Modul 3: KI-Governance, Richtlinien & Verantwortlichkeiten
Mit dem EU AI Act ist KI-Governance vom Nice-to-have zur Pflichtaufgabe geworden. Unternehmen müssen ihre KI-Anwendungen klassifizieren, Richtlinien verabschieden, Rollen definieren, Risiken bewerten und Audit-fest dokumentieren. Hinzu kommt die organisatorische Frage: Wer kümmert sich? KI-Beauftragter, Risk Owner, Use-Case-Verantwortliche — wie wird das verteilt, ohne dass Verantwortung verschwimmt?
Modul 3 baut für Ihr Unternehmen die regulatorisch-organisatorischen Leitplanken auf. Wir inventarisieren Ihre KI-Landschaft, klassifizieren nach EU-AI-Act-Risikostufen, erarbeiten die KI-Richtlinie, bauen das Rollenmodell, etablieren Meldewege und Eskalationspfade, führen ein Risikoregister ein und bereiten Sie auf interne und externe Auditierung vor.
Die Richtlinie, die am Ende verabschiedet wird, ist nicht ein Hochglanz-Dokument, das im Intranet verstaubt — sondern eine verbindliche, verständliche und praxistaugliche Orientierung, die Mitarbeitende und Führungskräfte im Alltag tragen können.
Was Sie mitnehmen
Sechs greifbare Lieferergebnisse, die zusammen Ihr Governance-System bilden:
- Ein KI-Anwendungs-Register — die fortlaufend zu pflegende Inventarisierung aller eingesetzten oder geplanten KI-Anwendungen mit Klassifizierungs-Stand. Typisch Excel oder Datenbank. Empfänger: KI-Beauftragter.
- Eine verabschiedete KI-Richtlinie — die verbindliche, praxistaugliche Orientierung für Mitarbeitende und Führungskräfte. Typisch 15–30 Seiten. Empfänger: alle Mitarbeitenden.
- Ein Risikoregister mit Maßnahmenkatalog — die strukturierte Bewertung aller KI-Anwendungen mit Behandlungsmaßnahmen und Review-Zyklen. Typisch Excel oder GRC-Tool-Eintrag. Empfänger: Risk Owner und Steuerkreis.
- Eine Verantwortungsmatrix (RACI) — die klare Rollenverteilung zwischen KI-Beauftragtem, KI-Manager, Risk Owner und Use-Case-Verantwortlichen. Typisch 1–3 Seiten. Empfänger: betroffene Rolleninhaber.
- Eine Audit-fertige Dokumenten-Ablage — die strukturierte Sammlung aller Nachweise für interne Revision oder externen Auditor. Empfänger: Revision oder externer Auditor.
- Schulungsunterlagen für die KI-Beauftragten — die Befähigung der ernannten Rolleninhaber für ihre laufenden Aufgaben. Typisch 40–80 Folien plus Begleitmaterial.
So arbeiten wir
Acht Schritte, von der Bestandsaufnahme über die Verabschiedung in den Gremien bis zur Audit-Vorbereitung und der Schulung der KI-Beauftragten.
| Nr. | Schritt | Was passiert | Dauer |
| 1 | Bestandsaufnahme | Inventarisierung aller eingesetzten und geplanten KI-Anwendungen | 1–2 Wochen |
| 2 | Risikoklassifizierung | Einordnung nach EU-AI-Act-Risikostufen, Hochrisiko-Bewertung | 1–2 Wochen |
| 3 | Richtlinien-Erarbeitung | Drafting Acceptable-Use, Datennutzung, Tool-Freigabe | 2–4 Wochen |
| 4 | Rollenstruktur | KI-Beauftragter, Risk Owner, Verantwortungsmatrix (RACI) | 1–2 Wochen |
| 5 | Risikoregister | Bewertung und Behandlungsmaßnahmen mit Review-Zyklen | 2–3 Wochen |
| 6 | Verabschiedung in den Gremien | Begleitung Vorstand, Betriebsrat, Datenschutz | 4–8 Wochen |
| 7 | Audit-Vorbereitung | Strukturierung der Dokumentenablage, Probe-Auditierung | 2–3 Wochen |
| 8 | Schulung KI-Beauftragte | Befähigung der ernannten Rolleninhaber | 1–2 Tage |
Gesamtdauer typisch drei bis sechs Monate, je nach Unternehmensgröße und Zahl der Hochrisiko-Anwendungen.
Die Schritte 1 bis 5 sind die Aufbau-Arbeit. Schritt 6 ist der Knackpunkt, an dem die Richtlinie aus dem Entwurf in die Verbindlichkeit übergeht — und das dauert oft länger als die Erstellung selbst. Schritt 7 und 8 stellen sicher, dass die Governance auch nach dem Mandat weiterläuft.
Wann dieses Modul für Sie passt
Vier Situationen, in denen Modul 3 die richtige Antwort ist:
„Der EU AI Act gilt für uns — und wir wissen nicht, was wir konkret tun müssen.” Sie wissen, dass Sie Hochrisiko-Anwendungen oder allgemeine KI-Anwendungen im Einsatz haben — aber nicht, wie die Klassifizierung in Ihrem Fall ausfällt und welche Dokumentations-Pflichten daraus entstehen. Wir klären beides verbindlich.
„Schatten-KI ist in unserem Unternehmen ein Thema.” Mitarbeitende nutzen ChatGPT, Claude oder andere Tools auf eigene Faust — ohne Freigabe, ohne klare Regeln, ohne Dokumentation. Wir schaffen Transparenz, definieren zugelassene Tools und etablieren Meldewege, ohne Innovation zu blockieren.
„Unsere Datenschutz-Abteilung und unsere IT widersprechen sich beim Thema KI.” Sie haben einen institutionellen Konflikt zwischen Datenschutz und technischen Möglichkeiten. Wir liefern Richtlinien und Konzepte, die beide Seiten tragen können — inklusive Betriebsrats-Material.
„Unsere Aufsicht hat KI-Governance auf die Prüfungsliste gesetzt.” Ein Audit steht an, oder eine Aufsichtsbehörde hat Fragen. Wir bauen die Dokumenten-Ablage so auf, dass sie einer Prüfung standhält — und führen eine Probe-Auditierung durch, bevor die echte kommt.
Eine Situation, in der Modul 3 nicht das richtige Modul ist: Wenn Sie an einzelnen technischen Schutzmaßnahmen arbeiten (Prompt-Injection-Tests, Datenexfiltrations-Schutz, Identitäts-Management für KI-Systeme), ist Modul 7 (KI-Betrieb) der präzisere Schnitt. Modul 3 baut den regulatorisch-organisatorischen Rahmen — Modul 7 setzt die technischen Schutzmaßnahmen darin um.
Verwandte Module
Modul 3 ist mit drei anderen Modulen besonders eng verzahnt:
- Modul 5 (Kompetenzaufbau) liefert die Schulungs-Durchführung. Modul 3 definiert die Pflichtschulungs-Anforderungen nach EU AI Act, Modul 5 setzt sie als Schulungsprogramm um.
- Modul 4 (Daten) klärt die technisch-operative Seite. Modul 3 sagt, wer welche Daten wofür nutzen darf — Modul 4 setzt das in Pipelines und Anonymisierungs-Konzepte um.
- Modul 7 (Betrieb) übersetzt Governance in Technik. Modul 3 definiert, was überwacht werden muss — Modul 7 implementiert das Monitoring.