Warum ich einen KI-Kodex habe

Seit heute steht ein KI-Kodex auf dieser Website. Sechs Prinzipien, eine Seite, öffentlich. Dieser Text erklärt, warum — und was er für Kunden in einem Vertriebsprojekt konkret bedeutet.

Der Anlass war nicht die Verordnung

Die EU-KI-Verordnung ist ein Katalysator, nicht der Grund. Sie zwingt jeden, der KI beruflich einsetzt, ab Artikel 4 zu einer dokumentierten Kompetenzpflicht — und ab dem 2. August 2026 zur vollen Durchsetzung der Hochrisiko-Regeln. Das ist ein guter Anlass, einmal hinzuschreiben, was man tatsächlich tut. Aber der eigentliche Auslöser lag früher.

Es war eine Häufung. In den ersten Wochen 2026 stellten in fast jedem Projektgespräch — Werkzeugbau, Maschinen- und Anlagenbau, Kunststofftechnik — Kunden dieselben drei Fragen: Was passiert mit unseren Daten, wenn Sie KI einsetzen? Wer prüft die Ergebnisse, bevor sie zu uns kommen? Wo sind die Grenzen, was machen Sie ausdrücklich nicht? Diese Fragen sind berechtigt. Sie verdienen eine schriftliche, dauerhafte Antwort — keine Stegreif-Antwort, die je nach Gesprächspartner unterschiedlich ausfallen könnte.

Ohne schriftliche Regel ist jede Antwort eine Stegreif-Antwort. Ein Kodex macht aus einem Bekenntnis eine überprüfbare Zusage. Das ist der Unterschied zwischen „Wir nutzen KI verantwortungsvoll" auf einer Verkaufsfolie und „So und nicht anders arbeite ich, und Sie können das in jedem Projekt einfordern."

Was ich nicht wollte: KI-Theater

Es gibt seit zwei Jahren genug Beratungen, die KI als Etikett führen und inhaltlich wenig dahinterstellen. Bunte Pitchdecks, Buzzword-Stapel, „KI-Strategie" als rhetorischer Aufkleber auf alten Dienstleistungen. Im fertigenden Mittelstand stößt das richtigerweise auf Skepsis. Geschäftsführer und Vertriebsleiter, die seit zwanzig Jahren Maschinen verkaufen, riechen ein leeres Versprechen, bevor es ausgesprochen ist.

Mein Gegenpol heißt: weniger versprechen, mehr zeigen. Welche Werkzeuge ich nutze. Welche ich nicht nutze. Wie ich die Ergebnisse überprüfe. Was unter welchen Bedingungen passiert. Genau deshalb ist der Kodex kurz, konkret und nennt ausdrücklich auch, was nicht gemacht wird. Wer nie sagt, was er nicht tut, der tut im Zweifel alles.

Die sechs Prinzipien — was drinsteht

/ki-kodex.html. Er ist als Selbstverpflichtung formuliert, nicht als Werbetext. Sechs Prinzipien — Transparenz, menschliche Kontrolle, Datenschutz, Verhältnismäßigkeit, Kompetenz, Grenzen — jedes davon operativ prüfbar, nicht nur als Bekenntnis hingestellt." data-en="The code sits at /ki-kodex.html. It is written as a self-commitment, not a marketing text. Six principles — transparency, human oversight, data protection, proportionality, competence, limits — each of them verifiable in operation, not merely declared.">Der Kodex steht auf /ki-kodex.html. Er ist als Selbstverpflichtung formuliert, nicht als Werbetext. Sechs Prinzipien — Transparenz, menschliche Kontrolle, Datenschutz, Verhältnismäßigkeit, Kompetenz, Grenzen — jedes davon operativ prüfbar, nicht nur als Bekenntnis hingestellt.

Transparenz heißt: Modellklassen, Anbieter und Verarbeitungswege werden zu Projektstart offengelegt und in den Projektunterlagen vermerkt. Kein „wir nutzen halt KI". Wer fragt, bekommt ein Inventar.

