KI-Beauftragter: Rolle, Aufgaben und Verankerung im Unternehmen
Ein KI-Beauftragter (AI Officer) ist die zentrale Rolle, die das KI-Managementsystem (KIMS) nach ISO/IEC 42001 operativ steuert: KI-Inventar führen, Risiken einstufen, Compliance überwachen und KI-Kompetenz aufbauen. Die Norm schreibt den Titel nicht zwingend vor, verlangt aber in Clause 5.3 klar zugewiesene KI-Verantwortlichkeiten und Berichtslinien.
Auf einen Blick
- ✓ISO/IEC 42001 fordert in Clause 5.3 explizit zugewiesene KI-Rollen und Berichtslinien, schreibt aber keinen festen Titel wie KI-Beauftragter oder AI Officer vor.
- ✓Kernaufgaben sind KI-Inventar/Agenten-Register (A.4.2), Risikoeinstufung (Clause 6.1.2/8.2), Impact Assessment (Clause 6.1.4 plus ISO/IEC 42005), Pflege der Statement of Applicability sowie AI-Literacy/Schulung (Clause 7.2/7.3, EU AI Act Art. 4).
- ✓Der KI-Beauftragte ist nicht identisch mit dem Datenschutzbeauftragten: Der DSB verantwortet personenbezogene Daten (DSGVO), der KI-Beauftragte das gesamte KI-Managementsystem - die Rollen überschneiden sich beim Impact Assessment, ersetzen sich aber nicht.
- ✓Im DACH-Mittelstand wird die Rolle häufig mit CISO oder Datenschutzbeauftragtem kombiniert; im Konzern oft mit CISO/CDO plus Berichtslinie an ein Board-AI-Committee.
- ✓Notwendig wird die Rolle spätestens, wenn mehrere KI-Use-Cases produktiv laufen, Kundenfreigaben oder RFPs eine auditierbare Governance verlangen oder eine ISO-42001-Zertifizierung angestrebt wird.
Ein KI-Beauftragter (AI Officer, teils KI-Verantwortlicher oder AIMS Manager genannt) ist die Person, die das KI-Managementsystem (KIMS) nach ISO/IEC 42001 operativ verantwortet und steuert. ISO/IEC 42001 schreibt diesen Titel nicht zwingend vor, verlangt aber in Clause 5.3 die explizite Zuweisung KI-relevanter Rollen, Verantwortlichkeiten und Berichtslinien. In der Praxis wird die bündelnde Rolle deshalb fast immer eingerichtet, weil ein Managementsystem eine end-to-end verantwortliche Person braucht.
- Was: Zentrale Steuerungsrolle für das KI-Managementsystem - Inventar, Risiko, Compliance, Kompetenz.
- Pflicht? Kein vorgeschriebener Titel, aber zugewiesene KI-Verantwortlichkeiten sind nach ISO 42001 Clause 5.3 verpflichtend.
- Abgrenzung: Nicht identisch mit dem Datenschutzbeauftragten - die Rollen überschneiden sich beim Impact Assessment, ersetzen sich aber nicht.
Warum es die Rolle braucht
ISO/IEC 42001:2023 ist die erste zertifizierbare Managementsystem-Norm für Künstliche Intelligenz. Sie folgt der Annex-SL-Struktur (wie ISO 27001 oder ISO 9001) und verlangt in Clause 5.3 ausdrücklich, dass die oberste Leitung KI-relevante Rollen und Berichtslinien zuweist. Die Norm nennt bewusst keinen festen Titel. In mittelständischen DACH-Organisationen wird die Funktion daher häufig mit dem CISO oder dem Datenschutzbeauftragten kombiniert, in Konzernen oft mit CISO oder CDO - jeweils mit expliziter Verankerung gegenüber der Geschäftsführung oder einem Board-AI-Committee.
Der praktische Grund für eine klar benannte Rolle: Bei einem ISO-42001-Audit befragen Auditoren den AI Officer als denjenigen mit end-to-end-Wissen über das KIMS - neben der obersten Leitung, den System- bzw. Agenten-Verantwortlichen, Data Stewards, CISO, DSB und dem Einkauf. Ohne eine solche Rolle zerfällt die Verantwortung, und typische Audit-Findings (veraltetes KI-Inventar, nicht gepflegte Statement of Applicability, fehlende Kompetenznachweise) entstehen fast zwangsläufig.
Die Kernaufgaben des KI-Beauftragten
Die Aufgaben des AI Officers leiten sich direkt aus den normativen Klauseln und den Annex-A-Kontrollen von ISO 42001 ab. Die folgende Tabelle ordnet jede Aufgabe dem zugehörigen Normbezug zu.
