Um die Compliance mit dem KI-Gesetz der EU sicherzustellen, empfiehlt es sich, frühzeitig eine interne KI-Governance zu implementieren. Wie dies unbürokratisch und effizient geschehen kann, zeigt dieser Beitrag anhand eines Risikomanagementsystems.
KI-Governance ist ein System aus Richtlinien, Prozessen und Werkzeugen, das die Compliance mit den gesetzlichen Anforderungen sicherstellt.
Die Implementierung des KI-Gesetzes der EU hat begonnen, schrittweise werden gesetzliche Rahmenbedingungen und Anforderungen konkretisiert. Besonders betroffen sind Organisationen, die sogenannte hochriskante Systeme betreiben. Diese umfassen unter anderem Systeme, die automatisiert Profile von Personen erstellen und personenbezogene Daten verarbeiten, um Aspekte wie Arbeitsleistung, Gesundheit oder Vorlieben zu bewerten.
Die Nutzung in Branchen wie kritische Infrastrukturen, Justiz oder auch Bildungswesen führt in mehreren Fällen (Artikel 6) zu einer Klassifizierung als Hochrisikosystem. Verstöße gegen die Verpflichtungen des KI-Gesetzes können zu Strafen von bis zu 15 Millionen Euro oder drei Prozent des globalen Jahresumsatzes von System-Providern führen.
Die KI-Governance als Kerngerüst der Compliance
Betroffene Stellen sollten sich daher bereits heute auf das Inkrafttreten des KI-Gesetzes vorbereiten, um frühzeitig Handlungssicherheit zu schaffen sowie zukünftige Strafzahlungen zu vermeiden. Der wesentliche Aufwand liegt dabei in der Implementierung einer effizienten KI-Governance innerhalb der Organisation.
KI-Governance ist ein System aus Richtlinien, Prozessen und Werkzeugen, das im Kontext des KI-Gesetzes der EU die Compliance mit den gesetzlichen Anforderungen sicherstellt. Sie sorgt beispielsweise für die Übersetzung gesetzlicher Anforderungen in organisationsinternen Richtlinien und deren Einhaltung. Sie definiert z.B. auch, wer die Verantwortung für die Risikobewertung der einzelnen KI-Systeme der Organisation trägt.
KI-Governance-Ansatz der Eviden Germany GmbH.
(Bild: Eviden)
Unser Modell für eine Governance orientiert sich am Lebenszyklus von KI-Systemen, folgt den Anforderungen des KI-Gesetzes der EU und berücksichtigt sowohl organisationsintern als auch -extern Rahmenbedingungen. Eine KI-Governance realisiert sich also insbesondere in den betroffenen organisationsinternen Prozessen wie dem Qualitätsmanagement. Für jede Lebensphase eines KI-Systems finden mehrere Aktionen aus verschiedenen Prozessen statt. Vor der Einführungsphase muss z.B. eine Auswertung der Auswirkungen auf Grundrechte erfolgen (Artikel 27).
Fokus: Die Implementierung des KI-Risikomanagementsystems der KI-Governance
Die Autoren zeigen am Beispiel des Risikomanagementsystems (RMS), wie die Skizzierung und Implementierung eines Anteiles der KI-Governance unbürokratisch und effizient erfolgt. Gemäß Artikel 9 des KI-Gesetzes der EU muss für KI-Systeme mit hohem Risiko ein RMS eingerichtet, umgesetzt, dokumentiert und aufrechterhalten werden. Das System soll insb. die folgenden Schritte umfassen:
Ermittlung und Analyse der bekannten und vernünftigerweise vorhersehbaren Risiken, die das KI-System für die Gesundheit, Sicherheit oder Grundrechte darstellen kann.
Abschätzung und Bewertung der Risiken, die beim Einsatz des Hochrisiko-KI-Systems entstehen können.
Verabschiedung geeigneter und gezielter Risikomanagementmaßnahmen, um diese Risiken zu mindern.
