Von Anne-Sophie Morand und David Vasella
Im Zusammenhang mit der rasant fortschreitenden Entwicklung im Bereich der künstlichen Intelligenz (KI) wächst in Unternehmen der Bedarf an Strukturen und Prozessen, die einen sicheren, verantwortungsvollen und rechtlich korrekten Umgang mit KI-Technologie zu gewährleisten helfen. Dabei kommt der “AI Governance” eine zentrale Rolle zu. Eine funktionierende AI Governance stellt für Unternehmen zwar – wie jede Governance – eine Herausforderung dar, ist aber nicht nur notwendig zur Reduzierung von Risiken, sondern auch eine Chance, die den Weg für eine risikoadäquate Innovation ebnet.
Was ist “AI Governance”?
Der Begriff “Governance” (zu Deutsch: Steuerung, Führung) bezeichnet ein Steuerungs- und Regelungssystem und meint den Ordnungsrahmen, der erforderlich ist, um ein Unternehmen zu leiten und seine Tätigkeiten zu überwachen.
Im Kontext von KI bezieht sich “AI Governance” auf diesen Steuerungsrahmen für KI, d.h. auf die Entwicklung und Umsetzung organisatorischer Massnahmen, Prozesse, Kontrollen und Hilfsmittel, die dazu beitragen, die Verwendung von KI vertrauenswürdig, verantwortungsvoll, ethisch, rechtlich zulässig und effizient zu gestalten.
Die AI Governance ist in der Regel Teil der allgemeinen Governance-Landschaft eines Unternehmens und oftmals eng mit der “Data Governance” verflochten, also dem parallelen oder überschneidenden Rahmen für die Steuerung des Umgangs mit Personen- und anderen Daten und Informationen. Sie ist aber dennoch ein eigener Bereich. Data Governance konzentriert sich auf den Umgang mit Daten, während AI Governance die besonderen Herausforderungen von KI-Technologie berücksichtigt. Zudem sind Daten relativ statisch, während KI-Systeme lernen und sich weiterentwickeln. Die traditionelle Data Governance kann einen ethischen und rechtskonformen Einsatz von KI daher kaum gewährleisten.
In ihrem Anwendungsbereich umfasst eine AI Governance in der Regel folgende Aspekte:
- Einkauf, Betrieb und Verwendung von KI-Systemen: Was ein KI-System ist, legt im Anwendungsbereich der Europäischen KI-Verordnung (AI Act) ihr Art. 3 Abs. 1 fest. Trotz der Leitlinien der EU-Kommission zum Begriff des KI-Systems ist indessen weiterhin unklar, wann ein halbwegs intelligentes System die Schwelle zum KI-System überschreitet (dazu unsere FAQ). Deshalb sollte der Anwendungsbereich der AI Governance nicht zu eng gezogen werden, was die FINMA in ihrer “Aufsichtsmitteilung 08/2024 – Governance und Risikomanagement beim Einsatz von Künstlicher Intelligenz” auch betont hat;
- Entwicklung und Verkauf von KI-Systemen; und
- Entwicklung und Verkauf von General Purpose AI Models: Ein General Purpose AI Model (GPAIM) ist nicht dasselbe wie ein KI-System und wird in der KI-Verordnung der EU getrennt adressiert. Ein GPAIM („KI-Modell mit allgemeinem Verwendungszweck“) ist ein KI-Modell, das allgemein verwendbar ist, das breit einsetzbar ist und das in nachgelagerte Systeme integriert werden kann (Art. 3 Nr. 63 AI Act). Ein Beispiel ist das Modell “GPT‑4” von OpenAI. Das KI-System wäre in diesem Fall “ChatGPT”.
Unternehmen können sich dabei auch auf den ISO-Standard 42001:2023 “Information technology — Artificial intelligence — Management system” stützen. Der Standard definiert Anforderungen an ein KI-Managementsystem (AIMS) und unterstützt bei einer systematischen Entwicklung, Bereitstellung und Nutzung von KI-Systemen, und eine AI Governance nach diesem Standard lässt sich eher mit bestehenden Managementsystemen z.B. für Qualität (ISO 9001), Informationssicherheit (ISO 27001) oder Datenschutz (ISO 27701) integrieren (ISO 42001, Annex D).
