bei der Adoption vorne. Der DACH-Markt folgt mit Verzögerung, liegt aber vor Südeuropa. Gründe für den DACH-Rückstand sind nicht technischer Natur — es sind die bekannten Themen: Betriebsräte, Datenschutzbehörden mit eigenem Interpretationsspielraum und eine Unternehmenskultur, die Enterprise-Software erst einführt, wenn der erste Nachbar damit gescheitert ist. Das ist manchmal klug. Manchmal ist es zu spät.

    Was bedeutet eine Durchdringung von 3 Prozent konkret für Ihren Betrieb? Von 100 Mitarbeitern nutzen 3 Copilot täglich. In den meisten Unternehmen ist das kein Strategieprogramm — das ist ein Einzellizenz-Experiment, das in der IT-Abteilung oder bei zwei Abteilungsleitern klebt, die den Piloten noch nicht offiziell abgeschlossen haben. Das ist nicht ungewöhnlich. Es ist aber auch kein Erfolg.

    Vergleichszahlen helfen zur Einordnung: Teams lag im März 2020 — also unmittelbar vor der Pandemie — ebenfalls bei unter 5 Prozent aktiver Nutzung. Achtzehn Monate später hatte Teams eine Durchdringung von über 60 Prozent in Enterprise-Umgebungen. Der Auslöser war kein besseres Produkt, sondern ein externer Zwang. Für Copilot wird es keinen Lockdown geben — aber der Druck kommt aus anderer Richtung: Wettbewerber, Kostenerwartungen, regulatorische Anforderungen an KI-gestützte Prozesse.

    Das Henne-Ei-Problem: Warum Adoption und Vorbereitung sich blockieren

    In vielen Unternehmen beobachten Berater dieselbe Blockade: Die Copilot-Adoption stagniert, weil die Berechtigungsstruktur im Tenant nicht bereinigt ist. Und die Berechtigungen werden nicht bereinigt, weil kein Budget für ein Tool freigegeben wird, das kaum jemand nutzt. Das ist kein Managementversagen — das ist ein klassisches Henne-Ei-Problem, das ohne bewusste Entscheidung nicht aufgelöst wird.

    Die Entscheidung, die hier gebraucht wird, ist unangenehm: Entweder investieren Sie in Vorbereitung, bevor der Nutzen messbar ist — oder Sie warten, bis der Nutzen messbar ist, und stellen fest, dass die Vorbereitung noch fehlt. Es gibt keinen Weg, der beides vermeidet. Wer den günstigeren sucht, findet meistens den längeren.

    Der Validierungskreis auf der anderen Seite funktioniert ebenso konsequent: Unternehmen, die früh investiert haben, bereinigen Berechtigungen, führen Piloten durch, messen Ergebnisse — und investieren weiter, weil die Ergebnisse die Investition rechtfertigen. Der Vorsprung wächst nicht linear. Er wächst exponentiell, weil Kompetenz und Governance nicht übertragbar sind. Sie müssen selbst aufgebaut werden.

    Was das für Ihre Entscheidung bedeutet: Der Markt hat noch kein abschließendes Urteil über Copilot gefällt. Das ist eine Chance — Sie können von den Pionierfehlern anderer lernen, ohne selbst Lehrgeld zu zahlen. Es ist gleichzeitig ein Risiko: Jede Woche ohne eigene Erfahrung ist eine Woche, in der andere Erfahrungen sammeln, die Sie später einholen müssen. Und Erfahrung ist das einzige Gut im KI-Kontext, das man nicht kaufen kann.

    Drei Adoptions-Typen in der Praxis: Schnell, Gründlich, Hängengeblieben

    Beobachtungen aus Enterprise-Einführungen zeigen drei wiederkehrende Muster, die sich in ihrer Kombination aus Tempo, Governance-Qualität und langfristigem Ergebnis klar unterscheiden. Keines dieser Muster ist per se falsch — aber jedes hat einen typischen blinden Fleck, der sich früher oder später bemerkbar macht.

    Typ A — die Schnellen: Technisch stark, Governance schwach. Der Rollout wird in vier Wochen durchgezogen, nach drei Monaten liegt die aktive Nutzung bei 80 Prozent der lizenzierten Nutzer — beeindruckende Zahlen, die intern gerne präsentiert werden. Dann kommen die Fragen: Was weiß Copilot über wen? Wer hat auf was zugegriffen? Gibt es einen Verarbeitungsvertrag? Kann der Betriebsrat das so akzeptieren? DSGVO und Betriebsrat werden nachgeholt — oft schmerzlich, manchmal mit Rollback-Szenario.

    Typ B — die Gründlichen: 18 Monate Vorbereitung, Governance-Framework steht, Betriebsvereinbarung ist unterzeichnet, Berechtigungskonzept ist bereinigt, Schulungen sind abgeschlossen. Dann der Start — stabil, strukturiert, mit 60 Prozent aktiver Nutzung nach sechs Monaten. Das Problem: In den 18 Monaten Vorbereitung hat die Belegschaft das Interesse verloren. Das Change-Momentum, das beim Kick-off noch da war, ist weg. Der Start wirkt nicht wie ein Launch — er wirkt wie ein Verwaltungsakt. Und Verwaltungsakte motivieren niemanden.

