AI-Governance

AI-Governance-Framework: Von der Richtlinie zur operativen Compliance

Aktualisiert 2026-06-22
Das Wichtigste auf einen Blick: Priverion ist eine in der Schweiz gehostete Plattform, die Organisationen mit mehreren Gesellschaften dabei unterstützt, AI-Governance über Tochtergesellschaften und Rechtsräume hinweg zu operationalisieren — abgedeckt sind der EU AI Act, das NIST AI RMF und ISO 42001.

Ihre Organisation führt AI schneller ein, als Ihre Governance Schritt halten kann. Richtlinien existieren auf dem Papier, aber niemand verantwortet die Risikobeurteilungen. DSFAs stecken in Tabellen fest. Und da die Pflichten für Hochrisiko-Systeme des EU AI Act im August 2026 in Kraft treten, ist «wir kümmern uns später darum» keine Option mehr.

Sie brauchen ein AI-Governance-Framework, das nicht in einem PDF verstaubt. Eines, das in Ihren täglichen Compliance-Betrieb über jede Gesellschaft, jede Tochtergesellschaft und jeden Rechtsraum hinweg eingebettet ist, den Sie verwalten.

Checkliste zum AI-Governance-Framework herunterladen

Bis zu 7 %

des weltweiten Jahresumsatzes als Busse
nach dem EU AI Act, Artikel 99

Nur 28 %

der Organisationen haben formell definierte
Aufsichtsrollen für AI-Governance

IAPP 2024 Governance Survey

Aug. 2026

Pflichten für Hochrisiko-AI-Systeme
werden EU-weit durchsetzbar

Umsetzungszeitplan des EU AI Act

Vertrauen von über 50 Organisationen mit mehreren Gesellschaften in ganz Europa, darunter Finanzdienstleister, Pharma und kritische Infrastruktur.

In der Schweiz entwickelt. In der Schweiz gehostet. Europäische Datenresidenz garantiert.

Trusted by 50+ privacy teams across 14 countries
Healthcare
Aviation
Energy
Legal
Technology
Zurzach logo
AXA logo
Open Medical logo
Glencore logo
Pilatus logo
Liferay logo
CareerFairy logo
Voicepoint logo
Kellerhals Carrard logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Liferay logo
CareerFairy logo
Zurzach logo
Voicepoint logo
Open Medical logo
Kellerhals Carrard logo
AXA logo
Aclaris logo
Avantec logo
Diakonie Bethanien logo
Warum Frameworks scheitern

Sie haben kein AI-Governance-Problem. Sie haben ein Operationalisierungsproblem.

Die meisten Organisationen laden ein Framework herunter, betrauen jemanden mit dessen «Verantwortung» — und dann passiert in der Breite nichts. Das Framework lebt in SharePoint. Risikobeurteilungen erfolgen ad hoc. Einen Rezertifizierungszyklus gibt es nicht. Hier ist, warum die Lücke zwischen Richtlinie und Praxis immer grösser wird.

Weniger als 1 %

der Organisationen haben verantwortungsvolle AI-Governance vollständig operationalisiert

World Economic Forum, Advancing Responsible AI Innovation Playbook, 2025

Die Lücke zwischen Framework und Umsetzung

Organisationen laden NIST-AI-RMF-Leitlinien herunter, ordnen sie ISO 42001 zu und verfassen interne Richtlinien. Dann verstauben diese Dokumente auf gemeinsamen Laufwerken. 81 % der Unternehmen verharren in den beiden frühesten Reifegraden der AI-Governance, ohne einen systematischen Prozess, um von der Absicht zur Umsetzung zu gelangen. Die Lücke ist nicht das Wissen, sondern die operative Infrastruktur.

