KI-Governance · Praxisrahmen

KI-Governance. Aufbauen, bevor der erste Vorfall passiert.

Der Pillar-Leitfaden für europäische Unternehmen — vier Säulen, fünf Reifegradstufen, Cross-Framework-Mapping (ISO 42001, NIST AI RMF, AI Act) und eine 12-Monats-Implementierungs-Roadmap.

Governance-Demo buchen Zur KI-Verordnung

Erfüllt Art. 17 KI-Verordnung · Kapitel 5 ISO 42001 · Govern-Funktion NIST AI RMF

Vier Säulen

Politik. Rollen. Prozesse. Werkzeuge.

Pillar 01

Politik

KI-Strategie, KI-Richtlinie, Use-Case-Policies, Ethik-Leitlinien. Verbindlich von der obersten Leitung.

User access review

Frequency

DailyMonthly

Run test

ResultAccountSystem

FAILv.cooper@acme.ioWorkday

FAILr.iaconna@acme.ioWorkday

PASSr.williams@acme.ioWorkday

Pillar 02

Rollen

AI Governance Board, AI Lead, Compliance, Data-Team, Business-Owner. Klare RACI für jede Entscheidung.

Enterprise fraud risk

+ New risk

Description

Matproof AI

RefineShortenLengthen

Accept AI draft

Pillar 03

Prozesse

Klassifizierung, Risiko- und Folgenabschätzung, Genehmigung, Reviews, Incident-Handling, Lebenszyklus.

Strategic objective

96▲ 5%

ISO 27001 coverage

Risk status: LowKPI

Pillar 04

Werkzeuge

KI-Inventar, Risikoregister, Modellkarten, Audit-Trail, Schulungsplattform — operativ, nicht als Excel.

Mapping queue

MAPPEDAccess control policy

REVIEWEncryption at rest

NEWSupplier security clause

Controls

A.5.1A.8.2A.8.24

Evidence

EV-1EV-4

Verified

Map to controls

Auditor

Reifegradmodell

Fünf Stufen — wo stehen Sie?

Ad hoc

KI unkontrolliert genutzt. Kein Inventar, keine Politik, keine Klassifizierung.

Bewusst

Politik auf Papier, Inventar in Anfängen, Klassifizierung noch inkonsistent.

Definiert

Governance-Board etabliert, Klassifizierung läuft, KI-Kompetenz-Schulung gestartet, Risikomanagement in Place.

Gemanagt

Post-Market-Monitoring operativ, Quartals-Reviews, ISO-42001-Audit-bereit.

Optimiert

Kontinuierliche Verbesserung, ISO 42001 zertifiziert, AI-Act-Konformitätsbewertung bestanden, proaktiv bei neuen Regelungen.

Frameworks

Standards, die Governance operationalisieren.

Framework

Rolle in der Governance

Hinweis

ISO/IEC 42001

Management-System-Norm

Strukturelles Rückgrat — Kapitel 5, 6, A.3 verlangen direkt Governance-Artefakte

NIST AI RMF

Risikomethodik-Rahmen

Operative Tiefe — Govern-Funktion als querschneidende Säule

EU AI Act

Bindende EU-Verordnung

Art. 17 verlangt QMS für Hochrisiko-KI-Anbieter

ISO 23894

KI-Risikomanagement

Ergänzt ISO 42001 mit KI-spezifischer Risikomethodik

12-Monats-Roadmap

Von Ad hoc zur Audit-Bereitschaft.

Monate 1-2

Fundament

AI Governance Board chartern, KI-Politik entwerfen, erstes KI-Inventar abschließen.

Monate 3-4

Klassifizierung + Rollen

Jedes KI-System klassifizieren, Anbieter/Betreiber-Rollen zuweisen, RACI-Matrix, Schulung beginnt.

Monate 5-7

Risiko + Dokumentation

Risikomanagementsystem (Art. 9), Folgenabschätzungen, Anhang-IV-Dokumentation, Modellkarten.

Monate 8-9

Tools + Betrieb

Operative KI-Governance-Plattform, Monitoring, Incident-Response, regelmäßige Reviews.

Monate 10-12

Audit-Bereitschaft

Internes Audit, ISO-42001-Stage-1-Bereitschaft, AI-Act-Konformitätsbewertungsevidenz.

Wie Matproof hilft

Governance, die im Alltag funktioniert.

✓AI Governance Board Workspace mit Quartals-Agenda-Templates

✓Policy-Bibliothek: KI-Strategie, KI-Richtlinie, Use-Case-Policies — versioniert, bearbeitbar

✓RACI-Matrix pro KI-System automatisch generiert

✓KI-Inventar über OpenAI, Anthropic, Azure OpenAI, Hugging Face, MLflow

✓Reifegrad-Assessment mit Roadmap zur nächsten Stufe

✓Cross-Framework-Mapping: ISO 42001 + NIST AI RMF + AI Act in einer Plattform

✓Audit-Trail für Board-Entscheidungen und Use-Case-Genehmigungen

FAQ

Häufige Fragen

Was ist KI-Governance?+

KI-Governance bezeichnet Strukturen, Rollen, Prozesse und Werkzeuge, mit denen eine Organisation den verantwortungsvollen KI-Einsatz steuert. Während KI-Compliance den rechtlichen Mindeststandard erfüllt, geht Governance darüber hinaus: strategische Ausrichtung, Wertekohärenz, Risikoappetit, Investitionsentscheidungen, ethische Leitlinien. Governance ist die Voraussetzung für Compliance — ohne klare Rollen und Entscheidungswege lassen sich AI-Act-Pflichten nicht zuverlässig erfüllen.

