Die aktuelle Lage in Zeiten multipler Krisen, diverser Transformationen aufgrund vielzähliger Megatrends [vgl. Zukunftsinstitut 2025] und zahlreicher kriegerischer Auseinandersetzungen steckt voller Risiken, wie beispielsweise der Global Risks Report 2026 [Vgl. World Economic Forum 2026], CEO´s Annual Survey 2026 [Vgl. PwC 2026]oder das Allianz Risk Barometer 2026 [Vgl. Allianz 2026]nahezu übereinstimmend zeigen. – Viele neue Chancen sind die Kehrseite dieser Medaille, wenn die sog. Future Skills [vgl. Zukunftsinstitut 2025] frühzeitig entwickelt werden.
Nach dem Allianz Risk Barometer 2026 finden sich Cyberrisiken, Business Continuity, Regulierung und KI und auf den ersten vier Positionen.
Zitat: „(…) In Deutschland liegen Cyber-Attacken und Betriebsunterbrechungen weiterhin auf den Plätzen 1 und 2 – angesichts politischer und regulatorischer Unsicherheiten springen Änderungen in Gesetzgebung und Regulierung auf Rang 3, während KI-Risiken neu im Ranking auf Platz 4 einsteigen. (…)” [Allianz 2026].
Pflichten aus der IT-/KI-Governance-Compliance
Im Zusammenhang mit der verschärften Regulierung wachsen u.a. auch die Risiken von Streitigkeiten über D&O- und Cyber Risks-Versicherungspolicen [Vgl. Scherer, Seehaus 2025, S.1515 ff. und Scherer, Seehaus 2026] und Cyber-Compliance in der Lieferkette [Vgl. Beck 2025].
Da der hybride Krieg seitens diverser Nationen gegen Deutschland und Europa nicht mehr lediglich eine „Bedrohung“ darstellt, sondern ein eingetretenes Ereignis ist [Vgl. Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 2025], sind nachfolgende Ausführungen zugleich auch ein Beitrag zur Wehr- und Verteidigungsfähigkeit von Organisationen und Nationen.
Zahlreiche IT-Vorfälle mit hohen Schadenssummen zeigen, dass Vorstände, Geschäftsführer, CISO, CIO, Informationssicherheitsbeauftragte, Aufsichtsorgane, Abschlussprüfer, „Lines-of-Defense“-Funktionen, Auditoren und Zertifizierer nicht immer die entscheidenden Maßnahmen ergreifen. Die aktuelle Rechtsprechung des OLG Frankfurt und des BGH zur Versagung von D&O-Versicherungsschutz bei vorsätzlicher Pflichtverletzung wird künftig auch bei Verstößen gegen die meist vernachlässigten gesetzlichen Pflichten aus der IT-/KI-Governance-Compliance relevant [Vgl. Scherer, Seehaus 2026].
Daher ist die konsequente Einhaltung von IT- und KI-Governance unabdingbar. Ein integriertes IT-/KI-Governance-Managementsystem unterstützt Führungskräfte und Mitarbeitende durch klare Aufbau‑ und Ablauforganisation bei der Erfüllung rechtlicher und technischer Vorgaben. Die relevanten Normen – DIN ISO 37000 (Governance von Organisationen), ISO 38500 (IT-Governance), ISO 42001 (KI-Management), DIN ISO 22301 (Business-Continuity-Management), DIN ISO 22361 (Krisen-Management-Leitlinien) und DIN ISO 27001 (Informationssicherheits-Management) – ergänzen die gesetzlichen Anforderungen und schaffen die Basis für ein wirksames Compliance-Framework.
1. „Digital Literacy“, rechtliche Grundlagen und Ziele
Es existiert für „IT- bzw. KI-Governance“ keine gesetzlich festgeschriebene Definition. Stattdessen müssen die Begriffe aus den einschlägigen Rechtsvorschriften, dem Stand der Technik und anerkannten Standards abgeleitet werden, wobei das Bundesverfassungsgericht in der Kalkar-Entscheidung die Begriffe „anerkannte Regeln der Technik“ und „Stand der Technik“ verbindlich definiert hat [Vgl. Scherer, Fruth 2019]. Juristisch lässt sich IT- bzw. KI-Governance als „nachhaltige, compliance- und risikobasierte, gewissenhafte Führung und Überwachung von Organisationen inkl. Interaktion mit relevanten Stakeholdern im IT- (KI-)Bereich“ beschreiben [Vgl. Scherer 2025, S. 16, 169].
