Verantwortungslosigkeit auf allen Ebenen: Im Inneren des KI-Accountability-Vakuums
Ablehnungsrealität: KI-Systeme lehnen Bewerbungen ohne menschliche Überprüfung ab, was rechtliche Fragen der Verantwortlichkeit aufwirft.
Governance-Lücke: Bei der KI-Steuerung fehlt die klare Zuordnung von Verantwortlichkeiten, da Richtlinien keine Besitzverhältnisse für Entscheidungsfolgen festlegen.
KI-Verantwortlichkeit: Gerichte fragen, wer die Überwachung von KI-Entscheidungen übernehmen sollte, und halten Arbeitgeber für diskriminierende KI-Ergebnisse haftbar.
Politik-Fehlausrichtung: Bestehende Richtlinien passen sich nicht an organisatorische Veränderungen an, was zu Steuerungsproblemen bei KI-Tools führt.
Rechtliche Auswirkungen: Das KI-Gesetz von Colorado setzt einen Präzedenzfall für KI-Verantwortlichkeit und beeinflusst arbeitsbezogene Entscheidungen sowie rechtliche Standards landesweit.
Um 1:50 Uhr morgens erhielt Derek Mobley eine Absage. Weniger als eine Stunde zuvor hatte er sich beworben. Kein Personalverantwortlicher hatte seinen Lebenslauf geprüft, kein Recruiter hatte seine Erfahrung abgewogen.
Das System prüfte ihn, fällte ein Urteil und machte weiter, noch bevor jemand im Unternehmen mit dem Arbeitstag begonnen hatte. Mobley, der schwarz und über vierzig ist, bewarb sich über die Plattform Workday auf mehr als hundert Stellen und wurde jedes Mal abgelehnt.
Die Klage, die er 2023 einreichte, ist inzwischen als landesweite Sammelklage zugelassen und könnte potenziell Hunderte Millionen Bewerber betreffen. Workday argumentiert, dass es nicht der Arbeitgeber sei, was technisch korrekt ist. Die Arbeitgeber sagen, sie hätten die Entscheidungen nicht getroffen, was ebenfalls technisch korrekt ist. Ein Bundesgericht hat entschieden, dass genau dieses Zusammenfallen der beiden Tatsachen das Problem ist.
Keep Reading—and Keep Leading Smarter
Create a free account to finish this piece and join a community of forward-thinking leaders unlocking tools, playbooks, and insights for thriving in the age of AI.
Have an account? Log In
Wenn eine Plattform ein Urteil fällt, also nicht nur Kriterien anwendet, sondern aktiv an der Entscheidung mitwirkt, agiert sie als Agent des Arbeitgebers. Damit übernimmt der Arbeitgeber die Haftung. Was Gerichte nun klären wollen, ist nicht, ob die KI eine schlechte Entscheidung getroffen hat. Sondern wer sie eigentlich hätte überwachen sollen.
Diese Frage landet nun auf den Schreibtischen der Personalvorstände. Nicht, weil sie sich darum gerissen hätten, und schon gar nicht, weil sie über die Befugnisse, das Budget oder die juristische Infrastruktur verfügen, um sie zu beantworten. Sondern weil es jemand tun muss, und sie in den meisten Organisationen am ehesten als Eigentümer des menschenbezogenen Risikos durch KI angesehen werden.
Überall im Besitz, nirgends verantwortlich
Sean McIntire, Chief Legal Officer bei PEBL, hat erlebt, wie Unternehmen KI-Richtlinien mit echter Sorgfalt erstellen, nur um zu sehen, wie diese irgendwo zwischen Vorstandsetage und den tatsächlichen Entscheidungsträgern verschwinden.
„Überall im Besitz, irgendwo verantwortlich“, sagte er diese Woche auf einer Podiumsdiskussion zu KI-Risiken bei Transform in Las Vegas. Die Formulierung klingt wie eine Lösung. Ist es aber nicht.
