... ein klarer Governance Rahmen
für Verantwortlichkeit, Transparenz und Datensicherheit sorgt.
Warum AI Governance jetzt relevant wird
Andreas:
Hallo zusammen zu unserem Podcast AI or Die. Der Name ist Programm: Wenn du die AI nicht hast, wirst du wahrscheinlich irgendwann abgehängt. Aber damit du nicht an AI scheiterst, brauchst du vor allem eine vernünftige Governance.
Deshalb habe ich gesagt: Christian, wir müssen über AI Governance sprechen. Das Thema ist heiß.
Christian sagte direkt: Ja, das Thema begegnet uns gerade überall. Unsere Kunden fragen danach, wir bringen dazu Angebote an den Markt und beschäftigen uns intensiv damit.
Und weil ich das immer direkt am Anfang sagen soll: Unten in der Beschreibung findet ihr einen Link zu einer Guideline. Dort könnt ihr alles noch einmal nachlesen. Wir werden hier aber auch noch einige zusätzliche Punkte besprechen.
Zum Leitfaden "Von Data Governance zu AI Governance"
Warum KI Datenprobleme sichtbar macht
Christian:
Moin Andreas, grüß dich.
Noch leben wir. Noch sind wir mittendrin im Thema AI.
AI Governance ist plötzlich überall Thema. Man könnte fast denken, es kommt aus dem Nichts. Eigentlich ist es aber ein altbekanntes Thema, das durch die KI-Nutzung wieder sehr präsent wird.
KI macht Datenprobleme sichtbar. Schlechte Daten führen zu schlechter KI. Und KI skaliert nicht nur Wertschöpfung, sondern auch Chaos.
Genau das merken viele Unternehmen jetzt. Sie stellen fest: Da fehlt vielleicht noch etwas an der Basis. Manche Themen wurden bisher nicht sauber gelöst, und durch KI potenziert sich das Problem.
Feedback zur Folge über Datenfundamente
Andreas:
Wir haben ja schon einmal eine Folge über Datenfundamente gemacht. Da hast du gesagt: Ihr müsst erst einmal aufräumen und eure Grundlagen sauber aufstellen, sonst wird das auch mit AI nichts.
Dazu habe ich Feedback bekommen, das ich dir noch gar nicht weitergegeben habe. Es wurde mir geschrieben: Endlich mal jemand, der nicht nur redet, sondern Tacheles spricht.
Das war als Kompliment gemeint. Es kam sehr wertschätzend an. Und diesem Ruf musst du jetzt natürlich gerecht werden.
Also: AI Governance im Klartext. Was beschäftigt Five1 gerade bei diesem Thema? Was merkt ihr bei euren Kunden?
Unterschied zwischen Data Governance und AI Governance
Christian:
Wir merken ganz grundsätzlich, dass viele Kunden inzwischen erkennen, dass es in der Vergangenheit Versäumnisse gab, die jetzt sichtbar werden.
Eigentlich wäre das Wunschbild: Ein Unternehmen hat eine funktionierende Data Governance und baut darauf eine AI Governance auf.
Das wäre der ideale Zustand für Unternehmen, die mit AI starten. In der Realität ist das aber oft nicht so. Häufig fehlt schon vieles von dem, was vorher da sein müsste.
Deshalb beginnen wir oft mit der grundlegenden Frage: Was ist eigentlich der Unterschied zwischen Data Governance und AI Governance? Und was sind die Minimalanforderungen, die wir überhaupt brauchen?
Bei Data Governance sprechen wir über Daten, Qualität, Verantwortlichkeiten, Prozesse, Definitionen und Zugriffsrechte.
Bei AI Governance sprechen wir zusätzlich über Modelle, Entscheidungen und Risiken. Plötzlich kommen Themen wie Ethik, Bias, Nachvollziehbarkeit, Human in the Loop und regulatorische Anforderungen dazu.
Der einfache Merksatz ist:
Data Governance beantwortet die Frage: Kann ich meinen Daten vertrauen?
AI Governance beantwortet die Frage: Kann ich den Entscheidungen der KI vertrauen?
Kann man KI-Entscheidungen vertrauen?
