Die Bedeutung von KI für den Aufsichtsrat: im Gespräch mit Klaus Schatz und Manuela Mayer

Klaus Schatz, Partner & Leiter des Bereichs Technology Consulting, KPMG und Manuela Mayer, Partnerin & Wirtschaftsprüferin, KPMG im Gespräch

Was ist Künstliche Intelligenz eigentlich, Herr Schatz?

KI lässt sich nicht allgemeingültig definieren. Sie ist grundsätzlich eine General Purpose Technology, die nicht für einen konkreten Zweck optimiert ist. Sie kann – wie z. B. Strom auch – für unzählige verschiedene Sachen verwendet werden. Die größte Gefahr liegt darin, das Thema nicht ernst zu nehmen. Egal ob als Geschäftsführung, im Aufsichtsrat oder auf Ebene der Eigentümer:innen.

Was sind die größten Chancen und Risiken beim Einsatz von KI durch ein Unternehmen, Frau Mayer?

KI schafft zahlreiche Chancen, indem große Datenmengen schnell verarbeitet werden und auf viele Informationen zugegriffen werden kann. Hier liegt gleichzeitig schon das größte Risiko: nämlich sicherzustellen, dass wirklich nur die dazu Berechtigten auf diese Informationen zugreifen können. Also zu schauen, wer darf auf welche Daten zugreifen, sind meine Daten sicher und wie kann ich meine Belegschaft motivieren, nur das KI-System zu verwenden, das im Unternehmen freigegeben worden ist. Zentral ist hier die Bewusstseinsbildung und die Schulung der Mitarbeiter:innen. Allzu oft haben wir erlebt, dass auf öffentlich zugänglichen KI-Webseiten sensible Unternehmensinformationen verarbeitet wurden, und damit sind in den meisten Fällen dem KI-Anbieter Daten zur Weiterverarbeitung übergeben worden. Eine weitere Chance von KI ist die Möglichkeit, fundiertere Entscheidungen zu treffen und auch bestehende Prozesse zu hinterfragen. Denn in dem Moment, in dem man überlegt, wie man KI sinnvoll einsetzen kann, muss man sich auch mit den aktuell gültigen Prozessabläufen beschäftigen. Alleine das stellt ein Optimierungspotenzial dar.

Herr Schatz, sehen Sie weitere Gefahren?

Die größte Gefahr sehe ich darin, das Thema nicht ernst zu nehmen und als Hype abzutun. Egal ob als Geschäftsführung, im Aufsichtsrat oder auf Ebene der Eigentümer:innen. Wenn ein Unternehmen es verschläft, KI zu verstehen oder neugierig zu sein, dann versäumt es die notwendige Vorlaufzeit, um bei derart komplexen bzw. sich schnell entwickelnden Technologien wie KI überhaupt mitkommen zu können. Das größte Risiko ist also, nichts zu tun, denn KI wird Geschäftsmodelle definitiv verändern und das in allen Branchen. Vielmehr sollte man sich strategische Fragen stellen: Was bedeutet die Technologie für die Nachhaltigkeit des Geschäftsmodells? Wo genau kann ich KI im Unternehmen einsetzen und an welchen Stellen können Prozesse vielleicht durch KI optimiert werden? KI ist ein scharfes Schwert – wenn man es schwingen will, braucht man Übung und Training, sonst verletzt man sich.

Was sollte ich als Aufsichtsrat tun, Herr Schatz?

Der Aufsichtsrat sollte die Geschäftsführung zu diesem Thema challengen, das heißt nachzufragen, wie sie sich mit dem Thema auseinandergesetzt hat, was das für das Geschäftsmodell bedeutet und wie im Unternehmen damit umgegangen werden soll. Sobald es dann von der Konzeption in die Umsetzung geht, sind die Fragen der Governance, Security und natürlich der Letztverantwortung empfehlenswert.

Wo kann der Aufsichtsrat ansetzen, Frau Mayer?

Essenziell ist, wie schon erwähnt, die Organisation rund um KI, das heißt die Zuständigkeiten und die Governance, die drumherum aufgebaut ist, zu hinterfragen. Der zweite Punkt ist, dass auch die Risiken, die sich für das Unternehmen ergeben, betrachtet werden. Inwiefern ist die Belegschaft in Bezug auf KI-Governance und Datensicherheit geschult, gibt es Richtlinien zur KI-Nutzung und sind diese auch entsprechend bekannt gemacht worden. Und wie wird sichergestellt, dass KI-generierte Inhalte auch qualitätsgesichert werden.

