Die Governance.
← WissenSelbstcheck
Wissen/Was ist KI? Und was hat das mit dir zu tun?

Was ist KI? Und was hat das mit dir zu tun?

Du musst kein Technik-Experte sein, um dieses Thema zu verstehen. Du musst nur wissen, was in deinem Unternehmen passiert.

KI ist schon da. Die Frage ist nur, ob du es weißt.

Wenn du einen Chatbot auf deiner Website hast, nutzt du KI. Wenn dein E-Mail-Postfach automatisch Spam aussortiert, nutzt du KI. Wenn dein Bewerbungstool Lebensläufe vorsortiert, nutzt du KI. Wenn dein Wartungssystem dir sagt, wann eine Maschine ausfallen könnte, nutzt du KI.

Das sind keine Zukunftsszenarien. Das ist Alltag in vielen kleinen und mittelständischen Unternehmen. Oft eingeführt, weil es praktisch war. Selten hinterfragt, ob es Regeln dafür gibt.

Aus meiner täglichen Arbeit als AI Consultant kenne ich das gut. Ich baue für Unternehmen Workflows, die Bewerbungen automatisch kategorisieren. Ich richte E-Mail-Systeme ein, die Kundenanfragen erkennen und an die richtige Abteilung weiterleiten, ohne dass jemand jede einzelne Mail lesen muss. Ich implementiere Chatbots, die Kundenfragen beantworten, bevor ein Mensch eingreifen muss.

All das ist Künstliche Intelligenz, oder kurz: AI. Und all das braucht Regeln.

Wie KI überhaupt entstanden ist

Künstliche Intelligenz ist keine Erfindung der letzten Jahre. Die Idee, Maschinen das Denken beizubringen, ist fast 70 Jahre alt. Aber der Weg dahin war alles andere als geradlinig. Es gab Phasen der Euphorie, gefolgt von Enttäuschungen, und dann wieder Durchbrüche, die niemand erwartet hatte. Wer versteht, woher KI kommt, versteht auch besser, wo wir heute stehen.

Die Anfänge: Eine Idee wird geboren (1950er bis 1970er)

Im Sommer 1956 trafen sich Wissenschaftler an der Dartmouth-Universität in den USA und prägten zum ersten Mal den Begriff "Artificial Intelligence". Die Idee war groß: Maschinen sollten lernen, Probleme lösen und Sprache verstehen, genau wie Menschen. In den folgenden Jahren entstanden erste Programme, die einfache Spiele spielten oder logische Aufgaben lösten. 1966 entwickelte Joseph Weizenbaum ELIZA, ein Programm, das Gespräche simulierte und dabei so überzeugend war, dass manche Menschen glaubten, sie sprächen mit einem echten Therapeuten.

Die Euphorie war riesig. Forscher sagten voraus, dass Maschinen innerhalb einer Generation menschliche Intelligenz erreichen würden. Was folgte, war etwas anderes.

Der KI-Winter: Ernüchterung (1970er bis 1980er)

Die Versprechen hielten nicht, was sie versprachen. Die Computer waren zu langsam, die Datenmengen zu klein, die Methoden zu begrenzt. Regierungen kürzten die Forschungsgelder. In der Wissenschaft sprach man vom "AI Winter", einer Phase, in der das Interesse an Künstlicher Intelligenz fast vollständig erlosch.

Was viele heute vergessen: Dieser Winter dauerte mehr als ein Jahrzehnt. Die Idee war nicht falsch. Aber die Technik war noch nicht so weit.

Die Renaissance: Daten und Rechenpower ändern alles (1990er bis 2010er)

Zwei Dinge änderten sich grundlegend. Erstens: Computer wurden schneller, und zwar nicht ein bisschen, sondern um Größenordnungen. Zweitens: Das Internet brachte Daten in Mengen, die vorher undenkbar waren. Fotos, Texte, Suchbegriffe, Einkaufsverhalten. Plötzlich hatten Algorithmen genug Material, um echte Muster zu erkennen.

1997 schlug IBMs Deep Blue den Schachweltmeister Garri Kasparow. Das war ein Medienereignis, aber technisch noch kein Machine Learning im heutigen Sinne. Der eigentliche Wendepunkt kam 2012, als ein neuronales Netz namens AlexNet zeigte, dass sogenanntes Deep Learning Bilder besser erkennen konnte als alle bisherigen Methoden. Das war der Moment, ab dem die Industrie aufmerkte.

Der Durchbruch: Generative AI wird alltagstauglich (2017 bis heute)

2017 veröffentlichten Forscher bei Google eine neue Architektur namens "Transformer". Diese Idee veränderte alles. Auf dieser Grundlage entstanden Large Language Models (LLMs), also große Sprachmodelle, die Texte verstehen und generieren können, die von menschlichen kaum zu unterscheiden sind.

