/1b437abb-20d7-48a8-b12c-0e1dc964aa2a.jpg.429x142_q85_box-0%2C140%2C429%2C282_crop_detail.jpg)
Industrielle KI ist in vielen Unternehmen nicht mehr nur ein experimentelles Thema. Machine-Learning-Modelle werden eingesetzt, um Qualitätsabweichungen zu erkennen, Anlagenzustände vorherzusagen, Wartungsintervalle zu optimieren, Energieverbräuche zu analysieren oder Entscheidungen in operativen Prozessen zu unterstützen. Damit verschiebt sich die Diskussion: Es geht nicht mehr allein darum, ob ein Modell technisch funktioniert. Entscheidend wird, ob sein Einsatz nachvollziehbar, rechtlich belastbar und organisatorisch kontrollierbar ist.
Diese Entwicklung betrifft nicht nur Data-Science- oder IT-Abteilungen. Sobald KI-Systeme produktionsnahe Entscheidungen beeinflussen, personenbezogene oder geschäftskritische Daten verarbeiten oder über externe Anbieter bezogen werden, entstehen Fragen für Management, Rechtsabteilung, Datenschutz, Informationssicherheit und Einkauf. Governance für Machine Learning bedeutet deshalb, technische Leistungsfähigkeit mit klaren Verantwortlichkeiten, überprüfbaren Prozessen und dokumentierten Nachweisen zu verbinden.
Ein wesentlicher Unterschied zwischen klassischer Software und Machine Learning liegt darin, dass das Verhalten eines Modells stark von Daten, Trainingsständen, Parametern und Einsatzkontext abhängt. Während herkömmliche Software in vielen Fällen deterministisch arbeitet, basiert ein Machine-Learning-System auf statistischen Mustern. Diese Muster können sich verändern, wenn sich Datenqualität, Produktionsbedingungen, Nutzerverhalten oder externe Einflussgrößen verändern. Deshalb reicht es nicht aus, ein Modell einmalig zu testen und anschließend unverändert als stabil anzunehmen. Industrielle KI muss über ihren gesamten Lebenszyklus betrachtet werden: von der Auswahl des Use Cases über Datenaufbereitung, Training, Validierung und Freigabe bis hin zu Betrieb, Monitoring, Änderung und Stilllegung.
Datenschutz ist dabei ein zentraler Bestandteil der Governance. In industriellen Umgebungen wird häufig angenommen, dass Produktionsdaten rein technisch sind. In der Praxis ist diese Trennung nicht immer eindeutig. Maschinendaten können mit Schichtplänen, Bedienerkennungen, Wartungsprotokollen, Leistungskennzahlen oder Supportfällen verbunden sein. Dadurch kann Personenbezug entstehen, auch wenn der ursprüngliche Datensatz zunächst unkritisch wirkt. Eine belastbare Governance muss daher früh klären, welche Daten verarbeitet werden, ob Personenbezug besteht, welche Rechtsgrundlage einschlägig ist, welche Zwecke verfolgt werden und wie lange Daten gespeichert werden dürfen.
Für Machine-Learning-Projekte bedeutet das, dass Datenschutz nicht erst am Ende eines Projekts geprüft werden sollte. Bereits bei der Konzeption muss festgelegt werden, welche Daten tatsächlich erforderlich sind, welche Daten minimiert oder pseudonymisiert werden können und welche Zugriffsrechte gelten. Ebenso wichtig ist die Frage, ob Daten nur für den konkreten Anwendungsfall verwendet werden oder auch für Training, Re-Training, Produktverbesserung oder Anbieterzwecke genutzt werden sollen. Gerade bei externen Plattformen und KI-Services ist diese Unterscheidung wesentlich, weil sich daraus Anforderungen an Verträge, Auftragsverarbeitung, technische Schutzmaßnahmen und Kontrollrechte ergeben.
Neben Datenschutz ist Nachweisbarkeit ein zweiter Kernpunkt. Viele KI-Projekte geraten nicht deshalb in Schwierigkeiten, weil die technische Lösung unbrauchbar wäre, sondern weil später nicht mehr eindeutig nachvollzogen werden kann, wie ein bestimmtes Ergebnis zustande kam oder welche Version eines Modells zu einem bestimmten Zeitpunkt aktiv war. Für industrielle Anwendungen ist das besonders relevant, wenn KI-Ergebnisse in Qualitätsentscheidungen, Wartungsprioritäten, Produktionssteuerung, Lieferantenbewertungen oder personalbezogene Prozesse einfließen. In solchen Fällen muss rekonstruierbar sein, welche Datenbasis verwendet wurde, welche Modellversion produktiv war, welche Metriken für die Freigabe galten und wer die Verantwortung für Betrieb und Kontrolle getragen hat.
