Die Geschäftsführung will KI. Der Head of IT hat einen Vorschlag. Und Sie als CFO sollen ein Budget freigeben, das irgendwo zwischen „fangen wir klein an" und „das verändert alles" liegt. Das Muster kennen Sie — aus ERP-Migrationen, Cloud-Transformationen, Digitalisierungsprogrammen: ambitionierter Scope, unklarer ROI, Kostenüberschreitungen ab Monat sechs. KI muss diesem Muster nicht folgen. Aber sie folgt ihm, wenn niemand im Raum die richtigen finanziellen Fragen stellt, bevor der erste Euro fließt.
Diese Checkliste liefert genau diese Fragen — und das, was die meisten CTO-zentrierten Frameworks auslassen: die Compliance-Kostenseite, die sich seit 2025 messbar verändert hat.
Warum die CFO-Perspektive über Erfolg und Stillstand entscheidet
Die gängigen KI-Readiness-Frameworks sind für die IT gebaut. Sie bewerten Infrastruktur, Datenreife und Modell-Fähigkeiten. Was sie nicht bewerten: ob die Organisation die finanziellen und operativen Kosten einer KI-Initiative tragen kann, ohne Ressourcen zu überlasten oder regulatorische Risiken auszulösen, die niemand eingepreist hat.
In unseren DACH-Projekten sehen wir ein wiederkehrendes Bild: Die Initiativen, die steckenbleiben, scheitern selten an der Technologie. Sie scheitern an der Budget-Autorität. Das Vorhaben startet in der IT, wächst über die Unterschriftsbefugnis des Head of IT hinaus und wartet dann monatelang auf eine Freigabe der Geschäftsführung, während das Momentum stirbt. Der CFO, der sich früh einbringt — nicht als Gatekeeper, sondern als finanzieller Architekt — ist der stärkste einzelne Prädiktor dafür, ob eine Initiative pünktlich in Produktion geht.
Der realistische Budgetrahmen für eine erste KI-Initiative
Werden wir konkret. Für ein Mittelstandsunternehmen, das seinen ersten produktiven KI-Workflow einführt — keinen Proof of Concept, keine Demo, sondern einen Workflow, der täglich läuft und messbaren Nutzen erzeugt — liegt der realistische Budgetrahmen erfahrungsgemäß bei 30.000 € bis 150.000 €. Das ist kein Marktbenchmark, sondern eine Faustregel aus der Praxis; Ihr Fall kann darüber oder darunter liegen. Drei Variablen treiben die Spanne.
Die Workflow-Komplexität ist die erste. Ein Klassifikationsmodell auf strukturierten Daten — Schadensortierung, Lead-Scoring, Rechnungsprüfung — liegt am unteren Ende. Ein mehrstufiger Workflow mit unstrukturierten Daten, Human-in-the-Loop-Review und Anbindung an Legacy-Systeme liegt am oberen. Die zweite ist die Integrationstiefe: Ein Stand-alone-Tool kostet einen Bruchteil dessen, was eine Lösung kostet, die in Ihr ERP, CRM oder Kernsystem zurückschreibt. Die dritte ist der Compliance-Aufwand, und genau dieser Posten hat sich seit 2025 verschoben — dazu gleich mehr. Regulierte Branchen und Workflows mit personenbezogenen Daten addieren spürbar, häufig im zweistelligen Prozentbereich — nicht weil die Regulierung überzogen wäre, sondern weil die meisten Unternehmen ihre Compliance-Position zu spät klären und teuer nachbessern.
Nennt Ihnen jemand deutlich unter 30.000 € für ein Produktiv-Deployment, werden entweder Abstriche bei der Integration gemacht, oder Sie kaufen einen Piloten, der nie in Produktion geht. Ruft jemand für eine erste Initiative mehr als 150.000 € auf, wird Infrastruktur gebaut, die Sie zu diesem Zeitpunkt noch nicht brauchen.
Der ROI-Zeitrahmen: Was Sie erwarten dürfen und was Sie einfordern sollten
Der ehrliche Zeitrahmen für eine sauber geschnittene erste KI-Initiative liegt bei drei bis sechs Monaten bis zum messbaren Ergebnis. Nicht „wir prognostizieren Einsparungen von X über drei Jahre", sondern „dieser Workflow läuft jetzt nachweislich schneller, und wir können es belegen". Drei Monate sind erreichbar, wenn der Workflow klar definiert ist, die Daten zugänglich sind und das Team Kapazität hat. Sechs Monate sind realistisch, wenn Integrationskomplexität oder Compliance-Anforderungen zusätzliche Zyklen erfordern.
