AI Governance aufbauen: Ein Einstieg in vier Schritten
Es gibt hunderte von AI-Governance-Frameworks. Aber welches Framework ihr wählt ist weniger wichtig als ob ihr überhaupt anfangt — und womit.
Die vier Schritte die jede Organisation in den nächsten Wochen angehen kann. Ohne Gremienentscheidungen. Ohne Beratungsbudget.
Warum Frameworks allein nicht helfen
Wer nach einem AI-Governance-Framework sucht, findet viele: NIST AI RMF, ISO/IEC 42001, die EU AI Act Compliance-Tools, diverse Beratungs-Frameworks. Das Problem: Frameworks beschreiben was vorhanden sein sollte. Sie sagen nicht was ihr morgen tut.
“Governance bedeutet nicht ein Framework eingekauft zu haben. Es bedeutet, die Fragen die KI stellt tatsächlich beantwortet zu haben.”
Was Frameworks leisten
Vollständigkeit prüfen, Audits vorbereiten, Benchmarks setzen.
Was Frameworks nicht leisten
Den ersten konkreten Schritt machen, die richtigen Menschen in den Raum bringen, die Fragen beantworten die in eurem spezifischen Kontext gelten.
Was tatsächlich hilft
Anfangen. Mit etwas das in vier Wochen fertig ist. Und dann weiter.
Was das für euch bedeutet: Das perfekte Framework ist der Feind des brauchbaren Anfangs. Schritt 1 ist Schritt 1 — nicht “das richtige Framework auswählen”.
Die vier Schritte
AI-Inventar anlegen
Zeitrahmen: 4–6 Wochen
Was nutzt eure Organisation? In welchen Teams, für welche Zwecke, mit welchen Daten? Nicht perfekt — vollständig genug. Methode: kurze Befragung in allen Abteilungen, kombiniert mit IT-Procurement-Daten. Output: eine Tabelle mit drei Spalten — Tool, Zweck, Datenkategorie. Das Inventar ist die Grundlage für alles weitere. Ohne es trifft ihr Governance-Entscheidungen im Dunkeln.
Risikoklassen klären
Zeitrahmen: 2–3 Wochen nach Inventar
Für jedes System im Inventar: Was ist die Risikoklasse nach EU AI Act? Minimal, begrenzt oder Hochrisiko? Das ist eine Business-Entscheidung — nicht IT, nicht Legal allein. Der Kontext entscheidet: Dasselbe Modell kann in einem Use Case minimal-riskant sein und in einem anderen Hochrisiko auslösen. Praktischer Ausgangspunkt: Jedes System das Entscheidungen über Menschen vorbereitet oder trifft, ist ein Hochrisiko-Kandidat.
Verantwortlichkeiten definieren
Zeitrahmen: 1–2 Wochen
Für jedes relevante KI-System: Eine namentlich benannte Person die verantwortet. Keine Governance ohne Namen. Was diese Person verantwortet: Qualitätssicherung, Monitoring, Informationspflichten, Eingabe bei Änderungen. Nicht: jede technische Entscheidung. Sondern: das System läuft so wie es soll und entsprechend dem regulatorischen Kontext.
KI-Richtlinie als Spielfeld bauen
Zeitrahmen: 4 Wochen parallel oder danach
Nicht als Verbotsliste — als klarer Handlungsrahmen. Was ist immer erlaubt, was braucht Genehmigung, was ist nie erlaubt? Klare Datenklassifikation. Schneller Freigabe-Prozess für neue Tools und Use Cases. Kurz genug dass Mitarbeiter sie lesen. Konkret genug dass sie täglich nützlich ist.
Was den Aufbau aufhält
Fehler: Auf das richtige Framework warten.
Konsequenz: Sechs Monate ohne Fortschritt, während die EU AI Act Deadline näher rückt.
Stattdessen: Mit Schritt 1 (Inventar) anfangen — morgen, nicht nach dem Framework-Auswahlprozess.
Fehler: Governance als IT-Aufgabe behandeln.
Konsequenz: Technische Dokumentation die niemand liest, keine Verbindung zur Business-Seite.
Stattdessen: AI Governance gehört zur Führungsverantwortung — IT ist Partner, nicht Owner.
Fehler: Perfektionismus beim Inventar.
Konsequenz: Das Inventar wird nie fertig, weil “noch nicht vollständig”.
Stattdessen: Ein 80%-Inventar in vier Wochen ist besser als ein 100%-Inventar in acht Monaten.
Fehler: KI-Richtlinie ohne Freigabe-Prozess.
Konsequenz: Mitarbeiter umgehen den Prozess weil er zu langsam ist.
Stattdessen: Schnelles Review für Standard-Cases (48–72h), Eskalationspfad für komplexe Cases.
Wer macht was — Verantwortung klar verteilen
AI Governance braucht klare Rollen. Was in vielen Organisationen fehlt, ist die Klarheit darüber wer welche Fragen beantwortet.
Geschäftsführung / C-Level
Setzt den strategischen Rahmen. Entscheidet welche Risiken die Organisation eingeht. Genehmigt die Policy. Definiert die Ressourcen. Ist verantwortlich im Sinne des EU AI Act.
AI Governance Owner (1 Person)
Koordiniert den Aufbau. Pflegt das Inventar. Betreibt den Freigabe-Prozess. Ist Ansprechpartner für regulatorische Fragen. Muss nicht Vollzeit sein — aber muss namentlich benannt sein.
System-Verantwortliche (pro Hochrisiko-System)
Verantworten die laufende Qualität und Compliance des Systems. Nicht die technische Infrastruktur — sondern die Frage: Tut dieses System was es tun soll, so wie es regulatorisch geboten ist?
Was das für euch bedeutet: Wenn niemand namentlich für AI Governance verantwortlich ist, ist es niemandes Job. Das ist das häufigste Governance-Problem in mittelständischen Organisationen.