TL;DR
- AI-Council ist 2026 Pflicht, keine Optionsfrage — EU AI Act Art. 26 fordert dokumentierte Aufsichtspflichten für Hochrisiko-Systeme, ISO 42001 verlangt nachweisbare Management-Verantwortung mit Governance-Struktur.
- Vier Komponenten bilden den Mittelstands-Standard — Executive Sponsor (CIO/CFO mit final accountability), Operating Council (4–7 Personen, monatlich), Working Group (technische Owner pro Use-Case, bi-weekly), External Advisors (Wirtschaftsprüfer, AI-Beratung).
- Eine klare Investitions-Schwelle trennt Tempo von Kontrolle — unterhalb bleiben Quick-Decisions beim Fach-Lead, oberhalb greift die Council-Vorlage. Zusätzliche Trigger: Hochrisiko-Use-Case, neue Personen-Daten, neuer Provider.
Vier Council-Komponenten
Im Mittelstand dominieren vier Komponenten. Wer eine davon weglässt, verliert entweder Tempo oder Kontrolle.
| Komponente | Personen | Cadence | Funktion |
|---|---|---|---|
| Executive Sponsor | 1 (CIO oder CFO) | Quartalsweise | Final accountability, Budget-Freigabe |
| Operating Council | 4–7 | Monatlich, 90 Min | Use-Case-Bewertung, Risiko-Triage |
| Working Group | 2–5 pro Use-Case | Bi-weekly | Technische Implementierung, Eval |
| External Advisors | 2–3 | Ad-hoc + Halbjahr | Audit, regulatorische Tiefen-Expertise |
Der Executive Sponsor ist CIO oder CFO — eine Person mit Budgethoheit und Aufsichtspflicht. Bewährt: der CFO bei Compliance-getriebenen Domains (Finanzen, Medizin, Recht), der CIO bei Operations- und Engineering-Use-Cases. Final accountability nach Art. 26 liegt hier — der Sponsor unterschreibt den Risk-Brief, gibt Budget frei und vertritt das Council gegenüber Geschäftsführung und Aufsichtsrat.
Das Operating Council ist der Maschinenraum — 4–7 Personen, monatlich. Pflichtbesetzung: Compliance-Officer, IT-Security-Lead, Fach-Lead aus dem primären Use-Case-Bereich, Betriebsrat-Vertreter, Datenschutz-Beauftragter. Aufgabe: Use-Case-Bewertung gegen die Risiko-Matrix, Provider-Auswahl, Eval-Set-Freigabe, Production-Promotion — protokolliert im Risk-Register.
Die Working Group ist die technische Owner-Ebene pro Use-Case (Tech-Lead, Data-Engineer, Domain-Expert, optional Vendor-Counterpart). Sie ist R-Responsible in der RACI-Logic und reportet monatlich Performance-Daten und Risiko-Updates ans Operating Council.
External Advisors liefern regulatorische Tiefe und Audit-Sicht — Wirtschaftsprüfer für die ISO-42001-Vorbereitung, spezialisierte AI-Beratung für Architektur und EU-AI-Act-Klassifikation. Kein Veto-Recht, aber dokumentierte Empfehlungen, die in die Triage einfließen.
RACI für AI-Use-Cases
Die Zuordnung muss pro Use-Case-Phase explizit dokumentiert werden — sonst greifen Audits nicht.
| Phase | R-Responsible | A-Accountable | C-Consulted | I-Informed |
|---|---|---|---|---|
| Ideation | Working Group | Sponsor | Operating Council | Betriebsrat |
| Risk-Assessment | Compliance-Officer | Sponsor | External Advisors | Datenschutz |
| Provider-Auswahl | Working Group | Sponsor | Operating Council | Datenschutz |
| Pilot | Working Group | Sponsor | Operating Council | Betriebsrat |
| Production-Promotion | Working Group | Sponsor | Operating Council | Betriebsrat + Datenschutz |
| Incident-Response | Working Group | Sponsor | Operating Council | Datenschutz + DSB |
R liegt operativ bei der Working Group, A bleibt durchgehend beim Sponsor. I-Informed sind Betriebsrat und Datenschutz — beide mit Mitbestimmungs- bzw. Auskunfts-Rechten nach BetrVG §87 und DSGVO Art. 35.
