Digital Governance

VR-Verantwortung für die Steuerung von IT, Daten, Cybersecurity, KI und Plattformrisiken als integrierte Domäne.

Definition

Digital Governance ist die integrierte Steuerung der digitalen Domänen IT, Daten, Cybersecurity, KI und Plattformrisiken durch den Verwaltungsrat. Sie ersetzt das traditionelle IT-Governance-Modell, das digitale Themen als reine Technikfrage an den CIO delegierte. In modernen, oft datengetriebenen Geschäftsmodellen ist Digital Governance ein zentraler Teil der Unternehmensführung selbst.

Sie ergibt sich aus der Pflicht zur angemessenen Organisation und Oberaufsicht (OR Art. 716a) und der Sorgfaltspflicht der VR-Mitglieder (OR Art. 717).

Domänen

Digital Governance umfasst typischerweise vier integrierte Domänen:

IT-Governance

Architektur und Plattformen: Cloud-Strategie, Kern-Systeme, Schnittstellen.
Investitionsentscheidungen zu IT-Projekten.
Betrieb und Verfügbarkeit: SLAs, Resilienz, Wiederherstellung.
Lieferanten- und Cloud-Steuerung.

Daten-Governance

Datenqualität und -klassifikation.
Datenschutz und Zugriffsrechte.
Datenwert und -monetarisierung.
Aufbewahrung und Löschung.

Cyber-Governance

Schutzkonzept und Resilienz.
Detection, Response, Recovery.
Drittparteien-Cyberrisiko.
Meldepflichten und Krisenkommunikation.

KI-Governance

Verantwortungsvolle KI-Nutzung.
Bias, Transparenz, menschliche Kontrolle.
Risikomanagement bei KI-Einsatz.
Compliance mit emergenten Regulierungen (EU AI Act).

Hinzu kommen Plattformrisiken (Abhängigkeit von Cloud-Anbietern, App Stores, Marktplätzen) und digitale Geschäftsmodell-Innovation.

Rechtsgrundlage

Wichtige Quellen:

OR Art. 716a: Organisations- und Oberaufsichtspflicht.
OR Art. 717: allgemeine Sorgfaltspflicht.
OR Art. 754: Haftungsfolgen bei mangelhafter Governance.
DSG, ISG, FINMA-Rundschreiben: sektorspezifische Vorgaben.

Bei einem digitalen Vorfall mit Schaden prüfen Gerichte, ob der VR ein angemessenes Digital-Risk-Framework etabliert hat.

Organisationsformen

Je nach Grösse und Digital-Reife der Gesellschaft:

Standing Item im Gesamt-VR: Mindeststandard, halbjährlich.
Technologie- oder Innovationsausschuss: Vorbereitung für VR.
Dedizierte Digital-Kompetenz in einem VR-Mitglied.
Digital-Beirat: externe Fachpersonen mit Beratungsfunktion.
Direktes Reporting von CIO, CISO, CDO an VR (nicht nur via CEO).

Bei stark digital geprägten Geschäftsmodellen ist ein dedizierter Ausschuss heute Standard.

VR-Verantwortung

Der VR muss:

Digital-Strategie im Kontext der Geschäftsstrategie verabschieden.
Digital-Risikoappetit definieren.
Investitionsentscheide zu wesentlichen digitalen Vorhaben treffen.
Reporting-Strukturen für die digitalen Domänen etablieren.
Digital-Kompetenz im VR sicherstellen oder kompensieren.
Lieferanten- und Plattform-Abhängigkeiten überwachen.
Innovationsfähigkeit und Risiko-Disziplin in Balance halten.

Digital-Kompetenz im VR

Digital ist keine Spezialdisziplin mehr, sondern Teil der Geschäftskompetenz. Mindestens ein VR-Mitglied mit substanzieller Digital-Erfahrung ist heute Standard, idealerweise mehrere mit komplementären Profilen:

IT-Architektur und Plattformen.
Datenökonomie und Analytics.
Cybersecurity.
KI und Algorithmen.
Digitale Geschäftsmodelle und Plattformökonomie.

Bei Lücken sind Beiräte, externe Beratung und gezielte Schulungen Notfall-Brücken, aber kein dauerhafter Ersatz.

Digital Governance und Strategie

Digital ist keine separate Strategie-Schicht. Sie durchzieht alle Bereiche:

Geschäftsmodell-Innovation: Plattform, Subscription, Daten-Erlösströme.
Kundenerlebnis: digitale Schnittstellen, Personalisierung.
Operative Effizienz: Automatisierung, KI-gestützte Prozesse.
Skalierung: Cloud, internationale Plattformen.
Schutz vor Disruption: eigene digitale Innovation oder Akquisition.