Die Nutzung von KI-Tools (z.B. ChatGPT, Whisper, Claude, Perplexity, NotebookLM, Gemini usw.) durch Mitarbeitende bei der Arbeit, aber in privater Eigenschaft, auf private Initiative oder mit privaten Lizenzen ist ein Thema, das gesondert behandelt werden muss. Eine solche Verwendung von KI-Tools durch Mitarbeitende wird in der Regel über bestehende, interne ICT-Richtlinien geregelt. Unternehmen verbieten oftmals einen solchen Einsatz oder geben zumindest vor, welche Daten Mitarbeitende in diese Tools einspeisen dürfen und welche nicht. Dabei ist insbesondere zu beachten, dass die Anbieter der Tools in diesem Fall nicht als Auftragsbearbeiterinnen, sondern als Verantwortliche agieren und entsprechend grosse Freiheit beim Umgang mit eingegebenen Daten haben. Bei Unternehmenslizenzen werden die Anbieterinnen demgegenüber – wenn auch nicht ausnahmslos – als Auftragsbearbeiterinnen tätig und insoweit unter der Kontrolle des Unternehmens.
Warum braucht ein Unternehmen eine AI Governance?
Aus Sicht eines Unternehmens sprechen verschiedene Gründe für die Implementierung einer AI Governance.
Einhaltung regulatorischer Anforderungen
Im Digitalbereich treten weltweit anspruchsvolle regulatorische Anforderungen in Kraft. Besonders komplex, potenziell einschneidend, in der Anwendung oftmals unklar und mit ihrer extraterritorialen Wirkung auch für Unternehmen in der Schweiz von Relevanz ist der AI Act. Er verfolgt bekanntlich einen risikoabgestuften Ansatz, indem sie unterscheidet zwischen verbotenen Praktiken (das sind vor allem Anwendungen, die ein verantwortungsvolles Unternehmen auch von sich aus unterlassen würde), den Hochrisiko-Systemen (bspw. beim Einsatz im Arbeitskontext oder bei der Bonitätsprüfung), den begrenzten Risiken (wie bspw. bei Chatbots) und sonstigen Anwendungen mit minimalen Risiken.
Unternehmen mit Sitz in der Schweiz sind von ihrem territorialen Anwendungsbereich erfasst,
- wenn sie in der Rolle als Anbieter (“Provider”) KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen, oder
- wenn sie Anbieter oder Betreiber (“Deployer”) eines KI-Systems sind und die vom KI-System hervorgebrachte Ausgabe (“Output”) in der EU verwenden. Wann das der Fall ist, ist weitgehend unklar; die Verwendung von Output in der EU dürfte aber eine gewisse Absicht oder Ausrichtung voraussetzen, zugleich aber auch den Fall erfassen, dass sich ein KI-System relevant auf Personen in der EU auswirkt.
Der Bundesrat hatte im November 2023 beim UVEK (BAKOM) und beim EDA (bei der Abteilung Europa) eine Auslegeordnung zur möglichen Regulierung von KI in Auftrag gegeben, die als Entscheidgrundlage für das weitere Vorgehen dienen solle. Diese Auslegeordnung wurde am 12. Februar 2025 zusammen mit dem Entscheid des Bundesrates, wie er das Thema KI regulatorisch anpacken möchte, publiziert. Wie zu erwarten war, will der Bundesrat keine schweizerische KI-Verordnung – er hat verbreitete Bedenken aufgenommen, dass eine solche Regelung zu hohem Aufwand führen dürfte. Er hat sich aber für die Umsetzung der KI-Konvention des Europarates entschieden und diese am 27. März 2025 unterzeichnen lassen.
