AI

AI Governance Schulung

Buchen
← Zur Wissens-Übersicht
KI Beauftragter PflichtAI Officer DeutschlandKI Verantwortlicher Unternehmen

KI-Beauftragter: Braucht mein Unternehmen einen AI Officer?

Der EU AI Act fordert keinen formalen KI-Beauftragten — aber ab wann lohnt sich ein AI Officer? DPO-Overlap, Organigramm und Empfehlungen.

Veröffentlicht: 22. März 2026Letzte Aktualisierung: 22. März 20267 Min. Lesezeit

Der EU AI Act verlangt keinen formalen KI-Beauftragten. Anders als die DSGVO mit Art. 37 enthält die EU-VO 2024/1689 keine Pflicht, einen „AI Officer“ oder „KI-Beauftragten“ als feste Stelle zu benennen. Trotzdem ist die Rolle in vielen Unternehmen sinnvoll, sobald KI nicht mehr nur punktuell, sondern strukturiert in Prozessen, Entscheidungen oder Kundenschnittstellen eingesetzt wird.

Letzte Aktualisierung: 22. März 2026

Wenn Sie zuerst die Grundpflichten einordnen wollen, starten Sie mit unserem Beitrag zu Artikel 4, der FAQ und der Übersicht zu Artikel 26. Für die operative Umsetzung mit dokumentiertem Nachweis ist außerdem die EU-AI-Act-Schulung der direkte Einstieg.

Gibt es nach dem AI Act eine Pflicht zum KI-Beauftragten?

Nein. Weder Art. 4 der EU-VO 2024/1689 noch die Kommissions-Q&A zur KI-Kompetenz verlangen eine bestimmte Governance-Struktur. Die Europäische Kommission beantwortet die Frage ausdrücklich so: Für die Einhaltung von Art. 4 ist kein spezifisches Governance-Modell vorgeschrieben; also weder zwingend ein AI Officer noch ein Governance Board.

Das ist der zentrale Unterschied zur DSGVO-Logik. Die DSGVO kennt in Art. 37 klar definierte Fälle, in denen ein Datenschutzbeauftragter benannt werden muss. Ein vergleichbares Pendant gibt es im AI Act gerade nicht. Wer intern einen KI-Beauftragten benennt, tut das deshalb aus Organisations- und Haftungsgründen, nicht weil der Gesetzestext diese Position ausdrücklich fordert.

Für die Praxis ist diese Unterscheidung wichtig. Unternehmen sollten keine künstliche Scheinpflicht erzeugen, aber sie sollten die Governance-Lücke auch nicht ignorieren. Der AI Act schreibt Pflichten vor, die jemand im Unternehmen koordinieren muss: KI-Inventar, Schulung, menschliche Aufsicht, Dokumentation, Monitoring und Eskalation.

Was verlangt Artikel 26 wirklich?

Art. 26 der EU-VO 2024/1689 verlangt bei Hochrisiko-KI keine neue formale Stellenbezeichnung, aber eine klar zugewiesene Aufsichtsfunktion. Betreiber von Hochrisiko-KI müssen menschliche Aufsicht natürlichen Personen zuweisen, die über die nötige Kompetenz, Schulung, Autorität und Unterstützung verfügen.

Das ist juristisch eine Rolle, keine Position im Organigramm. Das Gesetz sagt also nicht: „Sie brauchen einen KI-Beauftragten.“ Es sagt aber sehr wohl: „Sie müssen Personen benennen, die Aufsicht wirksam ausüben können.“ Spätestens bei Hochrisiko-KI reicht informelle Zuständigkeit deshalb nicht mehr aus.

Für viele Unternehmen folgt daraus eine zweistufige Logik:

  1. Für allgemeine KI-Nutzung nach Art. 4 brauchen Sie keine Pflichtstelle, aber klare Verantwortlichkeit.
  2. Für Hochrisiko-KI nach Art. 26 brauchen Sie zusätzlich konkret benannte Aufsichtspersonen mit Kompetenz und Autorität.

