Freitag, 5. Juni 2026 von Dr. Michael Gebert Was Unternehmen aus dem neuen OECD-KI-Framework lernen sollten
Vom Prinzip zur Berichtspflicht?
Die OECD hat Version 2.0 des Hiroshima AI Process Reporting Framework vorgestellt. Formal bleibt das Instrument freiwillig. Für Unternehmen könnte es dennoch relevant werden: als Referenzrahmen für KI-Transparenz, Anbieterbewertung, Risikomanagement und Governance-Reife.
Die internationale KI-Governance wird konkreter. Am 28. Mai 2026 hat die Organisation für wirtschaftliche Zusammenarbeit und Entwicklung, kurz OECD, Version 2.0 des Hiroshima AI Process Reporting Framework vorgestellt. Der Launch fand in Paris am Rand des G7 Digital and Tech Ministerial Meeting unter französischer G7-Präsidentschaft statt. Ergänzend dazu präsentiert die OECD gemeinsam mit der Global Partnership on Artificial Intelligence, GPAI, den AI Policy Toolkit, ein Instrument für Regierungen und politische Entscheider zur praktischen Ausgestaltung von KI-Politik.
Auf den ersten Blick klingt das nach einer technischen Meldung aus der internationalen Verwaltungssprache. Bei genauerer Betrachtung geht es jedoch um eine Entwicklung, die auch für Unternehmen relevant ist: KI-Governance bewegt sich von allgemeinen Prinzipien hin zu dokumentierbaren, vergleichbaren und überprüfbaren Praktiken.
Das Hiroshima AI Process Reporting Framework soll Organisationen ermöglichen, öffentlich darzustellen, wie sie mit Risiken fortgeschrittener KI-Systeme umgehen. Es baut auf dem Hiroshima AI Process auf, den die G7 2023 unter japanischer Präsidentschaft gestartet hatte. Dieser Prozess sollte internationale Leitlinien und einen freiwilligen Verhaltenskodex für fortgeschrittene KI-Systeme schaffen. Die OECD wurde später beauftragt, Mechanismen zu entwickeln, mit denen die freiwillige Anwendung dieses Codes nachvollziehbarer gemacht werden kann.
Version 2.0 des Reporting Framework ist deshalb relevant, weil sie den Kreis der adressierten Organisationen erweitert. Während die öffentliche Debatte über KI-Governance lange stark auf große Foundation-Model-Anbieter und Frontier-AI-Labore fokussiert war, soll die neue Version breiter nutzbar sein. Die OECD spricht ausdrücklich von Akteuren entlang der KI-Wertschöpfungskette, also nicht nur von Modellentwicklern, sondern auch von Entwicklern, Anbietern und Organisationen, die KI-Systeme einsetzen oder in eigene Prozesse integrieren. Auch kleinere und mittlere Unternehmen sollen leichter teilnehmen können.
KI-Governance wird vergleichbarer
Für Unternehmen liegt darin der eigentliche Nachrichtenwert. Die meisten Organisationen werden keine eigenen großen Basismodelle trainieren. Sie werden KI einkaufen, anpassen, integrieren, orchestrieren und in bestehende Geschäftsprozesse einbetten. Genau dort entstehen künftig die entscheidenden Governance-Fragen: Welche KI-Systeme werden eingesetzt? Welche Anbieter sind beteiligt? Welche Risiken entstehen durch den konkreten Einsatzkontext? Wer trägt Verantwortung? Wie werden Vorfälle dokumentiert? Wie werden Nutzer, Kunden, Aufsicht, Management oder Partner informiert?
Das Reporting Framework versucht, solche Fragen in eine strukturierte Form zu bringen. Es fragt unter anderem nach Risikobewertung, Risikomanagement, Informationssicherheit, Transparenz, organisatorischer Governance, Incident Management, Content Provenance, Forschung zur KI-Sicherheit und Beiträgen zu übergeordneten gesellschaftlichen Zielen. Damit wird sichtbar, worauf sich internationale KI-Governance zunehmend konzentriert: nicht nur auf die Leistungsfähigkeit eines Modells, sondern auf den organisatorischen Umgang mit seinen Folgen.
