Das unterschätzte Risiko: Warum Ihre traditionelle Risikoprüfung bei KI versagt

Die Kontrollmechanismen, die bei traditionellen Risiken funktionierten, sind gegenüber der KI-Blackbox machtlos. Wenn ein Algorithmus einen Fehler macht, haftet das Organ, das die Überwachung unzureichend gestaltet hat.

Ausgabe 1 beleuchtete die Erosion der Business Judgment Rule. Die Quintessenz: Die Überwachung des Risikomanagementsystems ist heute die wichtigste, aber auch die schwierigste Aufgabe des Aufsichtsrats.

I. Best Practice — Der Shift zur KI-Risiko-Resilienz

Zwei fundamentale Shifts in führenden Boards:

Vom Prozess-Audit zum Algorithmus-Audit: Es reicht nicht, zu prüfen, ob der Entwicklungsprozess eingehalten wurde. Der AR muss Auditierbarkeit des Algorithmus verlangen (z.B. mittels Explainable AI Tools).
Von Compliance zu Haftung: Der Fokus verschiebt sich vom reinen Abhaken des EU AI Act hin zur direkten Minimierung des persönlichen Haftungsrisikos durch lückenlose Dokumentation.

II. Die 3 größten Blind Spots im KI-Risikomanagement

1. Die Intransparenz-Falle (Blackbox-Risiko)

Viele KI-Modelle sind so gebaut, dass ihre Entscheidungslogik nicht nachvollziehbar ist. Im Schadensfall kann kaum nachgewiesen werden, dass der AR auf Basis "angemessener Information" gehandelt hat.

2. Das systemische Bias-Risiko

Das größte Risiko eines KI-Systems ist oft nicht der Datenverlust, sondern die Daten-Voreingenommenheit. Voreingenommene Trainingsdaten führen zu diskriminierenden Ergebnissen. Der AR muss unabhängige Ethik-Audits und einen klaren Prozess zur Bias-Minderung fordern.

3. Das EU AI Act Risiko (Die Klassifizierungspflicht)

Der EU AI Act zwingt Unternehmen, KI-Systeme zu klassifizieren. Diese Klassifizierung löst eine Kaskade von Dokumentations-, Qualitätsmanagement- und Transparenzpflichten aus (Art. 9).

III. Top 5 Checkliste — Kritischste Fragen an den Vorstand

Rechenschaftspflicht: "Welcher Mensch ist im Schadensfall der final decision maker für das kritischste KI-System?"
XAI-Nachweis: "Können wir die Entscheidungspfade unserer Hochrisiko-KI-Systeme nachvollziehen?"
Bias-Strategie: "Wie wird Bias-Freiheit gemessen, auditiert und welche Schwellenwerte gelten als inakzeptabel?"
Legacy-Risiko: "Welche traditionellen IT-Systeme werden durch KI-Output gespeist — wurde das kombinierte Risiko bewertet?"
AI Act Budget: "Welche Mittel sind dediziert für die EU AI Act Compliance reserviert?"

Dr. Christian Schlögel · Plansix GmbH christian@plansix.eu