Die Kernpunkte im Überblick
- Der EU AI Act schreibt keinen verpflichtenden „KI-Beauftragten" vor. Verpflichtend ist seit dem 2. Februar 2025 aber ausreichende KI-Kompetenz aller Beschäftigten, die mit KI arbeiten (Art. 4 EU AI Act).
- Ab dem 2. August 2026 greift in Deutschland die Marktüberwachung. Verstöße gegen verbotene KI-Praktiken kosten bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (Art. 5 EU AI Act).
- Nur 37 Prozent der Unternehmen sind laut einer Erhebung von Mitte 2026 vor dem AI-Act-Stichtag bei der KI-Governance ausreichend aufgestellt.
- Für ein KMU genügt meist eine klar benannte verantwortliche Person mit Zeitbudget statt einer neuen Vollzeitstelle, intern oder als externer KI-Beauftragter.
- Kernaufgaben der Rolle: KI-Systeme inventarisieren, nach Risiko einordnen, Schulung sicherstellen, Freigaben und Dokumentation regeln.
Braucht mein Unternehmen einen KI-Beauftragten? Die kurze Antwort
Einen KI-Beauftragten schreibt der EU AI Act nicht ausdrücklich vor. Verpflichtend ist seit Februar 2025 aber, dass deine Mitarbeiter über ausreichende KI-Kompetenz verfügen (Art. 4). Sobald KI mehr als nur ein Tool ist, braucht dieses Thema eine klar benannte verantwortliche Person, intern oder extern.
Die Frage ist 2026 keine Theorie mehr. Zwei Fristen des EU AI Act sind relevant: Die Pflicht zur KI-Kompetenz gilt bereits seit dem 2. Februar 2025. Ab dem 2. August 2026 kann die Marktüberwachung Verstöße gegen die Verordnung ahnden. Wer bis dahin niemanden benannt hat, der KI-Themen koordiniert, riskiert Lücken bei Kompetenz, Dokumentation und Haftung.
Warum die Frage nach dem KI-Beauftragten gerade jetzt auf den Tisch kommt
Stell dir einen typischen Montag in einem Mittelstandsbetrieb vor. Im Vertrieb schreibt jemand Angebote mit ChatGPT. Im Marketing laufen Texte über ein KI-Tool, das niemand freigegeben hat. Die Buchhaltung testet einen KI-Assistenten für Rechnungen. Alles über private Accounts, alles ohne Absprache.
Niemand ist offiziell zuständig. Es gibt keine Regel, welche Daten in welches Tool dürfen. Keiner weiß, welche Systeme überhaupt im Einsatz sind. Und keiner kann belegen, dass die Mitarbeiter geschult wurden.
Genau hier wird es unangenehm. Der EU AI Act verlangt seit Februar 2025 nachweisbare KI-Kompetenz. Ab August 2026 schaut die Marktüberwachung genauer hin. Ohne verantwortliche Person fällt die Antwort auf jede Prüfung schwer.
Dazu kommt das Alltagsrisiko: Schatten-KI. Sensible Kundendaten landen in Tools ohne Auftragsverarbeitungsvertrag. Ein E-Commerce-Händler, der Bestelldaten in einen frei zugänglichen Chatbot kippt, hat schnell ein DSGVO-Problem. Nicht aus böser Absicht, sondern weil niemand die Leitplanken gesetzt hat.
Das Problem ist selten die Technik. Es ist fehlende Zuständigkeit. Solange KI irgendwie nebenher läuft, bleibt Kompetenz Zufall und Governance ein Wunsch.
Ist ein KI-Beauftragter laut EU AI Act Pflicht?
Nein, eine ausdrückliche Bestellpflicht für einen KI-Beauftragten gibt es nicht. Das EU AI Office hat klargestellt, dass Artikel 4 weder eine Zertifizierung noch einen Pflichttest noch eine eigene Planstelle verlangt. Pflicht ist das Ergebnis: ausreichende KI-Kompetenz deiner Leute.
