Ein KI-Beauftragter ist die organisationsinterne Ansprechperson für den verantwortungsvollen Einsatz von KI-Systemen und koordiniert Rollen, Kontrollen und Nachweise zwischen Fachbereich, IT, Datenschutz und Compliance. Gesetzlich ist diese Bezeichnung nicht vorgeschrieben, aber seit dem 2. Februar 2025 verlangt Art. 4 EU-VO 2024/1689 ein ausreichendes Maß an KI-Kompetenz, und ISO/IEC 42001:2023 fordert ein klares Rollenkonzept.
Relevanz für ISO 42001 und den EU AI Act
Ein KI-Beauftragter wird für Unternehmen relevant, weil sowohl der EU AI Act als auch ISO 42001 nachvollziehbare Zuständigkeiten verlangen. Der EU AI Act schreibt keine Person mit genau diesem Titel vor. Für Betreiber und Anbieter zählt aber, dass Verantwortlichkeiten tatsächlich geregelt sind. Art. 4 EU-VO 2024/1689 verpflichtet Unternehmen seit dem 2. Februar 2025 dazu, Kompetenzen der betroffenen Personen sicherzustellen. Bei Hochrisiko-KI kommen je nach Rolle weitere Pflichten hinzu, etwa Risikomanagement nach Art. 9, Transparenz nach Art. 13, menschliche Aufsicht nach Art. 14 und Betreiberpflichten nach Art. 26.
ISO/IEC 42001:2023 ergänzt diese Rechtslogik um einen Managementrahmen. Clause 5.3 verlangt dokumentierte Rollen, Verantwortlichkeiten und Befugnisse im AI Management System. Clause 7.2 fordert definierte Kompetenzanforderungen, Clause 7.3 Awareness-Maßnahmen für betroffene Personen. Genau an dieser Stelle passt die Funktion eines KI-Beauftragten: nicht als symbolischer Titel, sondern als benannte Koordinationsrolle innerhalb der AI Governance und mit einem belastbaren Schulungsnachweis.
Typische Aufgaben im Unternehmen
Ein KI-Beauftragter bündelt in KMU meist keine technische Entwicklung, sondern Governance. Typische Aufgaben sind die Pflege eines KI-Inventars, die Abstimmung von Freigabeprozessen, die Zuordnung von Verantwortlichen, die Koordination von Schulungen und die Vorbereitung interner Prüfungen.
Die Rolle funktioniert nur dann, wenn Mandat und Berichtslinie klar sind. Ohne Rückendeckung der Geschäftsleitung bleibt der KI-Beauftragte ein Etikett ohne Wirkung. ISO 42001 legt deshalb den Schwerpunkt nicht auf einen festen Jobtitel, sondern auf nachweisbare Verantwortlichkeit, Kompetenz und regelmäßige Überprüfung.
KI-Beauftragter vs. Datenschutzbeauftragter
| Aspekt | KI-Beauftragter | Datenschutzbeauftragter |
|---|---|---|
| Schwerpunkt | KI-Governance, Richtlinien, Rollen, Risiko- und Nachweissteuerung | Datenschutzrecht, DSGVO-Überwachung, Beratung und Kontrolle |
| Rechtsquelle | Keine ausdrückliche Benennung im EU AI Act; organisatorisch gestützt durch Art. 4 und ISO 42001 Clause 5.3 | Art. 37 bis 39 DSGVO in bestimmten Fällen verpflichtend |
| Typische Themen | KI-Inventar, Schulung, menschliche Aufsicht, Eskalation | Verarbeitung personenbezogener Daten, TOMs, Betroffenenrechte, DPIA |
| Berichtslinie | Häufig an Compliance, Geschäftsführung oder Governance-Gremium | Muss unabhängig beraten und überwachen |
| Ziel | Steuerbarer und nachweisbarer KI-Einsatz | Rechtmäßige Datenverarbeitung |
Praxisbeispiel aus dem KMU-Alltag
Ein Produktionsunternehmen mit 120 Mitarbeitenden führt ein generatives KI-Tool für Angebotsentwürfe und ein System zur Qualitätsprognose ein. Bisher entscheiden Vertrieb, IT und Produktion jeweils selbst über Nutzung, Eingaben und Freigaben. Die Geschäftsführung benennt deshalb die Leiterin Compliance als KI-Beauftragte und verknüpft die Rolle mit einem zentralen Register aller KI-Anwendungen und festen Freigabeschritten.
Praktisch prüft die KI-Beauftragte nicht jedes Modell im Detail. Sie stellt sicher, dass die Fachbereiche Anwendungszweck, Risiken, menschliche Kontrollpunkte und Schulungsbedarf dokumentieren. Wenn ein Tool personenbezogene Daten verarbeitet oder in sicherheitsrelevante Prozesse eingreift, werden Datenschutz, IT und Management eingebunden. So entsteht ein schlanker Governance-Prozess, der Art. 4 EU-VO 2024/1689 und die Rollenerwartungen aus ISO 42001 besser abdeckt.
Was Unternehmen jetzt tun sollten
Ein KI-Beauftragter ist keine Pflichtrolle wie der Datenschutzbeauftragte, kann aber eine sehr wirksame Organisationsentscheidung sein. Legen Sie Aufgaben, Befugnisse und Berichtslinie schriftlich fest, verknüpfen Sie die Rolle mit KI-Kompetenz, einer AI Governance und einem belastbaren Inventar aller KI-Anwendungen. Wenn Sie diese Grundlagen praktisch aufbauen möchten, ist die EU AI Act Schulung der direkte Einstieg; für das Managementsystem ergänzt der ISO-42001-Leitfaden die operative Umsetzung.