Das ist nicht überraschend: Die KI-Konvention wurde von der Schweiz unter ihrem Vorsitz massgeblich mitentwickelt. Sie
- ist das weltweit erste, für Vertragsparteien verbindliche zwischenstaatliche Abkommen zu KI und ist nun ins schweizerische Recht zu übernehmen, wobei die Umsetzung grossen Spielraum lässt;
- richtet sie sich primär an staatliche Akteure. Private Akteure werden nur erfasst, soweit eine direkte oder indirekte horizontale Wirkung unter Privaten entfalten. Beispiele sind die Pflicht zur Lohngleichheit im Arbeitsverhältnis oder die Bestimmungen zur Rassendiskriminierung.
Viele Bereiche werden indes nicht betroffen sein. Der Bundesrat will aber dort, wo Gesetzesanpassungen notwendig sind, möglichst sektorielle und technologieneutrale Anpassungen. Allgemeine, sektorübergreifende Regulierung soll nur in zentralen, grundrechtsrelevanten Bereichen erlassen werden, z.B. im Datenschutzrecht. Flankiert werden soll die Ratifikation der KI-Konvention sodann durch rechtlich nicht verbindliche Massnahmen, z.B. Selbstdeklarationsvereinbarungen und Branchenlösungen.
Der Bundesrat hat dem EJPD den Auftrag erteilt, mit dem UVEK und dem EDA bis Ende 2026 eine Vernehmlassungsvorlage für die Umsetzung der KI-Konvention vorzulegen. Gleichzeitig soll ein Plan für die weiteren, rechtlich nicht verbindlichen Massnahmen erarbeitet werden. Hier liegt die Federführung beim UVEK. Es ist also abzusehen, dass auch in der Schweiz zusätzliche Regeln gelten werden, stellenweise übergreifend, sonst punktuell und zusätzlich zum bestehenden Rechtsrahmen, der auch auf KI anwendbar ist, wie der EDÖB zurecht festgehalten hat.
Zu diesen Regelungen kommt das bestehende Recht, das auf den Einsatz von KI anwendbar bleibt, bspw. Regelungen des Datenschutz‑, des Arbeits‑, des Urheber- oder des Lauterkeitsrechts.
Nicht zu vergessen sind sodann ESG-Aspekte. ESG-Prinzipien in die AI Governance einzubinden kann dabei unterstützen, Aspekte des Umweltschutzes, der sozialen Verantwortung und der transparente Unternehmensführung bei der Entwicklung und der Verwendung von KI zu berücksichtigen. Der AI Act enthält dazu keine Vorgaben mehr, im Unterschied zu Entwurfsfassungen, die noch Umweltverträglichkeitsprüfungen und eine Berichterstattung über Energieverbrauch verlangt hatten. ISO 42001 verlangt aber eine Prüfung, ob der Klimawandel für ein Unternehmen ein relevantes Thema ist und nennt Umweltauswirkungen als potenzielles Organisationsziel (Annex C.2.4).
Eine funktionierende AI Governance kann Unternehmen vor diesem Hintergrund unterstützen, sowohl den aktuellen als auch den künftigen gesetzlichen Anforderungen gerecht zu werden. Diese relative Sicherheit ist eine Voraussetzung für einen effizienten Einsatz von KI im Unternehmen.
Vertrauensbildung
Vertrauen ersetzt Unsicherheiten durch Annahmen und reduziert dadurch Komplexität. In der Beziehung eines Unternehmens zu seinen Kunden, seinen Mitarbeitenden und seinen Partnern ist es eine entscheidende Komponente. Das gilt besonders bei Themen, die eine hohe Komplexität aufweisen, potenziell eine hohe Wirkung erzielen und zugleich von aussen nicht sicht- und nachvollziehbar sind.