Zu welchem Zeitpunkt muss ich den Aufsichtsrat involvieren, Frau Mayer?

Das ist eine Gratwanderung, da der Aufsichtsrat natürlich Aufsichtsorgan ist und nicht operativ an der Tätigkeit des Unternehmens mitwirken soll. Gleichzeitig muss der Aufsichtsrat aber darauf achten, dass die Strategie in die richtige Richtung geht, dass das Budget und das interne Kontrollsystem angemessen sind. Das alles sind gute Ansatzpunkte, um Fragen zum Thema KI zu stellen. Wie wird die Auswirkung von KI auf die Strategie beurteilt, gibt es ein angemessenes Governance-System und spiegeln sich die Pläne des Managements auch im Budget wider? Denn auch das muss allen bewusst sein: Eine KI, die gut funktionieren und sinnvoll genutzt werden soll, bringt auch entsprechende Kosten mit sich. Wenn ich diese im Budget, das ja mindestens einmal im Jahr im Aufsichtsrat behandelt wird, gar nicht wiederfinden würde, wäre auch etwas unschlüssig. Auch der Austausch mit der internen Revision ist interessant. Jede moderne interne Revision sollte inzwischen den Einsatz von KI am Prüfplan haben, sei es eine Grunderhebung oder zu spezifischen Anwendungen, die im Unternehmen im Einsatz sind. Nachdem KI so umfassend im Unternehmen aufschlägt, gibt es im Rahmen der regulären Aufsichtstätigkeit viele Anknüpfungspunkte, wo der Aufsichtsrat in das Thema einsteigen kann. Je mehr er aktiv fragt, umso mehr Informationen wird er erhalten.

Brauche ich die Zustimmung im Aufsichtsrat für die Einführung einer KI, Frau Mayer?

Pauschal kann man das nicht beantworten. Es hängt auch von der Geschäftsordnung ab. Wenn ich Investitionskosten habe, die bestimmte Größenordnungen überschreiten, kann ich schon in die Zustimmungspflicht kommen. Ansonsten hängt es sehr stark vom Ausmaß des Einsatzes beziehungsweise auch von der inneren Organisation im Unternehmen ab.

Was bedeutet das Thema KI für die Kompetenzen im Aufsichtsrat, Herr Schatz?

Es ist unumgänglich, dass alle Mitglieder ein Bewusstsein und ein Basiswissen zu diesem Thema besitzen. Wir haben schon oft erlebt, dass man diese „Blackbox IT und Digitalisierung“ gerne ein bisschen wegschiebt, weil man sich nur bedingt damit auseinandergesetzt hat und das vielleicht unangenehm ist. Um aber ein Eigenverständnis entwickeln und kritische Fragen stellen zu können, ist es unbedingt notwendig, sich ein gewisses Maß an Know-how im IT- und KI-Bereich anzueignen.

Wie sehen Sie das, Frau Mayer?

Es geht im Aufsichtsrat auch um den Austausch. Damit man sich austauschen kann, braucht man die fundierte Basis dahinter. Ich habe als Aufsichtsrat die Verpflichtung, mich mit Chancen und Risiken, die aus KI erwachsen, zu beschäftigen und mir zu überlegen, welche Fragen ich stellen kann. Gerade bei aktuellen Themen, die sich mit einer wahnsinnigen Geschwindigkeit entwickeln und für Unternehmen aller Branchen relevant sind, ist der Austausch mit anderen Aufsichtsräten besonders wichtig. Zu verstehen, wie gehen anderen Aufsichtsräte damit um, was haben sie für Insights – natürlich immer im Rahmen der Vertraulichkeit.

Wie wird KI in der Praxis im Aufsichtsrat genutzt, Herr Schatz?

Wenn ich in einem Wissensgebiet sehr gut und fachlich qualifiziert bin, kann ich KI wunderbar nutzen. Ich kann mir zum Beispiel von umfassenden Aufsichtsratsunterlagen Zusammenfassungen machen und die Erkenntnisse präsentieren lassen. Das funktioniert aber nur, solange ich mit meinem eigenen Wissen die Qualität der Aussagen beurteilen und absichern kann. Gefährlich wird es immer dann, wenn Halbwissen vorhanden ist. Dann erscheint vielleicht eine Antwort schlüssig und sinnvoll, aber es würde in die falsche Richtung führen. Daher sollte man KI immer mit Bedacht einsetzen und das notwendige Wissen mitbringen, um Ergebnisse kritisch hinterfragen zu können. Man kann KI natürlich auch als eine Art Trainer nutzen, also ihr Fragen stellen und schauen, was könnten für meine Antworten Gegenargumente sein? So kann man wunderbar debattieren und sich beispielsweise auf reale Gesprächssituationen vorbereiten.