Andreas:
Das ist der entscheidende Punkt.
Wir müssen einen Schritt weiterdenken. Es geht nicht nur um Daten, sondern um das, was die KI daraus ableitet: Empfehlungen, Entscheidungen, Prozesse oder Automatisierungen.
Darauf muss Governance greifen.
Daten sind die Voraussetzung. Aber die Entscheidung oder Empfehlung der KI muss überwacht und eingeordnet werden können.
Dafür braucht es strukturelle Grundlagen: eine passende IT-Infrastruktur, Datenschutz, klare Regeln zu personenbezogenen Daten, Diskriminierungsfreiheit, Bias-Kontrolle und die Frage, ob bestimmte Daten überhaupt mit AI und Hyperscalern verarbeitet werden dürfen.
Dann sind wir auch schnell beim Thema Datensouveränität.
Datensouveränität wird oft falsch verstanden. Es geht nicht darum, alles alleine zu machen. Es geht darum, Kontrolle zu behalten.
AI Governance muss genau solche Leitplanken und Zielbilder berücksichtigen. Unternehmen brauchen einen Plan, wie sie damit umgehen.
Warum Bestandsaufnahme der erste Schritt ist
Christian:
Absolut.
Das ist auch einer der großen Unterschiede zu vielen anderen Projekten. Bei AI Governance kann man oft nicht einfach komplett von vorne anfangen.
Du weißt, wir sind ohnehin nicht die Firma, die mit einer PowerPoint-Schlacht beim Kunden auftaucht. Bei uns heißt es: Ärmel hochkrempeln, schauen, wo wir stehen, und dann konkret arbeiten.
Gerade bei AI Governance ist die Bestandsaufnahme besonders wichtig.
Was passiert im Unternehmen eigentlich schon? Welche Tools werden genutzt? Welche Daten fließen wohin? Welche Use Cases gibt es vielleicht bereits?
Oft fängt man nicht direkt mit einem neuen KI-Tool an. Man muss erst einmal herausfinden, was schon da ist und wie man es in den Griff bekommt.
Schatten-KI und unbekannte Tools im Unternehmen
Christian:
Schatten-IT kennen wir alle. Excel unter dem Tisch, eigene Datenauszüge, selbst gebaute Lösungen.
Mit KI hat das nicht aufgehört. Im Gegenteil: Es ist noch stärker geworden.
Viele Unternehmen wissen gar nicht, welche KI-Tools ihre Mitarbeitenden bereits einsetzen.
Deshalb ist der erste Schritt oft: Was hat sich in meinem Unternehmen schon verbreitet? Welche Tools werden genutzt? Wo entstehen Risiken?
Wir können nicht direkt mit der Frage starten: Mit welchem KI-Tool setzen wir das jetzt um?
Stattdessen müssen wir aufnehmen, was bereits existiert, und daraus ableiten, wie wir damit umgehen.
Unsere Erfahrung ist: AI-Governance-Initiativen scheitern meistens nicht an Technologie oder Vorschriften. Sie scheitern daran, dass sie von Anfang an viel zu groß gedacht werden.
Unser Vorgehen ist deshalb: Wir suchen uns einen Use Case heraus. Einen.
Zum Beispiel eine Copilot-Einführung. Oder KI im Kundenservice. Oder automatisierte E-Mail-Klassifikation.
Für diesen einen Use Case verstehen wir zuerst die Risiken.
Welche Daten werden genutzt? Welche Entscheidungen trifft die KI? Welche Auswirkungen kann das haben? Wer ist verantwortlich? Wie ist die Datenqualität? Welche Zugriffsrechte gibt es? Welche Modelle werden eingesetzt? Welche Ergebnisse erwarten wir?
So kann man eine minimale Governance aufbauen und ein Rollenmodell definieren.
Wenn das im kleinen Kontext funktioniert, kann man es skalieren und auf weitere Use Cases übertragen.
Bestandsaufnahme: Fehler finden und Blueprints erkennen
Andreas:
Da steckt sehr viel drin.
Wenn Menschen „Bestandsaufnahme“ hören, denken viele: Jetzt wird alles überprüft und dokumentiert. Aber es geht nicht nur darum, Fehler zu finden.
