Im Februar 2025 ist mit Artikel 4 der EU-KI-Verordnung eine Pflicht in Kraft getreten, die in deutschen Unternehmen erstaunlich selten besprochen wird: Jeder Anbieter und Betreiber eines KI-Systems muss „nach besten Kräften" für ausreichende KI-Kompetenz in seiner Belegschaft sorgen. Wer das versäumt, riskiert ab dem 2. August 2026 Bußgelder von bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist (Art. 99 KI-VO).
Gleichzeitig zeigen die aktuellen Bitkom-Zahlen ein bemerkenswertes Bild: 41 % der deutschen Unternehmen ab 20 Beschäftigten setzten laut Bitkom-Research-Erhebung vom März 2026 bereits KI ein – eine Verdopplung gegenüber 2024. Weitere 48 % planen oder diskutieren den Einsatz. Aus der älteren Bitkom-KI-Studie 2025 stammen zudem zwei Zahlen, die in den meisten Häusern weiterhin gelten: 64 % der Unternehmen sehen sich als KI-„Nachzügler", nur 10 % als Vorreiter; 43 % bieten bislang gar keine KI-Schulungen an. Diese Lücke ist der Grund, warum die Rolle des KI-Beauftragten (AI Officer) 2026 plötzlich auf jeder zweiten CIO-Agenda steht.
Die Verordnung selbst schreibt keinen KI-Beauftragten vor – anders als die DSGVO den Datenschutzbeauftragten. Faktisch hat sich die Rolle aber als pragmatische Antwort etabliert auf die Frage: Wer verantwortet KI-Compliance, Schulung, Use-Case-Inventur und Risiko-Klassifikation in unserem Haus?
Dieser Leitfaden zeigt, wann Sie wirklich einen KI-Beauftragten brauchen, wie Sie die Rolle gegenüber dem Datenschutzbeauftragten und dem CISO sauber abgrenzen, welche Aufgaben dazugehören – und wie Sie die Position in den ersten 90 Tagen so aufstellen, dass sie nicht im Vakuum versandet.
Die wichtigsten Fakten auf einen Blick
Es gibt keine explizite gesetzliche Pflicht zur Bestellung eines KI-Beauftragten in der EU-KI-Verordnung – anders als beim Datenschutzbeauftragten in Art. 37 DSGVO.
Artikel 4 KI-VO gilt seit 2. Februar 2025: Anbieter und Betreiber müssen für ausreichende KI-Kompetenz ihrer Mitarbeitenden und Auftragnehmer sorgen.
Ab 2. August 2026 greifen die Anforderungen an Hochrisiko-KI-Systeme nach Art. 6 Abs. 2 (in Verbindung mit Anhang III) und die Sanktionen aus Art. 99. Die Hochrisiko-Linie nach Art. 6 Abs. 1 (KI in regulierten Produkten) folgt erst am 2. August 2027. In Deutschland soll laut Regierungsentwurf KI-MIG die Bundesnetzagentur zentrale Marktüberwachungsbehörde, notifizierende Behörde und Single Point of Contact werden – als Single Point of Contact ist sie bereits operativ.
Bußgelder Art. 99 KI-VO: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes (verbotene Praktiken, Art. 5), 15 Mio. € oder 3 % (Verstöße gegen Hochrisiko-Pflichten), 7,5 Mio. € oder 1 % (falsche Angaben gegenüber Behörden).
Stand der KI-Adoption in Deutschland: 41 % der Unternehmen ab 20 Beschäftigten setzen KI ein, 48 % planen oder diskutieren den Einsatz (Bitkom Research, Pressemitteilung März 2026). 64 % sehen sich als „Nachzügler", nur 10 % als Vorreiter (Bitkom-Studie 2025).
Gehaltsspanne KI-Beauftragter: laut Haufe-Akademie typischerweise 50.000–90.000 € brutto/Jahr, mit erheblicher Streuung nach Standort, Branche und Unternehmensgröße.
Seit dem 3. Juli 2025 betreibt die Bundesnetzagentur den KI-Service Desk mit dem „KI-Compliance Kompass" – ein interaktives Tool zur Risikoeinstufung von KI-Systemen.
