Verwaltungsrats-Lexikon

KI-Governance

Regeln, Strukturen und Verantwortlichkeiten für die verantwortungsvolle Nutzung von Künstlicher Intelligenz im Unternehmen.

Definition

KI-Governance ist das Regelwerk und die Verantwortungsstruktur einer Gesellschaft für den Einsatz von Künstlicher Intelligenz. Sie definiert, welche KI-Anwendungen zulässig sind, welche Daten verwendet werden dürfen, wie Transparenz und menschliche Kontrolle gesichert werden, welche Risiken zulässig sind und wer haftet.

KI wird zur Querschnitts-Technologie in praktisch jeder Branche. Sprachmodelle, Bildgeneratoren, Entscheidungsmodelle und automatisierte Agenten sind in Marketing, HR, Kundenservice, Recht, Finanzen, Forschung und Produktion präsent. Ohne klare Governance entstehen Schatten-Praktiken mit unkalkulierbaren Risiken.

Rechtsgrundlage

Wichtige Quellen:

Schweiz

  • OR Art. 716a, 717: Organisations- und Sorgfaltspflicht.
  • DSG: Datenschutz bei personenbezogenen KI-Anwendungen.
  • Diskriminierungsverbote: GlG, AHV, sektorspezifisch.
  • Sektorspezifische Regulierung: FINMA, Swissmedic, BAG.

EU AI Act (extraterritorial relevant)

  • Risikobasierter Ansatz mit vier Klassen.
  • Verbotene KI: Social Scoring, manipulative Systeme.
  • Hochrisiko-KI: HR, Kredit, Gesundheit, kritische Infrastruktur, Bildung.
  • Transparenz-KI: Chatbots, Deepfakes.
  • General-Purpose-AI: eigene Pflichten für Foundation Models.

International

  • OECD AI Principles, US Executive Orders, branchenspezifische Standards.

Bausteine einer KI-Governance

KI-Strategie

  • Zweck und Zielsetzung des KI-Einsatzes.
  • Risikoappetit explizit.
  • Investitionsentscheide zu wesentlichen KI-Vorhaben.

KI-Policy

  • Erlaubte und verbotene Anwendungen.
  • Genehmigungspflicht für neue Use Cases.
  • Datennutzungsregeln.
  • Menschliche Kontrolle (Human-in-the-Loop).
  • Transparenzpflichten.
  • Vendor-Auswahl und Vertragsklauseln.

KI-Inventar

  • Vollständige Erfassung aller KI-Anwendungen.
  • Klassifizierung nach Risiko.
  • Verantwortlichkeiten je Anwendung.

Verantwortlichkeiten

  • Business Owner: fachliche Verantwortung pro Anwendung.
  • Data Owner: Datenqualität und -recht.
  • AI Ethics Officer oder ähnliche Rolle: übergreifende Steuerung.
  • Legal: Compliance mit DSG, AI Act, branchenspezifisch.
  • IT/Security: technische Integration und Sicherheit.
  • VR: strategische Aufsicht.

Prozesse

  • Use-Case-Genehmigungsprozess.
  • Risk Assessment vor Produktivsetzung.
  • Monitoring der Modell-Performance und -Drift.
  • Incident-Management bei KI-Fehlern.
  • Periodische Reviews der eingesetzten Anwendungen.

Risiken

Besonders kritisch:

Modell-Risiken

  • Halluzinationen und faktische Fehler bei Sprachmodellen.
  • Bias gegenüber Geschlecht, Alter, Ethnie, sozialem Status.
  • Modell-Drift über die Zeit.
  • Robustheit gegen Adversarial Attacks.

Daten-Risiken

  • Datenschutzverletzungen durch ungewollte Eingaben in Foundation Models.
  • Urheberrechtsverletzungen durch Trainingsdaten und Outputs.
  • Datenherkunft intransparent.

Sicherheits-Risiken

  • Prompt Injection und Jailbreaks.
  • Datenexfiltration durch manipulierte Eingaben.
  • Modell-Diebstahl und Reverse Engineering.

