Alle Artikel
KI-Governance2. April 202612 min

KI-Governance-Framework für Unternehmen: Praktischer Aufbau

Ein KI-Governance-Framework ist keine optionale Best Practice - die KI-Verordnung verlangt es. So bauen Sie es pragmatisch auf: Menschen, Prozesse, Technologie.

Warum ein Governance-Framework keine Option ist

Die KI-Verordnung (EU AI Act) ist am 1. August 2024 in Kraft getreten. Seitdem gilt ein gestaffelter Zeitplan. Die Pflicht zur KI-Kompetenz nach Art. 4 greift bereits seit dem 2. Februar 2025. Die schweren Anforderungen für Hochrisiko-KI-Systeme nach Anhang III werden ab dem 2. August 2026 durchgesetzt.

Für Anbieter hochriskanter KI-Systeme schreibt Art. 17 ein Qualitätsmanagementsystem vor. Art. 9 verlangt ein Risikomanagementsystem. Art. 14 fordert menschliche Aufsicht. Art. 72 regelt die Marktüberwachung nach Inverkehrbringen. Das sind keine vagen Empfehlungen - das sind konkrete Pflichten mit konkreten Anforderungen an Dokumentation, Prozesse und Verantwortlichkeiten.

Aber auch Betreiber (Deployer) sind betroffen. Wer ein Hochrisiko-KI-System einsetzt, muss sicherstellen, dass es gemäß der Gebrauchsanweisung betrieben wird, dass die menschliche Aufsicht funktioniert und dass Vorfälle gemeldet werden. Viele Unternehmen unterschätzen das: Sie denken, Compliance sei Sache des Anbieters. Falsch. Die Verordnung verteilt Pflichten auf beide Seiten.

Ein KI-Governance-Framework bündelt genau das: Wer ist verantwortlich? Welche Prozesse gelten? Welche Werkzeuge unterstützen die Umsetzung? Ohne diese Struktur bleiben die gesetzlichen Anforderungen abstrakt - und im Ernstfall nicht nachweisbar.

Die drei Säulen: Menschen, Prozesse, Technologie

Governance-Frameworks scheitern selten an fehlender Technologie. Sie scheitern an unklaren Zuständigkeiten und fehlenden Prozessen. Deshalb stehen Menschen und Prozesse vor der Technologie - nicht umgekehrt.

Die drei Säulen sind nicht neu. Jedes funktionierende interne Kontrollsystem (IKS) basiert auf diesem Prinzip. Der Unterschied bei KI-Governance: Die Technologie, die Sie steuern wollen, ist selbst komplex und dynamisch. Das erfordert spezifische Rollen, spezifische Prozesse und - ja - manchmal auch spezifische Werkzeuge.

Menschen: Rollen und Verantwortlichkeiten

AI Governance Lead / AI Officer

Jemand muss den Hut aufhaben. In größeren Unternehmen ist das eine dedizierte Rolle - ein AI Officer oder AI Governance Lead. In mittelständischen Unternehmen kann diese Funktion beim Compliance Officer, beim Datenschutzbeauftragten oder beim CTO angesiedelt sein. Entscheidend ist nicht der Titel, sondern dass eine Person die Gesamtverantwortung trägt und direkt an die Geschäftsleitung berichtet.

Die Aufgaben: Aufbau und Pflege des KI-Registers, Koordination der Risikoanalysen, Schnittstelle zu den Fachbereichen, Berichterstattung an die Geschäftsführung, Kontaktpunkt für Aufsichtsbehörden. Das ist kein Nebenjob. Bei einem Unternehmen mit fünf oder mehr KI-Systemen braucht diese Rolle mindestens 50 Prozent Kapazität.

Risk Owner pro KI-System

Jedes KI-System braucht einen Risk Owner - eine Person aus dem Fachbereich, die das System kennt, den Einsatzkontext versteht und die Risikoeinschätzung verantwortet. In der Praxis ist das oft der Fachbereichsleiter, der das System angefordert hat.

Beispiel: Ein KI-gestütztes Bewerbermanagementsystem. Risk Owner ist die HR-Leitung, nicht die IT. Die IT stellt den Betrieb sicher, aber die HR-Leitung versteht, welche Entscheidungen das System beeinflusst und welche Risiken für Betroffene entstehen.

Rollen für menschliche Aufsicht (Art. 14)

Art. 14 verlangt, dass Hochrisiko-KI-Systeme so gestaltet sind, dass natürliche Personen sie wirksam beaufsichtigen können. In der Praxis heißt das: Für jedes relevante System muss definiert sein, wer die Ausgaben prüft, wer eingreifen kann und wer die Autorität hat, das System abzuschalten.

