KI-Governance fehlt: Warum 74 Prozent keine Kontrolle haben

Im Frühjahr telefonierte ich mit dem Kommunikationsleiter eines mittelständischen Maschinenbauers, einem früheren Kollegen. Stolz berichtete er mir von seiner neuen KI-Strategie: vierzehn Seiten, sauber gegliedert, vom Vorstand abgesegnet. Ich fragte, wer entscheidet, ob ein KI-generierter Pressetext rausgeht. Pause. Dann: "Ich lese nochmal drüber, den Rest verantwortet die Fachabteilung." "Und wer haftet, wenn ein erfundenes Zitat in einer Mitteilung landet?", fragte ich ihn. Längere Pause.

Das ist keine Anekdote vom Einzelfall. Das ist der Normalzustand.

Die Strategie hängt an der Wand, die Kontrolle fehlt im Alltag

KI-Governance ist die ungeliebte Schwester der KI-Strategie. Die Strategie lässt sich präsentieren, sie macht etwas her im Lagebericht. Governance dagegen heißt: Wer darf KI wofür einsetzen, gegen welchen Maßstab wird das Ergebnis geprüft, und wer trägt den Kopf hin, wenn es schiefgeht. Unbequeme Fragen. Genau deshalb werden sie aufgeschoben.

Die Zahlen von KPMG sind eindeutig. Laut der KPMG-Auswertung zur fehlenden KI-Struktur haben 74 Prozent der Unternehmen keine funktionierende KI-Governance. Drei Viertel. Das ist keine Lücke mehr, das ist der Regelfall.

Eine KI-Strategie ohne Governance ist eine Absichtserklärung ohne Verantwortlichen. 69 Prozent der deutschen Unternehmen haben laut KPMG eine KI-Strategie, aber nur 26 Prozent eine Trusted-AI-Strategie, und 59 Prozent der Mitarbeiter nutzen KI entgegen den eigenen Richtlinien.

Warum die Schere zwischen Anspruch und Praxis so weit auseinandergeht

Schauen wir genauer hin. Die KPMG-Pressemitteilung vom Juni 2025 hält fest: 91 Prozent der deutschen Unternehmen sehen KI als wichtiges Thema, 69 Prozent haben eine Strategie. Klingt gut. Nur 26 Prozent verfügen über eine Trusted-AI-Strategie, also über Regeln, die Vertrauen, Prüfung und Verantwortung tatsächlich festlegen.

Die Differenz zwischen 69 und 26 ist der Ort, an dem die meisten Probleme entstehen. Dort steht das Schild "Wir machen jetzt KI", aber niemand hat den Türsteher engagiert.

Und die Mitarbeiter? Die warten nicht. Der KPMG Global Trust Report 2025 zeigt: 59 Prozent nutzen KI entgegen den eigenen Unternehmensrichtlinien. Sie laden Kundendaten in öffentliche Modelle, sie geben KI-Texte ungeprüft frei, sie verschweigen, dass ein Entwurf aus der Maschine stammt. Nicht aus böser Absicht. Aus Pragmatismus, weil ihnen niemand gesagt hat, was erlaubt ist und was nicht.

Compliance-Checklisten lösen das falsche Problem

Jetzt kommen die KI-Beratungen ins Spiel. Sie verkaufen Governance als Paket: Datenreife-Checkliste, Risikomatrix, ein Dokument zur ISO 42001, ein Verzeichnis der eingesetzten Systeme. Alles nützlich. Aber es deckt die Lücke zu, statt sie zu schließen.

Denn die entscheidende Frage bleibt unbeantwortet. Wann ist ein KI-Text gut genug, und wer darf das beurteilen.

Ich sage das seit zwei Jahren, und ich sage es auch hier wieder: Es scheitert die Korrektur, nicht die Datenreife. Eine Pressestelle kann die sauberste Governance-Architektur haben, ein lückenloses Verzeichnis, eine Freigabematrix mit fünf Eskalationsstufen. Wenn am Ende niemand den KI-Entwurf gegen einen redaktionellen Maßstab redigiert, produziert in der schönen Struktur trotzdem Texte, die nur klingen wie Texte. Glatt, plausibel, austauschbar, und gelegentlich mit einem erfundenen Detail darin.

Governance regelt, wer den Knopf drücken darf. Sie sagt nichts darüber, ob das Ergebnis taugt. Das ist eine redaktionelle Frage, keine Compliance-Frage.

Prozesse und Menschen sind zwei Achsen, nicht eine

Hier trennt sich mein Ansatz von der Reifegrad-Massenware, diesen Kurztests mit einem Score von null bis hundert. Die messen Technik. Haben Sie ein Tool, haben Sie eine Richtlinie, Haken dran, Punktzahl steigt.