WEF/Accenture-Umfrage unter 1'500 Unternehmen, 2025

67 %

der Unternehmen verwalten Gesellschaften in drei oder mehr Rechtsräumen

Athennian 2025 Global Entity Management Report

Komplexität bei mehreren Gesellschaften vervielfacht das Risiko

Jede Tochtergesellschaft oder Geschäftseinheit setzt unter Umständen eigenständig AI-Tools ein. Es gibt kein zentrales Inventar. Keine einheitliche Risikoklassifizierung. Keine Möglichkeit, einer Aufsichtsbehörde eine konzernweite Aufsicht nachzuweisen. Bei multinationalen Organisationen behindern überkomplexe Governance-Strukturen über zahlreiche Tochter- und Regionalgesellschaften hinweg die Compliance-Bemühungen erheblich.

McKinsey, RegTech-Analyse 2025

Bis zu 7 %

des weltweiten Jahresumsatzes als Busse bei Verstössen gegen den EU AI Act

EU AI Act, Artikel 99 (Verordnung (EU) 2024/1689)

Die regulatorischen Risiken sind real

Verstösse gegen verbotene AI-Praktiken können Bussen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes nach sich ziehen, je nachdem, welcher Betrag höher ist. Sanktionen für Verstösse bei Hochrisiko-AI-Systemen erreichen 15 Millionen Euro oder 3 %. Da die Durchsetzung verbotener AI-Praktiken bereits seit Februar 2025 gilt, ist «wir kümmern uns später darum» keine Option mehr.

Durchsetzung seit 2. Februar 2025; volle Anwendbarkeit ab 2. August 2026

Tabellen-Syndrom: Warum heutige Tools versagen

Wenn Ihre AI-Governance heute auf Excel-Trackern, Word-Vorlagen, E-Mail-Ketten und SharePoint-Ordnern beruht, sind Sie damit nicht allein. Diese Tools wurden nicht für gesellschaftsübergreifende Compliance-Workflows mit Audit-Trails, automatisierter Rezertifizierung und prüfungssicherem Reporting gebaut. Sie brechen unter dem Gewicht multinationaler Anforderungen zusammen.

Finanzinstitute, die auf manuelle Compliance-Systeme setzen, erfüllen oft nur einen Bruchteil ihrer Pflichten und sind damit einem höheren Risiko von Sanktionen und operativer Ineffizienz ausgesetzt. Das Altsystem einer US-Bank erfüllte lediglich 75 % der Anforderungen, bevor die Automatisierung die Compliance auf über 95 % anhob.

McKinsey, Trusted AI Compliance-Analyse, 2025

Die Governance-Lücke in Zahlen

Nur 28 %

der Organisationen haben formell definierte Aufsichtsrollen für AI-Governance

IAPP AI Governance Survey, 2024

Nur 14 %

setzen AI-Assurance-Praktiken auf Unternehmensebene durch

ModelOp 2025 AI Governance Benchmark Report

Nur 1,5 %

der Organisationen glauben, über ausreichendes Personal für AI-Governance zu verfügen

IAPP AI Governance Profession Report, 2025

Wenn Sie dies lesen und denken «vielleicht zwei dieser Probleme haben wir gelöst», sind Sie damit nicht allein. Die Frage lautet: Was ist der schnellste Weg von Ihrem heutigen Stand zu einer Governance, die einer regulatorischen Prüfung standhält?

Checkliste zum AI-Governance-Framework herunterladen
Echte Ergebnisse, echte Kunden

Die Zahlen hinter smarterem Datenschutzmanagement

200+

Stunden gespart bei der ISO-27001-Vorbereitung

Während die meisten Organisationen 6 bis 12 Monate für die Zertifizierung aufwenden, verkürzte Medtec die Vorbereitungszeit dank automatisierter Nachweissammlung und prüfungssicherer Dokumentation drastisch.

Medtec, ISO-27001-Vorbereitung

60 %

Geringere Kosten als Enterprise-Plattformen

Enterprise-Datenschutzplattformen können jährlich im mittleren bis hohen sechsstelligen Bereich kosten, mit Preisen, die nach Modul, Nutzerzahl und Domain skalieren. Das vorhersehbare, unternehmensbasierte Preismodell von Priverion beseitigt Expansionsfallen und versteckte Zusatzgebühren.

