ZurĂĽck zu Richtlinienvorlagen
Richtlinie 01 von 15

Richtlinie fĂĽr KI-Verantwortlichkeit und Rollen

Weist klare Zuständigkeiten, Verantwortlichkeiten und Entscheidungsbefugnisse für die KI-Governance in der gesamten Organisation zu.

1. Zweck

Diese Richtlinie definiert, wer bei [Name der Organisation] für KI-Governance-Aktivitäten zuständig und verantwortlich ist. Sie legt die Governance-Gremien, einzelnen Rollen, Entscheidungsbefugnisse und Eskalationswege fest, sodass jedes KI-System einen benannten Verantwortlichen und jede Governance-Entscheidung einen klaren Entscheidungsträger hat.

2. Geltungsbereich

Diese Richtlinie umfasst:

  • Alle Governance-Gremien, die an der KI-Aufsicht beteiligt sind (AusschĂĽsse, Beiräte, Arbeitsgruppen).
  • Alle einzelnen Rollen mit KI-Governance-Verantwortlichkeiten.
  • Alle KI-Systeme unabhängig von der Risikoklassifizierung.
  • Alle Phasen des KI-Lebenszyklus.

3. Governance-Gremien

Platzhaltertext. FĂĽllen Sie mit der Sprache Ihrer Organisation fĂĽr 3. Governance-Gremien aus.

3.1 KI-Governance-Ausschuss

Der KI-Governance-Ausschuss ist das primäre Entscheidungsgremium für die KI-Governance. Er fungiert als funktionsübergreifender Lenkungsausschuss mit folgendem Mandat:

Zusammensetzung: Exekutiv-Sponsor (Vorsitzender), Rechts-/Compliance-Verantwortlicher, CISO oder Sicherheitsverantwortlicher, Datenschutzbeauftragter, Leiter Engineering/Data Science, Leiter Risikomanagement, Vertreter des operativen Geschäftsbetriebs.

Beschlussfähigkeit: Entscheidungen erfordern die Anwesenheit von mindestens 5 Mitgliedern, einschließlich des Vorsitzenden oder dessen Stellvertreter. Entscheidungen werden im Sitzungsprotokoll festgehalten und im Governance-Portal gespeichert.

Turnus: Monatliche reguläre Sitzung, mit Ad-hoc-Sitzungen für dringende Eskalationen.

  • Genehmigung oder Ablehnung von Hochrisiko-KI-Anwendungsfällen.
  • Festlegung von Governance-Standards, Risikoschwellen und Richtlinienausrichtung.
  • Lösung von Eskalationen und Schlichtung von Streitigkeiten zwischen Teams.
  • Vierteljährliche ĂśberprĂĽfung der Gesamt-KI-Risikolage der Organisation.
  • Beauftragung interner ĂśberprĂĽfungen oder Audits bei Bedarf.
  • Ăśberwachung der Erkennung und Behebung von Schatten-KI.

3.2 KI-Ethik-Beirat (optional)

Organisationen mit bedeutendem KI-Einsatz können einen Beirat aus internen und externen Experten einrichten, der unverbindliche Empfehlungen zu ethischen Überlegungen, aufkommenden Risiken und Stakeholder-Bedenken gibt.

4. Einzelne Rollen

Platzhaltertext. FĂĽllen Sie mit der Sprache Ihrer Organisation fĂĽr 4. Einzelne Rollen aus.

4.1 Exekutiv-Sponsor

  • Leitet den KI-Governance-Ausschuss.
  • Verantwortet das KI-Governance-Budget und die strategische Ausrichtung.
  • Rechenschaftspflichtig gegenĂĽber dem Vorstand fĂĽr die KI-Risikolage.
  • Genehmigt die KI-Governance-Richtlinie und wesentliche Aktualisierungen.

4.2 KI-Governance-Verantwortlicher

  • Koordiniert den täglichen Governance-Betrieb.
  • Pflegt das KI-Systeminventar und den Compliance-Tracker.
  • Bereitet Unterlagen fĂĽr Ausschusssitzungen vor und verfolgt MaĂźnahmen.
  • Ist erste Eskalationsstelle fĂĽr KI-Belange.
  • Verwaltet Ausnahmeanträge und verfolgt deren Ablauf.
  • Koordiniert die Erkennung und Meldung von Schatten-KI.

4.3 Modellverantwortlicher

Jedes KI-System muss einen benannten Modellverantwortlichen haben, der fĂĽr Folgendes verantwortlich ist:

Modellverantwortliche sind typischerweise erfahrene Ingenieure, Data Scientists oder Produktmanager mit direkter Kenntnis des Systems.

