Was ein KI-Compliance-Handbuch tragfähig macht.

Das Tool-Register, das KI-Risikoregister, das Schulungsregister und das Incident-Register sind laufend geführte Bestände. Sie halten fest, was im Einsatz ist, welche Risiken bekannt sind, wer geschult wurde und welche Vorfälle auftraten.

Sie machen die Organisation jederzeit auskunftsfähig. Ihre Kraft ziehen sie aus der laufenden Fortschreibung im Betrieb, nicht aus einem hastig erzeugten Stichtagsstand.

Die Datenschutz-Folgenabschätzung ist die strukturierte Prüfung vor dem Einsatz, wenn ein hohes Risiko für Betroffene zu erwarten ist. Sie erkennt und wägt Risiken ab, bevor sie eintreten.

Ihren Wert entfaltet sie nur, wenn sie vor der Freigabe steht und nicht erst dem Vorfall hinterherläuft. Wer sie führt, hat die kritische Frage gestellt, solange noch Spielraum war.

Die Freigabe-Dokumentation hält den Freigabeentscheid mit seiner Begründung fest. Jede Freigabe wird so zur belegbaren Entscheidung statt zur Erinnerung an ein Gespräch.

Eine undokumentierte Freigabe lässt sich im Nachhinein von einer vergessenen Meinung nicht mehr unterscheiden, und das treibt jeden in die Dokumentation. Wer beides führt, kann auf jede Aufsichtsfrage mit einem Datensatz antworten statt mit einer Beteuerung.

Das Audit-Log protokolliert die Stichproben-Audits. Es zeigt, dass die Steuerung nicht nur existiert, sondern regelmäßig geprüft wird.

Ein Kontrollsystem, das nie überprüft wird, verdient den Namen nicht, und genau diese Lücke schließt das Log. Erst der Nachweis der Prüfung macht die Kontrolle glaubwürdig.

Das Governance-Board ist das Gremium, das entscheidet und Rechenschaft trägt. Bei ihm läuft die Verantwortung zusammen: Es gibt Freigaben, prüft Anwendungen und eskaliert, wenn ein Fall die operative Ebene übersteigt.

Was es wirksam macht, ist ein Mandat der Leitung und nicht bloß ein Sitzungstermin im Kalender. Wer eine Entscheidung sucht, findet eine Stelle, die sie verantwortet.

Die KI-Verantwortlichen sind die operative Rolle, die Einsätze begleitet, Dossiers führt und Risiken meldet. Durch sie bekommt Compliance einen Alltag und bleibt nicht auf Gremien beschränkt.

Ihre Wirkung verdanken sie ihrem Platz an der Schnittstelle zwischen Betrieb und Steuerung. Ein Risiko erreicht das Board, weil jemand es dorthin trägt.

Die RACI-Matrix ordnet jede Aufgabe genau einer rechenschaftspflichtigen Stelle zu. Sie verhindert, dass Verantwortung zwischen mehreren Beteiligten zerfällt, bis sich niemand mehr zuständig fühlt.

Weil sie an Rollen hängt statt an Personen, übersteht sie jeden Wechsel im Team. Eine neue Person übernimmt die Rolle und mit ihr die zugeordnete Rechenschaft.

Der Auftragsverarbeitungsvertrag regelt, wie ein externer Dienstleister personenbezogene Daten im Auftrag verarbeitet. Er sichert die Datenverantwortung über die eigene Grenze hinaus ab.

Sobald ein Dienst eingebunden wird, der Daten berührt, greift er und bindet den Anbieter an dieselben Pflichten. Ohne ihn endet die Kontrolle an der eigenen Tür, die Daten aber nicht.

Die Betriebsvereinbarung KI ist die Mitbestimmungs-Grundlage zwischen Arbeitgeber und Betriebsrat zum KI-Einsatz. Sie macht den Einsatz mit der Belegschaft tragfähig.

Tragfähig wird sie, indem sie den Einsatz mit denen abstimmt, die ihn täglich erleben. Eine Vereinbarung trägt weiter als eine einseitige Anweisung.

Die Behördenmeldung ist das Verfahren, mit dem meldepflichtige Vorfälle fristgerecht an die zuständige Stelle gehen. Sie hält die Organisation im Ernstfall handlungsfähig.

Steht das Verfahren schon vor dem Fall bereit, muss niemand es mitten im Ernstfall erst zusammensuchen. Wer die Meldekette kennt, verliert keine Frist, während er sie erst aufbaut.