AI Governance ohne Theater

Warum Unternehmen nicht an KI scheitern, sondern an ihrer eigenen Entscheidungsordnung

Es gibt in deutschen Konzernen keinen Mangel an AI Governance. Es gibt Lenkungskreise, Richtlinien, Prüfprozesse, AI Ethics Boards und Grundsatzpapiere in beeindruckender Dichte. Was fehlt, ist Governance, die irgendetwas bewirkt.

In der Praxis bedeutet AI Governance in den meisten großen Organisationen heute Folgendes: ein Ethik-Gremium, besetzt mit klugen Köpfen, ausgestattet ohne Entscheidungsgewalt und versehen mit dem impliziten Auftrag, ethische Legitimation zu erzeugen, ohne operative Reibung zu verursachen. Ein Richtliniendokument, das jeder unterschrieben und niemand gelesen hat. Und eine diffuse Zuständigkeit, die immer genau dort endet, wo eine echte Entscheidung beginnt. Parallel dazu nutzen Teams längst ChatGPT für Vertragsentwürfe, und der Fachbereich, der seit sechs Monaten auf die Freigabe eines internen KI-Tools wartet, hat aufgehört zu fragen und angefangen, selbst Lösungen mit Claude zu bauen. Nur leider auf privaten Accounts, mit unkontrollierten Datenflüssen und außerhalb jeder Sichtbarkeit. Die Governance hat nicht geschützt. Sie hat für Kontrollverlust gesorgt.

Das ist nicht einfach nur ein semantischer Unterschied, sondern der Unterschied zwischen einer Organisation, die KI kontrolliert einsetzt und skaliert, und einer, die sich mit KI vor allem organisatorisch beschäftigt.

Die Frage, mit der man sich beschäftigen muss, ist nicht, ob Governance nötig ist. Das ist sie. Die Frage ist, warum die vorhandene Governance immer wieder zuverlässig das Gegenteil dessen erzeugt, was sie doch eigentlich bezwecken soll.

Governance als Notaufnahme

Erst wird gebaut, dann wird geprüft. Dieses Muster ist vertraut und historisch gewachsen. Eine Initiative entsteht im Fachbereich. Dann wird ein Prototyp entwickelt und die ersten Ergebnisse sehen vielversprechend aus. Und dann stehen nacheinander IT-Architektur, Informationssicherheit, Datenschutz, Recht, Compliance, Einkauf und womöglich die Revision vor der Tür. Jede dieser Funktionen hat berechtigte Fragen. Das Problem: Sie stellen sie typischerweise dann, wenn die entscheidenden Weichen bereits gestellt wurden. Und das nicht einmal böswillig, sondern manchmal weil sie vorher einfach gar nicht gefragt worden sind.

Bei KI wird dieses Muster nicht nur teuer, sondern systemisch destruktiv. KI-Anwendungen berühren nicht ein Prüffeld, sondern nahezu alle gleichzeitig: Datenschutz, weil KI-Anwendungen regelmäßig personenbezogene Daten verarbeiten. Damit greift die DSGVO, und die bringt gleich ein eigenes Rahmenwerk: Rechtsgrundlagen für die Verarbeitung, definierte Verarbeitungszwecke, Berechtigungskonzepte nach dem Need-to-Know-Prinzip, Informationspflichten, unter Umständen eine Datenschutz-Folgenabschätzung. Berechtigungen sind dabei nur ein Teilaspekt, nicht der ganze Problemraum. Security, weil Angriffsflächen entstehen, die in klassischen Bedrohungsmodellen nicht vorkommen, von Prompt Injection bis zum unbeabsichtigten Datenabfluss über Kontext-Fenster. Compliance, weil die KI-Nutzung regulatorisch relevant werden kann, spätestens mit der schrittweisen Anwendung der EU-KI-Verordnung seit Februar 2025 [1]. Qualität, weil probabilistische Outputs sich nicht mit deterministischer Testlogik absichern lassen. Und Haftung, weil häufig ungeklärt ist, wer verantwortet, wenn ein System plausibel klingende, aber sachlich falsche Grundlagen für Geschäftsentscheidungen liefert.

