Auf einen Blick: Art. 14 KI-VO verlangt menschliche Aufsicht über jedes Hochrisiko-KI-System. Anbieter müssen die nötigen Werkzeuge mitliefern, Betreiber müssen qualifizierte Personen einsetzen, die Output verstehen, Anomalien erkennen, Automation Bias vermeiden und das System abschalten können. Pflicht ab 02.12.2027, Vorbereitung jetzt.
Menschliche Aufsicht klingt nach Selbstverständlichkeit. In der KI-Verordnung steckt darin eine Pflicht mit harten Anforderungen, die viele Mittelständler unterschätzen. Es geht nicht um den Satz "ein Mensch schaut drauf". Es geht um vier konkrete Fähigkeiten, die nachweisbar vorhanden sein müssen, bevor ein Hochrisiko-KI-System überhaupt scharfgeschaltet werden darf.
Wer Art. 14 KI-VO mit "wir haben jemanden in der Abteilung, der den Output sieht" abhaken will, läuft beim ersten Audit auf die Nase. Der Artikel verlangt mehr.
Die vier Sub-Anforderungen aus Art. 14 KI-VO
Art. 14 Absatz 4 KI-VO listet vier konkrete Fähigkeiten auf, die eine Aufsichtsperson haben muss. Sie sind kumulativ. Wer eine davon nicht erfüllt, erfüllt die Norm nicht.
Erstens: die Fähigkeiten und Grenzen des Systems richtig verstehen. Was kann das Modell, wo halluziniert es, welche Eingaben führen zu welcher Art von Output. Das ist keine Bedienungsanleitung. Das ist Verständnis darüber, wie das System statistisch funktioniert und an welchen Stellen es systematisch danebenliegt.
Zweitens: Automation Bias erkennen und ihm aktiv begegnen. Automation Bias ist die Tendenz, KI-Ergebnisse zu glauben, weil sie von einer Maschine kommen. Wer einer Kreditprüfungs-KI durchwinkt, weil "die Zahl ja vom System kommt", erfüllt diese Anforderung nicht. Die Aufsichtsperson muss bewusst gegen diesen Reflex arbeiten.
Drittens: Anomalien, Funktionsstörungen und unerwartete Leistung des Systems erkennen. Wer den Output zwar liest, aber nicht merkt, dass das System seit drei Wochen systematisch ältere Bewerber niedriger bewertet, scheitert hier. Es geht um Mustererkennung am Output, nicht um Einzelfall-Prüfung.
Viertens: die Fähigkeit, einzugreifen oder das System abzuschalten. Override-Funktion und Stop-Button müssen vorhanden und der Aufsichtsperson zugänglich sein. Die Pflicht liegt zwar primär beim Anbieter, der diese Werkzeuge bereitstellen muss. Aber der Betreiber muss sie auch tatsächlich einsetzen und seine Aufsichtspersonen schulen.
Diese vier Punkte sind der Kern. Alles andere ist Drumherum.
Anbieter, Betreiber und wer was schuldet
Die Pflichtenverteilung in der KI-Verordnung ist auf den ersten Blick verwirrend. Anbieter ist, wer das System entwickelt oder unter eigenem Namen vertreibt. Betreiber, in der Verordnung Deployer genannt, ist, wer es im eigenen Unternehmen einsetzt.
Art. 14 KI-VO adressiert primär den Anbieter. Er muss das System so konzipieren und entwickeln, dass menschliche Aufsicht möglich ist. Konkret: er muss die nötigen Werkzeuge mitliefern. Dashboards, Override-Buttons, Logging, Audit-Trail-Funktionen. Ohne diese Werkzeuge ist das System überhaupt nicht verkehrsfähig.
Der Betreiber kommt über Art. 26 Abs. 2 KI-VO rein. Er muss das System nach den Anweisungen des Anbieters betreiben und die Aufsicht durch qualifizierte Personen sicherstellen. Wer eine Hochrisiko-KI einsetzt, ohne eine entsprechend geschulte Aufsichtsperson zu benennen, verletzt seine Betreiberpflichten direkt.
