Thought Leadership
Mit dem EU AI Act stehen Unternehmen unter Zugzwang: Sie müssen Entwicklung, Vertrieb und Nutzung von KI strukturieren, die bislang oft unorganisiert sind.
In der Praxis führen Unsicherheiten über die Verordnung häufig zu zwei Extremen: KI wird entweder ausgebremst oder wächst unkontrolliert. Gefragt sind jetzt wirksame Governance-Strukturen.
Wenn KI schneller wächst als Governance
Künstliche Intelligenz verbreitet sich in Unternehmen derzeit schneller als die Strukturen, die ihren Einsatz steuern sollen. Neue Modelle, generative Anwendungen und automatisierte Analysefunktionen entstehen in immer mehr Geschäftsprozessen. Gleichzeitig experimentieren Fachbereiche mit neuen KI-Tools, während Softwareanbieter ihre Produkte kontinuierlich um KI-Funktionen erweitern.
Mit dem EU AI Act erhält diese Entwicklung eine regulatorische Dimension. Die Verordnung ist bereits 2024 in Kraft getreten und wird schrittweise wirksam. Seit Februar 2025 gelten die Verbote bestimmter KI-Praktiken sowie die Pflicht zur Sicherstellung von KI-Kompetenz aller Mitarbeitenden, die mit KI-Systemen arbeiten. Spätestens ab August 2026 greifen die Anforderungen für Hochrisiko-KI-Systeme, insbesondere Deployer- und Provider-Pflichten. Für Hochrisiko-Systeme in bereits regulierten Produkten gilt eine verlängerte Frist bis August 2027. Unternehmen müssen dann nachvollziehen können, wo KI eingesetzt wird, welche Risiken damit verbunden sind und wie Entscheidungen entlang des gesamten KI-Lebenszyklus gesteuert werden.
Damit stehen viele Organisationen vor einer praktischen Frage: Wie lässt sich AI-Governance so operationalisieren, dass regulatorische Anforderungen erfüllt werden, ohne Innovation auszubremsen? Die Antwort liegt in einem klar strukturierten Governance-Operating-Model.
KI entsteht heute außerhalb klassischer Projekte
Die Herausforderung für Unternehmen entsteht dadurch, dass KI nicht mehr nur über klassische IT-Projekte Einzug findet. Stattdessen gibt es mehrere Wege. Der gut kontrollierbare Weg: Unternehmen entwickeln eigene KI-Modelle oder -Lösungen, etwa für die Automatisierung von Abläufen. Diese Vorhaben laufen in der Regel über etablierte IT- und Projektprozesse mit klaren Zuständigkeiten. Parallel zu diesem Weg wächst aber auch der Anteil von KI-Funktionen und -Assistenten, die integriert in bestehender Standardsoftware unbemerkt ins Haus kommen. CRM, ERP, Kollaborations- und Office-Lösungen enthalten zunehmend eingebaute KI-Funktionen. Updates liegen hier beim Anbieter, während das Unternehmen die Funktionen im Rahmen der bestehenden Verträge nutzt. Diese werden folglich nicht vom Unternehmen selbst eingeführt, kontrolliert oder klassifiziert. KI-Funktionen in diesen Anwendungen haben zum Teil eigene Nutzungs- und Datenschutzbedingungen, die jedoch häufig nicht separat geprüft werden. Aus Sicht des AI Act sind Unternehmen als Deployer verantwortlich, sobald sie ein KI-System unter eigener Autorität einsetzen. Für alle KI-Systeme gilt die Pflicht, KI-Kompetenz der nutzenden Mitarbeitenden sicherzustellen. Fällt die konkrete Nutzung unter eine Hochrisiko-Kategorie, kommen zusätzliche Pflichten hinzu: Monitoring des Systembetriebs, Aufbewahrung automatisch erzeugter Logs für mindestens sechs Monate und unverzügliche Meldung schwerwiegender Vorfälle an Provider und Aufsichtsbehörden.
Darüber hinaus kommt die individuelle Nutzung von KI-Tools durch Beschäftigte, die sogenannte Shadow AI. Hier entstehen Risiken: Beschäftigte können sensible Daten an externe Dienste übermitteln. Oft fehlen dafür klare Verträge, Zweckbindungen und Kontrollen. Verstöße entstehen meist nicht absichtlich, sondern durch fehlende Alternativen und unklare Strukturen.