Es geht auch darum, zu erkennen, was bereits gut funktioniert.
Vielleicht gibt es schon KI-Anwendungen, die sinnvoll genutzt werden. Vielleicht machen manche Teams bereits intuitiv vieles richtig. Dann kann man genau diese Fälle als Blueprint nehmen.
Governance bedeutet also nicht nur: Wo sind Fehler, was müssen wir verbieten, was läuft falsch?
Es bedeutet auch: Was funktioniert schon? Was können andere daraus lernen? Wo entstehen gute Muster?
Das ist viel wirksamer, als abstrakte Regelwerke aufzubauen, die später niemand versteht.
Governance als Enablement statt Kontrolle
Christian:
Genau.
Das ist der wichtige Perspektivwechsel. Governance ist Enablement.
Der Unterschied zwischen einem Experiment und skalierbarer KI ist Governance.
Mit Governance geben wir Unternehmen die Mittel an die Hand, mit neuer Technologie echte Ergebnisse fürs Business zu erzielen.
Es geht nicht darum, Menschen auszubremsen. Es geht darum, ihnen einen Rahmen zu geben, in dem sie sicher und wirksam arbeiten können.
Warum Regeln bessere Ergebnisse ermöglichen
Andreas:
Man kann das gut mit Fußball vergleichen.
Wenn du 11 gegen 11 Kinder auf einen Platz stellst, die noch nie etwas von Fußballregeln gehört haben, und einfach einen Ball in die Mitte wirfst, wird das kein gutes Spiel.
Erst durch Regeln wird das Spiel besser. Die Regeln ermöglichen Struktur, Strategie und Fairness.
Eine Viererkette funktioniert nur, wenn alle die Abseitsregel verstehen. Ohne diese Regeln entsteht Chaos.
Genau so ist es bei AI Governance. Regeln sind nicht automatisch Einschränkungen. Sie ermöglichen erst, dass das Spiel funktioniert.
Und es braucht jemanden, der von Fall zu Fall entscheidet. Im Fußball ist das der Schiedsrichter. In Unternehmen sind das klare Rollen und Verantwortlichkeiten.
Rollenmodelle: Wer trägt Verantwortung?
Christian:
Das Thema Rollen ist zentral.
Wenn man beim Kunden mit einem zu großen Rollenmodell startet, erschlägt das viele erst einmal.
Wenn man es aber sauber aufdröselt, wird schnell klar: Oft benennt man nur Dinge, die ohnehin schon passieren.
In einer klassischen Data Governance sprechen wir von Rollen wie Data Owner, Data Steward, Data Architect oder Data Engineer.
In der Praxis liegen diese Aufgaben oft bei einer Person. Diese Person kümmert sich vielleicht gleichzeitig um technische Bereitstellung, Datenstrukturen und Datenqualität.
Wir denken trotzdem in Rollen, weil es skalierbar bleiben muss.
Wenn jemand ausfällt oder in Elternzeit geht, kann man Aufgaben besser aufteilen, wenn klar ist, welche Rolle welche Verantwortung trägt.
Mit AI kommen zusätzliche Rollen dazu. Viele davon können aber von bestehenden Personen übernommen werden.
Ein Data Owner ist in der Regel ein Business User. Ein AI Owner ist entsprechend die verantwortliche Person für einen KI-Use-Case.
Auch beim Thema Security oder Risiko braucht es klare Zuständigkeiten. Ein AI Risk Officer bewertet Risiken. Ob diese Rolle von einer separaten Person übernommen wird oder von jemandem, der den Use Case ohnehin verantwortet, hängt vom Unternehmen und den Skills ab.
Wichtig ist: Es braucht klare Rollenbilder und klare Verantwortlichkeiten.
Denn „Nimm du ihn, ich hab ihn sicher“ geht meistens daneben.
Berater können Governance anschieben, aber nicht dauerhaft leben
Andreas:
Genau.
Ich bin ein großer Freund davon, Beraterinnen und Berater beim Aufbau einer AI Governance zu nutzen. Jemand von außen kann helfen, die richtigen Personen an einen Tisch zu holen, Erfahrung einzubringen und den Prozess anzuschieben.
