Warum KI-Audit gerade jetzt relevant ist
Die meisten Organisationen, die ich im Mittelstand treffe, haben KI nicht eingeführt. KI ist einfach da. Mitarbeiter nutzen ChatGPT, Copilot oder andere öffentliche Sprachmodelle – mal mit Erlaubnis, mal ohne, meist ohne klare Rahmenbedingungen. Das ist der Ausgangspunkt, nicht die Ausnahme.
Gleichzeitig wächst der Druck von außen: Der EU AI Act ist in Kraft. ISO 42001 existiert. Kunden stellen erste Fragen. Und in manchem Qualitätsmanagementsystem liegt irgendwo ein Dokument, das sich „KI-Richtlinie" nennt – ohne dass jemand genau weiß, ob sie gelebt wird.
In dieser Situation stellt sich eine sehr konkrete Frage: Wie prüfe ich, ob KI in meiner Organisation sicher, nachvollziehbar und verantwortungsvoll eingesetzt wird? Nicht theoretisch. Nicht auf Basis eines Normenkapitels. Sondern in der Praxis, mit den Menschen, die täglich damit arbeiten.
Darum geht es in diesem Artikel. Nicht um Checklisten. Sondern um Methode, Haltung und die Frage, was ein KI-Audit eigentlich prüfen muss.
KI-Audit ist kein Sonderthema neben dem Managementsystem. Es ist eine konsequente Weiterentwicklung dessen, was gute interne Audits schon immer getan haben: Verständnis, Verantwortung und Wirksamkeit prüfen.
Öffentliche vs. lokale Systeme – was ist auditierbar?
Eine Frage, die ich häufig höre: „Können wir ChatGPT überhaupt auditieren?" Die Antwort ist nüchtern: Das Modell selbst – nein. Aber darum geht es nicht.
Auditierbarkeit entsteht nicht durch das Modell. Sie entsteht durch Architektur und Prozessdesign. Die relevante Frage ist nicht, welche KI genutzt wird, sondern wie sie in Prozesse eingebettet ist, wer welche Daten eingibt, wer Ergebnisse prüft und wer Verantwortung trägt.
Der Unterschied zwischen öffentlichen und lokalen Systemen ist dabei weniger technisch als er zunächst wirkt:
Öffentliche LLMs (z. B. ChatGPT, Gemini)
Daten verlassen die Organisation. Keine Kontrolle über Training, Speicherung oder Drittlandtransfer. Nutzungsregeln sind oft unklar. Auditierbar ist: Wer nutzt was, mit welchen Daten, auf Basis welcher Regeln?
Lokale oder private Systeme
Datenhoheit bleibt in der Organisation. Architektur ist nachvollziehbar. Konfiguration ist prüfbar. Damit steigt die Auditierbarkeit erheblich – weil Steuerung und Verantwortung klar zuordbar sind.
Das bedeutet nicht, dass öffentliche Systeme grundsätzlich verboten sein müssen. Es bedeutet, dass ihre Nutzung klare Grenzen braucht – und dass diese Grenzen das eigentliche Prüfobjekt sind.
„Auditierbarkeit entsteht nicht im Modell. Sie entsteht im System drum herum: Datenklassifizierung, Prozessverantwortung, Nutzungsregeln, Schulungsstand."
Richtlinie und Systemdesign – kein Gegensatz
Die KI-Richtlinie ist ein notwendiger Schritt. Sie legt fest, was erlaubt ist, welche Datenkategorien in welche Systeme dürfen und wer Verantwortung trägt. Ohne diese Grundlage gibt es nichts zu prüfen.
Aber die Richtlinie allein ist nicht ausreichend. Und das ist keine Schwäche der Richtlinie – sondern eine strukturelle Eigenschaft von Regeln. Regeln werden verstanden oder nicht. Angewendet oder nicht. In der Praxis weiterentwickelt oder stillgelegt.
Systemdesign ist die operative Durchsetzung von Governance. Das heißt: Wie ist KI-Nutzung in Abläufe eingebettet? Gibt es Prüfschritte für KI-generierte Inhalte? Sind Rollen klar? Weiß die Führungsebene, welche Systeme genutzt werden?
Wer nur die Richtlinie prüft, prüft ein Dokument. Wer das System prüft, prüft die Wirklichkeit.
Gibt es in Ihrer Organisation einen Unterschied zwischen dem, was die KI-Richtlinie beschreibt, und dem, was Mitarbeitende im Alltag tun? Wenn ja: Was erklärt diesen Unterschied?
Vom Systemaudit zum Reifegrad-Audit
Nach der Einführung einer KI-Richtlinie ist das Systemaudit der richtige erste Schritt. Es schafft Stabilität. Es prüft, ob die Grundstruktur steht: Richtlinie vorhanden, kommuniziert, verstanden, in Prozesse eingebunden.
