Enterprise-KI-Governance-Frameworks lesen sich, als wären sie für Organisationen mit 50.000 Mitarbeitenden und einem dedizierten KI-Ethik-Team geschrieben worden. Die meisten wurden es auch. Sie fordern KI-Review-Boards, mehrstufige Genehmigungsprozesse, umfassende Bias-Auditing-Programme und Dokumentationsstandards, die eine Vollzeitstelle in der Compliance-Abteilung erfordern würden. Wer solche Texte liest und darin die eigene Situation nicht wiederfindet, zieht zwei Schlüsse: Governance ist nichts für uns, oder Governance müssen wir irgendwann mal angehen. Beides ist falsch.
Das erste Missverständnis verhindert, dass KI den Produktivbetrieb jemals erreicht — nicht wegen technischer Hürden, sondern wegen institutioneller Schwerfälligkeit, die dem eigentlichen Risikoprofil in keiner Weise entspricht. Das zweite verschiebt eine Pflicht, die nach dem EU AI Act inzwischen mit konkreten Fristen verbunden ist. Ab dem 2. August 2026 gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme gemäß Anhang III der Verordnung — und der Begriff „Hochrisiko" ist weiter gefasst, als viele Geschäftsführer heute annehmen.
Die Lösung ist nicht das Enterprise-Framework, und sie ist auch nicht das Ausweichen. Die Lösung ist schlanke Governance: ein minimaler Satz an Strukturen, der echte Aufsicht bietet, regulatorische Anforderungen nachweisbar erfüllt und keine Vollzeitstelle schafft, die Sie nicht haben wollen.
Was Governance tatsächlich leisten muss
Wenn Sie den Berater-Jargon beiseitelegen, erfüllt KI-Governance vier Zwecke — und genau diese vier. Verantwortlichkeit bedeutet: Für jeden KI-Workflow ist eine namentlich benannte Person zuständig. Kein Gremium, kein Team — eine Person, die weiß, was das System tut, wie es performt und was zu tun ist, wenn es das nicht tut. Aufsicht bedeutet: Performance wird gemessen, Degradation wird erkannt, Probleme werden eskaliert, bevor sie zu Vorfällen werden. Compliance bedeutet: Die Organisation kann gegenüber Behörden, Wirtschaftsprüfern und Kunden nachweisen, dass KI verantwortungsvoll eingesetzt wird — im Einklang mit DSGVO, dem EU AI Act und branchenspezifischer Regulierung. Entscheidungsrechte bedeutet: Es ist unmissverständlich klar, wer neue Deployments genehmigt, wer bestehende Workflows ändert und wer ein System abschalten kann, wenn nötig.
Diese vier Zwecke sind das Fundament. Alles, was darüber hinausgeht — Ethics-Boards, zentrale Model-Registries, Bias-Auditing-Programme — ist Zubehör. Nützliches Zubehör für Organisationen bestimmter Größe und bestimmter Anwendungsfälle, aber Zubehör. Beginnen Sie mit dem Fundament.
Das Einseitige-Governance-Modell
Wir empfehlen eine Governance-Struktur, die auf eine einzige Seite passt. Wortwörtlich. Wenn Ihr KI-Governance-Framework nicht auf ein DIN-A4-Blatt gedruckt und in fünf Minuten verstanden werden kann, ist es zu komplex für eine Organisation ohne dedizierte KI-Operations-Funktion.
Das Modell besteht aus drei Rollen und einem Rhythmus.
Der KI-Workflow-Verantwortliche ist eine Person pro KI-Workflow — typischerweise dieselbe Person, die den zugrunde liegenden Geschäftsprozess verantwortet. Ihre Aufgabe ist nicht, die KI technisch zu verstehen, sondern sie operativ zu beaufsichtigen: wöchentliche Performance-Metriken überprüfen, Grenzfälle monatlich auswerten, Eskalationspunkte kennen und eine einseitige Workflow-Dokumentation pflegen, in der steht, was das System tut, welche Daten es verarbeitet und was im Fehlerfall passiert. Der Zeitaufwand für stabile, gut laufende Workflows liegt bei 30 bis 60 Minuten pro Woche — das ist eine Ergänzung zu bestehenden operativen Verantwortlichkeiten, keine neue Rolle.
