Der KI-Beauftragte: Braucht Ihr Unternehmen eine eigene Rolle für KI-Governance?
Anders als beim Datenschutzbeauftragten schreibt kein Gesetz einen „KI-Beauftragten“ vor. Warum die Rolle trotzdem fast immer sinnvoll ist – und was EU AI Act und ISO 42001 zu Verantwortlichkeiten wirklich verlangen.
„Brauchen wir einen KI-Beauftragten – so wie den Datenschutzbeauftragten?“ Die ehrliche Antwort: gesetzlich vorgeschrieben ist er nicht. Sinnvoll ist er fast immer.
Kein gesetzlicher Zwang – anders als beim DSB
Die DSGVO schreibt unter bestimmten Voraussetzungen einen Datenschutzbeauftragten vor. Einen vergleichbaren, gesetzlich verpflichtenden „KI-Beauftragten“ kennt der EU AI Act nicht. Wer also auf eine Bestellungspflicht wartet, wartet vergebens – und verschenkt Zeit.
Was Gesetz und Norm aber sehr wohl verlangen
- EU AI Act: Betreiber von Hochrisiko-KI müssen die menschliche Aufsicht kompetenten Personen übertragen und Verantwortlichkeiten regeln (u. a. Art. 26). Auch die AI-Literacy-Pflicht (Art. 4) braucht jemanden, der sie organisiert.
- ISO/IEC 42001: Die Norm verlangt klar definierte Rollen und Verantwortlichkeiten für KI sowie die Rechenschaft der obersten Leitung. Verantwortung muss zugeordnet und dokumentiert sein.
Mit anderen Worten: Eine Pflicht zur Person gibt es nicht – aber eine Pflicht zur klaren Verantwortung. Und die braucht einen „Kümmerer“.
Was die Rolle praktisch tut
- Überblick über alle eingesetzten KI-Systeme halten (Verzeichnis).
- Risiko- und Folgenabschätzungen anstoßen und nachhalten.
- Leitlinie und Grundregeln pflegen, Schulungen (AI Literacy) organisieren.
- Ansprechpartner sein – intern wie für Auftraggeber, Auditoren und Aufsicht.
- Brücke bauen zwischen Geschäftsführung, IT, Datenschutz und Fachbereichen.
Eine Person oder ein Gremium?
Im Mittelstand reicht meist eine benannte Person als Teilzeit-Rolle – idealerweise mit kurzem Draht zur Geschäftsführung und Nähe zu Datenschutz und Informationssicherheit. In größeren oder stark regulierten Häusern bewährt sich ein kleines KI-Gremium. Entscheidend ist nicht der Titel, sondern dass Verantwortung eindeutig zugeordnet und nachvollziehbar dokumentiert ist.
Wichtig bleibt: Die oberste Leitung trägt die Verantwortung. Der KI-Beauftragte koordiniert und entlastet operativ – er nimmt der Führung aber nicht die Rechenschaftspflicht ab.
Nicht der Titel macht KI-Governance, sondern die klare, dokumentierte Zuordnung von Verantwortung. Ein KI-Beauftragter ist der einfachste Weg dorthin.
Häufige Fragen
Ist ein KI-Beauftragter gesetzlich vorgeschrieben?+
Nein. Der EU AI Act kennt – anders als die DSGVO beim Datenschutzbeauftragten – keine Pflicht, einen KI-Beauftragten zu bestellen. Verantwortlichkeiten und menschliche Aufsicht müssen aber geregelt sein.
Kann der Datenschutzbeauftragte das mitmachen?+
Teilweise ja, wegen der Nähe zu Datenschutz und Risiko. Achten Sie aber auf ausreichende Kapazität und mögliche Interessenkonflikte – KI-Governance ist deutlich breiter als reiner Datenschutz.
Was sagt ISO 42001 zur Rolle?+
ISO/IEC 42001 verlangt klar definierte Rollen und Verantwortlichkeiten für KI sowie die Rechenschaft der obersten Leitung. Eine benannte verantwortliche Person oder ein Gremium setzt genau das um.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor (PECB)
Stand: 27. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein – ehrlich und ohne Verkaufsdruck.