KI-Governance bezeichnet den Ordnungsrahmen, mit dem ein Unternehmen Entwicklung, Einsatz, Betrieb und Abschaltung von KI-Systemen steuert. Der Rahmen umfasst Richtlinien, Rollen, Prozesse, Kontrollen und Dokumentationspflichten. Ziel ist es, Nutzen aus KI zu schöpfen und gleichzeitig Risiken für Menschen, Organisationen und die Gesellschaft zu minimieren.
KI-Governance überschneidet sich mit Data Governance, IT Governance und Risk Governance, ist aber nicht mit ihnen identisch. Data Governance regelt, wie Daten erfasst, verwaltet und genutzt werden. IT Governance steuert IT-Ressourcen und IT-Strategie. KI-Governance adressiert zusätzlich die spezifischen Eigenschaften von KI-Systemen: deren probabilistisches Verhalten, die Abhängigkeit von Trainingsdaten, die Schwierigkeit der Erklärbarkeit und die potenziellen Auswirkungen automatisierter Entscheidungen auf Menschen.
Ein Rahmen für KI-Governance beantwortet mindestens vier Fragen. Erstens: Welche KI-Systeme setzt das Unternehmen ein, und für welchen Zweck? Zweitens: Welche Risiken gehen von diesen Systemen aus, und wie werden sie bewertet? Drittens: Wer ist für den sicheren und regelkonformen Betrieb verantwortlich? Viertens: Wie wird die Konformität nachgewiesen und dokumentiert?
KI-Governance ist 2026 keine freiwillige Disziplin mehr. Drei Kräfte machen sie zur Pflicht:
Regulatorischer Druck. Der EU AI Act ist seit August 2024 in Kraft, mit gestaffelter Anwendbarkeit. Verbote gelten seit Februar 2025, Obligationen für General-Purpose-AI-Modelle seit August 2025, Hochrisiko-Pflichten ab August 2026. Daneben: NIS2 mit Enforcement ab Oktober 2026, DORA seit Januar 2025 aktiv, ISO 42001 als freiwilliger, aber zunehmend von Auftraggebern geforderter Standard.
Stakeholder-Erwartungen. Kunden, Investoren und Behörden fragen zunehmend: Wie entscheidet das KI-System? Wer haftet? Wie wird sichergestellt, dass das System fair und sicher ist? Unternehmen ohne belastbare Antworten verlieren Aufträge und Zugang zu Märkten.
Operative Risiken. KI-Systeme können diskriminieren, falsch klassifizieren, halluzinieren oder sicherheitskritische Fehler produzieren. Ohne Governance fehlen die Mechanismen, um solche Fehler frühzeitig zu erkennen, einzudämmen und zu dokumentieren.
KI-Governance wird durch drei operative Instrumente umgesetzt:
KI-Inventar. Das Inventar erfasst alle KI-Systeme, die im Unternehmen eingesetzt werden: Name, Zweck, technische Basis, eingesetzte Daten, betroffene Personen, Risikoklassifikation, Provider und Deployer. Das Inventar ist die Grundlage aller weiteren Governance-Maßnahmen. Ohne Inventar ist keine verlässliche Compliance möglich.
Risiko-Framework. Basierend auf dem EU AI Act (vier Risikoklassen: unannehmbares Risiko, Hochrisiko, begrenztes Risiko, minimales Risiko) und erweitert durch unternehmensspezifische Kriterien. Jedes KI-System im Inventar wird klassifiziert. Die Klassifikation bestimmt die anwendbaren Anforderungen.
Integration in den Change-Prozess. KI-Governance ist kein Parallelstruktur neben dem Change Management. Jede Änderung an einem KI-System durchläuft den Change-Prozess. Der Change enthält KI-spezifische Felder: Änderung der Risikoklassifikation? Änderung der Trainingsdaten? Änderung der Zweckbestimmung? Diese Felder steuern den Genehmigungsworkflow und die Dokumentationsanforderungen.
Governance-Dokumente ohne gelebte Governance. Viele Unternehmen haben KI-Richtlinien erstellt und KI-Ethik-Grundsätze verabschiedet. Diese Dokumente existieren, werden aber nicht operationalisiert. Kein Inventar, keine Risikoklassifikation, kein Change-Prozess für KI-Änderungen. Das Ergebnis ist eine compliance-sichere Oberfläche ohne belastbare Governance darunter.
Klassifizierungslücke. Die EU-Kommission hat eine Leitlinie zur Klassifizierung nach Artikel 6 EU AI Act versprochen. Sie ist nicht erschienen (Stand: April 2026). Für einen erheblichen Teil der Enterprise-KI-Systeme ist die Einordnung in eine Risikoklasse unklar. Ohne Leitlinie müssen Unternehmen selbst klassifizieren, mit dem Risiko der Fehlklassifikation in beide Richtungen.
Shadow AI. Mitarbeitende nutzen KI-Dienste ausserhalb des offiziellen Inventars. Diese Systeme sind nicht klassifiziert, nicht überwacht, nicht im Change-Prozess erfasst. Shadow AI ist die grösste Governance-Lücke in den meisten Unternehmen.
Governance-Rahmen vor dem ersten KI-Projekt. Der häufigste Fehler ist, mit dem KI-Einsatz zu beginnen und die Governance nachzuziehen. Das erzeugt technische Schulden in der Compliance: Systeme, die ohne Dokumentation in Betrieb gegangen sind, müssen nachträglich klassifiziert, dokumentiert und bewertet werden. Das ist aufwändig und fehleranfällig.
ISO 42001 als strukturierten Rahmen nutzen. ISO/IEC 42001:2023 ist der erste internationale Standard für AI Management Systems (AIMS). Er ist nach der High Level Structure aufgebaut, die auch ISO 27001 und ISO 9001 verwenden. Das ermöglicht Integration in bestehende Management-System-Landschaften. ISO 42001 kann als Rahmen genutzt werden, ohne eine Zertifizierung anzustreben. Die Zertifizierung ist ein optionaler nächster Schritt.
Governance-Dokumentation als Nebenprodukt des Prozesses. Ein gut aufgesetzter KI-Governance-Prozess erzeugt Dokumentation als Nebenprodukt: Inventareinträge, Risikoklassifikationen, Change-Records, Test-Protokolle, Monitoring-Logs. Die Dokumentation entsteht durch den Prozess, nicht durch eine gesonderte Audit-Vorbereitung. Jede Freigabe, jede Risikoeinschätzung, jedes Monitoring-Ereignis ist systematisch erfasst und abrufbar.
KI-Governance ist der übergeordnete Ordnungsrahmen für KI-Einsatz in Unternehmen. 2026 wird sie durch den EU AI Act zur rechtlichen Pflicht. Inventar, Risiko-Framework und Integration in den Change-Prozess sind die drei operativen Bausteine.