Publiziert: Zuletzt aktualisiert:

KI-Governance

KI-Governance ist das Betriebsmodell, das KI-Nutzung steuerbar macht: wer welche Modelle auf welchen Daten nutzen darf, mit welcher Aufsicht und welchem Nachweis. Sie schafft die Voraussetzung für souveräne KI, statt Nutzung pauschal zu blockieren.

Kontrolle und Vertrauen beim KI-Einsatz

Sobald die erste Abteilung ein KI-Werkzeug produktiv nutzt, steht jedes Unternehmen vor derselben Wahl. Entweder es entsteht eine ungesteuerte Schatten-KI, bei der niemand weiss, welche Daten in welches Modell fliessen. Oder die KI-Nutzung wird pauschal verboten und wandert trotzdem in den Untergrund. KI-Governance ist der dritte Weg: ein Rahmen, der KI nutzbar macht und dabei das Risiko steuert. Diese Seite beschreibt, was dieser Rahmen regelt, warum er ermöglicht statt bremst, und wie er die einschlägigen Regelwerke in eine einzige Praxis klammert.

Was KI-Governance regelt

Governance ist kein Dokument, sondern ein laufender Prozess über fünf Flächen:

  • Modelle. Welche Sprachmodelle und Anbieter sind freigegeben, welche nicht? Ein lokal betriebenes Open-Weights-Modell trägt ein anderes Risiko als eine US-Cloud-API.
  • Daten. Welche Datenklassen dürfen in welches Modell? Besonders schützenswerte Personendaten gehören nicht ungeprüft in eine fremde Cloud.
  • Zugriff. Wer darf KI für welchen Zweck einsetzen? Rollen und Freigaben statt eines stillen Selbstbedienungsladens.
  • Aufsicht. Wo braucht eine KI-Entscheidung einen Menschen in der Schleife, und wo genügt eine Stichprobe?
  • Nachweis. Lässt sich im Nachhinein belegen, welches Modell mit welchen Daten zu welcher Antwort kam? Ohne Audit-Trail ist jede Compliance-Aussage eine Behauptung.

Diese fünf Flächen sind das Gerüst. Alles Weitere, von der Modellauswahl bis zur Schulung, hängt daran.

Governance als Freigabeprozess, nicht als Verbot

Der häufigste Denkfehler setzt Governance mit Verbot gleich. Genau das erzeugt das Problem, das sie lösen soll. Wo KI pauschal untersagt wird, nutzen Mitarbeitende sie trotzdem, nur unsichtbar und unkontrolliert. Wirksame Governance dreht die Logik um: Sie definiert einen Freigabeprozess, der die sichere Nutzung schneller macht als den Umweg. Ein freigegebenes Modell, eine geklärte Datenklasse und eine bekannte Zuständigkeit nehmen der Nutzung die Reibung, statt sie zu verbieten. So wird Governance zur Voraussetzung dafür, dass KI-Entwicklung und KI-Einsatz überhaupt souverän möglich sind. Die strategische Frage, wo KI investiert wird, klärt davor die KI-Strategie; Governance klärt, wie der Einsatz kontrolliert bleibt.

Das Regelwerk in einem Rahmen

KI-Governance ist auch der Ort, an dem sich die einschlägigen Regelwerke nicht widersprechen, sondern ergänzen. Sie greifen gleichzeitig, nicht alternativ:

  • Der EU AI Act stuft KI-Systeme nach Risiko ein und knüpft daran Pflichten, von der Transparenzkennzeichnung bis zur menschlichen Aufsicht bei Hochrisiko-Anwendungen. Er reicht über seinen Ergebnis-in-der-EU-Auslöser auch zu Schweizer Akteuren.
  • ISO/IEC 42001 liefert den organisatorischen Unterbau: ein KI-Managementsystem, analog zu ISO 27001 für die Informationssicherheit, das Governance von der einmaligen Massnahme zur prüfbaren Routine macht.
  • Das revidierte Datenschutzgesetz (revDSG) greift unabhängig davon, sobald ein KI-System Personendaten verarbeitet. Wer Daten an US-Anbieter gibt, trifft zusätzlich auf den US Cloud Act.

Frameworks wie das NIST AI Risk Management Framework und die OECD-KI-Prinzipien geben dem Ganzen eine gemeinsame Sprache für Risiko, Transparenz und Rechenschaft. Governance ist die Klammer, die aus diesen Schichten eine einzige Praxis macht, statt drei getrennter Compliance-Projekte.

Der Governance-Kreislauf

Governance ist zyklisch, nicht einmalig. Jedes neue Modell, jeder neue Anwendungsfall und jede Regeländerung durchläuft dieselbe Schleife. Sie macht aus den fünf Flächen einen wiederholbaren Ablauf:

flowchart TD
    A["KI-Inventar<br/>inkl. Schatten-KI"] --> B["Einstufen<br/>Rolle, Risiko, Datenklasse"]
    B --> C["Kontrollen festlegen<br/>Freigabe, Aufsicht, Grenzen"]
    C --> D["Betrieb<br/>mit Nachweis und Audit-Trail"]
    D --> E["Review<br/>neue Modelle, neue Regeln"]
    E --> A

Der entscheidende Schritt ist der erste. Ohne ein vollständiges Inventar, das ausdrücklich die zugekaufte Schatten-KI in SaaS-Werkzeugen einschliesst, steuert Governance nur den sichtbaren Teil und übersieht das eigentliche Risiko. Die Einstufung greift dabei direkt auf die Risikoklassen des EU AI Act zurück.

Wo Governance bricht

  • Governance-Theater. Eine Richtlinie existiert, aber niemand setzt sie durch. Ein Rahmen ohne Freigabeprozess und ohne Audit-Trail ist Dekoration.
  • Schatten-KI. Das Inventar erfasst die offiziellen Werkzeuge, nicht die eingebetteten KI-Funktionen in bereits genutzter Software. Das grösste Risiko bleibt unsichtbar.
  • Zu spät. Governance wird erst nach dem ersten Vorfall aufgesetzt. Dann ist sie Schadensbegrenzung statt Steuerung.
  • Nur Technik oder nur Papier. Governance, die ausschliesslich aus Werkzeugen besteht, verfehlt die Rollen und Prozesse; Governance, die nur aus Dokumenten besteht, verfehlt die Durchsetzung. Beides gehört zusammen.

Was die Regelwerke für die Organisation heissen

Eine Governance, die Modelle und Datenflüsse bewusst auf souveräne Infrastruktur lenkt, löst mehrere Pflichten auf einmal: Sie hält die Modellwahl, die Datenklassen und den Nachweis in der Hand der Organisation, statt sie einem fremden Anbieter zu überlassen. Diese Einordnung, von der Risikoklasse bis zur Modellfreigabe, ist der Kern von KI-Governance; die kommerzielle Nachweis- und Lieferkettenseite deckt die Dienstleistung Security, Compliance und OSPO ab. Die laufende Beobachtung der Technologielandschaft, auf die sich Freigaben stützen, beschreibt das Tech-Radar; die Werte-Ebene hinter den Kontrollen behandelt Digitale Ethik. Für Schweizer Organisationen verschärft sich die Frage: Sobald ein KI-System Personendaten in eine US-Cloud gibt, greifen revDSG und der US Cloud Act, und besteht zusätzlich ein EU-Bezug, kommt die Risikoklassen-Logik des EU AI Act hinzu.

Referenzen


Verwandte Themen

KI fragen

Diese Links öffnen externe KI-Dienste, die Unterhaltung und deren Inhalt werden dabei an den jeweiligen Anbieter übertragen.