Digital Workplace Blog

AI Governance @ Work: Regulatorische Ebene - oder was notwendiger Regeln bedarf

AI Governance beginnt nicht bei der einen Richtlinie. Sie beginnt bei sechs Entscheidungen: Werkzeuge, Daten, Aufgaben, Entscheidungseinfluss, Kommunikationsanalysen und Agenten. Sie bilden die Grundlage jeder tragfähigen KI-Policy.
image-66539

Im ersten Beitrag dieser Serie haben wir gezeigt, dass AI Governance auf drei Ebenen gleichzeitig wirkt: regulatorisch, qualitätsbezogen und arbeitsorganisatorisch. Diese Struktur hilft dabei, die eigentliche Gestaltungsarbeit sichtbar zu machen. 

In diesem Beitrag betrachten wir die erste Ebene genauer. Welche Formen der KI-Nutzung müssen Unternehmen konkret regeln? Und welche Entscheidungen sollten getroffen werden, bevor überhaupt eine Richtlinie entsteht?

Der EU AI Act liefert den Rahmen

Seit dem Inkrafttreten des EU AI Act beschäftigen sich viele Unternehmen erstmals systematisch mit AI Governance. Die Verordnung schafft einen verbindlichen regulatorischen Rahmen für den Einsatz von KI in Europa. Risikoklassen werden definiert, Anforderungen für Hochrisikosysteme festgelegt und bestimmte Anwendungen untersagt.

Für viele Organisationen ist dies der erste Berührungspunkt mit dem Thema Governance. Gleichzeitig entsteht leicht der Eindruck, dass AI Governance vor allem eine Compliance-Aufgabe sei. Genau hier beginnt jedoch das Missverständnis.

Der AI Act beantwortet vor allem die Frage, welche Anforderungen bestimmte KI-Anwendungen erfüllen müssen. Er beantwortet nicht die Frage, welche Werkzeuge ein Unternehmen zulassen möchte, welche Daten verarbeitet werden dürfen oder welche Rolle KI künftig in Arbeitsprozessen spielen soll. Diese Entscheidungen müssen Unternehmen selbst treffen.

Die eigentliche Governance-Arbeit beginnt deshalb nicht mit der Richtlinie, sondern mit einer Reihe strategischer und organisatorischer Festlegungen.

Was Compliance und Governance unterscheidet

Seit dem Inkrafttreten des AI Act lautet die erste Frage vieler Unternehmen:

Was müssen wir tun, um die Anforderungen des AI Act zu erfüllen?

Diese Perspektive ist wichtig. Sie adressiert jedoch nur einen Teil der eigentlichen Herausforderung.

Compliance beschreibt die Einhaltung gesetzlicher Vorgaben. Im Kontext des AI Act geht es beispielsweise um Risikoklassifizierung, Dokumentationspflichten, Transparenzanforderungen, menschliche Aufsicht oder den Umgang mit Hochrisikoanwendungen.

Governance setzt früher an und reicht weiter.

Governance beschäftigt sich mit der Frage, wie ein Unternehmen den Einsatz von KI grundsätzlich gestalten möchte. Sie umfasst alle Entscheidungen, die bestimmen, welche Rolle KI künftig in der Arbeitsorganisation spielen soll, welche Verantwortung Menschen behalten, welche Standards für KI-generierte Ergebnisse gelten und wie die Zusammenarbeit zwischen Menschen und KI organisiert wird.

Der Unterschied wird in der Praxis schnell sichtbar.

Der AI Act beantwortet beispielsweise, welche Anforderungen an ein KI-System für Recruiting oder Leistungsbeurteilung gestellt werden.

Er beantwortet jedoch nicht:

  • Ob Mitarbeitende private KI-Tools nutzen dürfen.
  • Welche Unternehmensinformationen in KI-Systeme eingegeben werden dürfen.
  • Welche Aufgaben KI unterstützen soll.
  • Welche Entscheidungen durch KI vorbereitet werden dürfen.
  • Welche Kommunikationsanalysen zulässig sind.
  • Welche Handlungen Agenten eigenständig ausführen dürfen.

Genau diese Fragen entstehen nicht durch Regulierung. Sie entstehen durch die Einführung von KI in die tägliche Arbeit.

Viele Unternehmen reagieren zunächst mit einer KI-Richtlinie. Häufig entsteht dabei ein Dokument mit allgemeinen Aussagen zu Datenschutz, Vertraulichkeit und verantwortungsvollem Umgang mit KI.