Basierend auf Priverion vs. typischem Pricing von Enterprise-Datenschutzplattformen (Vendr-Benchmark-Daten, Februar 2026)

3 Mte.

Dem Zeitplan voraus bei ISO 27001

Die ISO-27001-Zertifizierung dauert in der Regel 3 bis 12 Monate. Mit vordefinierten Massnahmen-Frameworks und automatisierten Nachweispaketen erreichen Priverion-Kunden die Audit-Bereitschaft Monate vor dem Branchendurchschnitt.

Ergebnis des Kunden Medtec; Branchen-Zeitleiste gemäss ISO 27001-Zertifizierungs-Benchmarks

Die 6 Säulen

Sechs Säulen operativer AI-Governance

Ein Framework funktioniert nur, wenn es sich auf den täglichen Compliance-Betrieb abbilden lässt. Diese sechs Säulen unterscheiden eine PDF-Richtlinie von einem Governance-Programm, das über jede Gesellschaft Ihres Konzerns hinweg einer regulatorischen Prüfung standhält.

01

AI-System-Inventar und Risikoklassifizierung

Sie können nicht steuern, was Sie nicht sehen. Jedes AI-System über jede Tochtergesellschaft hinweg muss inventarisiert, nach Risikostufe klassifiziert (inakzeptabel, hoch, begrenzt, minimal gemäss EU AI Act) und mit dem Geschäftsprozess verknüpft werden, den es unterstützt. Ohne dies raten Sie bei Ihrem Risiko.

Wie Priverion hilft:

Das AI-Register bietet ein zentrales, gesellschaftsübergreifendes Inventar aller AI-Systeme mit automatisierter Risikoklassifizierung, ausgerichtet am Vier-Stufen-Modell des EU AI Act. Jedes System ist mit der verantwortlichen Gesellschaft, der Verarbeitungstätigkeit und der Risikobeurteilung verknüpft.

02

Folgenabschätzungen: DSFA, TIA und FRIA

Hochrisiko-AI-Systeme erfordern dokumentierte Folgenabschätzungen vor dem Einsatz. Das bedeutet DSFAs für die Verarbeitung personenbezogener Daten, Transfer Impact Assessments für grenzüberschreitende Datenflüsse und Grundrechte-Folgenabschätzungen, wo der EU AI Act sie verlangt. Manuelles Verfassen über mehr als 10 Gesellschaften hinweg ist nicht skalierbar.

Wie Priverion hilft:

Die AI-gestützte Erstellung von DSFA und TIA generiert strukturierte erste Entwürfe mit Risiko-Scoring und regulatorischer Zuordnung. Jedes Ergebnis wird von einem Menschen geprüft, bevor es zum Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.

03

Verantwortlichkeit und Governance-Rollen

Der EU AI Act verlangt, dass Anbieter und Betreiber von Hochrisiko-AI-Systemen spezifische Compliance-Rollen benennen. Dennoch haben nur 28 % der Organisationen formell definierte Aufsichtsrollen für AI-Governance (IAPP 2024). Ohne klare Verantwortlichkeit zersplittert die Rechenschaftspflicht über die Tochtergesellschaften hinweg.

Wie Priverion hilft:

Das Dashboard für Datenschutzbeauftragte bietet operative Aufsicht über alle Gesellschaften mit klaren Rollenzuweisungen, Eskalations-Workflows und vorstandsreifem Compliance-Reporting. Jedes AI-System ist mit einem verantwortlichen Owner verknüpft.

04

Risikomanagement für Lieferanten und Dritte im AI-Bereich

Ihre Drittlieferanten setzen AI in Tools ein, die Sie täglich nutzen: HR-Screening, Kundenservice-Chatbots, Betrugserkennung. Nach dem EU AI Act teilen Betreiber die Verantwortung für Hochrisiko-AI-Systeme, selbst wenn die AI von einem Dritten entwickelt wurde. Ihre Lieferanten-Risikobeurteilungen müssen AI-spezifische Risiken abdecken.

