Wer ist für KI im Unternehmen verantwortlich?

Sobald KI produktiv eingesetzt wird, taucht in Organisationen reflexartig eine Frage auf: Wer ist bei uns eigentlich für KI verantwortlich? Die typischen Antworten sind bekannt: IT, Datenschutz, Compliance, Legal. Manchmal wird ein neues KI-Komitee gefordert, ein Chief AI Officer ausgerufen oder eine Taskforce eingesetzt. Alle Antworten klingen plausibel. Keine löst das eigentliche Problem.

Warum neue Rollen das Problem nicht lösen

Die implizite Annahme hinter der Frage lautet: KI ist neu, also brauchen wir eine neue Rolle. Das ist falsch. KI verändert Entscheidungsprozesse, nicht die Grundlogik von Verantwortung. Verantwortung entsteht dort, wo Nutzen und Risiko zusammenfallen. Wer einen KI-Use-Case will, trägt das Risiko. Das ist keine neue Erkenntnis. Es ist die älteste Logik des Haftungsrechts.

Wer Verantwortung für KI auslagern will, an eine neue Rolle, an ein Gremium, an einen externen Berater, wiederholt denselben Fehler wie bei der Einführung von Cloud, Outsourcing oder IT-Security. Der Reflex ist verständlich: KI erzeugt Unsicherheit, Unsicherheit erzeugt den Wunsch nach klarer Zuständigkeit, klare Zuständigkeit wirkt ordentlich. Das Problem ist, dass diese Ordnung oft nur auf Papier besteht.

Was Verantwortung im KI-Kontext wirklich bedeutet

Verantwortung heisst nicht: Tools auswählen, Richtlinien schreiben, Schulungen durchführen. Diese Tätigkeiten sind notwendig, aber sie sind keine Verantwortung. Verantwortung bedeutet: Entscheide treffen, Risiken akzeptieren oder ablehnen, Eskalationen übernehmen und im Zweifel für Konsequenzen geradestehen.

Genau dort wird es in der Praxis unbequem. Fachbereiche wollen KI nutzen, aber die Verantwortung soll jemand anderes tragen. Kontrollfunktionen sollen prüfen, aber nicht entscheiden müssen. Die Führungsebene erwartet Ergebnisse, will aber das Risiko nicht explizit übernehmen. In diesem Spannungsfeld entsteht das eigentliche KI-Governance-Problem.

Warum es nicht die IT ist

IT verantwortet Systeme, Infrastruktur, Verfügbarkeit und technische Sicherheit. Das ist ihre Kernkompetenz. Sie verantwortet nicht den Zweck der Nutzung, die inhaltliche Wirkung eines KI-Outputs oder die rechtliche Tragweite von Entscheidungen, die auf KI-Empfehlungen beruhen. KI ist kein Infrastrukturthema. Sie wirkt fachlich und nach aussen.

Wenn die IT Verantwortung für KI übernimmt, weil niemand anderes es will, entsteht ein strukturelles Problem: Die Stelle, die technisch zuständig ist, übernimmt die fachliche und rechtliche Verantwortung, ohne dafür das Mandat, das Wissen und die Autorität zu haben. Das führt zu Reibung, Blockaden und letztlich zum Scheitern von Projekten.

Warum es auch nicht der Datenschutz ist

Datenschutz prüft Personendaten, Transparenz, Rechtsgrundlagen und Schutzmassnahmen. Das ist eine Kontrollfunktion. Datenschutz entscheidet nicht über Geschäftsstrategien, fachliche Abwägungen oder die Frage, ob ein Use Case den erwarteten Nutzen stiftet. Eine Kontrollfunktion, die zur Entscheidungsinstanz wird, verliert ihre Unabhängigkeit und überfordert sich selbst.

Dasselbe gilt für Legal und Compliance. Sie setzen Leitplanken. Sie prüfen Zulässigkeit. Sie verankern Anforderungen. Sie führen nicht. Und Führung ist das, was KI-Projekte brauchen, um voranzukommen.

Warum neue KI-Gremien oft scheitern

Die häufigste institutionelle Antwort auf die Verantwortungsfrage sind KI-Komitees, Boards oder Taskforces. Sie werden mit Vertretern aus IT, Datenschutz, Legal, HR und Fachbereichen besetzt. Auf dem Papier sieht das vollständig aus. In der Praxis ist es oft eine Verlagerung der Frage ohne Antwort.

Das Problem ist strukturell: Wenn niemand allein entscheiden darf, entscheidet faktisch niemand. Gremien können koordinieren, konsultieren und empfehlen. Sie können nicht führen. Wer im Zweifel entscheidet, wenn das Gremium keine Einigung findet, muss klar sein. Und diese Klarheit fehlt meistens.

Die funktionale Lösung: Verantwortung folgt der Wirkung

Statt neue Rollen zu erfinden, braucht es eine klare Logik: Verantwortung folgt der Wirkung. Wer den Use Case fachlich treibt und vom Nutzen profitiert, trägt die Primärverantwortung. Kontrollfunktionen, Datenschutz, Legal und Compliance, begrenzen und prüfen. Sie sagen, was geht, was nicht und unter welchen Bedingungen. Sie entscheiden nicht über den Einsatz selbst.

Für Grenzfälle braucht es eine klar benannte Eskalationsinstanz mit echtem Mandat, nicht als Gremium, sondern als Funktion. Diese Instanz kann eine Person, eine Stelle oder ein klar definierter Entscheidprozess sein. Entscheidend ist, dass sie tatsächlich entscheidet und nicht wieder weiterverweist.

Diese Struktur ist nicht komplex. Sie erfordert vor allem Klarheit darüber, wer im Zweifel einsteht. Das ist unbequem, weil es Verantwortung explizit macht. Aber es ist die einzige Struktur, die in der Praxis funktioniert.

Praxisbeobachtung

In Organisationen ohne klare Verantwortungsarchitektur zeigt sich immer dasselbe Bild: Fachbereiche experimentieren ohne Struktur, Kontrollfunktionen blockieren aus Vorsicht, Entscheidungen bleiben liegen. In Organisationen mit klarer Verantwortungsarchitektur ist das Gegenteil der Fall: Use Cases kommen voran, weil die verantwortliche Stelle Entscheide trifft. Risiken werden sichtbar adressiert, weil die Kontrollfunktionen wissen, woran sie sich orientieren. Haftung ist zuordenbar, weil die Zuständigkeit klar war.

Der Unterschied ist nicht Mut oder Risikobereitschaft. Es ist Struktur.

 Selbsttest

Weiterführende Beratung & Kurse

Sie möchten KI rechtssicher in Ihrer Organisation einführen und nutzen? Dr. David Schneeberger begleitet Kanzleien, Behörden und Rechtsdienste mit Workshops, KI-Rechtsberatung und dem Kurs «Rechtssicher mit KI».