Der KI-Sponsor ist eine Person für die gesamte Organisation. Typischerweise der Geschäftsführer, die COO oder der CTO. Diese Rolle genehmigt neue Deployments, trifft Go/No-Go-Entscheidungen bei Modelländerungen, reviewt aggregierte KI-Performance vierteljährlich und ist der externe Ansprechpartner für Technologiepartner und Regulierungsbehörden. Der KI-Sponsor muss die technischen Details nicht verstehen. Er muss den geschäftlichen Impact verstehen und entsprechend entscheiden — genau dasselbe, was er für andere Investitionsentscheidungen tut.
Der Compliance-Kontakt ist meist der bestehende Datenschutzbeauftragte oder die Rechtsabteilung. Diese Rolle prüft, ob jeder Workflow eine abgeschlossene Risikoklassifizierung nach dem EU AI Act besitzt, ob DSGVO-Anforderungen erfüllt sind — Auftragsverarbeitungsverträge, Datenschutz-Folgenabschätzungen wo nötig — und berät bei regulatorischen Änderungen, die bestehende Deployments betreffen. Das ist eine beratende Funktion, kein Genehmigungsengpass. Der Compliance-Kontakt prüft und berät. Der KI-Sponsor entscheidet.
Der Quartals-Review als Governance-Herzschlag
Die drei Rollen ergeben erst mit einem klaren Rhythmus Sinn. Einmal pro Quartal treffen sich alle drei für 60 bis 90 Minuten. Die Agenda ist standardisiert und damit weder verhandelbar noch ausdehnbar: Performance-Review je Workflow, Grenzfall-Trends, Compliance-Update, Pipeline-Bewertung neuer Kandidaten, Entscheidungen zu vorgeschlagenen Änderungen. Das Ergebnis ist ein einseitiges Protokoll — was funktioniert, was Aufmerksamkeit braucht, was beschlossen wurde.
Dieses Dokument, über Quartale akkumuliert, ist Ihr KI-Governance-Nachweis. Ausreichend für Wirtschaftsprüfer, ausreichend für eine Behördenanfrage, ausreichend für Vorstandsberichterstattung. Sie bauen keinen Bürokratieapparat — Sie bauen ein Archiv von Aufsichtsentscheidungen, das Ihren tatsächlichen Entscheidungsprozess dokumentiert.
Was der EU AI Act vom Mittelstand tatsächlich verlangt
Hier ist die Einschätzung, die viele Berater vermeiden, weil sie die Dramatik nimmt: Die meisten KI-Workflows im Mittelstand sind nicht Hochrisiko im Sinne des EU AI Act. Anhang III der Verordnung definiert acht Kategorien von Hochrisiko-Anwendungen — Biometrie, kritische Infrastruktur, Bildung, Personalentscheidungen, wesentliche Privatdienstleistungen (Kredit, Versicherung), Strafverfolgung, Migrations- und Grenzkontrolle, Rechtspflege. Wer KI für Dokumentenklassifikation, Prozessautomatisierung, interne Wissenssuche oder Kundenservice-Routing einsetzt, fällt in der Regel nicht darunter.
Für diese Nicht-Hochrisiko-Systeme sind die Anforderungen des EU AI Act überschaubar: Transparenzpflichten (das System darf sich nicht als Mensch ausgeben, wo das relevant ist), allgemeine Sorgfaltspflichten, technische Robustheit. Das ist handhabbar — und weitgehend identisch mit dem, was gute operative Praxis ohnehin verlangt.
Die volle Last des Gesetzes — Risikomanagement-System, Datensatz-Governance, technische Dokumentation, Konformitätsbewertung, CE-Kennzeichnung — trifft Hochrisiko-Systeme. Und die Frist dafür ist der 2. August 2026. Wenn Sie heute KI in einem der Annex-III-Bereiche einsetzen oder vorhaben, dies zu tun, ist das keine abstrakte regulatorische Zukunft mehr. Das ist dieses Jahr.
Der Governance-Ansatz, den wir beschreiben, ist auf Nicht-Hochrisiko-Systeme ausgelegt. Wenn Sie Hochrisiko-Anwendungen deployen, brauchen Sie über das Einseitige Modell hinaus zusätzliche Dokumentationstiefe — und sollten das mit rechtlicher Begleitung angehen. Für einen vollständigen Überblick über Klassifizierung und Pflichten nach dem EU AI Act siehe unseren EU-AI-Act-Leitfaden.