1. Warum die Rolle 2026 plötzlich auf der Vorstandsagenda steht
Drei Entwicklungen treffen 2026 gleichzeitig auf deutsche Unternehmen und erklären, warum „KI-Beauftragter" plötzlich kein abstraktes Compliance-Wort mehr ist, sondern eine reale Stellenausschreibung:
Erstens: Die Durchsetzung des EU AI Act beginnt. Mit dem 2. August 2026 werden die Vorschriften für Hochrisiko-KI-Systeme nach Art. 6 Abs. 2 (in Verbindung mit Anhang III), Transparenzpflichten und die Sanktionsregeln aus Art. 99 wirksam. Die zweite Hochrisiko-Linie nach Art. 6 Abs. 1 (KI als Sicherheitskomponente in regulierten Produkten wie Medizinprodukten oder Maschinen) gilt erst ab 2. August 2027. In Deutschland soll laut Regierungsentwurf zum KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG) die Bundesnetzagentur (BNetzA) die zentrale Rolle übernehmen: als Marktüberwachungsbehörde, notifizierende Behörde und Single Point of Contact gegenüber der EU-Kommission. Operativ aktiv ist sie bereits – als Single Point of Contact und mit dem KI-Service Desk. Für diese Aufgaben sind im Bundeshaushalt 33,2 Planstellen und rund 3,7 Mio. € Personaleinzelkosten pro Jahr vorgesehen (Quelle: Referentenentwurf KI-MIG, BMDS).
Zweitens: Die Adoption hat die kritische Masse erreicht. Mit 41 % KI-einsetzenden Unternehmen ab 20 Beschäftigten (Bitkom Research, März 2026) ist die Frage „Brauchen wir KI?" beantwortet. Die Folgefrage „Wer im Haus verantwortet das?" ist es bei vielen noch nicht. Das ist auch ein Risiko-Thema: Laut Bitkom-Studie 2025 nennen 53 % der Unternehmen rechtliche Unsicherheit als KI-Hemmnis – Gleichauf mit fehlendem Know-how (53 %), gefolgt von fehlenden Ressourcen (51 %).
Drittens: Die Modelle werden eigenständiger. Mit aktuellen Frontier-Modellen wie GPT-5.5 (OpenAI, Release 23. April 2026), Claude Opus 4.7 (Anthropic, 16. April 2026), Claude Sonnet 4.6 und Gemini 3.5 Flash (Google, 19. Mai 2026) hat sich die Anwendungsfläche dramatisch verbreitert – inklusive agentischer Workflows, die selbstständig Aktionen ausführen. Mehr Autonomie der Systeme bedeutet mehr Bedarf an interner Verantwortlichkeit. Vertiefung dazu in unserem Artikel zu KI-Agenten im Unternehmen.
2. Pflicht oder Empfehlung? Die rechtliche Lage präzise erklärt
Eine der häufigsten Fragen in unseren Kundengesprächen lautet: „Müssen wir gesetzlich einen KI-Beauftragten haben – analog zum Datenschutzbeauftragten?" Die kurze, ehrliche Antwort: nein. Die längere, präzise Antwort ist die folgende.
Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) enthält keine explizite Pflicht zur Bestellung eines KI-Beauftragten. Anders als Art. 37 DSGVO, der den Datenschutzbeauftragten in bestimmten Konstellationen vorschreibt, gibt es in der KI-VO keine vergleichbare Regelung. Was die Verordnung sehr wohl verlangt, sind konkrete Pflichten, die in vielen Unternehmen faktisch nur durch eine zentrale Rolle erfüllbar sind:
| Pflicht aus KI-VO | Was sie bedeutet | Wirksam ab |
|---|---|---|
| Art. 4 – KI-Kompetenz | Anbieter und Betreiber von KI-Systemen müssen „nach besten Kräften" sicherstellen, dass ihre Mitarbeitenden und Auftragnehmer über ausreichende KI-Kompetenz verfügen. Verbindliche Bemühungspflicht – mit Dokumentationsbedarf. | 2. Februar 2025 |
| Art. 5 – Verbotene Praktiken | Acht ausdrücklich untersagte Praktiken (z. B. unterschwellige Manipulation, Social Scoring, Emotionserkennung am Arbeitsplatz, biometrische Echtzeit-Fernidentifizierung). | 2. Februar 2025 |
| Art. 26 – Pflichten der Betreiber | Bei Hochrisiko-KI: bestimmungsgemäße Verwendung, menschliche Aufsicht, Monitoring, Aufbewahrung von Logs, Information der betroffenen Beschäftigten und ihrer Vertretung (Betriebsrat). | 2. August 2026 |
| Anhang III – Hochrisiko-Bereiche | Acht Kategorien, darunter HR-Recruiting, Performance- & Beförderungsentscheidungen, Kreditwürdigkeitsprüfung, kritische Infrastruktur, Bildung, Justiz, Migration, biometrische Identifizierung. | 2. August 2026 |
| Art. 50 – Transparenz für Nutzer | Kennzeichnung KI-generierter Inhalte (Deepfakes), Hinweis bei der Interaktion mit KI-Systemen, Markierung von synthetischen Audio-/Bild-/Video-/Textinhalten. | 2. August 2026 |
| Art. 99 – Sanktionen | Dreistufiges Bußgeldsystem: 35 Mio. €/7 % (Art. 5), 15 Mio. €/3 % (Hochrisiko-Pflichten), 7,5 Mio. €/1 % (falsche Angaben). Jeweils der höhere Betrag. | 2. August 2026 |
Die Verordnung beschreibt also was verlangt wird – nicht wer im Unternehmen es macht. Genau hier setzt die freiwillige Rolle des KI-Beauftragten an: Sie bündelt die Verantwortung, dokumentiert die Umsetzung und ist Ansprechpartner gegenüber der Marktüberwachung. Detaillierter zur Schulungspflicht aus Art. 4 in unserem Artikel zur KI-Schulungspflicht ab August 2026.