Aufgabe | Beschreibung |
|---|---|
KI-Inventar / Agenten-Register | Vollständige Liste aller produktiven KI-Systeme und Agenten mit Zweck, Owner, Modell-Abhängigkeiten, Datenquellen und Risikoklasse. Wichtigstes Artefakt für das Audit-Sampling (Annex A.4.2). |
Risikoeinstufung | Definition und Anwendung des KI-Risikoprozesses (Kriterien, Identifikation, Bewertung) und der Risikobehandlung; methodisch gestützt auf ISO 31000 und ISO/IEC 23894 (Clause 6.1.2 / 8.2 / 6.1.3). |
Statement of Applicability (SoA) | Entwurf und Pflege der SoA - jede Annex-A-Kontrolle mit Begründung für Anwendbarkeit oder Ausschluss, Status und Evidenznachweis. Wird auf dem Zertifikat per Version und Datum referenziert (Clause 6.1.3). |
Impact Assessment | Steuerung der Folgenabschätzung für Individuen, Gruppen und Gesellschaft; operationalisiert über ISO/IEC 42005:2025 und Annex A.5 (Clause 6.1.4 / 8.4). |
Compliance-Überwachung | Monitoring der KI-Leistung, Drift-, Bias- und Vorfallskennzahlen; Vorbereitung des Management Reviews; Verfolgung von Nichtkonformitäten und Korrekturmaßnahmen (Clause 9.1 / 9.3 / 10.1). |
AI-Literacy / Schulung | Aufbau und Nachweis von KI-Kompetenz und Awareness; deckt Clause 7.2 / 7.3 und die AI-Literacy-Pflicht aus EU AI Act Art. 4 ab. |
Schnittstelle zu DSB / CISO / Recht | Abstimmung mit Datenschutzbeauftragtem (DSFA-Integration), CISO (ISO-27001-Schnittstelle, Logging, Lieferanten) und Rechtsabteilung (regulatorische Anforderungen). |
Lieferanten- und Drittparteien-Governance | Due Diligence und Monitoring von Foundation-Model- und Plattform-Anbietern; Dokumentation der Provider-/Deployer-Aufteilung (Annex A.10). |
Drei Aufgaben sind erfahrungsgemäß die häufigsten Schwachstellen in Audits: das KI-Inventar (neue Agenten sind oft nicht registriert), das Impact Assessment (besonders bei kundenseitigen oder HR-/Kredit-Agenten zu flach) und die Kompetenznachweise nach Clause 7.2 - vor allem die AI-Literacy über die technischen Teams hinaus.
AI-Literacy: die unterschätzte Pflicht
Clause 7.2 (Kompetenz) verlangt dokumentierte Kompetenznachweise für alle Personen mit KI-relevanten Aufgaben, Clause 7.3 die entsprechende Awareness. Verstärkt wird das durch EU AI Act Art. 4, der eine KI-Kompetenzpflicht (AI Literacy) statuiert. Der KI-Beauftragte ist hier Treiber: Er definiert den Schulungsplan, führt die Nachweise und sorgt dafür, dass nicht nur die Entwickler, sondern auch die Reviewer und Nutzer von KI-Outputs geschult sind. Im ISO-42001-Mapping wird Art. 4 explizit Clause 7.2 (Kompetenz) und Clause 7.3 (Awareness) zugeordnet.
Abgrenzung zum Datenschutzbeauftragten
Die häufigste Verwechslung im DACH-Raum betrifft das Verhältnis zum Datenschutzbeauftragten. Beide Rollen sind notwendig, aber nicht deckungsgleich.
Kriterium | KI-Beauftragter (AI Officer) | Datenschutzbeauftragter (DSB) |
|---|---|---|
Rechtsgrundlage | ISO/IEC 42001 (Managementsystem), EU AI Act als Kontext | |
Verantwortungsbereich | Gesamtes KI-Managementsystem (Modell, Output, Betrieb, Drittparteien) | Verarbeitung personenbezogener Daten |
Zentrales Instrument | AI System Impact Assessment (Clause 6.1.4, ISO/IEC 42005) | Datenschutz-Folgenabschätzung (DSFA, Art. 35) |
Owner laut Research | Organisation / AI Officer | DPO / Verantwortlicher |
Die Schnittmenge liegt beim Impact Assessment. Die Research empfiehlt für DACH-Deployer ein einziges, gut strukturiertes AISIA-Template, das DSFA-spezifische und FRIA-spezifische Unterabschnitte auslöst, wenn sie anwendbar sind. Dieses Vorgehen erfordert aber juristische Freigabe, weil die DSFA einen eigenen Inhaltskatalog (DSGVO Art. 35 Abs. 7) und die FRIA (EU AI Act Art. 27) einen eigenen Katalog hat. Eine Personalunion von KI-Beauftragtem und DSB ist im Mittelstand zulässig, sofern keine Interessenkonflikte entstehen und die Unabhängigkeit der internen Audit-Funktion (Clause 9.2) gewahrt bleibt.
Qualifikation und Verankerung
Die fachliche Eignung leitet sich aus Clause 7.2 ab: Verständnis der ISO-42001-Anforderungen, technische KI-Literacy, Auditmethodik (ISO 19011 als Referenz) und Kenntnis der regulatorischen Lage. Die Norm verlangt keine bestimmte Zertifizierung, aber dokumentierte Kompetenz.