Das Vertrauen, dass Unternehmen mit Technologie verantwortungsvoll umgehen und nur vertrauenswürdige KI-Systeme (oder KI-Systeme nur ethisch) einsetzen, ist deshalb unerlässlich. Es trägt dazu bei, interne und externe Widerstände gegenüber KI-Initiativen zu reduzieren und die Akzeptanz von KI-Technologien im Unternehmensalltag und ihre Integration in die Unternehmensabläufe zu fördern. Umgekehrt können qualitativ schlechte Ergebnisse, Sicherheitsvorfälle, Diskriminierungen und andere unerwünschte Effekte zu einem Vertrauensverlust führen, der nicht leicht wiedergutzumachen ist. Das verlangt Risikomanagement und Qualitätssicherung, einschliesslich der Prüfung möglicher KI-Systeme, die Prüfung von Trainingsdaten auf Verzerrungen, Tests der Modellgenauigkeit, Notfallpläne, sollte ein kritisches System Fehlverhalten zeigen usw. AI Governance unterstützt deshalb auch die Kontinuität des Geschäftsbetriebs.
Eine angemessene und funktionierende AI Governance führt also dazu, bei den involvierten Stakeholdern – Mitarbeitende, Kunden, Partner, Behörden – Vertrauen aufzubauen und aufrechtzuerhalten. Das gilt besonders dann, wenn nicht nur rechtliche Anforderungen, sondern auch ethische Standards und gesellschaftliche Erwartungen berücksichtigt werden.
Damit verbunden ist auch ein Wettbewerbsvorteil: Eine angemessene AI Governance unterstreicht das Engagement des Unternehmens für verantwortungsvolles Handeln und Transparenz, auch nach aussen hin, was sich positiv auf die Reputation auswirken kann. Auch bei der Innovationsförderung spielt AI Governance eine wichtige Rolle. Durch klare, verständliche und im Unternehmen bekannte Spielregeln können Unternehmen Kreativität und Experimentierfreude innerhalb verantwortungsvoller Grenzen fördern. Wenn Entwickler die Spielregeln kennen und wissen, innerhalb welcher Grenzen sie sich betätigen dürfen, fördert dies nicht nur die Sicherheit im Umgang mit KI, sondern gerade auch den Einsatz, der andernfalls durch mehr oder weniger vage und mehr oder weniger berechtigte Bedenken gebremst werden kann. All dies fördert die Stabilität und den Ruf des Unternehmens – in Märkten, in denen Vertrauen und Verlässlichkeit wesentlich sind, ist dies ein Wettbewerbsfaktor.
Zwischenfazit
AI Governance ist nichts grundsätzlich Neues, sondern ein neuer Anwendungsbereich der Governance. Dennoch, zu Beginn – vor dem breiteren Aufkommen zugänglicher KI-Technologien – war dieser Bereich wenig ausgeprägt und nur bei Unternehmen vorhanden, die sich früher schon stark mit entsprechenden Technologien (dann eher unter dem Begriff “Machine Learning”) beschäftigt haben. Je deutlicher die Risiken des Einsatzes von KI-Tools hervorgetreten sind, desto wichtiger wurde eine durchdachte AI Governance. Sie darf heute für viele Unternehmen als strategische Notwendigkeit betrachtet werden.
Implementierung der AI Governance
KI ist zuerst als Grundlagentechnologie und erst später als regulatorisches bzw. rechtliches Thema ins breitere Bewusstsein getreten. Innerhalb der Unternehmen war es daher das Business, die 1st Line, die das Thema vorangetrieben hat. Entsprechend lag die Verantwortung für das Thema primär bei den Business-Funktionen, mit der Zeit etwa bei einem CAIO (Chief AI Officer) oder einem CDAO (Chief Data & Analytics Officer).
Die Compliance-Aufgaben waren häufig viel weniger klar zugeordnet. Nicht selten wurden sie den für den Datenschutz zuständigen Personen oder Stellen zugeordnet, bspw. einem Datenschutzbeauftragten (DPO) als der mit dem Thema noch am ehesten vertrauten Person. Das hat sich inzwischen bis zu einem gewissen Grad geändert. Manche Unternehmen haben eine eigene Governance-Struktur für den Bereich KI geschaffen, andere – wohl die Mehrzahl – haben bestehende Strukturen verwendet und die Zuständigkeit für die KI dort angesiedelt.
