KI-Coding ist im Mittelstand angekommen — aber wer kontrolliert das Ergebnis?

Dass Softwareprojekte heute mit Unterstützung von KI-Werkzeugen entstehen, ist inzwischen eher die Regel als die Ausnahme. Ob Sie ein neues Kundenportal beauftragen, eine bestehende Anwendung erweitern lassen oder intern ein kleines Tool bauen — die Wahrscheinlichkeit ist hoch, dass ein erheblicher Teil des Codes von einer KI stammt und ein Mensch ihn danach übernommen hat. Für sich genommen ist das kein Problem. Ein Problem wird es dort, wo die Prozesse, die diesen Code prüfen und verantworten, nicht mit demselben Tempo mitgewachsen sind wie die Werkzeuge selbst.

Genau diese Lücke hat GitLab Ende Juni 2026 mit Zahlen unterlegt. Der „AI Accountability Report 2026" basiert auf einer Umfrage von The Harris Poll unter 1.528 Entwicklern und Tech-Entscheidern in sechs Ländern, darunter Deutschland, erhoben im Februar 2026. Die deutsche Fachpresse — unter anderem heise.de am 24. Juni — griff die Ergebnisse auf, weil sie ein Muster bestätigen, das viele aus dem eigenen Umfeld kennen: Die Werkzeuge sind da, die Kontrollstrukturen hinken hinterher.

Für Sie als Auftraggeber ist das relevant, egal ob Sie ein größeres Projekt extern vergeben oder nur ein kleines internes Tool bauen lassen. Am Ende trägt Ihr Unternehmen die Konsequenzen, wenn generierter Code fehlerhaft, unsicher oder schlicht nicht nachvollziehbar ist — nicht das Werkzeug, das ihn geschrieben hat.

Auf einen Blick

  • 80 % der Befragten sagen laut GitLab-Umfrage, ihr Unternehmen habe KI-Tools schneller eingeführt, als es die passenden Kontrollrichtlinien dafür entwickelt hat.
  • 82 % sehen im KI-generierten Code das Risiko einer neuen Form technischer Schulden.
  • 73 % sind konkret über die Wartbarkeit des entstehenden Codes besorgt.
  • 34 % konnten bei einem realen Produktionsvorfall im Nachhinein nicht feststellen, ob KI-generierter Code daran beteiligt war.

Warum die Lücke entsteht

Die Erklärung ist eigentlich naheliegend: Werkzeuge lassen sich schneller einführen als Prozesse. Ein Team kann heute Nachmittag anfangen, einen KI-Assistenten in die tägliche Arbeit einzubauen — eine Richtlinie, die festlegt, wie mit dem Ergebnis umzugehen ist, wer es prüft und wie es dokumentiert wird, entsteht nicht an einem Nachmittag. Genau diese Asymmetrie zeigt die 80-Prozent-Zahl: Tempo schlägt Prozess, und zwar systematisch, nicht als Ausnahmefall in einzelnen Unternehmen.

Das wäre halb so kritisch, wenn KI-generierter Code sich von handgeschriebenem Code deutlich unterscheiden würde — dann könnte man ihn gezielt anders behandeln. Tatsächlich ist er im fertigen Repository meist nicht mehr als solcher zu erkennen. Er sieht aus wie jeder andere Code, fügt sich ein, läuft. Genau das macht die 34-Prozent-Zahl so aussagekräftig: Bei gut einem Drittel der befragten Fälle mit einem echten Produktionsvorfall ließ sich im Nachhinein nicht mehr rekonstruieren, ob KI-Code beteiligt war. Nicht weil niemand hinsehen wollte, sondern weil die Nachvollziehbarkeit — wer hat was wann generiert, wer hat es geprüft, mit welchem Ergebnis — gar nicht systematisch mitgeschrieben wurde.

Das hat drei praktische Konsequenzen, die über akademisches Interesse hinausgehen:

  • Haftung. Wenn im Streitfall nicht mehr rekonstruierbar ist, wer wann welchen Code freigegeben hat, wird die Klärung von Verantwortung deutlich schwerer — und teurer.
  • Wartung. Die 82 Prozent, die technische Schulden befürchten, und die 73 Prozent, die um die Wartbarkeit bangen, beschreiben denselben Effekt aus zwei Blickwinkeln: Code, der schnell entstanden ist, aber niemand versteht ihn später vollständig, wird mit jeder Änderung riskanter und teurer zu pflegen.
  • Sicherheit. Ungeprüfter Code — ob von Menschen oder Maschinen geschrieben — ist die häufigste Quelle für Sicherheitslücken. Ohne dokumentierte Prüfung lässt sich diese Frage im Zweifel nicht einmal beantworten, geschweige denn beheben.

