Der Einsatz künstlicher Intelligenz verändert in rasantem Tempo die Art und Weise, wie Unternehmen ihr Governance, Risiko- und Compliance-Management (GRC) organisieren. Die Regulierung durch den EU AI Act bringt zusätzlich neue Anforderungen und potenzielle Risiken mit sich. Statt sich hinter absoluten Verboten zu verstecken, sind Organisationen jetzt gefordert, klare interne Leitplanken für den Einsatz von KI zu definieren und Governance-Strukturen frühzeitig anzupassen.
Peter Herr, Senior Director bei Diligent, erläutert für uns den aktuellen Handlungsbedarf für Unternehmen und gibt praxisnahe Einblicke in die Umsetzung von KI-Governance.
Wie können Unternehmen das richtige Gleichgewicht zwischen Innovation und Regulierung finden, um in Zeiten von KI wett-bewerbsfähig zu bleiben?
Eine frühzeitige Auseinandersetzung mit regulatorischen Anforderungen schafft eine solide Grundlage für die erfolgreiche Arbeit mit KI. Beispielsweise kann die Einführung eines Regelwerks, mit dem die Datennutzung festgelegt wird, klare Leitplanken und Verantwortlichkeiten durch Governance schaffen und so Innovation mit Sicherheitsnetz ermöglichen.
Peter Herr ist Senior Director bei Diligent und verantwortet die strategische Geschäftsentwicklung in der DACH-Region. Mit langjähriger Erfahrung im Bereich Governance, Risk & Compliance unterstützt er Unternehmen dabei, ihre Steuerungs- und Kontrollsysteme zukunftssicher aufzustellen. Sein Fokus liegt auf der digitalen Transformation von Aufsichtsgremien und der effektiven Nutzung von Technologie zur Stärkung unternehmerischer Resilienz.
Zu welchen ersten Schritten raten Sie Unternehmen zum aktuellen Zeitpunkt, um KI-Governance umzusetzen?
Es ist absolut ratsam, umgehend ein Gap Assessment durchzuführen – um festzuhalten, welche Regularien bereits umgesetzt sind und an welcher Stelle noch entsprechende Lücken geschlossen werden müssen. Das umfasst auch eine Bestandsaufnahme der aktuellen offiziellen und inoffiziellen KI-Nutzung und eine Risikoanalyse, gegebenenfalls per Mitarbeiterumfrage und durch die Unterstützung des IT-Teams. Außerdem sollten unbedingt Zuständigkeiten sowie KI-Governance-Regeln definiert, Mitarbeiter durch Schulungen sensibilisiert und Prozesse dokumentiert werden.
Warum braucht es aus Ihrer Sicht statt punktueller Maßnahmen oder technischen Einzelentscheidungen klare Governance-Strukturen für den Einsatz von KI?
Wir müssen immer im Hinterkopf behalten, dass die Nutzung von KI keine Einzelfälle darstellt, sondern ganze Entscheidungsprozesse verändert. Governance generiert hier Nachvollziehbarkeit, Fairness und Kontrolle und schafft im Umkehrschluss Vertrauen bei Kunden, Mitarbeitern und Regulatoren. Die Vorteile von KI-gestützten Governance-Strukturen reichen von transparenter Entscheidungsfindung und Nachvollziehbarkeit über die Vermeidung von Haftungsrisiken und ethischen Konflikten. Zudem schaffen sie einen sicheren Rahmen für Experimente und Innovationen wie beispielsweise für die Inspiration zum Entwickeln neuer Produkte.
In einem kürzlich veröffentlichten Statement resultieren Sie, dass »Verbote keine Lösung sind« – warum greifen Unternehmen dennoch oftmals zu Restriktionen beim Einsatz von KI, anstatt Leitplanken zu schaffen?
Alltagspsychologisch betrachtet sorgen Unsicherheit und fehlendes Know-how für Verbote, statt eine Weiterentwicklung zuzulassen und Chancen zu erkennen. Insbesondere mit Hinsicht auf sensible Daten wird ein großer Compliance-Aufwand gefürchtet. Ein grundlegendes Verbot erscheint kurzfristig gedacht einfacher, als sich einzugestehen, dass die bisherigen Governance-Strukturen neuen und möglicherweise besseren Vorgängen nicht mehr gewachsen sind. Hier muss ich allerdings betonen, dass es sich um einen Scheinschutz handelt, denn echte Resilienz entsteht nur durch klare Richtlinien und eine langfristige Planung.
Zu welchen zeitnahen, praktischen Maßnahmen raten Sie Unternehmen jetzt, um sich auf die schrittweise Umsetzung des EU AI Acts vorzubereiten?
Die systematische Identifikation von KI-Anwendungen im Unternehmen habe ich ja bereits genannt. Direkt darauf folgen sollte eine Klassifizierung nach Risikostufen sowie ein Abgleich mit den Anforderungen des AI-Acts. Für diese Aufgaben können auch externe Provider zu Rate gezogen werden, die auf dieses Vorgehen spezialisiert sind. Außerdem ist die Umsetzung von Kontrollmaßnahmen sowie deren zuverlässige Dokumentation essenziell. Auch wenn die Frist zur vollständigen Anwendung des EU AI Act erst im August 2027 endet, beginnt die Umsetzung bereits ab August dieses Jahres. Dabei sind die Anforderungen zeitlich gestaffelt. Das bedeutet, dass es jetzt an der Zeit ist, die Gap Assessments zu starten und weitere geplante EU-Standards für KI-Prozesse direkt mit zu berücksichtigen. Werden die Fristen nicht eingehalten, drohen einerseits hohe Strafen von 35 Millionen Euro oder 7 Prozent Jahresumsatz. Andererseits verlieren Unternehmen Zeit für Anpassungen und geraten in Rückstand gegenüber Konkurrenten. Eine fehlende Vorbereitung auf die Regularien erhöht in jedem Fall das Risiko von Compliance-Brüchen und damit verbundenen Reputationsschäden sowie Vertrauensverlust.
Wie kann KI die Vorstands- und Gremienarbeit effizient unterstützen?
KI kann sich um die unliebsamen Arbeiten kümmern, wie etwa das Zusammenstellen von Sitzungsunterlagen oder das automatisierte Zusammenstellen von Protokollen. Und Zusammenfassen von Diskussionen. Durch diese automatisierten Analysen ist außerdem eine zielgerichtetere Vorbereitung auf eben jene Sitzungen möglich. Nicht zu unterschätzen ist auch die Identifikation von rechtlich relevanten Aspekten, die sonst vielleicht erst im Nachhinein erkannt würden. All diese Funktionen erleichtern das tägliche Doing um ein Vielfaches und steigern die Effizienz der ohnehin knapp bemessenen Zeit der Gremienmitglieder.
Was erwarten Sie in den kommenden Jahren? Wie werden sich Governance-Ansätze für KI weiterentwickeln?
Ich bin der Überzeugung, dass wir eine stärkere Verzahnung zwischen Technik, Recht und Ethik erleben werden. Auch hierfür werden in absehbarer Zukunft verbindliche Standards auf europäischer und globaler Ebene etabliert. Außerdem ist mit einer zunehmenden Automatisierung von Risiko- und Compliance-Prüfungen sowie einem Bedeutungszuwachs von kontinuierlicher KI-Überwachung zu rechnen.
