Schatten-KI in der Lebensmittelproduktion: 5 Compliance-Risiken (Teil 3/3)

Veröffentlicht am 3. Juli 2026 um 20:26

*Hinweis: Die folgende Geschichte ist ein fiktives Fallbeispiel. Ähnlichkeiten mit realen Unternehmen oder Personen sind nicht beabsichtigt. Das beschriebene Muster ist jedoch real – und nimmt in mittelständischen Lebensmittelunternehmen aktuell zu.*

*In Teil 1 und 2 dieser Serie hat Produktionsplaner Markus Berger bei der Muster Feinkost GmbH unbemerkt ein KI-gestütztes Planungssystem aufgebaut – mit echten Unternehmensdaten, ohne Wissen der Geschäftsführung. QM-Leiterin Sabine Wolf hat fünf handfeste Compliance-Risiken identifiziert: DSGVO-Drittlandtransfer, Geschäftsgeheimnisschutz, EU AI Act, Lebensmittelrecht und Mitbestimmung. Geschäftsführer Alois Huber Junior steht vor der Frage, wie er reagiert.*

Das Urteil – und die Wende

Das Gespräch, das anders verläuft als erwartet.

Huber bittet Markus am nächsten Morgen zu einem Gespräch. Im Konferenzraum erwartet Markus eine Abmahnung. Was er bekommt, ist eine Frage:

"Zeig mir, was das Ding kann."

Markus zeigt es. Die Planungsqualität, die Zeitersparnis, die gesunkenen Reklamationsquoten – alles real, alles nachvollziehbar. Huber sieht den Nutzen. Er sieht aber auch die Liste von Sabine Wolf, die immer noch vor ihm liegt.

Rechtlich hätte Huber gute Argumente, Markus für sein Handeln – das, wie in Teil 2 dargestellt, durchaus als grob fahrlässig zu werten ist – stärker zur Verantwortung zu ziehen, bis zu einem möglichen Regressanspruch im Innenverhältnis.

Er entscheidet sich bewusst dagegen. Eine Sanktionierung hätte das Symptom bestraft, nicht die Ursache behoben – und jeden zukünftigen »Markus« im Unternehmen dazu ermutigt, sein nächstes Projekt erst recht im Verborgenen zu betreiben.

Schatten KI in KMU Lebensmittelindustrie vermeiden |Pilotprojekt FoodtechFuture

Am Ende des Gesprächs steht eine Entscheidung, die für ein Unternehmen wie die Muster Feinkost GmbH typisch ist: Das System wird nicht abgeschaltet – aber es kann selbstverständlich auch nicht so weiterlaufen wie bisher. Markus wird nicht zum Sündenbock, sondern zum internen Treiber eines Themas, das er als Erster ernst genommen hat. Nur eben jetzt mit Mandat, mit Regeln und mit Rückendeckung.


Was eine kluge Governance von Anfang an verhindert hätte.

Das eigentliche Problem war nie die Technologie – und es war auch nicht Markus. Das Risiko entstand, weil das Unternehmen das Thema KI so lange ignoriert hat, bis es jemand anderes gelöst hat: ohne Mandat, ohne Wissen, ohne Regeln. Vier strukturelle Maßnahmen hätten gereicht, um aus genau demselben Ergebnis – einem funktionierenden, datengestützten Planungssystem – eine rechtssichere, Audit-fähige Lösung zu machen.

1. Eine KI-Nutzungsrichtlinie


Schon eine knappe, zwei Seiten umfassende Richtlinie hätte Markus Orientierung gegeben: Welche Tools dürfen genutzt werden? Welche Daten dürfen unter keinen Umständen in externe Systeme eingegeben werden? Wer ist Ansprechpartner, wenn ein Mitarbeiter eine Idee hat? Eine solche Richtlinie ist kein Bürokratieprojekt – sie ist die Antwort auf eine Frage, die sich Mitarbeiter wie Markus ohnehin stellen, nur eben mangels Antwort selbst beantworten.

2. Eine KI-Zonenkarte


Eine einfache Klassifikation von Datenarten schafft Klarheit ohne Aufwand.

 **Grün** – unkritisch, für KI-Tools grundsätzlich freigegeben (z. B. allgemeine Markttexte, interne Vorlagen ohne Personenbezug)
 **Gelb** – nur in anonymisierter oder aggregierter Form nutzbar (z. B. Kennzahlen ohne Kundenbezug)
 **Rot** – KI-freie Zone (z. B. Rezepturen, HACCP-Dokumentation, personenbezogene Kundendaten)
-**Blau** – nur in freigegebenen, vertraglich abgesicherten Systemen (z. B. unternehmenseigene KI-Instanzen mit EU-Hosting und Datenschutzvereinbarung)

Mit einer solchen Karte hätte Markus auf den ersten Blick erkannt, dass Rezepturen und Allergen-Matrizen in die rote Zone gehören – und wäre mit seiner Idee zur IT oder Geschäftsführung gegangen, statt sie allein umzusetzen.

