Governance-Takt
Rahmenwerke wie das NIST AI Risk Management Framework und ISO/IEC 42001 verweisen auf laufende Governance, Überwachung und Verbesserung. Die praktische Frage ist, wie daraus ein Rhythmus wird, den Teams wirklich betreiben können.
KI-Governance beginnt oft mit viel Energie: eine Policy, ein Steering Committee, eine Risikoklassifikation, ein Vendor-Fragebogen, eine Schulung. Danach übernimmt der Alltag. Neue Tools tauchen auf. Mitarbeitende testen neue Workflows. Ein Anbieter ändert Bedingungen. Ein Pilot wird produktiv genutzt, ohne dass die Verantwortung sauber geklärt ist. Ein Team merkt, dass ein Output nützlich ist, aber nur nach zusätzlicher menschlicher Prüfung.
Auf dem Papier gibt es weiterhin Governance. Was fehlt, ist ein operativer Rhythmus.
Ein brauchbares KI-Governance-System sollte jeden Monat eine einfache Frage beantworten: Was hat sich geändert, was wird genutzt, welche Entscheidung ist nötig und welche Evidenz zeigt, dass Kontrollen funktionieren?
Warum ein monatlicher Rhythmus wichtig ist
KI-Nutzung bewegt sich schneller als jährliche Policy-Zyklen. Wer auf die nächste Jahresüberprüfung wartet, überlässt das operative Modell informellen Entscheidungen: welche Tools Teams nutzen, welche Prompts wiederverwendet werden, welche Outputs Führungskräfte akzeptieren und welche Ausnahmen zur Gewohnheit werden.
Ein monatlicher Rhythmus muss nicht schwerfällig sein. Für viele professionelle Organisationen reichen 60 bis 90 Minuten, wenn die Inputs vorbereitet sind. Der Wert liegt in der Kontinuität: kleine Korrekturen, bevor kleine Risiken zur ungeführten Praxis werden.
Die fünf Punkte für den Monatsreview
1. Aktive KI-Use-Cases
Führen Sie ein kurzes Register der aktiven und geplanten KI-Use-Cases. Es soll kein bürokratisches Archiv sein, sondern zeigen, was Teams wirklich tun.
Pro Use Case sollten festgehalten werden:
- Business Owner;
- verwendetes Tool oder Modell;
- betroffene Datentypen;
- ob Outputs Kunden, Mitarbeitende, Patienten, Kundinnen oder wesentliche Entscheidungen betreffen;
- Punkt der menschlichen Prüfung;
- Status: Idee, Pilot, freigegeben, pausiert, beendet.
Das Register macht KI-Adoption sichtbar. Ohne Register hängt Governance von Gerüchten und Einzelgedächtnis ab.
2. Tool- und Anbieteränderungen
KI-Anbieter ändern Funktionen, Aufbewahrungseinstellungen, Modelloptionen, Enterprise Controls und Vertragsbedingungen. Ein Tool, das für Brainstorming vertretbar war, kann plötzlich mit internen Daten verbunden werden. Ein kostenloses Tool kann im Arbeitsalltag landen, ohne dass Einkauf oder Governance es geprüft haben.
Die monatliche Frage lautet: Hat sich an Tool, Datenfluss oder Anbieterbedingung etwas so geändert, dass eine Prüfung nötig ist?
3. Vorfälle, Near Misses und Reibung
Nicht jedes Governance-Signal ist ein formeller Vorfall. Nützliche Signale sind zum Beispiel:
- ein ungenauer Output, der vor Nutzung erkannt wurde;
- vertrauliche Informationen, die fast in das falsche Tool kopiert wurden;
- unklare Verantwortung für ein KI-generiertes Arbeitsergebnis;
- Unsicherheit im Team, ob ein Use Case erlaubt ist;
- Fragen von Kunden oder Mitarbeitenden zur KI-Nutzung;
- manuelle Umgehungen, die zeigen, dass eine Policy unpraktisch ist.
Eine reife Organisation behandelt diese Signale als Lerninputs, nicht als Schuldfrage.
4. Schulung und KI-Kompetenz
Artikel 4 des EU AI Act macht KI-Kompetenz zu einer Governance-Anforderung. Der tiefere Punkt ist operativ: Rollen brauchen unterschiedliche Kompetenzen.
Der Monatsreview sollte fragen:
- Welche Teams haben diesen Monat mit KI begonnen?
- Welche Rollen brauchen praktische Anleitung?
- Welche Fragen wiederholen sich?
- Welche Beispiele gehören in Policy oder Playbook?
Schulung sollte aus realer Arbeit entstehen, nicht aus generischen Foliensätzen.
5. Entscheidungen für die Führung
Nicht jedes Thema gehört in ein Gremium. Einige Entscheidungen brauchen aber Senior Ownership:
- Freigabe oder Pause eines risikoreicheren Use Cases;
- Kauf eines Enterprise-KI-Tools;
- Akzeptanz von Restrisiken;
- Änderung von Policy-Kategorien;
- Budget für Schulung, Sicherheit oder Workflow-Redesign;
- Entscheidung, was Kunden oder Partnern offengelegt wird.
Der Governance-Rhythmus sollte diese Entscheidungen klar sichtbar machen: Was ist die Entscheidung, wer besitzt sie, welche Evidenz liegt vor und bis wann muss entschieden werden?
Eine einfache Monatsagenda
Eine praktische Agenda passt auf eine Seite:
- Neue KI-Use-Cases und Statusänderungen.
- Tool-/Vendor-Änderungen und Beschaffungsfragen.
- Vorfälle, Near Misses und Nutzerreibung.
- Schulung, KI-Kompetenz und Policy-Updates.
- Entscheidungen für die Führung.
- Aktionen, Owner und Fristen.
Wie gute Evidenz aussieht
Gute Governance-Evidenz ist kein grosser Ordner. Sie ist eine nachvollziehbare Spur, die zeigt, dass die Organisation weiss, was genutzt wird und wie Entscheidungen fallen.
Nützliche Evidenz umfasst:
- aktuelles Use-Case-Register;
- Vendor-Review-Notizen;
- Schulungsnachweise und rollenspezifische Materialien;
- dokumentierte Standards für menschliche Prüfung;
- Vorfalls- und Near-Miss-Log;
- Entscheidungsnotizen aus dem Monatsreview;
- aktualisierte Policy-Beispiele.
So wird Governance verteidigbar. Nicht weil jedes Risiko verschwindet, sondern weil die Organisation einen vernünftigen, wiederholten Prozess zeigen kann.
Der operative Test
Eine Frage genügt: Wenn eine Aufsicht, ein Kunde, ein Board-Mitglied oder eine Mitarbeiterin fragt, wie KI kontrolliert wird, könnten Sie die letzten drei Monatsreviews zeigen?
Wenn ja, lebt Governance. Wenn nein, hat die Organisation möglicherweise nur eine Policy.
Der Unterschied ist wichtig. KI-Adoption geht weiter – mit oder ohne formale Governance. Der monatliche Rhythmus hält verantwortungsvolle Adoption mit realer Arbeit verbunden.