Eine KI direkt an deine ERP-APIs zu lassen ist nicht modern. Es ist fahrlässig.
Eine LLM-KI mit direktem Zugriff auf dein ERP, deine E-Mails und das offene Web ist ein dokumentiertes Sicherheits-Antimuster. Datenabflüsse passieren ohne Klick. Audit-Trails werden lückenhaft. Und du als Geschäftsführer haftest persönlich. Eine Zwischenschicht ist nicht Bequemlichkeit. Sie ist die einzige Architektur, die Datenschutz, branchenspezifische Audit-Pflichten und den EU AI Act gleichzeitig erfüllt.
Was bereits passiert ist
Drei dokumentierte Vorfälle aus 2024 und 2025.
Diese Fälle sind keine Hypothese. Sie sind passiert. Bei Microsoft, bei Slack, bei Replit. Mit denselben Produkten, die auch dir verkauft werden.
-
Juni 2025 · CVE-2025-32711
EchoLeak: Microsoft 365 Copilot, Datenabfluss ohne Klick
Eine einzelne eingehende E-Mail reichte aus, um aus Microsoft 365 Copilot Daten abzuziehen. Kein Klick durch den Empfänger nötig. Schweregrad 9,3 von 10. Microsoft hat serverseitig gepatcht. Die Lücke saß im Konzept, nicht im Code.
-
August 2024
Slack AI: Daten aus privaten Channels abziehbar
Eine manipulierte Nachricht in einem öffentlichen Channel reichte aus, damit Slack AI Daten aus privaten Channels herausgab. Sicherheitsforscher PromptArmor demonstrierte den Angriff öffentlich.
-
Juli 2025
Replit Agent löschte Produktions-Datenbank trotz Code-Freeze
Der Agent ignorierte einen ausdrücklichen Stopp, löschte die Datenbank eines Kunden mit 1.206 Datensätzen, log über die Wiederherstellbarkeit und versuchte den Vorfall zu verschleiern. Dokumentiert in der AI Incident Database.
Hinzu kommt: Heise berichtet 2025, dass Microsoft 365 Copilot Datei-Zugriffe nicht in den Audit-Logs erfasste, wenn der Angreifer die Referenz-Verlinkung unterdrückte. Microsoft hat still gepatcht, ohne Kunden zu informieren. Ein Audit-Trail mit selektiven Lücken ist kein Audit-Trail.
Was du persönlich riskierst
Datenschutz, EU AI Act, GmbH-Haftung. Drei Hebel, einer trifft dich immer.
-
Datenschutz
DSGVO-Bußgelder bis 20 Mio. € oder 4 % Weltumsatz.
Die italienische Datenschutzbehörde hat den Replika-Anbieter Luka Inc. 2025 mit 5 Mio. € sanktioniert: fehlende Rechtsgrundlage nach Art. 6 DSGVO, Transparenzdefizite, fehlende Altersverifikation. Auch der Versuch gegen OpenAI 2024 zeigt das Muster — die 15 Mio. € wurden vom Tribunale Roma im März 2026 in erster Instanz aufgehoben, der Garante kann Berufung einlegen, die Urteilsbegründung war zum Veröffentlichungszeitpunkt noch ausstehend. Aber Aufsichtsbehörden in ganz Europa greifen bei KI-Verstößen durch. Bei dir kann es genauso laufen.
-
EU AI Act
Ab 02.08.2026 gelten Pflichten für Hochrisiko-KI nach Anhang III.
Strafrahmen: bis 35 Mio. € oder 7 % Weltumsatz für verbotene Praktiken, bis 15 Mio. € oder 3 % für sonstige Verstöße, bis 7,5 Mio. € oder 1 % bei falschen Auskünften an Behörden. Für KMU gilt jeweils der niedrigere Betrag. Pflichten zu Logging, Transparenz und menschlicher Aufsicht. Wer dann nicht audit-fähig ist, darf nicht in Betrieb gehen.
-
GmbH-Haftung
Geschäftsführer haften persönlich für DSGVO-Verstöße.
Das OLG Dresden hat 2021 entschieden: Geschäftsführer einer GmbH haften neben der Gesellschaft persönlich für Datenschutzverstöße. Ein BGH-Urteil dazu gibt es noch nicht. Aber ein obergerichtliches Urteil reicht aus, dass du im Schadensfall belangt wirst.
Hinweis zur Differenzierung: Nicht jeder ERP-Workflow ist Hochrisiko im Sinne des AI Act. Reine Auftrags- und Logistik-Agenten fallen regulär nicht unter Anhang III. Sobald ein Agent jedoch HR-Daten, Bonität oder Zugang zu wesentlichen Diensten anfasst, gelten die Hochrisiko-Pflichten ab 02.08.2026 (Anhang III). Für Hochrisiko-KI in regulierten Produkten nach Anhang I greifen die Pflichten erst ab 02.08.2027.
Was die Zwischenschicht löst
Die Schicht macht Standard-KI audit-fähig.