Nachweisbarkeit umfasst daher mehr als technische Dokumentation. Sie beinhaltet die Beschreibung des Einsatzzwecks, die Grenzen des Systems, die verwendeten Datenquellen, Datenqualitätsregeln, Validierungsergebnisse, Risikobewertungen, Freigaben, Monitoringdaten und Änderungsverläufe. Auch menschliche Aufsicht gehört dazu. Ein Unternehmen sollte festlegen, wer KI-Ergebnisse prüfen darf, wann eine manuelle Entscheidung erforderlich ist, wie Abweichungen behandelt werden und unter welchen Bedingungen ein System angepasst oder abgeschaltet wird.
Der EU AI Act verstärkt diese Anforderungen, auch wenn nicht jedes industrielle KI-System automatisch als Hochrisiko-System einzustufen ist. Entscheidend ist der konkrete Verwendungszweck. Ein KI-System kann regulatorisch anders bewertet werden, je nachdem, ob es lediglich interne Analysen unterstützt, sicherheitsrelevante Funktionen beeinflusst, in regulierte Produkte eingebunden ist oder Entscheidungen über Beschäftigte, Zugang zu Leistungen oder kritische Infrastruktur unterstützt.
Unternehmen benötigen deshalb ein Verfahren, mit dem KI-Anwendungen systematisch erfasst und eingeordnet werden können.
AI-Act-Readiness beginnt in der Praxis mit einem KI-Inventar. Darin sollten alle relevanten KI- und Machine-Learning-Anwendungen erfasst werden, unabhängig davon, ob sie intern entwickelt, als Bestandteil einer Maschine geliefert, über eine Softwareplattform genutzt oder als Cloud-Service bezogen werden. Für jedes System sollten Zweck, Datenarten, Nutzergruppen, Anbieter, Schnittstellen, Betriebsumgebung und potenzielle Risiken dokumentiert werden. Ohne eine solche Übersicht bleibt KI-Governance fragmentiert. Einzelne Abteilungen treffen dann eigene Entscheidungen, während Management, Legal, IT und Einkauf kein vollständiges Bild über Einsatz, Abhängigkeiten und Risiken haben.
Die Risikoklassifizierung sollte nicht nur juristisch verstanden werden. Sie ist auch ein Instrument für Priorisierung. Ein Modell, das ausschließlich aggregierte Maschinendaten für eine unverbindliche Auswertung nutzt, stellt andere Anforderungen als ein System, das Ausschussentscheidungen automatisiert, Wartungsmaßnahmen priorisiert oder Mitarbeiterleistung bewertet. Je näher ein KI-System an sicherheitsrelevante, personenbezogene oder geschäftskritische Entscheidungen rückt, desto höher sollten Anforderungen an Dokumentation, Validierung, Monitoring und Freigabe sein.
Für das Management entsteht dadurch eine Portfolio-Perspektive. KI-Projekte sollten nicht nur nach Innovationsgrad oder erwarteter Effizienzsteigerung bewertet werden, sondern auch nach Risiko, Kontrollierbarkeit und Abhängigkeit. Ein produktives KI-System ist kein einmaliges Projekt, sondern ein dauerhaft zu steuernder Bestandteil der Organisation. Dazu gehören Zuständigkeiten, Budgets, Betriebsprozesse, Eskalationswege und regelmäßige Überprüfung.
Für Legal und Datenschutz ist entscheidend, dass Informationen strukturiert vorliegen. Wenn Zweck, Datenflüsse, Anbieterrollen, Speicherorte, Rechtsgrundlagen und Betroffenenrisiken erst im Einzelfall rekonstruiert werden müssen, wird jede Prüfung aufwendig. Eine standardisierte Dokumentation reduziert diesen Aufwand. Sie schafft außerdem eine gemeinsame Grundlage für Datenschutz-Folgenabschätzungen, Vertragsprüfungen, Transparenzinformationen und AI-Act-Einstufungen.