Ein Definitionssatz hilft: Artikel 4 des EU AI Act verpflichtet Anbieter und Betreiber von KI-Systemen, ein ausreichendes Maß an KI-Kompetenz ihrer Beschäftigten sicherzustellen. Die Pflicht gilt seit dem 2. Februar 2025 und kennt keinen Mitarbeiter-Schwellenwert. Sie trifft den Kleinbetrieb genauso wie den Konzern.
Es gilt ein Best-Efforts-Maßstab. Du musst nicht jeden zum KI-Experten machen. Du musst angemessene, dokumentierte Maßnahmen ergreifen und belegen können, wer zu welchen Inhalten geschult wurde. Interne Workshops, Web-Seminare oder Onboarding-Module genügen, solange sie dokumentiert sind. Wie du Schulung dauerhaft verankerst, statt es bei einem einzigen Termin zu belassen, zeigt der Beitrag zu kontinuierlichem KI-Enablement.
Der Handlungsdruck ist real. Laut einer Untersuchung des TÜV-Verbands (2026) sehen 56 Prozent der deutschen Unternehmen dringenden Nachholbedarf bei der KI-Kompetenz. Die Mehrheit der Industrie hält sich für nicht ausreichend vorbereitet.
Auch ohne Bestellpflicht brauchst du also eine Person, die diese Nachweise organisiert. Wer das niemandem zuweist, erfüllt die Pflicht bestenfalls zufällig. Einen strukturierten Überblick über deinen Status liefert ein KI-Audit.
Was macht ein KI-Beauftragter konkret?
Ein KI-Beauftragter ist die zentrale Ansprechperson für den verantwortungsvollen Einsatz von KI im Unternehmen. Die Rolle bündelt Governance-Themen an einer Stelle, damit Umsetzung, Schulung und Compliance nicht zwischen den Abteilungen liegen bleiben.
Konkret gehören dazu diese Aufgaben:
- Ein KI-Inventar führen: Welche KI-Systeme sind im Einsatz, wer nutzt sie, mit welchen Daten?
- Systeme nach den Risikoklassen des EU AI Act einordnen und mögliche Hochrisiko-Anwendungen erkennen.
- KI-Kompetenz sicherstellen: Schulungen planen, durchführen und nachweisbar dokumentieren.
- Freigaben und Richtlinien regeln: Welche Tools sind erlaubt, welche Daten dürfen hinein?
- Compliance überwachen: EU AI Act, DSGVO und interne Vorgaben im Blick behalten.
- Ansprechpartner sein, wenn Fachbereiche neue KI-Tools beschaffen wollen.
Wichtig: Das ist selten eine neue Vollzeitstelle. In den meisten KMU ist es ein klar umrissenes Aufgabenpaket, das an eine geeignete Person geht, oft mit Nähe zu Datenschutz, IT oder Qualitätsmanagement.
In einer Marketingagentur übernimmt das häufig die Person, die schon den Datenschutz koordiniert. Im produzierenden Gewerbe sitzt die Rolle oft in der IT- oder Qualitätsleitung, weil dort das Prozessdenken vorhanden ist. Entscheidend ist nicht der Titel, sondern dass jemand die Fäden in der Hand hält.
Woran erkennst du, dass dein Unternehmen einen KI-Beauftragten braucht?
Je mehr der folgenden Punkte auf dich zutreffen, desto klarer ist die Antwort. Ab drei Ja-Antworten solltest du eine verantwortliche Person benennen.
- Mehrere Abteilungen nutzen KI-Tools, ohne dass jemand den Überblick hat.
- Mitarbeiter arbeiten mit ChatGPT oder ähnlichen Tools über private Accounts.
- Ihr verarbeitet personenbezogene oder sensible Daten mit KI.
- Ihr setzt KI in Bereichen ein, die als Hochrisiko gelten könnten, etwa Bewerbervorauswahl oder Bonitätsprüfung.
- Ihr könnt nicht belegen, wer wann zu KI geschult wurde.
