Mit der zunehmenden Verbreitung von Künstlicher Intelligenz (KI) in Unternehmen verschiebt sich der Fokus in den Vorstandsetagen: weg von der Einführung, hin zur Governance. Innerhalb eines Jahres hat sich die Nutzung nahezu verdoppelt – von 22 Prozent im Jahr 2025 auf 40 Prozent 2026(1). Die Aufsicht kommt damit jedoch nicht hinterher.
Der Autor: Guru Sethupathy, General Manager of AI Governance bei Optro
(Bild: Optro)
Gleichzeitig fehlt es weiterhin an regulatorischer Klarheit, und für Unternehmen wird es immer schwieriger, neue Vorgaben richtig einzuordnen. Viele Firmen scheuen sich davor, Governance-Strukturen aufzubauen, solange die regulatorischen Erwartungen nicht eindeutig definiert sind. Doch die Geschäftsrisiken wachsen von Tag zu Tag. Die Folge: Immer mehr Unternehmen errichten ihre Programme auf einem instabilen Fundament.
Hinzu kommt ein grundlegenderes Problem: fehlende Transparenz. Laut Optros Risk Intelligence Report haben 95 Prozent der Organisationen in Deutschland KI bereits in zentrale Abläufe integriert (weltweit: 85 Prozent), doch nur 20 Prozent der deutschen Organisationen verfügen über vollständige Transparenz bei der KI-Nutzung ihrer Beschäftigten (Weltweit: 25 Prozent). Unternehmen sollen also Systeme kontrollieren, die sie nur teilweise überblicken und das auf Basis von Anforderungen, die noch nicht abschließend definiert sind. Unter diesen Bedingungen wächst die Governance-Lücke rasant.
Warum klassische Governance in der KI-Realität versagt
Die Einführung von KI erfolgt nur selten zentral gesteuert und von oben nach unten. Stattdessen hält sie über ein chaotisches Zusammenspiel aus integrierten Anbieterfunktionen, nicht autorisierten „Shadow“-Tools und zunehmend auch agentischen Systemen Einzug in Unternehmen, die über MCP eigenständig komplexe Aufgaben ausführen. Ein kleiner Teil davon wird zentral verwaltet und gesteuert, das meiste jedoch nicht.
Mit der wachsenden Nutzung über verschiedene Arbeitsabläufe hinweg bleibt Governance häufig fragmentiert. Was fehlt ist eine Instanz mit vollständigem Überblick und klarer Entscheidungsbefugnis, wenn Risiken auftreten.
Ein deutliches Warnsignal ist der Anstieg sogenannter „Shadow AI“: die Nutzung nicht genehmigter Anwendungen außerhalb formaler Kontrolle. Wie verbreitet dieses Phänomen ist, zeigen Zahlen aus Deutschland: Knapp ein Viertel der MINT-Fachkräfte (23 Prozent) nutzt nicht autorisierte KI-Tools täglich, weitere 29 Prozent mindestens einmal pro Woche, 12 Prozent zumindest monatlich. Das verdeutlicht, wie leicht sich KI im Arbeitsalltag durchsetzt, ohne dass Transparenz, Freigabe oder Kontrolle gewährleistet sind.
Das eigentliche Problem ist jedoch struktureller Natur. Viele Organisationen verlassen sich noch immer auf statische Richtlinien, punktuelle Audits und fragmentierte Berichtswege. Ein Ansatz, der in einer KI-getriebenen Welt nicht mehr ausreicht. Dadurch entsteht ein grundlegendes Ungleichgewicht: Risiken entstehen heute in Echtzeit, mitten in den Arbeitsprozessen, wenn Mitarbeiter mit Systemen interagieren, die eigenständig Inhalte erzeugen, Prozesse anstoßen und Aufgaben autonom ausführen. Die Kontrolle hingegen greift erst außerhalb dieser kritischen Momente: Entscheidungen sind dann oft bereits getroffen, während die Aufsicht von den Orten entkoppelt bleibt, an denen KI-bedingte Risiken tatsächlich entstehen.
Die Kosten mangelhafter Kontrolle sind längst sichtbar
Die Folgen: operative Fehler, Sicherheitsprobleme, beschädigte Datenbestände. Laut Optro berichteten 27 Prozent der Unternehmen in Deutschland (40 Prozent weltweit) über fehlerhafte KI-Ergebnisse im vergangenen Jahr. 27 Prozent meldeten zudem Datenschutzverletzungen im Zusammenhang mit KI. Gleichzeitig gaben 44 Prozent an, Phishing-Angriffe erlebt zu haben, und 42 Prozent berichteten von KI-gestützter Social Engineering. Insgesamt beobachteten 82 Prozent einen Anstieg solcher Angriffe.
Das sind keine Einzelfälle, sondern Hinweise auf systemische Schwächen. Fehlerhafte KI-Ergebnisse führen wiederum zu Fehlentscheidungen und operativen Störungen, Datenlecks zu rechtlichen und reputativen Risiken. Gleichzeitig nutzen Angreifer KI, um ihre Attacken zu skalieren. Und zwar schneller, als viele Governance-Modelle reagieren können.
Governance muss Teil des Arbeitsprozesses werden
Viele Unternehmen sind nicht nur wegen aktueller Vorfälle angreifbar, sondern auch unzureichend auf regulatorische Prüfungen vorbereitet. Nur 38 Prozent in Deutschland (36 Prozent weltweit) sind überzeugt, ein KI-Audit zu bestehen. Und lediglich 34 Prozent bezeichnen ihre Governance als strategisch und kontinuierlich verbessert. Zum Vergleich: In Deutschland liegt dieser Wert mit 43 Prozent deutlich höher.
Das Problem liegt weniger in fehlender Dokumentation als im Design: Zersplitterte Zuständigkeiten, isolierte Richtlinien und nachgelagerte Berichte können mit einer KI-Realität nicht mithalten, die tief in alltägliche Prozesse eingebettet ist.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
KI-Governance muss sich deshalb weiterentwickeln, hin zu einer vernetzten Steuerung über unterschiedliche Richtlinien, Frameworks, Zuständigkeiten und miteinander verflochtene Risiken hinweg. Gleichzeitig braucht es kontinuierliche Überwachung und konsequente Durchsetzung. Richtig umgesetzt wird Governance so vom Bremsklotz zum Beschleuniger: Sie reduziert Unsicherheit und schafft die Grundlage für einen skalierbaren KI-Einsatz.
Fazit
KI ist längst Teil des Unternehmensalltags. Die entscheidende Frage ist nicht mehr, ob sie eingesetzt wird, sondern ob Unternehmen sie ausreichend kontrollieren können, um sie sicher, verantwortungsvoll und in großem Maßstab zu nutzen.
Der nächste Wettbewerbsvorteil entsteht nicht allein durch Zugang zu KI, sondern durch Vertrauen in ihren Einsatz. Dafür braucht es Transparenz, klare Verantwortlichkeiten und Governance, die im Moment der Entscheidung wirkt, nicht erst im Nachhinein.
Unternehmen, die Governance als Kernkompetenz begreifen und nicht als reine Compliance-Aufgabe, werden besser aufgestellt sein: um KI zu skalieren, Risiken zu steuern und sich in einem zunehmend komplexen regulatorischen Umfeld zu behaupten.