Die Verantwortung wird nirgendwo übernommen: Im Verantwortlichkeitsvakuum der KI
Ablehnungsrealität: KI-Systeme lehnen Bewerbungen ab, ohne dass eine menschliche Überprüfung erfolgt – das wirft rechtliche Fragen zur Verantwortlichkeit auf.
Governance-Lücke: Bei der KI-Governance fehlt klare Verantwortlichkeit, da Richtlinien keine eindeutige Zuständigkeit für Entscheidungsfolgen festlegen.
KI-Verantwortlichkeit: Gerichte fragen, wer KI-Entscheidungen überwachen soll, und machen Arbeitgeber für diskriminierende KI-Entscheidungen haftbar.
Richtlinien-Fehlanpassung: Bestehende Richtlinien passen sich nicht organisatorischen Veränderungen an, was zu Governance-Problemen bei KI-Tools führt.
Rechtliche Implikationen: Das KI-Gesetz von Colorado setzt einen Präzedenzfall für KI-Verantwortlichkeit und beeinflusst Beschäftigungsentscheidungen und rechtliche Standards landesweit.
Um 1:50 Uhr morgens erhielt Derek Mobley eine Absage. Weniger als eine Stunde zuvor hatte er sich beworben. Kein Personalverantwortlicher hatte seinen Lebenslauf geprüft, kein Recruiter seine Erfahrung bewertet.
Das System bearbeitete ihn, fällte ein Urteil und machte weiter, noch bevor irgendjemand im Unternehmen mit dem Arbeitstag begonnen hatte. Mobley, der Black und über vierzig ist, bewarb sich über Workdays Plattform auf mehr als hundert Stellen – und wurde jedes Mal abgelehnt.
Die Klage, die er 2023 einreichte, ist mittlerweile eine landesweit zertifizierte Sammelklage, die potenziell Hunderte Millionen Bewerber umfasst. Workday argumentiert, kein Arbeitgeber zu sein, was technisch gesehen stimmt. Die Arbeitgeber sagen, sie hätten die Entscheidungen nicht getroffen, was ebenfalls technisch stimmt. Ein Bundesgericht hat nun festgestellt, dass genau diese beiden Tatsachen zusammen das eigentliche Problem sind.
Keep Reading—and Keep Leading Smarter
Create a free account to finish this piece and join a community of forward-thinking leaders unlocking tools, playbooks, and insights for thriving in the age of AI.
Have an account? Log In
Wenn eine Plattform nicht nur Kriterien anwendet, sondern am Entscheidungsprozess teilnimmt, übt sie unternehmerisches Ermessen aus und handelt als Vertreter des Arbeitgebers. Damit haftet letztlich das Unternehmen. Worum es Gerichten nun geht, ist nicht die Frage, ob die KI eine schlechte Entscheidung getroffen hat. Sondern: Wer hätte sie überwachen müssen?
Diese Frage landet nun auf dem Schreibtisch der Personalchefs (CHROs). Nicht, weil sie sich freiwillig gemeldet hätten, und schon gar nicht, weil sie die nötige Autorität, das Budget oder eine entsprechende Rechtsstruktur hätten. Sondern, weil es irgendjemand machen muss – und sie in den meisten Unternehmen die Einzigen sind, die das Risiko, das KI in Bezug auf Menschen verursacht, fachlich verantworten könnten.
Überall verantwortlich, nirgends rechenschaftspflichtig
Sean McIntire, Chefsyndikus bei PEBL, hat beobachtet, wie Organisationen mit ehrlichem Engagement KI-Richtlinien erarbeiten, die dann irgendwo zwischen Führungsetage und den tatsächlich Entscheidenden verschwinden.
„Überall verantwortlich, irgendwo rechenschaftspflichtig“, sagte er diese Woche auf einem Panel zum KI-Risiko bei der Transform in Las Vegas. Die Formulierung klingt nach einer Lösung. Ist es aber nicht.
