Zwischen Innovation und Kontrolle: Strategien für effektive KI-Governance
Zwei Extreme, eine Herausforderung: In dem einen Unternehmen blockiert ein rigides "Nein, die Risiken sind viel zu groß …" jeglichen Einsatz von Künstlicher Intelligenz (KI) – Innovation erstickt in Verbotsparagrafen. In dem anderen experimentieren alle wild drauflos: Die Geschäftsführung nutzt den Lieblings-KI-Chatbot für strategische Entscheidungen, der Praktikant automatisiert HR-Prozesse und niemand stellt die Frage, wo die Daten tatsächlich landen.
Das Ergebnis? Lähmende Angst auf der einen, blinde Euphorie auf der anderen Seite. Und dazwischen? Genau hier setzt wirksame KI-Governance an: nicht als Verhinderer, nicht als Freifahrtschein, sondern als bewusst gestalteter Rahmen für verantwortungsvollen KI-Einsatz. Dieser Beitrag zeigt, wie Unternehmen aus dem reflexhaften "Nein" und dem naiven "KI? Immer her damit!" eine belastbare Praxis des "Wie genau?" entwickeln – und damit KI zum Erfolgsfaktor machen, ohne die Kontrolle zu verlieren.
Warum KI-Governance jetzt unverzichtbar ist
Künstliche Intelligenz (KI) ist längst im Unternehmensalltag angekommen. Das Einsatzspektrum reicht vom Schreibassistenten bis zu sicherheitskritischen Anwendungen, in denen Fehlentscheidungen gravierende Folgen für Menschen, Umwelt und Unternehmen haben können. Mit der wachsenden Verbreitung, insbesondere auch in kritischen Bereichen, steigen die Risiken und damit die Anforderungen an eine verantwortungsvolle Steuerung. Hier setzt KI-Governance an. Darunter versteht man die Gesamtheit von Prinzipien, Rollen, Prozessen und Kontrollen, die sicherstellen, dass KI-Systeme zuverlässig, sicher sowie rechts- und wertekonform entwickelt, beschafft, betrieben und überwacht werden [1]. KI-Governance übersetzt ethische Leitlinien und regulatorische Vorgaben in praktikable Regeln für den Alltag.
KI-Governance ist heute kein Spezialthema für Entwicklungsteams, sondern betrifft jedes Unternehmen, das KI-Lösungen einkauft, integriert oder nutzt – selbst wenn "nur" ein Copilot in Office oder dem CRM-System aktiviert wird. Generative KI und ein in den letzten Jahren gereiftes Ökosystem aus APIs und Open‑Source‑Modellen haben die Zugangshürden drastisch gesenkt. Gerade weil Einstieg und Prototyping so leicht sind, entstehen schnell beeindruckende Proof of Concepts. Dabei wächst der Erwartungsdruck aus dem Business: Produktivitätsgewinne durch KI-Einsatz sollen sofort sichtbar sein. Gleichzeitig werden die Komplexität der Integration in die bestehende IT-Landschaft und zu erfüllende Sicherheitsanforderungen leicht unterschätzt. Die Gefahr ist, dass sich der Übergang in den sicheren, stabilen Produktivbetrieb verzögert oder sogar scheitert.
Die Risiken sind dabei konkret. Falsche oder erfundene Antworten (Halluzinationen), verzerrte Ergebnisse (Bias), Streit um Urheber- und Markenrechte, neue Angriffswege wie Prompt Injection (Manipulation über Eingaben) und Data Poisoning (Verunreinigung von Daten) sowie Abhängigkeiten von Modell- und API-Anbietern. Unternehmen, die KI-Lösungen vorschnell ablehnen, um diese Risiken zu vermeiden, fördern "Shadow AI", also KI-Tools, die außerhalb der IT-Governance genutzt werden, und Technical Debts (technische Schulden). Eine gute KI-Governance hingegen ermöglicht Innovation mit schnellen, nachvollziehbaren Pfaden von der Idee in den Betrieb, ohne dabei Sorgfalt und Nachweisbarkeit zu opfern.