In Beratungsgesprächen sehen wir immer wieder dasselbe Muster: Niemand will der KI-Beauftragte sein, aber jeder wartet darauf, dass „jemand" die Use-Case-Inventur, das Risiko-Mapping und die Schulungsdokumentation macht. Wer diese Rolle 2026 nicht klar benennt, fängt im Audit erst an zu arbeiten.
3. KI-Beauftragter, Datenschutzbeauftragter, CISO – wer macht was?
Die größte Quelle für Frust in jungen KI-Governance-Setups ist nicht die Verordnung selbst – es ist die unsaubere Abgrenzung gegenüber bestehenden Rollen. Drei Rollen werden besonders häufig verwechselt oder unzulässig zusammengelegt:
Fokus: KI-Lifecycle & KI-VO-Konformität
Verantwortet KI-System-Inventur, Risikoklassifizierung nach KI-VO, Schulungsprogramm nach Art. 4, Use-Case-Freigaben, Lieferantenprüfung, Anbieter-Verträge, Audit-Vorbereitung. Eher strategisch und prozessual.
Fokus: personenbezogene Daten
Pflicht nach Art. 37 DSGVO. Verantwortet DSGVO-Themen rund um KI: Rechtsgrundlagen, AV-Verträge, Datenflüsse, DSFA bei automatisierten Entscheidungen (Art. 22 DSGVO), Betroffenenrechte. Vertiefung im Artikel AVV für KI-Dienste.
Fokus: Sicherheit der Systeme
Verantwortet Schutz vor Datenabfluss, Prompt-Injection, Model-Poisoning, ISO 27001-Konformität, BSI-Vorgaben, Incident Response. Berührt KI in Art. 15 KI-VO (Robustheit, Genauigkeit, Cybersecurity). Vertiefung im Artikel Prompt Injection & LLM-Sicherheit.
Fokus: Recht & Verträge
Liefert die juristische Bewertung, prüft Anbieterverträge, AV-Verträge nach DSGVO, Lizenzbedingungen, Urheberrecht (insbesondere bei generierten Inhalten), Haftungsfragen. Arbeitet eng mit dem KI-Beauftragten zusammen, ist aber nicht dessen Ersatz.
Faustregel: DSB ≠ KI-Beauftragter
Der DSB darf den KI-Beauftragten in Personalunion ausfüllen, wenn die zeitlichen Kapazitäten und die fachliche Tiefe ausreichen und keine Interessenkollision droht. Der DSB ist nach Art. 38 DSGVO weisungsfrei und darf nicht von Entscheidungen abhängig sein, die er selbst beurteilen muss. Wer also den DSB gleichzeitig zum Use-Case-Owner macht, baut sich genau diesen Konflikt ein. In den meisten Mittelstandsunternehmen funktioniert eine separate KI-Beauftragten-Rolle mit enger Kooperation zum DSB besser.
4. Die sieben Kernaufgaben eines KI-Beauftragten
Die folgenden sieben Aufgabencluster sind in Stellenausschreibungen, Beratungsprojekten und Verbandsleitfäden (Bitkom, BNetzA-Servicedesk, Haufe-Akademie, DEKRA) immer wieder zentral. Sie sind eine gute Grundlage, um die Rolle in Ihrem Unternehmen passgenau zu zuschneiden.
Inventur aller eingesetzten KI-Systeme
Welche Systeme nutzen wir intern (M365 Copilot, ChatGPT-Konten, eigene RAG-Anwendungen, Bewerbungs-Tools, Übersetzungs-APIs)? Wer ist Owner pro System, welche Datenflüsse gehen ein und aus, gegen welche Versionen sprechen wir? Das ist die Basis aller Folgeschritte. Klassiker-Risiko hier: Shadow AI – nicht-genehmigte KI-Nutzung jenseits der Inventur.
Risiko-Klassifizierung nach KI-VO
Jedes System wird in eine der Risikoklassen eingeordnet: verboten (Art. 5), Hochrisiko (Anhang III), Transparenzpflicht (Art. 50), minimal. Der BNetzA-„KI-Compliance Kompass" ist hier ein guter Startpunkt, ersetzt aber keine substantielle Bewertung. Hochrisiko-Beispiele aus Anhang III: HR-Recruiting, Performance-Bewertung, Kreditwürdigkeitsprüfung, kritische Infrastruktur.