- Kunden oder Auftraggeber fragen nach eurem Umgang mit KI.
Für einen schnellen ersten Eindruck, ob sich strukturierter KI-Einsatz bei euch lohnt, hilft der KI-Check mit ROI-Rechner.
Der zweite Punkt ist verbreiteter, als viele denken. Laut einer Bitkom-Befragung (2026) gehen 42 Prozent der Unternehmen davon aus, dass Beschäftigte generative KI über private Accounts im Arbeitskontext nutzen. Nur 26 Prozent stellen offiziell einen Zugang bereit. Der Rest ist Schatten-KI ohne Kontrolle.
Ein Beispiel aus dem Handel: Ein Online-Händler mit 40 Mitarbeitern hatte fünf verschiedene KI-Tools im Haus, von denen die Geschäftsführung zwei nicht kannte. Erst eine benannte Verantwortliche brachte Ordnung hinein, mit Inventar, Freigabeliste und klaren Datenregeln.
Wenn du unsicher bist, welche eurer Anwendungen überhaupt unter den EU AI Act fallen, hilft der Überblick in unserem Artikel zum EU AI Act für KMU.
Interner oder externer KI-Beauftragter: Was passt für dein KMU?
Beides funktioniert, solange die Zuständigkeit klar ist und die nötige Kompetenz vorhanden ist. Die Frage ist nicht intern gegen extern, sondern: Wo sitzen Know-how, Kapazität und Unabhängigkeit?
Ein interner KI-Beauftragter kennt die Prozesse, ist nah dran und schnell erreichbar. Das passt, wenn jemand im Team echtes Interesse und ein festes Zeitbudget mitbringt. Ohne dieses Zeitbudget bleibt die Rolle ein Titel ohne Wirkung. Was eine externe Fachperson konkret leistet, beschreibt der Artikel Was macht ein KI-Berater?
Ein externer KI-Beauftragter bringt Erfahrung aus vielen Projekten, aktuelles Regulierungswissen und Unabhängigkeit mit. Für KMU ohne eigene Compliance-Abteilung ist das oft die pragmatische Lösung: Governance-Aufbau, Schulungskonzept und Dokumentation, ohne eine neue Stelle zu schaffen. Die Unabhängigkeit ist dabei kein Beiwerk. Wer Freigaben erteilt und zugleich das eigene Tool verantwortet, gerät leicht in einen Interessenkonflikt.
Eine dritte Variante ist das Mischmodell. Eine interne Person übernimmt das Tagesgeschäft, etwa Inventar und Ansprechbarkeit. Ein externer KI-Beauftragter liefert Regulierungswissen, prüft die Risikoklassen und aktualisiert die Richtlinien, wenn sich der EU AI Act weiterentwickelt. So bleibt Wissen im Haus, ohne dass jemand nebenbei zum Compliance-Experten werden muss.
Der Nachholbedarf ist groß. Laut einer Auswertung aus dem Sommer 2026 sind nur 37 Prozent der Unternehmen vor dem AI-Act-Stichtag bei der KI-Governance ausreichend aufgestellt. Wer hier extern startet, holt schnell Tempo auf, weil ein erfahrener Beauftragter die typischen Bausteine nicht neu erfinden muss.
Für die technische und organisatorische Umsetzung, von der Toolauswahl bis zum n8n-Workflow mit Freigabelogik, lohnt sich professionelle Begleitung über eine KI-Implementierung.
Was kostet es, keinen KI-Beauftragten zu haben?
Die ehrliche Antwort: Der teuerste Weg ist, das Thema auszusitzen. Drei Kostenblöcke drohen.
Erstens Bußgelder. Der EU AI Act sieht gestaffelte Sanktionen vor. Verbotene KI-Praktiken (Art. 5) kosten bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Andere Verstöße liegen bei bis zu 15 Millionen Euro oder 3 Prozent, falsche Auskünfte an Behörden bei 7,5 Millionen Euro oder 1,5 Prozent.