Zugleich wird der Rahmen für den Einsatz von KI verbindlicher. Der EU AI Act bringt ab 2025/26 risikobasierte Pflichten, die Datenschutzgrundverordnung bleibt zentral. Weitere EU-Regulierungen wie der Digital Operational Resilience Act (DORA), die zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2) und der Data Act schärfen Resilienz, Sicherheit und Datennutzung. Audits orientieren sich zunehmend an NIST AI Risk Management Framework sowie ISO/IEC 42001 (AI-Managementsystem) und 23894 (AI-Risikomanagement). Wer diese Aspekte frühzeitig in einem KI-Projekt berücksichtigt und Klarheit schafft, erspart sich Nachdokumentationsaufwand. Zu den rechtlichen Anforderungen kommen die oft unterschätzten Kosten- und Betriebsrisiken. Beispielsweise können die laufenden Kosten für die Anwendung von KI-Modellen unkontrolliert explodieren, wenn Nutzungsvolumina unbegrenzt steigen oder Parameter falsch gewählt sind. Auch der CO2-Fußabdruck rückt in den Fokus, denn effiziente Modellwahl und Architekturentscheidungen zahlen auf die Nachhaltigkeitsziele ein.
Die gute Nachricht ist, dass eine kluge, risikobasierte KI‑Governance ein Beschleuniger statt einer Bremse ist. Wer heute Prinzipien, Rollen, Prozesse und Kontrollen etabliert – vom KI‑Inventar über Risikoklassifizierung bis zu Nutzungsrichtlinien und Monitoring – reduziert Compliance‑ und Haftungsrisiken, vermeidet Folgekosten und kann KI schneller und sicherer skalieren. Dieser Beitrag zeigt, welche Bausteine zu einer solchen KI-Governance gehören und wie Unternehmen KI-Governance pragmatisch verankern können, insbesondere unter Nutzung von KI-Governance-Plattformen.
Der Blick ins Unternehmen: Welche KI läuft hier eigentlich?
Die Frage ist heute nicht mehr, ob sich ein Unternehmen mit KI-Governance beschäftigen muss, denn die zunehmende Verbreitung von KI-Tools, etwa Copiloten in Office, macht dies unausweichlich. Die zentrale Herausforderung liegt vielmehr darin festzustellen, wo Governance beginnt und welche Tiefe sie haben muss. Für Anwenderunternehmen (im Gegensatz zu Entwicklern oder Verkäufern von KI-Lösungen) beginnt eine effektive KI-Governance mit der Identifikation aller eingesetzten KI-Anwendungen. Welche spezifischen Governance-Aktivitäten dann für ein KI-System erforderlich sind, hängt von mehreren Faktoren ab.
Ein entscheidender Faktor ist die Herkunft und damit die Kontrollierbarkeit des jeweiligen Systems. Dabei lassen sich folgende vier Kategorien unterscheiden:
- Intern entwickelte KI-Systeme: Dies sind Systeme, die das Unternehmen selbst für spezifische Einsatzzwecke (z.B. Predictive Maintenance für bestimmte Maschinen und Anlagen) konzipiert, auf Basis unternehmenseigener Daten trainiert und implementiert hat. Hier besteht die größte Kontrolle, aber das Unternehmen trägt auch die volle technische und ethische Verantwortung für den gesamten Lebenszyklus.
- Gekaufte / lizenzierte KI-Systeme: Hierbei handelt es sich um fertige, kommerzielle und weitgehend geschlossene Lösungen externer Anbieter (z.B. SaaS-Anwendungen). Die Governance konzentriert sich hier primär auf die Due Diligence des Anbieters und die vertragliche Festlegung von Verantwortlichkeiten.
- Open Source / Drittmodelle: Dies umfasst den Einsatz vortrainierter Modelle, wie Open Source LLMs (Large Language Models) oder frei verfügbare APIs, die von externen Communities oder Modellanbietern öffentlich bereitgestellt werden. Das Unternehmen nutzt diese Modelle als Grundlage für die Unterstützung eigener Anwendungsfälle, z.B. nach Feinabstimmung (Fine-Tuning). Hier liegen die Herausforderungen in der Transparenz der Trainingsdaten und der Sicherstellung der langfristigen Verfügbarkeit und Aktualisierung.
- Integrierte KI-Funktionen: Dies betrifft KI-Funktionalitäten, die Bestandteil einer bestehenden Standardsoftware sind (z.B. Microsoft Copilot in Office 365 oder KI-Funktionen im SAP-System). Das Unternehmen entwickelt und betreibt die KI nicht selbst, sondern entscheidet nur über deren Aktivierung. Die Governance muss hier klären, inwieweit die Funktionalität genutzt und konfiguriert werden kann, um Risiken zu minimieren.