Das ist nicht wenig. Aber es ist auch nicht das Ziel.
Mit zunehmender Reife verschiebt sich das sinnvolle Prüfobjekt. Nicht mehr: Haben wir ein Kapitel zu KI? Sondern: Wie treffen Mitarbeitende tatsächlich Entscheidungen, wenn KI-Systeme involviert sind?
Systemaudit (Einstieg)
Prüfen, ob die KI-Richtlinie existiert, bekannt ist und in Prozesse überführt wurde. Stabilisieren der Grundstruktur.
Prozessorientiertes Audit
Wie ist KI in konkrete Abläufe integriert? Wer prüft KI-Outputs? Wo sind Schnittstellen zu bestehenden Kontrollen?
Reifegrad-Audit (Ziel)
Wirkung vor Dokumentation. Verständnis, Verantwortungsbewusstsein und Steuerungsfähigkeit als Maßstab – nicht Kapitelabdeckung.
Der Wechsel von Schritt 1 zu Schritt 3 ist kein Bruch. Er ist eine Entwicklung. Und er erfordert eine veränderte Auditmethodik: weniger Checkliste, mehr Dialog. Weniger Dokumentenprüfung, mehr Verständnisfragen.
Kernfragen im Reifegrad-Audit
Wer in dieser Abteilung entscheidet, welche Informationen in KI-Systeme eingegeben werden dürfen?
Wie wird ein KI-generiertes Ergebnis geprüft, bevor es weiterverwendet wird?
Was würden Sie tun, wenn Sie unsicher sind, ob eine KI-Nutzung zulässig ist?
Ist Ihnen ein Fall bekannt, in dem ein KI-Output zu einem falschen Ergebnis geführt hat?
Welche KI-Tools nutzen Mitarbeitende in Ihrer Abteilung – auch inoffiziell?
Diese Fragen prüfen keine Dokumente. Sie prüfen Verständnis, Verantwortungsbewusstsein und die Fähigkeit zur Steuerung im Alltag.
Schatten-KI als Reifegradindikator
Schatten-KI – also die Nutzung von KI-Tools außerhalb offizieller Freigaben – wird häufig als Fehlverhalten behandelt. Das greift zu kurz.
Natürlich hat unkontrollierte KI-Nutzung reale Konsequenzen: Datenschutzverstöße, unkontrollierte Abhängigkeiten, Qualitätsrisiken. Das ist ernst zu nehmen. Aber wer Schatten-KI im Audit nur als Regelverstoß adressiert, verpasst die eigentliche Information.
Schatten-KI ist ein Organisationssignal. Sie zeigt, dass Mitarbeitende einen konkreten Bedarf haben, den das Unternehmen bislang nicht adressiert. Sie zeigt, dass die Governance-Strukturen noch nicht ausreichend greifen. Und sie zeigt, wo die Lücken zwischen Richtlinie und Realität liegen.
Wenn Schatten-KI im Gespräch auftaucht, ist das kein Moment für Sanktionen. Es ist ein Moment für Verständnis. Was treibt diese Nutzung? Was fehlt im offiziellen Angebot? Welche Prozesse sind ineffizient genug, dass Menschen außerhalb der Regeln nach Lösungen suchen?
Die Antworten auf diese Fragen sind diagnostisch wertvoll – und der erste Schritt zu nachhaltigen Lösungen.
Ein hoher Anteil an Schatten-KI in einer Organisation deutet nicht primär auf schlechte Mitarbeitende hin. Er deutet auf einen frühen Reifegrad hin: Bedarf ist vorhanden, Governance noch nicht. Diesen Zusammenhang klar zu benennen – ohne Schuldzuweisung, mit Lösungsorientierung – ist eine der wichtigsten Aufgaben im KI-Audit.
Integration in bestehende ISO-Strukturen
Ein häufiger Reflex: KI braucht eine neue Norm, eine neue Struktur, ein neues System. Dieser Reflex ist verständlich – aber nicht hilfreich. Er erzeugt Parallelstrukturen, erhöht den Pflegeaufwand und schwächt die Akzeptanz.
Die gute Nachricht für alle, die mit ISO 9001, ISO 14001, ISO 45001 oder ähnlichen Normen arbeiten: Sie haben das Fundament bereits. Die High Level Structure (HLS), die allen modernen ISO-Normen zugrunde liegt, ist so aufgebaut, dass neue Themen – darunter KI – sauber integriert werden können.
Was ISO 9001 bereits abdeckt
Kontext der Organisation (Kapitel 4): Wer nutzt KI? Mit welchen Risiken? Welche externen Anforderungen gelten (EU AI Act, DSGVO)?
Führung (Kapitel 5): Wer ist verantwortlich? Ist KI-Nutzung in der Qualitätspolitik verankert?