Das Integrierte IT-/KI- Governance- Managementsystem umfasst dabei Compliance- und Risikomanagement, Strategie, Planung, Bereichs‑Organisation und -Prozesse, Umsetzung, Internes Kontrollsystem (IKS), Revision, Steuerung, Reporting, IT-(Service-) Management, IT-Sicherheits- und Informationssicherheits-Management, Datenschutz, Digitalisierung inkl. KI, Social-Engineering- und Lieferketten-Management.
KI-Governance ist ein Teilbereich der IT-Governance, die wiederum in die übergeordnete Unternehmens-Governance eingebettet ist. Diese Strukturen dürfen nicht als isolierte „Silos“ organisiert werden. Compliance bildet die Basis, sodass die Implementierung eines integrierten Managementsystems zunächst die Erfüllung sämtlicher rechtlicher Vorgaben (z. B. §§ 43 GmbHG 93, 116 AktG, 130 AktG, 30 OWiG etc.) [Vgl. Scherer 2022, Kap. 1] sowie die Beachtung des Stands der Technik erfordert [Vgl. Scherer, Fruth 2019].
Gerichte haben die Pflicht zur Vorhaltung von Risiko- und Compliance-Managementsystemen sowie internen Kontrollsystemen bestätigt [Vgl. LG München I 2013 und OLG Nürnberg 2022]. Das Unterlassen gilt als Organisationspflichtverletzung, während implementierte Systeme nach höchstrichterlicher Rechtsprechung (BGH, EuGH) enthaftend wirken [Vgl. Scherer, Seehaus 2025, S. 1515 ff.].
2. IT-Governance-Compliance-Anforderungen, Rechtsinformationsdienst und prozessbezogenes Rechtskataster
Um die rechtlichen Vorgaben im IT‑/KI‑ Governance‑ Compliance‑ Management zu erfassen, zu bewerten und zu steuern, ist ein prozessbezogenes Rechtskataster anzulegen und fortlaufend zu pflegen. Die Anforderungen sollten in verständliche Formulierungen überführt und in Aufbau‑ und Ablauforganisation implementiert werden, sodass das Governance‑System nahtlos mit dem Compliance‑Management nach DIN ISO 37301 verknüpft ist [Vgl. Scherer 2022, Kap. 4.5].
Im November 2025 stellte die EU den „Digitalen Omnibus für Datenschutz und KI“ vor, der die regulatorischen Aufwände reduzieren soll [Vgl. KPMG 2025].
Moderne Tools ermöglichen die Echtzeit‑Erfassung und Umsetzung neuer oder geänderter Regulierungen – ein Vorgehen, das dem aktuellen Stand der Technik entspricht.
3. IT- (KI-) Governance-Compliance-Risikomanagement
Der IT- (KI-) Governance- Compliance- Risikomanagement- Prozess [Vgl. Scherer 2025, Kapitel 4.6] dient der frühzeitigen Identifikation, Bewertung und Steuerung von Gefahren und Chancen, die die Zielerreichung einer Organisation beeinflussen könnten. Für nicht steuerbare relevante Rest-Risiken ist ein Business Continuity-Managementsystem erforderlich [Vgl. Scherer 2025, S.180].
Insbesondere in regulierten Organisationen, die unter die Regelungen des neuen BSIGs (geändert durch das NIS2-Umsetzungsgesetz) oder unter den Digital Operational Resilience Act (DORA) fallen, gibt es besondere Anforderungen an das IT-Governance-Risikomanagement.
4. Neue Rollen und Verantwortlichkeiten
Im Zuge des anhaltenden Trends der zunehmenden Digitalisierung entstehen viele neue Rollen, die Organisationen zu berücksichtigen haben. Insbesondere in den Bereich der IT gliedert sich zunehmend das KI-Management ein. Die Übergänge sind fließend und somit eng mit der IT-Governance verwoben.
Neben den „klassischen“ Rollen, wie dem Chief Information Officer (CIO), Chief Information Security Officer (CISO), Chief Risk Officer (CRO), IT-Administrator, dem Programmierer usw., entwickeln sich derzeit neue Rollen bzw. Berufsbilder.
Darunter zählen zum Beispiel KI-Architekten, Chief AI Officer (CAIO), KI-Risikomanager, Prompt Engineer und viele weitere [Vgl. Gartner 2024].