Aufbau und Pflege des Schulungsprogramms (Art. 4)
Was muss die Buchhaltung wissen, was das Marketing, was die Entwickler:innen, was die Geschäftsleitung? Welche Schulungen sind verpflichtend, welche freiwillig? Wie wird Teilnahme dokumentiert (für den Audit-Fall)? Was passiert beim Eintritt neuer Mitarbeitender? Die Europäische Kommission stellt im Living Repository on AI Literacy über 40 Praxisbeispiele zur Verfügung.
Use-Case-Freigabe & Governance-Prozess
Einheitliches Verfahren, wie ein neuer KI-Use-Case angestoßen, bewertet, freigegeben und betrieben wird. Wer prüft Datenschutz, wer Sicherheit, wer fachliche Eignung, wer das Budget? Der KI-Beauftragte ist Owner des Prozesses, nicht zwingend Entscheider in jedem Fall.
Lieferanten- & Modellbewertung
Welche Modelle und Plattformen sind freigegeben, welche nicht? Bei welchen Anbietern existieren AV-Verträge, Compliance-Bestätigungen, Code-of-Practice-Unterzeichnungen (z. B. GPAI Code of Practice vom 10. Juli 2025)? Mehr dazu in unserem Multi-Modell-Strategie-Artikel.
Vorfallmanagement & Behördenkontakt
Eingespielter Prozess für KI-spezifische Vorfälle (Halluzinationen mit Außenwirkung, Datenabfluss, Prompt Injection, Modell-Fehlverhalten). Ansprechpartner gegenüber der Bundesnetzagentur als Marktüberwachungsbehörde und gegenüber dem KI-Service Desk. Vorbereitung auf mögliche Konformitätsbewertungen.
Berichtswesen & Audit-Vorbereitung
Regelmäßiges Reporting an Geschäftsleitung, Risikoausschuss und ggf. Aufsichtsrat. Pflege der Audit-Dokumentation: Use-Case-Register, Schulungsteilnahmen, Risiko-Bewertungen, Anbietervergleiche, Vorfallprotokolle, Betriebsvereinbarungen. Mehr zur Mitbestimmung des Betriebsrats im Betriebsrat-Artikel.
5. Brauchen Sie wirklich einen eigenen KI-Beauftragten? Eine ehrliche Entscheidungsmatrix
Nicht jedes Unternehmen braucht einen dedizierten KI-Beauftragten. In einigen Konstellationen reicht eine erweiterte DSB-Rolle, in anderen ist eine externe Beauftragung sinnvoll, in dritten gehört die Rolle in die Geschäftsleitung selbst. Die folgende Matrix ist ein pragmatischer Startpunkt, der sich in unseren Workshops bewährt hat – kein Ersatz für die individuelle juristische Prüfung.
| Unternehmensprofil | Empfehlung |
|---|---|
| < 50 Mitarbeitende, kein eigener Hochrisiko-Einsatz, nur Standard-Tools (M365 Copilot, ChatGPT Team) | Verantwortung in der Geschäftsleitung oder erweitert um den DSB. Externer KI-Beauftragter auf Stundenbasis als Sparring & Audit-Vorbereitung. |
| 50 – 250 Mitarbeitende, mehrere KI-Use-Cases, ggf. ein bis zwei Hochrisiko-Systeme | Interner KI-Beauftragter, häufig in Doppelrolle (z. B. Digitalisierungs-Owner, Head of Operations) mit klar zugewiesener Zeitkontingente von 20–30 %. |
| 250 – 1.000 Mitarbeitende, KI in mehreren Geschäftsbereichen, Hochrisiko-Einsatz (HR, Kredit, Versicherung) | Dedizierte Vollzeit-Rolle, häufig dotiert mit KI-Strategie-Mandat. Reporting an CIO, COO oder direkt CEO. Stellung „weisungsfrei" wie beim DSB empfehlenswert. |
| > 1.000 Mitarbeitende, KI als strategischer Wettbewerbsfaktor, regulierte Branche | KI-Beauftragter mit eigener Stabsabteilung, ggf. Chief AI Officer auf C-Level. Verzahnung mit Datenstrategie, Architektur, Compliance, Personalentwicklung. Eigene Schnittstelle zur Marktüberwachung. |
Schnell-Check: Brauchen Sie eine dedizierte Rolle?
Wenn Sie mindestens drei der folgenden Punkte mit Ja beantworten, ist eine dedizierte KI-Beauftragten-Rolle die robuste Wahl:
- Wir setzen KI in mindestens drei Geschäftsbereichen ein (z. B. Marketing, HR, Service).