Für IT und Informationssicherheit stehen technische Kontrollmechanismen im Vordergrund. Dazu gehören rollenbasierte Zugriffe, Protokollierung, sichere Schnittstellen, Modellversionierung, Monitoring, Incident-Prozesse und Schutz gegen Manipulation oder unkontrollierte Datenabflüsse. Gerade bei Machine Learning ist es wichtig, nicht nur die Anwendung selbst zu betrachten, sondern auch Trainingsdaten, Feature-Pipelines, Modellartefakte, APIs und externe Abhängigkeiten. Ein Modell kann fachlich gut sein und dennoch ein Risiko darstellen, wenn Betrieb, Zugriff oder Änderungsmanagement nicht ausreichend abgesichert sind.
Der Einkauf nimmt in der KI-Governance eine besondere Rolle ein, weil viele KI-Funktionen nicht sichtbar als eigenständige KI-Projekte beschafft werden. Sie sind in Maschinen, Plattformen, Analysewerkzeugen, ERP-Erweiterungen, Wartungssoftware oder HR-Systemen eingebettet. Deshalb reicht eine klassische Softwareprüfung oft nicht aus. Bei KI-basierten Lösungen sollte der Einkauf klären, ob und wie Daten für Training verwendet werden, welche Subdienstleister beteiligt sind, welche Dokumentation der Anbieter bereitstellt, wie Updates kontrolliert werden, welche Audit- und Auskunftsrechte bestehen und wie ein Anbieterwechsel möglich bleibt.
Eine wichtige Governance-Frage lautet daher nicht nur, ob ein KI-System funktioniert, sondern ob das Unternehmen die Kontrolle darüber behält. Kontrolle bedeutet in diesem Zusammenhang nicht, jedes Modell vollständig intern entwickeln zu müssen. Sie bedeutet, die relevanten Informationen, Rechte und Prozesse zu besitzen, um Risiken bewerten, Entscheidungen nachvollziehen und bei Problemen handeln zu können.
Der Übergang vom Proof of Concept in den produktiven Betrieb ist häufig der kritische Punkt. In Pilotprojekten stehen technische Machbarkeit und Ergebnisqualität im Vordergrund. Für den produktiven Einsatz kommen zusätzliche Anforderungen hinzu: Freigabeprozesse, Betriebsverantwortung, Monitoring, Datenschutzdokumentation, Sicherheitsprüfung, Lieferantenbewertung und Änderungsmanagement. Ohne diese Elemente bleibt ein KI-Projekt schwer skalierbar. Es kann zwar kurzfristig Nutzen zeigen, ist aber organisatorisch nicht ausreichend abgesichert.
Eine tragfähige Governance für industrielle KI sollte deshalb als wiederholbarer Prozess aufgebaut werden. Am Anfang steht die Erfassung aller KI-Systeme. Danach folgen Zweckbeschreibung, Datenprüfung, Risikoklassifizierung, technische und rechtliche Bewertung, Freigabe, Monitoring und regelmäßige Überprüfung. Für Änderungen am Modell, an Datenquellen oder am Einsatzkontext sollten klare Regeln gelten. Ebenso sollte festgelegt werden, wann eine erneute Prüfung erforderlich ist, etwa bei neuen Datenarten, veränderten Entscheidungswirkungen, Anbieterupdates oder einer Ausweitung auf andere Standorte.
Governance für Machine Learning ist damit kein Gegensatz zu Innovation. Sie schafft die Voraussetzungen dafür, dass industrielle KI verlässlich betrieben werden kann. Ohne Governance bleiben KI-Anwendungen oft Einzelinitiativen, deren Risiken erst spät sichtbar werden. Mit Governance entsteht ein Rahmen, in dem technische Teams entwickeln, Fachbereiche Nutzen realisieren, Legal und Datenschutz prüfen, IT sicher betreiben und Einkauf Anbieter kontrolliert einbinden kann.
Am Ende geht es um belegbares Vertrauen. Unternehmen müssen nicht nur sagen können, dass sie KI verantwortungsvoll einsetzen. Sie müssen zeigen können, welche KI-Systeme im Einsatz sind, welche Daten verarbeitet werden, welche Risiken bewertet wurden, welche Kontrollen existieren und wer verantwortlich ist. Datenschutz, Nachweisbarkeit und AI-Act-Readiness sind deshalb keine nachgelagerten Formalien, sondern zentrale Bedingungen für den produktiven Einsatz industrieller KI.