In der Praxis sehen wir oft, dass KMU diese Trennung übersehen. Sie kaufen ein Tool, lesen die AGB und glauben, der Anbieter habe sie damit aus dem Schneider geholt. Das stimmt für Art. 14 nicht. Die Betreiber-Verantwortung bleibt beim Betreiber, auch wenn der Anbieter seine Hausaufgaben gemacht hat.
Human-in-the-Loop versus Human-on-the-Loop
Ein häufiges Missverständnis: Menschliche Aufsicht bedeute, dass ein Mensch jede einzelne Entscheidung freigibt. Das ist falsch.
Die KI-Verordnung unterscheidet implizit zwei Aufsichts-Modi. Human-in-the-Loop bedeutet, dass jede einzelne Aktion oder Entscheidung vor Ausführung durch einen Menschen freigegeben wird. Das ist die strengste Form. Sie passt für seltene, hochkonsequente Entscheidungen.
Human-on-the-Loop bedeutet, dass der Mensch den Prozess beobachtet und eingreifen kann, aber nicht jede Aktion einzeln freigibt. Das ist die häufigere Form für Routine-Anwendungen mit hoher Volumina.
Beide Modi sind nach Art. 14 zulässig. Welcher passt, hängt vom Risiko ab. Eine KI-gestützte Kreditprüfung mit 10.000 Anträgen pro Monat kann nicht Human-in-the-Loop laufen, das wäre wirtschaftlich nicht tragbar und würde die KI sinnlos machen. Sie muss aber so beobachtet werden, dass systematische Fehler innerhalb weniger Tage auffallen.
Ein KI-System für die Therapieempfehlung in der Onkologie wird dagegen Human-in-the-Loop laufen müssen, weil jede einzelne Entscheidung ein Leben betrifft.
Die Aufsichtsperson muss in beiden Fällen die vier Sub-Anforderungen erfüllen. Das ist der Punkt, der oft übersehen wird. Es gibt keine Erleichterung beim Human-on-the-Loop-Modus.
Aufsichts-Mechanismen, die in der Praxis funktionieren
Wenn das System eingerichtet wird, geht es um konkrete Mechanismen. Drei Typen haben sich in der Beratung bewährt.
Schwellwert-basierte Eskalation: Das System markiert Fälle, die über oder unter einem Schwellwert liegen, zur manuellen Prüfung. Beispiel: Bei einer KI-gestützten Bonitätsprüfung werden alle Anträge unter 600 Score-Punkten und alle über 850 Punkten manuell nachgeprüft. Die Mitte läuft durch. Das ist sinnvoll, weil dort die Spielräume gering sind und das Modell stabil läuft.
Stichproben-Reviews: Aus jedem Tag werden zufällig 2 bis 5 Prozent der KI-Entscheidungen durch eine qualifizierte Person nachgeprüft. Ziel ist nicht die Einzelfall-Korrektur, sondern die systematische Erkennung von Drift. Wenn in der Stichprobenwoche plötzlich 8 statt 3 Prozent der Fälle falsch bewertet wurden, schlägt das System Alarm.
Audit-Trail und Anomalie-Detection: Jede Entscheidung wird inklusive Modell-Version, Input und Output protokolliert. Eine zweite Schicht analysiert den Audit-Trail laufend auf Verteilungs-Verschiebungen. Wenn der Anteil "abgelehnt" plötzlich nach Postleitzahl-Region driftet, gibt es einen Alert. Das ist die technisch anspruchsvollste Variante, aber gerade bei Hochrisiko-Anwendungen die robusteste.