Neben den unternehmensseitig betriebenen KI-Systemen ist zu berücksichtigen, dass Mitarbeitende im Rahmen von Bring Your Own Device (BYOD) auch private Smartphones mit KI-Funktionen einsetzen. Da diese außerhalb der Unternehmensinfrastruktur betrieben werden, ist oft unklar, welche Daten verarbeitet werden, ob Sicherheits- oder Datenschutzvorgaben eingehalten werden und in welchem Umfang Unternehmensinformationen in externe Systeme gelangen. Für die KI-Governance bedeutet das, dass Richtlinien, Sensibilisierung und technische Schutzmaßnahmen auch den Umgang mit privaten KI-Anwendungen abdecken müssen.
Als nächstes ist es wichtig, sich des Risikos bewusst zu sein, das mit dem Einsatz eines KI-Systems einhergeht. Der EU AI Act etabliert einen solchen risikobasierten Ansatz und definiert vier Risikoklassen: unannehmbares, hohes, begrenztes und minimales Risiko. Für Unternehmen leitet sich daraus die Aufgabe ab, ihre eingesetzten KI-Systeme systematisch zu inventarisieren und nach dem EU AI Act zu klassifizieren.
Was ist ein KI-Inventar?
Ein KI-Inventar (auch KI-Register genannt) ist das zentrale Verzeichnis aller im Unternehmen genutzten KI-basierten Lösungen. Dieses Repository fungiert als zentrale Wissensquelle ("Single Source of Truth") für alle KI-Assets in der Organisation. Es ermöglicht einen Überblick über alle verwendeten KI-Systeme, ihren Zweck, die betroffenen Stakeholder, die Risikoklassifizierung und den Bereitstellungsstatus. Darüber hinaus sollte es die Datenquellen und den Umgang mit sensiblen Daten dokumentieren. Eine solche zentrale Sichtbarkeit ist entscheidend für eine übergreifende Governance sowie die Nachweisbarkeit (Audit Trail) der Einhaltung regulatorischer Anforderungen und die Reduzierung von Doppelarbeit.
Diese Klassifizierung in die Risikokategorien des AI Acts ist entscheidend, da das festgestellte Risikoniveau direkt den Umfang und die Strenge der Governance-Pflichten bestimmt, denen das Unternehmen unterliegt. Ein Beispiel verdeutlicht dies: Bietet ein Unternehmen einen KI-basierten Chatbot an, bei dem Bewerbende den Status ihrer Bewerbung erfragen oder einen Interviewtermin vereinbaren können, so fällt dieser in die Kategorie "begrenztes Risiko" und unterliegt leichten Transparenzpflichten. Ein KI-System, das Bewerbungen automatisiert prüft und sogar Bewerbungsgespräche führt, gilt hingegen als "Hochrisiko-System" und unterliegt strengsten Auflagen. Für die Klassifizierung eines KI-Systems gibt es übrigens Hilfsmittel, die anhand eines Fragenkatalogs durch die Bewertung führen. Ein Beispiel ist der KI-Compliance-Kompass der Bundesnetzagentur, der über den KI-Service-Desk der Bundesnetzagentur [2] abgerufen werden kann.
Ein weiterer Faktor, der die Governance-Anforderungen maßgeblich beeinflusst, ist die Unterscheidung, ob eine "klassische" prädiktive KI oder generative KI (GenAI) eingesetzt wird. Während die prädiktive KI (z.B. für Klassifikation oder Prognosen) primär Risiken in Form von Bias, Diskriminierung und mangelnder Erklärbarkeit bei automatisierten Entscheidungen birgt, stellt die generative KI (basierend auf Allzweck-KI-Modellen oder GPAI) Unternehmen vor neue Herausforderungen. Hier verschiebt sich der Fokus auf die Steuerung von Inhaltsrisiken wie Urheberrechtsverletzungen in den generierten Outputs, die Verbreitung von Fehlinformationen, sogenannten Halluzinationen sowie die Notwendigkeit robuster Transparenzpflichten gegenüber den Nutzern (z.B. bei der Kennzeichnung von Deepfakes).
