KI-Governance im Unternehmen.
In den meisten Unternehmen ist KI längst im Einsatz — nur selten geordnet. Mitarbeitende nutzen Chatbots für Texte, Tabellen und Recherche, oft mit privaten Accounts und ohne dass jemand den Überblick hat. Das ist nicht böser Wille, sondern fehlende Orientierung. KI-Governance ist die Antwort darauf: ein klarer Rahmen, der sagt, was erlaubt ist, wer verantwortlich ist und wie man neue Anwendungen einführt — ohne Innovation abzuwürgen.
Warum „Schatten-KI“ das eigentliche Risiko ist.
Das größte Governance-Problem ist selten ein bewusst eingeführtes KI-System, sondern die unkontrollierte Nutzung im Verborgenen. Wenn Mitarbeitende vertrauliche Dokumente, Kundendaten oder interne Strategiepapiere in beliebige öffentliche Tools kopieren, weil es gerade praktisch ist, entstehen Risiken, die niemand sieht und niemand steuert. Man kann das „Schatten-KI“ nennen — analog zur Schatten-IT vergangener Jahre.
Der Reflex, solche Nutzung schlicht zu verbieten, scheitert in der Praxis fast immer. Ein Verbot ohne brauchbare Alternative führt nur dazu, dass die Nutzung noch unsichtbarer wird. Gute Governance arbeitet deshalb mit dem Bedürfnis, nicht dagegen: Sie stellt sichere, freigegebene Werkzeuge bereit und zieht klare Linien, statt pauschal zu untersagen.
Die drei Ebenen einer KI-Governance.
Eine tragfähige Governance lässt sich in drei Ebenen denken, die aufeinander aufbauen:
- Grundsätze: Wofür steht das Unternehmen beim KI-Einsatz? Werte wie Transparenz, menschliche Letztverantwortung, Datenschutz und Fairness. Diese Ebene ist kurz, aber richtungsweisend.
- Richtlinien: Konkrete Regeln für den Alltag. Welche Daten dürfen in welche Tools? Wann muss ein Mensch gegenprüfen? Welche Anwendungsfälle sind freigegeben, welche brauchen eine Genehmigung?
- Prozesse: Wie wird eine neue KI-Anwendung bewertet, freigegeben, betrieben und überprüft? Wer entscheidet, wer dokumentiert, wer kontrolliert?
Der häufigste Fehler ist, mit einem 40-seitigen Regelwerk zu starten, das niemand liest. Besser ist eine knappe, verständliche Richtlinie, die tatsächlich im Alltag ankommt, und die man bei Bedarf erweitert. Governance, die nicht gelebt wird, ist wertlos — egal wie vollständig sie auf dem Papier ist.
Rollen und Verantwortlichkeiten klären.
KI-Governance braucht Menschen, die sich kümmern. In kleineren Unternehmen müssen das keine neuen Vollzeitstellen sein, aber die Verantwortung sollte ausdrücklich benannt sein:
| Rolle | Verantwortung |
|---|---|
| Leitung / Geschäftsführung | Grundsätze setzen, Ressourcen freigeben, Letztverantwortung tragen |
| KI-Verantwortliche(r) | Richtlinien pflegen, Anfragen bewerten, Überblick über eingesetzte Tools halten |
| Datenschutz | Datenschutzrechtliche Prüfung, Verzeichnis, Folgenabschätzung |
| IT-Sicherheit | Technische Absicherung, Zugriffsrechte, Monitoring |
| Fachabteilungen | Anwendungsfälle einbringen, Werkzeuge im Alltag verantworten |
| Alle Mitarbeitenden | Richtlinien einhalten, Auffälligkeiten melden |
Wichtig ist das Zusammenspiel: KI-Governance ist keine reine IT-Aufgabe und keine reine Rechtsaufgabe. Sie liegt im Schnittfeld von Fachlichkeit, Technik, Recht und Führung — und funktioniert nur, wenn diese Bereiche miteinander reden, nicht nebeneinander her.