So oder anders: Die AI Governance muss auf das jeweilige Unternehmen zugeschnitten sein. Die nachfolgenden Best Practices können dabei (hoffentlich) helfen.
Rahmenbedingungen des Unternehmens verstehen
Zunächst sollte die AI Governance der KI-Strategie des Unternehmens entsprechen. Dies setzt voraus, dass das Unternehmen für den Umgang mit KI-Technologie konkrete Ziele definiert und dabei die Besonderheiten, die Bedürfnisse und auch das kulturelle Umfeld des Unternehmens berücksichtigt (siehe ISO 42001, Ziff. 4). Damit ist auch gesagt, dass der Einsatz von KI weder eine Strategie noch ein Selbstzweck ist – KI ist nicht mehr und nicht weniger als ein Hilfsmittel. Dem steht nicht entgegen, dass sich die Technologie an sich und die auf ihr beruhenden Anwendungen so rasch entwickeln, dass ein gewisses Ausprobieren notwendig und sinnvoll ist. Unternehmen müssen deshalb eine recht klare Vorstellung entwickeln.
Dabei können etwa die folgenden Fragen unterstützen:
- Wie setzt das Unternehmen KI bereits ein? Zur KI gehört nicht nur die Generative AI in Form von ChatGPT und verwandten Systemen, der Begriff ist viel breiter, und viele Unternehmen haben KI seit langem eingesetzt (bspw. Empfehlungs- und Expertensysteme, Betrugserkennung, Spracherkennung, Energiesteuerung, Robotik usw.). Dazu sollten KI-Anwendungen zuerst inventarisiert werden. In aller Regel fehlt zunächst eine klare Sicht, und auch Applikationsverzeichnisse geben selten Aufschluss über den tatsächlichen Einsatz von eigener und eingekaufter KI im Unternehmen.
- Was sind Werte und Vision des Unternehmens? Wie wichtig ist Vertrauen für die Tätigkeit des Unternehmens? Was ist die Wahrnehmung des Unternehmens nach innen und nach aussen? Wie hoch sind Reputationsrisiken im Zusammenhang mit dem Einsatz von Technologie? Steht das Unternehmen in der Öffentlichkeit, hat das Publikum eine emotionale Beziehung zum Unternehmen? Wie gewichtig sind ethische Bedenken (Stichwörter Bias, Fairness und Transparenz)? Hat sich das Unternehmen bereits öffentlich für die Einhaltung ethischer Grundsätze verpflichtet?
- Womit verdient das Unternehmen sein Geld? Wie wichtig ist Innovation? Welche Produkte und Dienstleistungen bietet es an, jetzt und in Zukunft? Kann KI dabei helfen, Produkte oder Dienstleistungen zu verbessern, neue Produkte zu entwickeln oder die Kundenerfahrung zu verbessern?
- Welche Risiken sind mit dem Einsatz von KI verbunden? Wie empfindlich ist das Unternehmen bspw. auf operationelle Risiken, wie wichtig ist die Business Continuity, in welchen Bereichen? Wie exponiert ist das Unternehmen gegenüber rechtlichen Risiken? Ist es reguliert, bietet es kritische Produkte an, verwendet es eine grosse Menge an Personendaten?
- Welchen regulatorischen Rahmenbedingungen unterliegt das Unternehmen? Ist es bspw. in der Finanzbranche, im Gesundheitswesen, im Medizinprodukte- oder Fernmeldebereich tätig? Ist es börsenkotiert? Welche ESG-Standards sollte es einhalten, hat es Nachhaltigkeitsziele?
- Welche Prozesse bei Einkauf, Produktion und Verkauf sind für das Unternehmen wichtig? Wo gibt es am ehesten Potenzial für eine Effizienzsteigerung? Wie?
- Welche Ressourcen stehen dem Unternehmen zur Verfügung? Welche Ressourcen (Daten, Know-how, Infrastruktur, Budget) wären erforderlich? Sind bspw. vorhandene Daten für einen KI-Einsatz geeignet?
