TL;DR: KI-Governance scheitert im Mittelstand fast immer auf eine von zwei Arten — als 100-seitige Richtlinie, die niemand liest, oder als Blindflug, bei dem die halbe Belegschaft längst Kundendaten in frei zugängliche Chatbots tippt. Beide enden gleich: keine Kontrolle. Der tragfähige Mittelweg ist weder Aktenordner noch Abwarten. Er ist ein Tower: eine Stelle, die in keinem Cockpit sitzt, sondern Übersicht hält. Sein Radarbild ist ein einziges Dokument — das KI-Inventar. Eine Tabelle, eine Seite, pro System eine Zeile, ein Owner pro Zeile, eine Stunde pro Quartal. Mehr braucht der Anfang nicht. Und diese eine Liste speist gleich drei weitere Compliance-Themen mit.
Zwei Wege, die beide ins Leere führen
Wer KI-Governance ernst nimmt, landet schnell in einer von zwei Sackgassen. Die erste: zu schwer. Eine Arbeitsgruppe wird einberufen, ein Beratungsmandat erteilt, am Ende liegt ein dickes Regelwerk im Intranet, das schon veraltet ist, bevor die Tinte trocken ist. Das fühlt sich gründlich an, ändert im Tagesgeschäft aber nichts — und bremst genau die Leute aus, die etwas ausprobieren wollten. Die zweite Sackgasse: gar nichts. Man wartet ab, „bis sich das klärt". Währenddessen fasst der Vertrieb Meetings mit einem Chatbot zusammen, das Marketing textet mit einem Gratis-Tool, jemand lässt sich Excel-Formeln erklären — und niemand weiß, welche Daten dabei das Haus verlassen.
Beide Wege führen zum selben Ergebnis, nur mit unterschiedlichem Bauchgefühl: keine Kontrolle. Die gute Nachricht ist, dass der dritte Weg unspektakulär ist und genau deshalb funktioniert. Er beginnt nicht mit einem Dokument und nicht mit einem Tool-Kauf, sondern mit einer einzigen Liste.
Governance heißt Übersicht behalten, nicht alles steuern
Stellen Sie sich einen Flugsicherungs-Tower vor. Er sitzt in keinem Cockpit, er fliegt keine Maschine, er greift keinem Piloten in die Steuerung. Seine ganze Aufgabe ist Übersicht: Welche Flugzeuge sind im Luftraum, wer sitzt drin, wohin geht es. Genau das ist gute KI-Governance — Übersicht behalten, nicht jede Eingabe Ihrer Mitarbeiter kontrollieren. Sie sorgt nur dafür, dass nichts blind im Raum fliegt.
Diese Unterscheidung nimmt dem Thema den Schrecken. Governance ist kein Apparat, der Ihr Unternehmen verlangsamt, sondern eine schlanke Übersicht, die Sie schneller und sicherer macht — weil Sie endlich wissen, was tatsächlich läuft. Das Radarbild dieses Towers ist erstaunlich einfach: ein einziges Dokument.
Das KI-Inventar: eine Tabelle, kein Projekt
Fangen Sie nicht mit einer Plattform an, sondern mit einer Tabelle. Ein Sheet genügt. Pro KI-System eine Zeile, mit den Spalten, die wirklich tragen:
- System / Tool — welches KI-System konkret, mit Anbieter.
- Zweck — wofür es im Geschäft eingesetzt wird, in einem Satz.
- Datenklasse — was hineinfließt: öffentlich, intern, personenbezogen, vertraulich.
- Owner — eine namentlich verantwortliche Person. Nicht „die IT", ein Name.
- Rolle — nutzen Sie das System (Deployer) oder bieten Sie es an (Anbieter)?
- Risiko-Einstufung — grobe Einordnung nach der Logik des EU AI Act, gering bis hoch.
- Mensch in der Schleife — ja/nein, und an welcher Stelle die Person prüft.
- Zuletzt geprüft — ein Datum, damit man sieht, was eingestaubt ist.
Mehr braucht es zum Start nicht. Wer das für seine fünf, zehn oder zwanzig aktiven KI-Anwendungen ausfüllt, hat in einem Nachmittag mehr Governance als mit jeder ungelesenen Richtlinie.
Die Owner-Spalte ist dabei der Hebel, an dem alles hängt. Ein System ohne Namen ist ein System, das niemand pflegt. Und wenn Sie für eine Zeile keinen Owner benennen können, haben Sie nicht gegen eine Regel verstoßen — Sie haben Ihren ersten echten Befund. Daraus folgt eine Heuristik, die Sie sich merken können: eine Zeile pro System, ein Owner pro Zeile, eine Stunde pro Quartal.
Das KI-Inventar — eine Zeile pro System
Schatten-KI: sichtbar machen, nicht verbieten
Die ehrliche Ausgangslage lautet: Ihre Leute nutzen KI bereits — ob im Inventar oder nicht. Das ist keine Verfehlung, sondern Initiative. Ein generelles Verbot ändert daran nichts; es schaltet nur den Transponder ab. Wer einen Chatbot heimlich nutzt, weil er offiziell verboten ist, verschwindet vom Radar — das Flugzeug fliegt weiter, nur eben dunkel, auf privaten Geräten und Accounts. Genau das ist das Risiko, das Sie eigentlich vermeiden wollten.
