KI-Governance: Was Vorstand und Aufsichtsrat jetzt wissen müssen

Lange galt KI als operatives IT-Thema, das man delegiert. Diese Zeit ist vorbei. Rechtlich und strategisch ist KI zur Chefsache geworden — und die Gremien sind darauf erkennbar schlecht vorbereitet. Dieser Überblick ordnet, was Vorstände und Aufsichtsräte jetzt wissen und entscheiden müssen.

Der Rahmen: AI Act und Corporate Governance Kodex

Zwei Entwicklungen machen KI zur Leitungsaufgabe. Der EU AI Act verankert eine KI-Kompetenzpflicht (Art. 4, seit Februar 2025) und stuft viele HR- und Entscheidungsanwendungen als Hochrisiko ein; die Verantwortung lässt sich nicht an ein Tool delegieren. Und der Deutsche Corporate Governance Kodex hat im September 2025 erstmals einen „Praxis-Impuls KI im Aufsichtsrat“ veröffentlicht: KI betrifft den Aufsichtsrat in beiden Funktionen — Beratung und Überwachung. Details: Der EU AI Act trifft HR früher als gedacht und Was der DCGK-Praxis-Impuls verlangt.

Die Lücke: nur 5 % gelten als kompetent

Dem gesetzten Rahmen steht eine ernüchternde Realität gegenüber: Nur rund 5 % der deutschen Aufsichtsräte gelten als KI-kompetent, knapp 60 % geben wenig oder keine Kenntnisse an. Das ist kein Bildungsthema, sondern ein Aufsichtsrisiko: Wer ein wesentliches Risiko nicht beurteilen kann, kann es nicht beaufsichtigen — und genau das verlangt das Aktienrecht (§§ 93, 116 AktG). Mehr: Nur 5 % der Aufsichtsräte gelten als KI-kompetent.

Wer ein Risiko nicht beurteilen kann, kann es nicht beaufsichtigen. Vertrauen ist keine Aufsicht.

Die Lösung: Kompetenzprofil statt Personalie

Die verbreitete Antwort — „wir holen einen Digitalexperten“ — greift zu kurz. Aufsicht ist eine kollektive Leistung. Gefragt ist ein KI-Kompetenzprofil des Gremiums: technisches Grundverständnis bei allen, vertiefte Felder (Regulierung, strategische Bewertung, organisationale Folgen) gezielt besetzt. So wird Aufsichtskompetenz planbar statt zufällig. Siehe Das KI-Kompetenzprofil des Aufsichtsrats.

Der eigentliche Engpass — und die richtigen Fragen

Bei alledem gilt: Der Engpass der KI-Transformation ist selten die Technologie, fast immer das Organisationsdesign — Zuständigkeiten, Entscheidungswege, Verantwortung. Ein Gremium muss das nicht selbst bauen, aber beurteilen können. Gute Aufsicht beginnt deshalb mit den richtigen Fragen an den Vorstand: Wo entsteht Wert, wer haftet, wer kann es, welche Daten? Siehe Der Engpass ist das Organisationsdesign und Zehn Fragen an den Vorstand.

Der Anspruch

KI-Governance ist kein Bürokratie-Akt, sondern die organisierte Form verantwortlicher Führung im KI-Zeitalter — abwägend, fundiert, ohne Hype und ohne Bedenken-Lähmung. Gremien, die jetzt Kompetenz aufbauen und Zuständigkeiten klären, folgen keiner Mode, sondern kommen einer Entwicklung zuvor, die ohnehin verbindlicher wird. Das ist die Aufgabe — und die Chance.

Was ist KI-Governance? Die Verantwortung von Vorstand und Aufsichtsrat für den strategischen, rechtskonformen und nachvollziehbaren Einsatz von KI — ein Organisationsmodell aus Zuständigkeiten, Eskalationswegen und Kultur, kein Compliance-Formular.

Was verlangen EU AI Act und DCGK von Gremien? Der EU AI Act verankert die KI-Kompetenzpflicht (seit Feb 2025) und persönliche Geschäftsleiterverantwortung; der DCGK-Praxis-Impuls (Sept 2025) stellt klar, dass KI den Aufsichtsrat in Beratung und Überwachung betrifft.

Wie wird ein Aufsichtsrat KI-kompetent? Über ein verteiltes KI-Kompetenzprofil des Gremiums: Grundverständnis bei allen, vertiefte Felder gezielt besetzt — und die Fähigkeit, dem Vorstand die richtigen Fragen zu stellen.