Welcher Mechanismus passt, hängt vom Volumen, vom Risiko und von der Branchenpraxis ab. Die Verordnung schreibt keinen vor. Sie verlangt nur, dass einer da ist und dokumentiert ist.
| Aufsichts-Level | Typischer Use Case | Mechanismus | Aufsichtsperson |
|---|---|---|---|
| Human-in-the-Loop streng | Kritische Einzelfall-Entscheidung (Therapie, Strafverfolgung) | Freigabe vor jeder Aktion | Fachexperte mit voller Verantwortung |
| Human-on-the-Loop mit Stichproben | HR-Vorauswahl, Versicherungs-Scoring | 2-5 Prozent Stichprobe + wöchentliches Review | Geschulter Sachbearbeiter + Compliance-Funktion |
| Human-on-the-Loop mit Anomalie-Alert | Massendurchsatz (Belegklassifikation, Triage) | Audit-Trail + automatischer Drift-Alarm | Operativ-Team + Eskalationspfad |
| Schwellwert-Eskalation | Bonitätsprüfung, Kreditvergabe | Auto-Durchlauf in Mitte, Eskalation an Rändern | Kreditsachbearbeiter mit Override-Recht |
Automation Bias und wie man ihm operativ begegnet
Automation Bias ist tückisch. Studien zeigen seit Jahrzehnten, dass Menschen Maschinen-Empfehlungen tendenziell überbewerten, vor allem unter Zeitdruck. Wer auf einem Bildschirm eine KI-Empfehlung sieht und 30 Sekunden Zeit für die Entscheidung hat, übernimmt die Empfehlung in der Regel.
Art. 14 KI-VO verlangt explizit, dass die Aufsichtsperson sich dieser Tendenz bewusst ist und aktiv dagegen arbeitet. Drei Maßnahmen haben sich bewährt.
Die erste ist Schulung. Aufsichtspersonen müssen wissen, was Automation Bias ist, wie er sich anfühlt und welche Stress-Situationen ihn verstärken. Das ist keine theoretische Übung, sondern Teil der KI-Kompetenz nach Art. 4 KI-VO. Wer ein KI-System scharfschalten will, muss seine Aufsichtspersonen vorher dazu geschult haben.
Die zweite ist Rotation. Wenn eine Person über Monate die gleichen KI-Outputs prüft, gewöhnt sie sich daran. Die Aufmerksamkeit sinkt. Eine Rotation der Aufsichtspersonen alle drei bis sechs Monate hält die Wachsamkeit hoch.
Die dritte ist Dokumentationspflicht. Wer als Aufsichtsperson einen KI-Vorschlag übernimmt, dokumentiert kurz, warum. Wer ihn ablehnt, dokumentiert ebenfalls. Das klingt nach Bürokratie. In der Praxis ist es der wirkungsvollste Hebel, weil es die unbewusste Übernahme bewusst macht.
Praxis: Klare Linie KMU-Holding in Augsburg
Klare Linie ist eine mittelständische KMU-Holding mit 480 Mitarbeitern in Augsburg, die Personalvermittlung, Buchhaltungs-Outsourcing und IT-Services unter einem Dach betreibt. Ende 2026 plant die Geschäftsführung den Einsatz eines KI-gestützten HR-Vorauswahl-Systems für die eigene Personalvermittlung. Bewerbungen sollen vor der Sichtung durch den Berater automatisch nach Stellenprofil sortiert und mit einer Eignungs-Indikation versehen werden.
HR-Vorauswahl fällt unter Anhang III KI-VO als Hochrisiko-Anwendung. Die Pflichten greifen zwar nach der Verschiebung durch das Omnibus-Paket vom 07.05.2026 erst ab 02.12.2027 voll, aber das System soll im April 2027 starten. Klare Linie entscheidet sich, die Anforderungen aus Art. 14 sofort umzusetzen.
Der Compliance-Beauftragte definiert vier Punkte. Eine Aufsichtsperson pro 200 Bewerbungen pro Woche wird benannt. Diese Person erhält eine zertifizierte Schulung von 16 Unterrichtseinheiten zu KI-Kompetenz, Automation Bias und konkretem System. Die Schulung wird über das Qualifizierungschancengesetz nach § 82 SGB III gefördert.
Zweitens wird ein Stichproben-Review aufgesetzt. Jede Woche werden 5 Prozent der KI-Vorauswahlen durch eine zweite, unabhängige Person nachgeprüft. Bei Abweichungen über 10 Prozent geht das System in den Trainingsmodus zurück.