Er zieht den Vergleich zur DSGVO. Als diese Regulierung eingeführt wurde, herrschte Chaos in den Unternehmen. Viele hatten keinen klaren Überblick darüber, wo ihre personenbezogenen Daten gespeichert waren, wer sie verarbeitete oder welche Verpflichtungen tatsächlich bestanden.
Das Chaos war real, aber es hatte auch eine zwingende Funktion. Die Unternehmen, die daraus mit starken Programmen für Daten-Governance hervorgingen, waren nicht nur compliant geworden, sondern hatten auch eine robuste Infrastruktur geschaffen.
McIntire argumentiert, dass KI sich im selben prä-zwingenden Moment befindet und die meisten Unternehmen genauso handeln wie vor Inkrafttreten der DSGVO: Sie reagieren auf die Bedrohung an der Oberfläche, während das eigentliche strukturelle Problem ungelöst bleibt.
Das strukturelle Problem, klar benannt, ist dieses: KI-Tools kamen in die Arbeitswelt vor allem durch die Effizienztür, die zu schnellerer Einstellung, automatisierten Leistungsindikatoren, Gehaltsbenchmarks und kontinuierlichen Feedback-Schleifen führte.
Die Unternehmen, die sie einführten, behandelten Beschaffung und Governance als getrennte Probleme. Die Rechtsabteilung prüfte die Verträge. Die IT genehmigte die Sicherheit. Die Finanzabteilung segnete das Budget ab. Die Personalabteilung bekam die Einführung übertragen und sollte sich kümmern.
Klar geregelt war jedoch nicht, wer das Risiko trägt, wenn das Tool eine folgenreiche Entscheidung trifft, die jemandem schadet.
McIntires Formulierung trifft es genau: KI-Governance ist in den meisten Organisationen absichtlich diffus. Es gibt die Richtlinie. Es gibt die Arbeitsgruppe. Es gibt die Nutzungsanweisungen. Was fehlt, ist eine namentlich benannte Person mit sowohl Befugnissen als auch Ressourcen, die rechenschaftspflichtig ist, wenn etwas schiefläuft.
Das Komitee ist um 2 Uhr morgens nicht da
Zahlen machen dies greifbar. Eine Gartner-Umfrage unter mehr als 1.800 Führungskräften ergab, dass 55 % der Unternehmen inzwischen ein KI-Gremium oder eine dedizierte Aufsichtskommission eingerichtet haben. Das klingt nach Fortschritt, bis man die dazugehörige Zahl von McKinsey betrachtet: Nur 28 % der Unternehmen geben an, dass der CEO direkte Verantwortung für die Überwachung der KI-Governance übernimmt.
Für Gremien sieht es noch schlechter aus: Nur 17 % haben KI-Governance formell in ihren Ausschussaufgaben verankert.
Die Komitees existieren. Die Rechenschaft folgt nicht.
Vittoria Reimers, die bei Juniper Square den Personalbereich leitet und eines der arbeitspraktisch solidesten KI-Governance-Modelle für ein mittelständisches Unternehmen geschaffen hat, misst allein Komitees wenig Gewicht bei.
Ihre erste Verteidigungslinie sind Ihre Mitarbeitenden und Ihre Prozesse. Das Lenkungsgremium wird schlichtweg nicht präsent sein, wenn jemand um 2 Uhr morgens eine Entscheidung im Bruchteil einer Sekunde trifft.
Worauf sie hinweist, ist eine organisatorische Realität, die Governance-Rahmenwerke selten berücksichtigen. Die Entscheidungen, die das größte Risiko bergen, werden nicht in Sitzungsräumen getroffen. Sie werden von Ingenieur:innen gefällt, die unter Termindruck Modellfunktionen entwickeln, von Manager:innen, die KI-generierte Performance-Warnungen nutzen, um Kündigungen zu empfehlen, von Recruiter:innen, die Kandidat:innen mit Screening-Tools bewerten, deren zugrunde liegende Logik sie nicht vollständig durchschauen.