5. Betrieb – Operationalisierung der IT-Governance-Compliance und Prozessmanagement
Sämtliche Elemente des (IT‑/KI‑) Governance‑ Managementsystems sind in die betrieblichen Prozesse zu integrieren. Die ISO/IEC 20000‑1:2018 definiert hierfür zentrale Prozess‑Themenfelder, die von Best‑Practice‑Standards wie COBIT, ITIL oder FitSM aufgegriffen werden [Vgl. Pilorget 2025, S. 38 ff.]. In ITIL 4 werden 34 Prozess‑Themenfelder beschrieben, wobei der Fokus von konkreten Abläufen auf prozessbezogene Anforderungen und KPIs verlagert ist – ein Ansatz, der ein individuelles Prozessdesign und ein besseres IT‑Business‑Alignment ermöglicht.
Die Umsetzung erfolgt primär in der „First Line“ (IT‑Abteilung). Ohne ein funktionierendes IT‑Service‑Management (etwa nach ITIL, FitSM oder ISO 20000) kann keine wirksame Management‑Systemstruktur der „Second Line“ (z. B. Informationssicherheit, Business Continuity, KI‑Management) etabliert werden. Die Stärke der Wechselwirkung zwischen IT-Service-Management und diesen Managementsystemen variiert je nach Größe und Umfang der IT‑Abteilung.
6. Überwachung und Bewertung
Die Überwachung des IT-/KI- Governance- Managementsystems erfolgt primär intern durch gebündelte Funktionen – Controlling, Compliance, Risk, ISM, BCM, KIM, Internes Audit, IKS und Revision – nach dem Prinzip der „Three Lines of Defense“, kann jedoch auch extern durch Aufsichtsrat, Behörden oder Second-/Third-Party-Audits ergänzt werden. Die ISO/IEC 27004:2016 liefert geeignete Kennzahlen und Messmethoden für das ISMS, während die ISO 42001:2023 (Anhang B) entsprechende KPI-Themenfelder für die Bewertung von KI-Managementsystemen bereitstellt.
7. Ausblick
Die aus IT‑/KI‑Governance abzuleitenden Anforderungen wirken zunächst erschlagend, sind es jedoch nicht. Wird die IT‑/KI‑Governance korrekt in die Corporate Governance und damit in das integrierte Managementsystem (IMS) eingebettet, ergeben sich zahlreiche Überschneidungen mit bereits bestehenden IMS‑Elementen, und die Aufgaben können auf mehrere Schultern verteilt werden. Dabei ist ein enthaftendes Compliance‑Managementsystem ist unverzichtbar, um persönliche Haftungsrisiken zu vermeiden [Vgl. Scherer 2023].
Neue technologische Entwicklungen erfordern neue Kompetenzen. Laut Boston Consulting Group benötigen Unternehmen Algorithmen, Technologie, Menschen und Prozesse – wobei Menschen und Prozesse mit 70 % den größten Anteil ausmachen [Vgl. BCG 2024, S. 15]. Aus‑ und Weiterbildung müssen diesen Megatrend adressieren. Die entsprechenden Transformationsaktivitäten finden sich zunehmend in nichtfinanziellen Geschäfts‑ bzw. Nachhaltigkeitsberichten [Vgl. SGL Carbon 2024, S. 41‑42].
Governance heißt nicht zuletzt, im Rahmen eines effektiven Change‑Prozesses trotz wissenschaftlich nachgewiesener „vorsätzlicher Ignoranz“ [Vgl. Dörr 2025] und typisch menschlicher Beharrungskräfte die Organisation und ihre Menschen erfolgreich durch die Transformation zu führen.
In Zeiten des hybriden Krieges ist die IT‑/KI‑Governance‑Compliance schließlich eine wesentliche Voraussetzung für die Verteidigungsfähigkeit ziviler und militärischer Organisationen und Systeme.
[Zukunftsinstitut 2025] Zukunftsinstitut [2025]: Der Megatrend Future of Work, 01.01.2025, abrufbar unter: https://www.zukunftsinstitut.de/zukunftsthemen/megatrend-future-of-work, abgerufen am 25.01.2026.
[World Economic Forum 2026] World Economic Forum [2026]: Global Risks Report 2026, 14.01.2026, abrufbar unter: https://www.weforum.org/publications/global-risks-report-2026/, abgerufen am 25.01.2026.
[PwC 2026] PwC [2026]: PwC’s 29th Global CEO Survey, 19.01.2026, abrufbar unter: https://www.pwc.com/gx/en/issues/c-suite-insights/ceo-survey.html, abgerufen am 25.01.2026.