Menschliche Kontrolle heißt: KI macht Vorschläge, ich entscheide. Jede Analyse, jeder Entwurf, jeder Bericht durchläuft eine Abschlussdurchsicht durch einen Menschen — in der Regel mich selbst. Das folgt direkt dem Grundgedanken von Artikel 14 EU-KI-VO.

Datenschutz heißt: Kundendaten gehen nicht in das Training öffentlicher Modelle. Personenbezogene Daten werden vor dem Einsatz in KI-Systemen anonymisiert. Wo eine Auftragsverarbeitung nötig ist, liegen DSGVO-Art.-28-Verträge vor. Sensible Projekte laufen in EU-gehosteten oder lokalen Umgebungen.

Verhältnismäßigkeit heißt: Nicht jedes Vertriebsproblem ist ein KI-Problem. Für viele Aufgaben reicht ein sauberer Prozess und ein gutes CRM. KI kommt dort zum Einsatz, wo sie messbar schneller oder präziser ist als das, was Menschen mit gewöhnlichen Werkzeugen erreichen würden. Dieses Prinzip schützt Kunden vor Über-Engineering.

Kompetenz heißt: Fraunhofer-IAIS-Zertifikat („Certified Data Scientist Specialized in the EU AI Act", ISO 17024) und BAFA-Berater-Listung #227723 sind dokumentiert und werden regelmäßig erneuert. Artikel 4 EU-KI-VO ist seit Februar 2025 in Kraft; ohne Beleg ist die Pflicht nicht erfüllt.

Grenzen ist das Prinzip, das am häufigsten unterschätzt wird. Der Kodex nennt explizit, was nicht Teil dieser Praxis ist: biometrische Identifikation, Bewertung natürlicher Personen im Sinne von Social Scoring, Auswahl- oder Bewertungssysteme für Beschäftigte oder Bewerbende, Kredit- und Solvenzbewertung, Systeme mit automatischer Entscheidungswirkung gegenüber Dritten. Diese Liste ist nicht Marketing-Pose. Sie schließt ganze Beratungsgebiete für mich aus — und das ist gewollt.

Was das für Kunden konkret bedeutet

In der praktischen Zusammenarbeit ändern sich drei Dinge:

1. Transparenz-Briefing am Projektstart. In der ersten Arbeitssitzung wird offen benannt, welche Werkzeuge zum Einsatz kommen sollen, welche Datenarten verarbeitet werden und in welcher Umgebung. Das dauert keine zehn Minuten, schließt aber spätere Rückfragen weitgehend aus.
2. Anonymisierung als Default. Personenbezogene Daten — Mitarbeiternamen in CRM-Auszügen, Kundenkontakte in Lead-Listen, Inhalte aus VIKO-Transkripten — werden vor der KI-Verarbeitung anonymisiert. Wo das nicht möglich ist (zum Beispiel bei Auftragsverarbeitung mit einem Anbieter), liegen DSGVO-Art.-28-Verträge vor.
3. Menschliche Abschlussprüfung — auch bei schneller Lieferung. Wenn ein Bericht oder ein Cold-Mail-Entwurf nach drei Tagen statt nach zwei Wochen liegt, heißt das nicht, dass er ungeprüft rausgeht. Die Abschlussdurchsicht ist Teil der Leistung, nicht ein optionaler Schritt am Ende.

Das sind keine theoretischen Zusagen. In aktuellen Mandaten — anonymisiert in der weiteren Kommunikation, weil Kunden- und Projektnamen nicht in Werbetexte gehören — sind genau diese drei Schritte schon heute Praxis. Der Kodex schreibt sie nur fest.

Kompetenz ist kein Selbstlob

Artikel 4 der EU-KI-Verordnung verlangt seit Februar 2025 ausreichende KI-Kompetenz bei allen Personen, die KI beruflich einsetzen oder einsetzen lassen. Diese Pflicht ist nicht delegierbar. Sie gilt für den Einzelberater genauso wie für die Vertriebsleiterin im Maschinenbau.