Bei der organisatorischen Verankerung zeigen sich zwei typische Muster aus der Research:
- DACH-Mittelstand (500-2.000 Mitarbeitende): Der AI Officer wird häufig mit dem CISO oder dem ISO-27001-ISMS-Manager kombiniert, stützt sich stark auf bestehende Infrastruktur (IT-Sicherheit, DSGVO-Programm, Lieferantenmanagement) und arbeitet mit einer schlanken Policy plus fünf bis sieben unterstützenden Verfahren.
- DACH-Konzern (ab 2.000 Mitarbeitende): Der AI Officer wird oft mit CISO oder CDO kombiniert, hat aber eine explizite Berichtslinie an ein Board-AI-Committee. Das KI-Risikoregister wird ins Enterprise-Risk-Management integriert.
Die normative Verankerung selbst steckt in Annex A.3.2 (Zuweisung von Rollen und Verantwortlichkeiten, Funktionstrennung) und A.3.3 (Meldekanal für KI-bezogene ethische Bedenken). Der AI Officer ist damit auch Anlaufstelle für Whistleblowing zu KI-Themen.
Wann die Rolle notwendig wird
ISO 42001 gilt für jede Organisation, die KI entwickelt, bereitstellt oder nutzt. Praktisch wird ein KI-Beauftragter notwendig, sobald:
- mehrere KI-Use-Cases produktiv laufen (im Mittelstand typisch 3-10 aktive Use-Cases),
- KI personenbezogene oder geschäftskritische Entscheidungen beeinflusst (kundenseitige, HR-, Kredit- oder Allokations-Agenten lösen Impact Assessments und Logging-Pflichten nach A.6.2.8 aus),
- Kunden oder RFPs eine auditierbare KI-Governance verlangen - DAX/SMI/ATX-Kunden fordern ISO 42001 zunehmend in Ausschreibungen,
- oder eine ISO-42001-Zertifizierung angestrebt wird.
Praxisbeispiel: KI-Beauftragter in einem 800-Personen-Deployer
Ein DACH-Mittelständler mit rund 800 Mitarbeitenden betreibt fünf KI-Agenten: Kundenservice, Wissensassistent, Sales-Copilot, interne Suche und einen HR-Dokumenten-Agenten. Die Geschäftsführung benennt den bestehenden CISO zusätzlich zum KI-Beauftragten. Sein erstes Projekt - das KI-Inventar (A.4.2) - listet pro Agent Zweck, Owner, Modell und Risikoklasse. Drei messbare KI-Ziele (Clause 6.2) werden gesetzt:
```
Coverage: 100% der produktiven Agenten registriert und
innerhalb 14 Tagen nach Go-Live risikoklassifiziert
Kompetenz: 100% Attestierung der jaehrlichen AI-Literacy-Schulung
(Clause 7.2 + EU AI Act Art. 4)
Transparenz: 100% der High-Risk-Agenten mit aktuellem Model Card
und Nutzungshinweis bis Q3
```
Bei einem Gesamtbudget von rund EUR 100.000 (Stand 2026, typisch für einen Mittelstands-Deployer im Bereich EUR 50.000-150.000) entfällt der größte Anteil auf Policy-/Prozessaufbau und die operative Annex-A-Umsetzung; die externen Audit-Gebühren machen etwa 15 Prozent aus. Der Zeitrahmen bis zum Zertifikat liegt bei 9-12 Monaten. Der KI-Beauftragte koordiniert dabei DSB (Impact Assessment), MLOps-Lead (Logging) und Einkauf (Lieferanten-Due-Diligence).
Dezenter Rechtshinweis
Dieser Beitrag dient der fachlichen Orientierung und stellt keine Rechtsberatung dar. Konkrete Pflichten - etwa zu DSFA-Inhalten nach DSGVO Art. 35, zur FRIA nach EU AI Act Art. 27 oder zur Personalunion von Rollen - sind im Einzelfall mit qualifizierten Rechts- und Datenschutzexperten zu klären.
Für Agenturen und B2B-Entscheider
Wer als Agentur KI-Workflows für Kunden betreibt oder als B2B-Unternehmen mehrere Agenten produktiv hat, sollte die Rolle des KI-Beauftragten frühzeitig benennen - auch ohne sofortige Zertifizierungsabsicht. Ein gepflegtes KI-Inventar, klare Risikoeinstufung und dokumentierte AI-Literacy sind die Grundlage, um in RFPs von Konzernkunden zu bestehen, denn das ISO-42001-Zertifikat ersetzt zunehmend Teile der Lieferanten-Fragebögen. Blck Alpaca unterstützt DACH-Unternehmen beim Aufbau einer auditierbaren KI-Governance - von der Rollendefinition über das KI-Inventar bis zur ISO-42001-Vorbereitung.
Häufig gestellte Fragen
Schreibt ISO 42001 einen KI-Beauftragten vor?
Worin unterscheidet sich der KI-Beauftragte vom Datenschutzbeauftragten?
Welche Qualifikation braucht ein KI-Beauftragter?
Ab wann braucht ein Unternehmen einen KI-Beauftragten?
Kann der KI-Beauftragte mit dem CISO kombiniert werden?
Tiefer einsteigen?
Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.