2022 wurde ChatGPT veröffentlicht und erreichte in zwei Monaten hundert Millionen Nutzer. Plötzlich war Generative AI, oft abgekürzt als GenAI, in aller Munde. Jeder konnte mit KI arbeiten, ohne Programmierkenntnisse, ohne teure Software. Gleichzeitig wurde klar: Wenn KI so mächtig und so verbreitet ist, braucht es Regeln.

2023 veröffentlichte die ISO den Standard 42001 für AI Management Systeme, kurz AIMS. 2024 trat der EU AI Act in Kraft, die weltweit erste umfassende KI-Regulierung. Und 2025 wurden die ersten Unternehmen nach ISO 42001 zertifiziert.

Die Technologie ist angekommen. Jetzt geht es um die Frage, wie wir sie verantwortungsvoll einsetzen. Genau da setzt ISO 42001 an.

Wie KI lernt

Du musst nicht programmieren können, um das zu verstehen. Aber es hilft zu wissen, wie diese Systeme ticken. Es gibt im Wesentlichen vier Wege, wie eine KI lernt. Die englischen Fachbegriffe begegnen dir überall, deshalb lernst du sie hier gleich mit.

Supervised Learning: Lernen mit Beispielen

Du zeigst dem System hunderte Fotos von guten Bauteilen und hunderte von schlechten. Jedes Foto hat ein Label: gut oder schlecht. Irgendwann kann das System selbst entscheiden, was gut und was schlecht ist. Das ist Supervised Learning, also überwachtes Lernen. Das Entscheidende: Jedes Trainingsbeispiel bringt die richtige Antwort mit.

Das steckt zum Beispiel hinter einer automatischen Qualitätskontrolle in der Fertigung. Oder hinter einem Spam-Filter, der über Monate gelernt hat, welche Mails unerwünscht sind. Je mehr gelabelte Beispiele, desto besser das Ergebnis.

Unsupervised Learning: Muster finden ohne Anleitung

Manchmal gibt man dem System einfach einen großen Haufen Daten ohne jede Sortierung. Keine Labels, keine richtigen Antworten. Das System sucht eigenständig nach Strukturen und Gruppen. Das nennt man Unsupervised Learning, also unüberwachtes Lernen.

Das nutzen Unternehmen zum Beispiel, um Kunden in Segmente einzuteilen, ohne vorher festzulegen, welche Segmente es geben soll. Oder um Anomalien in Sensordaten zu erkennen, die auf einen Defekt hindeuten könnten. Die Maschine findet Zusammenhänge, die dem Menschen im Datenberg entgehen.

Reinforcement Learning: Lernen durch Ausprobieren

Das System probiert verschiedene Aktionen aus und bekommt Rückmeldung. Belohnung für gute Ergebnisse, Bestrafung für schlechte. Wie ein Kind, das lernt, Fahrrad zu fahren: Am Anfang fällt es oft hin, aber mit jedem Versuch wird es sicherer. Der Fachbegriff dafür ist Reinforcement Learning, also bestärkendes Lernen.

Das steckt hinter Robotern, die lernen, Pakete zu greifen, oder hinter Systemen, die eine Fertigungsreihenfolge optimieren.

Semi-Supervised Learning: Lernen mit wenig Hilfe

Ein Mix aus Supervised und Unsupervised Learning. Das System bekommt ein paar gelabelte Beispiele und dazu viele ungelabelte Daten. Aus beidem zusammen macht es sich ein Bild.

Das ist besonders nützlich, wenn du nicht genug sortierte Beispiele hast. Zum Beispiel bei der Klassifizierung von Verträgen, wenn du nur zwanzig gelabelte Muster hast, aber tausende unsortierte Dokumente im Archiv.

Narrow AI vs. General AI: Wo wir wirklich stehen

In Diskussionen über KI fallen oft Begriffe wie "starke KI" oder "superintelligent". Das ist wichtig einzuordnen.

Narrow AI ist KI, die eine bestimmte Aufgabe sehr gut kann. Deine Qualitätskontrolle kann Bauteile sortieren, aber sie kann nicht deine E-Mails schreiben. Dein Chatbot kann Kundenfragen beantworten, aber er kann keinen Schichtplan erstellen. Alles, was heute in Unternehmen im Einsatz ist, ist Narrow AI.

General AI, auch Artificial General Intelligence oder AGI genannt, wäre eine KI, die jede intellektuelle Aufgabe eines Menschen erledigen könnte. Flexibel, selbstlernend, breit einsetzbar. Das existiert nicht. Es ist ein Forschungsziel, kein Produkt. Wenn dir jemand General AI verkaufen will, sei skeptisch.

