Enterprise-KI-Governance-Frameworks lesen sich, als wären sie für Organisationen mit 50.000 Mitarbeitenden und einem dedizierten KI-Ethik-Team geschrieben worden. Die meisten wurden es auch. Sie fordern KI-Review-Boards, mehrstufige Genehmigungsprozesse, umfassende Bias-Auditing-Programme und Dokumentationsstandards, die eine Vollzeitstelle in der Compliance-Abteilung erfordern.

Für ein Mittelstandsunternehmen, das seine ersten drei KI-Workflows deployt, ist das keine Governance. Das ist Bürokratie, die verhindert, dass KI jemals den Produktivbetrieb erreicht.

Aber die Alternative — gar keine Governance — ist ebenso destruktiv. Ohne klare Verantwortlichkeiten driften KI-Workflows, Fehler bleiben unentdeckt, Compliance-Lücken entstehen, und wenn etwas schiefgeht, weiß niemand, wer zuständig ist oder was zu tun ist.

Die Lösung ist schlanke Governance: ein minimaler Satz an Strukturen, der echte Aufsicht bietet, ohne den Overhead zu erzeugen, der Dynamik tötet.

Was Governance tatsächlich leisten muss

Wenn Sie den Berater-Jargon entfernen, dient KI-Governance vier Zwecken:

Verantwortlichkeit. Für jeden KI-Workflow ist eine Person benannt. Kein Gremium — eine Person. Sie weiß, was das System tut, wie es performt und was zu tun ist, wenn es das nicht tut.

Aufsicht. Performance wird überwacht. Degradation wird erkannt. Probleme werden eskaliert, bevor sie zu Vorfällen werden.

Compliance. Die Organisation kann gegenüber Regulierungsbehörden, Wirtschaftsprüfern und Kunden nachweisen, dass KI verantwortungsvoll eingesetzt wird — im Einklang mit DSGVO, dem EU AI Act und branchenspezifischer Regulierung.

Entscheidungsrechte. Es ist klar, wer neue KI-Deployments genehmigen darf, wer bestehende ändern kann und wer eines abschalten kann, wenn nötig.

Vier Zwecke. Vier Fragen. Alles andere ist optional.

Das Einseitige-Governance-Modell

Wir empfehlen eine Governance-Struktur, die auf eine einzige Seite passt. Wortwörtlich. Wenn Ihr KI-Governance-Framework nicht auf ein DIN-A4-Blatt gedruckt und in fünf Minuten verstanden werden kann, ist es zu komplex für den Mittelstand.

Rolle 1: KI-Workflow-Verantwortlicher

Eine Person pro KI-Workflow. Typischerweise dieselbe Person, die den zugrunde liegenden Geschäftsprozess verantwortet. Ihre Aufgaben:

  • Wöchentliche Performance-Metriken überwachen (Genauigkeit, Durchsatz, Fehlerquote)
  • Grenzfälle monatlich reviewen und entscheiden, ob Muster Modell-Updates erfordern
  • Performance-Probleme an den KI-Sponsor eskalieren
  • Workflow-Dokumentation pflegen (eine Seite pro Workflow: was er tut, welche Daten er nutzt, welche Aufsicht gilt)

Das ist keine Neueinstellung. Das ist eine bestehende Teamleitung oder Abteilungsleitung, die KI-Aufsicht zu ihren bestehenden operativen Verantwortlichkeiten hinzufügt. Für die meisten Workflows liegt der wöchentliche Zeitaufwand bei 30–60 Minuten.

Rolle 2: KI-Sponsor

Eine Person für die gesamte Organisation. Typischerweise der Geschäftsführer, die COO oder der CTO. Ihre Aufgaben:

  • Neue KI-Workflow-Deployments genehmigen
  • Go/No-Go-Entscheidungen bei Retraining oder Modelländerungen treffen
  • Aggregierte KI-Performance vierteljährlich reviewen
  • Die Beziehung zu externen Partnern verantworten (Technologieanbieter, Implementierungspartner)
  • Eskalationspunkt sein, wenn etwas schiefgeht

Der KI-Sponsor muss die technischen Details nicht verstehen. Er muss den geschäftlichen Impact verstehen und entsprechend entscheiden.