Er zieht den Vergleich zur DSGVO. Als diese Regulierung kam, herrschte Panik. Viele Unternehmen hatten keine klare Übersicht, wo ihre personenbezogenen Daten lagen, wer sie verarbeitete oder welche Verpflichtungen sie tatsächlich hatten.
Das Chaos war real, aber es hatte eine zwingende Wirkung. Unternehmen, die daraus mit einem robusten Daten-Governance-Programm hervorgingen, waren nicht nur compliant, sondern hatten auch Strukturen aufgebaut, die ihnen langfristig nützten.
McIntire argumentiert, dass sich KI genau an diesem Punkt vor einer solchen Zäsur befindet und dass Unternehmen sich genauso verhalten wie damals vor Inkrafttreten der DSGVO: Sie reagieren auf die offensichtliche Bedrohung, während das zugrundeliegende Strukturproblem ungelöst bleibt.
Das zugrundeliegende Strukturproblem ist schlicht: KI-Tools gelangten in die Arbeitswelt vor allem über den Effizienzfaktor – also schnellere Einstellungen, automatisierte Leistungsindikationen, Gehaltsbenchmarks und kontinuierliches Feedback.
Die Unternehmen behandelten Beschaffung und Governance dabei als getrennte Fragestellungen. Die Rechtsabteilung prüfte die Verträge. Die IT gab die Sicherheitsfreigabe. Die Buchhaltung genehmigte das Budget. Das HR bekam die Einführung übergeben und sollte sie betreuen.
Was niemand klar regelte: Wem gehört das Risiko, wenn das Tool eine entscheidende und schädigende Entscheidung trifft?
McIntires Einschätzung bringt es genau auf den Punkt. KI-Governance ist in den meisten Unternehmen von Natur aus diffus. Es gibt Richtlinien. Es gibt Arbeitsgruppen. Es gibt Nutzungsanweisungen. Was fehlt, ist eine namentlich benannte Person mit ausreichend Befugnissen und Ressourcen, um die Verantwortung zu übernehmen, wenn etwas schiefgeht.
Das Komitee ist um 2 Uhr morgens nicht da
Zahlen machen das greifbar: Eine Gartner-Umfrage unter über 1.800 Führungskräften ergab, dass mittlerweile 55 % der Unternehmen ein KI-Board oder ein eigenes Aufsichtsgremium geschaffen haben. Das klingt nach Fortschritt – bis man die McKinsey-Zahl danebenstellt: Nur 28 % der Unternehmen geben an, dass der CEO die Verantwortung für die Aufsicht der KI-Governance direkt übernimmt.
Bei den Unternehmensgremien sieht es noch schlechter aus: Nur 17 % haben KI-Governance formell in die Ausschuss-Charts aufgenommen.
Es gibt die Gremien. Die Verantwortung bleibt dennoch aus.
Vittoria Reimers, die bei Juniper Square den Personalbereich leitet und eines der operativ durchdachtesten KI-Governance-Modelle im Mittelstand aufgebaut hat, misst rein formellen Komitees wenig Bedeutung bei.
Ihre erste Verteidigungslinie sind Ihre Mitarbeitenden und Ihre Prozesse. Das Governance-Komitee wird einfach nicht anwesend sein, wenn jemand um 2 Uhr morgens in Sekundenschnelle eine Entscheidung trifft.
Worauf sie hinweist, ist eine organisatorische Realität, die Governance-Rahmenwerke selten berücksichtigen. Die Entscheidungen, die das größte Risiko bergen, werden nicht in Ausschusssitzungen getroffen. Sie werden von Ingenieur:innen gefällt, die unter Zeitdruck Modellfunktionen entwickeln, von Führungskräften, die auf KI-generierte Leistungswarnungen reagieren und eine Kündigung empfehlen, von Recruiter:innen, die Kandidat:innen durch Screening-Tools laufen lassen, deren zugrundeliegende Logik sie nicht vollständig verstehen.