[Allianz 2026] Alliance Commercial [2026]: Allianz Risk Barometer 2026, 14.01.2026, abrufbar unter: https://commercial.allianz.com/news-and-insights/news/allianz-risk-barometer-2026/de.html, abgerufen am 25.01.2026.
[Scherer, Seehaus 2025] Scherer, J. und Seehaus, S. [2025]: Pflicht zu Governance mit Risikofrüherkennung, Resilienz und Transformation als Kardinalpflicht von Organen und Führungskräften, ZInsO 2025.
[Scherer, Seehaus 2026] Scherer, J. und Seehaus, S. [2026]: Managerhaftung, D&O-Versicherung und Risikofrüherkennung im Lichte aktueller Rechtsprechung.
[Beck 2025] Beck [2025]: Technologiebezogene Streitigkeiten dominieren 2025: Cybersicherheit und KI im Fokus, 14.02.2025, online abrufbar unter https://rsw.beck.de/aktuell/daily/meldung/detail/umfrage-unternehmensjuristen-2025-cybersicherheit-ki-untersuchungen, abgerufen am 30.11.2025.
[Bundesamt für Bevölkerungsschutz und Katastrophenhilfe 2025] Bundesamt für Bevölkerungsschutz und Katastrophenhilfe [2025], Hybride Bedrohungen, online abrufbar unter: https://www.bmvg.de/de/themen/sicherheitspolitik/hybride-bedrohungen, abgerufen am 13.12.2025.
[Scherer, Fruth 2019] Scherer, J. und Fruth, K. [2019]: Technik-Governance, Sonderpublikation des Bundesverbandes der Compliance-Manager.
[Scherer 2022] Scherer, J. [2022]: Compliance-Managementsystem nach DIN ISO 37301:2021 erfolgreich implementieren, integrieren, auditieren, zertifizieren, DIN Media, 2022.
[Scherer 2025] Scherer, J.: Nachhaltige Führung und Überwachung von Organisationen (Governance) nach DIN ISO 37000, DIN Media, 2025.
[LG München I 2013] LG München I [2013]: Urteil vom 10.12.2013, (Az. 5 HK O 1387/10 – „Neubürger“).
[OLG Nürnberg 2022] OLG Nürnberg [2022]: Urteil vom 30.03.2022, (Az. 12 U 1520/19 – „Tankstellenpächter“).
[KPMG 2025] KPMG [2025]: KI und „Digitaler Omnibus“, 2025, online abrufbar unter: https://kpmg.com/at/de/insights/2025/11/ki-und–digitaler-omnibus-.html, abgerufen am 19.12.2025.
[Gartner 2024] Gartner [2024]: AI Is Creating New Roles and Skills in Data & Analytics, online abrufbar unter: https://www.gartner.com/en/newsroom/press-releases/2024-05-14-artificial-intelligence-is-creating-new-roles-and-skills-in-data-and-analytics (zuletzt abgerufen am 30.11.2025).
[Pilorget 2025] Pilorget, L. [2025]: Managing IT in einer digitalen Welt, Springer Vieweg.
[Scherer 2023] Scherer, J. [2023]: KI-Verantwortung und enthaftende Wirkung eines KI-Compliance-Managementsystems für Leitung (Vorstand, Geschäftsführer, Officers), Aufsichtsgremium und sonstige Führungskräfte, abrufbar unter https://www.risknet.de/elibrary/paper/ki-verantwortung-und-enthaftende-wirkung-eines-ki-compliance-managementsystems/, abgerufen am 30.11.2025.
[SGL Carbon 2024] SGL Carbon [2024]: CSR-Bericht, online abrufbar unter https://www.sglcarbon.com/news/user-upload/SGL-Carbon-2023-CSR-Bericht-DE-22-03-2024-s.pdf, abgerufen am 25.01.2026.
[BCG 2024] BCG [2024]: Where is the value in AI, online abrufbar unter: https://web-assets.bcg.com/a5/37/be4ddf26420e95aa7107a35aae8d/bcg-wheres-the-value-in-ai.pdf, abgerufen am 29.12.2025.
[Dörr 2025] Dörr, S. [2025]: Vorsätzliche Ignoranz: Von den Hindernissen digitaler Transformation und Schrödingers Katze, online abrufbar unter: https://rsw.beck.de/aktuell/daily/meldung/detail/vorsaetzliche-ignoranz-justiz-behoerden-digitale-transformation-studie, abgerufen am 25.01.2026.