Die Governance.
← WissenSelbstcheck
Wissen/Klausel 5: Leadership

Klausel 5: Leadership

Wer trägt die Verantwortung für KI in deinem Unternehmen? Wenn die Antwort "irgendwie alle" oder "der CTO" lautet, hast du ein Problem.

Worum es geht

Klausel 5 dreht sich um drei Fragen:

  1. Steht die Geschäftsführung wirklich hinter dem AIMS?
  2. Gibt es eine AI Policy, die den Namen verdient?
  3. Wer ist wofür verantwortlich?

Das klingt nach Selbstverständlichkeiten. Aber hier passieren die meisten Fehler, weil viele Unternehmen Verantwortung an die falsche Ebene delegieren.

5.1 Leadership and Commitment: Steht die Chefetage dahinter?

Was die Norm verlangt

Das Top-Management muss Führung und Engagement zeigen. Nicht auf dem Papier, sondern erkennbar. Konkret bedeutet das:

Die Geschäftsführung stellt sicher, dass AI Policy und AI Objectives festgelegt werden. Sie sorgt dafür, dass Ressourcen bereitstehen. Sie kommuniziert, warum ein verantwortungsvoller Umgang mit KI wichtig ist. Und sie unterstützt die Menschen, die das AIMS im Alltag betreiben.

Wer ist Top-Management?

In Deutschland sind das die Personen, die eine Organisation auf höchster Ebene leiten und steuern. Geschäftsführung, Vorstand, Inhaber. Nicht der CIO, nicht der CDO, nicht der KI-Beauftragte. Diese Personen können operativ verantwortlich sein, aber die übergeordnete Verantwortung, in der ISO-Sprache die Ultimate Accountability, bleibt immer bei der Geschäftsführung.

Die Ressourcen-Regel

Dieser Punkt wird in Prüfungen gezielt abgefragt: Wer ist für die Bereitstellung von Ressourcen verantwortlich? Die Antwort ist immer: das Top-Management.

Nicht die Finance-Abteilung. Nicht der CIO. Nicht das KI-Team. Finance kann das Budget operativ verwalten, aber die Verantwortung für die Bereitstellung liegt bei der Geschäftsführung. Wenn in deiner Dokumentation steht, dass die Finance-Abteilung die Ressourcen bereitstellt, ist das ein typisches Finding.

Kein Silo, sondern Integration

Die Norm verlangt ausdrücklich, dass das AIMS in die bestehenden Geschäftsprozesse integriert wird. Das bedeutet: KI-Governance ist kein Nebenprojekt, das parallel zum Tagesgeschäft läuft. Es ist Teil davon. Wenn dein AIMS als eigenes Silo existiert, das niemand im Alltag berührt, fehlt die Integration.

So hat es die Musterfirma gemacht: Rollen und Verantwortlichkeiten ansehen

5.2 AI Policy: Deine KI-Richtlinie

Was die Norm verlangt

Das Top-Management muss eine AI Policy festlegen. Diese Policy muss sieben Anforderungen erfüllen. Jede einzelne ist ein eigener Prüfpunkt.

1. Organisationsspezifisch (appropriate to the purpose). Die Policy muss zu deinem Unternehmen passen. Eine generische Vorlage aus dem Internet, die du mit deinem Firmennamen versiehst, reicht nicht. Wenn du ein Maschinenbauer bist, muss die Policy erkennbar auf die Fertigungsindustrie und deine konkreten KI-Systeme Bezug nehmen.

2. Rahmen für AI Objectives (framework for setting objectives). Die Policy muss einen Rahmen bieten, aus dem sich messbare Ziele ableiten lassen. Das ist die Verbindung zu Klausel 6. Wenn deine Policy nur allgemeine Grundsätze enthält, aber keinen Ansatzpunkt für konkrete Ziele, fehlt dieser Rahmen.

3. Commitment zu anwendbaren Anforderungen (applicable requirements). Die Policy muss ein explizites Bekenntnis enthalten, dass ihr die für euch geltenden Anforderungen einhaltet. Das können der EU AI Act, die DSGVO, Branchenstandards oder vertragliche Pflichten sein. Eine vage Formulierung wie "wir halten uns an geltendes Recht" ist zu unspezifisch.

4. Commitment zu kontinuierlicher Verbesserung (continual improvement). Das ist der Punkt, der am häufigsten fehlt. Die Policy muss ausdrücklich sagen, dass sich das AIMS kontinuierlich verbessert. Fehlt dieses Commitment, ist das ein kritisches Finding.

5. Documented Information. Die Policy muss als kontrolliertes Dokument vorliegen. Versioniert, datiert, freigegeben.

6. Intern kommuniziert. Die Policy muss nicht nur existieren, sondern aktiv an alle relevanten Personen kommuniziert sein. Über Intranet, Schulungen, E-Mail, Aushang. Nur im DMS abgelegt reicht nicht.

7. Extern zugänglich (as appropriate). Interessierte Parteien außerhalb deiner Organisation müssen die Policy einsehen können. Das bedeutet nicht, dass du sie auf die Website stellen musst. Aber sie muss auf Anfrage verfügbar sein. Eine Policy, die ausschließlich intern zugänglich ist, erfüllt die Norm nicht.