Die Governance-Instrumente arbeiten auf einer Abstraktionsebene, auf der die eigentliche Arbeit nicht stattfindet.
Reimers hat bei Juniper Square eine praktische Antwort darauf entwickelt. Ihr Team hat das sogenannte ACE ins Leben gerufen. Es besteht aus etwa zehn bis zwölf Mitarbeitenden aus verschiedenen Bereichen des Unternehmens, die als informelle KI-Berater:innen agieren und dabei weiterhin ihren regulären Aufgaben nachgehen.
Das Angebot war direkt: Wenn du etwas entwickelst und nicht weißt, ob es sicher oder skalierbar ist, komm zu ACE. Die Resonanz überraschte sie. Die Leute kamen regelmäßig, weil es nun erstmals einen Prozess gab, der die tatsächlichen Herausforderungen adressierte – und nicht bloß ein Regelwerk, das über ihnen schwebte.
Verbringe viel Zeit mit deiner Nutzungsrichtlinie, deinem Governance-Board, deinem Governance-Komitee", sagte sie. "Und investiere dann die zehnfache Zeit in deine Mitarbeitenden – in deren Befähigung, deren Training, eure Unternehmenskultur.
Das ACE-Modell löst die Frage der Verantwortlichkeit an der Unternehmensspitze nicht. Aber es erreicht etwas, das die formelle Governance-Struktur nicht kann: Es verlagert die Verantwortung dorthin, wo die Entscheidungen tatsächlich getroffen werden.
Was HR geerbt hat
Matt Poepsel hat diese Diskrepanz aus einer anderen Perspektive betrachtet. Als Vice President of Talent Optimization bei The Predictive Index arbeitet er eng mit HR-Führungskräften zusammen, die zwischen den Versprechen der KI und deren tatsächlichem Beitrag ohne organisatorischen Kontext navigieren müssen.
Er erzählt eine Geschichte aus seiner eigenen Karriere als Führungskraft, in der es ihm an Kontext fehlte, um gut zu führen – in der er Entscheidungen traf, die er später bereute, nicht aus böser Absicht, sondern wegen unvollständiger Informationen.
Genau das, so argumentiert er, macht KI aktuell in großem Maßstab in jedem Unternehmen, das ein generisches Tool eingeführt hat und erwartet, dass es die Besonderheiten der eigenen Belegschaft versteht.
Man sagt, wir müssen den Menschen in der Schleife halten. Ich würde sagen, wir müssen Human Resources in der Schleife halten. Ich sehe, dass HR mit demselben Problem kämpft wie ich damals, als ich zu sehr auf den technischen Teil fokussiert war.
Diese Marginalisierung ist teilweise strukturell, teilweise historisch. HR hat Jahre damit verbracht, sich einen Platz am Unternehmenstisch zu erarbeiten. Als KI-Tools aufkamen, wurden sie häufig als Mittel positioniert, mit denen HR durch schnellere Einstellungsprozesse, geringere Fluktuationskosten und automatisierte Compliance den ROI nachweisen sollte.
Dadurch wurde HR zum Nutznießer der KI-Einführung, nicht zum Architekten. Die Governance-Diskussion, falls sie überhaupt stattfand, betraf meistens Recht, IT und Finanzen. HR erhielt die Tools. Die Verantwortung dafür lag entweder bei anderen oder blieb ganz diffus.
Poepsels Kritik ist deutlich: Generische KI kennt Ihr Unternehmen nicht. Sie kennt weder Ihre Kultur noch Ihre Verhaltensdynamik, Ihre Geschichte oder die spezifischen Zielgruppen, über die Entscheidungen getroffen werden sollen.