Aber Berater dürfen nicht diejenigen sein, die die Governance dauerhaft leben, überwachen und tragen.
Sie können immer wieder hinzugezogen werden, um Impulse zu geben, Best Practices einzuordnen oder neue Entwicklungen einzubringen. Aber die Verantwortung muss im Unternehmen liegen.
Ich finde dafür ein Gremium sinnvoll. Nicht als Meeting um des Meetings willen, sondern als Ort, an dem festgehalten wird: Wer ist beteiligt? Wer entscheidet? Wer bringt welche Perspektive ein?
Dazu gehören IT, Fachbereich, Compliance, Security, Management und auch der Betriebsrat.
Gerade beim Betriebsrat kann AI Governance helfen. Sie gibt Sicherheit, schafft Transparenz und reduziert Diskussionen, weil man zeigen kann: Wir haben Richtlinien, Rollen und Methoden.
Es geht nicht darum, einfach KI aus dem Boden zu stampfen. Es geht darum, einen gemeinsamen Rahmen zu schaffen.
Betriebsrat, IT, Compliance und Management einbinden
Andreas:
Wenn es ein gemeinsames Gremium gibt und eine Governance, die vielleicht noch nicht perfekt ist, aber zu 80 Prozent trägt, dann ist schon viel gewonnen.
Es braucht menschlichen Austausch. Governance ist nicht nur ein Dokument. Es geht um Rollen, Gremien, Zusammenkünfte und gemeinsame Entscheidungen.
Genau an solchen Stellen können externe Berater helfen, weil sie von außen noch einmal anders nachfragen können.
Zum Beispiel: Warum ist die IT nicht dabei? Warum fehlt Compliance? Warum hat das Management keine Zeit?
Christian, siehst du das auch so? Brauchen wir diese Gremien, diese Kommunikation und diesen Austausch?
AI Governance muss kontinuierlich weiterentwickelt werden
Christian:
Verantwortung ist wichtig, und Austausch ist wichtig.
Die Entwicklung wird immer schneller. Das sehen wir in vielen Bereichen.
Natürlich haben wir als Beratung nichts dagegen, wenn wir regelmäßig bei Kunden arbeiten dürfen. Aber du hast völlig recht: Wir sind nicht die Richtigen, um Governance dauerhaft im Unternehmen zu leben.
Was wir tun können: Wir helfen, Fehler zu vermeiden, die wir schon gesehen haben.
Deshalb ist es sinnvoll, Governance iterativ weiterzuentwickeln. Man setzt einen Grundkern auf und schaut sich dann zum Beispiel alle drei Monate gemeinsam an: Was hat funktioniert? Was hat sich verändert? Welche nächsten Schritte brauchen wir?
Es wird immer Veränderungen geben: bei den Modellen, bei den Geschäftsmodellen, bei den Personen, die Rollen übernehmen, und bei den regulatorischen Anforderungen.
Stillstand wäre das Schlechteste, was passieren kann.
Man sieht auch am Markt, wie groß das Thema wird. Früher wurde in Ausschreibungen nach ISO 27001 gefragt. Jetzt kommt zunehmend ISO 42001 ins Spiel.
Unternehmen müssen nachweisen können, dass sie KI verantwortungsvoll einsetzen können.
Deshalb sollte man den Einstieg jetzt nicht verpassen und das Thema kontinuierlich weiterentwickeln.
Standards, Zertifizierungen und neue Anforderungen
Andreas:
Das ist wichtig: AI Governance ist kein einmaliges Projekt.
Man macht das nicht einmal und ist dann fertig.
Es ist ein Prozess. Die Technologie entwickelt sich weiter, neue Risiken entstehen, neue regulatorische Anforderungen kommen hinzu.
Deshalb braucht es regelmäßige Überprüfung und Weiterentwicklung.
Man muss auch offen über Fehler sprechen können. Wenn zum Beispiel jemand sensible Daten in ein öffentliches KI-Tool eingegeben hat, darf das nicht einfach unter den Teppich gekehrt werden.
