Organization Design for AI · Insight
Das AI-Framework-Paradoxon— warum die aktuellen Ansätze die herausforderungen nicht vollständig lösen
NIST, ISO 42001, EU AI Act, McKinsey, BCG, Bain, Deloitte, Microsoft, Google. Zehn dominierende Standards regeln Risiko, Recht, Strategie und Werte. Keiner zerlegt Organisationsdesign als primären Gestaltungsgegenstand.
9 Min. Lesezeit
03. Juli 2026
HandsOn Insights
Der globale KI-Markt hat innerhalb von drei Jahren einen dichten Standard-Stack aufgebaut — NIST AI RMF, ISO/IEC 42001, EU AI Act, OECD-Prinzipien, dazu die Operating-Model-Beiträge von McKinsey, BCG, Bain und Deloitte sowie die Responsible-AI-Stacks von Microsoft und Google. Diese Bestandsaufnahme analysiert, was die dominierenden Frameworks leisten — und welche Designdimension strukturell unbesetzt bleibt.
Die Ausgangslage
Selten war der Abstand zwischen verfügbaren Orientierungsrahmen und messbarer Wirkung größer. Auf der einen Seite: ein dichter, ausdifferenzierter Standard-Stack aus regulatorischen Pflichtrahmen, Beratungsmodellen und Werte-Frameworks. Auf der anderen Seite weiterhin die Organisation als größtes Bottleneck in der KI Transformation — deutlich vor Algorithmen, Daten und Modellen. Die These die wir daraus schliessen: die marktführenden Frameworks adressieren nicht oder nur zum Teil die Dimensionen, die Wirkung erzeugt.
Der Grund liegt in der Entstehungslogik des Stack. NIST AI RMF wurde aus Risikomanagement-Methodik entwickelt. ISO/IEC 42001 folgt der Struktur von Management-System-Standards. Der EU AI Act ist Rechtstext. Die Beratungsmodelle von McKinsey, BCG, Bain und Deloitte haben einen hohen Strategiefokus und setzen Schwerpunkte. Die Responsible-AI-Stacks von Microsoft und Google sind Vendor-Governance Modelle, in Bezug auf die bereitgestellte Technologie. Alle davon sind hilfreich für einzelne Use Cases, aber keines dieser Frameworks blickt auf die Organisation als geschlossenes System. Organisationsdesign, als integrierte Architektur über Struktur, Entscheidungsrechte, Rollen, Mensch-KI-Schnittstellen und Kompetenzen, ist in keinem der Tier-1-Frameworks die primäre Gestaltungsebene.
Welche Frameworks heute den Diskurs prägen
Der Standard-Stack lässt sich in drei klar trennbare Cluster aufteilen: Regulatorisch/Prozedurale Modelle, Beratungsmodelle, Werte & Vendormodelle. Dazu sind aus akademischer Sicht weiterhin das klassische Operating Model von Galbraith sowie die IT Operating Models des MIT CISR relevant.
Schicht 1 · Regulatorisch & prozedural
NIST · ISO 42001 · EU AI Act
NIST AI RMF (US, freiwillig — de facto regulatorisch über FTC-, SEC- und FDA-Verweise), ISO/IEC 42001 (international zertifizierbar, seit 12/2023), EU AI Act (verbindliches Recht seit August 2024, gestaffelt bis 2027). Regeln Risiko, Audit-Fähigkeit und Rechtspflichten. Bitkom positioniert ISO 42001 als DACH-Baseline für EU-AI-Act-Compliance.
Schicht 2 · Beratungsmodelle
McKinsey · BCG · Bain · Deloitte
McKinseys „Agentic Organization“ (fünf Pillars) und das „AI Transformation Manifesto“ (April 2026, zwölf Imperatives, u. a. Theme 10 „No trust, no right to deploy AI“). BCGs 10-20-70-Regel und „Enterprise as Code“. Bains Operating Model in fünf Dimensionen. Deloittes Drei-Layer-Modell und Trustworthy-AI-Framework.
