KI-Beauftragter im KMU 2026: Aufgaben, Stundenbudget, Haftung

Auf einen Blick: Ein KI-Beauftragter ist 2026 keine gesetzliche Pflichtrolle wie der Datenschutzbeauftragte nach § 38 BDSG. Aber sobald ein KMU drei oder mehr KI-Tools im Einsatz hat, lohnt sich die Bestellung. Was die Rolle umfasst, wie das Stundenbudget realistisch aussieht, und wie die Haftung zwischen Beauftragtem und Geschäftsführung verteilt ist.

Der erste Reflex vieler Geschäftsführer, wenn das Thema KI-Compliance auf den Tisch kommt, ist eine Frage. "Muss ich einen KI-Beauftragten bestellen?" Die Antwort darauf ist 2026 noch immer: rechtlich nicht. Die KI-Verordnung kennt keine vergleichbare Pflichtrolle, wie sie die DSGVO und das BDSG mit dem Datenschutzbeauftragten geschaffen haben. Trotzdem führen immer mehr KMU eine solche Rolle ein, und zwar nicht aus Vorsicht, sondern weil sich die Aufgaben sonst auf niemanden zuordnen lassen.

Was der KI-Beauftragte rechtlich ist und was nicht

Die KI-Verordnung der EU verlangt von Anbietern und Betreibern in Art. 4 eine "angemessene KI-Kompetenz" der Mitarbeiter, die KI einsetzen oder betreiben. Sie nennt aber keine zentrale Ansprechperson, keine bestellungspflichtige Rolle und keine konkrete Qualifikation. Das ist anders als bei der DSGVO, wo § 38 BDSG die Bestellung eines Datenschutzbeauftragten bei mehr als 20 Personen, die ständig mit personenbezogenen Daten arbeiten, vorschreibt.

Eine Pflicht zur Bestellung kann sich indirekt aus internen Compliance-Strukturen ergeben. Wer Hochrisiko-KI nach Anhang III KI-VO einsetzt (HR-Scoring, Bildungs-Bewertung, Kreditvergabe), bekommt mit Stichtag 02.12.2027 ein Risikomanagement-System nach Art. 9 KI-VO, eine Konformitätsbewertung und eine technische Dokumentation. Diese Aufgaben muss jemand übernehmen. Es muss kein "KI-Beauftragter" heißen, aber praktisch läuft es auf eine zentrale Person hinaus.

Hinzu kommt der NIS2-Kontext. Das NIS2UmsuCG ist seit 06.12.2025 in Kraft und nennt KI-Anbieter explizit als Lieferanten in der Cybersecurity-Lieferkette nach Art. 21. Wer als wesentliche oder wichtige Einrichtung im NIS2-Anwendungsbereich liegt, hat ein Lieferanten-Risikomanagement aufzubauen. Auch das verlangt eine zentrale Koordinationsperson.

Wer keine dieser Konstellationen hat, ist rechtlich nicht zur Bestellung verpflichtet. Sinnvoll bleibt sie trotzdem, sobald die Komplexität steigt.

Sieben Kern-Aufgaben in der Praxis

Wer einen KI-Beauftragten bestellt oder beauftragt, sollte das Aufgabenprofil schriftlich festhalten. Sieben Bereiche fallen in der Praxis darunter.

Diese Zahlen gelten für einen typischen KMU mit 20 bis 100 Mitarbeitern und 3 bis 10 produktiv eingesetzten KI-Tools. Wer Hochrisiko-KI nach Anhang III einsetzt, kommt im Schnitt auf den doppelten Aufwand. Wer als wesentliche Einrichtung unter NIS2 fällt, kommt zusätzlich auf den Lieferanten-Prüfblock.

Das KI-Inventory ist die Basis aller anderen Aufgaben. Pflege es als zentrale Tabelle mit den folgenden Spalten: Tool-Name, Anbieter, Use Case, Anzahl Nutzer, eingesetzte Modelle, Datenquellen, AVV-Status, DSFA-Status, Risiko-Klassifikation, Verantwortlicher. Wer das halbjährlich aktualisiert, hat eine belastbare Grundlage für Audits und für interne Diskussionen.

Stundenbudget und Vergütung realistisch

Die Faustregel im Mittelstand 2026: 0,1 bis 0,5 Vollzeit-Äquivalent (VZAE) für einen KI-Beauftragten bei einem KMU mit 20 bis 100 Mitarbeitern und drei bis zehn produktiven KI-Tools. Bei aktivem Hochrisiko-Einsatz oder NIS2-Sektor geht das auf 0,5 bis 1,0 VZAE hoch.

Wer die Rolle intern besetzt, vergibt typischerweise einen Aufschlag auf das Grundgehalt. Im Markt sehen wir 5 bis 10 Prozent, analog zur Vergütung des Datenschutzbeauftragten. Bei einem Bruttogehalt von 65.000 Euro pro Jahr sind das 3.250 bis 6.500 Euro zusätzlich.