In DACH-Pilots zeigt sich: jede AI-Production-Entscheidung mit Personenbezug oder Betriebsmittel-Wirkung muss vor Roll-out die I-Informed-Spalte vollständig durchlaufen — sonst entstehen nachgelagert Mitbestimmungs- und Datenschutz-Konflikte, die Production-Stopps auslösen.
Entscheidungs-Schwellen
Vier Trigger entscheiden, ob ein Fach-Lead frei handelt oder das Council greift.
| Trigger | Entscheidungs-Ebene | Mindest-Dokumentation |
|---|---|---|
| Quick-Decision, niedrig-Risiko | Fach-Lead | Use-Case-Ticket + Eval-Set-Hinweis |
| Größere Investition | Operating Council | Business-Case + Risk-Assessment + ROI |
| Hochrisiko nach EU AI Act | Operating Council + Sponsor | Risk-Register + DPIA |
| Neue Personen-Daten | Operating Council + DSB | DPIA + Art.-35-Vorab-Konsultation |
| Neuer Provider | Operating Council | AVV + ISO/SOC-Zertifikate + Pen-Test |
Quick-Decisions bleiben beim Fach-Lead — sonst stirbt das Tempo. Eine sauber gezogene Investitions-Schwelle deckt 60–75 % aller Mittelstands-Use-Cases ab: Prompt-Iterationen, RAG-Updates, Eval-Set-Erweiterungen. Das Council greift nur bei den vier definierten Triggern.
In einem DACH-MedTech-Pilot mit MDR-regulierten Produkten reduzierte diese Schwelle die Council-Sitzungs-Last um rund 64 % — von 14 Use-Case-Vorlagen pro Quartal auf 5 mit Council-Pflicht. Von sieben priorisierten Use-Cases waren sechs EU-AI-Act-Hochrisiko; ohne Council-Setup wäre keiner compliant deploybar gewesen.
Anti-Patterns
- Council ohne Tech-Working-Group: ein reines Compliance-Management-Gremium kann bewerten, aber nicht umsetzen — Time-to-Production verdoppelt sich. Fix: Working Group pro Use-Case, kein Beschluss ohne benannten Owner.
- RACI ohne Compliance und DSGVO: fehlt I-Informed bei Betriebsrat und Datenschutz, drohen nachgelagerte Production-Stopps. BetrVG §87 und DSGVO Art. 35 sind nicht-verhandelbar. Fix: DSB und Betriebsrat mindestens I-Informed, bei Personenbezug C-Consulted, DPIA vor Roll-out.
- Sponsor ohne Quartals-Brief: ohne strukturierten Risk-Brief verliert der Sponsor Geschäftsführungs-Akzeptanz, Budget-Freigaben verzögern sich. Fix: Quartals-Brief in drei Sektionen — Use-Case-Status, Compliance-Status (EU AI Act, ISO 42001, DSGVO), Budget und ROI; 8–12 Seiten, vom Council vorbereitet, vom Sponsor präsentiert.
Default-Operating-Model 2026
Das Default-Model hat drei Linien und zwei Reporting-Pflichten:
- Sponsor → Council → Working Group als klare Eskalations- und Entscheidungs-Linie. Quick-Decisions bei Fach-Leads, Council-Entscheidungen an den vier Trigger-Schwellen, Sponsor-Entscheidungen bei Hochrisiko und Großinvestitionen.
- Quartals-Risk-Brief an Geschäftsführung und Aufsichtsrat — strukturiert, vom Council vorbereitet, vom Sponsor präsentiert.
- Monatliches Risk-Update aus den Working Groups ans Operating Council — Eval-Performance, Incident-Log, Provider-Updates, neue Regulierungs-Anforderungen.
Wer diese drei Komponenten sauber operationalisiert, erreicht ISO-42001-Audit-Readiness in rund sechs Monaten und EU-AI-Act-Compliance ohne Production-Stopps. Wer eine weglässt, verliert Tempo, Kontrolle oder Audit-Festigkeit — meist alle drei nacheinander.
Praxis-Schritt: Ein 90-Min-Governance-Audit prüft Council-Setup, RACI-Sauberkeit und Schwellen-Trigger gegen EU-AI-Act- und ISO-42001-Anforderungen. Erstgespräch anfragen → /anfrage
Stand Mai 2026. AI-Council-Setups und ISO-42001-Audit-Vorbereitung in Kooperation mit akkreditierten Wirtschaftsprüfern und spezialisierten Compliance-Beratungen — eigene BAFA-/go-digital-Akkreditierung in Vorbereitung Q3 2026.
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.