Hilfsmittel für die Bewertung des Risikos von GenAI-Anwendungen
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt mit mehreren Veröffentlichungen praxisnahe Hilfsmittel für den sicheren Einsatz generativer KI zur Verfügung. Insbesondere die Publikation "Generative KI-Modelle: Chancen und Risiken für Industrie und Behörden" ([3] Generative KI-Modelle, 2025) bietet einen guten Startpunkt für die Risikobewertung. Zentrales Element ist ein Risikokatalog mit einer klaren Differenzierung von Risiken bei ordnungsgemäßer Nutzung, durch missbräuchliche Nutzung und durch Angriffe. Zur Mitigation dieser Risiken werden konkrete Handlungsempfehlungen entlang des Lebenszyklus einer Anwendung aufgezeigt.
Eine wachsende Komplexität für die KI-Governance stellen KI-Agenten dar. Darunter versteht man KI-Systeme, die nicht nur Daten verarbeiten und Ergebnisse liefern, sondern autonom komplexe Aufgabenketten ausführen, sich selbst Ziele setzen, Entscheidungen treffen und mit anderen Systemen interagieren können, anstatt lediglich Daten zu verarbeiten und Ergebnisse zu liefern ([4] Acharya et al., 2025). Im Gegensatz zu herkömmlichen KI-Anwendungen, die oft klar definierte Input-Output-Beziehungen aufweisen (z.B. ein Klassifikationsmodell, das eine Kreditkartentransaktion erhält und eine einzelne Ausgabe wie 'Betrug' liefert), agieren Agenten in einer offenen und dynamischen Umgebung. Hierbei kommen große Sprachmodelle (Large Language Models, LLMs) oft als Kernkomponente zum Einsatz, was die Nachvollziehbarkeit ihrer Entscheidungsfindung und damit die Governance zusätzlich erschwert. Deshalb reicht die reine Überwachung von Eingangs- und Ausgangsdaten nicht mehr aus. Es wird vielmehr kritisch, die Kette der getroffenen Entscheidungen (den sogenannten Reasoning-Pfad) zu protokollieren und zu auditieren, um Rechenschaftspflicht und Nachvollziehbarkeit sicherzustellen. Die Fähigkeit der Agenten zur Selbstkorrektur und Iteration erfordert Governance-Mechanismen, die nicht nur den initialen Zustand, sondern den gesamten autonomen Lebenszyklus des Agenten erfassen und kontrollieren.
Säulen wirksamer KI-Governance
KI-Governance in Unternehmen zielt darauf ab, KI strategiekonform, wertebasiert und rechtskonform einzusetzen. Dadurch wird sichergestellt, dass KI-Projekte nicht isoliert entstehen, sondern direkt auf die Geschäftsziele und die Gesamtstrategie des Unternehmens einzahlen. Die eingesetzten KI-Lösungen sollten dabei den unternehmensethischen Grundsätzen entsprechen, also z.B. keine Diskriminierung fördern (Bias) und nicht die Privatsphäre der Nutzer verletzen. KI-Governance muss sicherstellen, dass beim KI-Einsatz alle relevanten Gesetze und Verordnungen eingehalten werden. Für in der EU tätige Unternehmen sind dies insbesondere die Datenschutz-Grundverordnung (DSGVO) und der EU AI Act.
KI-Governance ist dabei kein einmaliges Projekt, das nach der Einführung abgeschlossen ist, sondern ein kontinuierlicher Anpassungs- und Verbesserungsprozess – ähnlich einem Qualitätsmanagementsystem. Außerdem ist KI-Governance eine Querschnittsaufgabe und erfordert die Zusammenarbeit über Bereiche hinweg – von Fachbereichen über IT und Security bis zu Recht, Datenschutz, Risiko und Compliance. Sie ist also ausdrücklich kein reines IT-Thema. Wichtig ist zudem, kein Standardrezept für KI-Governance zu erwarten. Bei der spezifischen Ausgestaltung sind verschiedene Faktoren zu berücksichtigen, wie die Unternehmensgröße und Branche sowie der KI-Reifegrad und der "Risikoappetit" des Unternehmens, also seine Bereitschaft Risiken einzugehen, um Innovationen schneller voranzutreiben. Weiterhin sollte KI-Governance holistisch betrachtet werden. Sie muss den gesamten Lebenszyklus einer KI-Lösung abdecken, von der Idee über Entwicklung und Betrieb bis zur Stilllegung.
Wie in Abbildung 1 dargestellt, lassen sich vier Kernelemente der KI-Governance eines Unternehmens unterscheiden.