Wer braucht ein KI-Governance-Framework?+

Jede Organisation, die KI-Systeme entwickelt, betreibt oder strategisch einsetzt. Konkret notwendig bei: (1) Anbietern von Hochrisiko-KI (Art. 17 KI-Verordnung verlangt QMS), (2) Unternehmen mit ISO-42001-Zertifizierungsziel, (3) börsennotierten Unternehmen mit ESG-Reporting, (4) Finanzinstituten unter DORA, (5) öffentlichen Stellen mit Grundrechte-Folgenabschätzungspflicht. Praktisch sinnvoll für Organisationen ab ca. 20 Mitarbeitenden, die produktiv KI nutzen — der Aufbau ist günstiger als der erste Vorfall ohne Governance.

Wer sollte im AI Governance Board sitzen?+

Empfohlene Besetzung (4-7 Personen): (1) C-Level-Sponsor — typischerweise CIO, CTO oder COO, treibt Mandat und Budget. (2) Compliance/DSB — bringt regulatorische Sicht. (3) Legal — Verträge, Haftung, IP. (4) Data-/AI-Team — technische Vertretung. (5) Business-Unit — größter Use-Case-Owner. (6) Optional: Ethik-Vertretung oder Betriebsrat (gesetzlich bei HR/Recruiting-KI in DE). Board tagt quartalsweise, Ad-hoc bei klassifizierungskritischen Entscheidungen.

Was ist der Unterschied zwischen KI-Governance und Daten-Governance?+

Daten-Governance regelt den Datenlebenszyklus (Erhebung, Qualität, Eigentum, Klassifizierung, Aufbewahrung). KI-Governance regelt den Lebenszyklus von KI-Systemen — Daten sind nur eine Komponente. KI-Governance umfasst zusätzlich: Modellauswahl, Trainings-/Inferenzprozesse, Modellbewertung, Bias-Detektion, Erklärbarkeit, Modell-Lebenszyklus, KI-spezifische Risiken (Halluzination, Modellabhängigkeit, adversariale Angriffe). Daten-Governance ist Voraussetzung, kein Ersatz. Reife Organisationen integrieren beide unter einem Chief Data + AI Officer.

Wie mappt KI-Governance auf ISO 42001 und NIST AI RMF?+

Beide Frameworks operationalisieren KI-Governance mit unterschiedlichem Schwerpunkt. ISO 42001 liefert das strukturelle Rückgrat — Kapitel 5 (Führung), Kapitel 6 (Planung) und Annex A.3 (Interne Organisation) verlangen direkt KI-Governance-Artefakte. NIST AI RMF liefert die operative Risikomethodik — die Govern-Funktion als querschneidende Säule, gestützt durch Map, Measure, Manage. Die meisten reifen Organisationen nutzen ISO 42001 als Management-System-Schale und NIST AI RMF als operative Risikomethodik. Matproof mappt beide in einen Workspace.

Wie sieht der typische Reifegradverlauf aus?+

Fünf-Stufen-Modell: (1) Ad hoc — KI unkontrolliert, kein Inventar, keine Politik. (2) Bewusst — Politik auf Papier, Inventar in Anfängen, keine konsistente Klassifizierung. (3) Definiert — Governance-Board etabliert, Klassifizierung läuft, KI-Kompetenz-Schulung gestartet, Risikomanagement in Place. (4) Gemanagt — Post-Market-Monitoring operativ, Quartals-Reviews, ISO-42001-Audit-bereit. (5) Optimiert — kontinuierliche Verbesserung, ISO 42001 zertifiziert, AI-Act-Konformitätsbewertung bestanden, proaktiv bei neuen Regelungen. Manuell 12-24 Monate pro Stufe, mit Plattform 6-12 Monate.

Was kostet der Aufbau von KI-Governance?+

Realistisches Budget für mittelständische Organisation (50-500 MA) im ersten Jahr: 80.000-250.000 €. Aufschlüsselung: KI-Governance-Lead 0,5 FTE (40-80 Tsd. €), Compliance/Legal-Beteiligung 0,2 FTE (20-40 Tsd. €), externe Beratung (15-50 Tsd. €), Technologie-Plattform (5-30 Tsd. €), Schulung und Change Management (5-20 Tsd. €), Audit-Vorbereitung (5-15 Tsd. €). Folgejahre typischerweise 30-50 % des ersten Jahres. Kosten OHNE Governance: durchschnittliche AI-Act-Strafen starten im niedrigen sechsstelligen Bereich; Reputations- und Rechtsrisiko unbegrenzt.

Loslegen

Vom Reifegrad 1 zum Reifegrad 3 in sechs Monaten.

30-Minuten-Demo. Sehen Sie, wie Matproof Governance operativ macht — nicht als PDF, sondern als laufender Prozess.

Demo buchen ISO 42001 ansehen →