KI als blinder Fleck im Aufsichtsrat: Fünf Fragen, die jetzt auf die Agenda gehören

KI wird inzwischen in vielen Vorständen und Geschäftsführungen diskutiert. Eine Ebene bleibt dabei auffällig still: das Kontrollgremium. Wenn ich mit Aufsichtsräten und Beiräten spreche, ist KI dort selten ein eigener Tagesordnungspunkt, obwohl genau dort die Frage hingehört, ob das Unternehmen seine KI-Risiken im Griff hat.

Das ist kein Versäumnis aus Desinteresse. Stattdessen sind viele Kontrollgremien beim Thema KI unsicher, welche Fragen sie überhaupt stellen sollen und ob sie die Antworten beurteilen könnten. Das Ergebnis ist Zurückhaltung. Und Zurückhaltung ist bei einem Thema mit Haftungsrelevanz eine denkbar schlechte Reaktion.

Warum KI auf die Kontrollebene gehört

Ein Aufsichtsrat oder Beirat überwacht die Geschäftsführung und berät sie bei wesentlichen Fragen. KI berührt Investitionen, Datenschutz, regulatorische Pflichten und zunehmend die Entscheidungsprozesse im Unternehmen selbst und ist damit längst eine solche wesentliche Frage.

Wenn ein Kontrollgremium diese Entwicklung nicht abfragt, entsteht eine Lücke in der Überwachung. Im Schadensfall, etwa einem Verstoß gegen die Datenschutzverordnung oder den EU AI Act, stellt sich rückblickend immer dieselbe Frage: Hätte das Gremium das wissen und ansprechen müssen? Bei einem Thema dieser Tragweite lautet die Antwort zunehmend ja.

Aufsichtsrat und Beirat: unterschiedliche Rolle, dieselbe Lücke

Die beiden Gremien sind nicht dasselbe, und das ist für diese Frage wichtig. Der Aufsichtsrat ist ein gesetzliches Kontrollorgan mit klarer Überwachungspflicht und persönlicher Haftung der Mitglieder, verbreitet bei Aktiengesellschaften und größeren oder mitbestimmten Gesellschaften. Der Beirat ist hingegen ein freiwilliges Gremium, das man im Mittelstand und in Familienunternehmen antrifft. Mal ist er mit echten Kontrollrechten ausgestattet, mal ein reines Sparrings- und Beratungsgremium für die Geschäftsführung.

Für das Thema KI führt dieser Unterschied trotzdem zum selben Ergebnis, denn die Tragweite für Investitionen, Risiken und Wettbewerbsfähigkeit ist dieselbe. Wo ein Aufsichtsrat kontrolliert, gehört KI zur Überwachungspflicht. Wo ein Beirat begleitet, gehört KI zur strategischen Beratung. Gerade im Mittelstand, wo der Beirat oft das einzige Gremium oberhalb der Geschäftsführung ist, fällt das Thema sonst durch jedes Raster.

Fünf Fragen, die ein Kontroll- oder Beratungsgremium stellen sollte

Ein Kontrollgremium muss KI nicht im Detail verstehen. Es muss aber die richtigen Fragen stellen können und erkennen, wann die Antwort nicht trägt. Fünf Fragen reichen für den Anfang:

1. Wo setzen wir KI heute ein, und wer hat den vollständigen Überblick darüber, auch über die Anwendungen, die in bestehender Software mitlaufen
2. Wer im Unternehmen verantwortet die Steuerung von KI, mit welchem Mandat und welcher Verbindung zur Geschäftsstrategie
3. Wie stellen wir sicher, dass wir die regulatorischen Anforderungen, insbesondere den EU AI Act, erfüllen
4. Woran messen wir, ob unsere KI-Investitionen einen Beitrag leisten, und wer berichtet uns das
5. Was passiert, wenn etwas schiefgeht: Gibt es einen Prozess für Vorfälle, oder verlassen wir uns darauf, dass nichts passiert?

Eine gute Antwort erkennen

Genauso wichtig wie die Fragen ist die Fähigkeit, eine belastbare Antwort von einer Beruhigungsfloskel zu unterscheiden. Und Beruhigungsfloskeln höre ich an dieser Stelle viele.

„Das haben wir im Blick“ ist keine Antwort, „die IT kümmert sich darum“ meist ebenfalls nicht, denn KI-Steuerung ist keine reine IT-Aufgabe. Eine tragfähige Antwort benennt

• konkrete Verantwortlichkeiten,
• zeigt eine aktuelle Übersicht der eingesetzten Systeme und
• macht nachvollziehbar, nach welchen Kriterien entschieden wird.

Wenn auf die fünf Fragen ausweichende oder allgemeine Antworten kommen, ist selbst das ein Ergebnis. Denn dann fehlt die Steuerungsfunktion, und das Gremium hat seine Aufgabe erfüllt, indem es die Lücke sichtbar gemacht hat.

Was das für die Gremienarbeit bedeutet

Aus dieser Anforderung folgt eine unbequeme Konsequenz für die Besetzung von Kontrollgremien. Wenn KI ein dauerhaftes Aufsichtsthema ist, braucht das Gremium mindestens eine Person, die das Thema fachlich einordnen kann, ohne in die operative Tiefe zu gehen, aber mit genug Verständnis, um Antworten zu beurteilen. Das ist heute selten der Fall. Die meisten Gremien, die ich kenne, sind nach klassischen Kriterien zusammengesetzt: Branchenerfahrung, Finanzen, Recht, Vertrieb. Technologische und insbesondere KI-bezogene Kompetenz ist die Ausnahme. Diese Lücke wird sich in den kommenden Jahren bemerkbar machen, spätestens dann, wenn ein KI-bezogener Vorfall die Frage nach der Überwachung aufwirft.

Der pragmatische Weg ist nicht, das ganze Gremium umzubauen. Es genügt, KI als wiederkehrenden Tagesordnungspunkt zu etablieren und die nötige Kompetenz gezielt verfügbar zu machen, etwa durch Besetzung, Weiterbildung der bestehenden Mitglieder oder externe fachliche Begleitung.

Vom Stillschweigen zur Frage

Die wichtigste Veränderung ist die einfachste: KI überhaupt auf die Tagesordnung zu setzen. Ein Kontrollgremium, das die fünf Fragen regelmäßig stellt, erfüllt seine Aufgabe – unabhängig davon, wie reif das Unternehmen beim Thema KI bereits ist. 

Schweigen ist keine neutrale Haltung, sondern eine Entscheidung, ein wesentliches Risiko nicht zu adressieren. Und das ist genau die Art von Entscheidung, für die Kontrollgremien am Ende geradestehen müssen.

Wie diese Klarheit strukturell verankert werden kann, habe ich im Executive Briefing zusammengefasst: https://www.kivorex.de/executive-briefing/

Sie haben Rückfragen an KI-Experte Frank Stadler oder wünschen eine tiefergehende Beratung? Dann nehmen Sie jetzt direkt Kontakt auf.