Das Governance-System arbeitet auf einer Abstraktionsebene, auf der die eigentliche Arbeit nicht stattfindet.
Reimers entwickelte bei Juniper Square eine praktische Antwort darauf. Ihr Team schuf das sogenannte ACE. Es besteht aus ungefähr zehn bis zwölf Mitarbeitenden aus verschiedenen Bereichen der Organisation, die informell als KI-Berater:innen fungieren, während sie ihre regulären Aufgaben beibehalten.
Das Angebot war klar: Wenn du etwas entwickelst und nicht weißt, ob es sicher oder skalierbar ist, komm zu ACE. Die Resonanz überraschte sie. Die Menschen kamen regelmäßig, denn schließlich gab es einen Prozess, der die tatsächlichen Probleme adressierte, mit denen sie konfrontiert waren – und keinen Policy-Text, der über ihnen schwebte.
Verbringe viel Zeit mit deiner Nutzungsrichtlinie, deinem Governance Board, deinem Governance-Komitee", sagte sie. "Und dann investiere das Zehnfache dieser Zeit in deine Mitarbeitenden – ihre Befähigung, ihre Weiterbildung, deine Unternehmenskultur.
Das ACE-Modell löst die Frage der Verantwortlichkeit an der Spitze der Organisation nicht. Aber es schafft etwas, wozu formale Governance-Strukturen nicht in der Lage sind: Es verlagert die Zuständigkeit dorthin, wo die Entscheidungen tatsächlich getroffen werden.
Was HR geerbt hat
Matt Poepsel betrachtet diese Lücke aus einer anderen Perspektive. Als Vice President of Talent Optimization bei The Predictive Index arbeitet er eng mit HR-Führungskräften zusammen, die die Diskrepanz zwischen dem Versprechen der KI und ihrer tatsächlichen Leistungsfähigkeit ohne organisatorischen Kontext erleben.
Er erzählt eine Geschichte aus seiner eigenen Zeit als Führungskraft, in der ihm der Kontext fehlte, um gut zu führen – in der er Entscheidungen traf, die er später bereute, nicht aus schlechter Absicht, sondern aufgrund unvollständiger Informationen.
Genau das, so argumentiert er, passiert gerade durch KI in jeder Organisation im großen Maßstab, wenn ein allgemeines Tool eingesetzt und erwartet wird, dass es das Spezifische der eigenen Belegschaft versteht.
Sie sagen, wir müssen den Menschen im Entscheidungsprozess behalten. Ich würde sagen, wir müssen Human Resources im Prozess behalten. Ich sehe, wie HR mit demselben Problem ringt, mit dem ich zu kämpfen hatte, als ich mich zu sehr auf den technischen Teil konzentrierte.
Diese Marginalisierung ist zum Teil strukturell, zum Teil historisch gewachsen. HR hat jahrelang darum gekämpft, Platz am Tisch der Unternehmensführung zu bekommen. Mit Einführung der KI-Tools wurden diese oft als Möglichkeit präsentiert, dass HR durch schnellere Einstellungsprozesse, geringere Fluktuationskosten und automatisierte Compliance einen ROI nachweisen kann.
Diese Einordnung machte HR zu einem Nutznießer von KI-Einführungen, nicht zu einem Architekten davon. Die Governance-Diskussion, sofern sie überhaupt stattfand, bezog meist Recht, IT und Finanzen ein. HR bekam die Tools. Die Verantwortung dafür lag woanders – oder nirgends konkret.
Poepsels Kritik ist deutlich: Allgemeine KI kennt Ihre Organisation nicht. Sie kennt weder die Unternehmenskultur, noch die Dynamiken im Verhalten, die Historie oder die spezifischen Personengruppen, über die sie Entscheidungen trifft.