Die eigentliche Herausforderung liegt jedoch davor.

Bevor Regeln formuliert werden können, müssen Organisationen zunächst entscheiden, welche Formen der KI-Nutzung sie ermöglichen, steuern oder begrenzen möchten. Erst aus diesen Entscheidungen entstehen tragfähige Richtlinien, Betriebsvereinbarungen und Governance-Strukturen.

Aus unserer Sicht lassen sich diese Entscheidungen auf sechs zentrale Gestaltungsfelder verdichten.

1. Welche KI-Werkzeuge wollen wir bereitstellen, tolerieren oder ausschließen?

Die meisten Governance-Diskussionen beginnen bei den Werkzeugen. ChatGPT, Microsoft Copilot, Claude, Gemini, Perplexity und zahlreiche spezialisierte Assistenten sind heute oft schneller verfügbar als unternehmensweite Richtlinien.

In vielen Organisationen entsteht dadurch faktisch bereits eine Bring-Your-Own-AI-Situation. Mitarbeitende experimentieren mit Werkzeugen, die sie privat kennen oder kurzfristig für eine Aufgabe benötigen. Die Einführung von KI beginnt damit häufig nicht als Unternehmensprojekt, sondern als individuelle Initiative.

Ein Marketing-Team arbeitet mit ChatGPT, einzelne Mitarbeitende recherchieren mit Perplexity und der Vertrieb nutzt Copilot. Technisch funktioniert das problemlos. Organisatorisch entsteht jedoch die Frage, welche Systeme unterstützt werden, welche Sicherheitsanforderungen gelten und wie Ergebnisse nachvollziehbar bleiben.

Unternehmen sollten daher klären:

  • Welche KI-Systeme sind offiziell zugelassen?
  • Welche Lösungen werden zentral bereitgestellt?
  • Sind private KI-Tools erlaubt?
  • Welche Anforderungen gelten für neue Werkzeuge?
  • Wer entscheidet über zusätzliche Freigaben?

Dabei gibt es kein allgemeingültiges Modell. Einige Organisationen setzen auf Verbote, andere auf Leitplanken und wieder andere auf die Bereitstellung eigener Enterprise-Lösungen. Entscheidend ist nicht die gewählte Strategie, sondern die Klarheit der Entscheidung.

2. Welche Informationen sollen KI-Systeme überhaupt sehen?

Sobald Werkzeuge genutzt werden, folgt die nächste Frage. Nicht jede Information sollte automatisch in ein KI-System eingegeben werden.

Viele Diskussionen konzentrieren sich zunächst auf personenbezogene Daten. In der Praxis sind jedoch häufig andere Informationen ebenso kritisch. Kundenverträge, Produktinformationen, Preislisten, Entwicklungsdokumentationen oder unveröffentlichte Strategiepapiere können für Unternehmen mindestens genauso sensibel sein.

Viele Organisationen stellen deshalb fest, dass ihre bisherige Datenklassifikation für die KI-Nutzung nicht ausreicht. Informationen müssen zusätzlich danach bewertet werden, in welchem Umfang sie für KI-Anwendungen genutzt werden dürfen.

Typische Kategorien sind:

  • Öffentliche Informationen
  • Interne Arbeitsinformationen
  • Vertrauliche Unternehmensinformationen
  • Personenbezogene Daten
  • Besonders schützenswerte Informationen

Die eigentliche Governance-Frage lautet:

Welche Informationen dürfen für welche KI-Anwendungen genutzt werden?

Je klarer diese Einordnung erfolgt, desto einfacher lassen sich praktikable Nutzungsregeln formulieren.

3. Wo soll KI Teil der Arbeit werden?

Nach Werkzeugen und Daten folgt die Prozessperspektive.

KI kann heute bei Recherche, Analyse, Übersetzung, Zusammenfassung, Dokumentation oder Konzeptarbeit unterstützen. Viele dieser Anwendungsfälle gelten als vergleichsweise risikoarm und liefern bereits erhebliche Produktivitätsgewinne.

Die spannende Frage lautet jedoch nicht, was technisch möglich ist. Die entscheidende Frage lautet, wo Unternehmen KI bewusst als Bestandteil ihrer Arbeitsweise etablieren wollen.