  • Die Dokumentation des Systems (Modellkarte, Datenblatt, Risikobewertung).
  • Das Bestehen der Lifecycle-Gate-Reviews vor der Bereitstellung.
  • Die laufende Ăśberwachung und Leistung im Produktivbetrieb.
  • Die Reaktion auf Vorfälle im Zusammenhang mit dem System.
  • Die Einleitung einer Revalidierung, wenn sich das System oder sein Kontext ändert.
  • Die Einleitung der Stilllegung, wenn das System seinen Zweck nicht mehr erfĂĽllt.

4.4 Datenverantwortlicher / Datenverwalter

  • Verantwortlich fĂĽr Qualität, Herkunft und Compliance der in KI-Systemen verwendeten Daten.
  • Genehmigt Datenzugriffsanträge und stellt sicher, dass die Datennutzung mit Einwilligung und Rechtsgrundlage ĂĽbereinstimmt.
  • Dokumentiert die Datenherkunft und pflegt Datenklassifizierungsunterlagen.
  • ĂśberprĂĽft Trainingsdaten auf Verzerrungen, Repräsentativität und Lizenzkonformität.
  • Stellt sicher, dass Datenaufbewahrung und -löschung den organisatorischen Richtlinien und Vorschriften entsprechen.

4.5 Recht und Compliance

  • ĂśberprĂĽft KI-Anwendungsfälle auf regulatorische Verpflichtungen.
  • Berät zu vertraglichen Bedingungen mit KI-Anbietern.
  • Ăśberwacht regulatorische Ă„nderungen und kommuniziert deren Auswirkungen an den Ausschuss.
  • Beteiligt sich an Konformitätsbewertungen und Grundrechte-Folgenabschätzungen.

4.6 Informationssicherheit

  • FĂĽhrt SicherheitsĂĽberprĂĽfungen von KI-Systemen und -Infrastruktur durch.
  • Verwaltet KI-bezogene Bedrohungserkennung und Vorfallreaktion.
  • ĂśberprĂĽft die Sicherheitslage von Anbietern fĂĽr Drittanbieter-KI.
  • Stellt die Sicherheit der KI-Lieferkette sicher (Modelle, Bibliotheken, Abhängigkeiten).

4.7 Alle Mitarbeitenden

  • Befolgen diese Richtlinie und zugehörige KI-Verfahren.
  • Melden nicht autorisierte KI-Tool-Nutzung (Schatten-KI) an den KI-Governance-Verantwortlichen.
  • Absolvieren die erforderliche KI-Awareness-Schulung fĂĽr ihre Rolle.
  • Eskalieren Bedenken bezĂĽglich des KI-Verhaltens ĂĽber die etablierten Kanäle.

5. RACI-Matrix

Die folgende RACI-Matrix definiert die Verantwortlichkeiten für zentrale KI-Governance-Aktivitäten. R = Responsible (führt aus), A = Accountable (letztverantwortlich), C = Consulted (Mitwirkung erforderlich), I = Informed (wird informiert).

| Aktivität | Exekutiv-Sponsor | KI-Gov.-Verantwortlicher | Modellverantwortlicher | Datenverantwortlicher | Recht | Sicherheit |

| KI-Strategie und Richtliniengenehmigung | A | R | I | I | C | C |

| Risikoklassifizierung | I | C | R | C | C | C |

| Genehmigung von Hochrisiko-Anwendungsfällen | A | R | C | C | C | C |

| Datenbeschaffung und Qualitätsprüfung | I | I | C | A/R | C | I |

| Modellvalidierung und Testing | I | I | A/R | C | I | C |

| Bereitstellungsgenehmigung | I | A | R | I | C | C |

| ProduktionsĂĽberwachung | I | I | A/R | I | I | I |

| Vorfallreaktion | I | C | A/R | C | C | R |

| Regulatorische Compliance-ĂśberprĂĽfung | I | R | C | C | A | C |

| Anbieter-Risikobewertung | I | C | C | C | C | A/R |

| Erkennung und Meldung von Schatten-KI | I | A/R | I | I | C | R |

| KI-Inventarpflege | I | A/R | C | C | I | I |

| KI-Schulung und Awareness | I | A/R | C | C | C | C |

Diese Matrix wird vierteljährlich überprüft und bei organisatorischen Änderungen aktualisiert.