Was Sie nicht akzeptieren sollten, ist ein 12-Monats-Horizont bis zum ersten messbaren Ergebnis. Wenn das Team nicht formulieren kann, wo innerhalb von zwei Quartalen Wertschöpfung entsteht, stimmt der Scope nicht. Messbares Ergebnis heißt dabei nicht „verbesserte Effizienz", sondern eine benannte Zahl an eingesparten Stunden pro Woche in einem benannten Team, eine Reduktion der Fehlerquote in einem konkreten Prozess, eine Durchsatzsteigerung für einen definierten Workflow oder eine Kostenvermeidung in einer quantifizierbaren Kategorie wie externen Prüfstunden. Kann ein Antrag weder Metrik noch Workflow noch Team benennen, ist er nicht reif für die Freigabe — er ist reif für Discovery.
Die versteckten Kosten, die in keinem ersten Antrag stehen
Jede KI-Initiative trägt Kosten, die im initialen Budgetantrag nicht auftauchen. Als CFO sollten Sie explizit nach vier Posten fragen.
Der erste ist Compliance und juristische Prüfung — und hier hat sich der Boden unter dem Mittelstand seit 2025 verschoben. Der EU AI Act ist seit dem 1. August 2024 in Kraft und tritt gestaffelt in Anwendung: Verbotene Praktiken und KI-Kompetenzpflichten gelten seit dem 2. Februar 2025, die Pflichten für General-Purpose-AI-Modelle samt Sanktionsregime seit dem 2. August 2025. Für die meisten Mittelständler ist die relevante Rolle nicht die des Anbieters, sondern die des Betreibers eines KI-Systems — und ob Ihr konkreter Use Case als Hochrisiko nach Anhang III gilt, entscheidet über den Prüf- und Dokumentationsaufwand. Wichtig für Ihre Planung: Mit dem im November 2025 vorgelegten Digital Omnibus hat die EU die Hochrisiko-Pflichten nach Anhang III von August 2026 auf den 2. Dezember 2027 verschoben (politische Einigung im Mai 2026, formale Verabschiedung erwartet). Das verschafft Luft — es nimmt die Pflicht nicht weg. Hinzu kommt eine Datenschutz-Folgenabschätzung nach DSGVO für jeden Workflow, der personenbezogene Daten berührt. Kalkulieren Sie für diese Klärung einen realen Posten ein, je nach Komplexität und externem Beratungsbedarf — und behandeln Sie ihn als Investition, nicht als Reibung.
Der zweite ist Integration und Data Engineering. Das Modell ist der kleinere Teil der Rechnung; Daten aus bestehenden Systemen herauszuholen, aufzubereiten und Ergebnisse zurückzuführen, ist der größere. Die meisten Erstanträge unterschätzen diesen Posten grob, häufig um die Hälfte. Der dritte ist der laufende Betrieb: Modelle brauchen Monitoring, gelegentliches Retraining und Wartung. Ein produktiver KI-Workflow ist kein einmaliges Bauprojekt, sondern ein dauerhafter Betriebskostenfaktor — kalkulieren Sie grob 15–25 % der initialen Baukosten pro Jahr. Der vierte ist Change Management: Das Team, das heute die manuelle Version dieses Workflows betreibt, braucht Schulung, Kommunikation und Übergangszeit. Ignorieren Sie das, ernten Sie passiven Widerstand, der die Adoption leise erstickt.
Der Compliance-Posten, den viele übersehen: NIS2
Während alle auf den AI Act schauen, ist für viele Mittelständler eine andere Regel bereits scharf geschaltet. Das deutsche NIS2-Umsetzungsgesetz ist am 6. Dezember 2025 in Kraft getreten — ohne Übergangsfrist. Es erfasst nach den vorliegenden Schätzungen rund 29.500 Unternehmen in 18 Sektoren, mit einem Schwellenwert von 50 Beschäftigten oder 10 Millionen Euro Jahresumsatz. Das ist genau der Mittelstand, der jetzt seine erste KI-Initiative plant.
