{"id":872,"date":"2025-07-23T15:02:58","date_gmt":"2025-07-23T13:02:58","guid":{"rendered":"https:\/\/g-lorenzen.de\/?p=872"},"modified":"2025-07-23T15:04:42","modified_gmt":"2025-07-23T13:04:42","slug":"it-ki-governance-integriertes-compliance-management-system","status":"publish","type":"post","link":"https:\/\/www.g-lorenzen.de\/index.php\/2025\/07\/23\/it-ki-governance-integriertes-compliance-management-system\/","title":{"rendered":"Integriertes Compliance Management f\u00fcr digitale Transformation"},"content":{"rendered":"\n
\n\n\n\n

<\/h2>\n\n\n\n

Die digitale Transformation pr\u00e4gt unsere moderne Unternehmenslandschaft in einer Weise, die tiefgreifende Ver\u00e4nderungen in Gesch\u00e4ftsprozessen, IT-Systemen und der Rolle von Menschen in Organisationen mit sich bringt. Mit dieser Transformation, die auch den Einsatz von K\u00fcnstlicher Intelligenz (KI)<\/strong> umfasst, steigen jedoch auch die Risiken und die Komplexit\u00e4t rechtlicher und technischer Anforderungen. Um diesen Herausforderungen zu begegnen und die Organisation rechtssicher zu f\u00fchren, ist ein Integriertes Compliance Management System (CMS) f\u00fcr die IT-\/KI-Governance<\/strong> unerl\u00e4sslich.<\/p>\n\n\n\n

Was ist IT-\/KI-Governance und Compliance?<\/h3>\n\n\n\n

Zun\u00e4chst ist es wichtig, die Begriffe zu kl\u00e4ren:<\/p>\n\n\n\n

    \n
  • Governance<\/strong> bezieht sich auf die nachhaltige, Compliance- und risikobasierte gewissenhafte F\u00fchrung und \u00dcberwachung von Organisationen<\/strong> einschlie\u00dflich der Interaktion mit relevanten Stakeholdern.<\/li>\n\n\n\n
  • IT-Governance<\/strong> ist ein Teilbereich der allgemeinen Governance, der sich auf die F\u00fchrung und \u00dcberwachung der Informationstechnologie<\/strong> bezieht.<\/li>\n\n\n\n
  • KI-Governance<\/strong> wiederum ist eine Teilmenge der IT-Governance<\/strong>, die spezifische Governance- und Compliance-Anforderungen f\u00fcr den rechtsicheren und ethischen Einsatz von KI-Technologien<\/strong> ber\u00fccksichtigt.<\/li>\n<\/ul>\n\n\n\n

    Compliance<\/strong> bedeutet das pflichtgem\u00e4\u00dfe Verhalten in Bezug auf allgemein verbindliche Regeln<\/strong> (wie Gesetze und Rechtsprechung) sowie auf verbindlich erkl\u00e4rte interne Vorgaben (z.B. Verhaltensregeln aus einem „Code of Conduct“ oder Anstellungsvertr\u00e4ge). Compliance bildet die Basis f\u00fcr Governance, IT-Governance und auch KI-Governance<\/strong>. Die Missachtung dieser Pflichten kann erhebliche Haftungsrisiken nach sich ziehen.<\/p>\n\n\n\n

    Die Notwendigkeit eines Integrierten IT-\/KI-Governance-CMS<\/h3>\n\n\n\n

    Ein IT-\/KI-Governance-CMS ist eine Aufbau- und Ablauforganisation<\/strong>, die darauf abzielt, eine Organisation bei Entscheidungen, Zielsetzung, Planung, Umsetzung, Steuerung und \u00dcberwachung zu unterst\u00fctzen, um die zwingenden und fakultativ gesetzten Ziele im Bereich IT-\/KI-Governance-Compliance zu erreichen<\/strong>. Es umfasst unter anderem das IT-Compliance-Management<\/strong>, IT-Risikomanagement, IT-Strategie, IT-Planung, IT-Umsetzung, IT-Prozesse, IT-IKS und IT-Revision.<\/p>\n\n\n\n

    Die Integration ist hierbei von entscheidender Bedeutung. Diese Bereiche sollten nicht als „Silos“ oder „Managementsystem-Inseln“<\/strong> gestaltet werden, sondern in die Aufbau- und Ablauforganisation (Prozesse) integriert sein. Standards wie die DIN ISO 37000 (Governance von Organisationen), ISO\/IEC 38500 (IT-Governance) und ISO\/IEC 42001 (KI-Managementsystem) bieten hierf\u00fcr hilfreiche Leitf\u00e4den und k\u00f6nnen mit anderen Managementsystem-Standards, wie der DIN EN ISO\/IEC 27001 (Informationssicherheits-Managementsystem) oder DIN ISO 37301 (Compliance-Management-System), integriert werden.<\/p>\n\n\n\n

    Obwohl es keine explizite Pflicht<\/strong> gibt, ein IT-\/KI-Governance-CMS in Anlehnung an spezifische DIN ISO oder ISO\/IEC Standards<\/em> zu betreiben, besteht aus der Rechtsprechung eine verbindliche Pflicht, in allen Unternehmensbereichen f\u00fcr (IT-\/KI-)Compliance zu sorgen<\/strong>. Die Implementierung solcher Systeme kann im Falle eines Vorfalls sogar inhaftend wirken<\/strong>.<\/p>\n\n\n\n