Was viele falsch machen

Kein Verbesserungs-Commitment. Die vier häufigsten Wörter in einer AI Policy sind "verantwortungsvoll", "transparent", "fair" und "ethisch". Was fast immer fehlt: "Wir verpflichten uns zur kontinuierlichen Verbesserung unseres AI Management Systems."

Accountability beim CTO statt bei der Geschäftsführung. Wenn in der Policy steht, dass der CTO die Gesamtverantwortung trägt, ist das falsch. Der CTO kann operative Aufgaben haben, aber die Ultimate Accountability liegt beim Top-Management.

Nur intern kommuniziert. Viele Unternehmen behandeln die AI Policy als internes Dokument. Die Norm fordert aber externe Zugänglichkeit. Mindestens auf Anfrage.

Zu generisch. "Wir setzen KI verantwortungsvoll ein" steht in jeder zweiten Policy. Aber was heißt das für dein konkretes Unternehmen? Welche KI-Systeme sind gemeint? Welche Branchenanforderungen gelten?

So hat es die Musterfirma gemacht: AI Policy ansehen

5.3 Roles, Responsibilities and Authorities: Wer macht was?

Was die Norm verlangt

Das Top-Management muss sicherstellen, dass Rollen und Verantwortlichkeiten zugewiesen und kommuniziert werden. Dabei gibt es zwei spezifische Verantwortlichkeiten, die explizit zugewiesen werden müssen:

(a) Sicherstellen, dass das AIMS konform ist (ensuring conformity). Jemand muss dafür sorgen, dass das AIMS den Anforderungen der Norm entspricht.

(b) Berichten an das Top-Management (reporting on performance). Jemand muss der Geschäftsführung regelmäßig über den Zustand des AIMS berichten.

Beide Verantwortlichkeiten müssen explizit zugewiesen sein. Nicht implizit ("das macht ja irgendwie der Thomas"), sondern dokumentiert. Und es müssen wirklich beide sein, nicht nur eine davon. Die Norm verwendet bewusst "both a and b".

Die Auditor-Linie

Wenn dein Unternehmen einen internen Auditor für das AIMS hat, muss dessen Unabhängigkeit gewährleistet sein. Das bedeutet: Der Auditor darf nicht seinen eigenen Bereich auditieren, und er sollte nicht in der Berichtslinie derselben Person stehen, die für die AIMS-Konformität verantwortlich ist.

In der Musterfirma ist das so gelöst: Der KI-Beauftragte Thomas Keller trägt die Verantwortlichkeiten (a) und (b) und berichtet an die Geschäftsführung. Der interne Auditor Frank Hofer berichtet direkt an die Geschäftsführung, nicht an Thomas Keller. So ist die Unabhängigkeit sichergestellt.

Was viele falsch machen

Nur allgemeine Verantwortung zugewiesen. "Der CTO ist für KI verantwortlich" reicht nicht. Die Norm fordert die beiden spezifischen Verantwortlichkeiten (a) und (b) explizit.

Conform und Report nicht getrennt. Manche Unternehmen weisen nur Konformität zu, aber nicht die Berichterstattung. Oder umgekehrt. Beides muss benannt sein.

Auditor nicht unabhängig. Wenn der KI-Beauftragte gleichzeitig der interne Auditor ist, fehlt die Unabhängigkeit.

So hat es die Musterfirma gemacht: Org-Chart und Rollen ansehen

Zusammenfassung

| Bereich | Kernfrage | Documented Information? | |---|---|---| | 5.1 Leadership | Steht die Geschäftsführung dahinter? | Nein, aber Evidenz nötig | | 5.2 AI Policy | Gibt es eine KI-Richtlinie? | Ja. Pflicht. | | 5.3 Roles | Wer ist wofür verantwortlich? | Nein, aber muss kommuniziert sein |

Die 5 häufigsten Fehler bei Klausel 5

1. Ressourcen nicht beim Top-Management. Die Geschäftsführung ist immer für Ressourcenbereitstellung verantwortlich. Nicht Finance, nicht IT.

2. Kein Verbesserungs-Commitment in der Policy. Die vier wichtigsten Commitments sind: Zweckbezug, Anforderungserfüllung, Rahmen für Objectives und kontinuierliche Verbesserung. Punkt 4 fehlt fast immer.

3. Policy nur intern. Externe Zugänglichkeit ist Pflicht, mindestens auf Anfrage.

4. CTO statt Geschäftsführung als Accountability. Der CTO kann operativ verantwortlich sein. Die Ultimate Accountability liegt bei der Geschäftsführung.

5. Nur eine der beiden Verantwortlichkeiten zugewiesen. Die Norm fordert beide: (a) Konformität sicherstellen und (b) an die Geschäftsführung berichten. Nicht "eins von beiden".

Weiter: Klausel 6, PlanungZurück zur Übersicht

Begriffe in diesem Artikel: Leadership and Commitment, Top-Management, Ultimate Accountability, AI Policy, Documented Information, AI Objectives, Continual Improvement, Applicable Requirements, Roles and Responsibilities, Conformity, Reporting, Internal Auditor, Independence

← Vorheriger

Klausel 4: Context of the Organization

Nächster →

Klausel 6: Planning