Die Skizzierung eines KI-bezogenen RMS erfolgt entlang der folgenden drei Etappen:
1. IST-Analyse: Die SOLL-Governance-Struktur soll bestehende Strukturen bei Möglichkeit nutzen und sich optimal in die Organisation integrieren. Hierfür ist eine ganzheitliche IST-Analyse der Standards, Prozesse und Tools unabdingbar. Folgende Aktivitäten werden vorgenommen: Untersuchung der bestehenden RMS, insbesondere im Kontext DevOps.; Benchmarking-Analysen zu KI-RMS auf dem Markt; Sammlung von Best Practices zum Umgang mit KI-bezogenen Risiken; …
2. SOLL-Skizze des neuen KI-RMS: Erstellung eines Prozessmodells; Orientierung am NIST-Framework; Verwendung und Anpassung bestehender Strukturen (PM-Büro, IT-Recht-Spezialisten, etc.); Definition von Verantwortlichkeiten entlang der RACI-Matrix; BPMN-Modellierung; …
3. Ausgestaltung der Prozessinhalte: Definition von KPIs zur Risikobewertung, z.B. orientiert am KI-Prüfkatalog der Fraunhofer IAIS; Entwicklung von standardisierten technischen Vorgaben für die Entwickler; Aufbau und zentrale Bereitstellung von Templates (z.B. für die Meldung zum zentralen Register der EU); …
Nach der Ausgestaltung der Prozesse müssen Maßnahmen zur Schulung, Verankerung und Verbesserung der Prozesse im Sinne eines PDCA-Zyklus vorgenommen werden:
Kurzfristig: Verfeinerung der Templates; Einführung der Projektleiter in die Prozesse durch das PMO.
Mittelfristig: Etablierung von Feedback-Kanälen; Durchführung von technischen Schulungen durch Fachexperten.
Langfristig: Erhebung von KPIs (Process Mining); kontinuierliche Verbesserung des Prozesses; ISO-Zertifizierung des RM-Systems.
Während des gesamten Projektverlaufs ist die Einbindung eines breiten Spektrums an Stakeholdern (auch nicht KI-bezogener) entscheidend: HR, die Rechtsabteilung, Softwareentwickler, etc.
Best Practices bei der Implementierung einer KI-Governance
Folgende vier Prinzipien leiten unseren Ansatz zur Implementierung einer KI-Governance:
1. Integration in die Organisation: Die Governance soll sich nahtlos in die bestehenden Organisationsstrukturen integrieren und das Erreichen der Organisationsziele unterstützen, auch die, die nicht KI-bezogen sind.
2. Schlanke und unbürokratische Strukturen: Obwohl die Governance einen strukturellen Rahmen bietet, soll sie den operativen Alltag nicht behindern. Sie muss mit begrenztem Aufwand funktionieren, bestehende Organisationsformate nutzen und sich problemlos in die täglichen Abläufe integrieren.
3. Verknüpfung von Data- und KI-Governance: Eine enge Verbindung zwischen Data- und KI-Governance ist entscheidend. Wenn die Data Governance verbesserungswürdig ist, sollte das Datenmanagement eine Priorität der KI-Governance werden.
4. Aktualität und Anpassungsfähigkeit: Die Governance muss stets auf dem neuesten Stand bleiben, indem sie ethische, politische und gesetzliche Entwicklungen verfolgt und sich an diese anpasst. Dies schließt die regelmäßige Veröffentlichung von Standards und Templates durch die EU-Kommission wie das EU-Marktmonitoring, vsl. im Q4 2025, mit ein.
Diese Prinzipien stellen sicher, dass die KI-Governance unbürokratisch und effizient ist und dabei stets aktuell bleibt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Implementierung dieser Governance erfolgt unter klar definierten Rahmenbedingungen, die auf der linken Seite der Abbildung dargestellt sind (PMO, Steuerungskreise, etc.). Besonders hervorzuheben ist die Begleitung der Veränderungen durch ein strukturiertes Veränderungsmanagement nach dem ADKAR-Modell, um deren Nachhaltigkeit sicherzustellen.
Dies stellt sicher, dass die Implementierung der KI-Governance strukturiert und nachhaltig erfolgt. Eviden unterstützt Ihre Organisation dabei, die gesetzlichen Anforderungen zu erfüllen und gleichzeitig die strategischen Ziele zu erreichen.
Théodore Cussac ist Lead Responsible AI im bei der Eviden Germany GmbH – Public Sector & Defense Consulting und definiert innovative Ansätze zum verantwortungsvollen Umgang mit KI. Als Change-Management Practitioner (Prosci) begleitet er seit vier Jahren die Bundeswehr in ihrer digitalen Transformation, insb. bei der Operationalisierung von Künstlicher Intelligenz.