Das ist keine theoretische Übung. Ein Kreditscoring-System, das automatisiert Ablehnungen ausspricht, braucht einen Menschen, der die Entscheidung prüfen und übersteuern kann. Diese Rolle muss benannt, geschult und mit den nötigen Zugriffsrechten ausgestattet sein.

Training und Kompetenz (Art. 4)

Art. 4 verlangt, dass Personal, das mit KI-Systemen arbeitet, über ein ausreichendes Maß an KI-Kompetenz verfügt. Diese Pflicht gilt seit dem 2. Februar 2025 - also jetzt.

Konkret bedeutet das: Schulungsprogramme für alle Mitarbeitenden, die KI-Systeme nutzen, betreiben oder überwachen. Keine generischen E-Learnings über "Was ist KI?", sondern rollenspezifische Qualifizierung. Der Risk Owner braucht andere Kompetenzen als der Endanwender. Beide brauchen Schulung, aber unterschiedliche.

Dokumentieren Sie, wer wann welche Schulung absolviert hat. Bei einer Prüfung durch die Aufsichtsbehörde wird genau das abgefragt.

Prozesse: Was dokumentiert werden muss

KI-System-Inventar und Klassifizierung

Sie können nichts steuern, was Sie nicht kennen. Der erste Prozess ist deswegen ein systematisches KI-Inventar: Welche KI-Systeme werden im Unternehmen eingesetzt? Von wem? In welchem Kontext? Mit welcher Risikoklasse?

Die Klassifizierung folgt der Logik der KI-Verordnung: verboten, hochriskant (Anhang III), begrenzt riskant, minimal riskant. Die meisten Unternehmen werden feststellen, dass der Großteil ihrer KI-Anwendungen in die Kategorie "minimal riskant" fällt - ChatGPT für E-Mail-Entwürfe, Übersetzungstools, einfache Automatisierungen. Aber genau deshalb ist die Inventarisierung wichtig: Sie identifiziert die wenigen Systeme, die tatsächlich unter die Hochrisiko-Anforderungen fallen.

Praktischer Tipp: Starten Sie mit einer einfachen Abfrage an alle Fachbereiche. "Welche Tools nutzen Sie, die auf KI basieren?" Die Antworten werden Sie überraschen. Schatten-KI ist real - Fachbereiche kaufen und nutzen KI-Tools ohne Wissen der IT oder Compliance.

Risikobewertungsmethodik (Art. 9)

Art. 9 verlangt ein Risikomanagementsystem, das den gesamten Lebenszyklus eines Hochrisiko-KI-Systems abdeckt. Das ist kein einmaliges Assessment, sondern ein kontinuierlicher Prozess: Identifikation, Analyse, Bewertung und Minderung von Risiken.

Definieren Sie eine Methodik, die zu Ihrem Unternehmen passt. Wenn Sie bereits ein Risikomanagement für Datenschutz (DSFA nach DSGVO) oder IT-Sicherheit haben, nutzen Sie die bestehende Struktur. Erweitern Sie sie um KI-spezifische Kriterien: Diskriminierungsrisiken, Transparenz, Erklärbarkeit, Robustheit.

Ein Beispiel für eine pragmatische Bewertungsmatrix: Eintrittswahrscheinlichkeit (niedrig/mittel/hoch) mal Auswirkung auf Betroffene (niedrig/mittel/hoch). Für jedes identifizierte Risiko: Welche Maßnahme wird ergriffen? Wer ist verantwortlich? Bis wann?

Change Management für KI-Systeme

KI-Systeme verändern sich. Modelle werden aktualisiert, Trainingsdaten ändern sich, der Einsatzkontext erweitert sich. Jede wesentliche Änderung erfordert eine erneute Bewertung: Bleibt die Risikoklassifizierung gleich? Sind die Mitigationsmaßnahmen noch ausreichend?

Definieren Sie, was eine "wesentliche Änderung" ist. Ein Update der Benutzeroberfläche ist das in der Regel nicht. Ein neues Modell oder neue Trainingsdaten schon. Verknüpfen Sie den Change-Management-Prozess mit Ihrem bestehenden IT-Change-Management - eigene Parallelstrukturen sind ineffizient.

Incident Reporting und Eskalation

Was passiert, wenn ein KI-System eine fehlerhafte oder diskriminierende Entscheidung trifft? Wer wird informiert? Wie schnell? Welche Sofortmaßnahmen greifen?

Definieren Sie Eskalationsstufen. Stufe 1: Der Operator meldet an den Risk Owner. Stufe 2: Der Risk Owner informiert den AI Governance Lead. Stufe 3: Meldung an die Geschäftsleitung und gegebenenfalls an die Aufsichtsbehörde. Üben Sie diesen Prozess. Ein Ablaufdiagramm im SharePoint, das nie getestet wurde, ist wertlos.

