Die Governance-Lücke: Warum der EU-Gesetzentwurf zur Bekämpfung von KI der Moment ist, in dem Vorstände die Einhaltung der Vorschriften nicht länger als Problem anderer abtun können.

Der EU-Gesetzentwurf zur künstlichen Intelligenz (EU-KI-Gesetz) ist bereits in Kraft, Strafen werden verhängt, und die meisten Unternehmen können ihre eigenen KI-Systeme nicht klassifizieren. Die Governance-Lücke ist nicht länger theoretischer Natur, sondern stellt eine Belastung für die Bilanz dar.

In den letzten drei Jahren haben Aufsichtsräte KI mit Begeisterung in den Bereichen Personalbeschaffung, Kreditentscheidungen, Kundenservice, operative Abläufe und Strategie eingeführt. Die meisten haben dies getan, ohne die notwendige Governance-Architektur aufzubauen. Nun ist der regulatorische Rahmen da – und er hat es in sich.

Teile des EU-KI-Gesetzes sind bereits in Kraft. Verbote unzulässiger KI-Praktiken traten im Februar 2025 in Kraft. Strafen für Anbieter allgemeiner KI-Modelle wurden im August 2025 aktiviert. Die vollständige Durchsetzung der Vorschriften gegen risikoreiche KI-Systeme erfolgt nun schrittweise zwischen August und Dezember 2027. Die Zeitspanne bis dahin ist keine Atempause, sondern die gesamte Start- und Landebahn.

Und dennoch ist die Bereitschaftslücke eklatant. Eine Studie von appliedAI mit 106 KI-Systemen in Unternehmen ergab, dass 40 % ihre eigene Risikoklassifizierung gemäß dem Gesetz nicht eindeutig bestimmen konnten. Der grundlegendste Schritt im Compliance-Prozess ist bei einem Großteil der Unternehmensimplementierungen noch nicht abgeschlossen. Die Mehrheit der Führungskräfte der obersten Ebene sieht die Nichteinhaltung regulatorischer Vorgaben mittlerweile als ihre größte KI-Sorge. Der entscheidende Faktor ist die operative Reaktion.

Das ist der Kern des Problems. Die Investitionen in KI sind real. Der Wettbewerbsdruck, sie einzusetzen, ist real. Die regulatorischen Verpflichtungen sind nun Realität. Was nicht Schritt gehalten hat, ist die Regulierung.

Die Lücke, über die niemand spricht

Die meisten Diskussionen über KI in Unternehmen konzentrieren sich nach wie vor auf Fähigkeiten und Investitionen. Die Diskussion um Governance hinkt hinterher, und die Folgen sind bereits spürbar.

Laut dem IO State of Information Security Report haben 79 % der Unternehmen in den letzten zwölf Monaten KI oder maschinelles Lernen eingeführt, weitere 19 % planen dies. Der KI-Einsatz ist damit nahezu flächendeckend. Umso gravierender ist die daraus resultierende Governance-Lücke: 37 % der Unternehmen berichten, dass Mitarbeiter generative KI ohne Genehmigung nutzen.

Weitere Untersuchungen von IBM zeigen, dass im vergangenen Jahr 20 % der Datenschutzverletzungen auf Schatten-KI zurückzuführen waren und 11 % der betroffenen Unternehmen unsicher waren, ob sie einen solchen Vorfall erlebt hatten. Die Konsequenzen für die Einhaltung des KI-Gesetzes sind unmittelbar: Setzen Mitarbeiter KI ohne Wissen der Organisation ein, betreibt das Unternehmen möglicherweise risikoreiche KI-Systeme, die es weder klassifizieren noch überwachen kann und deren Governance es nicht nachweisen kann. Gemäß dem Gesetz haftet der Anwender in diesem Fall.

Man kann nicht regieren, was man nicht sieht. Und die meisten Organisationen haben noch keinen vollständigen Überblick über ihre KI.

