Der Ordner, den niemand öffnet
In vielen Mittelstandsbetrieben gibt es inzwischen ein Dokument mit dem Titel „KI-Richtlinie". Es liegt auf einem Laufwerk, hat 28 bis 40 Seiten, wurde einmal von einer Kanzlei oder einem externen Dienstleister erstellt, vom Geschäftsführer abgenickt und seitdem nicht mehr geöffnet. Es regelt akribisch, was verboten ist. Und es hat in der täglichen Arbeit ungefähr die Wirkung eines Aushangs, den alle unterschrieben, aber niemand gelesen hat.
Ich treffe dieses Dokument fast überall, wo KI ernsthaft eingesetzt wird. Und ich treffe fast überall denselben Effekt: Die Mitarbeiter wissen, dass es „irgendwo eine Richtlinie gibt". Was darin steht, weiß keiner. Also entscheidet im Zweifel jeder selbst, meistens nach Bauchgefühl, manchmal nach dem, was gerade praktisch ist. Genau das, was die Richtlinie verhindern sollte, passiert trotzdem, nur unsichtbar.
Diese Unternehmen haben nicht zu wenig Governance. Sie haben die falsche Art.
Warum Verbots-Governance scheitert
Die meisten KI-Richtlinien sind als Verbotsliste gebaut. Sie zählen auf, was man nicht darf: keine Kundendaten in öffentliche Chatbots, keine personenbezogenen Daten ohne Freigabe, keine vollautomatischen Entscheidungen ohne Prüfung. All das ist richtig. Aber als Steuerungsinstrument für den Alltag taugt eine Verbotsliste aus drei Gründen nicht.
Erstens deckt sie nie alles ab. KI verändert sich schneller, als jede Verbotsliste nachgepflegt werden kann. Kaum ist das Dokument fertig, gibt es einen neuen Dienst, eine neue Funktion, einen neuen Anwendungsfall, der nicht vorgesehen ist. Der Mitarbeiter, der vor einer nicht geregelten Situation steht, findet in der Liste keine Antwort, und entscheidet allein.
Zweitens erzeugt sie Angst statt Urteilsvermögen. Wer nur Verbote kennt, lernt nicht, gute Entscheidungen zu treffen. Er lernt, nichts zu tun, was Ärger machen könnte. Sie wollen Mitarbeiter, die KI sinnvoll und sicher einsetzen. Was Sie bekommen, sind Mitarbeiter, die KI aus Vorsicht meiden und heimlich doch nutzen.
Drittens veraltet sie sofort. Eine 40-seitige Richtlinie ist ein Foto eines Moments. Sobald sich Tools, Modelle oder Prozesse ändern, und das tun sie ständig, stimmt das Foto nicht mehr mit der Wirklichkeit überein. Niemand hat Lust, ein 40-Seiten-Dokument vierteljährlich zu überarbeiten. Also bleibt es, wie es ist, und driftet immer weiter von der Realität weg.
Eine Verbotsliste ist statisch in einer Welt, die sich bewegt. Sie kann gar nicht funktionieren.
Was eine KI-Verfassung stattdessen ist
Eine Verfassung ist kein Gesetzbuch. Sie ist kurz. Sie hält die Prinzipien fest, aus denen sich Einzelfälle ableiten lassen, und nicht jeden Einzelfall selbst. Eine Staatsverfassung regelt nicht, ob ein bestimmtes Geschäft am Sonntag öffnen darf. Sie legt die Grundsätze fest, an denen sich solche Fragen entscheiden. Genau diese Logik brauchen Sie für KI.
Eine KI-Verfassung für ein mittelständisches Unternehmen passt im Kern auf eine Seite. Sie beantwortet wenige, aber tragende Fragen, und zwar so, dass ein Mitarbeiter sie versteht und im Zweifel selbst anwenden kann.
Lieber eine Seite gelebte Prinzipien als 40 Seiten Richtlinie im Ordner.
Fünf Bereiche gehören hinein.
Daten: Was darf wohin?
Die wichtigste Frage überhaupt. Sie gehört als Prinzip mit klaren Stufen formuliert, nicht als Liste einzelner Verbote. Zum Beispiel: Öffentliche Informationen dürfen in jedes Werkzeug. Interne, aber unkritische Informationen dürfen nur in geprüfte, vertraglich abgesicherte Dienste. Personenbezogene oder geschäftskritische Daten dürfen nur in klar benannte, dafür freigegebene Systeme, oder gar nicht nach außen.
Wenn ein Mitarbeiter diese drei Stufen verstanden hat, kann er auch eine Situation einordnen, die im Dokument gar nicht steht. Das ist der entscheidende Unterschied zur Verbotsliste. Er bekommt ein Urteilsraster statt einer Aufzählung.
Rollen: Wer darf was entscheiden?