Geschäftsrisiken

  • Reputationsschaden durch peinliche KI-Fehler.
  • Diskriminierungsklagen bei automatisierten Entscheiden.
  • Konzentrationsrisiken bei wenigen Foundation-Model-Anbietern.
  • Regulatorische Bussen bei AI-Act-Verstössen.

VR-Verantwortung

Der VR muss:

  • KI-Risikoappetit definieren.
  • KI-Strategie und -Policy genehmigen.
  • Verantwortlichkeiten klären.
  • Reporting zu KI-Einsatz und -Risiken einfordern.
  • Materielle KI-Vorhaben entscheiden.
  • KI-Kompetenz im VR sicherstellen.
  • EU-AI-Act-Compliance bei EU-Bezug überwachen.

Menschliche Kontrolle

Bei kritischen Entscheidungen muss Human-in-the-Loop gesichert sein:

  • Pre-Decision: menschliche Prüfung vor automatischer Entscheidung.
  • Post-Decision: menschliche Überprüfung nach Entscheidung.
  • Override-Möglichkeit: menschliche Korrektur jederzeit möglich.
  • Eskalationspfad: bei Unklarheit oder Konflikt.

Vollautomatisierte Entscheidungen mit erheblicher Wirkung auf Personen sind nach DSG und EU AI Act besonders reglementiert.

Transparenz

Gegenüber Stakeholdern:

  • Kunden: Hinweis bei KI-Interaktion (Chatbot, Deepfake).
  • Mitarbeitende: Information bei KI-Einsatz in HR.
  • Aufsichtsbehörden: je nach Sektor.
  • Öffentlichkeit: bei Hochrisiko-Anwendungen.

Häufige KI-Governance-Schwächen

  • Shadow-KI ohne Genehmigung in Fachabteilungen.
  • Fehlende Policy oder reine Verbote ohne Differenzierung.
  • Fehlendes Inventar der eingesetzten KI-Anwendungen.
  • Mangelnde Vendor-Due-Diligence.
  • Fehlende menschliche Kontrolle bei kritischen Entscheidungen.
  • Keine Awareness-Trainings.
  • Fehlende Verantwortungszuordnung.
  • Vermischung von Compliance- und Innovations-Steuerung.

Aktuelle Trends

  • EU AI Act-Compliance als Pflichtprogramm.
  • Generative KI mit eigener Risiko-Logik.
  • Agentic AI mit Autonomie-Aspekten.
  • KI-Lieferanten-Konzentration als strategisches Risiko.
  • Sektorspezifische KI-Regulierung in Pharma, Finanzen, Gesundheit.

Abgrenzung

  • Digital Governance: Oberbegriff — KI ist eine Teildomäne.
  • Daten-Governance: Voraussetzung — KI ohne Daten-Governance ist riskant.
  • Cyber-Governance: überlappt bei KI-Sicherheit (Prompt Injection).
  • Compliance: umfasst KI-Compliance als Teilaspekt.