Die OECD betont, dass das Framework freiwillig ist. Das ist journalistisch wichtig. Es handelt sich nicht um eine gesetzliche Berichtspflicht, nicht um eine Zertifizierung und nicht um einen Ersatz für bestehende oder kommende regulatorische Pflichten. Die OECD veröffentlicht die eingereichten Berichte, prüft aber nicht die inhaltliche Substanz der Angaben. Organisationen müssen bestätigen, dass ihre Angaben nach bestem Wissen korrekt sind. Eine Bestätigung der tatsächlichen Governance-Qualität durch die OECD ist damit nicht verbunden.
Gerade diese Einschränkung macht die Entwicklung ambivalent. Einerseits kann freiwilliges Reporting Transparenz schaffen, Lernprozesse anstoßen und gemeinsame Standards fördern. Andererseits bleibt Selbstberichterstattung anfällig für strategische Kommunikation. Unternehmen, die solche Berichte künftig lesen, sollten sie daher nicht als Gütesiegel verstehen, sondern als Ausgangspunkt für eigene Prüfungen. Für Einkauf, Compliance, Rechtsabteilung, Datenschutz, Informationssicherheit und Vorstandsebene kann das Framework dennoch nützlich sein, weil es einen international anschlussfähigen Fragenkatalog liefert.
Praktisch bedeutet das: Ein Unternehmen muss nicht zwingend selbst am HAIP Reporting Framework teilnehmen, um daraus zu lernen. Schon der Fragenkatalog zeigt, welche Themen künftig bei KI-Beschaffung, Anbieterprüfung und interner Governance an Bedeutung gewinnen. Wer KI-Lösungen einkauft, kann Anbieterberichte als Teil der Vendor Due Diligence nutzen. Wer KI intern skaliert, kann die Struktur des Frameworks als Spiegel für die eigene Organisation verwenden. Wer mit internationalen Partnern arbeitet, erhält einen gemeinsamen Referenzpunkt jenseits nationaler Einzellösungen.
Parallel dazu ist der OECD/GPAI AI Policy Toolkit ein zweiter Baustein derselben Entwicklung. Er richtet sich primär an Regierungen, Ministerien und internationale Partner. Der Toolkit soll Staaten helfen, ihre KI-Politiklandschaft zu erfassen, Lücken zu identifizieren und internationale Beispiele für konkrete politische Maßnahmen zu finden. Er bewertet oder rankt Länder ausdrücklich nicht. Er soll Orientierung geben, nicht ein politisches Schulnotensystem schaffen.
Für Unternehmen ist dieser Toolkit indirekt relevant. Er zeigt, wie Regierungen KI-Politik zunehmend operationalisieren: über Governance-Strukturen, institutionelle Zuständigkeiten, Forschung und Investitionen, Compute- und Energiefragen, Daten-Governance, Adoption und Nutzung sowie Bildung und Kompetenzen. Das sind nicht nur staatliche Themen. Es sind auch die Bausteine jeder belastbaren Unternehmensstrategie für KI. In Europa kommt ein weiterer Kontext hinzu: der EU AI Act. Er ist bereits in Kraft und wird schrittweise wirksam. Das OECD-Framework ersetzt diese Regulierung nicht. Es ist auch kein Compliance-Nachweis im Sinne des EU-Rechts. Trotzdem kann es für europäische Unternehmen nützlich sein, weil es eine internationale Sprache für viele Fragen liefert, die auch im EU-AI-Act-Kontext relevant werden: Risikoklassifizierung, Dokumentation, Transparenz, Verantwortlichkeiten, menschliche Aufsicht, technische Robustheit und Governance-Prozesse.
