KI-Verantwortung braucht Nachweise statt Grundsatzreden

KI ist in vielen IT-Organisationen längst kein Sonderprojekt mehr. Fachbereiche testen Assistenten, Entwickler nutzen Code-Hilfen, Service-Teams prüfen automatische Zusammenfassungen, und Plattformverantwortliche diskutieren interne Chatbots. Für das IT-Management klingt das zuerst nach Innovation. Im Betrieb entsteht aber eine nüchterne Frage: Wer kann belegen, welche KI wofür eingesetzt wird, welche Risiken geprüft wurden und wer Entscheidungen verantwortet?

Genau an dieser Stelle reicht eine allgemeine KI-Richtlinie nicht aus. Ein PDF mit Grundsätzen wirkt ordentlich, hilft dem Servicebetrieb aber wenig, wenn bei einer Beschwerde, einem Audit oder einer Störung niemand die konkrete Spur findet. ITSM-Generalisten brauchen deshalb keine KI-Philosophie, sondern eine nachvollziehbare Betriebsakte: Zweck, Daten, Nutzergruppe, Owner, Risiko, Freigabe, Kontrollen, Überwachung und Ausstiegspunkt.

Kurz erklärt: ISO/IEC 42001 ist ein Managementsystem-Standard für künstliche Intelligenz. Er beschreibt, wie Organisationen Verantwortlichkeiten, Regeln, Risiken und Verbesserungen rund um KI systematisch steuern können. Der EU AI Act ordnet KI-Anwendungen nach Risiko und verbindet bestimmte Einsatzarten mit Pflichten. Für den IT-Betrieb heißt das: KI muss nicht nur erlaubt sein, sie muss erklärbar, kontrollierbar und dokumentiert betrieben werden.

Die eigentliche Lücke liegt zwischen Richtlinie und Alltag

Eine Richtlinie beantwortet meist die Frage, was grundsätzlich gewollt oder verboten ist. Der Alltag stellt andere Fragen. Darf ein Team Kundentickets automatisch zusammenfassen lassen? Welche Daten landen im Modell? Wer prüft die Ausgabe, bevor sie an einen Kunden geht? Was passiert, wenn ein Assistent eine falsche Priorität vorschlägt? Welche Protokolle zeigen später, dass die Entscheidung nicht blind automatisiert wurde?

Diese Fragen sind nicht nur juristisch. Sie betreffen Servicequalität, Incident Management, Datenschutz, Informationssicherheit, Lieferantensteuerung und Change Management. Wenn KI-Funktionen ohne Betriebsnachweise eingeführt werden, entstehen neue blinde Flecken. Ein Tool kann produktiv genutzt werden, ohne im Servicekatalog aufzutauchen. Ein Modell kann Daten verarbeiten, ohne dass der Datenfluss im Architektur- oder Datenschutzüberblick sichtbar ist. Ein Fachbereich kann eine Automatisierung als Arbeitshilfe verstehen, während Nutzer sie bereits als verbindliche Entscheidung wahrnehmen.

ISO 42001 macht Verantwortung prüfbar

Die International Organization for Standardization beschreibt ISO/IEC 42001 als Standard für ein Artificial Intelligence Management System. Für Nicht-Spezialisten ist daran vor allem ein Punkt wichtig: Der Standard behandelt KI nicht nur als Technik, sondern als steuerbares Managementthema. Es geht um Ziele, Verantwortlichkeiten, Risikobehandlung, Kontrollen, Bewertung und kontinuierliche Verbesserung.

Für den Betrieb ist das wertvoll, weil es eine Brücke zwischen Governance und Tagesarbeit schafft. Ein Service Owner kann nicht nur sagen, dass ein KI-Werkzeug nützlich ist. Er muss zeigen können, warum es eingesetzt wird, welche Grenzen gelten und welche Kontrollen tragen. Ein Plattformteam kann nicht nur ein Modell anbinden. Es muss klären, welche Daten hineingehen, welche Protokolle entstehen und wie Fehler erkannt werden. Ein IT-Leiter kann nicht nur auf eine Freigabe verweisen. Er braucht eine Struktur, die im Audit, in der Revision oder bei einem Vorfall nachvollziehbar bleibt.

Der EU AI Act erhöht den Druck auf saubere Einordnung

Die Europäische Kommission beschreibt den EU AI Act als risikobasierten Rechtsrahmen für künstliche Intelligenz. Nicht jede KI-Anwendung ist gleich kritisch. Manche Einsätze sind verboten, manche gelten als hochriskant, andere unterliegen Transparenz- oder allgemeinen Steuerungsanforderungen. Für ITSM-Organisationen ist diese Logik wichtig, weil sie eine saubere Inventarisierung erzwingt: Ohne Überblick lässt sich keine Risikoklasse belastbar zuordnen.

Das muss nicht bedeuten, dass jedes KI-Experiment sofort ein Großprojekt wird. Es bedeutet aber, dass produktive Nutzung eine Mindestspur braucht. Der Betrieb sollte wissen, ob ein System nur interne Texte sortiert, personenbezogene Daten verarbeitet, Empfehlungen für Menschen erstellt oder Entscheidungen in einem sensiblen Prozess beeinflusst. Gerade diese Unterscheidung entscheidet darüber, welche Kontrollen, Freigaben und Kommunikationspflichten relevant werden.