Das Ergebnis sind scheinbar plausible Ausgaben, denen der Kontext fehlt, den jede erfahrene HR-Fachkraft instinktiv in sich trägt. Wenn KI eine Leistungsauffälligkeit meldet, eine:n Kandidat:in bewertet oder eine Gehaltsanpassung empfiehlt, arbeitet sie mit Mustern, ohne Wissen über die reale Person. Die HR-Leitung, die seit drei Jahren Teil dieses Raumes ist, hat dieses Wissen.
Wenn KI es leisten kann, ist es per Definition eine austauschbare Leistung, sagte Poepsel. "Was Sie beitragen, ist Differenzierung.
Das ist unangenehm, aber wichtig. Der Wert von HR in einer KI-unterstützten Organisation liegt nicht in der Ausführung – das können die Tools schneller erledigen. Der Wert liegt im Urteilsvermögen: zu erkennen, wann das Ergebnis falsch ist, wann Kontext zählt, wann eine Entscheidung Konsequenzen hat, die das Modell nicht erfassen kann.
Gerade dieses Urteilsvermögen wird in Organisationen verdrängt, die KI einführen, ohne Prozesse und Rollen entsprechend neu zu gestalten.
Die rechtliche Zwangswirkung
Am 30. Juni 2026 tritt das Colorado AI Act in Kraft und wird damit zum ersten bundesstaatlichen Gesetz in den USA, das umfassende Governance-Pflichten sowohl für Entwickler als auch für Anwender von KI-Systemen vorsieht, die Einfluss auf wesentliche Personalentscheidungen nehmen.
Die Anforderungen sind erheblich. Arbeitgeber müssen dokumentierte Risikomanagement-Programme unterhalten, jährliche Folgenabschätzungen durchführen, Mitarbeitende informieren, wenn KI eine für sie relevante Entscheidung beeinflusst hat, und diskriminierende Ergebnisse an den Generalstaatsanwalt melden.
Das Gesetz empfiehlt den NIST AI Risk Management Framework als maßgeblichen Compliance-Standard. Es gilt unabhängig von der Größe des Arbeitgebers.
Colorado könnte hier einen größeren Einfluss haben, als man auf den ersten Blick erwarten würde. Andere Bundesstaaten beobachten dies, und die vom Gouverneur Jared Polis einberufene regulatorische Arbeitsgruppe hat sich erst diesen Monat einstimmig auf Überarbeitungen geeinigt – das bedeutet, dass die endgültige Gesetzesform zwar noch in Bewegung ist, nicht aber ihre Zielsetzung.
Mobley verdeutlicht, warum das auch über Colorado hinaus relevant ist. Das Gericht brauchte kein bundesstaatliches KI-Gesetz, um festzustellen, dass Workday als Vertreter der Arbeitgeber, die seine Plattform nutzen, haftbar gemacht werden kann.
Die Agenturtheorie, nach der die Mitwirkung an einer entscheidenden Handlung eine geteilte Verantwortung begründet, wird derzeit bereits auf KI-Tools angewandt – und zwar auf Grundlage bestehender bundesweiter Antidiskriminierungsgesetze. Ein Unternehmen muss nicht in Colorado tätig sein, um sich dem Argument stellen zu müssen, dass es eine Einstellungsentscheidung an ein System delegiert hat, das tatsächliches Urteilsvermögen ausübte – und dass dieses Urteilsvermögen mitten in der Nacht um 1:50 Uhr ein diskriminierendes Ergebnis erzeugt hat, während alle schliefen.
Dieses rechtliche Risiko führt direkt auf ein Governance-Vakuum zurück. Ein Arbeitgeber, der nicht nachweisen kann, wer das KI-Tool vor der Einführung überprüft hat, wer es auf diskriminierende Muster überwacht, und wer für seine Ergebnisse verantwortlich ist, hat keine effektive Verteidigung, wenn eine Entscheidung angefochten wird. Der Ausschuss hatte zwar eine Sitzung. Aber niemand hat wirklich aufgepasst.