- Wir nutzen oder planen ein Hochrisiko-KI-System aus Anhang III (HR-Tools, Bonitätsprüfung, kritische Infrastruktur).
- Wir haben einen Betriebsrat, der KI-Nutzung mitbestimmt.
- Wir sind regulatorisch unter besonderer Beobachtung (BaFin, MaRisk, KRITIS, Medizinprodukte).
- Unsere Geschäftsführung muss gegenüber Eigentümern/Aufsichtsrat zu KI berichten.
- Wir nutzen mehr als zwei KI-Anbieter parallel (Multi-Modell-Setup).
- Wir betreiben eigene KI-Lösungen mit eigenem Training oder Fine-Tuning.
6. Profil, Qualifikation und Gehalt: Was Sie suchen sollten
Ein gutes Rollenprofil verbindet drei Säulen: Technologie, Recht und Organisation. Die meisten Stellenbeschreibungen lesen sich auf Anhieb wie Wunschkonzerte ohne realistische Kandidatenbasis. Eine pragmatische Suchstrategie hilft, das Profil realistisch zu schneiden.
Funktionsweise & Risiken von KI
- Grundverständnis LLMs, RAG, Embeddings
- Architektur typischer Enterprise-KI-Stacks (Modell, Vektor-DB, Plattform)
- Verständnis für Multi-Modell-Setups
- Kenntnis der OWASP-Top-10 für LLMs (Prompt Injection, Data Leakage)
Regulatorischer Rahmen
- EU-KI-Verordnung im Detail
- DSGVO (Art. 22, 28, 35, 44 ff.)
- Branchen-Compliance (BaFin, MaRisk, BSI, NIS 2)
- Urheberrecht & generierte Inhalte
Governance & Change
- Prozessdesign & Reviews
- Stakeholder-Management Vorstand/Aufsichtsrat
- Schulungs- & Adoption-Programme
- Audit-Vorbereitung & Berichtswesen
Gehaltsspanne 2026 (Haufe-Akademie, eigene Erhebung in DACH-Stellenmarkt):
- Junior-/Doppelrolle (20–40 % Anteil): kein separater Gehaltsanteil, wird über bestehende Vergütung abgebildet.
- Dedizierte Rolle Mittelstand (50–250 MA): typischerweise 60.000–80.000 € brutto/Jahr.
- Dedizierte Rolle größeres Unternehmen (250–2.000 MA): 80.000–110.000 €, mit Bonusbestandteilen.
- Chief AI Officer / C-Level: 120.000–200.000 €+ Variable, oft mit Aufsichtsrats- oder Vorstandsanbindung.
Wer den Markt 2026 realistisch beobachtet, sieht: Reine „KI-Beauftragten"-Stellen sind in DACH noch selten; meistens werden sie an bestehende Rollen (Head of Compliance, CDO, Director Digital Transformation) angedockt. Mit zunehmender Durchsetzung der KI-VO ändert sich das.
7. Intern besetzen, extern beauftragen oder hybrid?
Interne Vollzeit-Rolle
Eine Person trägt vollumfänglich die Verantwortung, ist im Haus präsent, kennt Geschichte und Kultur. Voraussetzung: ausreichende KI- und Regulatorik-Erfahrung.
Vorteil: tiefes Verständnis der Organisation. Risiko: Single Point of Failure, Bias durch Innensicht, Kostenposition.
Externer KI-Beauftragter
Beratung oder spezialisierter Dienstleister übernimmt die Rolle (analog zum externen DSB). Sinnvoll für kleinere Häuser oder als Übergangsmodell.
Vorteil: hohe Spezialisierung, neutraler Blick, geringeres Fixkostenrisiko. Risiko: Distanz zur Organisation, Wissensabfluss bei Vertragsende.
Hybrid: intern + extern
Interner Owner für die operative Steuerung, externer KI-Beauftragter als Sparringspartner, Audit-Vorbereiter, Behördenkontakt-Coach. In der Praxis das pragmatischste Modell.
Vorteil: Verankerung im Haus + spezialisiertes Außen-Know-how. Voraussetzung: klare Verantwortungsgrenzen.
In den meisten Mittelstands-Setups, die wir begleiten, hat sich Variante C als robuster Standardweg etabliert: Ein interner Owner (oft aus IT-Governance, Compliance oder Digitalstrategie) hält die Fäden, ein externer Partner liefert die spezialisierte EU-AI-Act-Expertise und das Sparring zur ersten Use-Case-Inventur. Sobald die Strukturen stehen, wird der externe Anteil typischerweise reduziert.