KI verschiebt Verantwortung, wenn man nicht aufpasst. Plötzlich „entscheidet" ein Modell, welche Bewerbung weiterkommt oder welcher Kunde welches Angebot bekommt. Eine Verfassung hält fest, wer im Unternehmen welche Art von KI-gestützter Entscheidung treffen, und verantworten, darf. Wer darf einen neuen KI-Workflow produktiv schalten? Wer darf ein Modell an Kundendaten lassen? Wer entscheidet, dass ein Ergebnis ungeprüft hinausgeht?
Freigaben: Wann muss ein Mensch drüberschauen?
Das Herzstück. Für jede relevante KI-Nutzung sollte klar sein, ob ein Mensch das Ergebnis freigeben muss, bevor es Wirkung entfaltet. Ein KI-Entwurf für eine interne Notiz braucht keine Freigabe. Eine KI-generierte Antwort, die ungeprüft an einen Kunden geht, braucht eine. Eine KI-gestützte Entscheidung mit rechtlicher oder finanzieller Folge braucht sie zwingend.
Dieser Punkt ist kein Bürokratie-Selbstzweck. Er ist die Stelle, an der menschliche Verantwortung im KI-Einsatz verankert wird, und an der der EU AI Act ohnehin Pflichten kennt, etwa zur menschlichen Aufsicht.
Werte: Wonach handeln wir, wenn die Regel schweigt?
Hier kommt der eigentliche Verfassungsgedanke ins Spiel. Welche Werte gelten, wenn keine konkrete Regel greift? Transparenz gegenüber Kunden, wenn KI im Spiel war. Fairness, wenn ein Modell Menschen bewertet. Sorgfalt, bevor ein Ergebnis als Fakt behandelt wird. Diese Werte machen die Verfassung anwendbar, auch in Situationen, die niemand vorhergesehen hat. Sie sind die Antwort auf das Problem, das jede Verbotsliste hat: Sie können nicht alles regeln. Aber Sie können sagen, woran man sich orientiert, wenn die Regel schweigt.
Rote Linien: Was tun wir nie?
Wenige, klare, nicht verhandelbare Grenzen. Keine vollautomatische Entscheidung über Menschen ohne menschliche Kontrolle. Keine vertraulichen Daten in ungeprüfte Dienste. Keine KI-Inhalte, die als menschlich ausgegeben werden, wo das täuscht. Drei bis fünf rote Linien, die jeder im Schlaf aufsagen kann, wirken stärker als dreißig Verbote, die niemand kennt.
Tool-unabhängig formulieren
Der häufigste Fehler bei KI-Richtlinien: Sie sind an konkreten Produkten festgemacht. „Bei der Nutzung von [Produkt X] gilt …" Das veraltet schon beim Schreiben. Modelle und Anbieter wechseln im Halbjahrestakt. Eine Verfassung, die an einem Tool hängt, hängt damit am falschen Haken.
Formulieren Sie deshalb auf der Ebene von Datenkategorien, Entscheidungstypen und Freigabestufen, und nicht auf der Ebene von Produktnamen. „Personenbezogene Daten gehören nur in freigegebene Systeme" gilt, egal welches Werkzeug morgen im Einsatz ist. „Keine Kundendaten in Tool Y" gilt nur, bis Tool Y abgelöst wird, und lässt zugleich offen, was mit dem Nachfolger ist.
Das ist dieselbe Logik, die ein KI-Betriebssystem insgesamt trägt: Die Methode bleibt, die Tools wechseln. Governance ist eine Schicht dieses Systems, kein nachträgliches Anhängsel. Sie folgt denselben Prinzipien wie die Architektur darunter. Wer verstehen will, wie diese Schichten zusammenspielen, findet das hier ausführlicher: Ein KI-Betriebssystem kauft man nicht. Man baut es.
| Verbots-Richtlinie | KI-Verfassung | |
|---|---|---|
| Umfang | 30 bis 40 Seiten | 1 bis 2 Seiten |
| Logik | Aufzählung von Verboten | Prinzipien plus rote Linien |
| Bindung | an konkrete Tools | an Datenklassen und Entscheidungstypen |
| Bei neuer Lage | Lücke, niemand zuständig | ableitbar aus Prinzip |
| Pflege | einmalig, veraltet | versioniert, wächst mit |
| Wirkung im Alltag | Aushang, den keiner liest | Urteilsraster, das man anwendet |
Wie man sie lebt und versioniert
Eine Verfassung, die niemand kennt, ist auch nur ein besseres Dokument im Ordner. Drei Dinge entscheiden, ob sie lebt.