Auch GenAI, also Generative AI, ist trotz ihres beeindruckenden Outputs eine Form von Narrow AI. ChatGPT kann Texte schreiben, aber es kann kein Auto steuern. Midjourney kann Bilder generieren, aber es kann keine Buchhaltung machen. Beeindruckend, aber spezialisiert.

Wie selbstständig ist deine KI?

Das ist die Frage, die für die Governance den größten Unterschied macht. Nicht jede KI ist gleich autonom. Und je autonomer sie ist, desto mehr Verantwortung trägst du als Unternehmen.

Stufe 1: Decision Support

Die KI liefert Informationen. Du schaust drauf und entscheidest selbst, was du damit machst. Zum Beispiel ein Dashboard, das dir die Auslastung deiner Maschinen anzeigt. Die KI bereitet Daten auf, aber sie handelt nicht.

Stufe 2: Recommendation

Die KI analysiert eine Situation und schlägt eine Handlung vor. Aber du entscheidest. Zum Beispiel: "Basierend auf den Sensordaten empfehlen wir, die Wartung an Linie 3 auf nächste Woche vorzuziehen." Du kannst den Vorschlag annehmen oder ignorieren.

Stufe 3: Automated Decision mit Human Oversight

Die KI handelt automatisch. Ein Mensch kann korrigieren, muss es aber nicht aktiv tun. Zum Beispiel eine Qualitätskontrolle, die fehlerhafte Teile automatisch aussortiert. Ein Prüfer steht daneben und kann die Entscheidung übersteuern, aber im Normalfall läuft das System allein.

Stufe 4: Fully Autonomous

Die KI handelt ohne menschliche Kontrolle. Das kommt in kleinen und mittleren Unternehmen selten vor, aber es gibt Fälle. Zum Beispiel ein Bewerbungstool, das Kandidaten automatisch ablehnt, ohne dass ein Mensch die Absage vorher sieht.

Der EU AI Act und ISO 42001 stellen an Stufe 3 und 4 deutlich höhere Anforderungen als an die ersten beiden Stufen. Wenn deine KI autonome Entscheidungen trifft, die Menschen betreffen, brauchst du mehr Dokumentation, mehr Monitoring und eine nachvollziehbare Begründung für jede Entscheidung.

Die Rollen im KI-Ökosystem

person

AI Subject

AI Provider

Stellt KI-Plattform bereit

AI Producer

Entwickelt das KI-System

AI Customer

Kauft/nutzt KI

AI User

Bedient das System

AI Partner

Liefert Daten/Komponenten

Wenn KI in einem Unternehmen eingesetzt wird, gibt es klar definierte Rollen. ISO 42001 stellt je nach Rolle unterschiedliche Anforderungen. Dein Unternehmen kann auch mehrere Rollen gleichzeitig haben.

AI Provider

Das ist das Unternehmen, das dir die KI-Lösung bereitstellt. Das kann ein großes Technologieunternehmen sein, ein spezialisiertes Startup oder ein Systemhaus, das eine Lösung für dich konfiguriert hat.

AI Producer

Das ist, wer die KI tatsächlich gebaut und trainiert hat. Das kann der AI Provider sein, muss es aber nicht. Vielleicht hat dein internes Data-Science-Team ein eigenes Modell entwickelt. Dann seid ihr selbst der AI Producer.

AI Customer

Das seid ihr. Ihr setzt die KI ein, ihr profitiert davon, und ihr tragt die Verantwortung für den Einsatz in eurem Kontext. Auch wenn der Provider das System gebaut hat, liegt die Verantwortung für den konkreten Einsatz bei euch.

AI User

Das sind die Menschen in deinem Unternehmen, die täglich mit dem System arbeiten. Deine Schichtleiter, deine Sachbearbeiter, deine Qualitätsprüfer. Sie müssen wissen, wie das System funktioniert und wann sie eingreifen sollen.

AI Subject

Das ist die Gruppe, die am häufigsten vergessen wird, und gleichzeitig die wichtigste in ISO 42001. AI Subjects sind die Menschen, über die deine KI Entscheidungen trifft oder aus deren Daten sie Schlüsse zieht.

Wenn dein Bewerbungstool Lebensläufe vorsortiert, sind die Bewerber AI Subjects. Wenn dein Chatbot Kundenbeschwerden kategorisiert, sind die Kunden AI Subjects. Wenn dein Schichtplaner die Arbeitszeiten optimiert, sind deine Mitarbeiter AI Subjects.

Diese Gruppe steht im Zentrum vieler Anforderungen, weil sie oft keine Wahl hat. AI Subjects wissen manchmal nicht einmal, dass eine KI über sie entscheidet. Genau deshalb fordert ISO 42001, dass du sie identifizierst und ihre Interessen berücksichtigst.