Ein separater Datenpunkt, der aus einer anderen Quelle stammt und nicht mit der GitLab-Umfrage zu verwechseln ist: Plattformdaten des Anbieters Cursor deuten laut Sekundärberichten auf einen Anstieg des Anteils ungeprüfter, direkt in Produktion gehender KI-Code-Änderungen von 7 Prozent Anfang 2026 auf 36,3 Prozent Mitte Mai 2026 hin. Diese Zahl misst etwas anderes als die GitLab-Umfrage — tatsächliches Verhalten auf einer bestimmten Plattform statt Selbsteinschätzung in einer breiten Befragung —, zeigt aber in dieselbe Richtung: Der Anteil an Code, der ohne menschliche Prüfung live geht, wächst.

Nichts davon ist ein Grund, KI-Coding zu meiden. Die Werkzeuge liefern echten Tempogewinn, und den will kaum ein Unternehmen zurückgeben. Es ist ein Grund, genauer hinzuschauen, wie der Dienstleister oder das interne Team mit dem entstehenden Code umgeht — bevor daraus im Ernstfall eine teure Überraschung wird.

Fünf Fragen an Ihren Software-Dienstleister

Wenn Sie ein Softwareprojekt beauftragen oder intern begleiten, lohnt es sich, diese fünf Punkte konkret anzusprechen — nicht als Misstrauensvotum, sondern als normaler Bestandteil eines seriösen Angebots.

1. Wird KI-generierter Code genauso reviewt wie handgeschriebener? Es sollte keinen Bonus für „das hat ja die KI gemacht" geben. Ein definierter Review-Schritt mit menschlicher Verantwortung gehört für jede Codeänderung dazu, unabhängig von der Herkunft. 2. Ist nachvollziehbar dokumentiert, wo KI im Spiel war? Angesichts der 34-Prozent-Zahl ist das keine Nebensächlichkeit. Wenn im Streitfall geklärt werden muss, was passiert ist, hilft eine saubere Dokumentation mehr als jede nachträgliche Erklärung. 3. Wer haftet, wenn in KI-generiertem Code ein Fehler steckt? Die Antwort sollte im Vertrag stehen, nicht erst im Streitfall verhandelt werden. Ein seriöser Dienstleister übernimmt Verantwortung für das Ergebnis — unabhängig davon, welches Werkzeug daran mitgeschrieben hat. 4. Wie wird Wartbarkeit und technische Schuld aktiv gemanagt? Schnell entstandener Code neigt dazu, sich anzuhäufen, wenn niemand ihn regelmäßig aufräumt. Fragen Sie nach einem konkreten Vorgehen, nicht nach einer allgemeinen Absichtserklärung. 5. Gibt es überhaupt eine Richtlinie zum KI-Einsatz? Angesichts der 80-Prozent-Zahl ist das keine überflüssige Frage. Ein Dienstleister, der klar sagen kann, wo und wie er KI einsetzt und wo bewusst nicht, hat sich mit dem Thema auseinandergesetzt — das allein ist schon ein gutes Zeichen.

Fazit

Die Zahlen aus dem GitLab-Report sind kein Grund zur Beunruhigung, aber ein guter Grund für ein paar konkrete Fragen. KI-Coding bringt echtes Tempo, und dieses Tempo abzulehnen, würde am Ende nur Kosten und Zeit verschenken. Die Lücke, die sich zeigt, liegt nicht beim Werkzeug, sondern bei den Prozessen drumherum — und die lassen sich mit vergleichsweise wenig Aufwand schließen, wenn man weiß, wonach man fragen muss.

Wir haben selbst keine eigenen Entwickler und schreiben Ihnen keinen Code. Was wir tun: Wir helfen dabei, die richtigen Anforderungen an einen Software-Dienstleister zu formulieren, Angebote danach zu bewerten und im laufenden Projekt darauf zu achten, dass Kontrolle und Nachvollziehbarkeit nicht dem Tempo geopfert werden. Sprechen Sie uns an, bevor Sie Ihr nächstes Softwareprojekt vergeben.