Wenn all diese Fragen erst am Ende einer Initiative auftauchen, bleiben meist nur zwei Ausgänge. Entweder die Initiative stirbt in einer Freigabeschleife. Oder sie wird so weit entschärft und weichgespült, dass sie formal freigabefähig ist, aber praktisch keinen Wert mehr erzeugt. Beide Ausgänge nähren dieselbe bequeme Fehlwahrnehmung: Governance sei ein Bremsklotz. Tatsächlich bremst sie vor allem dann, wenn sie viel zu spät kommt.

Das ist natürlich kein neues Phänomen. McKinsey dokumentiert in seinen jährlichen „State of AI"-Erhebungen seit 2021, dass eine Mehrheit der KI-Initiativen in Unternehmen nicht über die Pilotphase hinauskommt [2]. Die Ursachen sind regelmäßig organisatorischer und nicht technischer Natur: Ungeklärte Zuständigkeiten, fehlende Freigabemechanismen, ungelöste Datenzugangsfragen, kein Betriebsmodell, in dem KI kontrolliert skaliert werden könnte. Der Ökonom Robert Solow, Nobelpreisträger und einer der prägenden Köpfe der Produktivitätsforschung, bemerkte 1987, man könne das Computerzeitalter überall sehen, nur nicht in den Produktivitätsstatistiken [3]. Der Wirtschaftshistoriker Paul David zeigte 1990 am Beispiel der Elektrifizierung, dass zwischen der Verfügbarkeit einer Technologie und ihrem vollen Produktivitätseffekt Jahrzehnte liegen können [4]. Nicht weil die Technik fehlte, sondern weil Fabriklayouts, Führungsmodelle und Organisationsstrukturen erst mit Verzögerung nachzogen. KI komprimiert dieses Muster. Die Technik ist viel schneller verfügbar als je zuvor. Die organisatorischen Anpassungen sind nicht schneller geworden.

Governance ist kein Gremium. Governance ist eine Entscheidungsarchitektur.

Die notwendige Korrektur beginnt mit der Definition. Governance ist kein Gremium, kein Dokument, kein Organigrammkasten und kein vierteljährliches Review-Meeting. Governance ist die Antwort auf eine organisatorische Grundfrage: Wer darf welche Entscheidungen unter welchen Bedingungen treffen? Und was passiert, wenn diese Bedingungen nicht mehr gelten?

Der Soziologe und Organisationstheoretiker Niklas Luhmann hat für diese Frage den Begriff der Entscheidungsprämisse geprägt: Entscheidungen über Entscheidungen, die Festlegung von Programmen, Zuständigkeiten und Kommunikationswegen, innerhalb derer operative Entscheidungen fallen können, ohne jedes Mal den gesamten organisatorischen Apparat aktivieren zu müssen [5]. Was den meisten Unternehmen im Umgang mit KI fehlt, sind nicht Regeln. Es sind Prämissen. Nicht Kontrolle fehlt, sondern Klarheit darüber, was innerhalb welcher Grenzen erlaubt ist, ohne nachfragen zu müssen.

So verstanden, ist Governance nicht das Gegenteil von Geschwindigkeit, sondern ihre Voraussetzung. Sie ersetzt die Frage „Darf ich das?" subtil durch die Frage „Liegt das innerhalb meines Mandats?" Die erste erfordert Genehmigung. Die zweite erfordert Klarheit. Solange Teams ständig die erste Frage stellen müssen, ist nicht Vorsicht das Problem, sondern fehlende Führungsarchitektur. Der Unterschied ist nicht semantisch. Er entscheidet darüber, ob eine Organisation mit KI tatsächlich schneller wird oder nur beschäftigter.

Drei Arten, wie Unternehmen sich selbst blockieren

Manche Fehlkonstruktionen in der AI Governance sind vorhersehbar, und viele Unternehmen stecken in mindestens einer davon.

Übersteuerung. Jeder Use Case durchläuft denselben Prozess. Prüffunktionen haben ein faktisches Vetorecht, das durch keine Eskalationslogik begrenzt wird. Das Ergebnis ist nicht Sicherheit, sondern Erstarrung. Und paradoxerweise weniger Kontrolle: Teams finden informelle Wege, die sich jeder Steuerung entziehen. Übersteuerung ist der zuverlässigste Weg, Shadow AI zu produzieren.