Mögliche Einsatzfelder sind:

  • Recherche und Wissensbeschaffung
  • Textentwürfe und Kommunikation
  • Meeting-Dokumentation
  • Analyse und Auswertung
  • Ideengenerierung
  • Wissensaufbereitung

Wer festlegt, welche Rolle KI in den eigenen Arbeitsprozessen spielen soll, entscheidet gleichzeitig darüber, welche Kompetenzen Menschen weiterentwickeln müssen und welche Verantwortung weiterhin bei Mitarbeitenden verbleibt.

4. Wo endet Assistenz und wo beginnt Entscheidungseinfluss?

Besonders sensibel wird die Governance-Diskussion dort, wo KI nicht mehr nur unterstützt, sondern Entscheidungen vorbereitet oder beeinflusst.

Dies betrifft vor allem Bereiche mit unmittelbaren Auswirkungen auf Menschen:

  • Recruiting und Kandidatenauswahl
  • Talent Management
  • Skill-Bewertungen
  • Workforce Analytics
  • Schichtplanung
  • Leistungsbeurteilungen

Hier verschiebt sich die Diskussion von Effizienz zu Fairness, Transparenz und Verantwortung.

Der EU AI Act stuft mehrere dieser Anwendungsfälle als Hochrisikosysteme ein und formuliert entsprechende Anforderungen. Darüber hinaus müssen Unternehmen jedoch selbst festlegen, welche Rolle KI in solchen Prozessen überhaupt spielen soll.

Die zentrale Frage lautet:

Wo bleibt KI ein Werkzeug und wo beginnt sie, Entscheidungen über Menschen mitzuprägen?

Die Antwort wird in den wenigsten Fällen lauten, dass KI Entscheidungen vollständig übernimmt. Häufig geht es um differenziertere Fragen: Welche Vorschläge darf KI machen? Welche Prüfungen bleiben verpflichtend? Wer trägt die letztendliche Verantwortung?

5. Wo endet Produktivitätsunterstützung und wo beginnt Mitarbeitendenanalyse?

Ein weiteres Gestaltungsfeld entsteht durch die zunehmende Integration von KI in Kommunikations- und Kollaborationsplattformen.

Automatische Transkripte, Zusammenfassungen und Aufgabenlisten werden bereits zum Standard. Darüber hinaus entstehen neue Möglichkeiten für:

  • Meeting-Analysen
  • Redeanteile
  • Kommunikationsmuster
  • Teaminteraktionen
  • Collaboration Analytics
  • Workplace Analytics

Was auf den ersten Blick nach Produktivitätssteigerung aussieht, berührt schnell Fragen von Transparenz, Vertrauen und Mitbestimmung.

Ein automatisches Protokoll eines Meetings wird von den meisten Teams als hilfreich empfunden. Die Auswertung individueller Redeanteile oder die Analyse von Kommunikationsmustern kann dagegen schnell als Überwachung wahrgenommen werden.

Deshalb müssen Unternehmen frühzeitig klären:

Welche Analysen dienen der Zusammenarbeit und wo beginnt die Bewertung von Mitarbeitendenverhalten?

Gerade hier sollten Betriebsrat, Führungskräfte und Mitarbeitende frühzeitig eingebunden werden.

6. Welche Aufgaben dürfen Agenten eigenständig ausführen?

Mit agentischen KI-Systemen entsteht eine neue Kategorie von Governance-Fragen.

Solange KI Antworten liefert, bleibt die Verantwortung relativ klar. Mit Agenten verschiebt sich die Situation. Jetzt geht es nicht mehr um die Qualität einer Antwort, sondern um die Kontrolle einer Handlung.

Agenten können:

  • Informationen beschaffen
  • Dokumente erstellen
  • Prozesse anstoßen
  • Entscheidungen vorbereiten
  • Aufgaben delegieren
  • Systeme miteinander verbinden

Was heute noch Pilotprojekt ist, kann morgen Teil der regulären Arbeitsorganisation sein.

Deshalb sollten Unternehmen frühzeitig festlegen:

  • Für welche Aufgaben sollen Agenten eingesetzt werden?
  • Welche Handlungen dürfen sie eigenständig ausführen?
  • Welche Freigaben bleiben erforderlich?
  • Wie werden Aktivitäten dokumentiert?
  • Wer übernimmt die fachliche Verantwortung?

Je früher diese Fragen beantwortet werden, desto leichter lassen sich spätere Skalierungsprobleme vermeiden.