Das Ergebnis sind plausibel klingende Ausgaben, denen der Kontext fehlt, den erfahrene Personalverantwortliche intuitiv mitbringen. Wenn KI eine Leistungsauffälligkeit meldet, einen Bewerber bewertet oder eine Anpassung der Vergütung empfiehlt, arbeitet sie mit Mustern, die nichts über die konkrete Person aussagen. Die HR-Leitung, die die Menschen seit drei Jahren kennt, weiß es besser.
Wenn KI etwas tun kann, ist es definitionsgemäß standardisiert, sagt Poepsel. "Was Sie einbringen, ist die Differenzierung."
Das ist unangenehm, aber wichtig. Der Wert von HR in einer KI-unterstützten Organisation liegt nicht in der Ausführung – das können die Tools schneller erledigen. Der Wert liegt im Urteilsvermögen: zu wissen, wann das Ergebnis falsch ist, wann Kontext zählt, wann eine Entscheidung Konsequenzen hat, die das Modell nicht erfassen kann.
Genau dieses Urteilsvermögen wird systematisch verdrängt aus Organisationen, die KI einführen, ohne die Prozesse und Rollen entsprechend neu zu gestalten.
Die rechtliche Triebkraft
Am 30. Juni 2026 tritt Colorados KI-Gesetz in Kraft und wird damit das erste Bundesstaatengesetz in den USA, das sowohl für Entwickler als auch für Anwender von KI-Systemen, die maßgebliche Personalentscheidungen beeinflussen, umfassende Governance-Pflichten festlegt.
Die Anforderungen sind erheblich. Arbeitgeber müssen dokumentierte Risikomanagement-Programme unterhalten, jährliche Auswirkungs-Bewertungen durchführen, Mitarbeitende informieren, wenn KI eine sie betreffende Entscheidung beeinflusst hat, und diskriminierende Ergebnisse an den Generalstaatsanwalt melden.
Das Gesetz empfiehlt das NIST AI Risk Management Framework als maßgeblichen Compliance-Standard. Es gilt unabhängig von der Größe des Arbeitgebers.
Colorado könnte hier eine größere Bedeutung haben als erwartet. Andere Bundesstaaten schauen genau hin, und die von Gouverneur Jared Polis einberufene regulatorische Arbeitsgruppe hat erst diesen Monat in allen Punkten einstimmig über Änderungen entschieden – das bedeutet, die endgültige Fasson des Gesetzes ist noch in Bewegung, aber nicht seine Zielsetzung.
Mobley legt dar, warum das weit über die Grenzen von Colorado hinaus relevant ist. Das Gericht brauchte kein einzelstaatliches KI-Gesetz, um festzustellen, dass Workday als Erfüllungsgehilfe der Unternehmen, die seine Plattform nutzen, haftbar gemacht werden kann.
Die Agenturtheorie, nach der die Beteiligung an einer folgenschweren Entscheidung zu geteilter Verantwortung führt, wird auf KI-Tools bereits heute angewandt – unter den bestehenden bundesweiten Anti-Diskriminierungsgesetzen. Ein Arbeitgeber muss nicht in Colorado ansässig sein, um sich dem Vorwurf zu stellen, er habe eine Einstellungsentscheidung an ein System delegiert, das tatsächliches Urteilsvermögen ausgeübt hat – und dieses Urteilsvermögen produzierte ein diskriminierendes Ergebnis, morgens um 1:50 Uhr, während alle schliefen.
Die rechtliche Gefährdung führt direkt zurück auf das Governance-Vakuum. Ein Arbeitgeber, der nicht nachweisen kann, wer das KI-Tool vor der Einführung geprüft hat, wer es auf diskriminierende Muster überwacht und wer letztlich für seine Ergebnisse verantwortlich ist, hat keine wirksame Verteidigung, wenn eine Entscheidung angefochten wird. Das Gremium hatte ein Treffen. Niemand hat wirklich aufgepasst.
Neuaufteilung von Verantwortung
Chelsea Gregory vom Healthcare-KI-Unternehmen Suki hat kürzlich die Überarbeitung des Mitarbeiterhandbuchs geleitet. Sie gab dem Publikum auf der Transform-Konferenz einen praxisnahen Einblick, wie sich die Governance-Lücke zeigt, bevor sie zum Rechtsproblem wird.