Das muss kommuniziert werden, damit andere nicht denselben Fehler machen.
Fehlerkultur als Bestandteil von AI Governance
Andreas:
Ich glaube, bei AI Governance müssen wir Fehlerkultur mitdenken.
Mein Lieblingsbeispiel ist die Luftfahrt. Dort müssen Fehler gemeldet werden, unabhängig von Hierarchie.
Wenn ein Steward merkt, dass ein Pilot etwas nicht nach Plan macht, wird das gemeldet. Das ist nicht persönlich. Es wird dokumentiert und von einer anderen Stelle bewertet.
Spannend ist: Es werden auch Situationen gemeldet, in denen Fehler hätten entstehen können. Also nicht nur das, was tatsächlich passiert ist, sondern auch potenzielle Risiken.
Genau so sollte AI Governance funktionieren.
Fehlerkultur bedeutet nicht, mehr Fehler zu machen. Fehlerkultur bedeutet, richtig mit Fehlern umzugehen, die passieren.
AI Governance bietet die Chance, diesen Umgang mit Fehlern in Unternehmen besser zu etablieren.
Christian:
Da hast du recht.
KI potenziert Fehler. Genau deshalb ist eine gute Fehlerkultur wichtig, um daraus zu lernen.
Ein typischer Fehler, den wir fast überall sehen, ist Prompting mit sensiblen Daten. Wenn wir gemeinsam mit Mitarbeitenden anschauen, was tatsächlich passiert, taucht das sehr schnell auf.
Ein weiteres großes Thema ist fehlende Transparenz.
Auch fehlerhafte KPIs kommen vor, weil es unterschiedliche Verständnisse darüber gibt, was bestimmte Kennzahlen bedeuten. Das ist kein neues KI-Problem, aber KI verstärkt es.
Viele Unternehmen versuchen, KI einzusetzen und eine Governance aufzubauen, ohne wirklich zu wissen, welche Daten sie haben und in welcher Qualität diese vorliegen.
Auch bei einem isolierten Use Case muss ich verstehen: Welche Daten habe ich? Wie gut sind sie? Wofür eignen sie sich?
Da sind wir wieder beim Keller: Erst einmal aufräumen.
Und ja, beim Thema Fehlerkultur sehen wir oft noch Nachholbedarf. In vielen Unternehmen ist die Angst groß, Fehler einzugestehen, statt sie proaktiv zum Lernen zu nutzen.
Warum AI Governance dynamischer ist als Data Governance
Andreas:
Der Unterschied zwischen Data Governance und AI Governance liegt auch in der Dynamik.
Bei Daten wussten wir relativ klar: Daten müssen Qualität haben, verfügbar sein, nachvollziehbar sein und richtig genutzt werden.
Wenn ein Unternehmen eine gute Data Governance aufsetzt, kann diese mehrere Jahre tragfähig sein, auch wenn man sie natürlich weiterentwickeln muss.
Bei AI ist das schwieriger. Niemand kann seriös sagen, wie der Stand der AI in fünf Jahren aussieht.
Vielleicht arbeiten Agenten dann mit verschiedenen Modellen gegeneinander. Vielleicht ist nicht mehr sofort klar, ob eine Entscheidung von einem Menschen, einer Maschine oder einem Zusammenspiel aus beidem getroffen wurde.
Deshalb braucht AI Governance Monitoring.
Man muss AI-Systeme beobachten, um daraus Governance ableiten zu können. Denn die Systeme und Einsatzszenarien verändern sich zu schnell.
Das ist wie bei Kindern: Jedes Alter braucht andere Regeln und andere Erziehungsschritte. Was früher funktioniert hat, passt später nicht automatisch noch.
Monitoring von AI-Systemen als neue Pflicht
Andreas:
Deshalb ist AI Governance jetzt so wichtig.
Und noch einmal der Hinweis: Unten findet ihr den Guide. Schaut euch an, was ihr beachten müsst.
Zum Leitfaden "Von Data Governance zu AI Governance"
Auch wenn ihr Mittelständler seid und noch nicht zehn KI-Projekte habt, solltet ihr das Thema nicht aufschieben.