Governance macht das Gegenteil: Sie lädt ein. Fragen Sie offen ab, womit tatsächlich gearbeitet wird, und tragen Sie es ohne Schuldzuweisung ins Inventar ein. Was sichtbar ist, lässt sich lenken; was im Verborgenen läuft, nicht. Sichtbarkeit zuerst, leiten danach. Wie man die Belegschaft dabei mitnimmt, statt sie zu vergraulen, vertiefen wir im Stück zur Akzeptanz.
Schatten-KI — sichtbar machen, nicht verbieten
Leichte Leitplanken statt Verordnung
Auf dem Inventar setzen zwei schlanke Regeln auf — mehr nicht.
Erstens eine knappe Nutzungsrichtlinie: eine Seite in Klartext, die jeder in fünf Minuten liest — am besten als zweites Blatt direkt neben dem Inventar im selben Sheet oder Ordner, damit Regel und Radarbild zusammen leben. Welche Datenklassen dürfen in welche Tools? Vertrauliche Kunden- und Personendaten gehören nicht in frei zugängliche Dienste, öffentliche Informationen sind unkritisch. Diese eine Unterscheidung deckt den Großteil der Fälle ab.
Zweitens der Default „ein Mensch prüft", sobald etwas Außenwirkung hat. Alles, was Kunden, Bewerber, Verträge oder die Website erreicht, wird von einem Menschen freigegeben, bevor es rausgeht (siehe auch Kennzeichnung und Transparenz). Intern darf KI freier laufen. Diese Voreinstellung kostet nichts und verhindert die teuersten Fehler. Drei Sätze, die jeder versteht, schlagen dreißig Seiten, die keiner liest.
Ein Rhythmus, der die Liste am Leben hält
Der entscheidende Denkfehler ist, Governance als Einmal-Projekt zu sehen — einmal aufsetzen, abhaken, fertig. Eine Übersicht, die man nach dem Aufsetzen nicht mehr anfasst, ist nach einem Jahr Makulatur. KI-Werkzeuge ändern sich, neue Anwendungen kommen dazu, alte fallen weg.
Setzen Sie deshalb einen festen Quartalstermin: 60 Minuten, in denen der Owner-Kreis das Inventar durchgeht. Was ist neu? Was wird nicht mehr genutzt? Hat sich an einer Datenlage oder Einstufung etwas geändert? Neue Zeilen rein, tote Zeilen raus, Owner bestätigen. So bleibt die Liste lebendig und wächst mit Ihrer KI-Reife mit — und lebendig ist der einzige Zustand, in dem ein Inventar überhaupt nützt. Governance ist kein Projekt mit Enddatum, sondern eine Fähigkeit, die mitwächst.
Eine Liste, vier Themen: das Inventar als Backbone
Der eigentliche Wert zeigt sich im Zusammenspiel. Dieselbe Tabelle, die Sie hier anlegen, ist das Rückgrat Ihrer gesamten KI-Compliance. Die Spalten „Rolle" und „Risiko" sind exakt der Einstieg in die AI-Act-Einstufung als Anbieter oder Deployer aus dem Cluster-Opener. Die Spalte „Mensch in der Schleife" sagt Ihnen, wo Kennzeichnungs- und Transparenzpflichten greifen — und steht bei einem Hochrisiko-System (Recruiting, Bonität) im Zentrum der konkreten Anwender-Pflichten. Und die Spalte „Datenklasse" ist der direkte Anknüpfungspunkt für die Frage der Datenhoheit und souveränen KI — wo Ihre Daten liegen und in wessen Hand sie sind, also wie viel Kontrolle Sie über Ihre eigenen Prozesse behalten.
Sie führen die Liste einmal — und beantworten damit drei Fragen, die sonst jede für sich ein eigenes Projekt wären.
Drei Anti-Muster, die Sie sich sparen können
Weil sie so verbreitet sind, kurz die drei Fallen zum Schluss. Governance-Theater: eine Policy, die Haftung beruhigt, aber kein Verhalten ändert. Tool vor Prozess: Software kaufen, bevor klar ist, was sie eigentlich tun soll und bevor überhaupt eine Tabelle existiert. Komitee ohne Owner: alle reden mit, niemand ist verantwortlich. Vermeiden Sie alle drei, und Sie sind weiter als die meisten Häuser Ihrer Größe.
---
Dieser Beitrag ist Orientierung aus der Praxis, keine Rechtsberatung. Für die verbindliche Einordnung Ihres konkreten Falls ziehen Sie fachkundigen Rat hinzu.
Wohin von hier
Den Tower bauen Sie selbst, und eine Seite genügt, um aufzuhören, im Dunkeln zu fliegen: eine Tabelle, ein Owner pro Zeile, ein Quartalstermin. Wenn Sie noch davor stehen, welcher Anwendungsfall überhaupt der erste Eintrag fürs Radar sein soll, hilft die Auswahl des ersten KI-Use-Cases. Den größeren rechtlichen Rahmen — Risikoklassen, Anbieter- und Deployer-Pflichten — spannt der Cluster-Opener zum EU AI Act im Mittelstand auf. Wie wir Governance pragmatisch denken, zeigt der azena Weg — und wenn Sie es gemeinsam aufsetzen wollen, sprechen Sie mit uns über KI-Beratung für den Mittelstand.
Teil der Compliance-Landkarte: [KI-Compliance im Mittelstand — vier Pflichten, ein System](/blog/ki-compliance-mittelstand-landkarte).
Nächster Schritt
Passt das auf Ihren Fall?
30-Min-Erstgespräch, kostenfrei und unverbindlich. Wir gehen Ihren konkreten Fall durch — und sagen ehrlich, wenn nichts passt.