

Governance, die Tempo ermöglicht, statt regelkonformer Mittelmäßigkeit
Mario Beck
2026-06-23
Jedes KI-Risikoregister nennt dieselben Dinge. Datenlecks. Compliance-Verstöße. Unbefugte Nutzung. Alles real, alles wert, gemanagt zu werden.
Eines schafft es nie auf die Liste: das Risiko, KI nicht zu nutzen, oder sie so vorsichtig zu nutzen, dass ihr es auch gleich lassen könnt.
Das ist das Risiko, das sich am leichtesten ignorieren lässt, weil es nie als Vorfall auftaucht. Ein Unternehmen kann ein Jahr oder länger an einer umfassenden KI-Richtlinie feilen, während Wettbewerber ausliefern, lernen und vorbeiziehen. Bis die Richtlinie verabschiedet ist, hat sich der Markt weiterbewegt. Nichts geht sichtbar kaputt, also nennt es niemand einen Fehlschlag. Aber die Kosten sind echt: das Produkt, das ihr nicht ausgeliefert habt, die Stunden, die ihr nicht gespart habt, der Boden, den ihr still preisgegeben habt, während ihr perfekt regelkonform bliebt.
Ich nenne es regelkonforme Mittelmäßigkeit. Alles "richtig" machen, während die Welt an euch vorbeizieht. Es ist das Fehlermuster, das niemand ins Register schreibt, weil es leise ist, und weil die Verantwortlichen meist für ihre Vorsicht gelobt werden.
Over-Governance ist ein echtes Fehlermuster
Das ist kein Argument gegen Governance. Es ist ein Argument gegen die Sorte, die drosselt statt ermöglicht.
Denkt an Leitplanken auf einer Bergstraße. Sie bremsen euch nicht. Sie lassen euch die Kurven mit Selbstvertrauen nehmen. Gute KI-Governance macht genau das. Sie sagt euch, welche Kurven gefährlich sind, damit ihr bei allem anderen schnell sein könnt. Schlechte Governance ist eine Straßensperre, bei der alle aussteigen und laufen müssen.
Es gibt einen Begriff für das, was euch Over-Governance still kostet: Opportunitätskosten. Der Wert, den ihr aufgebt, weil ihr zu sehr auf Nummer sicher geht. Er taucht nie auf einer Budgetzeile oder einem Risikoregister auf, und genau deshalb zahlt ihr ihn so leicht weiter, Quartal für Quartal.
Das Ziel ist nicht das KI-Programm mit dem niedrigsten Risiko. Null Risiko erreicht jeder, indem er nichts tut. Das Ziel ist das Programm mit dem höchsten Wert, das ihr sicher betreiben könnt. Das ist ein anderes Ziel, und es verändert, wie ihr das Ganze gestaltet.
Steuert Ergebnisse, nicht Tools
"Nutzt nur freigegebene Tools" ist eine Regel, die ihr schon verloren habt. Eure Leute sind drei Schritte voraus, und die Toolliste ist an dem Tag veraltet, an dem ihr sie veröffentlicht. Jede Stunde, die ihr in ihre Pflege steckt, ist eine verlorene Stunde.
Die Lösung ist, das Ergebnis statt des Tools zu steuern. "Keine Kundendaten in externen Systemen" ist durchsetzbar und stabil. Die Tools können sich wöchentlich ändern. Das Ergebnis nicht. Baut eure Governance um eine kleine Menge von Ergebnissen, die immer gelten müssen, und ihr hört auf, einer Liste hinterherzujagen, die nie stillsteht.
Damit seid ihr in guter Gesellschaft. Das NIST AI Risk Management Framework, der meistgenutzte KI-Risikostandard, ist bewusst ergebnisorientiert und technologieneutral. Es benennt die Ergebnisse, die ihr erreichen müsst, und überlässt euch die konkreten Tools, aus genau diesem Grund: Die Technologie bewegt sich schneller, als jede freigegebene Liste mithalten kann.
Ein Ein-Seiten-Modell, das funktioniert:
- Legt die Ergebnisse fest, die immer gelten müssen. Datengrenzen, Auditierbarkeit, menschliche Freigabe, wo die Einsätze hoch sind.
- Setzt diese als Leitplanken, und lasst Teams dann die Tools wählen, die sie erfüllen.
- Benennt für jedes Ergebnis einen Eigentümer, damit es jemandes Aufgabe ist und nicht niemandes.
- Überprüft die Ergebnisse quartalsweise. Die Tools nie.
