Von KI-Einsatz zu KI-Vertrauen: Ein Gespräch über Governance, Risiken und Verantwortung
KI ist im Unternehmensalltag angekommen, oft schneller, als Strategien, Rollen und Regeln nachziehen können. Während klassische Software nach klaren Wenn-dann-Logiken funktioniert, bringen insbesondere generative KI-Systeme eine neue Realität: Ergebnisse sind kontextabhängig, probabilistisch und nicht immer reproduzierbar.
Was bedeutet das für Governance, Compliance und Risikomanagement? Und wie schaffen Unternehmen es, nicht nur regulatorisch „ausreichend“, sondern messbar vertrauenswürdig zu handeln?
Im Gespräch mit Christine Wohlwend (Elleta AG) beleuchten wir die wichtigsten Aspekte moderner KI-Governance. Als Partner von Elleta AG sehen wir in Projekten immer wieder: Verantwortungsvolle KI ist kein „Zusatz“, sie ist die Voraussetzung dafür, dass KI im Betrieb wirklich funktioniert.
Christine Wohlwend
Geschäftsführende Partnerin Consultant bei elleta AG
KI verändert nicht nur Prozesse und Tools, sondern auch die Art, wie Unternehmen Verantwortung, Risiken und Transparenz organisieren müssen. Im folgenden Interview teilt Christine Wohlwend ihre Perspektive aus Governance- und Compliance-Sicht und zeigt auf, worauf es jetzt in der Praxis ankommt.
Interview mit Christine Wohlwend (Elleta AG)
1. RWAI: „Sie kommen aus der Governance und Compliance im IT-Umfeld. Was macht KI aus Ihrer Sicht im Vergleich zu klassischer Software zu einem Feld, das Governance und Risikomanagement besonders herausfordert?“
Elleta: «Insbesondere generative KI-Systeme liefern keine strikt reproduzierbaren „Wenn-dann“-Ergebnisse, die hart codiert in einer Software verankert sind. Sie arbeiten mit Wahrscheinlichkeiten und Plausibilitäten und das heisst Ergebnisse sind nicht zwingend korrekt und richtig. Die Qualität hängt vom konkreten Kontext und der Aufgabenstellung ab. Zudem kann sich das Verhalten einer KI verändern, man spricht vom sogenannten Modell-Drift, etwa durch Updates, neue Daten, andere Eingabemuster oder veränderte Prozesse. Das unterscheidet Governance im KI-Umfeld von klassischer Applikationsentwicklung, denn letztere verändert ihr Verhalten nicht ohne unser Zutun. Dadurch wird KI-Governance weniger zur einmaligen „Abnahme vor GoLive“, sondern zu einem Lebenszyklus-Thema: klare Verantwortlichkeiten, Risikoeinordnung, Transparenz über Grenzen der Systeme sowie laufendes Monitoring werden zentral.»
2. RWAI: „Liechtenstein hat mit dem sogenannten «Blockchain-Gesetz» einen technologieneutralen Rahmen geschaffen, der Vertrauen und Nutzerschutz mit Innovation verbinden soll. Sehen Sie Parallelen oder Unterschiede, wenn es um KI geht?“
Elleta: «Ein Gesetz reguliert den Rahmen, in dem eine Tätigkeit stattfindet. Das ist dann wohl auch schon die wesentliche Parallele, denn der zentrale Unterschied ist der Regulierungsgegenstand: Während das Blockchain-Gesetz eine Nische adressiert, ist KI in nahezu allen Branchen wirksam und in sämtlichen Unternehmensgrössen anzutreffen. Hier kommt der auch für Liechtenstein anwendbare EU-AI-Act zum Zug: Dieser ist nicht für eine spezifische Branche erarbeitet worden, sondern bildet einen KI-Governance-Rahmen für alle Unternehmen im europäischen Raum.»
