Daten waren lange das stille Versprechen der Digitalisierung: mehr Wissen, bessere Entscheidungen, neue Geschäftsmodelle. Heute sind sie zugleich größter Hebel und größtes Haftungsfeld. Zwischen Datenschutz, Compliance und aggressivem Einsatz von KI spannt sich ein Raum, in dem Chancen und Risiken stündlich neu verteilt werden. Governance, die hier wirksam sein soll, muss zwei Dinge gleichzeitig leisten: Vertrauen sichern – gegenüber Kunden, Aufsichten, Partnern, Mitarbeitenden – und Wert freisetzen – durch analytische Exzellenz, Automatisierung, Produkte, die Daten intelligent nutzen. Das gelingt nicht mit Parolen („Data is the new oil“) und auch nicht mit Verboten („Data Sharing nur im Ausnahmefall“), sondern mit einer Betriebsleistung, die Datenflüsse sichtbar, steuerbar und beweisbar macht: von der Erhebung über Speicherung, Verarbeitung, Training von KI-Systemen, Bereitstellung in APIs bis zur Löschung. Dieser Beitrag zeigt, wie Governance diesen Spagat schafft – ohne Illusionen, aber mit praktikablen Mechaniken, Kennzahlen und Entscheidungen, die nicht auf dem Papier, sondern im Alltag tragen.

1. Vom Asset zur Haftung: Warum Daten heute anders zählen

Daten galten einst als „kostenloser Rohstoff“: Sammeln, speichern, irgendwann nutzen. Diese Haltung hat sich überholt – aus drei Gründen. Erstens wandern Daten über SaaS-Landschaften und Cloud-Regionen, die rechtlich, technisch und organisatorisch verschieden ticken. Jeder neue Dienst ist eine weitere Angriffs- und Haftungsfläche. Zweitens entwerten KI-Modelle schlechte oder unklare Daten – Garbage in, turbo-Garbage out. Bias, Halluzinationen, Fehlentscheidungen sind keine Nebensache, sondern Produkt- und Reputationsrisiko. Drittens hat sich das Regelwerk verdichtet: Datenschutzrecht, branchenbezogene Aufsicht, Sicherheitsverordnungen, Produkthaftungsregime für digitale Komponenten und KI-Systeme. Zusammen erzeugen sie eine Pflicht zur Daten-Disziplin: Wer nicht weiß, welche Daten wo, warum, wie lange und unter wessen Kontrolle liegen, riskiert Bußgelder, Vertragsstrafen, Vertrauensbrüche und Stopps bei Zulassungen oder Audits.

Risk-Meetings hatten lange einen festen Ablauf: Heatmaps, Erfahrungswerte, ein paar Szenarien, viele Bauchentscheidungen. Heute sitzt ein neuer Akteur am Tisch – unscheinbar, datenhungrig, unermüdlich: Algorithmen. Sie werten Logströme aus, gewichten Lieferkettenereignisse, schätzen Schadenshöhen, berechnen Eintrittswahrscheinlichkeiten, schlagen Maßnahmenkombinationen vor. „KI im Kontrollraum“ ist mehr als ein weiteres Tool im Baukasten. Es ist ein Paradigmenwechsel: Risiken werden laufend gemessen, modelliert und gesteuert – nicht nur beraten. Doch die Verheißung hat eine Bedingung: Nur wer Technik, Daten, Governance und Kultur gleichzeitig ernst nimmt, gewinnt Tempo und Vertrauen. Dieser Beitrag zeigt, wie das gelingt – ohne Mythos, ohne Illusion. Mit Architekturen, die funktionieren, mit Metriken, die handeln lassen, mit Rollen, die entscheiden, und mit Leitplanken, die Akzeptanz sichern.

1) Warum KI jetzt im Risikomanagement landet – und bleibt

Drei Entwicklungen treiben die Verlagerung in die Maschine:

Es beginnt selten mit einer strategischen Entscheidung. Eher mit einem Link im Chat, einer Browser-Erweiterung, einem „Nur mal ausprobieren“ in der Mittagspause. Eine Kollegin lädt ein PDF in einen Online-Assistenten, um eine Zusammenfassung für das Weekly zu bekommen. Jemand anders installiert ein Add-on, das E-Mails „schnell in gut“ umformuliert. Ein drittes Team lässt eine automatisch generierte Präsentation gegen ein paar Stichpunkte entstehen. Und ehe man sich versieht, arbeitet ein Unternehmen mit einem unsichtbaren, wachsenden Geflecht aus generativen KI-Diensten, Prompt-Sammlungen, Agenten, Plugins, mobilen Apps, Browser-Extensions und eingebauten „Assistenz-Features“ in bestehender Software. Was als Bequemlichkeit begann, ist plötzlich ein Sicherheits-, Compliance- und Governance-Thema ersten Ranges: Schatten-IT 2.0.