Die verbreitete Fehlannahme lautet deshalb: „Wenn Art. 26 Aufsicht verlangt, ist ein KI-Beauftragter gesetzlich vorgeschrieben.“ Das ist zu kurz gegriffen. Richtig ist: Das Gesetz verlangt wirksame personelle Zuordnung, nicht zwingend eine einheitliche Jobbezeichnung.

Ab wann lohnt sich ein KI-Beauftragter trotzdem?

Ein KI-Beauftragter lohnt sich meist deutlich früher, als der Gesetzestext ihn verlangen würde. Unsere praktische Empfehlung lautet: Ab etwa 50 Mitarbeitern mit realer KI-Nutzung sollten Sie eine verantwortliche Person benennen, selbst wenn diese Rolle zunächst neben anderen Funktionen geführt wird.

Diese Schwelle ist keine gesetzliche Grenze, sondern eine Governance-Empfehlung. Der Grund ist simpel: Ab einer gewissen Unternehmensgröße entstehen fast immer dieselben Reibungsverluste. Fachbereiche führen Tools ein, HR denkt in Schulungen, IT in Freigaben, Datenschutz in Risiken und die Geschäftsführung erwartet eine belastbare Antwort auf die Frage, wer den Überblick hat.

Spätestens wenn mindestens drei dieser Punkte gleichzeitig auftreten, ist eine benannte KI-Verantwortung sinnvoll:

| Indikator | Warum das relevant ist | | --- | --- | | Mehrere Teams nutzen verschiedene KI-Tools | Ohne Inventar und Policy entstehen Schattenprozesse | | KI wird in HR, Compliance, Kundenservice oder Vertrieb eingesetzt | Diese Bereiche haben erhöhte Risiko- und Dokumentationsanforderungen | | Das Unternehmen bereitet Richtlinien oder Schulungen vor | Jemand muss Inhalte, Zielgruppen und Nachweise koordinieren | | Externe Anfragen von Kunden, Betriebsrat oder Auditoren nehmen zu | Es braucht eine klare Ansprechperson | | Hochrisiko-KI ist absehbar oder bereits im Einsatz | Art. 26 verlangt belastbare menschliche Aufsicht |

Wer heute wartet, bis eine Behörde nach einer Stellenbeschreibung fragt, steuert zu spät. Sinnvoller ist eine interne Benennung mit klarer Aufgabenliste und Berichtslinie.

Kann der Datenschutzbeauftragte die KI-Rolle mitübernehmen?

Ja, häufig schon. Der AI Act verbietet nicht, dass der Datenschutzbeauftragte zugleich die KI-Koordination übernimmt. Die Kommission stellt in ihren Q&A ausdrücklich klar, dass kein spezielles Governance-Modell vorgeschrieben ist und dass kein separater AI Officer zwingend eingerichtet werden muss.

Auch aus DSGVO-Sicht ist eine Doppelfunktion nicht automatisch problematisch. Nach den Leitlinien des Europäischen Datenschutzausschusses darf ein Datenschutzbeauftragter weitere Aufgaben übernehmen, solange daraus kein Interessenkonflikt entsteht. Kritisch wird es vor allem dann, wenn der DSB selbst über Zwecke und Mittel der Datenverarbeitung entscheidet oder operative Managementfunktionen innehat.

Daraus folgt eine wichtige Einordnung: Die Rolle „DPO plus KI-Beauftragter“ ist nicht per se konfliktbehaftet. Sie kann gut funktionieren, wenn der DSB koordinierend, beratend und kontrollierend arbeitet. Problematisch wird es erst, wenn dieselbe Person zugleich Produktverantwortung, IT-Leitung oder operative Freigabehoheit über KI-Systeme ausübt.