Schicht 3 · Werte & Vendor
OECD · Microsoft · Google
OECD AI Principles als globaler Normen-Anker (2019, Update 2024). Microsoft Responsible AI Standard v2 (sechs Prinzipien). Google AI Principles in der 2025er Fassung (fünf Prinzipien). Microsoft dokumentiert 67 Red-Team-Operationen 2024 — eine operative Tiefe ohne Pendant in den Standards-Frameworks.
Akademisches Fundament
MIT CISR · Galbraith Star
MIT CISR publizierte im Dezember 2025 vier Enterprise-IT-Operating-Models für das KI-Zeitalter (39 Interviews, Survey N=152). Das Galbraith Star Model bleibt die methodische Grundlage jeder Operating-Model-Theorie — ursprünglich nicht für KI entworfen.
Die Vergleichsmatrix
Wir haben die Modelle entlang von 7 Dimensionen verglichen, vom Warum (Strategie) bis zum Womit (Daten und Technologie). Sie sind trennscharf und vollständig: Strategie setzt das Warum, Governance die Leitplanken, das Betriebsmodell das Wer, die Entscheidungsrechte die Autorität über KI-Handlungen, Prozesse den Arbeitsfluss, Kompetenzen die Menschen, Daten und Technologie die Infrastrukturebene. Eine konsolidierte Übersicht der zehn dominierenden Frameworks innerhalb dieser sieben Dimensionen zeigt die Stärken & Schwächen der einzelnen Frameworks klar auf.
| Dimension | NIST AI RMF |
ISO/IEC 42001 |
EU AI Act |
OECD AI Principles |
McKinsey Agentic Organization |
BCG Enterprise as Code |
Bain Operating Model for AI |
Deloitte Trustworthy AI |
MS / Google Responsible AI |
HandsOn AIM AI Operating Model |
|---|---|---|---|---|---|---|---|---|---|---|
| Primärer Fokus | Risiko | Mgmt-System | Recht | Werte | Strategie | Process | Operating Model | Governance | Vendor Stack | Organisationsdesign |
| Strategie & Wertbeitrag | — | + | — | + | +++ | ++ | + | + | + | +++ |
| Governance & Risiko | +++ | +++ | +++ | + | + | + | + | ++ | ++ | +++ |
| Betriebsmodell & Rollen | — | + | + | — | ++ | + | +++ | ++ | — | +++ |
| Entscheidungsrechte & Autonomie | — | — | + | — | + | — | + | — | + | +++ |
| Prozesse & Arbeitsweise | + | + | + | — | ++ | +++ | ++ | + | + | +++ |
| Kompetenzen & Kultur | + | + | +++ | + | ++ | + | ++ | + | + | +++ |
| Daten & Technologie | + | + | ++ | + | ++ | ++ | ++ | + | +++ | + |
Das Bild ist eindeutig. Der Standard-Stack besetzt Governance, Risiko und Strategie mit hoher Tiefe, und die Vendor-Stacks fokussieren auf den verantwortungsvollen Umgang von Daten und Technologie. Der organisatorische Kern, das Betriebsmodell, die Entscheidungsrechte, Prozesse und Kompetenzen, die aus KI-Piloten Produktivbetrieb machen, bleibt dünn besetzt. Das Operating Model von Bain ist dahingehend am weitesten ausgearbeitet. Die Disziplin Organisationsdesign, als integrierte Architektur über alle Layer hinweg, bleibt unbesetzt.
Was die meisten Frameworks systematisch übersehen
01
Governance-Frameworks enden bei Risiko und Pflichten
NIST, ISO 42001 und der EU AI Act regeln Risiko und Pflichten. Sie sind notwendig. Sie beantworten nicht, wie eine Organisation strukturell aussehen muss, damit diese Pflichten skalierbar erfüllt werden. Ein konkretes Beispiel: Art. 14 des EU AI Act fordert eine „natürliche Person mit notwendiger Kompetenz, Schulung und Autorität“ zur Überwachung von KI Systemen— welche Rolle, welche Ebene, welcher Eskalationspfad bleibt offen.
