7 Min. Lesezeit

87 Prozent der Unternehmen erhöhen ihre KI-Budgets. Aber nur 14 Prozent haben auf Führungsebene definiert, wer für die Ergebnisse verantwortlich ist. Das ist die Zahl, die in keinem Strategiepapier steht. Der Logicalis CIO Report 2026 zeigt, was viele Boards noch nicht wahrhaben wollen: Die größte KI-Investitionswelle der Unternehmensgeschichte trifft auf ein Governance-Fundament, das kaum existiert.

Das Governance-Vakuum

KI-Investitionen steigen schneller als jede andere IT-Kategorie. Gartner prognostiziert, dass KI-bezogene Ausgaben 2026 zwischen 20 und 25 Prozent der gesamten IT-Budgets ausmachen, gegenüber 5 bis 8 Prozent vor zwei Jahren. Global fließen laut Gartner 6.150 Milliarden Dollar in IT-Ausgaben, ein Plus von 9,8 Prozent. Der GenAI-Anteil wächst um 80,8 Prozent.

Die Investitionen sind da. Die Governance nicht. Laut Logicalis CIO Report 2026 haben nur 14 Prozent der Unternehmen auf Führungsebene klar definiert, wer für KI-Governance zuständig ist. Das bedeutet: In 86 Prozent der Unternehmen entscheiden Abteilungen, Projektleiter oder Einzelpersonen über KI-Einsätze, ohne dass eine übergeordnete Struktur die Risiken, Ergebnisse und Compliance-Anforderungen steuert.

78 Prozent der Mitarbeiter nutzen bereits KI-Tools ohne IT-Freigabe. Shadow AI ist der blinde Fleck, den keine Governance-Struktur schließt, die erst nach dem Einkauf ansetzt. Die Realität in den meisten Unternehmen: Abteilungen beschaffen KI-Tools eigenständig, testen sie in Pilotprojekten und skalieren sie, bevor die IT davon erfährt. Wenn die Governance-Frage gestellt wird, sind die Fakten bereits geschaffen.

Das ist kein Versäumnis einzelner Unternehmen. Es ist ein systemisches Problem. KI wurde in den meisten Organisationen als Technologie-Thema eingeführt und dem CIO oder dem CDO zugeordnet. Aber KI-Governance ist keine Technologie-Frage. Sie ist eine Organisationsfrage, die Compliance, Ethik, Haftung und Business-Strategie gleichzeitig berührt. Kein einzelnes C-Level-Mitglied deckt all diese Dimensionen ab.

Das Ergebnis: Projekte starten ohne klare Verantwortung. Wenn sie scheitern, sucht niemand die Ursache im Governance-Modell. Stattdessen wird das Modell gewechselt, das Projekt neu aufgesetzt, das Budget umverteilt. 48 Prozent der KI-Projekte verfehlen ihre Business-Ziele. Nicht weil die Technologie versagt, sondern weil die Entscheidungsstruktur fehlt. Wer entscheidet, welche Daten das Modell trainieren? Wer definiert, welches Ergebnis „gut genug“ ist? Wer zieht die Notbremse, wenn das System diskriminiert? Diese Fragen landen auf keinem Schreibtisch, wenn kein Schreibtisch dafür vorgesehen ist.

Der Logicalis-Report bringt es auf den Punkt: Boards erwarten von CIOs ein „Unified Narrative“ aus Governance, Ökonomie und Ethik. Aber nur 12 Prozent der Unternehmen beschreiben ihre KI-Governance-Prozesse als reif. Der Rest operiert in einer Grauzone zwischen Compliance-Hoffnung und organisatorischer Improvisation.

Drei Modelle, ein Problem

Unternehmen, die KI-Governance tatsächlich organisiert haben, nutzen in der Regel eines von drei Modellen. Jedes hat einen spezifischen Trade-off, der selten offen diskutiert wird.

Modell 1: CIO-zentriert. Der CIO übernimmt die Gesamtverantwortung für KI, einschließlich Governance. Das funktioniert in Unternehmen, in denen der CIO direkt an den CEO berichtet und Budget-Autonomie hat. In der Praxis berichten 42 Prozent der CIOs an den CFO. Das macht KI-Governance zu einer Unterkategorie der Kostenkontrolle. Innovation unter Kostendruck ist ein Widerspruch, der sich in jedem Budget-Meeting zeigt.

