Das Wichtigste auf einen Blick
Ein wirksames AI-Governance-Framework geht über statische PDF-Richtlinien hinaus und bettet Risikoklassifizierung, Folgenabschätzungen, Verantwortungsstrukturen und kontinuierliches Monitoring in den täglichen Compliance-Betrieb ein. Da die Hochrisiko-Pflichten des EU AI Act ab dem 2. August 2026 durchsetzbar sind, benötigen Organisationen, die mehrere Gesellschaften und Rechtsräume verwalten, eine zentrale, automatisierte Governance-Infrastruktur. Weniger als 1 % der Organisationen haben verantwortungsvolle AI-Governance vollständig operationalisiert, und nur 28 % haben formell definierte Aufsichtsrollen. Priverion bietet eine in der Schweiz gehostete Plattform, die speziell für AI-Compliance über mehrere Gesellschaften hinweg konzipiert ist.
Definitionen
Was ist ein AI-Governance-Framework?
Ein AI-Governance-Framework ist ein strukturiertes System aus Richtlinien, Prozessen, Rollen und technischen Massnahmen, das darauf ausgelegt ist, die Entwicklung, den Einsatz und das Monitoring von AI-Systemen in Übereinstimmung mit den geltenden Vorschriften und ethischen Standards zu steuern. Es umfasst in der Regel AI-System-Inventare, Risikoklassifizierung, Folgenabschätzungen (DSFA, TIA, FRIA), Verantwortungszuweisungen und prüfungssichere Dokumentation. Wichtige Referenz-Frameworks sind das NIST AI Risk Management Framework und ISO/IEC 42001.
Was ist der EU AI Act?
Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Er klassifiziert AI-Systeme in vier Risikostufen — inakzeptabel, hoch, begrenzt und minimal — und legt Anbietern und Betreibern abgestufte Pflichten auf. Verbote für Praktiken mit inakzeptablem Risiko traten am 2. Februar 2025 in Kraft; die Pflichten für Hochrisiko-Systeme werden am 2. August 2026 durchsetzbar. Volltext: EUR-Lex Verordnung 2024/1689.
Was ist ISO/IEC 42001?
ISO/IEC 42001:2023 ist die internationale Norm, die Anforderungen für den Aufbau, die Umsetzung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (AIMS) in Organisationen festlegt. Sie bietet ein zertifizierbares Framework für verantwortungsvolle AI-Governance. Quelle: ISO 42001:2023.
Was ist das NIST AI Risk Management Framework?
Das NIST AI RMF 1.0, veröffentlicht im Januar 2023, ist ein freiwilliges Framework, das Organisationen dabei unterstützt, AI-Systeme verantwortungsvoll zu gestalten, zu entwickeln, einzusetzen und zu nutzen. Es ist um vier Kernfunktionen herum aufgebaut: Govern, Map, Measure und Manage. Quelle: NIST AI.
Was ist eine Grundrechte-Folgenabschätzung (FRIA)?
Eine Grundrechte-Folgenabschätzung bewertet, wie ein Hochrisiko-AI-System Grundrechte einschliesslich Nichtdiskriminierung, Privatsphäre, Meinungsfreiheit und Zugang zur Justiz beeinflussen kann. Nach dem EU AI Act müssen Betreiber von Hochrisiko-AI-Systemen in bestimmten Kontexten eine FRIA abschliessen, bevor das System in Betrieb genommen wird. Referenz: EU AI Act, Artikel 27.
Statistiken und Quellen
Laut der IAPP 2024 AI Governance Survey haben nur 28 % der Organisationen formell definierte Aufsichtsrollen für AI-Governance. Das Advancing Responsible AI Innovation Playbook 2025 des World Economic Forum ergab, dass weniger als 1 % der Organisationen verantwortungsvolle AI-Governance vollständig operationalisiert haben. Der EU AI Act, Artikel 99, sieht Bussen von bis zu 7 % des weltweiten Jahresumsatzes oder 35 Millionen Euro für Verstösse gegen verbotene AI-Praktiken vor. Laut dem ModelOp 2025 AI Governance Benchmark Report setzen nur 14 % der Organisationen AI-Assurance-Praktiken auf Unternehmensebene durch. Der IAPP AI Governance Profession Report (2025) ergab, dass nur 1,5 % der Organisationen glauben, über ausreichendes Personal für AI-Governance zu verfügen.
Häufig gestellte Fragen
Was ist ein AI-Governance-Framework und warum ist es wichtig?
Ein AI-Governance-Framework liefert die organisatorische Struktur — Richtlinien, Rollen, Prozesse und Tools —, die nötig ist, um AI-Risiken zu steuern und regulatorische Pflichten wie den EU AI Act zu erfüllen. Ohne ein solches Framework drohen Organisationen fragmentierte Aufsicht, uneinheitliche Risikobeurteilungen und potenzielle Bussen von bis zu 7 % des weltweiten Jahresumsatzes nach Verordnung (EU) 2024/1689, Artikel 99.
Wann treten die Pflichten für Hochrisiko-Systeme nach dem EU AI Act in Kraft?
