Messenger
Telefon
E-Mail

AI Governance für ProduktverantwortlicheWer haftet für Entscheidungen einer KI und wie werden sie sichtbar?

Warum ist AI Governance plötzlich Chefsache?

Autor: Thomas Kasemir

Die Europäische Union hat mit der KI‑Verordnung einen risikobasierten Rechtsrahmen geschaffen, der seit August 2024 gilt. Dieser teilt KI‑Systeme in Risikokategorien ein und führt für Anbieter, Einführer, Händler und Nutzer strenge Pflichten ein. Für General‑Purpose‑Modelle wie Sprachmodelle und Bildgeneratoren traten ab dem 2. August 2025 zusätzliche Anforderungen in Kraft. Unternehmen müssen offenlegen, wie ihre Modelle trainiert wurden, Nutzer über die Funktionsweise informieren und KI‑generierte Inhalte kennzeichnen. Verstöße können mit Bußgeldern von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes geahndet werden. Diese Summen sind höher als die DSGVO‑Strafen und machen KI‑Compliance zur Führungsaufgabe.

Wer haftet, wenn die Maschine falsch entscheidet?

Eine KI besitzt keine eigene Rechtspersönlichkeit. Bei Schäden haften grundsätzlich die Personen oder Unternehmen, die an der Entwicklung, dem Betrieb oder der Nutzung beteiligt sind. Das Bürgerliche Gesetzbuch regelt, dass Betreiber bei vertraglichen Pflichtverletzungen haften. Hersteller und Entwickler haften nur, wenn das System nicht die vereinbarten Eigenschaften erfüllt oder unzureichende Sicherheitsmaßnahmen den Schaden verursachen.

Die neue EU‑Produkthaftungsrichtlinie 2024/2853 sieht eine verschuldensunabhängige Haftung vor und bezieht neben Herstellern auch Importeure, Lieferanten sowie unter bestimmten Bedingungen Lager‑ und Versanddienstleister ein. Fehlerhafte KI‑Anwendungen sind solche, die nicht die Sicherheit bieten, die Verbraucher erwarten dürfen. Um Geschädigten die Durchsetzung zu erleichtern, kehrt die Richtlinie die Beweislast um. Hersteller und Anbieter müssen nachweisen, dass der Fehler nicht in ihrer Verantwortung liegt. Die Richtlinie muss bis zum 9. Dezember 2026 umgesetzt werden. Ein allgemeiner Haftungsausschluss wie „Für KI‑generierte Ergebnisse haften wir nicht“ ist unwirksam. Die geplante KI‑Haftungsrichtlinie, die den Black‑Box‑Effekt adressieren sollte, wurde im Februar 2025 zurückgezogen. Haftungsfragen werden daher weiterhin auf nationaler Ebene geregelt.

Ist die Haftung auf EU‑Ebene geregelt?

Die KI‑Verordnung unterscheidet zwischen Anbieter und Betreiber eines Systems. Der Anbieter entwickelt oder bringt das System in Verkehr, der Betreiber nutzt es. Beide Rollen tragen unterschiedliche Pflichten bezüglich Transparenz, Risikobewertung und Dokumentation. Neben der KI‑Verordnung arbeitet die EU an einer KI‑Haftungsrichtlinie, doch deren Zukunft ist unklar. Produktverantwortliche sollten sich daher an bestehende Gesetze wie das BGB, die Produkthaftungsrichtlinie und branchenspezifische Vorschriften halten. Sie sollten auch internationale Standards wie ISO/IEC 42001 berücksichtigen, da diese helfen, regulatorische Lücken zu füllen.

Warum brauchen wir eine Governance mit Rollen und Register?

Eine funktionierende KI‑Governance muss nicht nur rechtliche Pflichten erfüllen, sondern Sicherheit, Akzeptanz und Wandel ermöglichen. Ein zentrales KI‑Register schafft Transparenz über alle Systeme und deren Einsatzbereiche. Durch frühzeitige Risikoerkennung und klare Rollen können Vorhaben schneller bewertet und freigegeben werden. Zu den empfohlenen Rollen gehören:

  • Der KI‑Governance‑Owner definiert Prozesse und Rollen, moderiert Schnittstellen zwischen Fachbereichen und begleitet den Kulturwandel.
  • Der KI‑Register‑Owner pflegt das Register, erstellt Berichte und plant Audits.
  • Das KI‑Governance‑Team prüft neue Anwendungen auf rechtliche, ethische, technische und organisatorische Risiken und bewertet Risikoklassen.
  • Das KI‑Governance‑Board trifft die letzte Entscheidungen bei kritischen Systemen und überwacht das Reporting.