Sie muss bekannt sein. Eine Seite kann man in einem Teammeeting durchgehen. Vierzig kann man nicht. Genau das ist der Vorteil der Kürze: Sie lässt sich tatsächlich vermitteln, und das wiederholt, nicht nur einmal. Jeder neue Mitarbeiter bekommt sie am ersten Tag, als kurzes Gespräch statt als Anhang im Arbeitsvertrag.
Sie muss versioniert sein. Behandeln Sie die Verfassung wie ein Dokument mit Versionsnummer und Datum. Jede Änderung bekommt einen kurzen Vermerk, warum sie kam. Das klingt technisch, ist aber der Kern: Eine Verfassung, die mitwächst, braucht eine nachvollziehbare Geschichte ihres Wachsens. So sieht man in einem Jahr, warum eine Regel entstanden ist, und kann sie wieder streichen, wenn ihr Anlass weg ist.
Sie muss einen Eigentümer haben. Eine Person, nicht eine Abteilung, ist dafür verantwortlich, dass die Verfassung aktuell bleibt. Diese Person sammelt die Fälle, in denen die Verfassung geschwiegen hat, und bringt sie in einem festen Rhythmus zur Klärung. Aus „das war nicht geregelt" wird so beim nächsten Mal ein Prinzip. Das ist der Mechanismus, durch den Governance mitwächst, statt zu veralten.
So entsteht aus einem statischen Foto ein lebendiges System: Die Verfassung verändert sich, weil die Wirklichkeit sich verändert. Aber sie tut es bewusst, dokumentiert und in kleinen Schritten, statt im seltenen Großprojekt „Richtlinie neu schreiben".
Der EU AI Act ist das Mindestmaß, nicht das Ziel
Viele Geschäftsführer behandeln Governance als Compliance-Übung: Was schreibt das Gesetz vor, und wie erfülle ich es mit möglichst wenig Aufwand? Das ist verständlich, aber zu kurz gedacht. Der EU AI Act definiert Pflichten, etwa zur KI-Kompetenz der Mitarbeiter und zur menschlichen Aufsicht. Diese Pflichten sind das Mindestmaß, das Sie ohnehin erfüllen müssen.
Eine gute KI-Verfassung erfüllt diese Pflichten nebenbei, weil sie dieselben Fragen aus eigenem Interesse beantwortet: Wer ist befähigt, wer gibt frei, wo schaut ein Mensch drüber. Wer Governance nur als Gesetzeserfüllung baut, bekommt das Minimum und sonst nichts. Wer sie als Werkzeug der eigenen Steuerung baut, bekommt die Gesetzeserfüllung gratis dazu, und obendrauf ein Unternehmen, das KI sicherer und schneller einsetzt als der Wettbewerb, der noch über Verbotslisten grübelt.
Governance als Befähigung, nicht als Bremse
Der entscheidende Perspektivwechsel ist dieser: Governance verhindert KI nicht. Sie macht KI im großen Stil möglich.
Ohne klare Verfassung traut sich entweder niemand etwas, dann bleibt das Potenzial liegen. Oder jeder macht, was er will, dann entsteht Risiko, das irgendwann teuer wird. Eine knappe, gelebte Verfassung löst beides auf einmal: Sie gibt den Mitarbeitern den Rahmen, innerhalb dessen sie ohne Rückfrage handeln dürfen. Innerhalb der Linien herrscht Freiheit. Das beschleunigt, statt zu bremsen.
Ein Team, das weiß, welche Daten in welche Systeme dürfen, wann es selbst entscheiden darf und wann ein Mensch freigeben muss, arbeitet schneller und ruhiger als ein Team, das bei jeder Frage nachfragen muss oder im Verbotsnebel stochert. Das ist der Punkt, an dem Governance vom Kostenfaktor zum Wettbewerbsvorteil wird.
Wo Sie anfangen
Sie brauchen kein Großprojekt. Sie brauchen einen Nachmittag, an dem Sie die fünf Bereiche, Daten, Rollen, Freigaben, Werte, rote Linien, für Ihr Unternehmen auf einer Seite beantworten. Roh, unfertig, in Ihren eigenen Worten. Diese erste Fassung ist nie perfekt. Sie muss es nicht sein. Sie muss nur existieren, gelten und versioniert sein, und dann mit jedem realen Fall, der sie auf die Probe stellt, ein Stück präziser werden.
Wenn Sie wissen wollen, wo Ihr KI-Einsatz heute steht und welche Governance-Lücken im Alltag wirklich offen sind, ist ein nüchterner Digital-Realitäts-Check der schnellste Weg zu einer ehrlichen Bestandsaufnahme. Und wenn Sie aus dieser Bestandsaufnahme heraus eine erste tragfähige Verfassung samt erstem KI-Use-Case aufsetzen wollen, zeigt der KI-Sprint, wie aus Prinzipien in wenigen Wochen ein gelebtes Stück KI-Betriebssystem wird, Governance inbegriffen statt nachgereicht.