Wie Priverion hilft:

Lieferanten-Risikobeurteilungen umfassen AI-spezifische Due-Diligence-Fragebogen, automatisierte Nachfassaktionen und zentrales Tracking. Zurzach Care erreichte mit den Workflows von Priverion eine 100-prozentige Abdeckung bei der Lieferanten-Risikobeurteilung.

05

Kontinuierliches Monitoring und Rezertifizierung

AI-Governance ist kein einmaliges Projekt. AI-Systeme entwickeln sich weiter, Modelle driften, Vorschriften ändern sich. Ohne automatisierte Rezertifizierungszyklen verschlechtert sich Ihre Compliance-Lage mit der Zeit. AXA erreichte mit vollautomatisierten Workflows eine 100-prozentige Rezertifizierungsquote beim Verarbeitungsverzeichnis und bewies damit, dass kontinuierliche Compliance operativ machbar ist.

Wie Priverion hilft:

Automatisierte Rezertifizierungszyklen für Verarbeitungsverzeichnis, DSFAs und Lieferantenbeurteilungen über alle Konzerngesellschaften hinweg. Das Tracking regulatorischer Änderungen hält Beurteilungen aktuell, wenn sich Vorschriften weiterentwickeln. Der Datenschutzbeauftragte eines Flugzeugherstellers konzentriert sich nun auf strategische Datenschutzarbeit, statt den Geschäftseinheiten hinterherzulaufen.

06

Audit-Bereitschaft und regulatorisches Reporting

Wenn eine Aufsichtsbehörde Nachweise zu Ihrem AI-Governance-Programm anfordert, müssen Sie diese in Stunden statt Wochen vorlegen können. Das bedeutet strukturierte Dokumentation, vollständige Audit-Trails und Nachweispakete, die die Compliance über jede Gesellschaft und jeden Rechtsraum hinweg belegen.

Wie Priverion hilft:

Erstellen Sie in Minuten prüfungssichere Nachweispakete für Aufsichtsbehörden. Vorstandsreife Compliance-Dashboards geben CISOs und Rechtsteams Echtzeit-Transparenz über die konzernweite Compliance-Lage. Medtec sparte allein bei der ISO-27001-Vorbereitung über 200 Stunden.

Diese sechs Säulen sind nicht theoretisch. Sie bilden sich direkt auf die Pflichten ab, die im August 2026 in Kraft treten. Die Frage ist, ob Sie Ihre Governance auf operativer Infrastruktur oder auf Tabellen aufbauen.

Vollständige Framework-Checkliste herunterladen
Priverion vs. OneTrust

Warum Mid-Market-Teams zu Priverion wechseln

Da sich die kumulierten DSGVO-Bussen mittlerweile auf über 7,1 Milliarden Euro belaufen und in Europa täglich 443 Verletzungsmeldungen eingehen, sollte Ihre Compliance-Plattform Ihre Arbeit vereinfachen, nicht zusätzliche Komplexität schaffen. So schneidet Priverion bei Datenschutzprogrammen mit mehreren Gesellschaften im Vergleich zu OneTrust ab.

Quelle: DLA Piper GDPR Fines and Data Breach Survey, Januar 2026

Priverion

Gebaut für Mid-Market-Teams mit mehreren Gesellschaften

  • Schweizer Datensouveränität, garantiert

    Alle Daten werden innerhalb Schweizer Infrastruktur verarbeitet und gehostet. Die Schweiz verfügt über einen EU-Angemessenheitsbeschluss, sodass Ihre grenzüberschreitenden Übermittlungen auf der bestmöglichen rechtlichen Grundlage starten.