Schatten-IT war lange ein bekanntes Muster: private Cloud-Speicher, inoffizielle Chat-Gruppen, selbst beschaffte SaaS-Abos. Die neue Welle unterscheidet sich in drei entscheidenden Punkten. Erstens: Reibungslosigkeit. Generative KI ist nur einen Prompt entfernt – ohne Onboarding, ohne Integration, ohne Anleitung. Zweitens: Einbettung. KI-Funktionen sind nicht nur eigene Produkte, sie tauchen als Schalter in den Tools auf, die ohnehin genutzt werden. Drittens: Wirkungstiefe. Wo Schatten-IT früher „nur“ Daten bewegte, entscheidet Schatten-IT 2.0 mit: Sie schreibt, priorisiert, bewertet, plant, antwortet, generiert Code, schlägt Workflows vor. Sie ist nicht nur Datentransport, sondern Handlungsapparat. Und genau deshalb verlangt sie einen anderen, reiferen Blick.

Der „Wizard of GRC“ für eine Zeit, in der dein Kaffee noch warm ist

Es ist ein schwindelerregender Moment: Du öffnest den Editor, gibst zwei, drei Sätze in ein Prompt-Feld – und noch bevor dein Kaffee kalt wird, steht das Gerüst eines kompletten Dienstes vor dir. Routen, Controller, Datenmodell, API-Doku, Unit-Tests, Dockerfile, CI-Workflow: alles da. Was gestern noch ein Sprint war, passt heute in eine Session. Fantastisch für die Geschwindigkeit, beängstigend für die Sichtbarkeit. Denn jede generierte Codezeile erzählt nicht nur eine Geschichte von Produktivität, sondern auch eine über Compliance, Abhängigkeiten und Third-Party-Risiken.

Es gab eine Ära, in der „Governance“ der Stoff für Policies, Organigramme und Audit-Agenden war. Man schrieb Richtlinien, legte Rollen fest, dokumentierte Risiken – und hoffte, dass all das im Ernstfall trägt. Diese Ära endet. Mit dem AI Act und dem Cyber Resilience Act (CRA) rückt die EU Governance an den Ort, an dem sich Wahrheit nicht vertuschen lässt: in die Produktentwicklung und den Betrieb. Plötzlich zählt nicht mehr, ob eine Regel existiert, sondern ob Ihr Produkt – Hardware, Software, Service, Modell – unter Last das hält, was Ihr Governance-Papier verspricht. Governance wird zur Produktprüfung. Wer das als Bürokratie empfindet, hat den Kern verfehlt. Wer es als Chance begreift, baut die Brücke zwischen Recht, Risiko und Ingenieursarbeit – und gewinnt Geschwindigkeit, Vertrauen und Marktzugang.

Der Kipppunkt: Von Papier-Governance zu Prüf-Governance

Warum dieser Bruch? Weil zwei Bewegungen zusammentreffen. Erstens KI-basierte Funktionen durchdringen Produkte quer durch alle Branchen – vom Risiko-Scoring in der Bank über visuelle Inspektionen in der Fertigung bis zu generativen Assistenten in SaaS-Plattformen. Zweitens zwingt die Digitalisierung der Lieferketten praktisch jedes Produkt, „mit dem Internet“ zu sprechen – und damit angreifbar zu sein. Wenn Fehlentscheidungen eines Modells diskriminieren können und eine Schwachstelle im Update-Mechanismus Hunderttausende Geräte trifft, dann reichen schöne Policies nicht mehr. Die EU schlägt daraus zwei Fäden: AI Act (Fokus: verantwortliche KI) und CRA (Fokus: durchgängig sichere Produkte mit digitalen Elementen). Beide Fäden laufen in derselben Mechanik zusammen: Konformität = Fähigkeit + Nachweis. Fähigkeit entsteht in Architektur, Code, Daten und Betrieb. Nachweis entsteht in Tests, Telemetrie und technischer Dokumentation.