8. Die ersten 90 Tage: Ein realistischer Fahrplan
Ein neuer KI-Beauftragter macht 2026 in den ersten drei Monaten typischerweise das, was Sie hier sehen. Wer das Pensum kennt, kann die Rolle besser dimensionieren und Erwartungen ehrlich kommunizieren.
- Stakeholder-Interviews: CIO, CISO, DSB, Compliance, Personalleitung, Betriebsrat, Bereichsleiter.
- Inventur aller KI-Systeme: Fachbereiche, IT, Schatten-IT. Tool-Empfehlung: KI-Compliance Kompass der BNetzA als Einstieg.
- Erste grobe Risiko-Klassifizierung (verboten / Hochrisiko / Transparenzpflicht / minimal).
- Sichtung bestehender Policies, AV-Verträge, Schulungsprogramme.
- Erstes Soll-Bild: Welche Policies fehlen? Welche Use-Case-Freigabeprozesse gehören aufgesetzt?
- Schulungs-Roadmap nach Zielgruppen: Geschäftsleitung, Entwicklung, Fachbereiche, neue Mitarbeitende.
- Erste Quick Wins: Schließen offensichtlicher Lücken (z. B. AV-Verträge, fehlende DSFA, fehlende Information der Beschäftigten nach Art. 26 KI-VO).
- Bericht an Geschäftsleitung: Was ist heute Stand der Dinge, was ist das Risiko-Profil, was sind die Top-5-Maßnahmen?
- Verabschiedung einer KI-Richtlinie (intern verbindlich, gegen Shadow AI gerichtet).
- Use-Case-Freigabeprozess geht produktiv – mit klaren Eskalationsregeln.
- Erste Schulungspflicht-Welle wird ausgerollt und dokumentiert.
- Audit-Dokumentation aufgesetzt: Use-Case-Register, Schulungsteilnehmer, Risiko-Bewertungen, Lieferantenbewertungen, Vorfallprotokolle.
- Rolle wird im Organigramm und im Intranet sichtbar – jeder weiß, an wen er sich wendet.
9. Sechs typische Fehler – und wie Sie sie vermeiden
„Wir benennen die IT zum KI-Beauftragten."
Risikoreich. Die IT-Leitung hat ein klares Eigeninteresse an KI-Tools und kann nur eingeschränkt unabhängig prüfen. Besser: KI-Beauftragter unabhängig, IT als Implementierungsverantwortlich.
„DSB und KI-Beauftragter sind dieselbe Person – kein Problem."
Kann funktionieren, aber nur bei ausreichend Zeit, KI-Fachkenntnis und ohne Interessenkollision. Wo der DSB selbst Use-Case-Entscheidungen mittreibt, ist die Weisungsfreiheit aus Art. 38 DSGVO beschädigt.
„Wir machen erst Use Cases, dann Governance."
Typischer Mittelstands-Fehler. Wer ohne Use-Case-Freigabeprozess startet, sammelt sechs Monate später Schatten-Pilotprojekte ein und muss von vorne anfangen. Mehr dazu im Artikel Pilot-zu-Production-Skalierung.
„Schulung machen wir nebenher in einem 30-Minuten-Webinar."
Reicht nicht. Art. 4 verlangt *ausreichende* KI-Kompetenz – differenziert nach Rolle und Risiko. Empfohlen: rollenbasierte Schulungspfade, dokumentierte Teilnahme, Auffrischung im Jahresrhythmus. Vertiefung im Schulungspflicht-Artikel.
„Wir warten ab, bis die Bundesnetzagentur Beispiele liefert."
Schwierig. Die BNetzA liefert über den KI-Service Desk Orientierungshilfen – sie ersetzt keine eigene Governance. Wer Mitte 2026 erst startet, kommt bei einem Audit in Erklärungsnot.
„Der KI-Beauftragte ist allein verantwortlich für Compliance."
Falsch. Die Verantwortung bleibt nach KI-VO bei Geschäftsleitung bzw. Anbieter/Betreiber. Der KI-Beauftragte koordiniert, dokumentiert und berät – er ist nicht der „Compliance-Blitzableiter".
10. Wie Plotdesk KI-Beauftragte konkret unterstützt
Plotdesk ist als Plattform für den „Workplace of the Future" so gebaut, dass KI-Beauftragte ihre Arbeit machen können – statt sie für jede Abfrage von der IT erledigen lassen zu müssen. Ohne Marketing-Schaufenster, sondern als Liste konkreter Berührungspunkte:
- Single Sign-On & Rechtemanagement: Anbindung an Microsoft Entra ID, granulare Rollen und Teams – damit Use-Case-Freigaben technisch hinterlegt werden können.
- Modellwahl & Multi-Modell: Anthropic, OpenAI, Google, weitere – inklusive Sichtbarkeit, welches Modell wann genutzt wurde. Hilfreich für Auditierbarkeit und für die Multi-Modell-Strategie (vgl. unseren Artikel zu Multi-Modell-Strategie).