Vendor Management für KI-Anbieter

Die meisten Unternehmen entwickeln KI-Systeme nicht selbst - sie kaufen sie ein. Das verlagert die Verantwortung nicht. Als Betreiber müssen Sie sicherstellen, dass Ihr Anbieter die Anforderungen der KI-Verordnung erfüllt.

Prüfen Sie bei der Beschaffung: Liefert der Anbieter die geforderte technische Dokumentation? Stellt er Informationen zur Risikoklassifizierung bereit? Gibt es eine Gebrauchsanweisung, die den Anforderungen des Art. 13 entspricht? Integrieren Sie diese Prüfpunkte in Ihren bestehenden Einkaufsprozess - als Ergänzung, nicht als Parallelstruktur.

Technologie: Was Sie brauchen (und was nicht)

Registry- und Inventar-Tool

Für das KI-System-Inventar brauchen Sie ein zentrales Register. Das kann eine strukturierte Excel-Tabelle sein, eine SharePoint-Liste oder ein spezialisiertes GRC-Tool. Entscheidend ist: Es muss gepflegt werden, es muss zugänglich sein, und es muss die relevanten Felder enthalten - Systemname, Anbieter, Risikoklasse, Risk Owner, Status der Risikobewertung, letzte Überprüfung.

Für ein Unternehmen mit weniger als 20 KI-Systemen ist Excel absolut ausreichend. Sobald Sie 50+ Systeme verwalten, regelmäßige Audits durchführen und mehrere Standorte koordinieren, lohnt sich der Umstieg auf ein spezialisiertes Tool.

Dokumentenmanagement

Die KI-Verordnung verlangt umfangreiche Dokumentation: Risikobewertungen, Konformitätserklärungen, Schulungsnachweise, Audit-Ergebnisse. Diese Dokumente müssen versioniert, zugänglich und nachvollziehbar abgelegt sein.

Nutzen Sie, was Sie haben. SharePoint, Confluence, ein bestehendes DMS - alles funktioniert, solange die Ablagestruktur klar ist und Zugriffsrechte sauber definiert sind. Sie brauchen kein "AI Governance Documentation Tool" für 50.000 Euro im Jahr.

Monitoring und Logging (Art. 12)

Art. 12 verlangt, dass Hochrisiko-KI-Systeme automatisch Logs erstellen, die eine Rückverfolgbarkeit ermöglichen. Das ist primär eine Anforderung an den Anbieter - aber als Betreiber müssen Sie sicherstellen, dass diese Logs zugänglich sind und ausgewertet werden.

Prüfen Sie bei der Beschaffung, ob der Anbieter Logging-Funktionalität bereitstellt. Definieren Sie, wer die Logs auswertet und wie oft. Automatisiertes Monitoring mit Alerting ist bei Hochrisiko-Systemen sinnvoll, bei einfacheren Systemen reicht eine regelmäßige manuelle Prüfung.

Wann reicht Excel - und wann nicht?

Die ehrliche Antwort: Für die meisten mittelständischen Unternehmen reicht Excel in der Startphase. Ein gut strukturiertes Spreadsheet mit den richtigen Spalten, klaren Verantwortlichkeiten und regelmäßiger Pflege schlägt jedes teure Tool, das niemand nutzt.

Der Umstieg auf spezialisierte Software lohnt sich, wenn: mehr als 50 KI-Systeme verwaltet werden, mehrere Teams parallel arbeiten, regulatorisches Reporting automatisiert werden soll oder externe Audits regelmäßig stattfinden. Vorher ist ein dediziertes Tool oft Over-Engineering.

Integration mit bestehenden Frameworks

Bauen Sie keine Parallelwelt. KI-Governance ist kein isoliertes Projekt - es ist eine Erweiterung bestehender Managementsysteme.

Wenn Sie ISO 27001 (Informationssicherheit) implementiert haben, nutzen Sie die bestehende Risikomethodik, die Audit-Strukturen und die Dokumentationsprozesse. Erweitern Sie sie um KI-spezifische Controls.

Wenn Sie sich an ISO 42001 (KI-Managementsystem) orientieren wollen: Gut. Die Norm bietet einen soliden Rahmen. Aber sie ist kein Ersatz für die Anforderungen der KI-Verordnung - sie ist eine Hilfe bei der Umsetzung. Prüfen Sie die Überschneidungen und schließen Sie die Lücken.

Ihr bestehendes internes Kontrollsystem (IKS) hat bereits Kontrollpunkte für Prozesse, Zugriffsrechte und Berichterstattung. Ergänzen Sie KI-spezifische Controls: "Ist die Risikoklassifizierung aktuell?", "Wurde die menschliche Aufsicht im letzten Quartal überprüft?", "Sind alle Schulungsnachweise dokumentiert?"

Die Integration spart nicht nur Aufwand - sie erhöht die Akzeptanz. Neue Parallelprozesse werden ignoriert. Erweiterungen bestehender Prozesse werden gelebt.

