AI Governance im Unternehmen – worum es wirklich geht
Im letzten Beitrag haben wir beschrieben, warum AI Governance (AIG) für Unternehmen immer relevanter wird. Die nächste Frage lautet deshalb nicht mehr, ob Governance nötig ist, sondern wie sie sich im Unternehmen konkret fassen lässt.
Wie dringlich diese Frage ist, zeigt eine Zahl von IBM: 38% der Mitarbeitenden geben an, sensible Unternehmensinformationen ohne Erlaubnis mit AI-Tools zu teilen¹. Spätestens daran wird deutlich, dass es beim Einsatz von AI nicht bei der Wahl eines einzelnen Tools bleiben kann. Sobald Unternehmen AI ernsthaft in ihre Abläufe integrieren wollen, stellen sich weiterführende Fragen:
- Welche Daten dürfen genutzt werden?
- Welche Modelle und Systeme sind geeignet?
- Wer entscheidet über Einsatz und Freigabe?
- Wie werden Mitarbeitende eingebunden?
- Und woran lässt sich erkennen, ob der Einsatz in die richtige Richtung läuft?
Wenn im Unternehmenskontext von AIG die Rede ist, sind damit häufig genau diese Strukturen hinter dem AI-Einsatz gemeint. Also nicht nur einzelne Vorgaben, sondern das Zusammenspiel aus Zuständigkeiten, Prozessen, Mechanismen und Zielzuständen, das AI im Unternehmen überhaupt steuerbar macht. Genau dafür hilft ein strukturiertes Gesamtbild. Es zeigt, welche Bereiche von AIG betroffen sind, worauf sie abzielt, mit welchen Hebeln sie wirkt und welche Einflüsse dabei eine Rolle spielen.
vgl. Schneider et al., 2024 ²
Scope und Zielzustände – von der Ausgangslage zum gewünschten Zustand
AIG richtet sich auf mehrere Bereiche im Unternehmen zugleich. In jedem dieser Bereiche geht es darum, einen heutigen Ausgangspunkt in einen verantwortbaren Zielzustand zu überführen. Anschaulich wird das am Beispiel eines Unternehmens, das Generative AI nutzen möchte, um Angebote schneller zu erstellen.
Bei den Daten geht es darum, von einer uneinheitlichen oder unsicheren Nutzung zu klaren Regeln zu kommen: Welche Informationen dürfen verwendet werden, aus welchen Quellen stammen sie und wie werden Qualität, Aktualität und Sicherheit sichergestellt? Beim Modell führt der Weg von einer spontanen Tool-Wahl zu einer bewussten Entscheidung, welche Lösung in Bezug auf Hosting, Anpassbarkeit, Leistungsfähigkeit und Risikoprofil zum Anwendungsfall passt. Auch auf Systemebene geht es um Entwicklung: Aus einer isolierten Anwendung, in die Informationen manuell kopiert werden, soll eine Einbindung werden, die verlässlich funktioniert und transparent macht, wie Ergebnisse entstehen und kontrolliert werden können. Bei den Menschen beschreibt AIG den Übergang von punktueller, individueller Nutzung hin zu einem Zustand, in dem Mitarbeitende AI kompetent einsetzen, Ergebnisse kritisch prüfen und ihre Rolle in der Zusammenarbeit mit dem System verstehen. Und auf organisatorischer Ebene geht es darum, von unklaren Zuständigkeiten zu einer Struktur zu kommen, in der Rollen, Verantwortlichkeiten und Entscheidungswege fest verankert sind .
AIG betrachtet damit nicht nur, was im Unternehmen vom AI-Einsatz betroffen ist, sondern immer auch, wohin sich diese Bereiche entwickeln sollen.
Mechanismen – wie aus Zielzuständen gelebte Governance wird
Zwischen dem heutigen Ausgangspunkt und dem angestrebten Zielzustand liegt die eigentliche Umsetzungsarbeit. Genau hier setzen die Governance-Mechanismen an. Sie beschreiben, mit welchen Hebeln ein Unternehmen Daten, Modelle, Systeme, Menschen und Organisation gezielt steuern kann .