Untersteuerung. Es gibt ein Policy-Dokument, aber keine Rollen, die es operationalisieren. Es gibt eine Risikobewertung auf Papier, aber keine Konsequenz im Betrieb. Es gibt Grundsätze, aber keine Prämissen, die im Alltag anwendbar wären. Teams handeln nicht aus böser Absicht regelwidrig, sondern weil die Regeln keinen operativen Griff bieten. Ein typisches Zeichen: Teams fragen im Zweifelsfall nicht nach, sondern handeln und schweigen. Nicht zwingend fahrlässig, sondern oft schlicht pragmatisch: Eine formelle Anfrage dauert Wochen, und der Kunde wartet nicht. Die Organisation bemerkt das Problem erst, wenn Daten abgeflossen sind, ein Output fachlich schadet oder ein Regulierer nachfragt.

Performative Governance. Die heimtückischste Variante. Es existieren Gremien, Rollen, Prozesse und Dokumente, aber sie beeinflussen die tatsächlichen Entscheidungen nicht. Der Governance-Prozess wird durchlaufen, weil er vorgeschrieben ist, nicht weil er Entscheidungen verbessert. Teams lernen, die richtigen Felder auszufüllen und die erwarteten Formulierungen zu verwenden, ohne dass sich ihre Praxis ändert. Die Ampel steht auf Grün, aber niemand hat geprüft, ob die Straße frei ist. Performative Governance erzeugt den vollen Aufwand, ohne den geringsten Nutzen zu liefern. Nebenbei zerstört sie das Vertrauen in Governance als Instrument. Wer einmal erlebt hat, dass ein Freigabeprozess nur Theater ist, wird den nächsten auch nicht ernst nehmen.

Nicht jede KI-Anwendung ist ein Grundsatzproblem

Der strukturelle Grundfehler vieler Governance-Ansätze: Sie behandeln jede KI-Anwendung gleich. Ein internes Übersetzungstool und eine automatisierte Kreditentscheidung durchlaufen denselben Freigabeprozess: Sechs Monate, drei Gremien, ein Dutzend Unterschriften, genervte Leute. Das Ergebnis ist vorhersehbar: Lähmung für die einfachen Fälle, Leichtsinn für die Schwierigen und der Eindruck, dass Governance grundsätzlich dysfunktional ist.

Ein konkretes Beispiel, das so oder ähnlich in Dutzenden von Unternehmen zu beobachten ist: Ein Fachbereich möchte ein internes Zusammenfassungstool für Vertragsdokumente einführen. Technisch überschaubar, Risikoprofil begrenzt. In einer Organisation mit undifferenzierter Governance durchläuft diese Initiative dasselbe Verfahren wie eine automatisierte Schadensbewertung in der Versicherung: Architektur-Review, Datenschutz-Folgenabschätzung, Sicherheitsprüfung, Rechtsfreigabe, Einkaufsprozess. Sechs Monate später ist das Tool noch nicht live. Drei Monate nach Projektbeginn haben die Mitarbeiter des Fachbereichs längst einen kommerziellen Chatbot geöffnet und laden ihre Verträge dort hoch. Die Governance hat genau das Risiko erzeugt, das sie verhindern sollte.

Dann wird häufig von Shadow AI gesprochen, als handle es sich um ein kulturelles oder disziplinarisches Problem. Tatsächlich ist es oft ein Governance-Problem. Organisationen produzieren informelle Nutzung nicht trotz ihrer Steuerung, sondern durch deren schlechte Ausgestaltung.

Was fehlt, ist keine komplexe Methodik, sondern eine arbeitsfähige Risikologik. In den meisten Fällen genügen drei Zonen.

Zone 1: Freigegeben. Use Cases, die vordefinierten Mustern entsprechen und innerhalb technischer Leitplanken operieren: interne Zusammenfassungen, Übersetzungen, Recherchehilfen, Codierungsunterstützung mit freigegebenen Werkzeugen. Gemeinsam ist diesen Anwendungsfällen, dass sie weder personenbezogene noch vertrauliche Daten verarbeiten und deshalb keiner tiefergehenden Compliance-Prüfung bedürfen. Die Prüfprozesse, die bei höheren Zonen greifen, sind hier gegenstandslos. Teams können diese Wekzeuge nutzen, ohne individuelle Freigaben einzuholen. Die Kontrolle liegt nicht im Genehmigungsprozess, sondern in der Architektur: Zugriffsrechte, Content-Filter, Nutzungsmonitoring, definierte Datenperimeter. Zone 1 ist kein rechtsfreier Raum. Sie existiert nur dort, wo die Organisation ihre Standardfälle verstanden und sauber operationalisiert hat.

