KI ist mächtig. Ohne klare Regeln wird sie toxisch. Diese Toxizität ist kein technischer Fehler, sondern meist ein Governance-Versagen.
Im Jahr 2025 kann ein falsch kalibriertes Modell innert Stunden einen globalen Reputationsschaden auslösen. Kein Sektor ist ausgenommen. Kein Verwaltungsrat kann sich davon entbinden.
Die meisten Vorfälle mit KI entstehen nicht durch Technikversagen, sondern durch ethische oder organisatorische Blindstellen: unkontrollierte Datensätze, verzerrte Algorithmen, falsch verstandene Anwendungen oder fehlende Einwilligung.
Das Beunruhigende: Oft entstehen diese Risiken nicht aus böser Absicht, sondern weil die richtigen Fragen nicht gestellt werden.
Hier ein Schnelltest mit 4 Fragen. Zu stellen im VR. Zu diskutieren im Strategieausschuss. Zu verankern in Ihren Referenzdokumenten.
Intransparenz ist der grösste Auslöser für Vertrauensverlust und eine direkte ethische Schwachstelle. Eine KI, die auf unklaren Daten basiert oder ohne eindeutigen Zweck eingesetzt wird, entzieht sich der Kontrolle. Was Sie nicht erklären können, können Sie im Ernstfall nicht verteidigen.
Punkte zur Kontrolle:
- Herkunft der Daten (intern, Open Data, Drittanbieter) ist dokumentiert.
- Zweckbindung klar definiert: Für welche Aufgabe? In welchem Rhythmus?
- Umgang mit sensiblen Daten entspricht DSG und ist durch interne Richtlinien geregelt.
Umsetzung in der Praxis:
- Fordern Sie ein zentrales Datenregister für KI-Flüsse (zugänglich für VR und Datenschutzbeauftragte).
- Implementieren Sie ein Rückverfolgbarkeitsschema, das jede KI-Funktion mit ihren Datenquellen verknüpft.
- Testen Sie die Fähigkeit des Unternehmens, ein Transparenz-Fact-Sheet zu erstellen: 1 Seite, öffentlich lesbar, in klarer Sprache erklärt, welche Daten genutzt werden und wofür.
Empfohlenes Tool: "Fact Sheets for AI" (MIT-IBM) – ein standardisiertes Profil für KI-Systeme, vergleichbar mit Beipackzetteln bei Medikamenten.
Ein Algorithmus lernt aus den Daten, die man ihm gibt. Enthalten diese einen Bias, wird er übernommen. Oft sind solche Verzerrungen unsichtbar für Entwickler, aber riskant für Gesellschaft, Recht und Reputation.
Punkte zur Kontrolle:
- Historische Daten mit strukturellen Verzerrungen (Geschlecht, Herkunft, Standort).
- Undurchsichtige Lernprozesse oder fehlende Auditierung.
- Keine Tests auf Fairness oder Repräsentativität.
Umsetzung in der Praxis:
- Integrieren Sie Ethik-Tests in jedes KI-Projekt (Fairness, Diskriminierung, Robustheit).
- Binden Sie ein interdisziplinäres Gremium für Risikoanalysen ein.
- Richten Sie eine automatische Alarmfunktion ein, wenn sich die Performance je nach Nutzergruppe unterscheidet.
Empfohlene Tools: "Fairlearn" (Microsoft) und "AI Fairness 360" (IBM) – Open-Source-Bibliotheken zur Erkennung und Korrektur von Bias.
Ein zentraler Risikofaktor ist nicht die Technik, sondern der soziale Widerstand: Anwendungen ohne oder gegen den Willen der Betroffenen. Selbst wenn rechtlich korrekt, kann fehlende wahrgenommene Einwilligung Ablehnung auslösen.
Punkte zur Kontrolle:
- Daten ursprünglich für andere Zwecke erhoben?
- Kein klarer Widerspruchskanal vorhanden?
- Vollautomatisierte Entscheidungen ohne Information oder Wahlmöglichkeit für Nutzer?
Umsetzung in der Praxis:
- Entwickeln Sie ein kontextsensitives Einwilligungsverfahren: kurz, verständlich, ohne Fachjargon.
- Bieten Sie eine einfache Opt-out-Option.
- Schaffen Sie ein Recht, den Algorithmus zu hinterfragen (Kontaktperson oder klare Schnittstelle).
Best Practice: Das "Explainable Consent"-Modell des britischen NHS – jede KI-Anwendung gegenüber Patientinnen und Patienten wird transparent erklärt und mit Einwilligung verknüpft.
Eine KI ohne Governance ist eine Black Box. Sie kann eine Zeitlang funktionieren. In der Krise übernimmt aber niemand die Verantwortung. Ein verantwortungsvoller VR sorgt für klare Zuständigkeit, Kontrolle und externe Verifikation.
Punkte zur Kontrolle:
- Kein KI-Verantwortlicher in der Organisation benannt.
- Kritische algorithmische Entscheidungen ohne menschliche Prüfung.
- Keine externe Überprüfung sensibler Systeme.
Umsetzung in der Praxis:
- Ernennen Sie einen **KI-Governance-Beauftragten** (z. B. CDO, CIO, DPO) mit klarem Mandat.
- Fordern Sie alle 12 bis 18 Monate ein externes Audit für kritische Systeme.
- Integrieren Sie KI-Risiken in die regulären Risikoberichte, gleichrangig zu Cyber oder regulatorischen Risiken.
Nützlicher Standard: ISO/IEC 42001 (2023) – die erste internationale Managementnorm für KI-Systeme. Ein wertvoller Rahmen für die interne Steuerung.
Fazit: KI-Ethik beginnt im Verwaltungsrat
Ethik ist kein Zusatz. Sie ist ein Hebel für Vertrauen. Und Vertrauen ist ein strategisches Kapital.
Verwaltungsräte, die sich diesen 4 Fragen stellen, werden nicht zu KI-Experten. Aber sie handeln verantwortungsvoll, vorausschauend und im Einklang mit den Erwartungen ihrer Stakeholder.
Das Wichtigste auf einen Blick:
- Was Sie nicht erklären können, können Sie nicht verteidigen.
- Was Sie nicht prüfen können, können Sie nicht verbessern.
- Was niemand hinterfragt, wird nicht akzeptiert.
- Was nicht geregelt ist, entgleitet Ihnen.
Checkliste für Ihre nächste VR-Sitzung:
- Haben wir eine klare Übersicht über alle KI-Anwendungen im Unternehmen?
- Ist eine verantwortliche Person für KI-Governance benannt?
- Wurde ein unabhängiges Audit für kritische Modelle durchgeführt?
- Können betroffene Nutzer nachvollziehen, was die KI entscheidet?
- Wurden mögliche Bias-Quellen getestet oder nur vermutet?
Und Sie? Haben Sie Ihre Antworten bereit, bevor ein Journalist, ein Kunde oder eine Aufsichtsbehörde die Fragen stellt?