Prinzipien und Werte
Den Rahmen setzen Prinzipien und Werte. Sie definieren ethische Leitplanken wie Transparenz, Fairness und Robustheit, geben Kriterien für interne Entwicklungen und die Auswahl externer Anbieter vor und legen fest, welche Anwendungsfälle zulässig sind und welche nicht. Unternehmen, die für sich solche Prinzipien erarbeiten, können sich an internationalen Prinzipien und Standards orientieren, wie beispielsweise den OECD AI Principles oder die Ethics Guidelines for Trustworthy AI der von der EU-Kommission eingesetzten High Level Expert Group on AI.
Rollen und Verantwortlichkeiten
Klar definierte Rollen und Verantwortlichkeiten verankern Steuerung und Rechenschaftspflicht. KI-Systeme wirken oft bereichsübergreifend und betreffen unterschiedliche Abteilungen, von Data Science über IT bis hin zu Fachbereichen und Compliance. Dies führt schnell zu unklaren Zuständigkeiten, die im schlimmsten Fall zu fehlerhaften Entscheidungen oder fehlender Kontrolle führen können. Die Einrichtung eines KI-Governance-Boards, die Einführung einer Position wie des (Chief) AI Officers oder die Ernennung von KI-Verantwortlichen in den Fachbereichen sind wichtige Stellen, die die Ausrichtung und Implementierung von KI-Initiativen leiten und überwachen.
Richtlinien und Prozesse
Damit KI-Governance im Unternehmensalltag funktioniert, müssen die strategischen Vorgaben in klare, praktikable Prozesse überführt werden. Es braucht ein strukturiertes Vorgehen zur Aufnahme und risikobasierten Bewertung neuer Anwendungsfälle. Unverzichtbar sind umfassende Datenschutz-Folgenabschätzungen sowie Reviews durch die Abteilungen IT-Sicherheit und Legal. Im laufenden Betrieb sichern dann kontinuierliches Monitoring sowie Incident- und Change-Prozesse die Stabilität. Eine lückenlose Dokumentation schafft dabei die notwendige Evidenz für Audits und erleichtert die Einhaltung externer Rahmenwerke wie des EU AI Acts und der ISO/IEC 42001. Dabei ist wichtig, dass die Prozesse berücksichtigen, dass einfache, unkritische Anwendungen schnell umgesetzt werden können, während komplexe oder sensible Systeme eine vertiefte Prüfung durchlaufen. Der Aufwand für die Governance muss in einem angemessenen Verhältnis zum Risiko stehen.
Technologien und Werkzeuge
Prozesse und Regeln allein reichen nicht aus. Manuelle Audits und Dokumentationen sind bei einer Handvoll KI-Systemen noch machbar, aber nicht, wenn eine Vielzahl von KI-Anwendungen im Produktivbetrieb sein soll. Hier kommen technische Lösungen ins Spiel, um KI-Governance-Aufgaben zu unterstützen und zu automatisieren. Spezialisierte KI-Governance-Plattformen und MLOps (Machine Learning Operations)-Frameworks helfen Unternehmen, die Herausforderung der Skalierung zu meistern. MLOps übertragen dabei die Prinzipien aus der Softwareentwicklung (DevOps) auf den Lebenszyklus von KI-Modellen, um diese effizient, reproduzierbar und sicher über ihren gesamten Lebenszyklus hinweg zu entwickeln, bereitzustellen und zu überwachen. Diese Plattformen und Frameworks bieten u. a. einen Überblick über alle verwendeten KI-Systeme, ermöglichen das automatisierte Monitoring verschiedener Metriken, wie z.B. zu Modellleistung, Fairness und Bias im Produktivbetrieb und erleichtern zudem die Erklärbarkeit (Explainability) sowie die Compliance-Prüfung von Modellen. Einen tieferen Einblick in KI-Governance-Plattformen gibt der folgende Abschnitt.