Zone 2: Gesteuert. Use Cases mit höherem Wirkungsgrad oder spezifischerem Risikoprofil: kundenseitige Inhalte, Analysen mit personenbezogenen Daten, Prozessautomatisierung mit geschäftlicher Tragweite. Diese Anwendungen durchlaufen eine kompakte Prüfung entlang eines definierten Kriterienkatalogs — nicht durch ein Gremium, sondern durch die zuständigen Rollen. Freigabe in Tagen, nicht in Monaten. Prüffunktionen sind von Beginn an eingebunden, nicht als Gatekeeper am Ende, sondern als Mitgestalter der Rahmenbedingungen am Anfang.

Zone 3: Genehmigt. Use Cases mit hohem institutionellem Gewicht: automatisierte Entscheidungen, die Menschen direkt betreffen; Anwendungen in regulierten Domänen; Systeme mit hohem Autonomiegrad oder weitreichenden Seiteneffekten. Hier sind explizite Bewertung, klare Verantwortung auf Leitungsebene, kontinuierliches Monitoring und definierte Abbruchkriterien nicht optional, sondern die Bedingung dafür, dass ein Unternehmen die Anwendung überhaupt verantworten kann. Für Anwendungen, die unter Annex III der EU-KI-Verordnung fallen, sind Teile dieser Anforderungen gesetzlich bindend: technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht. Ein gutes Governance-Modell erfindet diese Realität nicht neu; es übersetzt sie in ein handhabbares Betriebsmodell.

Das Ziel eines funktionierenden Governance-Modells ist nicht, Zone 3 möglichst groß zu machen. Es ist das Gegenteil. Das Ziel ist, Zone 1 kontrolliert auszuweiten: durch Erfahrung, bessere Guardrails und organisatorisches Lernen. Unternehmen werden nicht dadurch sicherer, dass sie alles einzeln genehmigen, sondern dadurch, dass sie verstehen, unter welchen Bedingungen Einzelgenehmigungen entbehrlich sind.

Dieses Modell macht sichtbar, dass die meisten Unternehmen heute de facto keine Zone 1 haben. Alles ist irgendwie Zone 3, oder es ist gar nichts, weil Teams die Governance bewusst oder unbewusst umgehen. Das Drei-Zonen-Modell erzwingt eine Entscheidung, die viele Organisationen bisher vermieden haben: Was halten wir tatsächlich für beherrschbar und was nicht?

Fünf Bausteine eines Operating Models, das den Namen verdient

Die Zonenklassifikation beantwortet, welche Steuerungstiefe ein Use Case braucht. Sie beantwortet nicht, wie die Organisation diese Steuerung tatsächlich herstellt. Dafür braucht es fünf Bausteine.

Baustein 1: Entscheidungsprämissen statt Einzelgenehmigungen. Die zentrale Aufgabe der Unternehmensleitung besteht nicht darin, über einzelne KI-Projekte zu befinden. Sie besteht darin, die Prämissen zu setzen, innerhalb derer dezentral entschieden werden kann: Welche Datenklassen sind für welche Anwendungskategorien zulässig? Welche Risikoschwellen können Teams lokal tragen? Ab wann wird zwingend eskaliert? Wer Entscheidungsprämissen definiert, muss nicht jede Einzelentscheidung sehen. Wer sie nicht definiert, bekommt jede Einzelentscheidung eskaliert. Das ist nicht Ausdruck besonderer Sorgfalt, sondern ein Symptom fehlender Führungsarchitektur. Die Folge ist nicht Kontrolle. Die Folge ist die A3 zwischen Oberhausen und Köln im Feierabendverkehr: Stau.