Der finanzielle Punkt für den CFO: NIS2 verlangt Risikomanagement, Meldepflichten und — entscheidend — persönliche Verantwortung der Geschäftsleitung, abgesichert durch Bußgelder im Millionenbereich. Eine KI-Initiative, die neue Datenflüsse, externe Modell-Dienste oder zusätzliche Angriffsflächen einführt, fällt direkt in diesen Pflichtenkreis. Wer KI budgetiert, ohne die NIS2-Position des Workflows mitzudenken, plant das Risiko nicht ein, das am Ende auf dem Tisch der Geschäftsführung liegt. Klären Sie früh, ob Ihr Unternehmen überhaupt unter NIS2 fällt und ob der geplante Workflow die Risikolage verändert — diese Klärung kostet wenig und erspart teure Nacharbeit.
Die sechs Fragen, die jeder CFO stellen sollte
Bevor Sie eine KI-Initiative freigeben, gehen Sie diese sechs Fragen durch. Fallen die Antworten vage aus, ist die Initiative nicht reif für Budget, sondern für eine saubere Scoping-Phase.
Erstens: Wie heißt der Workflow? Nicht „Kundenservice", sondern „Eingangs-E-Mail-Klassifizierung und Routing für das Schadenteam". Lässt sich der Workflow nicht präzise benennen, ist er nicht geschnitten. Zweitens: Wie hoch sind die Gesamtkosten inklusive Integration, Compliance und zwölf Monaten Betrieb? Lehnen Sie jedes Budget ab, das nur den Modellbau abdeckt; fordern Sie das vollständige Bild. Drittens: Wo genau entsteht messbarer ROI, und wann? Akzeptieren Sie Monate, keine Jahre — und konkrete Metriken, keine Richtungsangaben.
Viertens: Wer ist der Sponsor mit operativer Autorität? Eine Initiative ohne benannten Sponsor, der Workflow und Team kontrolliert, ist verwaist, und verwaiste Initiativen erreichen keine Produktion. Fünftens: Wie ist die Compliance-Position dieses Workflows? Werden personenbezogene Daten verarbeitet? Agieren wir als Betreiber oder Anbieter im Sinne des AI Act, und greift eine Hochrisiko-Einstufung nach Anhang III? Fällt der Workflow unter NIS2, und ist eine DSFA gescoped? Lautet die Antwort „klären wir später", addieren Sie einen Risikoaufschlag auf Zeitplan und Budget. Sechstens: Was passiert, wenn wir nach Phase eins aufhören? Jede Initiative sollte so geschnitten sein, dass Phase eins eigenständigen Wert liefert. Trägt der Business Case erst nach drei Phasen, stimmt das Risikoprofil für eine Erstinitiative nicht.
Wie das KI-Betriebssystem die CFO-Perspektive abbildet
Im KI-Betriebssystem ist die finanzielle Dimension von Anfang an Teil des Readiness-Frameworks — weil die CFO-Freigabe der Punkt ist, an dem die meisten Mittelstands-Initiativen entweder beschleunigen oder sterben. Das Framework bewertet Budget-Autorität parallel zur technischen Readiness und schneidet jede Initiative so, dass Phase eins in die direkte Freigabeautorität von Geschäftsführung oder CFO fällt: keine Eskalation für den ersten Workflow, keine Mehrjahres-Verpflichtung vor dem ersten Ergebnis.
Das ist Absicht. Der schnellste Weg zu KI-Wertschöpfung im Mittelstand ist kein Transformationsprogramm. Es ist ein einzelner Workflow — geschnitten auf Ergebnisse innerhalb eines Quartals, budgetiert innerhalb bestehender Freigabeautorität, abgesichert gegen AI Act und NIS2, gemessen an Metriken, die der CFO ohnehin verfolgt.
Ein Erstgespräch prüft in 20 Minuten, ob Ihre erste KI-Initiative finanziell, operativ und regulatorisch sauber geschnitten ist — bevor das Budget steht und die Compliance-Frage zur teuren Nacharbeit wird.
Quellen: Europäische Kommission, „AI Act – Regulatory framework for AI" und „Timeline for the implementation of the EU AI Act", digital-strategy.ec.europa.eu; White & Case, „EU agrees Digital Omnibus deal to simplify AI rules", 2026; Bundesregierung, „Umsetzung der NIS-2-Richtlinie beschlossen" sowie Bundesgesetzblatt Teil I 2025 Nr. 301 (NIS2UmsuCG, in Kraft 6. Dezember 2025).