  • Einsatzbereit in Wochen, nicht Monaten

    Ein Flugzeughersteller ging in seinen ersten 6 Monaten von Tabellen zur automatisierten Rezertifizierung des Verarbeitungsverzeichnisses über und reduzierte den administrativen Compliance-Aufwand um 60 %. Keine wochenlangen Konfigurations-Sprints erforderlich.

    Flugzeughersteller, erste 6 Monate

  • Vorhersehbare Preise, keine Modulfalle

    Preise basierend auf der Anzahl Unternehmen und der Organisationsgrösse. Nicht pro Nutzer, nicht pro Modul. Keine überraschenden Expansionsgebühren bei der Verlängerung.

  • All-in-One-Datenschutzplattform

    Verarbeitungsverzeichnis, DSFA/TIA, Lieferantenrisiko, Incident-Management, Bearbeitung von Betroffenenanfragen, AI-Register und prüfungssichere Nachweispakete in einer einzigen Plattform. Keine Zusatzmodule zu erwerben.

  • AI-gestützt, menschlich kontrolliert

    AI hilft beim Entwurf von DSFAs, beim Bewerten von Risiken und beim Zuordnen von Vorschriften. Jedes Ergebnis wird geprüft, bevor es zum Compliance-Nachweis wird. Es werden keine Kundendaten für das Modelltraining verwendet.

  • Tiefgehende Integrationen, die zählen

    Über diese Seite — Quellen, Definitionen und FAQ

    Das Wichtigste auf einen Blick

    Ein wirksames AI-Governance-Framework geht über statische PDF-Richtlinien hinaus und bettet Risikoklassifizierung, Folgenabschätzungen, Verantwortungsstrukturen und kontinuierliches Monitoring in den täglichen Compliance-Betrieb ein. Da die Hochrisiko-Pflichten des EU AI Act ab dem 2. August 2026 durchsetzbar sind, benötigen Organisationen, die mehrere Gesellschaften und Rechtsräume verwalten, eine zentrale, automatisierte Governance-Infrastruktur. Weniger als 1 % der Organisationen haben verantwortungsvolle AI-Governance vollständig operationalisiert, und nur 28 % haben formell definierte Aufsichtsrollen. Priverion bietet eine in der Schweiz gehostete Plattform, die speziell für AI-Compliance über mehrere Gesellschaften hinweg konzipiert ist.

    Definitionen

    Was ist ein AI-Governance-Framework?

    Ein AI-Governance-Framework ist ein strukturiertes System aus Richtlinien, Prozessen, Rollen und technischen Massnahmen, das darauf ausgelegt ist, die Entwicklung, den Einsatz und das Monitoring von AI-Systemen in Übereinstimmung mit den geltenden Vorschriften und ethischen Standards zu steuern. Es umfasst in der Regel AI-System-Inventare, Risikoklassifizierung, Folgenabschätzungen (DSFA, TIA, FRIA), Verantwortungszuweisungen und prüfungssichere Dokumentation. Wichtige Referenz-Frameworks sind das NIST AI Risk Management Framework und ISO/IEC 42001.

    Was ist der EU AI Act?

    Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Er klassifiziert AI-Systeme in vier Risikostufen — inakzeptabel, hoch, begrenzt und minimal — und legt Anbietern und Betreibern abgestufte Pflichten auf. Verbote für Praktiken mit inakzeptablem Risiko traten am 2. Februar 2025 in Kraft; die Pflichten für Hochrisiko-Systeme werden am 2. August 2026 durchsetzbar. Volltext: EUR-Lex Verordnung 2024/1689.

    Was ist ISO/IEC 42001?

    ISO/IEC 42001:2023 ist die internationale Norm, die Anforderungen für den Aufbau, die Umsetzung, die Aufrechterhaltung und die kontinuierliche Verbesserung eines Managementsystems für künstliche Intelligenz (AIMS) in Organisationen festlegt. Sie bietet ein zertifizierbares Framework für verantwortungsvolle AI-Governance. Quelle: ISO 42001:2023.

    Was ist das NIST AI Risk Management Framework?

