Der KI-Beauftragte: Braucht Ihr Unternehmen eine eigene Rolle für KI-Governance?
Anders als beim Datenschutzbeauftragten schreibt kein Gesetz einen „KI-Beauftragten“ vor. Warum die Rolle trotzdem fast immer sinnvoll ist und was EU AI Act und ISO 42001 zu Verantwortlichkeiten wirklich verlangen.
Kurz gesagt
Einen gesetzlich verpflichtenden KI-Beauftragten kennt der EU AI Act nicht, anders als die DSGVO beim Datenschutzbeauftragten. Verlangt werden aber klar geregelte Verantwortlichkeiten: Der EU AI Act fordert für Hochrisiko-KI kompetente menschliche Aufsicht, ISO/IEC 42001 klar definierte Rollen und die Rechenschaft der obersten Leitung. Eine benannte Person oder ein kleines Gremium ist deshalb fast immer der einfachste Weg, diese Verantwortung zuzuordnen.
Read in English: English version
„Brauchen wir einen KI-Beauftragten, so wie den Datenschutzbeauftragten?“ Die ehrliche Antwort: gesetzlich vorgeschrieben ist er nicht. Sinnvoll ist er fast immer.
Kein gesetzlicher Zwang, anders als beim DSB
Die DSGVO schreibt unter bestimmten Voraussetzungen einen Datenschutzbeauftragten vor. Einen vergleichbaren, gesetzlich verpflichtenden „KI-Beauftragten“ kennt der EU AI Act nicht. Wer also auf eine Bestellungspflicht wartet, wartet vergebens und verschenkt Zeit.
Was Gesetz und Norm aber sehr wohl verlangen
- EU AI Act: Betreiber von Hochrisiko-KI müssen die menschliche Aufsicht kompetenten Personen übertragen und Verantwortlichkeiten regeln (u. a. Art. 26). Auch die AI-Literacy-Pflicht (Art. 4) braucht jemanden, der sie organisiert.
- ISO/IEC 42001: Die Norm verlangt klar definierte Rollen und Verantwortlichkeiten für KI sowie die Rechenschaft der obersten Leitung. Verantwortung muss zugeordnet und dokumentiert sein.
Mit anderen Worten: Eine Pflicht zur Person gibt es nicht, aber eine Pflicht zur klaren Verantwortung. Und die braucht einen „Kümmerer“.
Was die Rolle praktisch tut
- Überblick über alle eingesetzten KI-Systeme halten (Verzeichnis).
- Risiko- und Folgenabschätzungen anstoßen und nachhalten.
- Leitlinie und Grundregeln pflegen, Schulungen (AI Literacy) organisieren.
- Ansprechpartner sein, intern wie für Auftraggeber, Auditoren und Aufsicht.
- Brücke bauen zwischen Geschäftsführung, IT, Datenschutz und Fachbereichen.
Eine Person oder ein Gremium?
Im Mittelstand reicht meist eine benannte Person als Teilzeit-Rolle, idealerweise mit kurzem Draht zur Geschäftsführung und Nähe zu Datenschutz und Informationssicherheit. In größeren oder stark regulierten Häusern bewährt sich ein kleines KI-Gremium. Entscheidend ist nicht der Titel, sondern dass Verantwortung eindeutig zugeordnet und nachvollziehbar dokumentiert ist.
Wichtig bleibt: Die oberste Leitung trägt die Verantwortung. Der KI-Beauftragte koordiniert und entlastet operativ, er nimmt der Führung aber nicht die Rechenschaftspflicht ab.
Nicht der Titel macht KI-Governance, sondern die klare, dokumentierte Zuordnung von Verantwortung. Ein KI-Beauftragter ist der einfachste Weg dorthin.
Häufige Fragen
Ist ein KI-Beauftragter gesetzlich vorgeschrieben?+
Nein. Der EU AI Act kennt, anders als die DSGVO beim Datenschutzbeauftragten, keine Pflicht, einen KI-Beauftragten zu bestellen. Verantwortlichkeiten und menschliche Aufsicht müssen aber geregelt sein.
Kann der Datenschutzbeauftragte das mitmachen?+
Teilweise ja, wegen der Nähe zu Datenschutz und Risiko. Achten Sie aber auf ausreichende Kapazität und mögliche Interessenkonflikte, KI-Governance ist deutlich breiter als reiner Datenschutz.
Was sagt ISO 42001 zur Rolle?+
ISO/IEC 42001 verlangt klar definierte Rollen und Verantwortlichkeiten für KI sowie die Rechenschaft der obersten Leitung. Eine benannte verantwortliche Person oder ein Gremium setzt genau das um.
Autor & fachliche Prüfung: Lars Zimmermann · ISO/IEC 42001 Senior Lead Auditor & Senior Lead Implementer · ISO/IEC 27001 Lead Auditor & Lead Implementer (PECB)
Auditor mit Stallgeruch, Geschäftsführer eines produzierenden Mittelständlers, der KI-Managementsysteme und Informationssicherheit prüft und aufbaut. Autor von „Stallgeruch“. Qualifikation auf Credly verifizieren · Mehr über mich.
Stand: 27. Mai 2026. Inhalt nach bestem Wissen recherchiert und fachlich geprüft; ersetzt keine Rechtsberatung im Einzelfall.
Quellen & weiterführend
Konkrete Fragen zu Ihrem Fall?
Im kostenlosen 15-Minuten-Erstgespräch ordnen wir Ihren Stand zu ISO 42001, ISO 27001 und dem EU AI Act ein, ehrlich und ohne Verkaufsdruck.