Modell 2: Dezentral in Business Units. Jede Geschäftseinheit betreibt ihre eigene KI-Governance. Das erzeugt Geschwindigkeit, weil Entscheidungen nah am Geschäft fallen. Es erzeugt gleichzeitig Wildwuchs. Wenn drei Business Units drei verschiedene KI-Plattformen mit drei verschiedenen Compliance-Ansätzen betreiben, hat das Unternehmen keine KI-Strategie. Es hat drei. Und die Cyber-Versicherung bewertet das entsprechend.

Modell 3: Chief AI Officer (CAIO). Eine dedizierte Rolle, die KI-Strategie und Governance bündelt. Auf dem Papier das sauberste Modell. In der Praxis scheitert es häufig an Kompetenzüberschneidungen mit CIO, CDO und den Business Units. Ein CAIO ohne Budget-Autorität ist ein Berater mit Titel. Ein CAIO mit Budget-Autorität erzeugt Konflikte mit dem CIO.

Keines dieser Modelle ist per se richtig oder falsch. Aber die Wahl hängt von Variablen ab, die in den meisten Unternehmen nicht transparent diskutiert werden: Berichtslinien, Budget-Hoheit und die Frage, ob KI als Infrastruktur oder als Business-Transformation verstanden wird.

Was in der Praxis passiert: Unternehmen wählen das Modell, das am wenigsten Widerstand erzeugt, nicht das, das am besten passt. Der CIO bekommt die Governance, weil er schon die IT verantwortet. Die Business Units behalten ihre Autonomie, weil der CEO keine Kompetenzstreitigkeiten will. Der CAIO wird eingestellt, weil der Board-Berater es empfohlen hat. Jede dieser Entscheidungen hat eine organisatorische Konsequenz, die erst sichtbar wird, wenn das erste große KI-Projekt scheitert oder das erste Compliance-Audit kommt.

Die Empfehlung, die kein Berater gerne ausspricht: Das Governance-Modell muss zur Machtstruktur des Unternehmens passen, nicht zum Organigramm. Wer die Budget-Entscheidungen trifft, muss auch die Governance-Verantwortung tragen. Alles andere erzeugt eine Lücke zwischen Entscheidung und Haftung.

Laut Logicalis CIO Report 2026 haben 86 Prozent der befragten Unternehmen keine klare Verantwortungsstruktur für KI-Entscheidungen auf Vorstandsebene definiert.
– Redaktion Digital Chiefs

Der Regulierungsdruck verschärft das Problem

Bisher war KI-Governance eine strategische Entscheidung. Ab August 2026 ist sie eine regulatorische Pflicht. Der Unterschied ist nicht semantisch, sondern haftungsrelevant.

Der EU AI Act macht KI-Governance ab August 2026 zur gesetzlichen Pflicht für Hochrisiko-Systeme. Unternehmen, die KI in HR-Entscheidungen, Kreditvergabe oder kritischer Infrastruktur einsetzen, brauchen ein dokumentiertes Risikomanagementsystem, technische Dokumentation und menschliche Aufsicht. Strafen bei Verstößen: bis zu 35 Millionen Euro oder 7 Prozent des Jahresumsatzes.

Das ändert die Kalkulation grundlegend. Bisher war KI-Governance eine Frage der Best Practice. Ab August ist sie eine Frage der Haftung. Board-Mitglieder, die keine Governance-Struktur nachweisen können, setzen sich persönlichem Risiko aus. Das ist der Punkt, an dem die 14-Prozent-Zahl aufhört, eine Statistik zu sein. Ab dann ist sie ein Compliance-Risiko zu werden.

Für Finanzdienstleister kommt DORA hinzu. Für den Gesundheitssektor die ePA- und EHDS-Anforderungen. Jede Branche bekommt ihre eigene Schicht an KI-Regulierung. Jede Schicht erfordert jemanden, der die Übersicht behält. Die Frage, wer das ist, wird spätestens beim nächsten Audit gestellt.

Was Boards jetzt entscheiden

Drei Entscheidungen stehen an, die nicht delegierbar sind.