    Das NIST AI RMF 1.0, veröffentlicht im Januar 2023, ist ein freiwilliges Framework, das Organisationen dabei unterstützt, AI-Systeme verantwortungsvoll zu gestalten, zu entwickeln, einzusetzen und zu nutzen. Es ist um vier Kernfunktionen herum aufgebaut: Govern, Map, Measure und Manage. Quelle: NIST AI.

    Was ist eine Grundrechte-Folgenabschätzung (FRIA)?

    Eine Grundrechte-Folgenabschätzung bewertet, wie ein Hochrisiko-AI-System Grundrechte einschliesslich Nichtdiskriminierung, Privatsphäre, Meinungsfreiheit und Zugang zur Justiz beeinflussen kann. Nach dem EU AI Act müssen Betreiber von Hochrisiko-AI-Systemen in bestimmten Kontexten eine FRIA abschliessen, bevor das System in Betrieb genommen wird. Referenz: EU AI Act, Artikel 27.

    Statistiken und Quellen

    Laut der IAPP 2024 AI Governance Survey haben nur 28 % der Organisationen formell definierte Aufsichtsrollen für AI-Governance. Das Advancing Responsible AI Innovation Playbook 2025 des World Economic Forum ergab, dass weniger als 1 % der Organisationen verantwortungsvolle AI-Governance vollständig operationalisiert haben. Der EU AI Act, Artikel 99, sieht Bussen von bis zu 7 % des weltweiten Jahresumsatzes oder 35 Millionen Euro für Verstösse gegen verbotene AI-Praktiken vor. Laut dem ModelOp 2025 AI Governance Benchmark Report setzen nur 14 % der Organisationen AI-Assurance-Praktiken auf Unternehmensebene durch. Der IAPP AI Governance Profession Report (2025) ergab, dass nur 1,5 % der Organisationen glauben, über ausreichendes Personal für AI-Governance zu verfügen.

    Häufig gestellte Fragen

    Was ist ein AI-Governance-Framework und warum ist es wichtig?

    Ein AI-Governance-Framework liefert die organisatorische Struktur — Richtlinien, Rollen, Prozesse und Tools —, die nötig ist, um AI-Risiken zu steuern und regulatorische Pflichten wie den EU AI Act zu erfüllen. Ohne ein solches Framework drohen Organisationen fragmentierte Aufsicht, uneinheitliche Risikobeurteilungen und potenzielle Bussen von bis zu 7 % des weltweiten Jahresumsatzes nach Verordnung (EU) 2024/1689, Artikel 99.

    Wann treten die Pflichten für Hochrisiko-Systeme nach dem EU AI Act in Kraft?

    Die Pflichten für Hochrisiko-AI-Systeme nach dem EU AI Act werden am 2. August 2026 durchsetzbar. Verbote für AI-Praktiken mit inakzeptablem Risiko gelten seit dem 2. Februar 2025. Organisationen, die Hochrisiko-AI-Systeme einsetzen, müssen bis zum Durchsetzungsdatum über Konformitätsbewertungen, technische Dokumentation und Risikomanagementsysteme verfügen.

    Welche Sanktionen drohen bei Verstössen gegen den EU AI Act?

    Der EU AI Act sieht eine gestaffelte Sanktionsstruktur vor. Verstösse gegen verbotene AI-Praktiken werden mit Bussen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet. Verstösse bei Hochrisiko-AI-Systemen können Bussen von bis zu 15 Millionen Euro oder 3 % des weltweiten Umsatzes nach sich ziehen. Die Übermittlung falscher Informationen an Behörden kann zu Bussen von bis zu 7,5 Millionen Euro oder 1 % des Umsatzes führen.

    Wie verhält sich das NIST AI RMF zum EU AI Act?