Neuaufteilung der Verantwortlichkeiten
Chelsea Gregory vom Healthcare-KI-Unternehmen Suki hat kürzlich eine Überarbeitung des Mitarbeiterhandbuchs begleitet. Sie schilderte dem Publikum auf der Transform anschaulich, wie sich die Governance-Lücke bereits zeigt, bevor sie zum juristischen Problem eskaliert.
Eine flexible Urlaubsregelung, die im kleinen Team gut funktionierte, führte beim Wachstum des Unternehmens plötzlich zu Gerechtigkeitsbeschwerden. Eine Führungskraft bewilligte längere Auszeiten für neue Mitarbeitende, während erfahrene Mitarbeitende fanden, dass die Regel inkonsistent angewandt wurde. Keine böse Absicht – die Dokumentation war einfach nicht mit dem Firmenwachstum mitgewachsen.
Das Gleiche passiert bei KI-Tools. Richtlinien, die für einen Einsatzkontext konzipiert wurden, lassen sich nicht automatisch übertragen, wenn das Unternehmen wächst, sich die Belegschaft verändert oder das Tool aktualisiert wird.
Haben Sie die richtigen Dokumentationen und Prozesse implementiert? Und wie stellen Sie sicher, dass diese korrekt und zweckdienlich sind?
In den meisten Organisationen ist niemand offiziell verantwortlich, dies zu überprüfen.
Diese Lücke zu schließen, erfordert mehr als nur ein besseres Regelwerk. McIntire plädiert für Integration, mit anderen Worten: KI-Risiken sollten nicht außerhalb des Enterprise Risk Management Frameworks als Sonderfall behandelt werden. Sie müssen in die bestehende Risikostruktur integriert sein, mit derselben klaren Verantwortung, wie sie für andere operative Risiken gilt.
Die Frage ist dann: Haben die Verantwortlichen bestehender Risikoprozesse auch die Befugnis, die richtigen Kenntnisse und den Zugriff in der Organisation, um diese effektiv auf KI anzuwenden?
Reimers und Poepsel kommen aus unterschiedlichen Richtungen zum gleichen Ergebnis. Das ACE-Modell funktioniert, weil es Verantwortlichkeit nah an die eigentliche Arbeit bringt. Das HR-Multiplikator-Framework funktioniert, weil es explizit macht, was der HR-Bereich einzigartig bietet – Unternehmenswissen, Kontext menschlichen Verhaltens, die Fähigkeit, Modellergebnisse mit der betroffenen echten Person abzugleichen. Keines davon ersetzt formale Governance. Beide machen formale Governance erst bedeutungsvoll.
Von CHROs wird aktuell verlangt, Verantwortung für KI-Entscheidungen zu übernehmen, ohne gleichzeitig die dafür notwendige Steuerungsbefugnis zu bekommen – ein strukturelles Defizit, das fälschlicherweise als Talentproblem gedeutet wird.
Organisationen, die es als Letzteres betrachten, werden wahrscheinlich weiterhin Plätze in Gremien besetzen, die keine echte Entscheidungsbefugnis haben. Die eigentliche Arbeit besteht darin, die Verteilung der Governance-Kompetenzen innerhalb der Führungsebene neu zu gestalten, sodass Verantwortung und Macht gemeinsam übertragen werden.
Die Forschung von Gartner für das Jahr 2025 bringt die aktuelle Situation auf den Punkt: Weniger als einer von vier IT-Führungskräften gibt an, sehr zuversichtlich zu sein, dass ihre Organisation die Governance bei der Einführung generativer KI-Tools managen kann. Mehr Unternehmen als je zuvor verfügen mittlerweile über formale Strategien auf dem Papier. Sehr wenige haben diese jedoch erfolgreich in die Praxis umgesetzt.
Die Lücke zwischen einer Richtlinie und einer Governance-Struktur mit echter Rechenschaftspflicht ist der Bereich, in dem das Risiko liegt. Es ist auch – dem Verlauf der aktuellen Klagen nach zu urteilen – genau dort, wo die nächsten Prozesse angestrengt werden.