:quality(80)/p7i.vogel.de/wcms/59/20/59205bd98654a24dfa2d570575bf9a5c/0129092644v2.jpeg "Eva Weber ist seit 1. Mai 2020 Oberbürgermeisterin der Stadt Augsburg. (Bild: Stadt Augsburg)")
:quality(80)/p7i.vogel.de/wcms/ab/8b/ab8bc181d73780160b3ec5cd42d07fa0/0129185631v2.jpeg "Ein verantwortungsvoller Umgang mit Smartphones und anderen Medien ist Teil digitaler Bildung an Schulen. (Bild: © LincB – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/be/f6/bef62e597e41e9b5beedb4a479b98472/0129096954v2.jpeg "Behördengang per Klick: Digitale Services werden in München stetig verbessert und ausgebaut. (Bild: © engel.ac – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/27/12/2712be28ea8f67a75e32f57d7c19462d/0129145815v2.jpeg "Der Sovereign Cloud Stack übersetzt Anforderungen aus DSGVO und NIS-2 in klar definierte, auditierbare Kontrollen für einen sicheren und hochverfügbaren Cloud-Betrieb. (Bild: © Catsby_Art - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a8/c9/a8c959f32cc4ebba6cf1531d77785a4b/0129094039v2.jpeg "Start-ups als Impulsgeber treffen oft auf geringe Fehlertoleranz und hohe Risikoaversion. (Bild: © ANMZAKARIA – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/35/d5/35d5dbf783acb3b3e8e5705673546cbb/0129197918v2.jpeg "Ein Schlüsselprojekt der DVC ist der Aufbau von Betriebsplattformen durch die öffentlichen IT-Dienstleister bei europäischen souveränen Cloud-Anbietern. Dafür wurden zunächst Stackit und IONOS ausgewählt. (Bild: © CHONCHANOK PHOTO - stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/62/07/6207b653b3428c529c9bc6004701b14e/0129185059v2.jpeg "Schweden zieht nach: In den Grundschulen sollen Handys aus dem Schulalltag verschwinden. (Bild: © JackF – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/80/5b/805b612af7de02ab07b2a1a397440f3b/0128166269v2.jpeg "In der digitalisierten Welt wird ständig neues Wissen generiert, nur sind die Wirkungszusammenhänge häufig allzu intransparent. (Bild: © greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/8f/5f8faad4afec8fe9e707f4dcf66f2241/0128310661v2.jpeg "Die Verwaltungstransformation braucht klare Strukturen und Verantwortlichkeiten, um den gemeinsamen Weg erfolgreich zu beschreiten. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/26/4e/264eb24d3d8fb6970634864f5caa0c9a/0128145508v2.jpeg "Viele KRITIS-Betreiber haben sich noch nicht abendfüllend mit den Möglichkeiten Künstlicher Intelligenz beschäftigt, dabei besitzt KI auch hier großes Potenzial. (Bild: © kosssmosss - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d4/9e/d49eec271624b4eed3e4b8ba1d4a6f4b/0129251516v2.jpeg "Der neue CTO des DigitalService, Erik Dörnenburg, hat in den vergangenen sechs Monaten eine berufliche Auszeit genommen. Dabei ist er unter anderem bis ans Mittelmeer mit dem Fahrrad gereist. (Bild: Thoughtworks)")
:quality(80)/p7i.vogel.de/wcms/15/70/15700165dd721e9f1ee2832275b02241/0128568293v2.jpeg "Die Stadthalle Bielefeld bietet den Besuchern der KommDigitale eine 3.000 Quadratmeter große Ausstellungsfläche sowie drei digitale Werkbänke und sechs Kongressräume. (Bild: © KommDIGITALE, Databund)")
:quality(80)/p7i.vogel.de/wcms/3f/d6/3fd65ee8c363863ad83fb6f06d6c4673/0128557921v2.jpeg "Die jährlich stattfindende Didacta ist die größte Bildungsmesse in Europa und die wichtigste Weiterbildungsveranstaltung für Lehrkräfte. (Bild: © Koelnmesse GmbH / didacta / Alita Holzhauer)")
:quality(80)/p7i.vogel.de/wcms/7c/f1/7cf1421ed7c704eddc6167553c39d438/0129022115v1.jpeg "Die sovero GmbH ist Softwareanbieter für ECM- und Workflowlösungen und durchführender Partner für Aktendigitalisierungsprojekte in Kommunalverwaltungen. (Bild: sovero)")
:quality(80)/p7i.vogel.de/wcms/a4/ed/a4edd26c3f9be221cda55c459182f3e2/0129236742v2.jpeg "(Bild: Moritz Leick, Stadt Essen)")