- DSGVO- & KI-VO-konforme Architektur: Hosting auf deutschen Servern, EU-Modell-Endpunkte, AV-Verträge mit allen Unter-Auftragsverarbeitern.
- Reports & Analytics: Auswertung, in welchen Bereichen welche Use Cases laufen, betriebsratskonform, ohne Klarnamen-Tracking. Erleichtert die Audit-Vorbereitung.
- App-Ökosystem: Anbindung von Microsoft 365, Confluence, Slack, SAP, HubSpot, Salesforce, eigene HTTP-Apps – damit Daten dort bleiben, wo sie hingehören.
- KI-Workshops & Schulung: Im Plotdesk-KI-Workshop arbeiten wir mit Geschäftsleitungen und KI-Verantwortlichen an einer praktikablen Roadmap – inklusive Vorlagen für Use-Case-Register, Risiko-Klassifizierung und Schulungspfade.
Wir verstehen die Rolle des KI-Beauftragten in unseren Kundengesprächen als zentralen Hebel – nicht als Compliance-Erfüllungsgehilfen. Wer als Plattformanbieter ernst genommen werden will, muss seine Tools dieser Rolle dienlich machen, nicht umgekehrt.
11. Häufig gestellte Fragen
Müssen wir einen KI-Beauftragten gesetzlich bestellen?
Nein, die EU-KI-Verordnung schreibt diese Rolle nicht ausdrücklich vor. Sie verlangt aber Pflichten (KI-Kompetenz, Risikoklassifizierung, Hochrisiko-Anforderungen), die in der Praxis nur durch eine zentrale Verantwortlichkeit sauber erfüllbar sind. Wer den Aufwand unterschätzt, kommt im Audit in Erklärungsnot.
Darf unser Datenschutzbeauftragter die Rolle übernehmen?
Ja, wenn die fachliche Tiefe und die Zeitkapazitäten ausreichen und keine Interessenkollision besteht. Die Weisungsfreiheit aus Art. 38 DSGVO darf dadurch nicht beschädigt werden. In der Praxis funktioniert eine **enge Zusammenarbeit** zwischen separatem KI-Beauftragten und DSB oft besser als eine Personalunion.
Können wir die Rolle extern vergeben?
Ja – analog zum externen DSB. Sinnvoll für kleinere Häuser, als Übergangsmodell oder als Sparringspartner einer internen Owner-Rolle. Wichtig: vertragliche Klarheit zu Vertraulichkeit, Eskalation, Wissensübergabe und Erreichbarkeit gegenüber der BNetzA.
Was kostet die Rolle?
Sehr variabel. Eine Doppelrolle mit 20–30 % Anteil kostet faktisch nichts zusätzlich (außer Schulung). Eine dedizierte Vollzeit-Rolle liegt zwischen 60.000 und 110.000 € brutto/Jahr (DACH-Marktdaten 2026, u. a. Haufe-Akademie). C-Level-Rollen liegen darüber. Externer KI-Beauftragter: typischerweise zwischen 800 und 1.800 €/Tag.
Wann müssen wir spätestens loslegen?
Spätestens jetzt. Die Schulungspflicht aus Art. 4 gilt seit Februar 2025, die Hochrisiko-Anforderungen und Sanktionen werden ab 2. August 2026 wirksam. Wer im zweiten Halbjahr 2026 startet, läuft Gefahr, beim ersten Audit ohne sauber dokumentierte Governance dazustehen.
Müssen wir den Betriebsrat einbeziehen?
Ja, sobald KI-Systeme objektiv geeignet sind, das Verhalten oder die Leistung der Beschäftigten zu überwachen, ist die Einführung nach § 87 Abs. 1 Nr. 6 BetrVG mitbestimmungspflichtig. Eine Betriebsvereinbarung KI ist die saubere Lösung. Mehr dazu im Artikel Betriebsrat & Mitbestimmung bei KI-Einführung.
Welche Zertifikate sind für KI-Beauftragte sinnvoll?
Der Markt ist 2026 noch nicht konsolidiert. Etablierte Anbieter mit Zertifikatskursen sind u. a. TÜV, DEKRA, Haufe-Akademie und die Bitkom Akademie. Wichtig: das Zertifikat ersetzt nicht praktische Erfahrung mit KI-Einführungen. Wer schon mehrere KI-Projekte begleitet hat, ist häufig wertvoller als jemand mit Zertifikat ohne Praxis.