Häufige Fragen

Was ist KI-Governance?
KI-Governance ist das Regelwerk und die Verantwortungsstruktur einer Gesellschaft für den Einsatz von Künstlicher Intelligenz: welche KI-Anwendungen erlaubt sind, welche Daten verwendet werden dürfen, wie Transparenz und menschliche Kontrolle gesichert werden, welche Risiken zulässig sind und wer haftet. Sie wird zur Pflicht-Komponente der Corporate Governance in praktisch jeder Branche.
Warum ist KI-Governance VR-Pflicht?
Weil KI strategische Hebel und gleichzeitig erhebliche Risiken bedeutet: Halluzinationen, Bias, Datenschutzverletzungen, Urheberrechtsfragen, Reputationsrisiken, Diskriminierungsklagen, Automatisierungsfehler mit Schadenwirkung. Der VR muss gemäss OR Art. 716a eine angemessene Organisation sicherstellen und nach OR Art. 717 sorgfältig entscheiden, welche KI-Risiken die Gesellschaft eingeht.
Welche Regulierung gilt für KI?
In der Schweiz gilt das DSG für personenbezogene KI-Anwendungen, das Diskriminierungsverbot und sektorspezifische Regeln (FINMA, Swissmedic). International prägend ist der EU AI Act (in Kraft seit 2024), der KI-Anwendungen in Risikoklassen einteilt mit entsprechenden Pflichten. Schweizer Unternehmen mit EU-Bezug fallen ebenfalls darunter. Eine eigenständige Schweizer KI-Regulierung wird diskutiert.
Welche Risikoklassen kennt der EU AI Act?
Vier Klassen: Verbotene KI (Social Scoring, manipulative Systeme), Hochrisiko-KI (HR, Kredit, Gesundheit, kritische Infrastruktur, Bildung) mit umfangreichen Pflichten, KI mit Transparenzpflicht (Chatbots, Deepfakes) und minimales Risiko (Spamfilter, Spiele). General-Purpose-AI-Modelle (Foundation Models) haben eigene Pflichten. Die Klassifizierung bestimmt Konformitätsanforderungen und Bussen.
Was gehört in eine KI-Policy?
Eine KI-Policy regelt: erlaubte und verbotene KI-Anwendungen, Genehmigungspflicht für neue Use Cases, Datenklassifikation und -nutzung in KI, menschliche Kontrolle (Human-in-the-Loop), Transparenzpflichten gegenüber Kunden und Mitarbeitenden, Vendor-Auswahl und Vertragsklauseln, Awareness-Trainings, Incident-Meldewege, Verantwortlichkeiten von Business Owner, Data Owner, IT, Legal und VR.
Wie hängt KI-Governance mit Daten-Governance zusammen?
KI-Modelle sind nur so gut wie ihre Daten. Ohne saubere Daten-Governance entstehen Bias durch unausgewogene Trainingsdaten, Datenschutzverletzungen durch unkontrollierten Datenfluss, intransparente Datenherkunft, Modell-Drift und Reputationsrisiken. Daten-Governance ist die Voraussetzung für verantwortungsvolle KI-Nutzung, beide Themen müssen integriert betrachtet werden.
Welche Risiken sind besonders kritisch?
Halluzinationen und faktische Fehler bei Sprachmodellen, Bias gegenüber Geschlecht, Alter oder Ethnie in Entscheidungsmodellen, Datenschutzverletzungen durch ungewollte Speicherung von Eingaben, Urheberrechtsverletzungen bei generativen Modellen, Cyber-Risiken durch Prompt Injection, Reputationsschaden durch peinliche KI-Fehler, Diskriminierungsklagen bei automatisierten Entscheiden, Konzentrationsrisiken bei wenigen Foundation-Model-Anbietern.
Was sind häufige KI-Governance-Schwächen?
Häufig: Shadow-KI ohne Genehmigung in den Fachabteilungen, fehlende Policy oder reine Verbote ohne Differenzierung, fehlendes Inventar der eingesetzten KI-Anwendungen, mangelnde Vendor-Due-Diligence, fehlende menschliche Kontrolle bei kritischen Entscheidungen, keine Awareness-Trainings, fehlende Verantwortungszuordnung, Vermischung von Compliance- und Innovations-Steuerung. KI-Governance braucht Klarheit und gleichzeitig Innovationsraum.

Verwandte Einträge

  • Digital GovernanceVR-Verantwortung für die Steuerung von IT, Daten, Cybersecurity, KI und Plattformrisiken als integrierte Domäne.
  • Daten-GovernanceRegeln und Verantwortlichkeiten für Datenqualität, Datenschutz, Zugriffsrechte und verantwortungsvolle Datennutzung im Unternehmen.
  • Cyber-GovernanceVerantwortung des Verwaltungsrats für die Steuerung von Cyberrisiken, Schutzkonzepten, Meldewegen und Resilienz.
  • Risiko-ManagementSystematische Identifikation, Bewertung, Steuerung und Überwachung aller wesentlichen Risiken einer Gesellschaft — Kernverantwortung des VR.