    Herausforderungen und L\u00f6sungsans\u00e4tze<\/h3>\n\n\n\n

    Der Einsatz von generativer KI bringt spezifische Herausforderungen mit sich:<\/p>\n\n\n\n

      \n
    • Datenschutz und Verschwiegenheitspflicht:<\/strong> Der Schutz mandatsspezifischer Daten ist das h\u00f6chste Gut. Daher d\u00fcrfen Wirtschaftspr\u00fcfer nur generative KI-Modelle verwenden, die Rechtssicherheit in Bezug auf die DSGVO und die berufsrechtliche Verschwiegenheitspflicht gew\u00e4hrleisten<\/strong>. Dies sind oft lokal ausf\u00fchrbare Modelle oder tenant-spezifische Cloud-Umgebungen. \u00d6ffentliche KI-Systeme wie ChatGPT oder Google Gemini eignen sich nicht f\u00fcr kritische Informationen<\/strong>.<\/li>\n\n\n\n
    • Mangelnde Nachvollziehbarkeit:<\/strong> Komplexe Modellarchitekturen k\u00f6nnen die Nachvollziehbarkeit von KI-Entscheidungen erschweren, was die Fehlererkennung und Verantwortlichkeiten f\u00fcr den Output erschwert. Der Grundsatz der Eigenverantwortlichkeit des Wirtschaftspr\u00fcfers bleibt unerl\u00e4sslich<\/strong>. KI-generierte Inhalte m\u00fcssen stets von Experten \u00fcberpr\u00fcft werden.<\/li>\n\n\n\n
    • Regularien-Vielfalt:<\/strong> Spezifische Gesetze (z.B. AI Act) und KI-bezogene Standards (z.B. ISO\/IEC 42001 oder NIST AI Risk Management Framework) setzen sich explizit mit den Governance-Compliance-Anforderungen im Kontext der KI auseinander.<\/li>\n<\/ul>\n\n\n\n

      Um diese Herausforderungen zu meistern, sind folgende Aspekte wichtig:<\/p>\n\n\n\n

        \n
      • Rechtskataster:<\/strong> Ein prozessbezogenes Rechtskataster<\/strong> sollte angelegt und gepflegt werden, um alle relevanten rechtlichen Anforderungen zu identifizieren und zu bewerten. Abbildung 2 in den Quellen zeigt beispielhaft, wie ein solches Kataster aufgebaut sein k\u00f6nnte.<\/li>\n\n\n\n
      • F\u00fchrung und Verpflichtung („Tone from the Top“):<\/strong> Die Gesch\u00e4ftsleitung muss die Verantwortung f\u00fcr die IT-\/KI-Governance \u00fcbernehmen<\/strong> und die notwendigen Ressourcen bereitstellen. Ihre Vorbildfunktion („Tone from the Top“) ist dabei elementar.<\/li>\n\n\n\n
      • Kontinuierliche Anpassung und Verbesserung:<\/strong> Das CMS muss fortlaufend angepasst und verbessert werden<\/strong>, um angesichts kontinuierlicher Ver\u00e4nderungen wirksam zu bleiben. Zielabweichungen m\u00fcssen fr\u00fchzeitig erkannt und gesteuert werden, um die Wirksamkeit des Systems zu gew\u00e4hrleisten.<\/li>\n\n\n\n
      • Kompetenzentwicklung:<\/strong> Neue technische Entwicklungen erfordern neue Kompetenzen<\/strong> bei Organen und Besch\u00e4ftigten, was einen effektiven Change-Prozess notwendig macht.<\/li>\n<\/ul>\n\n\n\n

        Fazit<\/h3>\n\n\n\n

        IT-\/KI-Governance ist prim\u00e4r „Chefsache“<\/strong> und muss von der Unternehmensleitung in Prim\u00e4r- und Letztverantwortung \u00fcbernommen werden. Die aus der IT-\/KI-Governance abzuleitenden zwingenden Anforderungen und Ma\u00dfnahmen m\u00f6gen zun\u00e4chst „erschlagend“ klingen, aber durch die korrekte Integration in die Corporate Governance und mit allen (IT-)Managementsystemen<\/strong> des Unternehmens ergeben sich zahlreiche Synergien. Ein enthaftendes IT-\/KI-Governance-CMS ist unverzichtbar<\/strong>, um rechtliche Sicherheit zu gew\u00e4hrleisten und Haftungsrisiken zu minimieren. Es ist eine kontinuierliche Aufgabe, die Pr\u00e4vention, einge\u00fcbte Verantwortlichkeiten und eine belastbare Kommunikationsstrategie erfordert, um Sch\u00e4den zu begrenzen und Vertrauen zu erhalten.<\/p>\n\n\n\n

        \n","protected":false},"excerpt":{"rendered":"

        Die digitale Transformation pr\u00e4gt unsere moderne Unternehmenslandschaft in einer Weise, die tiefgreifende Ver\u00e4nderungen in Gesch\u00e4ftsprozessen,…<\/p>\n","protected":false},"author":1,"featured_media":873,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2,4],"tags":[],"class_list":["post-872","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-datenschutz","category-it-audit"],"_links":{"self":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/872","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/comments?post=872"}],"version-history":[{"count":2,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/872\/revisions"}],"predecessor-version":[{"id":875,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/posts\/872\/revisions\/875"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media\/873"}],"wp:attachment":[{"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/media?parent=872"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/categories?post=872"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.g-lorenzen.de\/index.php\/wp-json\/wp\/v2\/tags?post=872"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}