AI Governance
KI läuft in eurer Organisation. Aber wer hat den Überblick — und wer trägt die Verantwortung?
Zwei Dinge bringt diese Seite: verstehen was AI Governance bedeutet — und wissen wo ihr anfangt.
Was AI Governance ist — und was nicht
Wenn Organisationen KI einführen, entstehen Fragen die vorher nicht da waren: Wer entscheidet welche Tools genutzt werden? Welche Daten dürfen wo rein? Wer trägt Verantwortung wenn etwas schiefgeht? AI Governance ist die Summe der Antworten auf diese Fragen — bevor sie zum Problem werden.
Nicht Compliance
Compliance erfüllt externe Anforderungen. Governance gestaltet intern — proaktiv, über das Vorgeschriebene hinaus.
Nicht IT-Aufgabe
AI Governance reguliert Use Cases, nicht Technologie. Wofür ihr KI einsetzt bestimmt was gilt. Das ist Führungsarbeit.
Nicht einmalig
Kein Projekt das man abschließt. Ein laufender Steuerungsprozess der mit eurer KI-Nutzung wächst.
“Governance bedeutet: den Ordnungsrahmen schaffen als Organisation, der KI kontrollierbar und weiterentwickelbar macht.”
Ralf Kruse
Was das für euch bedeutet
Die Frage ist nicht ob ihr AI Governance braucht — sondern ob ihr sie bewusst gestaltet oder sie ungeplant entsteht.
Warum jetzt — zwei Auslöser
1. Der EU AI Act greift ab August 2026
Die meisten Organisationen sind Deployer — sie kaufen und nutzen KI-Systeme. Als Deployer tragen sie eigene Pflichten: menschliche Aufsicht einrichten, Logs führen, Betroffene informieren. Wer HR-Tools, Performance-Management oder Kundenservice-Bots einsetzt, muss wissen in welche Risikoklasse das fällt — und was daraus folgt.
2. KI verbreitet sich schneller als Regeln
In jedem Unternehmen mit mehr als 50 Mitarbeitern läuft Shadow AI. Mitarbeiter nutzen Tools die niemand freigegeben hat — nicht aus böser Absicht, sondern weil sie ihre Arbeit erledigen wollen. Verbote lösen das nicht. Sie treiben die Nutzung nur unter den Radar.
“Viele Firmen bringen sich unbewusst um ihre Chancen — weil sie die Implikationen auch und gerade in Richtung Chancen übersehen.”
Ralf Kruse
Was das für euch bedeutet
Wer jetzt einen Rahmen schafft handelt. Wer wartet reagiert — unter Druck, mit schlechten Karten. Das Risiko des Nicht-Handelns ist für viele Organisationen inzwischen größer als das Risiko des Handelns.
From AI Governance to AI Enablement
DataFramed · 53 minGovernance & Enablement
Die 5 Fragen die jede Organisation klären muss
Nicht abstrakt — sondern die Fragen die Führungskräfte tatsächlich beantworten müssen. Mit dem was die Antwort jeweils konkret bedeutet.
Welche KI-Tools nutzen wir — und wer weiß das?
Wer nicht weiß was läuft, kann es nicht steuern. Ein AI-Inventar ist der Startpunkt jeder Governance — nicht perfekt, aber vollständig genug für die nächsten Schritte.
Welche Daten fließen wo rein?
Kundendaten, Personalakten, Vertragsinhalte in externe Sprachmodelle — oder nicht? Diese Entscheidung braucht eine klare Regel, nicht ein individuelles Urteil bei jedem Mitarbeiter jeden Tag.
Wer entscheidet was — und wer verantwortet es?
Für jedes relevante KI-System braucht es eine Person die sagt: Das ist mein System, ich verantworte es. Ohne Namen bleibt Governance Papier.
Fallen unsere Systeme unter Hochrisiko?
Recruiting, Performance-Management, Kredit-Scoring — wer KI in diesen Bereichen einsetzt trägt konkrete EU-AI-Act-Pflichten. Die Klassifizierung entscheidet was nötig ist.
Was passiert wenn etwas schiefgeht?
Nicht ob — sondern wann. Wer das vorher klärt handelt. Wer es nicht klärt reagiert unter Druck.
Welche KI-Systeme gelten als Hochrisiko?
Die Risikoklasse entscheidet was nötig ist. Hochrisiko-Systeme sind nicht automatisch gefährlich — aber sie brauchen vor dem Einsatz eine dokumentierte Konformitätsbewertung.