Nur misst das am Kern vorbei. Ich unterscheide zwei eigene Achsen: die Achse der Prozesse und die Achse der Menschen. Eine Organisation kann hervorragende Prozesse haben, dokumentiert bis ins Detail, und trotzdem keinen einzigen Mitarbeiter, der ein redaktionelles Urteil fällen kann. Oder umgekehrt: ein paar erfahrene Redakteure, aber kein Prozess, der ihr Urteil im Alltag verbindlich macht.

Die schwächste Achse bestimmt die Gesamtstufe. Nicht der Durchschnitt. Das ist der Punkt, den die 0-bis-100-Scores systematisch verfehlen, weil ein Durchschnitt eine starke Achse gegen eine schwache aufrechnet. In der Praxis funktioniert das nicht. Ein brillanter Prozess mit niemandem, der ihn ausfüllt, ist eine leere Schablone.

Die McKinsey-Auswertung State of AI 2025 passt dazu: Nur 39 Prozent der Unternehmen sehen einen messbaren EBIT-Beitrag durch KI. Der Rest investiert und sieht nichts. Eine der Ursachen, die McKinsey benennt, ist fehlende Governance, also fehlende Steuerung dessen, was die KI tatsächlich produziert.

Was ein KI-Verantwortlicher wirklich entscheidet

Wenn ich von einem KI-Verantwortlichen spreche, meine ich nicht den Titel auf der Visitenkarte. Ich meine die Person, die im Zweifel sagt: Dieser Text geht nicht raus.

In einer Pressestelle, mit der ich gearbeitet habe, gab es genau diesen Konflikt. Die KI lieferte eine Mitteilung zur Quartalsbilanz, sprachlich tadellos. Eine Zahl war frei erfunden. Plausibel platziert, im richtigen Format, falsch. Niemand hätte es bemerkt, wäre da nicht eine Redakteurin gewesen, die gegen die Originaldaten geprüft hat, weil ihr der Prozess das vorschrieb und weil sie das Urteil dazu hatte. Beides zusammen. Prozess und Mensch.

Das ist Governance, die wirkt. Nicht das Dokument im Intranet, das niemand liest. Sondern die Verbindung aus einer klaren Regel und einem Menschen, der sie mit Urteil füllt.

Ich gebe offen zu: Diese Verbindung herzustellen ist mühsam, und ich habe sie selbst nicht immer schnell genug hinbekommen. In einem frühen Projekt habe ich zu lange auf den Prozess gesetzt und die Menschen vernachlässigt. Wir hatten eine schöne Freigabekette, aber die Leute, die freigeben sollten, waren überlastet und winkten durch. Das System sah auf dem Papier wasserdicht aus. In der Realität war es ein Stempelautomat.

Eine Freigabe ohne Urteil ist kein Schutz, sondern eine Quittung für Fehler, die niemand mehr aufhält.

Die KI-Richtlinie, die im Unternehmen tatsächlich gelebt wird

Eine KI-Richtlinie für das Unternehmen funktioniert nur, wenn die Mitarbeiter verstehen, warum es sie gibt. Ein Verbotskatalog, der von oben kommt, erzeugt genau die 59 Prozent, die sich daran vorbeimogeln. Wer KI-Nutzung verbietet, ohne eine erlaubte Alternative anzubieten, treibt sie in den Untergrund.

Besser ist eine Richtlinie, die sagt: Hier sind die Werkzeuge, hier ist der Maßstab, hier ist der Mensch, der prüft. Im Mittelstand, gerade dort, lässt sich das pragmatisch lösen, weil die Wege kurz sind. Man braucht keine fünfzehnköpfige Governance-Abteilung. Man braucht eine klare Antwort auf drei Fragen: Wer darf, gegen welchen Maßstab, und wer trägt es.

Die Maschine produziert, der Mensch redigiert gegen einen Maßstab. Das ist das dritte Glied im KI-Prozess, das die meisten überspringen. Governance ohne dieses dritte Glied bleibt Verwaltung von Risiken, die man nie wirklich in den Griff bekommt, weil man am falschen Ende ansetzt.

Vielleicht ist die ehrlichste Frage an Ihre eigene Organisation diese: Wenn morgen ein KI-Text mit einem erfundenen Zitat in der Presse landet, wer wusste vorher, dass er ihn freigegeben hat. Falls Sie auf diese Frage keine Antwort haben, haben Sie keine Governance. Sie haben eine Strategie an der Wand.