Technische Unterstützung: Tools für die Umsetzung von KI-Governance
KI-Governance-Plattformen helfen Unternehmen, ihre Governance-Aufgaben im Umgang mit KI zu strukturieren und zu automatisieren. Sie ermöglichen es, standardisierte Prozesse, klare Verantwortlichkeiten und zentrale Kontrollmechanismen abzubilden, wodurch sich neue KI-Modelle und Anwendungen schneller und sicherer ausrollen lassen. Auf diese Weise unterstützen sie die organisatorische Skalierbarkeit von KI-Initiativen. Gleichzeitig haben KI-Governance-Plattformen den Anspruch, den manuellen Aufwand für Governance-Aufgaben deutlich zu reduzieren, indem sie die Durchführung von Risikoanalysen, die Prüfung von Modellen auf Compliance, Bias oder Datenschutzverletzungen oder die Erstellung standardisierter Bewertungs- und Audit-Dokumentationen automatisieren. Dies gilt sowohl für intern entwickelte KI-Anwendungen als auch für Lösungen von Drittanbietern. So werden alle Beteiligten entlastet und Ressourcen für die Weiterentwicklung freigesetzt.
Vor dem Hintergrund der steigenden Bedeutung von KI-Governance, Transparenz und Risikomanagement wächst auch der Markt für KI-Governance-Lösungen rasant. Hauptgründe sind die zunehmende Akzeptanz von KI in Unternehmen und der wachsende regulatorische Druck, etwa durch den EU AI Act. Große Analysten und Beratungsunternehmen wie Forrester oder Gartner veröffentlichen regelmäßig Marktübersichten und Vergleiche, die Unternehmen helfen, die unterschiedlichen Anbieter, Plattformen und Funktionen besser zu verstehen. Dabei lohnt es sich, besonders auf die Herkunft der Anbieter zu achten: Manche Plattformen stammen aus Bereichen wie Compliance, Data Governance oder MLOps und haben KI-Governance als Erweiterung ihrer bestehenden Expertise entwickelt. Andere wiederum wurden von Anfang an mit dem Fokus auf KI-Governance gegründet und verfolgen dies als Kernmission. Dementsprechend haben sie unterschiedliche Kernkompetenzen und passen besser oder schlechter zu den Anforderungen eines Unternehmens. Kauft ein Unternehmen beispielsweise v.a. Commercial Off-the-Shelf KI-Services, dann sind ausgeprägte MLOps-Funktionalitäten weniger relevant als Governance-Prozesse zum Umgang mit Lösungen von Drittanbietern. Allerdings verschwimmen die Trennlinien zunehmend.
Wie der Anfang gelingt
Zum Abschluss lässt sich festhalten: Unternehmen, die ihre KI-Governance neu aufbauen oder gezielt weiterentwickeln wollen, sollten strukturiert und mit Augenmaß vorgehen. Die folgende Abbildung zeigt ein solches Vorgehen.
Auch kann ein Reifegradmodell zur KI-Governance dabei helfen, den aktuellen Stand systematisch zu erfassen, Stärken und Schwächen sichtbar zu machen und Prioritäten für die nächsten Entwicklungsschritte zu setzen. Solche Modelle orientieren sich häufig am aus dem CMMI bekannten Vorgehen zur stufenweisen Reifegradbewertung von Prozessen. Auf diese Weise lässt sich die Entwicklung der KI-Governance gezielt steuern und ihr Fortschritt messbar machen.
Unverzichtbar ist für jedes Unternehmen, das KI einsetzt, ein umfassendes KI-Inventar, das sämtliche Anwendungen, Modelle, Datenquellen, Anbieter und Risiken dokumentiert. Auf dieser Basis lässt sich ein pragmatischer Fahrplan gestalten: zunächst Transparenz schaffen, anschließend risikobasierte Freigabeprozesse und klare Verantwortlichkeiten etablieren, zentrale Richtlinien definieren und Monitoring- sowie Reporting-Strukturen verankern. Richtig umgesetzt wird KI-Governance so nicht zum Bremsklotz, sondern zum strategischen Enabler – sie reduziert Risiken, schafft Vertrauen und ermöglicht eine verantwortungsvolle und zugleich beschleunigte Skalierung von KI im gesamten Unternehmen.
- Mäntymäki, M., Minkkinen, M., Birkstedt, T., & Viljanen, M. (2022). Defining organizational AI governance. AI and Ethics, 2(4), 603–609.
- Bundesnetzagentur KI-Service Desk
- Bundesamt für Sicherheit in der Informationstechnik (Hrsg.). (2025). Generative KI-Modelle: Chancen und Risiken für Industrie und Behörden.
- Acharya, D. B., Kuppan, K., & Divya, B. (2025). Agentic AI: Autonomous Intelligence for Complex Goals—A Comprehensive Survey. IEEE Access, 13, 18912–18936.