Ein Teil dieser Steuerung ist strukturell. Gemeint sind klare Rollen, Zuständigkeiten und Entscheidungswege. Wenn Generative AI etwa im Angebotsprozess eingesetzt wird, muss festgelegt sein, wer über Tools entscheidet, wer Risiken bewertet und wer Verantwortung trägt. Hinzu kommen prozessuale Mechanismen wie Freigaben für neue Anwendungsfälle, Vorgaben für den Umgang mit sensiblen Daten oder ein regelmäßiges Monitoring. Ebenso wichtig sind relationale Mechanismen wie Kommunikation, Schulung und Austausch, damit Mitarbeitende verstehen, welche Leitplanken gelten und wie Ergebnisse einzuordnen sind. Ergänzt wird das durch technische Mechanismen wie Zugriffsbeschränkungen, Filter oder Guardrails, die riskante Eingaben und problematische Ausgaben begrenzen können. Erst das Zusammenspiel dieser Hebel macht aus Zielzuständen gelebte Governance.
Einflüsse und Konsequenzen – was AIG prägt und was sie bewirken soll
AIG entsteht nicht im luftleeren Raum. Sie wird von äußeren und inneren Einflüssen geprägt und sie soll zugleich konkrete Wirkungen im Unternehmen entfalten.
Zu den äußeren Einflüssen gehören rechtliche und regulatorische Anforderungen, branchenspezifische Rahmenbedingungen und der Markt, in dem sich ein Unternehmen bewegt. Daneben wirken interne Einflüsse wie die strategische Ausrichtung, die vorhandene AI-Kompetenz, die Kosten-Nutzen-Abwägung und die Frage, für welche Aufgaben AI überhaupt sinnvoll eingesetzt werden kann. Wenn AIG diese Einflüsse in tragfähige Strukturen übersetzt, entstehen daraus Konsequenzen: ein sichererer Umgang mit Daten, eine bessere Steuerbarkeit von AI-Systemen, mehr Transparenz in Entscheidungen und eine verlässlichere Zusammenarbeit zwischen Mensch und AI. Im Idealfall reduziert Governance also nicht nur Risiken, sondern schafft die Grundlage dafür, dass AI im Unternehmen wirksam, nachvollziehbar und dauerhaft nutzbar wird.
Ein erster praktischer Schritt
Wer AIG im eigenen Unternehmen greifbar machen möchte, sollte nicht mit der gesamten AI-Landschaft beginnen, sondern mit einem konkreten Anwendungsfall, etwa aus Vertrieb, Kundenservice oder Wissensmanagement. Prüfen Sie diesen Use Case zunächst entlang der Bereiche, die vom AI-Einsatz betroffen sind:
- Daten: Welche Informationen werden genutzt, und ist geregelt, was verwendet werden darf?
- Modell: Welches Tool kommt zum Einsatz, und passt es zum Anwendungsfall und Risikoprofil?
- System: Wie ist die Anwendung in bestehende Prozesse und Systeme eingebunden?
- Menschen: Wer nutzt die Anwendung, wer prüft Ergebnisse und welche Kompetenzen sind nötig?
- Organisation: Wer trägt Verantwortung, wer entscheidet und welche Leitplanken gelten?
Prüfen Sie anschließend die Mechanismen der Steuerung:
- Strukturell: Sind Rollen und Zuständigkeiten klar festgelegt?
- Prozessual: Gibt es Regeln, Freigaben und Monitoring?
- Relational: Sind Schulung, Kommunikation und Austausch vorgesehen?
- Technisch: Gibt es technische Leitplanken wie Zugriffsrechte, Filter oder geschützte Zugänge?
Schon diese erste Einordnung macht sichtbar, wo AIG im Unternehmen bereits angelegt ist und wo noch Lücken bestehen. Genau an diesem Punkt setzt auch unser Vorgehen bei CubeServ an: Wir helfen Unternehmen dabei, aus einzelnen Anwendungsfällen einen praxistauglichen und tragfähigen Governance-Rahmen zu entwickeln.
Autor Philipp Riedi und Co-Autorin Helene Dinse
Quellen:
¹ Krantz, T., Jonker, A., & McGrath, A. (o. D.). What is shadow AI? IBM. https://www.ibm.com/think/topics/shadow-ai
² Schneider, J., Kuss, P., Abraham, R., & Meske, C. (2025). Governance of generative artificial intelligence for companies. arXiv.
Vereinbaren Sie jetzt Ihren Expert Call. Wir freuen uns über Ihre Nachricht.
Philipp Riedi
- philipp-riedi
- n.n.
- n.n.