Bei mir hinterlegt: Zertifikatslehrgang Fraunhofer IAIS, „Certified Data Scientist Specialized in the EU AI Act" nach ISO 17024 (April 2026). BAFA-Berater-Listung #227723 mit dokumentiertem Qualitätsmanagement-Handbuch und Projektakte-Pflicht über zehn Jahre. Laufende Weiterbildung, dokumentiert im Beratungsbericht jedes Mandats. Ein Kodex, der das nicht hinterlegt, bleibt Bekenntnis ohne Grundlage — oder freundlicher: ein Wunsch.

Warum ein Solo-Berater das tut

Große Beratungshäuser werden in Compliance-Fragen routiniert geprüft — Einkaufsabteilungen, Compliance-Teams, Datenschutzbeauftragte. Solo-Berater werden tendenziell weniger kritisch geprüft, weil das Projektvolumen kleiner ist und die Schwellen oft unterhalb formaler Lieferantenprüfungen liegen. Genau deshalb halte ich Selbstverpflichtung gerade für Solo-Berater für wichtig. Die Lücke, die unten entsteht, schließt niemand außer uns selbst.

Der Kodex ist kein Wettbewerbsvorteil. Er sollte Standard sein. Wenn er auf meiner Seite steht, kann jeder Kunde ihn in Verhandlungen anbringen — bei mir und bei anderen. Ich würde es sogar begrüßen, wenn Wettbewerber ihn übernähmen, anpassten und ebenfalls veröffentlichten. Der Markt für Beratung im fertigenden Mittelstand wird damit ein Stück seriöser.

Ein laufendes Dokument

Die Fassung von heute (Version 1.0, 16. Mai 2026) ist nicht die letzte. Rechtslage ändert sich — die Durchsetzung der Hochrisiko-Regeln greift am 2. August 2026, dazu kommen Durchführungsrechtsakte, Leitlinien der nationalen Behörden und gerichtliche Klärungen. Werkzeuge ändern sich — was heute marktüblich ist, kann in zwölf Monaten überholt sein. Und Erfahrungen ändern sich — jedes Projekt bringt eine Lehre, die sich in Formulierungen niederschlägt.

Änderungen am Kodex werden datiert. Das aktuelle Stand-Datum steht am Ende der Policy-Seite. Wesentliche frühere Fassungen bleiben im Archiv nachvollziehbar — wer wissen will, was am 16. Mai 2026 galt, kann das später noch nachsehen.

Schluss — und ein Angebot

jan@lepperconsulting.de. Kritische Rückfragen, Vorschläge für Präzisierungen oder ganz andere Sichtweisen sind ausdrücklich willkommen." data-en="The code is deliberately short. It is meant to be read, not filed. Anyone who reads it and finds passages where it should be sharper, clearer or more honest is invited to write to me directly: jan@lepperconsulting.de. Critical questions, suggestions for clarification or different views are expressly welcome.">Der Kodex ist bewusst kurz. Er soll gelesen, nicht abgeheftet werden. Wer ihn liest und Stellen findet, an denen er schärfer, klarer oder ehrlicher formuliert sein müsste, schreibt mir am liebsten direkt: jan@lepperconsulting.de. Kritische Rückfragen, Vorschläge für Präzisierungen oder ganz andere Sichtweisen sind ausdrücklich willkommen.

Wer sehen will, wie sich diese Prinzipien in einem konkreten Vertriebsprojekt anfühlen, kann den Vertriebs-Audit als Einstieg nutzen. Sechzig Minuten, klare Auswertung — und am Ende eine Einschätzung, an welcher Stelle KI und digitale Werkzeuge im Vertrieb tatsächlich Wirkung zeigen würden. Oder: in welchen Bereichen sie eben nicht der richtige Hebel sind. Auch das ist eine ehrliche Antwort.