Was das für bestehende Strukturen bedeutet
Klassische Governance geht vom ersten Weg aus: Ein System wird initiiert, geprüft, freigegeben, betrieben. Der AI Act stellt dem einen risikobasierten, lebenszyklusorientierten Ansatz entgegen, der insbesondere die Nutzung im Betrieb adressiert.
Die Konsequenz reicht bis auf einzelne Aufgaben. Dieselbe Person kann Tätigkeiten ausführen, die in unterschiedliche Risikoklassen fallen. Für eine High-Risk-Aufgabe wie eine Kreditwürdigkeitsprüfung oder HR-Entscheidung gelten andere Anforderungen an System, Dokumentation und nachweisbare Kompetenz als für eine unkritische Aufgabe. Der einzelne Mitarbeitende muss wissen, welches Werkzeug für welche Aufgabe zugelassen ist.
Die regulatorische Einordnung hängt nicht von der ursprünglichen Klassifizierung eines Systems ab, sondern von seiner konkreten Verwendung. Maßgeblich sind die eingespeisten Daten, die Interpretation der Ergebnisse im Rahmen von Human Oversight und deren Einfluss auf operative Entscheidungen. Für Hochrisiko-Systeme konkretisiert der AI Act dies durch Monitoring- und Logging-Pflichten. Für Personen mit Human-Oversight-Aufgaben geht die Kompetenzverpflichtung über allgemeine KI-Kompetenz hinaus: Der AI Act verlangt nachweisbare Qualifikation, Autorität und Unterstützung.
Ein KI-Register ist notwendig, aber nicht hinreichend. Es schafft Transparenz darüber, welche Systeme im Einsatz sind, wer sie nutzen darf und für welche Aufgaben sie zugelassen sind. Viele KI-Systeme schließen in ihren Lizenzbedingungen bestimmte Anwendungsfelder aus; das Register hilft, das richtige Werkzeug zu identifizieren. Was es nicht abbildet, ist die dynamische Nutzung: welche Daten eingegeben werden, wie Ergebnisse weiterverarbeitet werden und ob die reale Anwendung mit der zugelassenen übereinstimmt. Register und laufende Nutzungsgovernance ergänzen sich; das eine ist ohne das andere wirkungslos.
Wie Unternehmen Governance jetzt verankern sollten
Governance braucht eine lifecycle-orientierte Verankerung von der Idee über Beschaffung bis zur Stilllegung: Use-Case-Reviews, ein zentrales AI-Register, Monitoring- und Incident-Prozesse, sowie differenzierte Trainingspflichten: allgemeine KI-Kompetenz für alle Mitarbeitenden und aufgabenspezifische Qualifikation für Personen mit High-Risk-Oversight. Training muss mit der Veränderung von Systemen und Aufgabenprofilen Schritt halten.
Vendor- und Model-Risk-Management sollte entlang der Deployer-Pflichten erweitert werden: vollständige Provider-Dokumentation als Basis für eigene Pflichterfüllung, vertragliche Informationspflichten bei Modelländerungen, ausreichende Grundlage für Datenschutz- und Grundrechte-Folgenabschätzungen, sowie Audit-Rechte und Log-Zugang.
Entscheidungsstrukturen brauchen klare Rollen: KI-Owner in Fachbereichen, technische Systemverantwortliche, ein zentraler Governance-Lead und ein operatives Gremium. Entscheidend ist ein klarer Treiber. Interdisziplinäre Beteiligung ist notwendig, aber nicht dasselbe wie gemeinsame Zuständigkeit.
Ebenso wichtig ist die Kommunikation. Der AI Act verlangt mit der aufgabenbezogenen Risikoeinstufung eine Differenzierung, die nur funktioniert, wenn jede betroffene Person versteht, was sie konkret betrifft. Governance muss von Beginn an kommunizierbar gestaltet sein: klare Regeln, verständliche Sprache, konkrete Handlungsanweisungen.
Ein solcher Rahmen stellt sicher, dass KI-Use-Cases risikoadäquat gesteuert und auditfähig dokumentiert werden. Gleichzeitig verkürzt er Freigabezeiten und ermöglicht skalierbare KI-Nutzung im Rahmen des AI Act.