Start small, scale fast - ein pragmatischer Rollout

Phase 1 (Monat 1-2): Inventar erstellen. Alle KI-Systeme im Unternehmen identifizieren und grob klassifizieren. Einen AI Governance Lead benennen. Bestehende Governance-Strukturen analysieren.

Phase 2 (Monat 3-4): Risikobewertung für die identifizierten Hochrisiko-Systeme durchführen. Risk Owner benennen. Schulungsprogramm für Art. 4 starten (falls noch nicht geschehen - die Pflicht gilt seit dem 2. Februar 2025).

Phase 3 (Monat 5-6): Prozesse dokumentieren - Change Management, Incident Reporting, Vendor Management. Menschliche Aufsicht operativ umsetzen (Art. 14). Erste interne Audits durchführen.

Phase 4 (laufend): Kontinuierliche Verbesserung. Monitoring operationalisieren. Framework auf neue KI-Systeme ausweiten. Regelmäßige Reviews und Anpassungen.

Dieser Zeitplan ist realistisch für ein mittelständisches Unternehmen. Wer heute startet, ist vor dem 2. August 2026 einsatzfähig. Wer im Januar 2026 anfängt, wird es eng.

Häufige Fehler

Over-Engineering. Das Framework muss zur Unternehmensgröße passen. Ein Mittelständler mit drei KI-Systemen braucht kein 200-seitiges Governance-Handbuch und keine KI-Governance-Plattform für 100.000 Euro. Er braucht klare Verantwortlichkeiten, dokumentierte Prozesse und ein gepflegtes Register.

KI-Governance als reines IT-Thema behandeln. KI-Governance ist ein Thema für die Geschäftsleitung, für Compliance, für die Fachabteilungen. Die IT unterstützt, aber sie führt nicht. Ein KI-System im HR-Bereich hat andere Risiken als eines in der Qualitätskontrolle - und diese Risiken versteht die Fachabteilung, nicht der IT-Leiter.

Deployer-Pflichten ignorieren. Viele Unternehmen denken: "Wir entwickeln keine KI, also betrifft uns die Verordnung nicht." Falsch. Wer hochriskante KI-Systeme einsetzt, ist Betreiber (Deployer) und hat eigene Pflichten - von der menschlichen Aufsicht bis zur Vorfallmeldung. Die Verordnung macht da keinen Unterschied zwischen Eigenentwicklung und Einkauf.

Einmal aufsetzen und vergessen. KI-Governance ist kein Projekt mit Enddatum. Es ist ein laufender Prozess. KI-Systeme ändern sich, regulatorische Anforderungen werden konkretisiert, neue Systeme kommen hinzu. Ein Framework, das nicht regelmäßig überprüft und aktualisiert wird, ist nach sechs Monaten veraltet.

Schulungen als Checkbox-Übung. "Alle haben das E-Learning gemacht" reicht nicht. Art. 4 verlangt ausreichende KI-Kompetenz - nicht ausreichende Klickraten. Schulungen müssen rollenspezifisch sein, und die Wirksamkeit muss überprüft werden. Ein Risk Owner, der nach der Schulung nicht erklären kann, wie die Risikoklassifizierung funktioniert, wurde nicht ausreichend geschult.

Fazit

Ein KI-Governance-Framework aufzubauen ist keine Raketenwissenschaft. Es ist solides Handwerk: Verantwortlichkeiten klären, Prozesse definieren, dokumentieren, umsetzen, überprüfen. Die KI-Verordnung gibt den Rahmen vor - die Umsetzung muss zum Unternehmen passen.

Fangen Sie mit den Menschen an, nicht mit der Technologie. Nutzen Sie bestehende Strukturen statt Parallelwelten aufzubauen. Starten Sie pragmatisch mit Excel und skalieren Sie, wenn es nötig wird. Und behandeln Sie das Thema als das, was es ist: eine Führungsaufgabe, kein IT-Projekt.

Die Deadline steht. 2. August 2026. Die Uhr läuft.

WP

Autor

Werner Plutat

Legal Engineer x AI

Passende Lösungen

RevisionIKS Mapping Agent

Weiterführende Artikel

KI-VerordnungWas muss mein Unternehmen vor August 2026 für die KI-Verordnung tun?
KI-VerordnungDokumentationspflichten für Hochrisiko-KI: Was Sie konkret brauchen

The Legal Engineer's Daily Brief

KI, Legal Tech & Automatisierung - 3x pro Woche.

Abonnieren

Dieses Thema betrifft Ihr Unternehmen?

Lassen Sie uns in 30 Minuten klären, wie Sie die Anforderungen konkret umsetzen - mit funktionierender Technologie statt Foliensätzen.

Erstgespräch vereinbaren