Was sagen Sie dazu, Frau Mayer?

Aus meiner Sicht löst KI eines der Hauptprobleme von Aufsichtsräten, nämlich innerhalb von kürzester Zeit mit sehr vielen Informationen bombardiert zu werden. Die durchschnittliche Vorlaufzeit bei Aufsichtsratssitzungen für die Übermittlung der Unterlagen sind zwei Wochen. Wir wissen aber auch, dass das nicht die Realität ist und oft einiges nachgereicht oder angepasst wird, teilweise sogar kurz vor den Sitzungen noch Unterlagen kommen. Hier kann KI gut helfen, sich selbst auf die Sitzung vorzubereiten, also zum Beispiel eine Übersicht über die Unterlagen erstellen und die Kernpunkte zusammenfassen zu lassen. Damit ich als Aufsichtsratsmitglied weiß, wo soll ich einen genaueren Blick hineinwerfen, was sind Themen, die ich vielleicht schon kenne und was sind nur Aktualisierungen. Das heißt, gerade in dieser ersten Sichtung der Unterlagen, in der Flut der Informationen, mit denen man konfrontiert wird, ist KI sehr hilfreich, um Ordnung zu schaffen und sich auf das Wesentliche konzentrieren zu können. Aber auch eine erste Risikoanalyse, ein erstes Einlesen in neue Themen ist sicher mit Hilfe von KI einfacher als es bisher war.

Außerdem ist KI nützlich für die Protokollierung, also die Transkription mit KI zu machen, um danach ein sachlich richtiges Protokoll zu haben. Das muss im Interesse aller Beteiligten sein. Aufpassen sollte man nur, dass die Diskussion dadurch nicht gehemmt wird. Einerseits muss sich ganz klar jeder Teilnehmende bewusst sein, dass transkribiert wird und dementsprechend eine Aufzeichnung vorhanden ist, und andererseits muss man als Aufsichtsratsvorsitzende:r auch das Gefühl haben, dass sich jeder damit wohlfühlt. Es darf nicht dazu führen, dass Hemmnisse entstehen, weil sich nicht mehr getraut wird, bestimmte Fragen zu stellen oder eine Meinung zu äußern. Die Praxisvariante, die ich zurzeit sehr oft beobachte, ist, dass Unternehmen zwar Sitzungen aufzeichnen und diese von der KI transkribieren lassen, danach aber, sobald das Protokoll freigegeben wurde, die entsprechenden Unterlagen wieder löschen.

Was ist hier zum Thema Vertraulichkeit aus technischer Sicht zu beachten, Herr Schatz?

Wir sehen bei vielen Kunden, dass die ersten Use Cases mit eher weniger sensiblen Daten stattfinden, wo die Frage der Datenspeicherung und -verarbeitung eher zweitrangig ist. Für die Verarbeitung sensibler Informationen gibt es zum Beispiel die Möglichkeit, das Hosting der KI-Modelle und damit die Verarbeitung der Daten innerhalb der EU durchzuführen. 

Was möchten Sie den Arbeitnehmervertreter:innen im Aufsichtsrat mitgeben?

Seid neugierig, mutig und versteckt euch nicht. Beschäftigt euch aktiv mit dem Thema KI im Unternehmen. Schaut auf die Themen Governance und Security.  Man kann beim Thema KI nicht sagen, ich habe mich jetzt einmal damit beschäftigt und damit ist es abgehakt, ich habe meine Aufsichtsratstätigkeit erfüllt. In diesem Bereich muss ich anerkennen, dass sich Dinge laufend verändern, das heißt: regelmäßig dranbleiben, hinterfragen und mich auch selbst entsprechend fortbilden. Und nicht zuletzt ist der Austausch mit der Peergroup – natürlich unter Wahrung der Vertraulichkeit – zentral, also mit anderen Aufsichtsräten in den Dialog zu gehen, um zu verstehen, was andere Unternehmen tun und wie andere Unternehmen mit dem Thema KI umgehen.

Der Artikel ist auch in unserem IFAM Info Nr. 1/2026 erschienen