AI Partner

Das sind Unternehmen, die Komponenten, Daten oder Integrationen zuliefern. Dein Cloud-Provider, dein Datenlieferant, dein Integrator. Sie sind Teil der KI-Lieferkette und müssen im Scope berücksichtigt werden.

Drei Situationen aus meinem Arbeitsalltag

Damit das nicht abstrakt bleibt, hier drei typische Szenarien. Alle drei begegnen mir regelmäßig, und bei allen drei stellt sich die Frage nach Governance.

Der Chatbot auf der Website

Ein mittelständisches Unternehmen führt einen Chatbot ein, der häufig gestellte Kundenfragen beantwortet. Der Chatbot läuft als Cloud-Service bei einem externen AI Provider. Die Trainingsdaten stammen aus dem FAQ-Bereich der Website und aus historischen Kundenanfragen. Kunden wissen nicht immer, dass sie mit einer KI sprechen.

Aus Sicht von ISO 42001 muss der Chatbot transparent sein. Kunden müssen erkennen können, dass sie mit KI interagieren. Die Verantwortung dafür liegt beim AI Customer, also beim Unternehmen, das den Chatbot einsetzt, nicht beim AI Provider. Außerdem muss die Schnittstelle zum Provider dokumentiert werden: Wer hat Zugriff auf die Gesprächsdaten? Was passiert, wenn der Provider sein Modell aktualisiert?

Die E-Mail-Triage

Eingehende E-Mails werden automatisch analysiert und an die zuständige Abteilung weitergeleitet. Die KI liest Betreff und Inhalt und ordnet ein: Beschwerde, Bestellung, Rückfrage, Sonstiges.

Das klingt harmlos, aber es birgt Risiken. Was passiert, wenn eine dringende Beschwerde falsch zugeordnet wird und drei Tage im falschen Postfach liegt? Das ist ein messbares Risiko, das dokumentiert und überwacht werden muss. ISO 42001 fordert, dass du solche Risiken im Rahmen deines AI Risk Assessment erkennst und Treatment-Maßnahmen definierst.

Die HR-Vorauswahl

Ein Bewerbungstool sortiert eingehende Bewerbungen vor. Die KI bewertet Lebensläufe anhand bestimmter Kriterien und erstellt ein Ranking. Die Personalabteilung schaut sich nur die ersten zwanzig Prozent an.

Das ist aus Governance-Sicht einer der kritischsten Use Cases. Die Bewerber sind AI Subjects. Der EU AI Act stuft KI im Recruiting als High-Risk-System ein. Die Kriterien, nach denen die KI sortiert, müssen transparent und nachvollziehbar sein. Es muss geprüft werden, ob das System bestimmte Gruppen systematisch benachteiligt, was man als AI Bias bezeichnet. Und es braucht Human Oversight, also eine menschliche Kontrollinstanz, die im Zweifel eingreifen kann.

Braucht mein Unternehmen jetzt ein AIMS?

Die ehrliche Antwort: Es kommt auf deine Situation an.

Wenn du KI einsetzt, die automatisch Entscheidungen trifft, die Menschen betreffen, dann ist ein AI Management System nicht nur sinnvoll, sondern wird in vielen Fällen bald Pflicht. Wenn du in einer regulierten Branche arbeitest, zum Beispiel Automotive, Medizintechnik oder Finanzdienstleistungen, dann werden deine Kunden und Partner Nachweise für verantwortungsvolle KI-Governance verlangen. Wenn heute schon jemand fragt, wie ihr mit KI umgeht, ist es Zeit zu handeln.

Aber selbst wenn nichts davon auf dich zutrifft, hilft ein strukturierter Rahmen. Nicht weil du musst, sondern weil du dann weißt, was du tust. Weil du dokumentiert hast, wer verantwortlich ist. Weil du nachweisen kannst, dass du dir Gedanken gemacht hast, bevor etwas schiefgeht.

Genau das ist ISO/IEC 42001. Kein Bürokratie-Monster. Ein Framework, das Klarheit schafft. Und ein Standard, den du jetzt schon freiwillig nutzen kannst, bevor er für deine Branche verpflichtend wird.

Was genau ist ISO 42001?Selbstcheck: Bin ich betroffen?

Begriffe in diesem Artikel: Artificial Intelligence (AI), Machine Learning, Deep Learning, Supervised Learning, Unsupervised Learning, Reinforcement Learning, Semi-Supervised Learning, Generative AI (GenAI), Large Language Model (LLM), Narrow AI, General AI (AGI), AI Provider, AI Producer, AI Customer, AI User, AI Subject, AI Partner, AI Bias, Human Oversight, High-Risk System, AI Risk Assessment, AIMS (AI Management System), EU AI Act

Nächster →

Was ist ISO 42001? Der Standard, der Ordnung in deine KI bringt.