Die Kompetenzpflicht aus Artikel 4 hat zwar keinen eigenen Bußgeldtatbestand. Verstöße erhöhen aber das Haftungsrisiko und können sich mit DSGVO-Verstößen summieren, sobald KI personenbezogene Daten falsch verarbeitet.
Zweitens der blinde Fleck. Laut einer Analyse von secjur (2026) verstehen nur 13 Prozent der deutschen Unternehmen ihre KI-Verflechtungen und Anbieterabhängigkeiten umfassend. Ohne Inventar weißt du nicht, wo Daten abfließen oder welche Systeme unter die Verordnung fallen.
Drittens der leise Block: verpasste Produktivität und Reputationsschäden. Ein Datenleck über ein ungeprüftes KI-Tool kostet Vertrauen, das teurer ist als jede Schulung.
Etwas Zeit bleibt: Die strengen Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III wurden auf den 2. Dezember 2027 verschoben. Die Kompetenzpflicht und die Marktüberwachung ab August 2026 gelten davon unberührt.
Was die Zahlen zur KI-Governance im Mittelstand zeigen
Die Datenlage 2026 ist eindeutig: Der Wille ist da, die Struktur fehlt. Die wichtigsten Punkte im Überblick:
- Laut TÜV-Verband (2026) sehen 56 Prozent der Unternehmen dringenden Nachholbedarf bei der KI-Kompetenz.
- Laut einer Erhebung aus dem Sommer 2026 sind nur 37 Prozent der Unternehmen bei der KI-Governance vor dem AI-Act-Stichtag aufgestellt.
- Laut Bitkom (2026) vermuten 42 Prozent der Unternehmen KI-Nutzung über private Accounts, nur 26 Prozent stellen offiziell Zugänge bereit.
- Laut secjur (2026) verstehen nur 13 Prozent der Unternehmen ihre KI-Abhängigkeiten umfassend.
- Die Kompetenzpflicht nach Art. 4 EU AI Act gilt seit dem 2. Februar 2025, größenunabhängig.
- Ab dem 2. August 2026 greift die nationale Marktüberwachung; die Hochrisiko-Pflichten nach Anhang III wurden auf Dezember 2027 verschoben.
Der rote Faden: Nicht die Technik fehlt, sondern die klare Verantwortung. Genau diese Lücke schließt eine benannte Person, egal ob intern oder extern. Eine breitere Zahlenbasis zur KI-Nutzung im Mittelstand findest du im Statistik-Überblick 2026.
Die wichtigsten Lehren, bevor du eine Rolle benennst
Aus Regulierung und Praxis ergeben sich klare Lernpunkte, bevor du jemanden benennst:
- Kompetenz vor Kontrolle: Der EU AI Act will geschulte Menschen, nicht nur einen Titel im Organigramm.
- Eine klare Zuständigkeit schlägt jede Richtlinie, die niemand verantwortet.
- Zeitbudget entscheidet: Ohne feste Stunden bleibt die Rolle wirkungslos.
- Extern ist kein Ausweichen, sondern für viele KMU der schnellste Weg zu funktionierender Governance.
- Dokumentation ist die halbe Miete: Was nicht belegt ist, zählt vor der Marktüberwachung nicht.
Checkliste, bevor du entscheidest:
- Habe ich ein vollständiges Inventar aller genutzten KI-Systeme?
- Ist eine Person namentlich für KI-Governance zuständig, mit Zeitbudget?
- Kann ich belegen, wer wann zu KI geschult wurde?
- Gibt es klare Regeln, welche Tools und welche Daten erlaubt sind?
- Weiß ich, welche unserer Anwendungen unter den EU AI Act fallen?
- Ist geklärt, ob wir die Rolle intern besetzen oder extern vergeben?
Klarheit statt Aktionismus: dein erster Schritt
Ob dein Unternehmen einen KI-Beauftragten braucht, hängt weniger vom Gesetzestext ab als von deiner Realität. Der EU AI Act zwingt dich nicht zu einer Planstelle. Er zwingt dich zu Kompetenz, Übersicht und Nachweisen. Und die entstehen nicht von allein.