02
Beratungsmodelle betrachten die Organisation nicht als geschlossenes System
Die Frameworks der großen Beratungshäuser fokussieren sich auf strategische Fragestellungen und einzelne Dimensionen innerhalb einer Organisation. Das Operating Model von Bain ist dahingehend am weitesten ausgereift. Das Thema „Entscheidungsrechte“ ist fast nirgends explizit verankert.
03
Werte-Frameworks enden bei Prinzipien
OECD, Microsoft und Google operieren auf Prinzipien-Ebene. Die Übersetzung in Strukturen findet darin nicht statt.
04
Compliance dominiert über Capability
Der gesamte Diskurs verläuft defensiv: Risiko vermeiden, Pflichten erfüllen, Audits bestehen. Wertschöpfung durch echten Strukturwandel bleibt ein Randthema.
05
Die Mensch-KI-Schnittstelle fehlt als Designobjekt
Kein Tier-1-Framework behandelt das organisationale Verhältnis von Mensch und KI in Entscheidungsprozessen als eigenständige Dimension. Dabei erzwingt der EU AI Act Art. 14 „human oversight“ rechtlich. Kein Framework liefert eine Antwort darauf, wie diese Schnittstelle gesteuert werden kann.
06
Decision Rights bleiben implizit
Keines der Frameworks definiert Autonomie-Stufen für KI-Entscheidungen, Eskalationspfade oder ein dokumentiertes Decision Rights Registry als eigenständige Designaufgabe — obwohl Art. 14 EU AI Act sie rechtlich erzwingt. McKinseys eigenes Manifesto benennt die Herausforderung in Theme 10 explizit. Es bleibt jedoch stets bei der reinen Benennung des Problems, ohne operative Methodik für die Umsetzung.
07
Maturity wird eindimensional gemessen
Wo Reifegrade vorkommen, sitzen sie auf Gesamtorganisations-Ebene (Stage 0–4 oder Front-Runner vs. Follower). Profil-basierte Maturity-Messung pro Designdomäne kommt in der Tier-1-Literatur nicht vor.
Was das HandsOn AI Operating Model anders macht
Das HandsOn AI Operating Model wurde aus Organisationsdesign-Methodik entwickelt — Galbraith Star Model, Kates/Kesler Center-Led Structures, Worren Axiomatic Design, explizit erweitert um die KI-native Dimension. Anspruch: das erste Framework, das die Organisation an die erste Stelle setzt und die Technologie an die zweite.
Sechs Designdomänen in zwei Layern, gehalten von einem zentralen Human-AI Interface.
Der Foundation Layer ist die Grundlage, die das Management in einer Organisation setzen muss. Der Activation Layer ist, das was Menschen täglich in Ihrer Arbeit mit KI Systemen erleben.
D01 · Foundation
Strategy & Value Architecture
Wo schafft KI echten Wettbewerbsvorteil, wo nur operative Effizienz? Use-Case-Portfolio, Build/Buy/Partner, Cost of Autonomy.
D02 · Foundation
Organizational Structure
Rollen, zentral vs. föderiert, Center of Excellence, AI Owner, AI Steward, Reporting-Linien.
D03 · Foundation
System Governance
Risiko-Tiering, AI Ownership, Lifecycle Governance, Feedback-Loop-Architektur — genau hier laufen NIST RMF, ISO 42001 und EU AI Act zusammen, ohne einander zu doppeln.
D04 · Activation
Decision Architecture
Wer ist autorisiert, KI entscheiden zu lassen, auf welcher Autonomie-Stufe, unter welchen Bedingungen? Das Decision Rights Registry dokumentiert jede Entscheidung pro Use Case über vier definierte Autonomie-Stufen.
D05 · Activation
Process & Workflow Architecture
Unterscheidung zwischen AI Overlay, AI-Integrated Redesign und AI-First Process Design — mit explizit gestalteten Handoff-Punkten zwischen Mensch und Maschine.
D06 · Activation
Capabilities & Culture
Rollenspezifische KI-Kompetenz von Level 1 (Critical Consumer) bis Level 4 (AI Orchestrator), plus Change Management als kulturelle Voraussetzung.