Für KMU ist das oft die pragmatischste Lösung. Ein externer oder interner DSB kennt bereits Dokumentation, Schulungslogik und Schnittstellen zu HR, IT und Geschäftsführung. Vertiefend dazu passt unser Beitrag AI Act für Datenschutzbeauftragte.

Wie sehen sinnvolle Organigramme in der Praxis aus?

Die beste Struktur hängt weniger von der juristischen Pflicht als von Unternehmensgröße, Risikoprofil und Tool-Landschaft ab. Zwei Modelle sind in der Praxis besonders belastbar.

Modell 1: KMU mit einer kombinierten Rolle

Für kleinere und mittlere Unternehmen genügt oft eine Person, die Datenschutz und KI-Governance zusammenführt. Typisch ist eine Berichtslinie an Geschäftsführung oder Compliance, ergänzt um feste Ansprechpartner in IT und HR.

Ein einfaches KMU-Setup sieht so aus:

| Funktion | Hauptaufgabe | | --- | --- | | Datenschutzbeauftragter / KI-Beauftragter | Inventar, Policy, Schulung, Beratung, Nachweise | | IT | Tool-Freigaben, technische Kontrollen, Schnittstellen | | HR | Rollout der Schulung, Teilnehmermanagement, Nachverfolgung | | Geschäftsführung | Entscheidung, Priorisierung, Ressourcen |

Dieses Modell ist nur dann robust, wenn die Rolle nicht symbolisch vergeben wird. Die benannte Person braucht Zeit, Zugriff auf Informationen und Eskalationsrecht.

Modell 2: Konzern oder reguliertes Unternehmen mit eigener Stelle

Größere Unternehmen sollten KI-Governance meist als eigene Funktion aufbauen. Das gilt besonders dann, wenn mehrere Standorte, viele Fachbereiche, regulierte Prozesse oder Hochrisiko-KI betroffen sind.

Dann ist ein separates Modell sauberer:

| Funktion | Hauptaufgabe | | --- | --- | | AI Officer / KI-Beauftragter | Gesamtkoordination der KI-Governance | | Datenschutzbeauftragter | Datenschutzrechtliche Beratung und Kontrolle | | Legal / Compliance | Regulatorische Bewertung, Verträge, Eskalation | | IT / Security | Technische Kontrollen, Logs, Zugriffe | | Fachbereiche | Tool-Einsatz, Use Cases, operative Umsetzung |

Dieses Modell reduziert Überlastung und erleichtert die Trennung zwischen beratender und operativer Verantwortung. Es ist vor allem dann sinnvoll, wenn KI bereits in mehreren Kernprozessen verankert ist.

Was macht ein KI-Beauftragter praktisch?

Ein KI-Beauftragter verwaltet nicht nur Richtlinien, sondern übersetzt Regulierung in laufende Betriebsprozesse. In der Praxis gehören meist sechs Aufgabenblöcke dazu.

  1. KI-Inventar aufbauen. Erfassen Sie, welche Tools, Systeme und Anwendungsfälle im Unternehmen tatsächlich genutzt werden.
  2. Policy und Freigaberegeln definieren. Legen Sie fest, welche Systeme erlaubt sind, welche Daten eingegeben werden dürfen und wann eine Freigabe nötig ist.
  3. Schulung koordinieren. Rollenbezogene KI-Kompetenz nach Art. 4 muss geplant, ausgerollt und dokumentiert werden.
  4. Monitoring organisieren. Nutzung, Vorfälle, Beschwerden und relevante Änderungen müssen nachvollziehbar beobachtet werden.
  5. Aufsichtspflichten abbilden. Bei Hochrisiko-KI müssen natürliche Personen mit Kompetenz und Autorität benannt sein, wie Art. 26 verlangt.
  6. Nachweise für Management und Audits bereitstellen. Dazu gehören Inventar, Policy-Versionen, Schulungsstände, Verantwortlichkeiten und Eskalationswege.