Rolle 3: Compliance-Kontakt

Eine Person, meist der bestehende Datenschutzbeauftragte (DSB) oder die Rechtsabteilung. Ihre Aufgaben:

  • Validieren, dass jeder KI-Workflow eine abgeschlossene Risikoklassifizierung nach dem EU AI Act hat
  • Sicherstellen, dass DSGVO-Anforderungen (Auftragsverarbeitungsverträge, Datenschutz-Folgenabschätzungen) erfüllt sind
  • KI-Dokumentation jährlich oder bei wesentlichen Workflow-Änderungen prüfen
  • Zu regulatorischen Änderungen beraten, die bestehende Deployments betreffen

Das ist eine beratende Rolle, kein Genehmigungsengpass. Der Compliance-Kontakt prüft und berät. Der KI-Sponsor entscheidet.

Der Quartals-Review

Einmal pro Quartal treffen sich KI-Sponsor, Workflow-Verantwortliche und Compliance-Kontakt für 60–90 Minuten. Die Agenda:

  1. Performance-Review. Jeder Workflow-Verantwortliche berichtet über seine Metriken. Performt der Workflow wie erwartet? Sind Fehlerquoten stabil? Gab es Vorfälle?
  2. Grenzfall-Trends. Werden bestimmte Falltypen konsistent schlecht bearbeitet? Deuten sie auf Bedarf an Modellverbesserung oder Prozess-Redesign hin?
  3. Compliance-Check. Regulatorische Änderungen, die bestehende Workflows betreffen? Neue Anforderungen aus dem EU-AI-Act-Zeitplan?
  4. Pipeline-Review. Gibt es neue Workflow-Kandidaten? Sollten bestehende Workflows erweitert, modifiziert oder stillgelegt werden?
  5. Entscheidungen. Vorgeschlagene Änderungen genehmigen, vertagen oder ablehnen.

Das Ergebnis ist eine einseitige Zusammenfassung: Was funktioniert, was braucht Aufmerksamkeit, was wurde entschieden. Dieses Dokument, über Quartale akkumuliert, wird Ihr KI-Governance-Nachweis — ausreichend für Wirtschaftsprüfer, Regulierer und Vorstandsberichterstattung.

Dokumentation: Minimal, aber ausreichend

Jeder KI-Workflow braucht ein Dokument. Eine Seite. Es enthält:

  • Workflow-Name und Verantwortlicher
  • Was er tut (zwei Sätze)
  • Welche Daten er nutzt (Quellen, personenbezogene Daten ja/nein, Aufbewahrungsfrist)
  • EU-AI-Act-Risikoklassifizierung (minimal, begrenzt oder hoch — mit Begründung)
  • Performance-Metriken (was gemessen wird, welche Schwellenwerte einen Review auslösen)
  • Fallback-Prozess (was passiert, wenn die KI nicht verfügbar ist oder falsch liegt)
  • Letztes Review-Datum

Das ist ausreichend für DSGVO-Compliance, EU-AI-Act-Dokumentationsanforderungen (für Nicht-Hochrisiko-Systeme) und die interne Revision. Wenn Ihr Workflow als Hochrisiko unter dem AI Act klassifiziert ist, brauchen Sie zusätzliche Dokumentation — aber die meisten KI-Workflows im Mittelstand (Dokumentenklassifikation, Prozessautomatisierung, Wissensabruf) sind kein Hochrisiko.

Für einen detaillierten Leitfaden zur EU-AI-Act-Risikoklassifizierung und Compliance-Anforderungen siehe unsere EU-AI-Act-Ressource.