    Das NIST AI Risk Management Framework ist ein freiwilliges US-Framework, während der EU AI Act eine verbindliche Verordnung ist. Viele Organisationen nutzen jedoch die Govern-Map-Measure-Manage-Struktur des NIST AI RMF als operatives Rückgrat, das sich auf die Anforderungen des EU AI Act abbilden lässt. Die Ausrichtung auf beide reduziert Doppelarbeit und stärkt die rechtsraumübergreifende Governance.

    Warum scheitern tabellenbasierte Ansätze für AI-Governance?

    Tabellen fehlt es an automatisierten Workflows, Audit-Trails, Versionskontrolle, gesellschaftsübergreifender Transparenz und Rezertifizierungsplanung. Laut der Analyse von McKinsey aus dem Jahr 2025 erfüllte das manuelle Compliance-System eines Finanzinstituts nur 75 % der Anforderungen, bevor die Automatisierung die Compliance auf über 95 % anhob. Für Organisationen, die AI-Systeme über mehrere Tochtergesellschaften hinweg verwalten, schaffen Tabellen inakzeptable Lücken in der Aufsicht.

    Was ist ISO/IEC 42001 und wie unterstützt es die AI-Governance?

    ISO/IEC 42001:2023 ist die erste internationale zertifizierbare Norm für AI-Managementsysteme. Sie liefert Anforderungen für die Festlegung von Richtlinien, die Zuweisung von Verantwortlichkeiten, das Management AI-bezogener Risiken und die kontinuierliche Verbesserung der AI-Governance. Sie kann als strukturelles Rückgrat eines breiteren AI-Governance-Frameworks dienen, das auch den EU AI Act und das NIST AI RMF adressiert.

    Wie viele Organisationen haben ausgereifte AI-Governance-Programme?

    Sehr wenige. Das World Economic Forum (2025) berichtet, dass weniger als 1 % der Organisationen verantwortungsvolle AI-Governance vollständig operationalisiert haben. Die IAPP stellte fest, dass nur 28 % definierte Aufsichtsrollen haben, und der Benchmark von ModelOp 2025 zeigt, dass nur 14 % AI-Assurance auf Unternehmensebene durchsetzen. Die Lücke beim Governance-Reifegrad ist eine systemische Branchenherausforderung.

    Was ist eine Grundrechte-Folgenabschätzung (FRIA)?

    Eine FRIA bewertet, wie ein Hochrisiko-AI-System Grundrechte wie Nichtdiskriminierung, Privatsphäre und Meinungsfreiheit beeinflussen kann. Nach EU AI Act, Artikel 27 müssen Betreiber von Hochrisiko-AI-Systemen, die von öffentlichen Stellen oder in bestimmten sensiblen Kontexten genutzt werden, vor dem Einsatz eine FRIA abschliessen. Sie ergänzt die nach der DSGVO erforderlichen DSFAs.

    Vergleich der AI-Governance-Frameworks

    DimensionNIST AI RMF 1.0ISO/IEC 42001:2023EU AI Act (2024/1689)
    ArtFreiwilliges FrameworkZertifizierbare NormVerbindliche Verordnung
    RechtsraumVereinigte Staaten (globale Anwendung)International (ISO-Mitgliedsgremien)Europäische Union (extraterritoriale Reichweite)
    KernstrukturGovern, Map, Measure, ManagePlan-Do-Check-Act (AIMS)Risikostufen-Klassifizierung (4 Stufen)
    RisikoklassifizierungKontextbasierte RisikoprofileOrganisationsdefinierte RisikokriterienInakzeptabel, hoch, begrenzt, minimal
    ZertifizierungKeine formelle ZertifizierungDurch Dritte zertifizierbarKonformitätsbewertung (Hochrisiko)
    SanktionenKeine (freiwillig)Keine (freiwillige Anwendung)Bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes
    FolgenabschätzungenEmpfohlen (kontextabhängig)Erforderlich im AIMS-GeltungsbereichFRIA für bestimmte Betreiber verpflichtend
    GeltungsbeginnJanuar 2023Dezember 2023Gestaffelt: Feb. 2025 – Aug. 2027