Ein KI-Inventar ist kein Excel-Friedhof

Das erste praktische Werkzeug ist ein schlankes KI-Inventar. Es sollte nicht als Ablage für schöne Projektbeschreibungen verstanden werden, sondern als Arbeitsliste für Betrieb und Steuerung. Sinnvoll sind wenige, klare Felder: Name des KI-Einsatzes, Zweck, betroffener Service, verantwortlicher Owner, Nutzergruppe, Datenarten, Lieferant oder Modellquelle, Integrationen, erwarteter Nutzen, bekannte Risiken, Freigabestatus, Kontrollpunkte und Termin für die nächste Überprüfung.

So ein Inventar hilft sofort. Der Service Desk weiß, welche KI-Funktionen in einem Service überhaupt existieren. Informationssicherheit sieht, welche Schnittstellen und Datenflüsse geprüft werden müssen. Datenschutz kann schneller bewerten, ob personenbezogene Daten betroffen sind. Change Management erkennt, ob eine neue Funktion nur ein Experiment bleibt oder in produktive Abläufe eingreift. Revision und Management erhalten eine gemeinsame Sprache, statt jedes Tool einzeln neu zu erklären.

Kontrollen müssen im Betrieb ankommen

Nachweise entstehen nicht allein durch das Inventar. Sie entstehen durch wiederholbare Kontrollen. Dazu gehören klare Freigabegrenzen, Testfälle vor produktiver Nutzung, dokumentierte menschliche Prüfung bei kritischen Ausgaben, Protokollierung wichtiger Entscheidungen, Monitoring auf Fehlverhalten und ein Verfahren zum Abschalten oder Zurückrollen. Der NIST AI Risk Management Framework arbeitet ebenfalls mit einer strukturierten Sicht auf Governance, Mapping, Messung und Management von Risiken. Auch hier ist die Botschaft für IT-Organisationen klar: Risiko wird nicht durch eine Absichtserklärung beherrscht, sondern durch wiederholbare Praxis.

Besonders wichtig ist die Grenze zwischen Assistenz und Entscheidung. Ein System, das Tickets sortiert, Zusammenfassungen erstellt oder Lösungsvorschläge macht, kann sehr hilfreich sein. Trotzdem muss klar bleiben, wann ein Mensch prüft, korrigiert oder verantwortet. Wenn diese Grenze unklar ist, verschiebt sich Verantwortung still in Richtung Maschine, während das Unternehmen nach außen weiter menschliche Qualität verspricht.

Service Management braucht verständliche Rollen

KI-Verantwortung darf nicht komplett bei einem Innovations- oder Daten-Team hängen bleiben. Für produktive Nutzung braucht es Rollen, die im Betrieb funktionieren. Der Service Owner verantwortet den Nutzen und die Auswirkungen auf Nutzer. Informationssicherheit bewertet Schutzbedarf und technische Risiken. Datenschutz prüft Datenverarbeitung und Betroffenenrechte. Architektur betrachtet Integration und Abhängigkeiten. Der Service Desk braucht verständliche Hinweise für Rückfragen und Störungen. Das Management entscheidet über akzeptierte Restrisiken.

Diese Rollen müssen nicht kompliziert werden. Entscheidend ist, dass sie sichtbar sind. Ein Freigabeprotokoll ohne Owner ist wertlos. Ein Risiko ohne Kontrolltermin bleibt Theorie. Ein KI-Tool ohne Servicezuordnung verschwindet aus dem Betriebsblick. Gute KI-Governance beginnt deshalb nicht mit einem großen Gremium, sondern mit eindeutigen Zuständigkeiten und kurzen, belastbaren Nachweisen.

Der beste Start ist klein, aber verbindlich

Ein pragmatischer Start kann in drei Schritten gelingen. Erstens: Alle produktiven und regelmäßig genutzten KI-Funktionen werden in ein gemeinsames Inventar aufgenommen. Zweitens: Für jeden Eintrag wird eine einfache Betriebsfrage beantwortet: Was kann schiefgehen, wer merkt es, wer handelt, und welcher Nachweis zeigt die Kontrolle? Drittens: Neue KI-Funktionen bekommen vor der produktiven Nutzung einen leichten Freigabepunkt, der Daten, Zweck, Owner und Kontrollgrenze festhält.

Das klingt weniger spektakulär als eine große KI-Strategie. Genau deshalb ist es für ITSM wertvoll. Der Betrieb braucht keine perfekte Zukunftserzählung, sondern verlässliche Anschlussfähigkeit: an Servicekatalog, Risiko-Register, Datenschutzprüfung, Wissensartikel, Incident-Prozess und Auditspur. KI-Verantwortung wird erst dann belastbar, wenn sie im Alltag auffindbar ist. Grundsatzreden schaffen Aufmerksamkeit. Nachweise schaffen Betriebsfähigkeit.

Quellen: ISO: ISO/IEC 42001 Artificial intelligence management system; Europäische Kommission: Regulatory framework on artificial intelligence; NIST: AI Risk Management Framework.