Welche Fragen sollte Ihr Vorstand zu KI stellen?
12 Fragen, die jeder Vorstand zu KI-Risiken stellen sollte, mit Antworten, die echte Governance signalisieren, und Antworten, die gefährliche Lücken offenbaren. Ein Rahmen für Direktoren.
Key Takeaways
Direktoren haben Sorgfaltspflichten für materielle Risiken. KI ist für die meisten Organisationen ein materielles Risiko — und wird es zunehmend mehr.
Die Rolle des Vorstands ist nicht technisches Verständnis, sondern die Sicherstellung, dass das Management über Strukturen, Rechenschaftspflicht und Risikotoleranz für KI verfügt.
Beunruhigende Antworten auf diese 12 Fragen sind oft wichtiger als beruhigende — sie identifizieren, wo Governance-Maßnahmen dringend benötigt werden.
KI-Risiko sollte ein fester Punkt auf der Risikokomitee-Agenda sein, nicht nur dann diskutiert werden, wenn ein Vorfall passiert.
"Nur zu Informationszwecken. Dieser Artikel stellt keine rechtliche, regulatorische, finanzielle oder professionelle Beratung dar. Konsultieren Sie einen qualifizierten Spezialisten für spezifische Beratung."
Warum diese Fragen jetzt wichtig sind
KI ist ein materielles Risiko für die meisten Organisationen — regulatorisch, reputational, operationell und zunehmend auch rechtlich. Direktoren haben Sorgfaltspflichten für materielle Risiken. Diese zwölf Fragen sind diejenigen, die Direktoren stellen sollten, um ihrer Aufsichtspflicht über KI gerecht zu werden.
Jede Frage wird mit einer Antwort gepaart, die echte Governance signalisiert, und einer, die auf Lücken hinweist. Die Bewertung erfolgt nicht danach, ob das Management beeindruckende Antworten gibt — sondern danach, ob die Antworten spezifisch, überprüfbar und mit definierten Eskalationspfaden versehen sind.
1. Wer ist in unserer Organisation namentlich für KI-Risiken verantwortlich?
Gute Antwort: "Dr. [Name], unsere Chief Risk Officer, trägt die primäre Verantwortung für KI-Governance. Sie hat definierte KI-spezifische Mandate, berichtet vierteljährlich an den Risikoausschuss und hat Eskalationsbefugnis für KI-Vorfälle."
Beunruhigende Antwort: "Mehrere Teams teilen sich die Verantwortung — IT, Legal und die Geschäftsbereiche kümmern sich jeweils um ihre Bereiche."
Auf Teams verteilte Verantwortung ist faktisch keine Verantwortung. Rechenschaftspflicht muss einer namentlich genannten Einzelperson zugeordnet sein.
2. Können wir innerhalb von 24 Stunden ein vollständiges KI-Inventar erstellen?
Gute Antwort: "Ja. Wir führen ein laufend aktualisiertes KI-System-Register mit Risikoeinstufung, Eigentümer und Genehmigungsstatus für jedes System."
Beunruhigende Antwort: "Wir kennen die meisten unserer Systeme, aber es könnte Lücken geben, besonders bei Tools, die Mitarbeiter selbst eingeführt haben."
3. Welche unserer KI-Systeme fallen unter den EU AI Act?
Gute Antwort: "Wir haben eine dokumentierte regulatorische Kartierung. [Spezifische Systeme] sind als Hochrisiko eingestuft und unterliegen den Anforderungen des Gesetzes. Wir haben Konformitätsbewertungen initiiert."
Beunruhigende Antwort: "Wir glauben, der EU AI Act gilt hauptsächlich für europäische Unternehmen, aber wir prüfen das noch."
4. Haben wir in den letzten 12 Monaten KI-bezogene Vorfälle erlebt?
Gute Antwort: "Wir hatten drei Vorfälle niedriger Schwere und einen mittlerer Schwere. Der Vorfallbericht liegt dem Ausschuss vor. Alle führten zu spezifischen Verbesserungen unseres Governance-Rahmens."
Beunruhigende Antwort: "Wir sind uns keiner wesentlichen Vorfälle bewusst" — ohne ein dokumentiertes System zur Vorfallidentifizierung und -erfassung.
5. Wie überprüfen wir KI-Outputs in kritischen Entscheidungen?
Gute Antwort: "Für Hochrisiko-Entscheidungen — Kredit, Personalentscheidungen, klinische Empfehlungen — haben wir dokumentierte Überprüfungsprotokolle, die sicherstellen, dass qualifizierte Mitarbeiter KI-Empfehlungen unabhängig beurteilen, bevor Entscheidungen umgesetzt werden."
Beunruhigende Antwort: "Unsere Mitarbeiter sind geschult, KI-Outputs zu überprüfen" — ohne definierte Überprüfungsprotokolle oder Unabhängigkeitsanforderungen.
6. Welche KI-Anbieter haben Zugang zu unseren vertraulichen Daten?
Für jedes KI-System, das sensible Daten verarbeitet: Wo werden diese Daten verarbeitet? Werden sie für Modelltraining verwendet? Welche vertraglichen Schutzmaßnahmen bestehen?
7. Was ist unsere Risikobereitschaft für KI?
Gute Antwort: "Wir haben eine dokumentierte KI-Risikobereitschaftserklärung, die definiert, welche Kategorien von KI-Risiken wir tolerieren und welche wir ablehnen, mit spezifischen Schwellenwerten für Eskalation an den Vorstand."
Beunruhigende Antwort: "Wir setzen KI dort ein, wo es sinnvoll erscheint, und verwalten Risiken nach Ermessen des Managements."
8. Wie verwalten wir Schatten-KI?
Schatten-KI — Mitarbeiter, die nicht genehmigte KI-Tools nutzen, oft mit Kundendaten oder proprietären Informationen — ist der häufigste ungemanagte KI-Risikobereich in modernen Organisationen.
9. Welche KI-Vorfall-Meldepflichten haben wir?
Der EU AI Act verpflichtet Betreiber von Hochrisiko-KI, schwerwiegende Vorfälle den nationalen Marktüberwachungsbehörden zu melden. Kennt Ihr Management diese Anforderungen und hat eine Fähigkeit aufgebaut, meldepflichtige Vorfälle zu identifizieren?
10. Wie testen wir KI auf Verzerrungen und Fairness?
Für KI-Systeme, die Entscheidungen über Personen informieren — Kredit, Einstellung, Preis, Service-Routing — gibt es dokumentierte Fairness-Tests über relevante demografische Gruppen?
11. Welchen Konzentrationsrisiken durch KI-Anbieter sind wir ausgesetzt?
Organisationen, die kritische Funktionen auf eine kleine Anzahl von KI-Plattformanbietern konzentrieren, stehen vor systemischem Konzentrationsrisiko. Was passiert, wenn ein großer KI-Anbieter einen Ausfall erleidet, seine Bedingungen ändert oder regulatorischen Maßnahmen ausgesetzt ist?
12. Wann hat der Vorstand zuletzt ein strukturiertes KI-Risiko-Briefing erhalten?
KI-Risiko sollte ein fester Punkt auf der Risikoausschuss-Agenda sein — nicht nur dann diskutiert werden, wenn ein Vorfall passiert. Quartalsweise strukturierte Briefings, die KRI-Dashboards, Vorfallberichte und regulatorische Entwicklungen abdecken, sind die Mindestanforderung für Organisationen mit materieller KI-Exposition.