Im Zentrum der 6 Dimensionen sitzt das Human-AI Interface. Es erzwingt die Beantwortung von vier Designfragen in Bezug auf jede einzelne Domäne: Wer entscheidet? Wer haftet? Wie lernt das System? In welchen Korridoren darf es operieren? Auch wird der Reifegrad einer Organisation je Domäne gemessen und nicht als einzelne, pauschale Zahl für die gesamte Organisation. So werden Disbalancen direkt sichtbar und Handlungsfelder können konkret definiert werden.
Was die Matrix zeigt — und was sie nicht zeigen kann
Die Vergleichsmatrix liefert ein klares Bild über die Breite des Standard-Stacks. Was sie nicht abbildet, ist die Tiefe der Leerstellen — und welche davon unter EBIT-Gesichtspunkten am schwersten wiegen.
Die analytisch bedeutsamste Lücke ist D04 Decision Architecture. Alle anderen Dimensionen tauchen in mindestens einem Tier-1-Framework mit methodischer Substanz auf: Strategie bei McKinsey und BCG, Betriebsmodell bei Bain und Deloitte, Governance bei NIST und ISO 42001, Prozesse bei BCG, Kompetenzen bei McKinsey, Daten und Technologie bei den Vendor-Stacks. Decision Architecture (wer ist autorisiert, KI auf welcher Autonomie-Stufe unter welchen Bedingungen und mit welchem Eskalationspfad entscheiden zu lassen) ist in keinem Framework die primäre Designaufgabe.
Das ist strukturell erklärbar. Regulatorische Frameworks können Entscheidungsrechte erzwingen (Art. 14 EU AI Act: „human oversight“), aber nicht designen. Beratungsmodelle können Decision Architecture als Pillar benennen, aber nicht die operative Methodik ausarbeiten, ohne den Rahmen eines generischen Praxisleitfadens zu sprengen. Werte-Frameworks operieren auf Prinzipien-Ebene.
Die Konsequenz: Organisationen, die den Standard-Stack vollständig implementieren, haben danach Risiken klassifiziert, Governance-Rollen formal definiert, Compliance-Pflichten abgebildet und Strategie-Prioritäten gesetzt. Sie haben nicht systematisch beantwortet, welche KI-Entscheidungen mit welcher Autonomie-Stufe in welchen Prozessen laufen dürfen — und damit eine der zentralen Voraussetzungen für den Übergang von Piloten in produktive Wertschöpfung offen gelassen.
Wer einen Standard implementiert, bekommt einen Standard. Wer einen Operating-Model-Umbau braucht, braucht ein Operating-Model-Framework.
Fazit
Der globale KI-Markt hat einen dichten Standard-Stack, jedoch ist dieser sehr fragmentiert. Die marktführenden Frameworks sind sich in der Diagnose einig, dass KI ein Organisationsthema ist. Sie sind aber dahingehend mangelhaft, dass keines davon Organisationsdesign selbst als primäres Gestaltungsobjekt beinhaltet. Der Standard-Stack regelt Risiko, Compliance, Werte und Strategie. Die Domäne dazwischen, wie Strukturen, Decision Rights, Rollen, Mensch-KI-Schnittstellen und Kompetenzen konkret umgebaut werden, bleibt offen.
Das HandsOn AI Operating Model besetzt diese Lücke. Es integriert NIST, ISO 42001 und die übrigen Standards als Inputs in D03. Es liefert die Methodik, die McKinsey, BCG und Bain diagnostizieren, aber nicht operationalisieren.
Finden Sie heraus, wo Sie stehen
Vier Wochen. Sechs Domänen. Ein priorisierter Maßnahmenplan.
Eine HandsOn AI Diagnostic liefert ein domänenspezifisches Profil über die sechs Designdomänen, identifiziert den dominanten EBIT-Blocker und einen 90-Tage-Plan, um die Themen anzugehen. Durchlaufen Sie das Reifegrad-Assessment in vier Minuten, oder buchen Sie einen Termin für ein Erstgespräch.
