Der KI-Verantwortliche im Unternehmen: Rolle und Aufgaben

Der EU AI Act verpflichtet Unternehmen implizit zur Benennung eines KI-Compliance-Verantwortlichen: Art. 17 (QMS) verlangt klare Verantwortlichkeiten im Qualitätsmanagementsystem, Art. 4 (KI-Kompetenz) erfordert, dass Personen mit KI-Systemen ausreichende Kompetenz haben, Art. 9 (Risikomanagement) benötigt einen verantwortlichen Ansprechpartner. In Deutschland: Hinweis des BfDI, dass KI-Governance eine organisatorische Zuständigkeit braucht. EU AI Act Erwägungsgrund 80 empfiehlt explizit eine interne KI-Governance-Struktur. Für börsennotierte Unternehmen: KI-Risiken sind Teil der nichtfinanziellen Berichterstattung (CSRD).

Kernaufgaben einer internen KI-Compliance-Funktion: Führung und Pflege des KI-Inventars, Koordination der Risikoklassifikation aller KI-Systeme, Überwachung der EU AI Act-Umsetzung, Ansprechpartner für Behörden und externe Prüfer, Schulungsprogramm für Mitarbeitende koordinieren, Incident-Management bei KI-Vorfällen, Vertragsprüfung für KI-Tools (gemeinsam mit Rechtsabteilung), Monitoring neuer KI-Regulierung, Berichterstattung an Geschäftsführung oder Aufsichtsrat, Verbindung zum Datenschutzbeauftragten sicherstellen.

Ein KI-Verantwortlicher sollte mitbringen: Grundlegendes technisches Verständnis von KI/ML (kein Programmierer, aber Verständnis von Funktionsweise und Grenzen), Kenntnisse des EU AI Act und relevanter Datenschutzgesetze (DSGVO, DSG Schweiz), Erfahrung im Risikomanagement, Kommunikationsfähigkeit für technisch-rechtliche Themen, Fähigkeit zur Koordination interdisziplinärer Teams (IT, Legal, HR, Business). Weiterbildungsoptionen: Zertifizierungen von TÜV Rheinland, Dekra Academy, Bitkom Academy oder Universitätszertifikate zu KI-Recht und -Ethik. In der Schweiz: SATW, SATW und DigitalSwitzerland bieten relevante Programme.

Der KI-Verantwortliche und der Datenschutzbeauftragte (DSB) haben überschneidende, aber unterschiedliche Rollen. Überschneidungen: KI-Systeme, die personenbezogene Daten verarbeiten, DSFA für KI-Systeme, Betroffenenrechte bei KI-Entscheidungen. Unterschiede: Der DSB ist auf DSGVO fokussiert und haftet nicht persönlich, der KI-Verantwortliche deckt den gesamten EU AI Act ab inklusive rein technischer Anforderungen. Empfehlung: In kleineren Unternehmen können DSB und KI-Verantwortlicher dieselbe Person sein, wenn die Kapazitäten ausreichen. In mittleren und großen Unternehmen sollten separate Rollen etabliert werden.

Optionen für DACH-Unternehmen: Interne Vollzeit-Stelle (empfohlen ab ~200 Mitarbeitenden mit mehreren Hochrisiko-Systemen), Interne Teilzeit-Stelle kombiniert mit externer Beratung (geeignet für KMU mit einzelnen Hochrisiko-Systemen), Vollständig extern (geeignet für KMU mit nur minimalen oder begrenzten KI-Risiken). Kosten: Interne Stelle: EUR 70.000–120.000 p.a. (Deutschland), CHF 100.000–150.000 (Schweiz). Externe Beratung: EUR 1.000–2.500/Tag für spezialisierte KI-Compliance-Berater. Wichtig: Auch bei externer Lösung muss eine interne Person als Ansprechpartner benannt sein.