Compliance BAFA-Förderung: bis zu 80% Zuschuss

KI-Beauftragter im Mittelstand: Aufgaben, Pflichten, Kosten

Was ein KI-Beauftragter im Mittelstand können muss, welche Aufgaben die Rolle unter dem EU AI Act hat und wann externe Beratung sinnvoll ist.

~ 6 Min. Lesezeit

Mit dem zweiten August zweitausendsechsundzwanzig wird der Hauptteil des EU AI Acts für Hochrisiko-KI-Systeme bindend, und genau in diesem Moment trifft eine regulatorische Anforderung auf den deutschen Mittelstand, der bislang in der Mehrheit ohne dedizierte KI-Verantwortung im Organigramm aufgestellt ist. Laut Bitkom-Studie aus dem Jahr zweitausendvierundzwanzig setzen bereits siebenundzwanzig Prozent der Unternehmen in Deutschland KI-Tools produktiv ein, gleichzeitig haben weniger als zehn Prozent eine schriftlich definierte Rolle eines KI-Beauftragten benannt. Diese Lücke zwischen Tool-Einsatz und Rollendefinition ist genau die Stelle, an der unter Audit-Bedingungen die Haftung problematisch wird.

Was die Rolle KI-Beauftragter im Tagesgeschäft konkret macht

Der KI-Beauftragte ist weder eine reine Compliance-Stelle, die Dokumente sammelt, noch eine technische Rolle, die Modelle baut. Die Position lebt vom Spagat zwischen Geschäftsführung und Fachabteilungen, ergänzt um die IT-Abteilung als dritte Stimme im Trio, und genau dieser Querschnitts-Charakter macht die Rolle so anspruchsvoll. Konkret übernimmt der KI-Beauftragte fünf Kernverantwortlichkeiten, die wir bei jedem Mandat schriftlich fixieren, damit im Audit-Fall keine Zuständigkeitslücken bestehen.

01

Inventarisierung

Pflege eines aktuellen KI-Registers mit Risikoklasse, Anbieter, Trainingsdatenquelle und Einsatzbereich pro System.

02

Risikobewertung

Klassifizierung jedes Systems nach EU AI Act Risikostufe und Ableitung der spezifischen Pflichten je Klasse.

03

Schulung

Verpflichtende KI-Kompetenz-Schulung aller Mitarbeiter laut Artikel vier mit dokumentiertem Nachweis pro Person.

04

Incident-Response

Definierter Prozess für Vorfälle wie Halluzinationen mit Kundenwirkung, Datenleck oder fehlerhafte Einzelentscheidung.

05

Vendor-Compliance

Vertragsprüfung mit KI-Anbietern, Auftragsverarbeitungsvereinbarungen und Sicherstellung der AI-Act-Konformität extern bezogener Modelle.

Diese fünf Verantwortlichkeiten ergeben in der Summe einen Aufwand, der bei einem Mittelständler mit fünfzig bis hundertfünfzig Mitarbeitern typischerweise bei sechs bis zwölf Stunden pro Monat liegt, wenn die Routinen einmal etabliert sind. Im ersten Aufbaujahr ist der Aufwand allerdings deutlich höher, weil sowohl die Bestandsaufnahme als auch die Vertragsprüfung und die Erstdokumentation initialen Mehraufwand verursachen.

Interner oder externer KI-Beauftragter

Diese Frage hängt von drei Faktoren ab: vorhandene Fachkompetenz, Kapazität der internen Stelle und die Risikoklasse der eingesetzten KI-Systeme. Die folgende Übersicht zeigt, in welchen Konstellationen welche Variante typischerweise wirtschaftlicher ist.

FaktorInterner KI-BeauftragterExterner KI-Beauftragter
UnternehmensgrößeAb hundertfünfzig Mitarbeitern und mehrBis hundertfünfzig Mitarbeiter
Anzahl produktiv genutzter KI-SystemeMehr als zehn unterschiedliche ToolsBis zu zehn Tools, überwiegend Standard-SaaS
Vorhandene FachexpertiseCompliance-Officer oder IT-Sicherheit vorhandenKeine spezialisierte Compliance-Rolle besetzt
BrancheStark regulierte Sektoren wie Finanz, Gesundheit, VersicherungAllgemeiner Mittelstand ohne sektorspezifische KI-Pflichten
Typische JahreskostenAchtzehntausend bis zweiundvierzigtausend Euro inklusive SchulungVierzehntausendvierhundert bis fünfundzwanzigtausendzweihundert Euro Mandatsgebühr

In der Praxis sehen wir bei Mandanten häufig eine Übergangslösung: Externe Übernahme der Rolle in den ersten zwölf bis achtzehn Monaten, parallel Aufbau interner Kompetenz, und ab dem zweiten Geschäftsjahr Übergabe an einen intern geschulten Mitarbeiter. Diese Konstellation kombiniert die schnelle Audit-Fähigkeit eines erfahrenen Externen mit der mittelfristig günstigeren internen Stelle.