    Typ C — die Hängengebliebenen: Lizenz gekauft, Pilot gestartet, Pilot nie beendet. Die Lizenzen laufen, die Nutzung stirbt. Nach sechs Monaten fragt die Geschäftsleitung, warum das Tool nicht genutzt wird. Nach zwölf Monaten fragt die IT-Abteilung, ob man die Lizenzen kündigen soll. Niemand weiß, ob der Pilot erfolgreich war — weil niemand Erfolgskriterien definiert hat. Das ist der teuerste der drei Wege: Man zahlt die Lizenzkosten ohne den Lerneffekt.

    Typ

    Merkmale

    Typischer Fehler

    Typ A — Die Schnellen

    Technisch stark, Governance schwach, Rollout priorisiert. 80 % Nutzung nach 3 Monaten, Fragen zu Datenschutz und Betriebsrat kommen danach.

    DSGVO und Betriebsrat werden nachgeholt — oft schmerzlich, manchmal mit erzwungenem Rollback.

    Typ B — Die Gründlichen

    Alle Voraussetzungen erfüllt, Governance steht, Betriebsvereinbarung ist unterzeichnet. Start stabil, 60 % aktive Nutzung nach 6 Monaten.

    Zu lange Vorbereitung — Momentum verloren, Belegschaft ungeduldig. Der Start wirkt wie ein Verwaltungsakt, nicht wie ein Launch.

    Typ C — Die Stuck

    Pilot ohne Ziel, kein Erfolgskriterium definiert. Lizenzen laufen, Nutzung stirbt. Nach 12 Monaten weiß niemand, ob der Pilot erfolgreich war.

    Niemand weiß ob der Pilot erfolgreich war oder nicht — weil niemand vorher definiert hat, was Erfolg bedeutet.

    Tab. 2.7 — Adoptions-Typen: Merkmale, Ergebnisse und typische Fehler — welcher Typ bringt den größten Schaden, überraschenderweise Typ C, weil er das meiste Geld ohne jeden Lerneffekt verbrennt.

     

    Für welchen Typ entscheiden Sie sich? Das ist keine Fangfrage — es ist eine echte Planungsaufgabe. Typ A funktioniert, wenn Sie bereit sind, DSGVO und Betriebsrat parallel zum Rollout zu bearbeiten und wenn Ihr DSB das mitträgt. Typ B funktioniert, wenn Sie Change-Momentum aktiv halten und die Vorbereitungsphase klar befristen. Typ C funktioniert gar nicht — er ist kein Typ, er ist ein Zustand.

    Die Konsequenz für Ihre Planung: Definieren Sie vor dem Piloten drei Dinge schriftlich. Erstens: Was ist das Ziel des Piloten — nicht "KI ausprobieren", sondern eine konkrete Frage wie "Reduziert Copilot die Zeit für Besprechungsprotokolle um mindestens 30 Prozent?". Zweitens: Wer entscheidet am Ende des Piloten, ob weitergeführt wird — und nach welchen Kriterien. Drittens: Was passiert, wenn der Pilot das Ziel nicht erreicht. Ein Pilot ohne definierten Ausgang ist kein Pilot. Es ist ein Experiment mit offenem Ende und geschlossenem Budget.

     

    ➡️ WAS JETZT ZU TUN IST — Ihre nächsten Schritte aus Kapitel 2

    In den nächsten 2 Wochen:

  • Selbstcheck: Nutzen Sie den 20-Punkte-Check aus Abschnitt 2.3 im Team — mit IT-Leitung, DSB und einer Fachabteilung.
  • Shadow AI inventarisieren: Fragen Sie in einem kurzen anonymen Survey, welche KI-Tools Ihre Mitarbeiter bereits nutzen. Das Ergebnis wird überraschend sein.
  • Typ-Einordnung: Entscheiden Sie, welcher der drei Unternehmenstypen Sie sind — und was das konkret für Ihr Vorgehen bedeutet.

    •  

    In den nächsten 4 Wochen:

  • Vollständige Kostenplanung: Erstellen Sie eine ehrliche Gesamtkostenrechnung — nicht nur die Lizenzkosten. Die Tabelle aus Abschnitt 2.4 ist ein guter Ausgangspunkt.
  • Pilotgruppe identifizieren: Wenn Sie noch keinen Piloten haben — definieren Sie eine repräsentative Gruppe von 15 bis 25 Nutzern aus verschiedenen Abteilungen. Nicht nur Enthusiasten.
  • Stakeholder abholen: Informieren Sie DSB und Betriebsrat formal — nicht mit einer E-Mail, sondern mit einem kurzen Gespräch und einem Fahrplan.

    •  

    In den nächsten 8 Wochen:

  • Governance-Entwurf: Mindestens eine Seite KI-Nutzungsrichtlinie — was ist erlaubt, was nicht, wer ist verantwortlich, wo melde ich Probleme.
  • Tenant-Readiness prüfen: Security Baseline, Sensitivity Labels, EU Data Boundary — wissen Sie, wo Sie stehen?
  • Piloten starten oder strukturieren: Mit klaren Lernzielen, Erfolgskriterien und Dokumentationsformat.

    •  

    Faustregel: Jede Woche ohne Maßnahme ist eine Woche, in der Ihre Mitarbeiter inoffizielle KI-Tools nutzen. Der beste Zeitpunkt war vor einem Jahr. Der zweitbeste ist diese Woche.

     

     

    KAPITEL 3