Der Unterschied ist entscheidend: Der EU AI Act ist verbindliches Recht. Das Hiroshima AI Process Reporting Framework ist freiwilliges internationales Soft Law. Aber Soft Law kann Marktwirkung entfalten. Was heute freiwillige Transparenz ist, kann morgen in Ausschreibungen, Partnerschaften, Lieferketten, Investorenkommunikation oder Aufsichtsdialogen zur Erwartung werden. Gerade größere Unternehmen könnten künftig ihre KI-Anbieter fragen, ob sie nach anerkannten Frameworks berichten, welche Informationen öffentlich zugänglich sind und wie interne Aussagen überprüft werden können.
Damit verschiebt sich auch die Rolle von KI-Governance im Unternehmen. Sie ist nicht mehr nur ein abstraktes Compliance-Thema. Sie wird zur Managementaufgabe. Unternehmen müssen nicht nur entscheiden, welche KI-Systeme sie nutzen wollen. Sie müssen erklären können, wie diese Systeme ausgewählt, eingeführt, überwacht, dokumentiert und bei Problemen kontrolliert werden. Besonders wichtig wird das bei agentischen KI-Systemen. Je stärker KI nicht nur Antworten gibt, sondern Aufgaben plant, externe Werkzeuge nutzt, Daten abruft, Aktionen auslöst und mehrstufige Prozesse steuert, desto stärker reicht klassische Modellbewertung allein nicht mehr aus. Dann geht es um Prozesskontrolle, Zugriffsbeschränkungen, Logging, Eskalationsregeln, Verantwortlichkeiten und nachvollziehbare Grenzen der Autonomie.
Für Entscheider lautet die zentrale Frage deshalb nicht, ob das OECD-Framework unmittelbar verpflichtend ist. Das ist es nicht. Die bessere Frage lautet: Könnte unser Unternehmen die Fragen dieses Frameworks heute belastbar beantworten? Wer darauf keine klare Antwort hat, sollte die Entwicklung ernst nehmen. Denn das neue Reporting Framework zeigt, in welche Richtung sich die Erwartung an professionelle KI-Nutzung bewegt. Unternehmen werden künftig stärker belegen müssen, dass sie KI nicht nur einsetzen, sondern auch steuern können. Das betrifft Anbieter ebenso wie Anwender.
Die eigentliche Nachricht ist daher: KI-Governance wird vergleichbarer. Und Vergleichbarkeit verändert Märkte. Sie beeinflusst Beschaffung, Reputation, Vertrauen, Haftungsdiskussionen und strategische Partnerschaften. Aus Unternehmenssicht ist das neue OECD-Framework deshalb kein Thema nur für Forschungsabteilungen oder politische Spezialisten. Es ist ein Signal an Geschäftsführungen, Vorstände, Compliance-Verantwortliche, CIOs, Datenschutzbeauftragte, Einkaufsabteilungen und Produktverantwortliche. Wer KI professionell nutzt, muss künftig zeigen können, wie Verantwortung organisiert ist.
Noch ist aus dem Prinzip keine Berichtspflicht geworden. Aber der Weg von freiwilliger Transparenz zu faktischen Marktstandards ist in vielen regulierten Technologiefeldern kurz. Unternehmen sollten diesen Moment nutzen, um ihre eigene KI-Governance nicht erst dann zu strukturieren, wenn Kunden, Aufsicht oder Partner danach fragen. ■
#ArtificialIntelligence #AI #AIGovernance #AIRegulation #ResponsibleAI #TrustworthyAI #AICompliance #AIRiskManagement #AITransparency #AgenticAI #GenerativeAI #HiroshimaAIProcess #OECD #GPAI #EUAIAct #DigitalGovernance #TechnologyPolicy #CorporateGovernance #VendorDueDiligence #AIProcurement #AIManagement #BusinessAI #KI #KIGovernance #KIRegulierung #KICompliance #KünstlicheIntelligenz #KIExpertenforum