Ergebnisorientierte Governance bewegt sich im Tempo eures Geschäfts. Toolorientierte Governance bewegt sich im Tempo eurer letzten Richtlinien-Sitzung.
Warum zentrale KI-Governance scheitert
Es gibt eine starke Versuchung, KI so zu steuern, wie wir Cybersecurity steuern: zentrale Autorität, enge Kontrolle, klare Perimeter, standardisierte Tools. Es ist ein bewährtes Modell. Es funktioniert nur nicht für KI, und es zu kopieren ist der Grund, warum so viele KI-Programme ins Stocken geraten.
Cybersecurity funktioniert zentral, weil die Bedrohungsfläche relativ stabil ist. KI ist das Gegenteil. Verteilte Nutzung, neu entstehende Anwendungen, ständiges Experimentieren, keine klare Grenze. Versucht, jedes Tool und jeden Anwendungsfall aus der Zentrale freizugeben, und ihr werdet zum Engpass, um den alle herumarbeiten. Die Kontrolle sieht auf dem Papier eng aus und leckt in der Praxis an den Rändern.
Was funktioniert, ist föderierte Kontrolle, kein zentrales Kommando:
- Die Zentrale legt die Prinzipien und die nicht verhandelbaren Ergebnisse fest.
- Teams wählen selbst, wie sie diese erfüllen, mit ihrem eigenen Kontext.
- Eine schlanke zentrale Funktion kuratiert, unterstützt und auditiert, statt alles freizugeben.
- Die Verantwortung liegt beim Team, gemessen an klaren Ergebnissen.
Klare Prinzipien, verteilte Ausführung, ergebnisorientierte Verantwortung. So steuert ihr etwas, das sich schneller ändert als euer Freigabeprozess. Das verräterische Zeichen ist Tempo. Wenn eure KI-Anfragen wochenlang in einer Warteschlange liegen, habt ihr keine Kontrolle. Ihr habt einen Rückstau, den die Leute still überspringen.
Das deckt sich mit dem, was Analysten in der Praxis sehen. McKinseys Leitfaden zum Gen-KI-Betriebsmodell beschreibt denselben Bogen: Die meisten Unternehmen beginnen mit einem zentralen Team und wechseln dann bewusst zu einem föderierten Modell, je reifer sie werden, damit KI in den Arbeitsalltag eingebaut wird, statt in einer zentralen Warteschlange zu landen.
Die EU-KI-Verordnung ist eine Leitplanke, keine Bremse
Die Hälfte der Räume, die ich betrete, behandelt die EU-KI-Verordnung wie eine Handbremse für Innovation. Ich halte das für genau verkehrt herum.
Streicht das Juristendeutsch, und vieles an der Verordnung ist einfach gute Praxis, die ihr ohnehin wollt. Wisst, welche KI-Systeme ihr wirklich habt. Seid in der Lage zu erklären, warum ein System mit hohem Einsatz eine Antwort gegeben hat. Haltet einen Menschen in der Schleife, wo die Einsätze hoch sind. Dokumentiert eure Entscheidungen, damit sie ein Audit überleben. Fühlt sich das unmöglich an, ist nicht die Regulierung das Problem. Dann habt ihr noch keinen Überblick über eure eigene KI.
Es hilft zu wissen, wie die Verordnung tatsächlich aufgebaut ist. Der Rahmen der Europäischen Kommission sortiert KI in vier Risikostufen: inakzeptabel (verboten), hoch, begrenzt (Transparenzpflichten) und minimal. Das meiste, was ein normales Unternehmen tut, landet in den minimalen oder begrenzten Stufen, wo die Last gering ist. Die schweren Pflichten sind echten Hochrisiko-Anwendungen vorbehalten, etwa Recruiting, Kreditbewertung und kritische Infrastruktur.
Auch der Zeitplan gibt euch mehr Spielraum, als die Schlagzeilen vermuten lassen. Die Verordnung trat am 1. August 2024 in Kraft. Verbotene Praktiken galten ab Februar 2025, und Pflichten für General-Purpose-KI-Modelle ab August 2025. Die anspruchsvollste Welle, die Pflichten für eigenständige Hochrisiko-Systeme, wurde unter dem 2026 vereinbarten Digital Omnibus nach hinten verschoben und gilt nun ab dem 2. Dezember 2027 (Hochrisiko-KI, die in regulierte Produkte eingebettet ist, folgt am 2. August 2028).