Für die meisten KMU lautet die ehrliche Antwort: Ja, du brauchst eine klar benannte verantwortliche Person, aber selten eine neue Vollzeitstelle. Ob intern oder extern, entscheidend ist, dass jemand das KI-Inventar führt, Schulung sicherstellt und die Regeln setzt.
Dein erster Schritt kostet nichts: Liste diese Woche alle KI-Tools auf, die im Unternehmen im Einsatz sind, auch die inoffiziellen. Diese Liste ist die Grundlage für jede weitere Entscheidung. Wenn du den Status strukturiert erheben und daraus eine schlanke Governance ableiten willst, ist ein KI-Audit von andersai.de der passende Startpunkt: Es klärt, welche Systeme ihr nutzt, welche Pflichten gelten und ob eine interne oder externe Rolle sinnvoll ist.
Häufige Fragen zum KI-Beauftragten
Ist ein KI-Beauftragter im Unternehmen Pflicht?
Nein, der EU AI Act schreibt keine Bestellpflicht vor. Pflicht ist seit Februar 2025 ausreichende KI-Kompetenz aller Beschäftigten, die mit KI arbeiten (Art. 4). Eine benannte verantwortliche Person ist dringend empfohlen, um diese Pflicht nachweisbar zu erfüllen.
Ab wann gilt die KI-Kompetenzpflicht des EU AI Act?
Seit dem 2. Februar 2025. Sie gilt größenunabhängig, ohne Mitarbeiter-Schwellenwert. Ab dem 2. August 2026 beginnt in Deutschland die Marktüberwachung, die Verstöße gegen die Verordnung ahnden kann.
Was kostet ein Verstoß gegen den EU AI Act?
Verbotene KI-Praktiken kosten bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Andere Verstöße liegen bei bis zu 15 Millionen Euro oder 3 Prozent. Die Kompetenzpflicht selbst hat keinen eigenen Bußgeldtatbestand, erhöht aber Haftungsrisiken.
Braucht ein kleines Unternehmen mit 20 Mitarbeitern einen KI-Beauftragten?
Meist genügt eine klar benannte Person mit Zeitbudget statt einer eigenen Stelle. Sobald mehrere Tools im Einsatz sind oder personenbezogene Daten verarbeitet werden, sollte jemand offiziell zuständig sein, intern oder extern.
Interner oder externer KI-Beauftragter, was ist besser?
Beides funktioniert bei klarer Zuständigkeit. Intern passt, wenn Know-how und Zeitbudget da sind. Extern lohnt sich für KMU ohne Compliance-Abteilung, weil Erfahrung, Regulierungswissen und Unabhängigkeit sofort verfügbar sind.
Welche Aufgaben hat ein KI-Beauftragter?
Er führt das KI-Inventar, ordnet Systeme nach Risiko ein, stellt Schulungen sicher, regelt Freigaben und Datenrichtlinien und überwacht die Einhaltung von EU AI Act und DSGVO. Zudem ist er Ansprechpartner bei der Beschaffung neuer KI-Tools.
Reicht der Datenschutzbeauftragte für KI-Themen aus?
Oft ist er ein guter Startpunkt, weil er Governance-Denken mitbringt. KI verlangt aber zusätzliches Wissen zu EU AI Act, Risikoklassen und Modellrisiken. Die Rollen können zusammenfallen, wenn Kompetenz und Zeitbudget stimmen.
Quellen
EU-Kommission: KI-Verordnung (EU AI Act), Artikel 4 zur KI-Kompetenz (2024/2025)
TÜV-Verband: EU AI Act ab 2. August 2026, Was Unternehmen jetzt tun müssen (2026)
secjur: EU AI Act, Pflichten, Risikoklassen und Stand (2026)
Lyron: KI-Kompetenzpflicht 2026, Was KMU nach Art. 4 EU AI Act nachweisen müssen (2026)
Bitkom: KI-Nutzung und Schatten-KI in deutschen Unternehmen (2026)