Erstens: Governance-Modell festlegen. Nicht als theoretische Übung, sondern als organisatorische Realität mit Berichtslinien, Budget-Zuordnung und Eskalationswegen. Das Modell muss zur Unternehmensstruktur passen. Ein mittelständischer Fertiger mit einem CIO braucht keinen CAIO. Ein diversifizierter Konzern mit fünf Business Units braucht wahrscheinlich einen. Die Entscheidung sollte in einem Board-Meeting fallen, nicht in einem IT-Strategieworkshop. KI-Governance ist eine Organisationsentscheidung, keine Technologie-Entscheidung.

Zweitens: KI-Inventar erstellen. Welche KI-Systeme sind im Einsatz? Welche davon fallen unter Hochrisiko? In vielen Unternehmen fehlt diese Übersicht komplett. Die 78 Prozent Shadow-AI-Nutzung zeigen, dass das offizielle IT-Inventar nur einen Bruchteil der tatsächlichen KI-Landschaft abbildet. Das Inventar muss über die IT hinaus gehen: Marketing nutzt KI-Tools, HR nutzt KI-Tools, der Vertrieb nutzt KI-Tools. Jede Abteilung einzeln befragen. Die IT-Budget-Diskussion 2027 kann ohne diese Grundlage nicht sauber geführt werden. Kein Governance-Modell funktioniert ohne Inventar.

Drittens: Verantwortung personalisieren. Eine benannte Person auf C-Level, die für KI-Governance rechenschaftspflichtig ist. Nicht ein Komitee, nicht eine Arbeitsgruppe, nicht „die IT“. Eine Person mit Budget-Autorität und Eskalationsrecht. Ob das der CIO, der CDO, ein CAIO oder der CEO selbst ist, hängt von der Organisation ab. Dass es jemand sein muss, steht außer Frage. Die Alternative ist kollektive Verantwortungsdiffusion. Die endet immer gleich: niemand fühlt sich zuständig, bis der Prüfer fragt.

Die pragmatische Lösung für die meisten Unternehmen: Der CIO übernimmt die Governance-Verantwortung, aber mit einem expliziten Mandat des Boards und einem separaten Governance-Budget. Das verhindert den häufigsten Fehler: Governance wird als Zusatzaufgabe behandelt statt als eigenständige Funktion. Wenn der CIO Governance aus dem bestehenden IT-Budget finanzieren muss, verliert sie im Wettbewerb mit Infrastruktur-Projekten immer. Governance braucht eine eigene Budgetlinie. Nicht groß, aber sichtbar. Ein separater Posten im Board-Report signalisiert, dass KI-Governance keine Nebensache ist, sondern eine bewusste Investition in regulatorische Sicherheit, strategische Kontrolle und operative Resilienz des gesamten Unternehmens.

Die 87 Prozent, die mehr investieren, werden zu 48 Prozent, die ihre Ziele verfehlen, wenn die Governance-Frage unbeantwortet bleibt. Das ist keine Prognose. Das ist die aktuelle Datenlage.

Die Zeitachse ist klar: August 2026 für den AI Act, laufend für DORA, fortlaufend für die internen KI-Projekte, die bereits in Produktion sind. Wer bis zum Sommer wartet, wird feststellen, dass Governance nachträglich aufzubauen teurer und langsamer ist als sie von Anfang an richtig zu strukturieren. Der Unterschied zwischen 14 Prozent und dem Rest ist nicht Budget oder Wissen. Es ist die Bereitschaft, die Verantwortungsfrage zu stellen, bevor sie vom Regulierer gestellt wird.

Ein letzter Punkt zur Einordnung: KI-Governance ist kein Projekt mit Anfang und Ende. Es ist eine permanente Organisationsfunktion. KI-Systeme verändern sich, Regulierung entwickelt sich weiter, Anwendungsfälle wachsen. Die Governance-Struktur muss mitwachsen. Wer sie als einmaliges Compliance-Projekt behandelt, wird in zwei Jahren wieder vor derselben Lücke stehen. Die 14 Prozent, die heute eine reife Governance haben, werden 2028 die einzigen sein, die skalieren können, ohne bei jeder neuen Regulierung von vorne anzufangen.

Häufige Fragen

Quelle Titelbild: Pexels / Vlada Karpovich (px:7433820)