Die Pflichten für Hochrisiko-AI-Systeme nach dem EU AI Act werden am 2. August 2026 durchsetzbar. Verbote für AI-Praktiken mit inakzeptablem Risiko gelten seit dem 2. Februar 2025. Organisationen, die Hochrisiko-AI-Systeme einsetzen, müssen bis zum Durchsetzungsdatum über Konformitätsbewertungen, technische Dokumentation und Risikomanagementsysteme verfügen.
Welche Sanktionen drohen bei Verstössen gegen den EU AI Act?
Der EU AI Act sieht eine gestaffelte Sanktionsstruktur vor. Verstösse gegen verbotene AI-Praktiken werden mit Bussen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet. Verstösse bei Hochrisiko-AI-Systemen können Bussen von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes nach sich ziehen. Die Übermittlung falscher Informationen an Behörden kann zu Bussen von bis zu 7,5 Millionen Euro oder 1 % des Umsatzes führen.
Wie verhält sich das NIST AI RMF zum EU AI Act?
Das NIST AI Risk Management Framework ist ein freiwilliges US-Framework, während der EU AI Act eine verbindliche Verordnung ist. Viele Organisationen nutzen jedoch die Govern-Map-Measure-Manage-Struktur des NIST AI RMF als operatives Rückgrat, das sich auf die Anforderungen des EU AI Act abbilden lässt. Die Ausrichtung auf beide reduziert Doppelarbeit und stärkt die rechtsraumübergreifende Governance.
Warum scheitern tabellenbasierte Ansätze für AI-Governance?
Tabellen fehlt es an automatisierten Workflows, Audit-Trails, Versionskontrolle, gesellschaftsübergreifender Transparenz und Rezertifizierungsplanung. Laut der Analyse von McKinsey aus dem Jahr 2025 erfüllte das manuelle Compliance-System eines Finanzinstituts nur 75 % der Anforderungen, bevor die Automatisierung die Compliance auf über 95 % anhob. Für Organisationen, die AI-Systeme über mehrere Tochtergesellschaften hinweg verwalten, schaffen Tabellen inakzeptable Lücken in der Aufsicht.
Was ist ISO/IEC 42001 und wie unterstützt es die AI-Governance?
ISO/IEC 42001:2023 ist die erste internationale zertifizierbare Norm für AI-Managementsysteme. Sie liefert Anforderungen für die Festlegung von Richtlinien, die Zuweisung von Verantwortlichkeiten, das Management AI-bezogener Risiken und die kontinuierliche Verbesserung der AI-Governance. Sie kann als strukturelles Rückgrat eines breiteren AI-Governance-Frameworks dienen, das auch den EU AI Act und das NIST AI RMF adressiert.
Wie viele Organisationen haben ausgereifte AI-Governance-Programme?
Sehr wenige. Das World Economic Forum (2025) berichtet, dass weniger als 1 % der Organisationen verantwortungsvolle AI-Governance vollständig operationalisiert haben. Die IAPP stellte fest, dass nur 28 % definierte Aufsichtsrollen haben, und der Benchmark von ModelOp 2025 zeigt, dass nur 14 % AI-Assurance auf Unternehmensebene durchsetzen. Die Lücke beim Governance-Reifegrad ist eine systemische Branchenherausforderung.
Was ist eine Grundrechte-Folgenabschätzung (FRIA)?
Eine FRIA bewertet, wie ein Hochrisiko-AI-System Grundrechte wie Nichtdiskriminierung, Privatsphäre und Meinungsfreiheit beeinflussen kann. Nach EU AI Act, Artikel 27 müssen Betreiber von Hochrisiko-AI-Systemen, die von öffentlichen Stellen oder in bestimmten sensiblen Kontexten genutzt werden, vor dem Einsatz eine FRIA abschliessen. Sie ergänzt die nach der DSGVO erforderlichen DSFAs.
Vergleich der AI-Governance-Frameworks
| Dimension | NIST AI RMF 1.0 | ISO/IEC 42001:2023 | EU AI Act (2024/1689) |
|---|
| Art | Freiwilliges Framework | Zertifizierbare Norm | Verbindliche Verordnung |
| Rechtsraum | Vereinigte Staaten (globale Anwendung) | International (ISO-Mitgliedsgremien) | Europäische Union (extraterritoriale Reichweite) |
| Kernstruktur | Govern, Map, Measure, Manage | Plan-Do-Check-Act (AIMS) | Risikostufen-Klassifizierung (4 Stufen) |
| Risikoklassifizierung | Kontextbasierte Risikoprofile | Organisationsdefinierte Risikokriterien | Inakzeptabel, hoch, begrenzt, minimal |
| Zertifizierung | Keine formelle Zertifizierung | Durch Dritte zertifizierbar | Konformitätsbewertung (Hochrisiko) |
| Sanktionen | Keine (freiwillig) | Keine (freiwillige Anwendung) | Bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes |
| Folgenabschätzungen | Empfohlen (kontextabhängig) | Erforderlich im AIMS-Geltungsbereich | FRIA für bestimmte Betreiber verpflichtend |
| Geltungsbeginn | Januar 2023 | Dezember 2023 | Gestaffelt: Feb. 2025 – Aug. 2027 |