Was eine gute KI-Richtlinie konkret regelt.
Eine alltagstaugliche Richtlinie beantwortet die Fragen, die Mitarbeitende wirklich haben. Die wichtigsten Bausteine:
- Datenklassen und Tool-Freigaben: Welche Datenkategorie (öffentlich, intern, vertraulich, personenbezogen) darf in welches Tool? Eine einfache Ampel hilft mehr als ein Paragrafenwerk.
- Menschliche Letztverantwortung: KI liefert Vorschläge, Entscheidungen treffen Menschen. Besonders bei rechtlich oder finanziell relevanten Ausgaben gilt eine Prüfpflicht.
- Transparenz nach außen: Wann wird kenntlich gemacht, dass KI im Spiel war — etwa bei automatisch erzeugten Texten oder Bildern?
- Umgang mit Halluzinationen: Mitarbeitende müssen wissen, dass KI plausibel klingenden Unsinn produzieren kann, und entsprechend gegenprüfen.
- Urheber- und Lizenzfragen: Insbesondere bei generierten Bildern und Texten ist die rechtliche Lage zu beachten — dazu gleich mehr in einem eigenen Beitrag.
- Meldewege: An wen wendet man sich bei Unsicherheit oder einem Vorfall? Niedrigschwellig und ohne Schuldzuweisung.
Der EU AI Act als Orientierung.
Mit der KI-Verordnung der EU (EU AI Act) gibt es erstmals einen verbindlichen Rechtsrahmen für KI. Er verfolgt einen risikobasierten Ansatz: Je nach Risiko eines KI-Systems gelten unterschiedlich strenge Pflichten, von verbotenen Praktiken über Hochrisiko-Anwendungen mit umfangreichen Auflagen bis zu Systemen mit geringem Risiko und reinen Transparenzanforderungen. Die Vorgaben treten gestaffelt in Kraft, sodass Unternehmen schrittweise hineinwachsen.
Für die meisten mittelständischen Unternehmen sind die schärfsten Hochrisiko-Pflichten nicht der Alltag — aber der Geist der Verordnung ist eine gute Leitlinie: Risiken einschätzen, Transparenz schaffen, menschliche Aufsicht sicherstellen, dokumentieren. Wer seine Governance an diesen Prinzipien ausrichtet, ist auf veränderte Anforderungen besser vorbereitet. Dies ist keine Rechtsberatung; die konkrete Einstufung Ihrer Systeme gehört fachkundig geprüft.
Vom Wunsch zur Freigabe: ein Bewertungsprozess.
Damit neue KI-Ideen nicht im Wildwuchs enden, braucht es einen leichten, aber klaren Weg von der Idee zur Freigabe. Ein einfacher, strukturierter Bewertungsbogen reicht in vielen Fällen aus. Das Prinzip lässt sich gut als kurze Checkliste fassen:
KI-Anwendungsfall - Kurzbewertung ================================== 1. Zweck [ ] Welches Problem löst es konkret? [ ] Gibt es einen messbaren Nutzen? 2. Daten [ ] Welche Datenklassen sind betroffen? [ ] Personenbezug? -> Datenschutz einbinden [ ] AVV mit Anbieter vorhanden? 3. Risiko [ ] Was passiert bei einem Fehler? [ ] Wer prüft die Ausgabe (Mensch)? [ ] Reversibel oder folgenschwer? 4. Verantwortung [ ] Wer betreibt es fachlich? [ ] Wer wird geschult? Ergebnis: [ ] Frei [ ] Mit Auflagen [ ] Abgelehnt Nächste Prüfung am: ____________
Dieser Bogen ist bewusst niedrigschwellig. Er ersetzt keine tiefe Prüfung bei heiklen Anwendungen, sorgt aber dafür, dass überhaupt jemand bewusst hinschaut, bevor ein Tool produktiv geht. Allein die Frage „Wer prüft die Ausgabe?“ verhindert eine ganze Klasse von Problemen.
Schulung schlägt Regelwerk.