Welche Dokumente die Rolle braucht

Ein KI-Beauftragter ohne dokumentierte Grundlage ist regulatorisch wirkungslos, weil im Audit-Fall die Rollenwahrnehmung nachweisbar sein muss. Wir liefern bei jedem Mandat ein Set aus fünf Kernunterlagen, das alle Pflicht-Felder abdeckt.

  • KI-Richtlinie: Schriftliche unternehmensweite Regelung, welche KI-Tools erlaubt sind, welche Datenkategorien nicht in externe Modelle eingegeben werden dürfen und wie Mitarbeiter neue Tools beantragen.
  • KI-Register: Lebende Tabelle aller produktiv genutzten KI-Systeme mit Anbieter, Risikoklasse, Vertragslage und Verantwortlichem.
  • Schulungsplan: Curriculum für die Pflicht-Schulung nach Artikel vier inklusive Nachweis-Vorlage pro Mitarbeiter.
  • Incident-Playbook: Eskalationspfad und Meldewege für KI-bezogene Vorfälle, abgestimmt auf bestehende DSGVO-Meldepflichten.
  • Vendor-Checkliste: Standardisierte Prüfung vor Beschaffung neuer KI-Tools, inklusive AI-Act-Konformitäts-Frageliste.

Diese fünf Dokumente bilden gleichzeitig den Mindestumfang, den ein BAFA-Auditor als Verwendungsnachweis für eine geförderte Compliance-Beratung erwartet.

Was eine BAFA-geförderte Aufbauberatung kostet

Der Aufbau der KI-Beauftragten-Rolle und die Lieferung der Pflicht-Dokumente lässt sich über die BAFA-Förderung Unternehmensberatung abrechnen, weil die Beratung als Compliance- und Strategieberatung anerkannt ist. Bei einem typischen Honorar von dreitausendfünfhundert Euro netto reduziert sich Ihr Eigenanteil in den alten Bundesländern auf siebzehnhundertfünfzig Euro netto. Die anschließende laufende Mandatsausübung des externen KI-Beauftragten ist hingegen nicht förderfähig und läuft auf eine reguläre Monatsgebühr.

Erstgespräch zum KI-Beauftragten-Aufbau buchen

Kostenlose Potenzialanalyse anfragen Mehr über unsere Methodik
Unser Ansatz

Unser Ansatz für KI-Beauftragter Unternehmen

Bestandsaufnahme aller KI-Systeme im Unternehmen
Wir kartieren systematisch, welche KI-Anwendungen im Unternehmen bereits laufen, von ChatGPT-Free-Accounts einzelner Mitarbeiter bis zu eingebetteten Funktionen in CRM, ERP oder HR-Software. Erst dieser Überblick zeigt, wie groß die KI-Beauftragten-Rolle dimensioniert werden muss.
Rollenprofil und Verantwortlichkeiten schneiden
Wir definieren das schriftliche Aufgabenprofil mit Verantwortungsabgrenzung gegenüber dem Datenschutzbeauftragten und der IT-Sicherheit sowie der Geschäftsführung. Das Profil legt Befugnisse und Berichtswege fest und ergänzt sie um die Pflicht-Dokumente, sodass im Audit-Fall keine Lücken bleiben.
Personenwahl und Qualifikationsaufbau
Wir bewerten gemeinsam, ob die Rolle intern besetzt werden kann oder ein externer KI-Beauftragter sinnvoller ist. Bei interner Besetzung skizzieren wir den passenden Schulungspfad, bei externer Besetzung übernehmen wir die Rolle auf Mandatsbasis.
Governance-Dokumente und Compliance-Routinen aufsetzen
Wir liefern die Pflicht-Dokumente, also KI-Richtlinie, Risikoregister, Schulungsnachweise und Incident-Response-Prozess. Diese Dokumente bilden gleichzeitig den Verwendungsnachweis, wenn die Beratung über BAFA gefördert wird.
FAQ

Häufige Fragen

Der EU AI Act schreibt in Artikel 26 vor, dass Betreiber von Hochrisiko-KI-Systemen qualifiziertes Personal für die menschliche Aufsicht stellen müssen, der Begriff KI-Beauftragter wird in der Verordnung allerdings nicht wörtlich verwendet. In der Praxis hat sich die Rolle als organisatorische Antwort auf diese Pflicht durchgesetzt, ergänzt um Transparenz- und Schulungspflichten, die Artikel 4 und Artikel 50 für alle KI-Einsatzbereiche vorsehen. Für reine Niedrigrisiko-Anwendungen ist die Rolle nicht zwingend, wird aber empfohlen, weil sie Audit-Sicherheit und Haftungsabgrenzung bringt.