Der VR muss verstehen, wo Digital strategischer Hebel und wo Existenzrisiko ist.

Häufige Digital-Governance-Schwächen

Delegation an die IT ohne VR-Verständnis.
Fehlende Digital-Kompetenz im VR.
Silo-Steuerung der Domänen (IT, Cyber, Daten, KI getrennt).
Innovationsblockade durch Risikoaversion.
Mangelnde Lieferanten- und Plattform-Steuerung.
Vermischung von Digital-Strategie und -Operations.
Keine integrierte Sicht auf digitale Risiken und Chancen.

Aktuelle Trends

KI als Querschnittsthema mit eigenständiger Governance.
Cloud-Souveränität und geopolitische Plattformrisiken.
Digitale Resilienz als regulatorische Anforderung (NIS2, DORA in EU).
Daten als strategisches Asset mit Monetarisierungsmodellen.
Cybersecurity als Boardroom-Thema.

Abgrenzung

IT-Governance: klassische, technikorientierte Sicht — Digital Governance ist die strategisch erweiterte Form.
Corporate Governance: Oberbegriff — Digital Governance ist die digitale Dimension.
Cyber-Governance, Daten-Governance, KI-Governance: Teildomänen — Digital Governance integriert sie.

Häufige Fragen

Was ist Digital Governance?

Digital Governance ist die integrierte Steuerung der digitalen Domänen IT, Daten, Cybersecurity, KI und Plattformrisiken durch den Verwaltungsrat. Sie ersetzt das traditionelle IT-Governance-Modell, das digitale Themen als reine Technikfrage delegierte. In digitalen Geschäftsmodellen ist die Digital Governance ein zentraler Teil der Unternehmensführung selbst.

Warum ist Digital Governance VR-Pflicht?

Sie ergibt sich aus OR Art. 716a und der Sorgfaltspflicht nach OR Art. 717. Digitale Risiken können Geschäftsmodelle vernichten (Ransomware, Plattform-Disruption, Datenschutzverletzungen), digitale Chancen sind oft strategischer Hebel. Wer Digital an den CIO delegiert ohne VR-Verständnis, verletzt die Sorgfaltspflicht und nimmt unkontrollierte Existenzrisiken in Kauf.

Welche Domänen umfasst Digital Governance?

Vier Hauptdomänen: IT-Governance (Architektur, Betrieb, Investitionen), Daten-Governance (Qualität, Schutz, Nutzung), Cyber-Governance (Schutz, Detection, Response) und KI-Governance (verantwortungsvolle KI-Nutzung). Hinzu kommen Plattform- und Ökosystemrisiken (Abhängigkeit von Cloud, App Stores, Marktplätzen) und digitale Geschäftsmodell-Innovation.

Wie organisiert ein VR seine Digital Governance?

Optionen sind: Standing Item im Gesamt-VR (mindestens halbjährlich), Technologie- oder Innovationsausschuss als Vorbereitung, dedizierte Digital- oder Tech-Kompetenz in einem VR-Mitglied, Beirat mit Digital-Fachpersonen sowie direktes Reporting von CIO, CISO und CDO. Bei stark digital geprägten Geschäftsmodellen wird ein dedizierter Ausschuss empfohlen.

Welche Kompetenz braucht der VR?

Digital ist keine Spezialdisziplin mehr, sondern Teil der Geschäftskompetenz. Mindestens ein VR-Mitglied mit substanzieller Digital-Erfahrung ist heute Standard, idealerweise mehrere mit komplementären Profilen (IT-Architektur, Datenökonomie, Cybersecurity, KI). Bei Lücken sind externe Beratung, Beiräte oder gezielte Schulungen Notfall-Brücken, aber kein Ersatz.

Wie hängt Digital Governance mit Strategie zusammen?

Digital ist keine separate Strategie-Schicht, sondern durchzieht die Geschäftsstrategie. Geschäftsmodell-Innovation, Kundenerlebnis, Effizienz, Skalierung, neue Erlösströme und Schutz vor Disruption sind alle digital geprägt. Der VR muss verstehen, wo Digital strategische Hebel und wo sie Risiko ist, und entsprechend Ressourcen und Aufmerksamkeit allokieren.

Was sind häufige Digital-Governance-Schwächen?

Häufig sind Digital-Delegation an die IT ohne VR-Verständnis, fehlende Digital-Kompetenz im VR, Silo-Steuerung der Domänen (IT, Cyber, Daten, KI getrennt), Innovationsblockade durch Risikoaversion, mangelnde Lieferanten- und Plattform-Steuerung sowie Vermischung von Digital-Strategie und -Operations. Eine reife Digital Governance ist integrativ, kompetent und strategisch.