1. Zweck
Diese Richtlinie definiert, wer bei [Name der Organisation] für KI-Governance-Aktivitäten zuständig und verantwortlich ist. Sie legt die Governance-Gremien, einzelnen Rollen, Entscheidungsbefugnisse und Eskalationswege fest, sodass jedes KI-System einen benannten Verantwortlichen und jede Governance-Entscheidung einen klaren Entscheidungsträger hat.
2. Geltungsbereich
Diese Richtlinie umfasst:
- Alle Governance-Gremien, die an der KI-Aufsicht beteiligt sind (Ausschüsse, Beiräte, Arbeitsgruppen).
- Alle einzelnen Rollen mit KI-Governance-Verantwortlichkeiten.
- Alle KI-Systeme unabhängig von der Risikoklassifizierung.
- Alle Phasen des KI-Lebenszyklus.
3. Governance-Gremien
Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 3. Governance-Gremien aus.
3.1 KI-Governance-Ausschuss
Der KI-Governance-Ausschuss ist das primäre Entscheidungsgremium für die KI-Governance. Er fungiert als funktionsübergreifender Lenkungsausschuss mit folgendem Mandat:
Zusammensetzung: Exekutiv-Sponsor (Vorsitzender), Rechts-/Compliance-Verantwortlicher, CISO oder Sicherheitsverantwortlicher, Datenschutzbeauftragter, Leiter Engineering/Data Science, Leiter Risikomanagement, Vertreter des operativen Geschäftsbetriebs.
Beschlussfähigkeit: Entscheidungen erfordern die Anwesenheit von mindestens 5 Mitgliedern, einschließlich des Vorsitzenden oder dessen Stellvertreter. Entscheidungen werden im Sitzungsprotokoll festgehalten und im Governance-Portal gespeichert.
Turnus: Monatliche reguläre Sitzung, mit Ad-hoc-Sitzungen für dringende Eskalationen.
- Genehmigung oder Ablehnung von Hochrisiko-KI-Anwendungsfällen.
- Festlegung von Governance-Standards, Risikoschwellen und Richtlinienausrichtung.
- Lösung von Eskalationen und Schlichtung von Streitigkeiten zwischen Teams.
- Vierteljährliche Überprüfung der Gesamt-KI-Risikolage der Organisation.
- Beauftragung interner Überprüfungen oder Audits bei Bedarf.
- Überwachung der Erkennung und Behebung von Schatten-KI.
3.2 KI-Ethik-Beirat (optional)
Organisationen mit bedeutendem KI-Einsatz können einen Beirat aus internen und externen Experten einrichten, der unverbindliche Empfehlungen zu ethischen Überlegungen, aufkommenden Risiken und Stakeholder-Bedenken gibt.
4. Einzelne Rollen
Platzhaltertext. Füllen Sie mit der Sprache Ihrer Organisation für 4. Einzelne Rollen aus.
4.1 Exekutiv-Sponsor
- Leitet den KI-Governance-Ausschuss.
- Verantwortet das KI-Governance-Budget und die strategische Ausrichtung.
- Rechenschaftspflichtig gegenüber dem Vorstand für die KI-Risikolage.
- Genehmigt die KI-Governance-Richtlinie und wesentliche Aktualisierungen.
4.2 KI-Governance-Verantwortlicher
- Koordiniert den täglichen Governance-Betrieb.
- Pflegt das KI-Systeminventar und den Compliance-Tracker.
- Bereitet Unterlagen für Ausschusssitzungen vor und verfolgt Maßnahmen.
- Ist erste Eskalationsstelle für KI-Belange.
- Verwaltet Ausnahmeanträge und verfolgt deren Ablauf.
- Koordiniert die Erkennung und Meldung von Schatten-KI.
4.3 Modellverantwortlicher
Jedes KI-System muss einen benannten Modellverantwortlichen haben, der für Folgendes verantwortlich ist:
Modellverantwortliche sind typischerweise erfahrene Ingenieure, Data Scientists oder Produktmanager mit direkter Kenntnis des Systems.
- Die Dokumentation des Systems (Modellkarte, Datenblatt, Risikobewertung).
- Das Bestehen der Lifecycle-Gate-Reviews vor der Bereitstellung.
- Die laufende Überwachung und Leistung im Produktivbetrieb.