Diese Rollen und Gremien helfen, Verantwortlichkeiten zu klären und lassen sich an die Größe des Unternehmens anpassen.

Was bringt das neue ISO/IEC 42001 im Alltag?

Der internationale Standard ISO/IEC 42001:2023 definiert Anforderungen für ein AI‑Management‑System. Er bietet einen strukturierten Rahmen für Governance und hilft Organisationen, Vertrauen aufzubauen und regulatorische Vorgaben zu erfüllen. Die Kernanforderungen umfassen Risikomanagement, Impact‑Assessment, Lebenszyklus‑Management und die Überwachung von Drittanbietern. Der Standard betont ethische Prinzipien wie Fairness und Transparenz und verlangt kontinuierliches Monitoring sowie einen Plan‑Do‑Check‑Act‑Zyklus. Er integriert sich nahtlos in bestehende Sicherheits‑ und Datenschutzstandards wie ISO/IEC 27001 und 27701. Eine ISO 42001‑Zertifizierung demonstriert, dass ein Unternehmen seine KI‑Systeme verantwortungsbewusst entwickelt, betreibt und überwacht.

Wie wird alles dokumentiert?

Die KI‑Verordnung verpflichtet Anbieter, offenzulegen, wie ihre Systeme trainiert werden. Betreiber müssen Nutzer über die Funktionsweise informieren und KI‑generierte Inhalte kennzeichnen. Hochrisiko‑ und GPAI‑Modelle müssen vor dem Marktstart eine Konformitätsbewertung durchlaufen, dies umfasst Risikoanalysen und technische Dokumentationen. Unternehmen sollten interne Richtlinien erstellen, um den Einsatz zu dokumentieren und Transparenz zu schaffen. Ein KI‑Register kann als Tabelle aufgebaut werden und Pflichtfelder wie Systemname, Verantwortliche, Einsatzbereich und Risikokategorie enthalten. Optional lassen sich Felder für Trainingsdaten, verwendete Modelle, Auditvermerke und genehmigende Stellen ergänzen. Durch regelmäßige Audits und Updates bleibt die Dokumentation aktuell.

Was bedeutet das für Produktverantwortliche?

Produktverantwortliche stehen zwischen Geschäftsführung, Entwicklern, Compliance‑Teams und Kunden. Sie müssen:

  • Die KI‑Systeme ihres Portfolios inventarisieren, Risikoklassen gemäß EU‑KI‑Verordnung bestimmen und dokumentieren.
  • Interne Richtlinien und Schulungen für Teams erarbeiten, da Weiterbildungen zur KI‑Kompetenz laut KI‑Verordnung Pflicht sind.
  • Bei der Auswahl von Drittanbietern Verträge prüfen und sicherstellen, dass auch externe Modelle den eigenen Governance‑Standards genügen.
  • Zusammen mit der Rechtsabteilung überprüfen, ob die Produkthaftungs‑ und Datenschutzgesetze eingehalten werden.
  • Proaktiv mit dem KI‑Governance‑Board zusammenarbeiten, um kritische Entscheidungen zu dokumentieren und angemessen zu kommunizieren.

Worauf müssen Teams jetzt achten?

Teams sollten kurzfristig eine Bestandsaufnahme aller eingesetzten KI‑Systeme vornehmen, Risikokategorien zuordnen und ein zentrales Register führen. Für jedes Projekt sollten sie klären, ob sie als Anbieter oder Betreiber gelten und welche Pflichten daraus folgen. Zudem ist es ratsam, die Anforderungen von ISO 42001 in bestehende Management‑Systeme zu integrieren und sich auf die EU‑Produkthaftungsrichtlinie vorzubereiten.

Fazit

Angesichts wachsender regulatorischer Anforderungen ist KI kein Selbstläufer mehr. Ohne klare Governance riskieren Unternehmen nicht nur Geldbußen, sondern auch das Vertrauen ihrer Kunden. Wer frühzeitig Strukturen etabliert, gewinnt aber auch an Tempo. Entscheidungen können schneller und fundierter getroffen werden, weil Rollen und Prozesse vorgegeben sind. Produktverantwortliche sollten die Chance nutzen, als Lotsen zu agieren, statt später nur Schadensbegrenzung zu betreiben.

Dipl.-Ing. Thomas Kasemir

Partner

+49 151 22 66 22 23Kasemir@fup-ag.com
Zum Expertenprofil