Eine funktionierende AI Governance ist ein Wettbewerbsvorteil.
Christian, stell dir vor, du wirst auf eine Konferenz eingeladen. Dort sitzen 1.000 Menschen, die etwas über AI Governance hören wollen. Kurz bevor die Technik ausfällt, hast du eine Minute Zeit, die wichtigsten Punkte zu AI Governance zu vermitteln.
Was gibst du ihnen mit?
Die wichtigsten Prinzipien in einer Minute
Christian:
Ich würde vor allem einen Punkt betonen: Human in the Loop ist unglaublich wichtig.
Das ist ein großer Unterschied zur klassischen Data Governance.
Daten entstehen, werden verarbeitet und verändern sich nicht von selbst. Sie führen kein Eigenleben.
Bei KI ist das anders. Es gibt erste Fälle, in denen Unternehmen ernsthafte Probleme bekommen haben, weil Agentensysteme eigenständig produktiven Code gelöscht und neu geschrieben haben. Auch große Ausfälle im Cloud-Umfeld zeigen, wie kritisch solche Themen werden können.
Wir dürfen die Kontrolle nicht aus der Hand geben.
Wir brauchen Transparenz darüber, was mit unseren Daten passiert. Wir brauchen Klarheit darüber, was wir mit unseren Daten erreichen wollen. Und wir brauchen einen gesicherten Rahmen für KI-Nutzung.
In Zukunft werden nicht die Unternehmen am erfolgreichsten sein, die die ausgefallensten Algorithmen haben. Erfolgreich werden die sein, die das höchste Vertrauen in ihre KI-Lösungen schaffen können.
Und genau deshalb sollte AI Governance bei jedem auf der Agenda stehen.
Der beste Zeitpunkt, damit anzufangen, war gestern. Der zweitbeste ist jetzt.
Vom Macher zum Dirigenten: Die neue Rolle des Menschen
Andreas:
Ich glaube, wir kommen in ein Zeitalter, in dem der klassische Macher etwas abgelöst wird.
Früher war jemand besonders wertvoll, der schnell selbst angepackt und Output geliefert hat.
Heute wird der Mensch mehr zum Dirigenten.
Wer mehrere AI-Systeme parallel nutzen kann, wer versteht, wie diese Systeme zusammenspielen, wer Regeln kennt und Ergebnisse einordnet, wird besonders wertvoll.
Ein Dirigent kann aber nur gut sein, wenn er die Musik versteht. Und Musik beruht auf Regeln. Wer Regeln brechen will, muss sie erst sehr gut beherrschen.
Genau das gilt auch für AI Governance.
Christian, danke, dass wir das Thema AI Governance einmal von mehreren Seiten beleuchten konnten.
Man merkt: Das Thema braucht Tiefe. Man muss in die Unternehmen hineingehen, Bestandsaufnahme machen, Erfahrungen betrachten, Rollen definieren und dann konkrete Leitplanken aufbauen.
Euer Ansatz, zuerst zu schauen, was wirklich da ist, und daraus gemeinsam mit dem Unternehmen ein tragfähiges Bild abzuleiten, ist deutlich besser als abstrakte Folien über angebliche Best Practices.
Guide, Austausch und Abschluss
Andreas:
Christian, du hast wie immer die letzten Worte.
Du kannst Werbung machen, etwas Privates erzählen oder sagen, was du schon immer im Podcast sagen wolltest. Nur nicht: Andreas, danke für die Einladung.
Ich sage tschüss, auf bald.
Ladet den Guide herunter und kontaktiert Christian, wenn ihr tiefer einsteigen wollt.
Christian:
Ich würde mich sehr über Kontakte und Austausch freuen.
Ladet den Guide herunter, lest ihn euch durch und schaut euch an, was ihr im Unternehmen bereits habt.
Überlegt, welchen Mehrwert eure bisherigen AI-Aktivitäten gebracht haben und wie ein Regelwerk aussehen kann, mit dem ihr künftig noch mehr Wert generieren könnt.
Am besten geht ihr diese Reise gemeinsam mit uns.
In diesem Sinne: Macht’s gut und einen schönen Tag. Ciao.