- Wie kann das Unternehmen mit Veränderungen und Lernen umgehen? Können Erfahrungen aus Pilotprojekten verwendet werden? Verfügt das Unternehmen über Mitarbeitende, die in der Lage sind, sich die notwendigen Kompetenzen bei Bedarf anzueignen?
- Wie kann die Verantwortung für den Einsatz von KI zugeordnet werden? Gibt es bereits bestehende Gremien oder Rollen, die eingebunden werden können? Müssen neue Zuständigkeiten geschaffen oder bestehende Rollen angepasst werden? Ist das Thema in der Geschäftsleitung verankert? Gibt es einen strukturierten Umgang mit Risiken?
- Welche Governance existiert bereits? Verfügt das Unternehmen bspw. über Qualitätssicherungs‑, Datenschutz‑, Informationssicherheits- oder andere Managementsysteme, von denen Bestandteile verwendbar oder die abzugleichen sind?
- Wie gross und wie komplex ist das Unternehmen? Mit welchem Grad an Formalisierung der Prozesse kann es umgehen, oder umgekehrt – welcher Grad an Formalisierung ist notwendig?
Es ist wie angesprochen wichtig, ein Verständnis über die KI-Risikolandschaft des Unternehmens zu erlangen und diese aus Sicht des Unternehmens zu bewerten. Dazu kann auch eine etwas genauere rechtliche Analyse gehören. Stellt ein Unternehmen bspw. Medizinprodukte her, die KI-Systeme verkörpern oder in sich haben, und verkauft es diese auf dem EU-Markt, wird die KI-Verordnung der EU relevant, und das Produkt kann durchaus in die Kategorie der Hochrisiko-KI-Systeme fallen. Hält sich das Unternehmen nicht an die entsprechenden Vorgaben, riskiert es Bussen, Reputationsschäden und operationelle Risiken. Der Fokus beim Aufbau der AI Governance muss hier auf der Einhaltung der KI-Verordnung der EU liegen.
Prinzipien definieren
Es hat sich bei der Umsetzung einer AI Governance bewährt, Prinzipien zu definieren, die den Umgang mit KI leiten. Jedes Unternehmen wird eigene Prinzipien definieren müssen – es gibt keinen universellen Ansatz. Zu den wesentlichen Prinzipien gehören aber u.a. Sicherheit, Fairness, Transparenz, Qualität und Genauigkeit, Verantwortlichkeit, menschliche Aufsicht und Nachhaltigkeit. Diese Grundsätze können sich an den in ISO 42001 genannten Zielen und Controls orientieren (Annex C). Sie sollten nicht wohlklingende Schlagwörter bleiben, sondern mit Leben erfüllt werden; das ist aber kein Grund, auf sie als Leitideen zu verzichten.
Der Umgang mit KI-Technologie kann sodann unterschiedliche Risiken mit sich bringen, je nach Anwendung und Kontext. Es kann daher sinnvoll sein, der AI Governance einen risikobasierten Ansatz zugrundezulegen, ähnlich wie dies bei der (in der Stossrichtung durchaus sinnvollen) KI-Verordnung der EU der Fall ist. Dazu sollten Risikokriterien definiert werden, und im zweiten Schritt können je nach Risikokategorie unterschiedliche Anforderungen definiert oder eine KI-System-Folgenabschätzung (AI System Impact Assessment) durchgeführt werden.
Klaren Rahmen festlegen
Ein zentraler Aspekt der Umsetzung ist sodann die Erstellung eines “AI Governance Framework”, das z.B. die allgemeine Ausgangslage und Risiken, die Ziele der AI Governance, Definitionen und Anwendungsbereich, die Kategorisierung von KI-Systemen und die Grundsätze und Verantwortlichkeiten definiert. Dabei sollten möglichst klare, pragmatische und nachvollziehbare Vorgaben festgelegt werden, und der Anwendungsbereich des Framework und ein Vorgehen für Ausnahmen (“exception to policy”) sollten definiert werden.