Das ist keine Ausrede zum Warten. Es ist Zeit, in Ruhe Überblick zu schaffen statt in Panik. Compliance und Tempo sind hier keine Gegensätze. Die Unternehmen, die zuerst die Leitplanken bauen, sind die, die später aufs Gas treten können, weil sie keine Angst davor haben, was sie treffen.
Beginnt mit der Inventarisierung, endet mit einem Eigentümer
Es gibt eine leise Logikkette in der KI-Verordnung, die Teams erst spät bemerken. Ohne Entdeckung kein Inventar. Ohne Inventar keine Governance. Ohne Governance seid ihr nicht regelkonform. Ein KI-Asset-Inventar ist also kein Nice-to-have mehr, sondern das Fundament, auf dem alles andere ruht. "Wir wussten nicht, welche KI unsere Leute nutzen" ist keine akzeptable Antwort mehr.
Die gute Nachricht ist, dass ein Inventar der konkreteste, am wenigsten theoretische Schritt im Ganzen ist. Ein brauchbares besteht nur aus ein paar Spalten: das System und was es tut, die Daten, die es berührt, die Risikostufe, der Eigentümer, und ob es freigegeben oder Schatten-KI ist. Beginnt als geteilte Tabelle. Es geht nicht um ein perfektes Dokument. Es geht darum, dass ihr endlich seht, was ihr steuert.
Ihr wollt nicht mit einem leeren Blatt anfangen? Unser kostenloser Scan für eingebettete Schatten-KI zeigt, welche eurer freigegebenen Tools still KI eingeschaltet haben, welche Daten sie erreichen können, und was das für eure Pflichten unter der KI-Verordnung bedeutet. Ein schneller Weg, die ersten Zeilen zu füllen.
Auch euer Vorstand braucht keine 200 Seiten Regulierung. Er braucht eine kurze Readiness-Checkliste, bei der jeder Punkt ein Ja oder ein Nein ist, und jedes "Nein" ein Startpunkt. Haben wir ein Inventar, inklusive der Schattensysteme? Können wir jedes nach Risiko einordnen? Können wir erklären, wie die mit hohem Einsatz zu einer Entscheidung kommen? Gibt es einen Menschen, der dort verantwortlich ist, wo es zählt? Führen wir Aufzeichnungen, die ein Audit überleben? Hat jemand dies namentlich in seinem Eigentum?
Das Letzte zählt am meisten. Fragt fünf Führungskräfte "wer ist hier Eigentümer der KI-Governance?" und ihr bekommt fünf verschiedene Antworten oder fünf ratlose Blicke. KI-Risiko verteilt sich über Security, Data, Legal und das Business, also fällt es in die Lücke dazwischen, und Dinge in der Lücke werden nicht gesteuert. Auf sie wird gehofft. Ihr braucht nicht ab Tag eins einen Chief AI Officer. Ihr braucht eine namentlich benannte Person, die nicht sagen kann "das ist nicht meine Aufgabe", gestützt von einer cross-funktionalen Gruppe und echter Rückendeckung von oben.
Leitplanken auf einer schnellen Straße
Governance, die blockiert, erzeugt regelkonforme Mittelmäßigkeit. Governance, die ermöglicht, erzeugt Tempo, das ihr verteidigen könnt. Der Unterschied liegt nicht darin, wie streng ihr seid. Er liegt darin, ob ihr Ergebnisse statt Tools steuert, die Ausführung verteilt statt zentralisiert, und Überblick als Fundament behandelt statt als nachträglichen Gedanken.
Die stillen Opportunitätskosten des Wartens sind der Teil, den die meisten Teams nie in eine Zahl fassen. Ihr könnt es. Ein KI-Strategiebericht zeigt, wo die wertvollsten KI-Erfolge mit der geringsten Reibung in eurem Geschäft liegen, und unsere EU-KI-Verordnung-Readiness-Sprint macht aus der Vorstands-Checkliste oben eine konkrete, vorstandsfertige Roadmap.
Lieber kostenlos starten? Ich habe die praktischen Teile in einem Governance-Starterpaket zusammengefasst: das ergebnisorientierte Ein-Seiten-Modell, die EU-KI-Verordnung-Checkliste für den Vorstand und eine Startvorlage für ein KI-Inventar. Ihr bekommt es über unseren Newsletter hier.
Wenn ihr herausfinden wollt, wer das in eurer Organisation besitzen sollte, schickt mir eine DM. Es ist die Frage, die mir am häufigsten gestellt wird, und meist die, die sich am schnellsten lösen lässt.