Dieses Problem betrifft nicht nur einen einzelnen Geschäftsbereich. Der EU-KI-Act schafft gleichzeitig Verpflichtungen in den Bereichen Informationssicherheit, Datenschutz und KI-Governance. Jedes KI-System, das personenbezogene Daten verarbeitet, fällt sowohl unter den Act als auch unter die DSGVO. Jedes System, das in Einstellungs-, Kredit- oder Kundenentscheidungsprozesse eingebunden ist, zieht Pflichten seitens des Betreibers nach sich, unabhängig davon, ob es intern entwickelt oder von einem externen Anbieter bezogen wurde. In den Verträgen mit Anbietern müssen nun die Verantwortlichkeiten für die Einhaltung der KI-Vorschriften klar definiert sein. Die gesamte Lieferkette für KI-Governance liegt in der Verantwortung des Unternehmens.

Die meisten Organisationen haben diese Funktionen in getrennten Räumen und führen getrennte Gespräche. Genau diese Fragmentierung ist die strukturelle Schwachstelle, die das Gesetz aufdecken wird.

Die Verordnung reicht weiter, als den meisten Aufsichtsräten derzeit bewusst ist.

Die Strafstruktur ist beträchtlich: Bei den schwerwiegendsten Verstößen drohen Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes – eine Obergrenze, die sogar die DSGVO übertrifft.

Die persönliche Haftung des Topmanagements ist im Gesetz vorgesehen. Und sie erstreckt sich extraterritorial. Jede Organisation, deren KI-Systeme Nutzer oder Märkte in der EU betreffen, fällt darunter, unabhängig von ihrem Hauptsitz. London, New York, Singapur: Wenn Ihre KI die EU berührt, tragen Sie die Haftung. Für britische Unternehmen, die davon ausgehen, dass die regulatorische Distanz nach dem Brexit hier Schutz bietet, ist dies nicht der Fall.

Die Verpflichtung ergibt sich aus dem System, nicht aus der Flagge.

Der Zeitplan beschreibt eine Abfolge von Schritten, nicht ein einzelnes zukünftiges Datum. Die Verbote sind bereits in Kraft. Die allgemeinen Strafen für KI-Nutzung sind bereits aktiv. Dezember 2027 ist kein ferner Stichtag. Der Aufbau einer integrierten Governance-Infrastruktur für Funktionen, die derzeit unabhängig voneinander, in unterschiedlichen Zyklen und mit unterschiedlichen Tools arbeiten, benötigt mehr Zeit, als den meisten Organisationen mit reaktiven Compliance-Programmen noch zur Verfügung steht.

Warum das Checkbox-Modell versagt

Die traditionelle Vorgehensweise zur Einhaltung von Vorschriften – Erstellung eines Risikobewertungsdokuments, Benennung eines Verantwortlichen und Planung einer jährlichen Überprüfung – ist nicht zielführend. Die Anforderungen des Gesetzes sind technischer und operativer Natur. KI-Systeme müssen kontinuierlich überwacht, protokolliert und hinsichtlich ihrer aktuellen Leistung getestet werden. Modelle verändern sich. Trainingsdaten veralten. Einsatzkontexte ändern sich. Ein auf periodischen Überprüfungen basierendes Governance-Modell kann mit diesen Entwicklungen nicht Schritt halten.

Die Daten der IO verdeutlichen das Ausmaß dieses Problems. 54 % der Befragten geben an, KI-Technologie zu schnell eingeführt zu haben und nun vor der Herausforderung zu stehen, deren Einsatz zurückzufahren oder sie verantwortungsvoller zu implementieren. Nur 21 % nennen die Entwicklung von Richtlinien für einen verantwortungsvollen KI-Einsatz als Priorität für das kommende Jahr. Der Kontrast ist frappierend: nahezu flächendeckender Einsatz, minimale Priorität für die Regulierung.

Grundsätzlich deckt keine einzelne Funktion den gesamten vom Gesetz untersuchten Compliance-Bereich ab. Ein Rechtsteam, das sich nur mit Datenschutzrisiken befasst, lässt Sicherheits- und KI-Risiken ungeschützt. Ein CISO, der sich nur mit Sicherheit beschäftigt, lässt Klassifizierung und Daten-Governance unberücksichtigt. Ein Produktteam, das sich ausschließlich mit KI-Risiken auseinandersetzt, hat keinen Einblick in den Datenschutz- oder Sicherheitsstatus der von ihm betreuten Systeme. Isolierte Reaktionen auf funktionsübergreifende Vorschriften führen nicht zu teilweiser Compliance. Sie erzeugen lediglich die Illusion von Compliance, und genau diese Illusion wollen die Aufsichtsbehörden überprüfen.