Ein solches Framework kann mehr oder weniger komplex sein; wesentlich ist aber, dass es auf das Unternehmen zugeschnitten ist und dass es die wesentlichen Grundsätze klar festlegt. Dies dient auch dem Schutz der Leitungsgremien, die diese Grundsätze festzulegen haben, damit aber zugleich auch wirksam Aufgaben delegieren können.
Es empfiehlt sich dabei eine sukzessive Vorgehensweise – auch hier sollte man nicht in Schönheit sterben. Der Fokus bei der Umsetzung sollte im ersten Schritt auf die wesentlichen Steuerungsziele und die relevanten Risiken gelegt werden. Dafür können bspw. eine Policy mit bestimmten Vorgaben und insbesondere internen Verantwortlichkeiten genügen, verbunden mit einem Berichtswesen und dem Einbezug einer – je nach Unternehmen mehr oder weniger – unabhängigen Stelle zur Prüfung der Zulässigkeit. Im Lauf der Zeit – wenn KI stärker oder für heiklere Prozesse eingesetzt werden – können weitere Elemente dazu kommen, bspw. ausgereiftere Verzeichnisse, definierte Prüfraster, Themen-spezifische Schulungen, vertragliche Vorgaben für Lieferanten, Empfehlungen eines internen Ethik-Boards, Approval der Geschäftsleitung usw.
Verantwortlichkeiten und Zuständigkeiten festlegen
Führungsebene miteinbeziehen
Auch wenn spezialisierte Abteilungen, Stellen oder Funktionen geschaffen werden: Beim Aufbau und bei der Umsetzung der AI Governance muss die Führungsebene miteinbezogen werden. Ohne dies ist die Akzeptanz der Governance im Unternehmen gefährdet, und umgekehrt können Führungskräfte für die notwendigen Ressourcen sorgen. Wie angesprochen haben Leitungspersonen zudem ein eigenes Interesse, nicht nur die strategischen Weichen zu stellen, sondern die Verantwortung wirksam zu
delegieren, und dies setzt auch voraus, dass die stufengerechte Kompetenz auf allen Ebenen – auch der Leitungsebene – vorhanden ist, dass ein Berichtswesen
existiert und dass die Adressaten von Berichten in der Lage sind, diese zu verstehen.
Verantwortlichkeit für Projekte definieren
Für jedes KI-Projekt sollte ein Unternehmen sodann eine verantwortliche Person oder Einheit bestimmen, die intern die Verantwortung für die Compliance trägt (im Sinne von «Accountability») und die im Rahmen ihrer Funktion oder Kompetenzen über die Entwicklung bzw. den Einsatz eines KI-Systems entscheidet (z.B. ein Business Owner). Daneben kann eine Ansprechperson definiert werden, die nicht mit dem Business Owner übereinstimmen muss, aber als direkte Ansprechperson bei Fragen bereitsteht.
Zentrale Anlaufstelle
Es ist weiter empfehlenswert, eine verantwortliche Person oder Unternehmenseinheit für AI Governance als zentrale Anlaufstelle zu benennen. Sie spielt in der Überwachung und Aktualisierung der AI Governance eine Schlüsselrolle (ISO 42001 sieht bspw. einen Prozess zur Meldung von Bedenken vor (A.3.3), für den eine klare Anlaufstelle sinnvoll ist) und sollte sowohl über die notwendigen fachlichen Kompetenzen als auch über ausreichende Autorität im Unternehmen verfügen. Eine solche Einheit kann z.B. ein bestehendes Data-Governance-Team sein, das mit der interdisziplinären Zusammenarbeit vertraut ist. In grösseren Unternehmen, die sich schon länger mit dem Thema KI befassen, wird vermehrt eine eigene Abteilung für AI Governance eingerichtet.