Drittens wird ein Override-Button im Bewerber-Dashboard integriert. Der Berater kann jede KI-Bewertung mit einem Klick außer Kraft setzen und muss in einem Pflichtfeld kurz dokumentieren, warum. Die Doku läuft in den Audit-Trail.
Viertens wird ein automatischer Drift-Alarm implementiert. Wenn der Anteil "nicht geeignet" innerhalb von zwei Wochen um mehr als 15 Prozent steigt oder eine bestimmte demografische Gruppe systematisch schlechter bewertet wird, geht eine Meldung an den Compliance-Beauftragten.
Das Budget für diese vier Maßnahmen liegt bei 38.000 Euro für Schulung, Tool-Anpassung und Compliance-Beratung. Es ist die Eintrittskarte, ohne die das System nicht laufen darf.
Schnittstelle zu Art. 4 KI-VO und Art. 26 KI-VO
Art. 14 steht nicht allein. Drei Artikel der KI-Verordnung greifen ineinander, und wer einen davon vernachlässigt, verfehlt das Ganze.
Die KI-Kompetenzpflicht nach Art. 4 KI-VO ist seit 02.02.2025 in Kraft. Sie verlangt, dass Personen, die mit KI arbeiten, ausreichende Kompetenz haben. Für Aufsichtspersonen nach Art. 14 ist das die Grundlage. Wer Aufsicht führt, ohne Kompetenz nachweisen zu können, scheitert an Art. 4, bevor er an Art. 14 scheitert.
Art. 26 KI-VO regelt die Betreiberpflichten allgemein. Er verpflichtet den Betreiber dazu, das System nach den Anweisungen des Anbieters zu betreiben, Logs zu führen, Vorfälle zu melden und die Aufsicht nach Art. 14 sicherzustellen. Das ist die Klammer.
Wer im Audit nachweisen muss, dass er die Aufsichtspflichten erfüllt, braucht drei Dinge nebeneinander: die Schulungsnachweise (Art. 4), die Aufsichts-Doku (Art. 14) und das Betreiber-Protokoll (Art. 26). Eines davon fehlt, und die ganze Konstruktion wackelt.
Was Verstöße kosten können
Art. 99 KI-VO regelt den Bußgeldrahmen. Verstöße gegen Art. 14 fallen in die mittlere Kategorie. Bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes, je nachdem, was höher ist. Für ein deutsches Mittelstandsunternehmen mit 40 Mio Euro Jahresumsatz wäre das eine Strafe bis zu 1,2 Mio Euro.
Dazu kommt die zivilrechtliche Schiene. Wer eine Hochrisiko-KI ohne ausreichende Aufsicht einsetzt und damit Schaden bei Dritten verursacht, etwa durch diskriminierende Vorauswahl, kann nach allgemeinen Haftungsregeln und nach dem AGG (§ 15) in Anspruch genommen werden. Der Geschädigte muss dann nicht beweisen, dass das System diskriminiert hat, sondern lediglich, dass keine ausreichende Aufsicht stattgefunden hat. Die Beweislast verschiebt sich.
In der Praxis sehen wir bei KMU oft, dass die Bußgeld-Drohung zu abstrakt wirkt. Die zivilrechtliche Schiene ist die unmittelbarere Gefahr, weil ein einzelner Kläger reicht, um das ganze Konstrukt zum Stillstand zu bringen.
Die Verschiebung vom 07.05.2026 ändert wenig am Vorbereitungsdruck
Das Omnibus-Paket vom 07.05.2026 hat die Anwendungstermine für Hochrisiko-KI nach Anhang III auf den 02.12.2027 verschoben. Anhang-I-Pflichten kommen erst zum 02.08.2028. Wer das als Aufschub liest, lebt in einer Illusion.
Eine Aufsichts-Architektur aufzubauen, dauert. Schulung der Aufsichtspersonen, technische Integration der Override-Buttons, Aufbau eines Audit-Trails, Definition der Stichproben-Logik. Das sind sechs bis zwölf Monate Vorlauf, in einigen Fällen länger, wenn das KI-System tief in Geschäftsprozesse eingebettet werden soll.
