KI-Governance Framework für Mittelstand — Policy, Prozesse, Kontrolle

Februar 2025. Die erste Pflicht aus dem EU AI Act tritt in Kraft: AI Literacy. Jedes Unternehmen, das KI einsetzt, muss sicherstellen, dass seine Mitarbeiter ausreichend geschult sind. Strafen bei Verstoß: Bis zu 35 Millionen Euro oder 7% des globalen Jahresumsatzes.

Die ernüchternde Realität: 48,6% der deutschen Unternehmen haben sich laut Deloitte noch nicht ernsthaft mit der Umsetzung beschäftigt. Gleichzeitig nutzen oder testen 51,2% der Mittelständler bereits KI. Am 2. August 2026 wird der EU AI Act vollständig durchsetzbar. Das sind keine abstrakten Fristen — das ist dein Handlungsfenster.

Was KI-Governance wirklich bedeutet

KI-Governance ist kein Compliance-Checkbox. Es ist das Betriebssystem, mit dem dein Unternehmen KI verantwortungsvoll, rechtssicher und wertschöpfend einsetzt. Ein Governance-Framework definiert: Wer darf KI einsetzen? Was ist erlaubt? Wie werden Risiken bewertet? Wann wird eskaliert?

Das 5-Säulen-Governance-Framework

Säule 1: AI Policy

Definiert erlaubte und verbotene Use Cases (konkreter als "verantwortungsvoll"), Datenrichtlinien (welche Daten dürfen in KI-Systeme fließen?), Modell-Richtlinien (welche Anbieter sind freigegeben?) und den Genehmigungsprozess für neue KI-Anwendungen.

Säule 2: Risikobewertung — Classify, Don't Panic

Säule 3: Prozesse

Der AI Lifecycle: Request → Assessment → Approval → Implementation → Deployment → Monitoring → Review. Der Schlüssel: Prozesse so leichtgewichtig wie möglich für Low-Risk Use Cases halten.

Säule 4: Organisation

Für Mittelständler (50–500 Mitarbeiter) reicht ein schlankes Setup: AI Lead (1 Person, Überblick), AI Champions (2–3 Personen aus verschiedenen Abteilungen), AI Board (quartalsweise, Geschäftsführung + AI Lead + Datenschutz + IT).

Säule 5: Technische Kontrolle

Input-Filtering (keine sensiblen Daten in externe LLMs), Output-Monitoring, Logging (Metadata, nicht Inhalte), Model Registry (zentrale Übersicht aller Modelle), Kill Switch (Abschaltfähigkeit in Minuten).

ISO 42001: Der Goldstandard

ISO/IEC 42001:2023 ist der erste internationale Standard speziell für AI Management Systems. Nicht verpflichtend, aber er liefert das Gerüst, das viele Unternehmen suchen. Kompatibel mit ISO 27001 — deckt 60–85% der NIS2-Anforderungen ab.

Implementierungsfahrplan

Monat 1: AI-Inventur (welche Tools werden bereits genutzt?), Risikobewertung für bestehende Use Cases, AI Policy v1 freigeben.

Monat 2: AI Lead benennen, Genehmigungsprozess definieren, AI Literacy Schulung (EU AI Act Pflicht).

Monat 3: Input-Filtering und Logging implementieren, Model Registry aufbauen, Monitoring-Dashboard einrichten.

Ab Monat 4: Quartalsweises AI Board Meeting, Policy-Updates, Vorbereitung auf August 2026.

Das größte Risiko ist nicht zu wenig Governance — es ist zu viel Governance zur falschen Zeit. Governance proportional zum Risiko ist die Lösung.