- Die Reaktion auf Vorfälle im Zusammenhang mit dem System.
- Die Einleitung einer Revalidierung, wenn sich das System oder sein Kontext ändert.
- Die Einleitung der Stilllegung, wenn das System seinen Zweck nicht mehr erfüllt.
4.4 Datenverantwortlicher / Datenverwalter
- Verantwortlich für Qualität, Herkunft und Compliance der in KI-Systemen verwendeten Daten.
- Genehmigt Datenzugriffsanträge und stellt sicher, dass die Datennutzung mit Einwilligung und Rechtsgrundlage übereinstimmt.
- Dokumentiert die Datenherkunft und pflegt Datenklassifizierungsunterlagen.
- Überprüft Trainingsdaten auf Verzerrungen, Repräsentativität und Lizenzkonformität.
- Stellt sicher, dass Datenaufbewahrung und -löschung den organisatorischen Richtlinien und Vorschriften entsprechen.
4.5 Recht und Compliance
- Überprüft KI-Anwendungsfälle auf regulatorische Verpflichtungen.
- Berät zu vertraglichen Bedingungen mit KI-Anbietern.
- Überwacht regulatorische Änderungen und kommuniziert deren Auswirkungen an den Ausschuss.
- Beteiligt sich an Konformitätsbewertungen und Grundrechte-Folgenabschätzungen.
4.6 Informationssicherheit
- Führt Sicherheitsüberprüfungen von KI-Systemen und -Infrastruktur durch.
- Verwaltet KI-bezogene Bedrohungserkennung und Vorfallreaktion.
- Überprüft die Sicherheitslage von Anbietern für Drittanbieter-KI.
- Stellt die Sicherheit der KI-Lieferkette sicher (Modelle, Bibliotheken, Abhängigkeiten).
4.7 Alle Mitarbeitenden
- Befolgen diese Richtlinie und zugehörige KI-Verfahren.
- Melden nicht autorisierte KI-Tool-Nutzung (Schatten-KI) an den KI-Governance-Verantwortlichen.
- Absolvieren die erforderliche KI-Awareness-Schulung für ihre Rolle.
- Eskalieren Bedenken bezüglich des KI-Verhaltens über die etablierten Kanäle.
5. RACI-Matrix
Die folgende RACI-Matrix definiert die Verantwortlichkeiten für zentrale KI-Governance-Aktivitäten. R = Responsible (führt aus), A = Accountable (letztverantwortlich), C = Consulted (Mitwirkung erforderlich), I = Informed (wird informiert).
| Aktivität | Exekutiv-Sponsor | KI-Gov.-Verantwortlicher | Modellverantwortlicher | Datenverantwortlicher | Recht | Sicherheit |
|---|---|---|---|---|---|---|
| KI-Strategie und Richtliniengenehmigung | A | R | I | I | C | C |
| Risikoklassifizierung | I | C | R | C | C | C |
| Genehmigung von Hochrisiko-Anwendungsfällen | A | R | C | C | C | C |
| Datenbeschaffung und Qualitätsprüfung | I | I | C | A/R | C | I |
| Modellvalidierung und Testing | I | I | A/R | C | I | C |
| Bereitstellungsgenehmigung | I | A | R | I | C | C |
| Produktionsüberwachung | I | I | A/R | I | I | I |
| Vorfallreaktion | I | C | A/R | C | C | R |
| Regulatorische Compliance-Überprüfung | I | R | C | C | A | C |
| Anbieter-Risikobewertung | I | C | C | C | C | A/R |
| Erkennung und Meldung von Schatten-KI | I | A/R | I | I | C | R |
| KI-Inventarpflege | I | A/R | C | C | I | I |
| KI-Schulung und Awareness | I | A/R | C | C | C | C |
Diese Matrix wird vierteljährlich überprüft und bei organisatorischen Änderungen aktualisiert.