Fazit: Pragmatisch, dokumentiert, sichtbar
Der KI-Beauftragte ist 2026 keine modische Spielerei, sondern eine pragmatische Antwort auf eine reale Lage: Die KI-VO wird durchgesetzt, die Adoption hat Mehrheiten erreicht, die Modelle werden autonomer. Wer die Rolle ignoriert, riskiert in einem ersten Audit nicht primär das Bußgeld – sondern den Vertrauensverlust gegenüber Aufsichtsrat, Kunden und Mitarbeitenden.
Die fünf wichtigsten Take-aways:
-
Es gibt keine Pflicht – aber eine faktische Notwendigkeit. Die KI-VO schreibt den KI-Beauftragten nicht vor, ihre Pflichten sind ohne zentrale Verantwortlichkeit in größeren Häusern kaum sauber zu erfüllen.
-
Klare Abgrenzung gegenüber DSB, CISO, Compliance. Personalunion ist möglich, aber nur, wenn Zeit, Fachkenntnis und Unabhängigkeit gegeben sind. Im Zweifel: enge Zusammenarbeit, getrennte Rollen.
-
Sieben Kernaufgaben. Inventur, Risiko-Klassifizierung, Schulung, Use-Case-Freigaben, Lieferantenbewertung, Vorfallmanagement, Berichtswesen – diese Liste taugt als Stellenbeschreibung-Grundgerüst.
-
Hybrides Modell als Standard. Interner Owner plus externer Sparringspartner ist in vielen Mittelstands-Setups die robusteste Lösung – schnell aufzubauen, gut auditierbar.
-
Die ersten 90 Tage entscheiden. Wer Inventur, Risiko-Klassifizierung und erste Schulungswelle in den ersten drei Monaten dokumentiert hat, geht 2026 ohne Erklärungsnot in den Sommer der Durchsetzung.
Die Bundesnetzagentur hat ihren KI-Service Desk klar als Hilfsangebot positioniert. Sie wird aber ab 2. August 2026 auch ihre Marktüberwachung wahrnehmen. Die Frage ist nicht, ob Unternehmen reagieren – sondern ob sie aus eigener Strategie heraus oder erst auf eine Behördenfrage hin reagieren. Mit einem sauber aufgesetzten KI-Beauftragten gehören Sie zur ersten Gruppe.
Die Rolle des KI-Beauftragten in 1 Tag operationalisieren
Im Plotdesk-KI-Workshop arbeiten wir mit Ihrem Vorstand, Ihrer IT-, Compliance- und HR-Leitung an einem konkreten Rollenprofil, einer ersten KI-System-Inventur und einer 90-Tage-Roadmap für Ihren KI-Beauftragten. Plotdesk bündelt Multi-Modell-Zugriff (Claude, GPT, Gemini), ein wachsendes Konnektoren-Ökosystem, granulare Berechtigungen, vollständige Audit-Logs und deutschen Server-Standort – damit Ihr KI-Beauftragter zwischen Pflichten und Geschäftswirkung balancieren kann.
Quellen und weiterführende Links:
- Verordnung (EU) 2024/1689 – Verordnung über künstliche Intelligenz (KI-VO), insbesondere Art. 4, 5, 26, 50, 99, Anhang III: eur-lex.europa.eu
- Haufe – Art. 99 KI-VO Sanktionen: haufe.de
- Bundesnetzagentur – KI-Verordnung, Marktüberwachung, Single Point of Contact: bundesnetzagentur.de/ki
- Bundesnetzagentur – Pressemitteilung „KI-Service Desk der Bundesnetzagentur gestartet" (3. Juli 2025): bundesnetzagentur.de
- Bitkom – Studie „Künstliche Intelligenz in Deutschland 2025" und Folgeerhebungen 2026: bitkom.org
- Europäische Kommission – Living Repository on AI Literacy (Art. 4): digital-strategy.ec.europa.eu
- Europäische Kommission – GPAI Code of Practice (10. Juli 2025): digital-strategy.ec.europa.eu
- BMDS – Referentenentwurf zum Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG): bmds.bund.de
- Haufe-Akademie – KI-Beauftragter: Aufgaben, Skills & Gehalt: haufe-akademie.de
- TÜV Rheinland Consulting – Art. 4 EU AI Act: consulting.tuv.com
- Anthropic – Introducing Claude Opus 4.7 (April 2026): anthropic.com
- OpenAI – Introducing GPT-5.5 (April 2026): openai.com
- Google – Gemini 3.5 Flash announcement (Mai 2026): blog.google
Hinweis: Dieser Artikel ist eine strategisch-organisatorische Orientierung, keine Rechtsberatung. Für die konkrete Ausgestaltung der Rolle, die Vertragsgestaltung und die Bewertung Ihrer Anwendungsfälle ziehen Sie bitte Ihren Datenschutzbeauftragten, Ihre Rechtsabteilung und/oder spezialisierte externe Beratung hinzu.