Warum Enterprise-Governance den Mittelstand hemmt
KI-Ethik-Boards ergeben Sinn für ein Unternehmen, das KI für Kreditentscheidungen einsetzt, die Hunderttausende Verbraucher betreffen, oder für Preisalgorithmen mit gesamtwirtschaftlicher Wirkung. Für einen Mittelständler, der KI zur Klassifikation von Support-Tickets nutzt, erzeugt ein fünfköpfiges Gremium, das monatlich zusammentritt, Overhead ohne Schutzwirkung. Ethische Erwägungen sind Teil des Quartals-Reviews — nicht ausgelagert in ein separates Organ.
Zentrale Model-Registries sind sinnvoll bei 50 oder mehr Modellen in Produktion über mehrere Geschäftsbereiche. Bei drei bis fünf aktiven Workflows ist eine gepflegte Tabelle mit Workflow-Name, Verantwortlichem, Risikoklassifizierung und letztem Review-Datum vollständig ausreichend. Die Tabelle ist wartungsärmer, besser zugänglich und enthält genau die Information, die bei einem Audit gefragt wird.
Bias-Auditing-Programme sind unverzichtbar für KI-Systeme, die Entscheidungen über Menschen treffen: Personalauswahl, Kreditvergabe, Preisgestaltung. Sie sind wenig relevant für operative Workflows, die Dokumente klassifizieren, Daten extrahieren oder Aufgaben routen. Passen Sie den Governance-Mechanismus an das tatsächliche Risikoniveau an — nicht an das theoretisch mögliche Risikoniveau.
Mehrstufige Change-Management-Prozesse töten Agilität ohne proportionalen Sicherheitsgewinn. Routine-Updates — Parameterjustierungen, Schwellenwertanpassungen — sollten bilateral zwischen Workflow-Verantwortlichem und KI-Sponsor genehmigbar sein. Nur signifikante Änderungen — neues Basismodell, neue Datenquelle, wesentlich erweiterter Anwendungsfall — erfordern den Quartals-Review.
Governance skalieren, wenn KI skaliert
Das Einseitige Modell ist für Ihre ersten fünf KI-Workflows konzipiert. Wenn Sie darüber hinaus skalieren, brauchen Sie schrittweise mehr Struktur — aber weiterhin proportional mehr, nicht exponentiell mehr. Ein geteiltes Dashboard, das Performance-Metriken über alle Workflows aggregiert, lohnt sich ab circa acht aktiven Systemen. Eine standardisierte Onboarding-Checkliste für neue Deployments macht Sinn, sobald mehr als eine Person neue Workflows aufsetzen kann. Eine dedizierte KI-Operations-Funktion — eine Person, keine Abteilung — ist sinnvoll ab etwa zehn aktiven Workflows, abhängig von deren Komplexität.
Die entscheidende Haltung dabei: Bauen Sie diese Struktur, wenn Sie sie brauchen, nicht vorsorglich. Vorzeitige Governance-Infrastruktur ist ebenso verschwenderisch wie gar keine Governance — sie bindet Kapazität, die für den Aufbau tatsächlicher KI-Fähigkeiten gebraucht wird. Wo Governance in das größere operative Bild Ihrer Organisation einzuordnen ist, zeigt der Artikel über die sechs Dimensionen des KI-Betriebssystems.
Anfangen
Wenn Sie heute Ihren ersten oder zweiten KI-Workflow deployen und Governance aufsetzen müssen, ist das Einseitige Modell Ihr Startpunkt: drei Rollen benennen, einseitige Dokumentation pro Workflow erstellen, ersten Quartals-Review ansetzen. Das lässt sich an einem Nachmittag erledigen — und liefert ab dem ersten Tag echte Aufsicht.
Was es nicht liefert, ist Sicherheit über die Risikoklassifizierung Ihrer spezifischen Workflows nach dem EU AI Act oder Klarheit über branchenspezifische Anforderungen, die Ihr Sektor zusätzlich stellt. Beides hängt von Ihren konkreten Anwendungsfällen, Daten und Kundenverhältnissen ab.
Ein Fit Call klärt in 30 Minuten, wo Ihre aktuellen oder geplanten KI-Workflows nach dem EU AI Act einzuordnen sind — und welche Governance-Struktur dazu proportional ist, bevor der 2. August 2026 zur dringlichen Deadline wird.
Quellen: EU AI Act, Verordnung (EU) 2024/1689, Anhang III und Umsetzungszeitplan (artificialintelligenceact.eu/implementation-timeline); ISO/IEC 42001:2023, KI-Managementsystem-Standard; BSI, Kriterienkatalog generative KI in der Bundesverwaltung, 2025 (bsi.bund.de).