Die beste Richtlinie nützt nichts, wenn niemand sie versteht. Investieren Sie deshalb mehr in Befähigung als in Verbote. Mitarbeitende, die verstehen, wie ein Sprachmodell grundsätzlich funktioniert, warum es halluzinieren kann und welche Daten kritisch sind, treffen im Alltag bessere Entscheidungen als jede Regel sie vorgeben könnte.
Praktisch heißt das: kurze, konkrete Schulungen statt einmaliger Pflichtveranstaltungen, Beispiele aus dem eigenen Arbeitsalltag statt abstrakter Theorie, und eine Kultur, in der Fragen erwünscht sind. Wer einmal selbst erlebt hat, wie überzeugend ein Modell eine falsche Quelle erfindet, geht danach umsichtiger damit um — das prägt mehr als jede Unterschrift unter einer Richtlinie.
Ein Inventar der eingesetzten KI-Werkzeuge.
Bevor man steuern kann, muss man wissen, was überhaupt im Einsatz ist. Eine der wirksamsten und zugleich unspektakulärsten Governance-Maßnahmen ist deshalb ein einfaches Inventar der genutzten KI-Werkzeuge. Welche Tools verwenden die Abteilungen tatsächlich? Wofür? Welche Daten fließen hinein? Gibt es jeweils einen Auftragsverarbeitungsvertrag, und wo werden die Daten verarbeitet? Schon das bloße Zusammentragen dieser Informationen bringt oft Überraschungen zutage — und macht Risiken sichtbar, die vorher niemand auf dem Schirm hatte.
Dieses Inventar muss kein aufwendiges System sein; eine gepflegte Übersicht genügt in vielen Unternehmen. Entscheidend ist, dass sie lebt: Neue Werkzeuge werden eingetragen, nicht mehr genutzte entfernt, und bei jedem Eintrag ist klar, wer fachlich verantwortlich ist. Aus diesem Überblick ergibt sich fast von selbst, wo genauer hingeschaut werden muss — etwa bei Tools, durch die personenbezogene oder besonders schützenswerte Daten laufen. Ohne ein solches Inventar bleibt jede Governance Stückwerk, weil sie nur das adressieren kann, was zufällig bekannt ist.
Governance als lebender Prozess.
KI entwickelt sich schnell, und mit ihr die Möglichkeiten und Risiken. Eine Governance, die einmal verabschiedet und dann abgeheftet wird, ist nach wenigen Monaten veraltet. Planen Sie deshalb feste Überprüfungspunkte ein: Welche Tools sind neu im Einsatz? Welche Vorfälle gab es? Haben sich Rechtsgrundlagen geändert? Funktionieren die Freigabeprozesse oder werden sie umgangen?
Diese regelmäßige Reflexion ist kein bürokratischer Selbstzweck, sondern der Unterschied zwischen einer Governance auf dem Papier und einer, die das Unternehmen tatsächlich schützt und gleichzeitig handlungsfähig hält.
Was ich aus der Praxis mitgebe.
- Erst Alternative, dann Regel. Stellen Sie sichere Werkzeuge bereit, bevor Sie verbieten — sonst wandert die Nutzung in den Schatten.
- Kurz und gelebt schlägt lang und abgeheftet. Eine zweiseitige Richtlinie, die alle kennen, wirkt mehr als ein Handbuch, das niemand liest.
- Mensch bleibt in der Verantwortung. KI schlägt vor, der Mensch entscheidet — diese Linie ist das Rückgrat jeder seriösen Governance.
- Befähigen statt nur regeln. Schulung, die Verständnis schafft, ist die wirksamste Governance-Maßnahme überhaupt.
Sie wollen den KI-Einsatz in Ihrem Unternehmen aus dem Wildwuchs in einen klaren Rahmen überführen? Unverbindlich anfragen — wir entwickeln eine schlanke, alltagstaugliche Governance, die zu Ihrer Größe und Branche passt. Für die rechtsverbindliche Bewertung ziehen Sie bitte fachkundige Beratung hinzu.