3. RWAI: „Wie muss KI-Governance gestaltet sein, damit sie nicht nur regulatorisch ‘ausreichend‘ ist, sondern messbar Vertrauen schafft – intern und extern?“
Elleta: «Vertrauen entsteht, wenn ein Unternehmen nachvollziehbar nachweisen und zeigen kann: Wir wissen, wofür wir KI einsetzen, kennen die Risiken und wissen, welche Kontrollen und Massnahmen wir implementiert haben und wie wirksam diese sind. Das beinhaltet das Wissen darüber, zu welchem Zweck die KI eingesetzt wird, die Grenzen der KI, die verarbeiteten Datenkategorien, die Kennzeichnung von KI-Inhalten sowie Regeln, wo und wann KI eingesetzt werden darf. Die in den EU-Ethik-Guidelines verankerte Trustworthy-AI widerspiegelt das: Wir definieren die Anforderungen an Transparenz, Robustheit, Sicherheit und Rechenschaft sowie die Kontrolle des Menschen in diesem Prozess. Unternehmen, die früh mit der Thematik starten, reduzieren nicht nur regulatorische Risiken, sondern erhöhen auch die Akzeptanz bei Mitarbeitenden, Kunden und Partnern und gewinnen damit Geschwindigkeit, weil Entscheidungen im Projekt schneller und nachhaltiger getroffen werden können.»
4. RWAI: „Welche Branchen sind beim Aufbau von KI-Governance derzeit am weitesten – und welche konkreten Praktiken daraus lassen sich auf KMU und IT-Projekte übertragen?“
Elleta: «Wenn ich Vorreiter aus der Risiko- und Compliance Sicht beurteile, schaue ich weniger darauf, wer am meisten KI einsetzt, sondern darauf, wer KI bereits so steuert, dass sie auditierbar, verantwortbar und betrieblich stabil ist. In diesem Sinn sehe ich drei Gruppen vorne: Finanzdienstleister und Versicherungen sowie produktregulierte Branchen wie die Medizintechnik oder kritische Infrastrukturen. Die Branchen sind es sich gewohnt, Nachweise zu erbringen und beaufsichtigt zu werden. Hier gibt es meist von Branchenverbänden auch schon einschlägige Richtlinien und Vorgaben oder aber die Aufsichtsbehörden sind aktiv geworden. Für KMU oder generell für IT-Projekte kann daraus sicher das Vorgehen zur Festlegung von Rollen und Verantwortlichkeiten abgeleitet werden, oder aber die Vorgehensweise zur Erarbeitung eines KI-Use-Case-Inventars abgeschaut werden. Die Teilnehmer profitieren von öffentlich verfügbaren Quellen und dem Know-How der Spezialisten in der Branche, sodass das Rad nicht neu erfunden werden muss.»
5. RWAI: „Welche Governance-Lücken entstehen am häufigsten, wenn Mitarbeitende KI-Funktionen aus Cloud-Diensten nutzen, bevor es eine klare Strategie, Rollen und Regeln gibt?“
Elleta: «Ohne klare Rollen und Regeln entsteht eine Schattennutzung und niemand steuert Risiko, Qualität und Nachweise. Häufig fehlen einfache Guardrails für die Erlaubnis, welche Tools verwendet werden dürfen für welche Datenkategorien. Es genügt nicht, ein Tool freizuschalten, sondern es braucht Schulung und KI-Kompetenzbildung bei Mitarbeitenden, sodass diese selbst beurteilen können, welche Verarbeitungsprozesse mit einem bestimmten KI-Tool kritisch sind und welche zulässig sind. Die typischen Governance Lücken sind also: Fehlendes Inventar und fehlende Nutzungsübersicht, fehlende Fachverantwortliche, keine Datenregeln, damit einhergehend auch fehlendes Incident Management bei Vorfällen. Cloud-KI ist schnell eingeführt, aber ohne klare Regeln gerät der Prozess ausser Kontrolle.»
6. RWAI: «Wie wirkt sich ein strukturierter Austausch mit Aufsicht und Regulatoren auf das KI-Risikomanagement aus und was muss intern vorhanden sein, damit dieser Austausch eher beschleunigt als verlangsamt?»