Eine flexible PTO-Richtlinie, die mit einem kleinen Team gut funktionierte, führte mit dem Unternehmenswachstum zu Beschwerden über die Gerechtigkeit. Ein Manager genehmigte längere Auszeiten für neue Mitarbeitende, während langjährige Beschäftigte das Gefühl hatten, die Regel werde inkonsequent angewandt. Niemand handelte böswillig. Die Dokumentation hatte nur einfach mit der Entwicklung der Organisation nicht Schritt gehalten.
Das gleiche Muster zeigt sich bei KI-Tools. Richtlinien, die für einen Einsatzkontext entworfen wurden, übertragen sich nicht automatisch, wenn die Organisation wächst, sich die Belegschaft verändert oder das Tool weiterentwickelt wird.
Haben Sie die richtige Dokumentation und die richtigen Prozesse implementiert? Und wie überprüfen Sie, dass diese korrekt sind und ihren Zweck erfüllen?
In den meisten Organisationen ist formal niemand dafür verantwortlich, das zu überprüfen.
Um diese Lücke zu schließen, braucht es mehr als ein besseres Richtliniendokument. McIntire plädiert für Integration: Das KI-Risiko sollte nicht außerhalb des Enterprise-Risikomanagement-Rahmens als exotische Extrakategorie stehen, sondern innerhalb der bestehenden Risikostruktur existieren – mit klaren Zuständigkeiten wie bei jedem anderen betrieblichen Risiko auch.
Die Frage ist dann: Haben die Menschen, die die bestehenden Risikoprozesse steuern, die Autorität, das nötige Training und den organisatorischen Zugang, diese auf KI-Anwendungen anzuwenden?
Reimers und Poepsel kommen aus unterschiedlichen Richtungen zur selben Schlussfolgerung. Das ACE-Modell funktioniert, weil es Verantwortung nah an die Arbeitswirklichkeit bringt. Das HR-Multiplier-Modell funktioniert, weil es explizit macht, was HR einzigartig einbringt – Organisationswissen, Verhaltenseinordnung, die Fähigkeit, das Ergebnis eines Modells mit den Menschen abzugleichen, die es betrifft. Keine Methode ersetzt formale Governance. Beide verleihen ihr Bedeutung.
Von CHROs wird nun erwartet, Verantwortung für KI-Entscheidungen zu übernehmen – ohne aktuell über die nötige Steuerungsbefugnis zu verfügen. Das ist ein strukturelles Versagen, das fälschlich als Personalproblem interpretiert wird.
Organisationen, die es wie Letzteres behandeln, werden vermutlich weiterhin Arbeitsgruppen mit Mitgliedern füllen, die keinerlei tatsächliche Befugnis haben. Die eigentliche Aufgabe besteht darin, die Verteilung der Governance-Kompetenzen innerhalb der Führungsebene neu zu gestalten, sodass Verantwortung und Macht gemeinsam übertragen werden.
Die Forschung von Gartner für 2025 bringt den aktuellen Stand auf den Punkt: Weniger als einer von vier IT-Führungskräften gibt an, sehr zuversichtlich zu sein, dass seine Organisation in der Lage ist, die Governance bei der Einführung generativer KI-Tools zu steuern. Mehr Unternehmen als je zuvor verfügen mittlerweile über formell ausgearbeitete Strategien. Nur sehr wenige haben diese jedoch auch erfolgreich in der Praxis umgesetzt.
Die Kluft zwischen einer Richtlinie und einer Governance-Struktur mit echter Verantwortlichkeit ist der Bereich, in dem das Risiko liegt. Es ist auch – dem Verlauf der Gerichtsverfahren nach zu urteilen – der Ort, an dem künftig neue Klagen eingereicht werden dürften.