6. Schulungsanforderungen nach Rolle
| Rolle | Erforderliche Schulung | Häufigkeit |
|---|---|---|
| Exekutiv-Sponsor | Überblick KI-Governance, regulatorisches Umfeld, Risikoappetit | Jährlich |
| KI-Governance-Verantwortlicher | Vollständiges Governance-Framework, regulatorische Vertiefung, Tool-Kompetenz | Jährlich + bei regulatorischen Änderungen |
| Modellverantwortlicher | Lifecycle-Management, Risikobewertung, Überwachung, Vorfallreaktion | Jährlich + bei Systemänderungen |
| Datenverantwortlicher | Data Governance, Bias-Erkennung, Datenschutzanforderungen, Datenqualität | Jährlich |
| Recht / Compliance | KI-Vorschriften, Framework-Updates, Konformitätsbewertung | Jährlich + bei regulatorischen Änderungen |
| Sicherheit | KI-Bedrohungslage, Lieferkettensicherheit, adversariale Tests | Jährlich |
| Alle Mitarbeitenden | KI-Awareness, zulässige Nutzung, Schatten-KI-Meldung | Bei Einstellung + jährlich |
7. Nachfolge und Stellvertretung
- Jede Governance-Rolle muss einen benannten Stellvertreter haben, der bei Abwesenheit des Hauptverantwortlichen handeln kann.
- Stellvertreter müssen im Governance-Portal mit Gültigkeitsdaten dokumentiert sein.
- Rollenvakanzen von mehr als 30 Tagen erfordern, dass der KI-Governance-Verantwortliche den Exekutiv-Sponsor für Interimsregelungen informiert.
- Bei Übergabe der Hauptverantwortung müssen Übergabenotizen dokumentiert werden.
8. Eskalationswege
- Betriebliche Probleme (Modellleistung, Drift): Modellverantwortlicher → KI-Governance-Verantwortlicher.
- Datenqualitätsbedenken: Jedes Team → Datenverantwortlicher → KI-Governance-Verantwortlicher.
- Risiko- und Compliance-Bedenken: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → Recht/Compliance → KI-Governance-Ausschuss.
- Sicherheitsvorfälle: Jeder Mitarbeitende → Sicherheitsteam → KI-Governance-Verantwortlicher → Exekutiv-Sponsor.
- Schatten-KI-Meldungen: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → Sicherheit (zur Bewertung) → KI-Governance-Ausschuss (bei systemischen Problemen).
- Ethische Bedenken: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → KI-Governance-Ausschuss.
- Richtlinienausnahmen: Antragsteller → KI-Governance-Verantwortlicher → KI-Governance-Ausschuss (bei Hochrisiko).
9. Wirksamkeitsmessung
Der KI-Governance-Ausschuss verfolgt die folgenden Kennzahlen, um zu beurteilen, ob Governance-Rollen und -Prozesse funktionieren:
- Prozentualer Anteil der KI-Systeme mit zugewiesenem Modellverantwortlichem und aktueller Dokumentation.
- Durchschnittliche Dauer von der Anwendungsfall-Aufnahme bis zur Bereitstellungsgenehmigung.
- Anzahl der Governance-Eskalationen und deren Lösungszeit.
- Erkennungsrate und Behebungsrate von Schatten-KI.
- Schulungsabschlussquoten nach Rolle.
- Audit-Feststellungen im Zusammenhang mit Rollenlücken oder Verantwortlichkeitsmängeln.
10. Regulatorische Ausrichtung
- EU AI Act: Artikel 4a (KI-Kompetenz), Artikel 9 (Risikomanagement-Verantwortlichkeiten), Artikel 26 (Betreiberpflichten).
- ISO/IEC 42001: Abschnitt 5.3 (Organisatorische Rollen, Verantwortlichkeiten und Befugnisse).
- NIST AI RMF: GOVERN-Funktion (GV-1: Governance-Strukturen, GV-2: Rollen und Verantwortlichkeiten).
11. Überprüfung
Diese Richtlinie wird vierteljährlich im Einklang mit den Sitzungen des KI-Governance-Ausschusses überprüft, oder früher, wenn dies durch organisatorische Umstrukturierungen, wesentliche Rollenänderungen oder Audit-Feststellungen ausgelöst wird.
Dokumentenlenkung
| Feld | Wert |
|---|---|
| Richtlinienverantwortlicher | [KI-Governance-Verantwortlicher] |
| Genehmigt durch | [KI-Governance-Ausschuss] |
| Inkrafttreten | [Datum] |
| Nächste Überprüfung | [Datum + 3 Monate] |
| Version | 1.0 |
| Klassifizierung | Intern |