Planung (Kapitel 6): Welche Risiken entstehen durch KI? Welche Chancen?
Unterstützung (Kapitel 7): Kompetenz und Bewusstsein – genau das, was der EU AI Act fordert.
Betrieb (Kapitel 8): Wie ist KI in Prozesse eingebunden? Wer prüft Outputs?
Leistungsbewertung (Kapitel 9): Das interne Audit als natürlicher Ort für KI-Prüfung.
ISO 42001 ist eine sinnvolle Erweiterung für Organisationen, die KI als Kernkompetenz entwickeln wollen. Sie ist aber kein Startpunkt und keine Pflicht. Wer mit ISO 9001 arbeitet, hat bereits eine solide Basis – und kann KI dort integrieren, ohne eine weitere Norm einführen zu müssen.
Integration statt Neuerfindung bedeutet: KI-Themen werden in bestehende Kapitel eingearbeitet, bestehende Prozesse werden erweitert, und das interne Audit – das Sie bereits kennen und durchführen – wird zum zentralen Instrument der KI-Governance.
Agentische Systeme und neue Prüfobjekte
Die bisherigen Überlegungen gelten für KI-Systeme, die auf menschliche Eingaben reagieren: Chatbots, Textgeneratoren, Analyse-Tools. Diese Art von KI-Nutzung ist bereits Alltag im Mittelstand.
Was sich verändert – und was Auditoren im Blick haben müssen – ist der Übergang zu agentischer KI. Systeme, die nicht nur antworten, sondern eigenständig handeln: Mails verfassen und versenden, Daten abrufen, Workflows auslösen, Entscheidungen vorbereiten – oder treffen.
Mit steigender Autonomie verändert sich das Prüfobjekt grundlegend. Nicht mehr: Hat der Mitarbeitende die KI richtig genutzt? Sondern: Ist das System so konfiguriert, gesteuert und begrenzt, dass seine Handlungen im Rahmen des Gewollten bleiben?
Auditorische Kernfragen für agentische Systeme
Welche Aktionen kann das System eigenständig ausführen – und welche sind explizit gesperrt?
Gibt es Eskalationspunkte, an denen menschliche Entscheidung erforderlich ist?
Wie wird protokolliert, was das System getan hat – und warum?
Wer kann das System im Fehlerfall stoppen oder korrigieren?
Wer trägt Verantwortung, wenn eine autonome Aktion zu einem Fehler führt?
Diese Entwicklung ist für den Mittelstand noch kein flächendeckendes Thema. Aber sie ist absehbar. Wer heute seine Audit-Methodik weiterentwickelt, ist vorbereitet – ohne überfordert zu sein.
Je autonomer KI-Systeme werden, desto weniger geht es im Audit um Nutzerverhalten. Und desto mehr geht es um Systemdesign, Konfigurationsverantwortung und die Fähigkeit der Organisation, Steuerung zurückzugewinnen, wenn es nötig ist.
Fazit: Steuerungsfähigkeit als Maßstab
Was macht eine Organisation, die KI gut auditiert, eigentlich aus? Nicht die Zahl der Dokumente. Nicht die Vollständigkeit einer Normenabdeckung. Und nicht die technische Sophistiziertheit der eingesetzten Systeme.
Was zählt, ist Steuerungsfähigkeit: die Fähigkeit einer Organisation, zu wissen, was ihre KI-Systeme tun, das Handeln dieser Systeme im Rahmen des Gewollten zu halten, Abweichungen zu erkennen und zu korrigieren – und Verantwortung klar zuordnen zu können.
KI-Reife misst sich nicht an Dokumenten. Sie misst sich an Entscheidungen im Alltag. Weiß die Mitarbeiterin im Vertrieb, welche Informationen sie in ein KI-System eingeben darf? Weiß der Teamleiter in der Produktion, wer ihm hilft, wenn er unsicher ist? Weiß die Geschäftsleitung, welche KI-Tools tatsächlich genutzt werden?
Wenn die Antwort auf diese Fragen „ja" lautet – nicht weil es so im Dokument steht, sondern weil es gelebte Praxis ist – dann ist das ein Zeichen echter Reife.
Der Weg dorthin ist nicht kurz. Aber er beginnt mit einem ersten Schritt: dem Systemaudit nach Einführung der KI-Richtlinie. Der Rest ist Entwicklung – kontinuierlich, strukturiert, dialogorientiert.
„KI gehört ins Managementsystem – nicht daneben. Und Steuerungsfähigkeit ist der einzige Maßstab, der langfristig zählt."
Wo steht Ihre Organisation?
Ob Systemaudit, Reifegradbewertung oder Integration in Ihr bestehendes ISO-System – ich begleite Sie durch den Prozess. Ohne Standardrezept. Ohne Alarmismus.
Kostenloses Erstgespräch buchen