GOVERNANCE6 Min. Lesezeit

Die ersten 90 Tage: KI-Governance im Verwaltungsrat etablieren

Marco Quinter·14. April 2026

Letzte Woche in einer VR-Sitzung. Viertes Traktandum: KI. Der VRP öffnet die Diskussion mit einer ehrlichen Frage: "Wir wissen alle, dass wir etwas tun sollten. Aber womit genau fangen wir an?"

Zehn Minuten Diskussion. Kein Beschluss. Weiter zum nächsten Traktandum.

Dieses Muster beobachte ich in Schweizer Gremien regelmässig. Die Bereitschaft ist da. Was fehlt, ist ein konkreter Fahrplan. Nicht ein weiterer Workshop. Nicht eine weitere Studie. Sondern ein strukturierter Weg von "wir sollten etwas tun" zu "wir haben eine dokumentierte Governance-Grundlage."

Dieser Artikel beschreibt, wie ein Verwaltungsrat in 90 Tagen eine funktionierende KI-Governance aufbaut. Nicht theoretisch. Sondern mit konkreten Schritten, die in einer normalen VR-Kadenz umsetzbar sind.

Woche 1 bis 4: Sichtbarkeit schaffen

Was passiert: Der Verwaltungsrat beauftragt die Geschäftsleitung mit einem KI-Inventar. Nicht als IT-Projekt, sondern als Führungsaufgabe.

Drei Fragen an die GL:

  1. Welche KI-Systeme sind im Unternehmen im Einsatz, offiziell und inoffiziell?
  2. Welche Unternehmensdaten fliessen in diese Systeme?
  3. Wer hat die Nutzung freigegeben?

Die meisten Geschäftsleitungen können Frage 1 beantworten. Bei Frage 2 wird es dünn. Frage 3 erzeugt oft Stille.

Das ist kein Vorwurf. Es ist der normale Stand. Die Knight Gianella Studie 2025/26 zeigt: Nur 7 Prozent der Schweizer VR-Mitglieder sind mit dem KI-Kompetenzaufbau in ihrem Gremium zufrieden. Das Muster ist überall dasselbe.

Was der VR entscheidet: Auftrag an die GL, das Inventar innerhalb von vier Wochen vorzulegen. Als Traktandum für die nächste ordentliche Sitzung.

Aufwand für den VR: Ein Beschluss in der laufenden Sitzung. 15 Minuten.

Woche 5 bis 8: Rahmen definieren

Was passiert: Das KI-Inventar liegt vor. Der VR sieht zum ersten Mal schwarz auf weiss, welche KI-Tools im Unternehmen laufen. In einem typischen KMU mit 150 Mitarbeitenden sind das zwischen 5 und 15 verschiedene Anwendungen. Oft mehr als erwartet.

Jetzt folgen drei Entscheide:

Datenklassifikation

Welche Unternehmensdaten dürfen in welche Systeme fliessen? Drei Klassen genügen: öffentlich, intern, vertraulich. Die Klassifikation bestimmt, welche Tools für welche Anwendungen zulässig sind.

Tool-Freigabe

Welche KI-Systeme sind offiziell genehmigt? Welche sind explizit untersagt? Diese Liste ist kein IT-Dokument. Sie ist ein VR-Beschluss.

Zuständigkeit

Wer berichtet dem Verwaltungsrat über KI? In den meisten KMU gibt es keinen Chief AI Officer. Die Zuständigkeit liegt bei der GL. Aber der Berichtsweg zum VR muss formell definiert sein.

Was der VR entscheidet: Datenklassifikation, Tool-Freigabeliste und Berichtsweg. Als formeller Beschluss im Protokoll.

Aufwand für den VR: Eine vertiefte Diskussion in der ordentlichen Sitzung. 45 bis 60 Minuten. Vorbereitungszeit: Inventar lesen (30 Minuten).

Woche 9 bis 12: Governance dokumentieren

Was passiert: Aus den Beschlüssen der Wochen 5 bis 8 entsteht die KI-Policy. Kein 80-seitiges Regelwerk. Ein kompaktes Dokument, das vier Dinge regelt:

  1. Was ist erlaubt, was ist verboten (Tool-Freigabe und Datenklassifikation).
  2. Wer entscheidet bei Grenzfällen (Eskalationsmatrix).
  3. Wie wird die Einhaltung überprüft (quartalsweise GL-Bericht an den VR).
  4. Wann wird die Policy revidiert (jährlich oder bei wesentlichen Veränderungen).

Die GL erstellt den Entwurf. Der VR verabschiedet ihn formell. Damit ist die Oberaufsichtspflicht nach Art. 716a OR dokumentiert nachgewiesen. Die Business Judgement Rule schützt den Verwaltungsrat, weil auf vernünftiger Informationsbasis entschieden und dokumentiert wurde.

Was der VR entscheidet: Verabschiedung der KI-Policy. Festlegung des Berichtszyklus.

Aufwand für den VR: Finale Diskussion und Beschluss. 30 Minuten. Plus die normale Sitzungsvorbereitung.

Was nach 90 Tagen anders ist

Vor dem Prozess: KI ist ein offenes Traktandum ohne Beschluss. Der VR weiss nicht, welche KI-Systeme im Unternehmen laufen. Keine Policy, keine Dokumentation, kein Nachweis der Oberaufsicht.

Nach dem Prozess: Der VR hat ein vollständiges KI-Inventar. Datenklassifikation, Tool-Freigabe und Berichtsweg sind formell beschlossen. Eine KI-Policy ist verabschiedet. Die Oberaufsichtspflicht ist dokumentiert.

Gesamtaufwand für den Verwaltungsrat in 90 Tagen: Drei Traktanden in drei ordentlichen Sitzungen. Kein Sonder-Workshop. Kein externer Halbtages-Event. Die Governance entsteht im normalen VR-Rhythmus.

Warum das ohne externe Standortbestimmung schwierig ist

Die Beschreibung oben klingt überschaubar. In der Praxis scheitert der Prozess oft an zwei Stellen.

Erstens: Die GL liefert das KI-Inventar, aber es fehlt die Einordnung. Welche der 12 Tools sind risikoreich, welche harmlos? Ohne Benchmark und ohne Branchenvergleich fehlt dem VR die Grundlage für die Priorisierung.

Zweitens: Die KI-Policy muss branchenspezifisch sein. Eine Bau-KMU hat andere Risiken als ein Grosshandelsunternehmen. Eine generische Vorlage aus dem Internet erfüllt die Dokumentationspflicht formal, schützt aber nicht vor den realen Risiken.

Die KI-Standortbestimmung liefert beides: einen unabhängigen Benchmark mit branchenspezifischer Einordnung und eine massgeschneiderte Policy. In einem halben Tag vor Ort.

Der nächste Schritt

Wenn Sie als Verwaltungsrat vor einem ähnlichen Ausgangspunkt stehen: 30 Minuten Gespräch zeigen, wie der Fahrplan für Ihr Unternehmen konkret aussieht.

Quelle:

  • Knight Gianella / Universität St. Gallen / gfs-zürich: VR-KI-Studie 2025/26.

Marco Quinter begleitet Schweizer Verwaltungsräte beim Aufbau einer strukturierten KI-Governance. Verwaltungsrat, ehemaliger CBO (CHF 100 Mio. EBITDA) und CIO.

← Zurück zu Wissen
Klären wir Ihren konkreten Handlungsbedarf.Gespräch vereinbaren →