Was Enterprise-Governance für den Mittelstand falsch macht

KI-Ethik-Boards. Ein fünfköpfiges Gremium, das monatlich zusammentritt, um ethische Implikationen von KI-Deployments zu diskutieren, ergibt Sinn für ein Unternehmen, das KI für Kreditentscheidungen einsetzt, die Millionen Verbraucher betreffen. Für einen Mittelständler, der KI zur Klassifikation von Support-Tickets nutzt, ist es Overhead, der Verzögerung schafft, ohne Wert zu stiften. Der Quartals-Review behandelt ethische Erwägungen innerhalb bestehender operativer Governance.

Zentrale Model-Registries. Nützlich bei 50+ Modellen in Produktion über mehrere Geschäftsbereiche. Unnötig bei dreien. Eine gemeinsame Tabelle mit Ihren aktiven Workflows, deren Verantwortlichen und dem letzten Review-Datum erfüllt denselben Zweck.

Bias-Auditing-Programme. Kritisch für KI-Systeme, die Entscheidungen über Menschen treffen — Personalauswahl, Kreditvergabe, Preisgestaltung. Selten relevant für operative KI-Workflows, die Dokumente klassifizieren, Daten extrahieren oder Aufgaben routen. Passen Sie den Governance-Mechanismus an das Risikoniveau an.

Change-Management-Komitees. Ein Genehmigungskomitee für jedes Modell-Update tötet die Agilität. KI-Workflow-Verantwortlicher und KI-Sponsor sollten Routine-Updates (Parameterjustierung, Schwellenwertanpassung) bilateral genehmigen können. Nur signifikante Änderungen (neues Modell, neue Datenquelle, neuer Anwendungsfall) erfordern den Quartals-Review.

Governance skalieren, wenn KI skaliert

Das Einseitige Modell funktioniert für Ihre ersten 1–5 KI-Workflows. Wenn Sie darüber hinaus skalieren, brauchen Sie möglicherweise zusätzliche Struktur:

  • Ein gemeinsames Dashboard, das Performance-Metriken über alle Workflows aggregiert
  • Eine standardisierte Onboarding-Checkliste für neue KI-Workflows
  • Jährliche statt vierteljährliche Compliance-Reviews für stabile, lang laufende Workflows
  • Eine dedizierte KI-Operations-Funktion (typischerweise eine Person, keine Abteilung), wenn Sie 10 aktive Workflows überschreiten

Aber bauen Sie diese Struktur nicht im Voraus auf. Bauen Sie sie, wenn Sie sie brauchen. Vorzeitige Governance-Infrastruktur ist ebenso verschwenderisch wie gar keine Governance.

Anfangen

Wenn Sie Ihren ersten KI-Workflow deployen und Governance etablieren müssen, ist das Einseitige Modell Ihr Ausgangspunkt. Benennen Sie die drei Rollen. Erstellen Sie die einseitige Dokumentation. Planen Sie den ersten Quartals-Review. Das alles lässt sich an einem Nachmittag erledigen.

Wenn Sie Hilfe bei der Strukturierung von KI-Governance für Ihre spezifische Situation brauchen — einschließlich EU-AI-Act-Compliance und branchenspezifischer Anforderungen — buchen Sie ein Erstgespräch. Wir bewerten Ihren Governance-Bedarf auf Basis Ihrer tatsächlichen Workflows und Ihres Risikoprofils, nicht auf Basis generischer Enterprise-Frameworks.

Für den breiteren operativen Kontext von KI-Governance in Ihrer Organisation siehe KI im Betrieb. Wo Governance im diagnostischen Gesamtbild einzuordnen ist, erfahren Sie in Die sechs Dimensionen des KI-Betriebssystems. Für das Readiness-Assessment einschließlich Compliance-Positionierung siehe KI-Readiness im Mittelstand.

Dieser Artikel ist Teil der Reihe KI im Betrieb von Andreas Anding. Für die vollständige Methodik siehe Das KI-Betriebssystem.