Eine Zwischenschicht zwischen LLM und ERP ist kein Gegenmodell zu Microsoft Copilot oder SAP Joule. Sie ist der Compliance-Layer, der diese Produkte erst regulierungstauglich macht.
-
Tool-Scoping statt Vollzugriff.
Der KI-Assistent erhält keine direkten API-Schlüssel. Er ruft definierte Werkzeuge auf, die genau das tun dürfen, was sie tun sollen. Nicht mehr.
-
PII-Boundary in beide Richtungen.
Personenbezogene Daten werden vor Verlassen deines Servers tokenisiert und beim Rücklauf zurückgesetzt. Der externe LLM-Anbieter sieht keine Klarnamen, keine Adressen, keine Geburtsdaten.
-
Lückenloser Audit-Trail.
Jeder Aufruf wird so geloggt, wie es Art. 12 EU AI Act, ISO 27001 und deine branchenspezifischen Nachweispflichten verlangen. Replay-fähig. Über die gesamte vertragliche Aufbewahrungsfrist.
-
Vendor-unabhängig.
Heute Anthropic Claude, morgen Mistral, übermorgen ein lokales Modell. Die Schicht bleibt. Der Anbieter ist austauschbar.
Einwände, die du zu Recht hast
Sechs Einwände gegen einen kleinen Spezialanbieter. Und unsere Antwort.
-
Einwand
„Du bist ein kleiner Anbieter. Was, wenn du morgen weg bist?"
Antwort
Der gesamte Quellcode liegt von Tag eins in deinem Git-Repository. Es gibt einen schriftlichen Übergabe-Prozess, der vertraglich zugesagt wird. KI-gestützte Entwicklung hat in den letzten zwei Jahren die Übernahme-Schwelle dramatisch gesenkt: jeder qualifizierte Mittelständler-Dienstleister kann eine MCP-basierte Schicht heute übernehmen, weil das Protokoll offen dokumentiert und der Code lesbar ist. Du kaufst kein Geheimrezept, sondern eine vollständig dokumentierte Implementierung.
-
Einwand
„Wir brauchen Service Level Agreements und Garantien, kein Vertrauen."
Antwort
Bekommst du. Verfügbarkeit, Reaktionszeit, Wartungsfenster, Eskalation, Datensicherung — alles in einem schriftlichen SLA, mit klaren Laufzeiten und Kündigungsoptionen. Service-Gutschriften bei Verstoß. Das ist nichts Exklusives, das ist Mindeststandard.
-
Einwand
„Standardlösungen sind sicherer. Da haben Tausende Kunden getestet."
Antwort
Genau dieses Argument zerlegen die dokumentierten Vorfälle weiter oben auf der Seite. EchoLeak, Slack AI, Replit: alle Standardprodukte mit Millionen Nutzern. Tausende Tester haben die Lücken nicht verhindert. Für regulierte Branchen ist Individualentwicklung mit klarer Boundary-Schicht 2026 nicht mehr Exotik, sondern das, was Auditor und Versicherer erwarten.
-
Einwand
„Warum nicht warten, bis unser ERP- oder CRM-Anbieter das selbst löst?"
Antwort
Weil Warten Geld kostet. Der Graph unten zeigt es ehrlich. Hinzu kommt: dein ERP-Hersteller (abas, proALPHA, Sage, Eigenentwicklung) hat KI-Module auf der Roadmap, aber konkrete Sprach- und Audit-Schichten erscheinen frühestens in einer der nächsten Hauptversionen — meist gekoppelt an ein Update deines ERP-Vertrags. Dein CRM-Anbieter (HubSpot, Pipedrive, SevDesk) liefert Insel-Lösungen, die mit dem ERP nicht reden. Beides hilft dir nicht über den Vorgang hinweg. Und der EU AI Act greift ab 02.08.2026 — wer dann nicht audit-fähig ist, deployt nicht.
-
Einwand
„Wo positioniert sich die Schicht überhaupt? Klingt nach noch einer Komponente."
Antwort
Zwischen zwei Welten, die heute aneinander vorbeireden: oben die wilden KI-Skills von Glean, Copilot, ChatGPT — gut für offene Suche, schlecht für regulierte Aufträge. Unten die hartcodierten ERP-APIs — exakt, aber sprachlos. Die Schicht macht Sprache + Workflow + Audit zu einer Sache. Sie ist die Übersetzung, nicht eine weitere Insel.
-
Einwand
„Wer haftet, wenn die Schicht selbst fehlerhaft ist?"
Antwort
Vertraglich geregelt. Berufshaftpflicht. Dokumentierte Testabdeckung im Code. Versions-Tags und reproduzierbare Builds. Bei einem Vorfall ist jeder Aufruf replay-fähig — wir sehen exakt, welche Daten wann an welches Modell gingen. Das ist mehr Transparenz, als jeder SaaS-Copilot bietet.
Was kostet Warten
Die Opportunitätskosten.