Baustein 2: Klare Rollen mit klaren Verantwortungen statt neue Gremien. Das Letzte, was die meisten Organisationen brauchen, ist noch ein Committee. Was sie brauchen, sind explizite Rollen mit KI-Bezug. Im Fachbereich: Ergebnisverantwortung. Wer den Use Case will, verantwortet Nutzen, Qualität und fachliche Korrektheit. In der IT oder auf Plattformebene: Befähigung, also sichere Infrastruktur, freigegebene Werkzeuge, technische Guardrails. In den Prüffunktionen (Recht, Datenschutz, Security, Compliance): Rahmenverantwortung. Spielregeln definieren, Mindeststandards setzen, kritische Fälle bewerten, aber nicht jeden Standardfall im Detail abzeichnen. Auf Leitungsebene: Prämissenverantwortung für Grundsatzentscheidungen, Auflösung von Zielkonflikten, Freigabe der Zonenklassifikation. Keine dieser Rollen ist organisatorisch neu. Aber in den meisten Unternehmen sind sie nicht auf KI bezogen, und im Ernstfall deshalb so unklar, dass der Reflex zur Eskalation die einzige verbleibende Option ist.

Baustein 3: Kontrolle am Anfang statt Prüfung am Ende. Die teuerste Illusion in der Governance großer Organisationen ist der Glaube, man könne Qualität, Sicherheit oder Regelkonformität am Ende eines Entwicklungsprozesses hineinprüfen. Man kann es nicht, bei Software generell nicht und bei KI erst recht nicht. Entscheidungen über Datenquellen, Zugriffsrechte, Modellverhalten und Qualitätsmetriken fallen in den frühesten Phasen, und dort haben sie die größte Hebelwirkung. Ein funktionierendes Operating Model bindet Prüffunktionen deshalb an den Anfang, nicht als spätes Veto, sondern als kontinuierlicher Mitgestalter der Leitplanken, innerhalb derer entwickelt wird. Das verlangsamt den Start einer Initiative um Tage und mag im Verlauf zu Reibung führen, aber die würde es am Ende im größeren Ausmaß geben. Es beschleunigt das Gesamtsystem um Monate, weil spätere Grundsatzkonflikte, erzwungene Umbauten und verhärtete Fronten ausbleiben.

Baustein 4: Eingebaute Lernfähigkeit. Jedes Governance-System, das sich nicht selbst korrigiert, wird innerhalb von Monaten zur Fehlkonstruktion. KI-Fähigkeiten, Risikoprofile und organisatorische Erfahrung verändern sich schneller als jede statische Regelung abbilden kann. Reife Organisationen betreiben Governance deshalb wie ein lernendes System: Sicherheitsvorfälle und Qualitätsprobleme fließen in die Entscheidungsprämissen zurück. Use Cases, die sich in Zone 2 bewährt haben, werden in Zone 1 überführt. Neue Risiken führen zur Einschränkung bestehender Freigaben. Wer Governance als Projekt behandelt, einmal aufsetzen und dann vergessen, hat keine Governance. Er hat ein Dokument.

Baustein 5: Sinnvolle Dokumentation. Governance kommt nicht ohne Dokumentation aus. Aber Dokumentation heißt nicht, dass hunderte Seiten geschrieben und abgelegt werden, die niemand öffnet und liest. Sinnvolle Dokumentation heißt, dass die Entscheidungsprämissen, die Zonenzuordnungen und die Begründungen für Einzelfreigaben nachvollziehbar festgehalten werden, und zwar dort, wo sie gebraucht werden, nicht in einem SharePoint-Ordner, den nur die Compliance-Abteilung kennt, denn es geht hier nicht nur um eine regulatorische Pflichtübung. Auch die EU-KI-Verordnung verlangt für bestimmte Anwendungen eine technische Dokumentation, eine Konformitätsbewertung und den Nachweis menschlicher Aufsicht. Ohnehin sauber dokumentierte Governance erfüllt einen erheblichen Teil dieser Anforderungen als Nebenprodukt. Wer aber erst dokumentiert, wenn der Regulierer fragt, dokumentiert unter Druck, möglicherweise fehlerhaft, teuer und vergisst dabei hier und da sicher auch die wahren Gründe für Entscheidungen. Gute Dokumentation entsteht nicht am Ende, sondern unterwegs, als Teil der Entscheidung, nicht als deren Nacherzählung.