Die Resilienzschleife

Die Erkenntnis, die Organisationen, die echte Resilienz aufbauen, von solchen unterscheidet, die lediglich isolierte Verpflichtungen verwalten, ist folgende: Die Governance von KI kann nicht isoliert von Informationssicherheit und Datenschutz betrachtet werden, da diese Risiken in der Praxis untrennbar miteinander verbunden sind.

Der Resilienzkreislauf – das kontinuierliche, einheitliche Management von Informationssicherheit, Datenschutz und KI-Governance als integriertes System – ist die architektonische Antwort auf diese Realität. Er schafft einen klaren Überblick über Risiken und Gegenmaßnahmen, passt sich neuen regulatorischen Anforderungen an und bietet die nachweisbare, auditierbare Resilienz, die Aufsichtsbehörden, Investoren und Unternehmenskunden zunehmend fordern.

Die drei Bereiche, die der EU-KI-Gesetzentwurf gleichzeitig aktiviert, sind genau die drei Bereiche, die der Resilienzkreislauf vereint. Eine Organisation, die bereits so arbeitet, muss die Einhaltung des KI-Gesetzentwurfs nicht nachträglich in bestehende Programme integrieren. Die Infrastruktur ist bereits vorhanden und deckt den gesamten funktionsübergreifenden Bereich ab, den die Verordnung prüft.

Organisationen, die diesen Wandel noch nicht vollzogen haben, stehen nicht vor einem Dokumentationsdefizit, sondern vor einem architektonischen.

Der Wettbewerbsfall

Regulierte Sektoren wie Finanzdienstleistungen, Gesundheitswesen und kritische Infrastrukturen erhöhen die Anforderungen an die KI-Governance für Anbieter und Partner. Die Beschaffung von Unternehmen umfasst zunehmend KI-Governance-Bewertungen. Institutionelle Anleger beginnen, den Reifegrad der KI-Aufsicht als Teil ihrer Risikobewertung zu betrachten.

Die Daten der IO-Studie zeigen, was bereits Realität ist. Befragte berichten, dass die größten Steigerungen des Compliance-ROI durch verbesserte Geschäftsentscheidungen, Kundenbindung und neue Vertriebschancen erzielt wurden, und diese Vorteile haben sich von Jahr zu Jahr deutlich verstärkt. Das Muster ist eindeutig: Unternehmen, die frühzeitig auf integrierte Governance setzen, setzen sich von denen ab, die Compliance noch reaktiv managen. Nicht etwa, weil die Governance selbst einen Wettbewerbsvorteil darstellt, sondern weil die dadurch geschaffene Infrastruktur eine schnellere und sicherere Implementierung der entsprechenden Funktionen ermöglicht.

Das KI-Gesetz setzt nicht die Obergrenze für die Anforderungen an die Regierungsführung. Es stellt die Untergrenze dar.

Das Zeitfenster ist kürzer, als die meisten Gremien derzeit verstehen.

Dezember 2027 ist die absolute Frist für risikoreiche KI-Systeme. Der Aufbau der integrierten Governance-Infrastruktur, um diese Frist einzuhalten, ist kein Projekt, das erst im dritten Quartal 2026 beginnt. Es beginnt jetzt.

Organisationen, die in diesem Zeitfenster handeln, werden aus einer Position der Stärke heraus auf die Durchsetzung von Vorschriften vorbereitet sein. Diejenigen, die abwarten, werden unter Zeitdruck nachrüsten müssen, und zwar gegen eine Frist, die für alle Aufsichtsbehörden bereits absehbar ist.

Die Frage, die sich jeder Vorstand stellen sollte, ist nicht, ob er handeln soll, sondern ob noch Zeit ist. Und die Antwort lautet vorerst: Ja.

Erweitern Sie Ihr Wissen

Podcast: Phishing für Ärger S02 Ep02: KI: Vertrauen, Ethik und wie man es von Anfang an richtig macht

Blog: Die Resilienzlücke schließen: Wo die britische Wirtschaft laut Regierung weiterhin versagt

Webinar: ISO 42001 in der Praxis: Lehren aus einer der weltweit ersten ISO 42001-Zertifizierungen