Wer im Sommer 2027 anfängt, kommt mit dem Q4 2027 in Bedrängnis und macht Kompromisse. Wer 2026 anfängt, hat Zeit, Architektur sauber zu bauen und Aufsichtspersonen ordentlich zu schulen. In der Praxis sehen wir, dass diejenigen, die früh angefangen haben, am Ende günstiger durchkommen, weil sie ohne Stress arbeiten konnten und nicht jeden Stundensatz im Sprint bezahlen mussten.
Wer das unterschätzt, läuft offen ins Risiko. Die zentrale Frage ist nicht, wann die Pflicht scharf wird. Die zentrale Frage ist, wann das eigene System in Betrieb gehen soll. Wenn das vor 02.12.2027 liegt, muss die Aufsicht trotzdem stehen, weil mit dem Stichtag keine Übergangsphase mehr greift.
Häufige Fragen
Wer im Unternehmen darf Aufsichtsperson nach Art. 14 KI-VO sein?
Die KI-Verordnung legt keine formale Qualifikation fest. Sie verlangt aber, dass die Person die vier Sub-Anforderungen erfüllt: System-Verständnis, Anomalie-Erkennung, Automation-Bias-Bewusstsein und Eingriffsfähigkeit. In der Praxis sind das Fachexperten aus dem jeweiligen Geschäftsfeld, die zusätzlich eine KI-Kompetenz-Schulung nach Art. 4 KI-VO absolviert haben. Der Geschäftsführer allein reicht in der Regel nicht, weil ihm die operative Tiefe für die Anomalie-Erkennung fehlt.
Bedeutet menschliche Aufsicht, dass ein Mensch jede einzelne KI-Entscheidung freigibt?
Nein. Die Verordnung unterscheidet zwischen Human-in-the-Loop (Freigabe vor jeder Aktion) und Human-on-the-Loop (Beobachtung mit Eingriffsmöglichkeit). Beide Modi sind zulässig. Welcher passt, hängt vom Risiko ab. Bei Massendurchsatz wie Belegklassifikation oder HR-Vorauswahl reicht Human-on-the-Loop mit Stichproben. Bei kritischen Einzelentscheidungen wie Therapieempfehlung ist Human-in-the-Loop nötig.
Was passiert, wenn der Anbieter keine Aufsichts-Werkzeuge bereitstellt?
Dann darf das System nach Art. 16 KI-VO nicht in Verkehr gebracht werden. Wer es trotzdem einkauft und einsetzt, verletzt seine Betreiberpflichten nach Art. 26 KI-VO mit. Vor jedem Einkauf eines Hochrisiko-KI-Systems sollte der Betreiber prüfen, welche Aufsichts-Werkzeuge mitgeliefert werden: Dashboards, Override-Buttons, Audit-Trail, Logging. Fehlt eines davon, gehört das System nicht ins Haus.
Greift Art. 14 KI-VO schon jetzt oder erst 2027?
Anhang-III-Pflichten und damit auch Art. 14 für Anhang-III-Systeme wurden durch das Omnibus-Paket am 07.05.2026 auf den 02.12.2027 verschoben. Anhang-I-Pflichten kommen ab 02.08.2028. Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt aber seit 02.02.2025 ohne Übergangsfrist und ist die Grundlage für jede Aufsichtsperson. Wer 2026 oder 2027 ein Hochrisiko-System einführen will, sollte die Aufsichts-Architektur jetzt aufbauen, weil die Vorlaufzeiten bei sechs bis zwölf Monaten liegen.
Über den Autor
Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.
30 Minuten Klarheit kosten nichts. Wenn Du KI im Betrieb einsetzt oder überlegst einzusetzen, kommt es nicht auf das Tool an. Es kommt auf die Frage: wo entstehen Risiken, wo Hebel? In 30 Minuten gehen wir Deine konkrete Lage durch und Du weißt, wo Du anfangen solltest. Termin reservieren oder kostenlosen KI-Schnupperkurs starten.
Zuletzt geprüft am 26. Mai 2026.
Bereit für deinen nächsten Karriereschritt?
Lass dich kostenlos beraten. Wir finden die passende Weiterbildung und Förderung für dich.