3. Ein KI-Pilot-Format mit Governance

Mitarbeiterideen sind ein Asset, kein Risiko – wenn es einen Weg gibt, sie strukturiert einzubringen. Ein einfaches Pilotformat (Idee einreichen → Risikoprüfung mit IT und QM → Datenklärung → Freigabe durch Geschäftsführung → kontrollierter Testbetrieb) hätte zum selben Ergebnis geführt wie Markus' Eigeninitiative – nur dieses Mal dokumentiert, geprüft und mit der Möglichkeit, frühzeitig auf rote-Zone-Daten hinzuweisen.

4. KI-Literacy für Entscheider


Alois Huber junior hätte keinen abstrakten Strategievortrag gebraucht, sondern eine fundierte, praxisnahe Einschätzung: Was bedeutet KI konkret für ein Unternehmen wie seines? Welche Chancen, welche Risiken, welche regulatorischen Pflichten gelten ab wann? Diese Art von Entscheidungsgrundlage – nicht Technikbegeisterung, sondern Orientierung – ist die Basis, auf der Geschäftsführungen heute handlungsfähig werden.


Die eigentliche Botschaft

Nicht die Technologie ist das Risiko. Nicht der einzelne Mitarbeiter ist das Problem. Das Risiko entsteht dort, wo die Unternehmensführung das Thema KI so lange vermeidet, bis es jemand anderes löst – ohne Mandat, ohne Wissen, ohne Regeln.

In einer hochregulierten Branche wie der Lebensmittelindustrie ist Unwissenheit keine Schutzbehauptung: Die DSGVO gilt unabhängig davon, ob die Geschäftsführung von der Datenverarbeitung wusste. Der EU-AI-Act adressiert das Unternehmen als Betreiber – nicht den einzelnen Mitarbeiter. Und das Lebensmittelrecht kennt logischerweise keine Ausnahme für KI-generierte Fehler.

Wer heute sagt, KI sei für sein Unternehmen noch kein Thema, irrt sich vermutlich. Die Frage ist nicht, ob KI im Unternehmen ankommt – sondern wer aktuell darüber entscheidet, wie.

Wie Du jetzt handeln kannst


Ob ein Unternehmen 50 oder 500 Mitarbeiter hat – die ersten Schritte sind überschaubar und keine Frage großer IT-Budgets:

1. Wissen, was bereits läuft. Eine einfache Bestandsaufnahme zeigt, welche KI-Tools im Unternehmen bereits genutzt werden – offiziell oder nicht.
2. Klare Nutzungsregeln definieren. Eine praxistaugliche KI-Richtlinie schafft Orientierung, ohne Juristendeutsch.
3. Sensible Daten klassifizieren. Rezepturen, HACCP-Daten und Kundenaufträge benötigen eine klare Zuordnung – grün, gelb, rot oder blau.
4. KI-Potenziale strukturiert erschließen. Mit Governance lässt sich KI sicher einsetzen – und damit echter operativer Nutzen erzielen, statt nur Risiko zu verwalten.

Fazit


Das Szenario der Muster Feinkost GmbH ist fiktiv. Das Muster dahinter ist es nicht: Motivierte Mitarbeiter, leistungsfähige KI-Tools mit niedrigster Einstiegshürde, und eine Geschäftsführung, die glaubt, das Thema sei weiterhin nicht akut. Diese Kombination existiert heute in vielen Food-KMU – mit identischem Ausgang, wenn nichts passiert.

Auf LinkedIn läuten, seit Anthropic seinen Claude Code ins Rennen geschickt hat, die Alarmsirenen laut, täglich. Claude Code senkt die Hürde für das Programmieren so weit, dass jede(r) mit technisch-logischem Verständnis und leicht nerdiger Denkweise mithilfe von Vibe-Coding eigene Software und Apps entwickeln kann. "Step by Step Claude Code" YouTube-Tutorials oder Online-Kurse auf Udemy etc.  gibt es zur Genüge!

Der Unterschied zwischen einem Compliance-Risiko und einem echten Wettbewerbsvorteil liegt selten in der Technologie. Er liegt in der Frage, ob es im Unternehmen ein Mandat, eine Richtlinie und einen Prozess gibt – bevor der nächste Markus oder Matthias anfängt.

Ich begleite Food-KMU dabei, KI nicht zu verbieten, sondern verantwortbar zu machen – mit praxisnahen KI-Checks, klaren Nutzungsregeln und einem Pilotformat, das die QM- und Auditfähigkeit stärkt statt gefährdet.

Spreche mich an – bevor der Produktionsplaner oder die QS-Mitarbeiterin schon schön schattig mit Selbsthilfe-Maßnahmen angefangen hat.

Quellen: Die rechtlichen Grundlage zu DSGVO, GeschGehG, EU AI Act, Lebensmittelinformationsverordnung und BetrVG sind in [Teil 2 dieser Serie](Blogserie_Schatten-KI_Teil2_Die-Akte-wird-dicker.md) mit Quellenangaben dokumentiert.

*Hinweis: Dieser Beitrag dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall.*

Alle Comic Grafiken in diesem und anderen Blogbeiträgen sind KI animiert, ohne Schatten!