Biometrie
Gesichtserkennung, biometrische Kategorisierung nach sensiblen Merkmalen
Kritische Infrastruktur
KI im Management von Stromnetzen, Wasserversorgung, Verkehr
Bildung & Ausbildung
Zugangssteuerung zu Bildungseinrichtungen, Bewertung von Lernleistungen
Beschäftigung & HR
CV-Screening, Beförderungsentscheidungen, Performance Monitoring, Kündigung
Grundlegende Dienste
Kredit-Scoring, Versicherungspricing, Behördenleistungen, Sozialhilfe
Strafverfolgung
Risikobewertung von Straftaten, Ermittlungsunterstützung
Migration & Grenzkontrolle
Visum-Prüfung, Asylverfahren, Migrationsrisikoanalyse
Justiz & Demokratie
KI-Unterstützung bei Rechtsprechung, Einfluss auf Wahlverhalten
Was für die meisten Organisationen relevant ist
HR-Bereich: CV-Screening, automatisierte Interviewanalyse, Performance-Scoring, Kündigungsvorhersagen — alle Hochrisiko. Als Deployer müsst ihr prüfen ob euer Anbieter die Konformitätsnachweise erbracht hat, menschliche Aufsicht sicherstellen und Betroffene informieren.
Finanzbereich: Kredit-Scoring und Versicherungspricing sind immer Hochrisiko — egal ob selbst entwickelt oder eingekauft.
Die Klassifikationslogik in drei Schritten
Ist die Anwendung verboten? → Sofort stoppen. (z.B. Emotionserkennung im Arbeitskontext, Social Scoring)
Fällt sie in einen der 8 Hochrisiko-Bereiche (Anhang III)? → Konformitätsbewertung erforderlich.
Nein zu beidem? → Minimal- oder begrenztes Risiko. Transparenzpflichten prüfen.
Was das für euch bedeutet
Hochrisiko ist kein Urteil über die Qualität des Systems — sondern über den Kontext. Dasselbe Modell kann in einem Use Case minimal-riskant sein und in einem anderen Hochrisiko auslösen. Die Klassifikation ist eine Business-Entscheidung, nicht eine IT-Entscheidung.
Das Risiko das kein Framework adressiert
Alle Frameworks reden über das Risiko des Handelns. Niemand redet systematisch über das Risiko des Nicht-Handelns.
Shadow AI wächst mit jedem Verbot
78% der AI-Nutzer bringen eigene Tools mit (Microsoft 2024). Wenn offizielle Wege gesperrt sind, gehen Mitarbeiter unter den Radar. Statt kontrollierter Nutzung mit Leitplanken entsteht unkontrollierte Nutzung ohne jede Sichtbarkeit.
Wettbewerbsnachteil durch Stillstand
Teams die KI verantwortungsvoll nutzen werden produktiver. Wer auf Verbote setzt statt auf Rahmen verliert nicht durch einen Fehler — sondern durch das was nie passiert.
“Das zu erkennen und damit umzugehen sehe ich als wichtige Führungsverantwortung — von Führungskräften die ihre Organisationen für die Zukunft gut aufstellen wollen, statt einfach nur Cover your Ass zu spielen.”
Ralf Kruse
Was das für euch bedeutet
Eine AI Use Policy die “hier könnt ihr arbeiten” sagt ist kein Risiko. Sie ist die Voraussetzung dafür dass Governance überhaupt funktioniert.
Sunlight on Shadow AI: When Security Learns to Tinker
Agents of Scale · 48 minShadow AI
Vier Schritte für den Einstieg
Keine drei-Monats-Projekte. Keine Gremien die sich quartalsweise treffen. Sondern was jede Organisation in den nächsten Wochen angehen kann.
AI-Inventar anlegen
Was nutzen wir, wo, mit welchen Daten, wer verantwortet es? Nicht perfekt starten — sondern starten. Befragung plus IT-Procurement-Daten gibt in vier Wochen ein erstes Bild. Das Inventar ist die Grundlage für alles weitere.
Risikoklassen klären
Für jedes System: minimales, begrenztes oder Hochrisiko? Das ist eine Business-Entscheidung, keine IT-Entscheidung — und sie bestimmt was als nächstes nötig ist. Hochrisiko betrifft vor allem Systeme die Entscheidungen über Menschen treffen oder vorbereiten.
Verantwortlichkeiten definieren
Governance-Verantwortliche und AI-Enabler trennen. Wer bremst, prüft und absichert — und wer vorantreibt und ermöglicht. Diese Spannung braucht Struktur, nicht eine Person die beides trägt.
Policy als Spielfeld
Eine AI Use Policy die vier Dinge regelt: welche Daten wohin dürfen, welche Tools freigegeben sind, wie neue Tools gemeldet werden, wie Mitarbeiter geschult werden. Ermächtigung statt Verbotsliste — wer die Policy als Bremse schreibt, bekommt Shadow AI.