Sinnvoll sind drei Kompetenzfelder in Kombination. Erstens technisches Grundverständnis von Machine Learning, Large Language Models und typischen KI-Risiken wie Halluzination, Bias und Prompt-Injection. Zweitens regulatorische Kenntnis von EU AI Act, DSGVO, branchenspezifischen Vorgaben und Berufsgeheimnissen. Drittens organisatorisches Geschick, weil die Rolle quer durch alle Fachabteilungen koordinieren muss. Eine formelle Zertifizierung über TÜV, DEKRA oder Bitkom Akademie ist nicht vorgeschrieben, hilft aber bei der Auditierung und bei externen Mandanten.

Eine Personalunion ist möglich und in kleineren Unternehmen oft sinnvoll, weil sich die Aufgabenfelder thematisch überlappen, etwa bei Trainingsdatenherkunft, automatisierten Einzelentscheidungen und Auftragsverarbeitung. Wichtig ist allerdings die Trennung der Rollenbeschreibungen im Aufgabenkatalog, weil Datenschutzbeauftragte unter Artikel 38 DSGVO eine Weisungsfreiheit haben, die nicht automatisch auf KI-Aufgaben ausgedehnt wird. Wir empfehlen die Personalunion bei Unternehmen mit weniger als hundert Mitarbeitern, ab darüber lieber zwei getrennte Rollen.

Externe Besetzung ist sinnvoll, wenn das Unternehmen weniger als zwei volle Stellen für die Compliance-Arbeit bündeln kann oder die internen Mitarbeiter fachlich nicht passend qualifiziert sind. Typische Konstellation ist ein Mittelständler mit fünfzig bis hundertfünfzig Mitarbeitern, in dem die IT-Leitung bereits voll mit operativem Betrieb ausgelastet ist und keine Kapazität für KI-Governance hat. Externer Auftrag startet typischerweise bei zwölfhundert Euro netto pro Monat für Standard-Mandate mit acht bis zwölf Beratungsstunden.

Ein dreitägiges Inhouse-Seminar mit anschließender Prüfung kostet typischerweise zwischen viertausend und siebentausend Euro netto, je nach Anbieter und Branchenspezialisierung. Die Bitkom Akademie, die TÜV-Akademie und größere Beratungshäuser bieten standardisierte Programme an, branchenspezifische Inhalte wie KI im Gesundheitswesen oder KI im Finanzsektor sind tendenziell teurer. Bei BAFA-geförderter Beratung können die strategischen Vorarbeiten und das Rollenprofil-Setup über den Förderzuschuss abgerechnet werden, die reine Schulung selbst ist nicht BAFA-förderfähig.

Die zivilrechtliche und strafrechtliche Haftung bleibt grundsätzlich bei der Geschäftsführung, sofern keine grobe Fahrlässigkeit oder Vorsatz des KI-Beauftragten nachweisbar ist. Anders als beim Datenschutzbeauftragten gibt es im EU AI Act keine spezifische Haftungs-Schutzklausel für die Rolle. Wir empfehlen deshalb eine schriftliche Aufgaben- und Befugnisabgrenzung, eine D-und-O-Versicherung für den Mitarbeiter und einen jährlich aktualisierten Schulungsnachweis als Dokumentation, dass die Sorgfaltspflicht erfüllt wurde.

Der EU AI Act trat am zweiten August zweitausendvierundzwanzig in Kraft, die Pflichten gelten schrittweise. Seit dem zweiten Februar zweitausendfünfundzwanzig sind verbotene KI-Praktiken untersagt und allgemeine KI-Kompetenz-Pflichten in Kraft. Ab dem zweiten August zweitausendsechsundzwanzig greifen die zentralen Pflichten für Hochrisiko-KI-Systeme, also das Konformitätsbewertungsverfahren, die Registrierung und die Dokumentation. Mittelständische Unternehmen sollten die Rolle KI-Beauftragter spätestens Anfang zweitausendsechsundzwanzig besetzt haben, um vor dem August-Stichtag voll auskunftsfähig zu sein.

Kostenlose Potenzialanalyse anfragen

Ihre Daten werden ausschließlich zur Bearbeitung Ihrer Anfrage verwendet. Datenschutzerklärung

Verwandte Strategien & Insights

compliance

Microsoft Copilot & Datenschutz: So setzen Sie den KI-Assistenten sicher im Unternehmen ein

compliance

KI-Governance im Mittelstand: Was die EU-KI-Verordnung konkret verlangt und wie Sie sie ohne Rechtsabteilung erfüllen

compliance

KI im Personalwesen rechtssicher einsetzen: DSGVO & AI Act für HR-Verantwortliche