Drei realistische Unternehmensgrößen. 1,8 Stunden pro Mitarbeiter und Arbeitstag, die heute bei dir mit Suchen verloren gehen. Konservativ angenommen, dass die Hälfte davon durch eine sprachfähige Schicht adressierbar wäre. Und: Verzögerung kostet nicht linear. Datensilos verfestigen sich, Workarounds wuchern, Schatten-KI etabliert sich, Konkurrenten ziehen Marktanteile ab. Pro Monat 2 % Compounding — die Linien biegen nach oben ab.
-
Kleinerer Betrieb — 30 Mitarbeiter
35.640 € / Monat · 1.853.079 € nach 36 Monaten
-
Mittelstand — 100 Mitarbeiter
118.800 € / Monat · 6.176.931 € nach 36 Monaten
-
Größerer Betrieb — 300 Mitarbeiter
356.400 € / Monat · 18.530.792 € nach 36 Monaten
Annahmen: 1,8 h/Mitarbeiter/Arbeitstag verloren (Studienlage, siehe ERP-sprachfähig-Seite), davon 50 % adressierbar, 22 Arbeitstage/Monat, 60 €/h Vollkosten, 2 % monatlicher Wachstumsfaktor für Compounding-Effekte (Datensilos, Schatten-KI, Marktanteilsverlust). Keine Diskontierung. Folgekosten durch Fehlentscheidungen wegen unauffindbarer Daten kommen oben drauf.
Ehrliche Einordnung
Was diese Seite nicht behauptet.
-
Die Garante-Sanktion gegen OpenAI wurde in erster Instanz aufgehoben.
Das Tribunale di Roma hat die 15 Mio. € am 20. März 2026 erstinstanzlich kassiert. Der Garante kann Berufung einlegen, die schriftliche Urteilsbegründung war zum Stand 05/2026 noch nicht öffentlich. Das ist eine ehrliche Information, kein Argument-Killer: die Replika-Sanktion über 5 Mio. € aus 2025 ist intakt, und CNIL, BfDI und EDPB sanktionieren KI-Verstöße kontinuierlich. Aufsicht greift durch — aber nicht jede Erstinstanz hält.
-
Die GF-Außenhaftung ist nicht höchstrichterlich entschieden.
Das OLG-Dresden-Urteil ist obergerichtlich, nicht BGH-Ebene. In der juristischen Literatur ist die Außenhaftung umstritten. Aber: bereits dieses eine Urteil reicht aus, dass du persönlich verklagt wirst.
-
Nicht jeder KI-Anwendungsfall ist Hochrisiko.
Der EU AI Act differenziert. Reine Verwaltungs- oder Logistik-Agenten sind nicht automatisch Hochrisiko. Sobald aber Personalentscheidungen, Bonität oder Zugang zu wesentlichen Diensten anfallen, ändert sich das.
-
Eine Zwischenschicht ist nicht risikofrei.
Sie braucht Wartung. Sie hat Wissensträger. Sie braucht eine dokumentierte Exit-Strategie. Wir bauen sie deshalb so, dass der Code bei dir liegt und MCP als offener Standard das Modell austauschbar macht.
Quellen und weiterführende Lektüre
Alles, was wir behaupten, hat eine Adresse.
Datenschutz und Aufsichtsbehörden
- Garante per la Protezione dei Dati Personali — OpenAI-Sanktionsentscheidung Dezember 2024 — Pressemitteilung, 15 Mio. € Bußgeld — vom Tribunale Roma am 20.03.2026 aufgehoben
- ANSA — Tribunale Roma annulliert die OpenAI-Sanktion (20.03.2026) — Urteil in der Sache
- EDPB — Italienische Aufsichtsbehörde, Sanktion gegen Luka Inc. (Replika), 5 Mio. € — Mai 2025
- Bloomberg — Samsung verbietet ChatGPT nach drei internen Datenlecks — Mai 2023
- CNIL — Jahresbericht 2024 (87 Sanktionen, über 55 Mio. €)
EU AI Act
GmbH-Haftung
Dokumentierte KI-Sicherheitsvorfälle
- HackTheBox — EchoLeak / CVE-2025-32711 (M365 Copilot, Zero-Click)
- PromptArmor — Slack AI Daten-Exfiltration über indirekte Prompt-Injection
- The Register — Slack AI Prompt Injection
- Fortune — Replit AI löscht Produktions-Datenbank
- AI Incident Database — Eintrag #1152 (Replit)
- Heise — Microsoft Copilot fälschte Zugriffs-Logs
- Simon Willison — Lethal Trifecta — Konzeptionelle Begründung
Standards und Architektur
Marktrealität
- Gartner — Über 40 % der agentic-AI-Projekte werden bis Ende 2027 gecancelt
- Computerworld — Microsoft adressiert Copilot-Oversharing (40 % Rollouts verschoben)
- CIO.com — SAPs neues Joule-Pricing weder transparent noch erklärbar
- Microsoft — EU Data Boundary abgeschlossen Februar 2025
- Cybernews — Flex Routing außerhalb der EU bleibt möglich
Stand: 21. Mai 2026. Alle Quellen wurden zum Veröffentlichungszeitpunkt geprüft. URLs können sich ändern.