“Ethische Grundsätze sind nur so wirkungsvoll wie man durch entsprechende Governance sicherstellt, dass sie auch gelebt werden. Es geht nicht bloß um Formalismen, sondern darum die Organisation in der Nutzung von AI vertrauens- und verantwortungsvoll auszurichten.”
Ralf Kruse
The New Paradigm for Enterprise AI Governance
DataFramed · 59 minEnterprise Governance
Stimmen zum Thema
Perspektiven aus Forschung und Praxis — zum Hören und Weiterlesen.
From AI Governance to AI Enablement with Stijn Christiaens
DataFramed · 53 minGovernance & Enablement
Governing Pandora's Box: Managing AI Risks
DataFramed · 51 minAI Risiken
Sunlight on Shadow AI: When Security Learns to Tinker
Agents of Scale · 48 minShadow AI
Atlas of AI — Macht, Politik und die planetaren Kosten
Kate Crawford & Ryan Calo · YouTube AI Ethics & Governance
Wo steht eure Organisation?
Eine Frage — zur Einordnung und um zu sehen wie andere antworten.
Häufige Fragen
Was ist AI Governance einfach erklärt?
AI Governance ist der Ordnungsrahmen den eine Organisation schafft um KI kontrollierbar und weiterentwickelbar zu machen. Er beantwortet die Fragen die KI erst stellt: Wer entscheidet welche Tools genutzt werden? Welche Daten dürfen wo rein? Wer trägt Verantwortung wenn etwas schiefgeht?
Was verlangt der EU AI Act von Unternehmen als Deployer?
Deployer sind Organisationen die KI-Systeme kaufen und einsetzen. Bei Hochrisiko-Systemen (z.B. HR-Tools, Kredit-Scoring) müssen Deployer menschliche Aufsicht einrichten, Logs führen, Betroffene informieren und prüfen ob der Anbieter die Konformitätspflichten erfüllt hat.
Was ist der Unterschied zwischen AI Governance und AI Compliance?
Compliance erfüllt externe Anforderungen — Gesetze, Normen, Auflagen. Governance ist breiter: Wie steuern wir intern, über das gesetzlich Geforderte hinaus? Compliance ist die Untergrenze. Governance ist die Gestaltung.
Was ist Shadow AI und wie verhindert man es?
Shadow AI bezeichnet KI-Tools die Mitarbeiter ohne Wissen oder Freigabe der Organisation nutzen. Verbote lösen das Problem nicht — sie treiben die Nutzung nur unter den Radar. Was hilft: ein niedrigschwelliger Meldeprozess, schnelle Freigabe-Entscheidungen, und eine Policy die ermöglicht statt blockiert.
Welche KI-Anwendungen gelten als Hochrisiko nach EU AI Act?
Hochrisiko-Systeme sind KI in acht definierten Bereichen (Anhang III EU AI Act): Biometrie, kritische Infrastruktur, Bildung, Beschäftigung (Recruiting, CV-Screening, Performance Monitoring, Kündigung), grundlegende Dienste (Kredit-Scoring, Versicherungen, Behördenleistungen), Strafverfolgung, Migration und Justiz. Dieselbe Technologie kann in einem Kontext minimal-riskant sein und in einem anderen Hochrisiko auslösen. Für die meisten Organisationen am relevantesten: alles im HR-Bereich das Entscheidungen über Menschen trifft oder vorbereitet.
Wie fange ich mit AI Governance an?
In vier Schritten: (1) AI-Inventar anlegen — was nutzen wir, wo, mit welchen Daten. (2) Risikoklassen klären — welche Systeme fallen unter Hochrisiko. (3) Verantwortlichkeiten definieren — wer trägt Governance, wer treibt Enablement. (4) Policy als Spielfeld aufbauen — nicht als Verbotsliste, sondern als klarer Handlungsrahmen.
Frameworks & Quellen
EU AI Act →
Das erste umfassende KI-Gesetz der Welt. Relevant für alle Organisationen die KI in der EU entwickeln oder einsetzen — als Provider oder Deployer.
NIST AI Risk Management Framework →
Das operative Framework des amerikanischen NIST. Beschreibt in vier Funktionen wie Organisationen KI-Risiken systematisch managen — Govern, Map, Measure, Manage.
ISO/IEC 42001 →
Zertifizierbares Managementsystem für AI. Relevant wenn ihr KI-Lösungen an andere verkauft oder in regulierten Branchen tätig seid.
OECD AI Principles →
Die globale Grundlage. Fünf Prinzipien die 46 Länder unterzeichnet haben — und auf die sich EU AI Act, NIST und ISO beziehen.