Elleta: «Sofern man im regulierten Bereich tätig ist, ist es jedenfalls ratsam, den Dialog früh zu starten. Nicht zu früh allerdings, ein konkreter zu beurteilender Use-Case sollte vorliegen und nicht nur eine abstrakte Idee. Eine Regulierungsbehörde wird nur dann zur Bremse, wenn das Produkt oder Projekt schon fertig ist und man noch auf die Schnelle eine Freigabe braucht. In grenzüberschreitenden Konstellationen zum Beispiel bei einem CH-Anbieter mit EU/EWR-Nutzung lohnt sich es ebenfalls, frühzeitig eine Kontaktaufnahme bei Unklarheiten anzugehen, um doppelte Nachweisführung zu vermeiden. Aber nochmal, es nützt nichts, die Frage zu stellen «dürfen wir KI nutzen» sondern konkret «ist dieser Use Case mit den identifizierten Risiken und den angesetzten Kontrollen aus Ihrer Sicht angemessen». Falls keine Rückfragen bestehen oder es sich nicht um ein riskantes Einsatzgebiet handelt, ist ohnehin meist nur eine Notifikation der Aufsichtsbehörde notwendig.
7. RWAI: «Was sind die häufigsten Probleme, die Sie im Zusammenhang mit fehlender KI-Governance in der Praxis antreffen?»
Elleta: «Der Klassiker ist der Einsatz von KI-Tools wie Copilot, GPT oder Perplexity ohne Policy, die geschult und auch eingehalten wird. Unternehmen schrecken vor den Kosten für Lizenzen zurück, die sie für Business-Accounts bezahlen müssten und geben nur ausgewählten Angestellten Zugang zu vertrauenswürdigen Arbeitsumgebungen. Die anderen Mitarbeitenden nutzen die KI jedoch trotzdem und sind sich oftmals nicht bewusst, dass sie die KI nicht mit Kundendaten füttern dürfen, wenn der andere es doch auch tut. Wenn die Daten mal raus sind, gibt es keinen Weg zurück. Meine Meinung ist daher klar: KI ist kein Luxusarbeitsinstrument für Einzelne, sondern zwischenzeitlich ein Standardarbeitsmittel. Und genauso muss es auch im Unternehmen eingesetzt, überwacht und geschult werden.»
8. RWAI: „Wenn Sie einen unternehmenstauglichen Responsible-AI-Standard definieren müssten: Welche drei Elemente sind unverzichtbar – und woran erkennt man im Alltag, dass sie tatsächlich gelebt werden?“
Elleta: «Erstens: Verantwortung und Kompetenzen müssen klar geregelt sein.
Zweitens braucht es einen risikobasierten Beurteilungsansatz für Use-Cases, in denen KI verwendet werden soll. Die Klassifizierung ist verpflichtend und etwaige Massnahmen müssen proportional zum Risiko gesetzt werden.
Drittens und damit auch schon die Erkenntnis, ob es im Alltag tatsächlich gelebt wird, braucht es Nachweise im Betrieb zu den Themen Transparenz und Dokumentation. Es sollten bestenfalls Monitoring-Prozesse zur Human Oversight vorhanden sein, sollte eine solche notwendig sein oder aber der Umgang mit Incidents beschrieben und gelebt sein.»
Das Interview zeigt deutlich: KI-Governance ist kein einmaliger GoLive-Check, sondern ein kontinuierliches Lebenszyklus-Thema. Vertrauen entsteht dort, wo Unternehmen transparent machen, wofür KI eingesetzt wird, welche Risiken bestehen und welche Kontrollen im Betrieb wirksam greifen. Klare Verantwortlichkeiten, eine risikobasierte Bewertung von Use Cases sowie nachvollziehbare Dokumentation und Monitoring sind dabei die zentralen Bausteine für Responsible AI in der Praxis.
KI ist heute ein Standardwerkzeug und genau deshalb braucht sie Standards, die im Alltag funktionieren. Wer früh strukturiert startet, reduziert nicht nur regulatorische Risiken, sondern schafft Akzeptanz und Handlungssicherheit im Unternehmen. Gemeinsam mit Elleta AG unterstützen wir Organisationen dabei, KI verantwortungsvoll, pragmatisch und zukunftsfähig zu steuern.