Wer ist für KI im Unternehmen verantwortlich – und warum diese Frage fast immer falsch beantwortet wird

compliance datenschutz ki ki governance legal tech organisation verantwortung Jan 02, 2026

Verantwortungslogik für KI im Unternehmen mit Fachverantwortung, Kontrolle und Eskalation

Kurzantwort

KI braucht keine neue Rolle. Sie braucht klare Verantwortlichkeit entlang bestehender Zuständigkeiten. Das Risiko entsteht nicht durch fehlende Titel, sondern durch diffuse Verantwortung.

Warum diese Frage immer wieder gestellt wird

Sobald KI produktiv eingesetzt wird, taucht reflexartig dieselbe Frage auf:

Wer ist bei uns eigentlich für KI verantwortlich?

Die typischen Antworten sind bekannt: IT, Datenschutz, Compliance, Legal oder ein neues KI-Gremium.
Alle klingen plausibel. Keine löst das Problem.

Der zentrale Denkfehler

Die implizite Annahme lautet:

KI ist neu, also brauchen wir eine neue Rolle.

Das ist falsch.

KI verändert Entscheidungsprozesse, nicht die Grundlogik von Verantwortung.
Wer heute Verantwortung für KI auslagern will, wiederholt denselben Fehler wie bei Cloud, Outsourcing oder IT-Security.

Was Verantwortung im KI-Kontext wirklich bedeutet

Verantwortung heisst nicht:

Tools auswählen
Richtlinien schreiben
Schulungen durchführen

Verantwortung heisst:

Entscheide treffen
Risiken akzeptieren oder ablehnen
Eskalationen übernehmen
Haftung tragen

Und genau dort wird es unbequem.

Warum es nicht die IT ist

IT verantwortet Systeme, Infrastruktur, Verfügbarkeit und Sicherheit.
Sie verantwortet nicht den Zweck der Nutzung, die inhaltliche Wirkung oder die rechtliche Tragweite von Entscheidungen.

KI ist kein Infrastrukturthema.
Sie wirkt fachlich und nach aussen.

Warum es auch nicht der Datenschutz ist

Datenschutz prüft Personendaten, Transparenz und Rechtsgrundlagen.
Er entscheidet nicht über Geschäftsentscheide, strategische Abwägungen oder Aussenwirkungen.

Datenschutz ist ein Kontrollfilter, kein Steuerungsorgan.

Warum neue KI-Gremien oft scheitern

Viele Organisationen reagieren mit Boards, Taskforces oder Ausschüssen.
Das sieht gut aus. Es verschiebt aber die Kernfrage:

Wer entscheidet im Zweifel?

Wenn niemand allein entscheiden darf, entscheidet faktisch niemand.
Oder alle ein bisschen. Beides ist riskant.

Die funktionale Lösung: Verantwortung folgt der Wirkung

Statt neue Rollen zu erfinden, braucht es eine klare Logik.

Fachverantwortung
Die Stelle, die den Use Case fachlich verantwortet, trägt die Primärverantwortung.
Wer Nutzen will, trägt Risiko.

Kontrollfunktionen
Recht, Datenschutz und Compliance begrenzen und prüfen.
Sie sagen, was geht, was nicht und unter welchen Bedingungen.
Sie entscheiden nicht über den Einsatz.

Eskalationsinstanz
Für Grenzfälle braucht es eine klar benannte Entscheidstelle mit Mandat.
Nicht als Gremium, sondern als Funktion.

Praxisreflexion

Ohne klare Rollen passiert immer dasselbe:
Fachbereiche experimentieren, Kontrollstellen blockieren, Entscheidungen bleiben liegen.

Mit klarer Verantwortung passiert das Gegenteil:
Use Cases kommen voran, Risiken werden sichtbar adressiert, Haftung ist zuordenbar.

Der Unterschied ist nicht Kultur.
Es ist Struktur.

Kurze Einordnung für die Praxis

KI braucht keine neue Rolle
Verantwortung folgt der Wirkung
Kontrolle ist nicht Entscheidung
Eskalation braucht Mandat

Einordnung

KI ist kein Zuständigkeitsproblem.
Sie macht nur sichtbar, wo Verantwortung schon vorher unklar war.

Selbsttest

Ist klar, wer einen KI-Use-Case fachlich verantwortet?
Ist klar, wer stoppt und wer freigibt?
Gibt es eine Stelle, die Grenzfälle entscheidet, ohne sie weiterzureichen?

Wenn nicht, fehlt keine Richtlinie, sondern Verantwortungsarchitektur.