:quality(80)/p7i.vogel.de/wcms/18/96/1896e3a6ff5662cb8cc3916e70eaaca1/0128771682v1.jpeg "(Bild: © Ferrari electronic)")
:quality(80)/p7i.vogel.de/wcms/4d/e4/4de4451360df23707ec5a930ce162b95/0128444441v6.jpeg "(Bild: Voigtmann GmbH)")
:quality(80)/p7i.vogel.de/wcms/a2/1c/a21c5cbcfc2114968d324ef51f71a997/0128496655v2.jpeg "(Illustration: Landkreis Regensburg)")
:quality(80)/p7i.vogel.de/wcms/9a/dd/9adda3170a0349cdecf8355ecb1b5f3d/0124723437v3.jpeg "Podiumsdiskussion „Neustaat digital: souverän, resilient, bürgernah\" beim 18. eGovernment Summit. (©Manuel Emme Fotografie)")
:quality(80)/p7i.vogel.de/wcms/a5/77/a57764d9ab42cddc9ce74c79f8afbff5/0124379835v2.jpeg "Dr. Markus Richter, Staatssekretär im BMI und Beauftragter der Bundesregierung für Informationstechnik, ist Schirmherr des eGovernment Summit 2025. (© Henning Schacht)")
:quality(80)/p7i.vogel.de/wcms/82/1f/821f31598dfc3f1aca3ead28fcf3529b/0123901076v2.jpeg "Rauchende Köpfe und zündende Ideen: Auf dem eGovernment Summit diskutieren Expertinnen und Experten über die Zukunft der Verwaltungsdigitalisierung. (© Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/d2/38/d238b9e6c5bec4995cff976c5a00870e/0127069863v2.jpeg "Glitter and glamour: Wir präsentieren die Gewinnerinnen und Gewinner der eGovernment Readers' Choice Awards 2025. (Bild: © Offenblende/Christoph Wehrer )")
:quality(80)/p7i.vogel.de/wcms/f4/28/f42807d575943540de71f909fa871105/0125662510v1.jpeg "(Bild: Sophos via shutterstock.com)")
:quality(80)/p7i.vogel.de/wcms/71/80/7180526003a0e18ec27f4ea35b590a74/0125015548v1.jpeg "Stimmen Sie für Ceyoniq in der Kategorie „eAkte“ ab. (Bild: Ceyoniq)")
:quality(80)/p7i.vogel.de/wcms/0a/4a/0a4a09b1d8a5e718a0f9357810b613ee/0125273923v2.jpeg "Mit der digitalen Dachmarke will der IT-Planungsrat für wiedererkennbare und vertrauenswürdige Online-Angebote in der öffentlichen Verwaltung sorgen. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/11/a4/11a4262cb4795d3c5c4f8b494db16798/0125243090v2.jpeg "Der IT-Planungsrat dient als zentrales politisches Gremium dazu, die föderale IT-Strategie von Bund und Ländern zu koordinieren. (Bild: scyther5, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/b6/69/b669d70fd07e52da911b10385ef06f11/0122476909v1.jpeg "Alle notwendigen Schritte während der elektronischen Wohnsitzanmeldung lassen sich über das Internet durchführen. (© scyther5, Getty Images via Canva.com)")
:fill(fff,0)/p7i.vogel.de/companies/68/fb/68fb93af0a60e/logo-square.jpeg "logo-square (meinvideotermin.de)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/66/f3/66f3bc1423b16/syseleven-l-logo-hoch-cmyk.svg "syseleven-l-logo-hoch-cmyk (SysEleven GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/69/6f/696f51fcdd5bd/logomitbildmarke-getrennt-farbig-transphg-cmyk-300dpi-150mmbreite.png "logomitbildmarke-getrennt-farbig-transphg-cmyk-300dpi-150mmbreite (veenion GmbH)")
:quality(80)/p7i.vogel.de/wcms/f9/18/f9183ee3414603b735334cd4a52445f0/0115533203.jpeg "Die überwiegende Mehrheit der Organisation hat bisher keine KI-Governance etabliert. (© Adriana - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ed/77/ed7778856ce66377aa1a24e694db8af1/0118531963.jpeg "0118531963 (Bild: ipopba – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4f/36/4f36c21ceb54df0eab69e28e8c9b5791/0118755077v2.jpeg "Das Amt für Künstliche Intelligenz unterstützt die betreffenden Leitungsstellen in den Mitgliedstaaten. (©IBEX.Media – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/89/23/8923552555ba1f530b90c393e4ae5f2e/0124313431v2.jpeg "Automatisierung und Sicherheit für die digitale Transformation in Behörden. (©อัญชลี โคตรธรรม – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/c6/08c663d538595e77902d0b92462bbb89/0126812783v1.jpeg "Anders als eine klassische IT-Migration gleicht die Legacy-Modernisierung eher einer Herztransplantation während eines Marathonlaufs. (Bild: KI-generiert)")