Womit man anfängt

Der erste Schritt ist keine Framework-Entwicklung. Er ist eine ehrliche Bestandsaufnahme, die wehtut: Wie werden KI-bezogene Entscheidungen tatsächlich getroffen? Nicht laut Richtlinie, sondern in der Praxis. Wo hängen Initiativen fest, und an wem? Welche informellen Wege existieren bereits, weil die formellen nicht funktionieren? Wo wird ständig eskaliert, obwohl eigentlich delegiert werden müsste? Und wo fehlt nicht eine neue Regel, sondern die Klarheit, wer innerhalb welcher Grenzen entscheiden darf? Diese Fragen klingen unspektakulärer als ein Governance-Framework. Sie sind strategisch wertvoller, weil sie den realen Zustand sichtbar machen statt einen fiktiven.

Der zweite Schritt: Die KI-Anwendungen, die im Unternehmen bereits laufen oder konkret diskutiert werden, gemeinsam in Zonen einordnen. Nicht theoretisch. Nicht als Workshop-Spiel. Sondern als verbindliche Grundlage für Entscheidungsrechte. Schon dieser Schritt erzeugt in zwei Stunden oft mehr operative Klarheit als ein zweitägiges Offsite über abstrakte Governance-Prinzipien.

Der dritte Schritt ist der schwerste. Er erfordert, dass die Unternehmensleitung Entscheidungsrechte nicht nur rhetorisch delegiert, sondern kodifiziert: mit nachvollziehbaren Grenzen, definierten Eskalationsschwellen und der Bereitschaft, Teams innerhalb dieser Grenzen tatsächlich handeln zu lassen.

Der vierte Schritt adressiert die Gegenseite der Delegation: Kontrollieren, ob die erteilten Entscheidungsrechte in der Praxis tragen. Nicht durch erneute Genehmigungsschleifen, sondern vor allem durch Transparenz: Welche Use Cases laufen in welcher Zone? Wo treten Qualitätsprobleme oder Sicherheitsvorfälle auf? Wo wird eskaliert, obwohl die Prämissen eigentlich ausreichen, und wo wird nicht eskaliert, obwohl sie es verlangen? Kontrolle heißt hier nicht Misstrauen, sondern Lernfähigkeit. Gemeint ist nicht, jede Einzelentscheidung zu überwachen, sondern zu erkennen, wo die Prämissen nicht greifen. Ohne Hinschauen ist Delegation nur ein anderes Wort für Wegschauen.

Delegation ohne Klarheit ist fahrlässig, ohne Hinschauen genauso. Steht beides nur auf dem Papier, ist es Theater.

Governance ist ein lösbarer Engpass

AI Governance ist keine Nebenbedingung und kein Hygienefaktor. Sie ist einer der Engpässe, an denen sich entscheidet, ob KI eine Organisation produktiver macht oder nur beschäftigter. Die Technik ist weit genug und die Modelle sind gut genug. Was fehlt, ist nicht technologisch. Es ist die Fähigkeit einer Organisation, mit einer höheren Geschwindigkeit der Optionserzeugung zu leben, ohne die Kontrolle zu verlieren.

Organisationen, die diese Fähigkeit nicht aufbauen, werden kaum an unzureichender KI scheitern. Sie werden an einer Entscheidungsordnung scheitern, die für ein langsameres Zeitalter gemacht wurde.

Die nächste Welle von Wettbewerbsvorteilen durch KI wird nicht dort entstehen, wo die besten Modelle eingekauft werden. Sie wird dort entstehen, wo Unternehmen eine Entscheidungsordnung aufbauen, die mit der Geschwindigkeit dieser Modelle überhaupt umgehen kann.

Quellen

[1] Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Verordnung)

[2] McKinsey & Company: „The State of AI" (Jahresberichte 2017–2025)

[3] Solow, R.: „We'd better watch out." New York Review of Books, 12. Juli 1987

[4] David, P. A.: „The Dynamo and the Computer: An Historical Perspective on the Modern Productivity Paradox" (1990), American Economic Review, 80(2), 355–361

[5] Luhmann, N.: „Organisation und Entscheidung" (2000), Westdeutscher Verlag, Wiesbaden