6. Schulungsanforderungen nach Rolle

| Rolle | Erforderliche Schulung | Häufigkeit |

| Exekutiv-Sponsor | Überblick KI-Governance, regulatorisches Umfeld, Risikoappetit | Jährlich |

| KI-Governance-Verantwortlicher | Vollständiges Governance-Framework, regulatorische Vertiefung, Tool-Kompetenz | Jährlich + bei regulatorischen Änderungen |

| Modellverantwortlicher | Lifecycle-Management, Risikobewertung, Überwachung, Vorfallreaktion | Jährlich + bei Systemänderungen |

| Datenverantwortlicher | Data Governance, Bias-Erkennung, Datenschutzanforderungen, Datenqualität | Jährlich |

| Recht / Compliance | KI-Vorschriften, Framework-Updates, Konformitätsbewertung | Jährlich + bei regulatorischen Änderungen |

| Sicherheit | KI-Bedrohungslage, Lieferkettensicherheit, adversariale Tests | Jährlich |

| Alle Mitarbeitenden | KI-Awareness, zulässige Nutzung, Schatten-KI-Meldung | Bei Einstellung + jährlich |

7. Nachfolge und Stellvertretung

  • Jede Governance-Rolle muss einen benannten Stellvertreter haben, der bei Abwesenheit des Hauptverantwortlichen handeln kann.
  • Stellvertreter mĂĽssen im Governance-Portal mit GĂĽltigkeitsdaten dokumentiert sein.
  • Rollenvakanzen von mehr als 30 Tagen erfordern, dass der KI-Governance-Verantwortliche den Exekutiv-Sponsor fĂĽr Interimsregelungen informiert.
  • Bei Ăśbergabe der Hauptverantwortung mĂĽssen Ăśbergabenotizen dokumentiert werden.

8. Eskalationswege

  • Betriebliche Probleme (Modellleistung, Drift): Modellverantwortlicher → KI-Governance-Verantwortlicher.
  • Datenqualitätsbedenken: Jedes Team → Datenverantwortlicher → KI-Governance-Verantwortlicher.
  • Risiko- und Compliance-Bedenken: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → Recht/Compliance → KI-Governance-Ausschuss.
  • Sicherheitsvorfälle: Jeder Mitarbeitende → Sicherheitsteam → KI-Governance-Verantwortlicher → Exekutiv-Sponsor.
  • Schatten-KI-Meldungen: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → Sicherheit (zur Bewertung) → KI-Governance-Ausschuss (bei systemischen Problemen).
  • Ethische Bedenken: Jeder Mitarbeitende → KI-Governance-Verantwortlicher → KI-Governance-Ausschuss.
  • Richtlinienausnahmen: Antragsteller → KI-Governance-Verantwortlicher → KI-Governance-Ausschuss (bei Hochrisiko).

9. Wirksamkeitsmessung

Der KI-Governance-Ausschuss verfolgt die folgenden Kennzahlen, um zu beurteilen, ob Governance-Rollen und -Prozesse funktionieren:

  • Prozentualer Anteil der KI-Systeme mit zugewiesenem Modellverantwortlichem und aktueller Dokumentation.
  • Durchschnittliche Dauer von der Anwendungsfall-Aufnahme bis zur Bereitstellungsgenehmigung.
  • Anzahl der Governance-Eskalationen und deren Lösungszeit.
  • Erkennungsrate und Behebungsrate von Schatten-KI.
  • Schulungsabschlussquoten nach Rolle.
  • Audit-Feststellungen im Zusammenhang mit RollenlĂĽcken oder Verantwortlichkeitsmängeln.

10. Regulatorische Ausrichtung

  • EU AI Act: Artikel 4a (KI-Kompetenz), Artikel 9 (Risikomanagement-Verantwortlichkeiten), Artikel 26 (Betreiberpflichten).
  • ISO/IEC 42001: Abschnitt 5.3 (Organisatorische Rollen, Verantwortlichkeiten und Befugnisse).
  • NIST AI RMF: GOVERN-Funktion (GV-1: Governance-Strukturen, GV-2: Rollen und Verantwortlichkeiten).

11. ĂśberprĂĽfung

Diese Richtlinie wird vierteljährlich im Einklang mit den Sitzungen des KI-Governance-Ausschusses überprüft, oder früher, wenn dies durch organisatorische Umstrukturierungen, wesentliche Rollenänderungen oder Audit-Feststellungen ausgelöst wird.

Dokumentenlenkung

| Feld | Wert |

| Richtlinienverantwortlicher | [KI-Governance-Verantwortlicher] |

| Genehmigt durch | [KI-Governance-Ausschuss] |

| Inkrafttreten | [Datum] |

| Nächste Überprüfung | [Datum + 3 Monate] |

| Version | 1.0 |

| Klassifizierung | Intern |

Bereit, diese Richtlinie umzusetzen?

Nutzen Sie VerifyWise, um diese Richtlinienvorlage anzupassen, bereitzustellen und die Compliance zu verfolgen.

Kostenlos startenAlle Vorlagen durchsuchen
Richtlinie fĂĽr KI-Verantwortlichkeit und Rollen | VerifyWise KI-Governance-Vorlagen