Erst die Entscheidungen, dann die Richtlinie

Viele Unternehmen beginnen ihre Governance-Arbeit mit der Erstellung einer KI-Richtlinie. Die sinnvollere Reihenfolge ist häufig die umgekehrte.

Erst wenn Klarheit darüber besteht,

  • welche Werkzeuge genutzt werden,
  • welche Informationen verarbeitet werden dürfen,
  • welche Aufgaben KI unterstützt,
  • welche Entscheidungen betroffen sind,
  • welche Analysen zulässig sind,
  • welche Rolle Agenten übernehmen,

lassen sich tragfähige Regeln formulieren.

Eine Richtlinie ist deshalb nicht der Ausgangspunkt von AI Governance. Sie ist das Ergebnis von Gestaltungsentscheidungen.

Fazit: AI Governance beginnt als Organisationsdesign

Der EU AI Act schafft den rechtlichen Rahmen. Die eigentliche Steuerungsaufgabe entsteht jedoch in den sechs Gestaltungsfeldern, die über die Regulierung hinausgehen. Jedes dieser Felder erfordert bewusste Entscheidungen, die kein Gesetz treffen kann.

Die meisten Unternehmen suchen derzeit nach der richtigen KI-Richtlinie. Die eigentliche Herausforderung liegt jedoch davor. Bevor Regeln formuliert werden können, müssen Organisationen entscheiden, welche Rolle KI in ihrer Arbeitsweise künftig spielen soll.

Selbst wenn diese sechs Felder geregelt sind, bleibt eine weitere Frage offen: Wie stellen Unternehmen sicher, dass aus der KI-Nutzung verlässliche Arbeitsergebnisse entstehen?

Damit rückt die zweite Ebene von AI Governance in den Mittelpunkt: Führungs- und Qualitätsgovernance. Verantwortung, Qualitätsstandards, menschliche Kontrolle und die Gestaltung von Mensch-KI-Kollaboration stehen dort im Zentrum.

AI Governance beginnt damit nicht bei der Regulierung, sondern bei der bewussten Gestaltung von Arbeit.

Alle Beiträge der Serie AI Governance @ Work:

  • Teil 1: Warum KI mehr als Richtlinien braucht
  • Teil 2: Welche KI-Nutzung Unternehmen konkret regeln müssen (dieser Beitrag)
  • Teil 3: Führungs- und Qualitätsgovernance (erscheint demnächst)
  • Teil 4: Arbeitsorganisatorische Governance (erscheint demnächst)

Content Newsletter
Immer über die neuesten Beiträge informiert

  • Zugang zu Freemium-Inhalten der Mediathek
  • Drei Credits für Freischaltung von Premium-Inhalten
  • Monatlicher Content-Newsletter mit Premium-Inhalten
  • Zugang zu geschlossener Linkedin-Gruppe
  • Besondere Plattform-Angebote über Shift/Work Updates
  • Kostenlos für immer!
Transparenzhinweis:
Wir legen großen Wert auf sachliche und unabhängige Beiträge. Um nachvollziehbar zu machen, unter welchen Rahmenbedingungen unsere Inhalte entstehen, geben wir folgende Hinweise:
  • Partnerschaften: Vorgestellte Lösungsanbieter können Partner oder Sponsoren unserer Veranstaltungen sein. Dies beeinflusst jedoch nicht die redaktionelle Auswahl oder Bewertung im Beitrag.
  • Einsatz von KI-Tools: Bei der Texterstellung und grafischen Aufbereitung unterstützen uns KI-gestützte Werkzeuge. Die inhaltlichen Aussagen beruhen auf eigener Recherche, werden redaktionell geprüft und spiegeln die fachliche Einschätzung des Autors wider.
  • Quellenangaben: Externe Studien, Daten und Zitate werden transparent kenntlich gemacht und mit entsprechenden Quellen belegt.
  • Aktualität: Alle Inhalte beziehen sich auf den Stand zum Zeitpunkt der Veröffentlichung. Spätere Entwicklungen können einzelne Aussagen überholen.
  • Gastbeiträge und Interviews: Beiträge von externen Autorinnen und Autoren – etwa in Form von Interviews oder Gastbeiträgen – sind klar gekennzeichnet und geben die jeweilige persönliche Meinung wieder.
Inhaltsverzeichnis

Suche

Themen der IOM Plattform

Hybrid & Remote Work Transformation
Digital Work & Employee Experience
Digital Work Skillset & Mindset
Adoption & Enablement
Future Management & Leadership
Digital Workplace Technologien
xy