Wer diese Punkte noch nicht sauber organisiert hat, sollte nicht mit einer abstrakten Debatte über Titel beginnen, sondern mit einer belastbaren Mindest-Governance. Eine gute Ergänzung dazu ist unser Beitrag zur KI-Policy im Unternehmen.

Fazit: Kein Pflicht-AI-Officer, aber oft eine sinnvolle Pflichtentscheidung

Der AI Act fordert keinen formalen KI-Beauftragten und kennt kein Art.-37-DSGVO-Pendant. Gleichzeitig verlangt das Gesetz sehr wohl, dass Unternehmen KI-Kompetenz organisieren, Verantwortlichkeiten festlegen und bei Hochrisiko-KI menschliche Aufsicht wirksam zuweisen.

Deshalb lautet die pragmatische Antwort: Rechtlich brauchen Sie nicht immer einen AI Officer, organisatorisch aber oft sehr wohl eine klar benannte Person. Für KMU reicht häufig ein DSB mit zusätzlicher KI-Governance-Verantwortung, solange Unabhängigkeit und Ressourcen gewahrt bleiben. Für größere oder stärker regulierte Unternehmen ist eine eigenständige Rolle meist sauberer.

Wenn Sie die Rolle nicht nur definieren, sondern sofort mit Schulung, Nachweis und Mindeststandard hinterlegen wollen, ist die EU-AI-Act-Schulung der schnellste nächste Schritt. Ergänzend helfen Ihnen unsere FAQ, der Überblick zu Artikel 4 und die Einordnung von Artikel 26.

FAQ: KI-Beauftragter im Unternehmen

Ist ein KI-Beauftragter nach dem EU AI Act Pflicht?

Nein. Nach aktuellem Stand vom 22. März 2026 schreibt der EU AI Act keine formale Position „KI-Beauftragter“ vor. Die Europäische Kommission sagt in den AI-Literacy-Q&A ausdrücklich, dass keine bestimmte Governance-Struktur für Art. 4 vorgeschrieben ist.

Muss ich für Hochrisiko-KI trotzdem Personen benennen?

Ja. Art. 26 der EU-VO 2024/1689 verlangt bei Hochrisiko-KI menschliche Aufsicht durch natürliche Personen mit Kompetenz, Schulung, Autorität und Unterstützung. Das ist eine Pflicht zur Rollen- und Verantwortungszuweisung, auch wenn keine formale Stellenbezeichnung vorgeschrieben ist.

Kann mein Datenschutzbeauftragter zugleich KI-Beauftragter sein?

Oft ja. Weder der AI Act noch die Kommissions-Q&A schließen das aus. Aus DSGVO-Sicht ist entscheidend, dass kein Interessenkonflikt entsteht, also dass der DSB nicht gleichzeitig operative Entscheidungen über Zwecke und Mittel der Datenverarbeitung trifft.

Ab welcher Unternehmensgröße sollte ich eine KI-Verantwortung benennen?

Eine sinnvolle Praxisgrenze liegt häufig bei etwa 50 Mitarbeitern mit realer KI-Nutzung. Das ist keine gesetzliche Schwelle, sondern eine organisatorische Empfehlung, um Inventar, Policy, Schulung und Monitoring zentral zu koordinieren.

Nächster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, starten Sie mit der Kursübersicht, klären offene Fragen in der FAQ und buchen danach das passende Erstgespräch.

Kursübersicht ansehen

Prüfen Sie Inhalte, Lernzeit, Preise und den passenden Rollout für Ihr Team.

FAQ aufrufen

Klären Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Erstgespräch buchenZur Startseite

Autor und fachlich verantwortlich

Steven Leutritz

Geschäftsführer & KI-Compliance-Experte

Steven Leutritz begleitet Unternehmen bei der Umsetzung des EU AI Act und übersetzt Regulierung in klare Handlungslogik für Geschäftsführung, HR und Compliance.