Interdisziplinäre Arbeitsgruppe
Die Komplexität und Vielseitigkeit von KI-Technologie erfordern eine breite Palette an Fachwissen und Kompetenzen. Viele Unternehmen befinden sich am Anfang in einer Orientierungsphase, wo sie noch keine klare Vorstellung der Tragweite der KI-Thematik für das Unternehmen haben. Es lohnt sich, zu Beginn eine interdisziplinäre Working Group zu bilden, die sich aus Personen aus verschiedenen Bereichen zusammensetzt (z.B. Juristinnen; IT‑, Security- und Ethik-Experten oder auch Personen aus dem Business selbst), um die verschiedenen Aspekte bei der Implementierung der AI Governance zu berücksichtigen.
Wichtig ist allerdings die Unterscheidung einer solchen Gruppe im Sinne eines begleitenden Expertengremiums von einem Entscheidgremium. Besonders Unternehmen, die einem “Three Lines”-Ansatz folgen – also der Trennung zwischen den Ertragseinheiten, dem «Business», von einer unabhängigen Compliance-Funktion – sollten diese Trennung nicht dadurch unterlaufen, dass sie Entscheidungen von gemischten Gremien treffen lassen. Es spricht demgegenüber nichts dagegen, dass solche Gremien gemeinsame Vorschläge machen, solange die Unabhängigkeit der Entscheidungen dadurch nicht gefährdet wird.
Ethikkommission
AI Governance geht in aller Regel über die Sicherstellung von Compliance hinaus. KI-Systeme sollen nicht nur zulässig, sondern auch vertrauenswürdig und ethisch sein. Viele Unternehmen haben daher Ethikräte oder ‑kommissionen eingerichtet, um KI-Initiativen zu begleiten und sicherzustellen, dass diese mit ethischen Standards und gesellschaftlichen Werten übereinstimmen.
Swisscom verfügt beispielsweise über ein Data Ethics Board, das sich auch um KI-Projekte kümmert, sobald diese aus ethischer Sicht heikel sein könnten. Auch kleinere Unternehmen können und sollten sich mit ethischen Fragen befassen, besonders wenn sie in heiklen Bereichen oder mit heiklen Daten tätig sind. Soll KI eingesetzt werden, um Daten von Mitarbeitenden auszuwerten (bspw. für die derzeit vieldiskutierte Sentiment-Analyse), ist dies immer der Fall.
Interne Kommunikation und Schulungen
Die interne Kommunikation und Schulung sind wesentliche Elemente der AI Governance. Die Mitarbeitenden sollten verstehen, wozu AI Governance dient und wie sie sich
auf ihre Arbeit auswirkt. Eine offene und auch ehrliche Kommunikation gegenüber Mitarbeitenden schafft erst das notwendige Vertrauen. Dies erfordert eine verständliche Kommunikation und entsprechende Schulungsmassnahmen (der AI Act verlangt dies unter dem Stichwort “AI Literacy” ohnehin).
Iterativer Prozess
AI Governance sollte als kontinuierlicher und iterativer Prozess verstanden werden. Sie ist kein einmaliges Projekt, das nach einer Implementierungsphase abgeschlossen ist (genauso wie andere Zweige der Governance). Die Strukturen und Prozesse der AI Governance sollten regelmässig geprüft und gegebenenfalls angepasst werden. Anders können Unternehmen auf neue Herausforderungen und Veränderungen – seien sie technologischer, regulativer oder marktbedingter Natur – nicht reagieren (und jedes System bewirkt Missbräuche und Leerläufe – nur schon deshalb sollten Systeme immer wieder angepasst werden).
Dieser iterative Ansatz ist ein Prozess des Testens, Überprüfens und Anpassens, der die AI Governance auf dem Stand von Technologie, Regulierung und Praxis halten soll, zugleich aber eine Lernkultur voraussetzt. Feedback von Mitarbeitenden sollte laufend eingeholt werden.
Kontinuierliche Überwachung der Systeme
AI-Governance-Prozesse sollten schliesslich “Gesundheitschecks” vorsehen, um KI-Systeme, die bereits geprüft sind, laufend zu überwachen. Um den Überblick über sämtliche KI-Anwendungen im Unternehmen zu behalten, ist es weiter wie angesprochen unverzichtbar, ein Verzeichnis der entwickelten oder eingekauften KI-Systeme und KI-Modelle zu führen.