Externe Lösungen kosten in der Praxis 800 bis 1.500 Euro pro Monat. Darin enthalten sind drei bis fünf Beratungstage, monatlicher Bericht, Erreichbarkeit für Eskalationen und ein Jahresaudit. Wer hochrisikofähige KI einsetzt, zahlt mehr. Spezialisten mit IT-Sicherheits-Hintergrund liegen bei 1.500 bis 3.000 Euro pro Monat.

Die Qualifikation ist nicht klar geregelt. In der Praxis bewährt sich eine Kombination aus drei Bereichen: solide KI-Kompetenz auf praktischer Ebene (nicht nur Theorie), Grundkenntnisse Datenschutz und KI-VO, und idealerweise ein IT-Sicherheits-Hintergrund. Wer aus dem Datenschutz kommt, kann sich KI-Themen aneignen. Wer aus der KI-Praxis kommt, muss sich rechtliche Grundlagen erarbeiten. Beide Wege funktionieren.

Praxis: Beermann Logistik in Bremen

Ein anonymisiertes Beispiel aus dem Beratungsalltag. Beermann Logistik, ein Speditions-Mittelständler mit 78 Mitarbeitern in Bremen, hat Anfang 2026 begonnen, KI für Routenoptimierung, Disposition und Lieferanten-Kommunikation einzusetzen. Drei produktive Systeme, dazu drei pilotierte Tools im Test.

Bis März 2026 war für alles der IT-Leiter zuständig. Mit zunehmender Komplexität wurde klar, dass das nicht skalierbar ist. Im April hat das Unternehmen einen Disponenten mit IT-Affinität als KI-Beauftragten benannt. Aufwand: 8 Stunden pro Woche, das entspricht 0,2 VZAE. Vergütungs-Aufschlag: 350 Euro brutto pro Monat.

Was hat sich seit der Bestellung geändert? Erstens gibt es ein zentrales KI-Inventory mit allen Systemen. Zweitens hat das Unternehmen seine DSFA-Bestände aktualisiert. Drei Tools waren bisher gar nicht erfasst. Drittens läuft seit Mai ein interner Schulungsplan zur KI-Kompetenz nach Art. 4 KI-VO. Alle 78 Mitarbeiter durchlaufen bis Ende Juli eine zweistündige Basisschulung, sieben Mitarbeiter in produktiven KI-Rollen eine vertiefte Schulung von acht Stunden.

Der Geschäftsführer war anfangs skeptisch. "Brauchen wir das wirklich?" Nach drei Monaten war die Antwort eindeutig: Ja. Die Rolle hat nicht nur Compliance-Fragen geklärt, sondern auch interne Tool-Auswahlen strukturiert. Wer überlegt, ein neues Tool zu beschaffen, geht erst durch eine kurze Prüfung beim KI-Beauftragten. Das spart Fehlinvestitionen.

Wie die Haftung verteilt ist

Hier liegt der wichtigste Unterschied zum Datenschutzbeauftragten. Der DSB hat eine besondere Stellung, weil das BDSG ihn ausdrücklich benennt. Der KI-Beauftragte hat diese gesetzliche Sonderrolle nicht. Das hat zwei Konsequenzen.

Interne Haftung. Der KI-Beauftragte haftet nach seinem Arbeitsvertrag. Wenn er grob fahrlässig handelt, kann ihn der Arbeitgeber nach den Regeln der innerbetrieblichen Schadensverteilung in Anspruch nehmen. Im Praxisfall ist das selten, weil die Geschäftsführung bei wichtigen Entscheidungen mit am Tisch sitzt.

Externe Haftung. Nach außen, also gegenüber Bewerbern, Mitarbeitern, Aufsichtsbehörden und Geschäftspartnern, haftet die Geschäftsführung. Das gilt unabhängig davon, ob ein KI-Beauftragter bestellt ist oder nicht. Die KI-VO macht den "Betreiber" verantwortlich, und das ist das Unternehmen, vertreten durch die Geschäftsführung.

Externer KI-Beauftragter, also ein eingekaufter Berater, haftet nach Beratungsvertrag. Hier ist eine Berufshaftpflicht mit mindestens 1 Mio Euro Deckung Standard. Wer einen externen KI-Beauftragten bestellt, sollte den Versicherungsnachweis verlangen.

Eine Besonderheit: § 38 NIS2UmsuCG nennt eine persönliche Haftung der Leitungsorgane bei Verletzung der NIS2-Pflichten. Wer NIS2-pflichtig ist und sich nicht mit Lieferanten-Risikomanagement beschäftigt, riskiert dass nicht nur das Unternehmen, sondern auch Geschäftsführer persönlich in Anspruch genommen werden. Ein bestellter KI-Beauftragter, der diesen Bereich mitabdeckt, ist hier auch ein Schutz für die Geschäftsführung.

Was wir bei KMU regelmäßig sehen

Es gibt zwei typische Fehlmuster bei der Einführung. Das erste: jemand wird "nebenbei" zum KI-Beauftragten ernannt, bekommt aber keine Zeit dafür eingeräumt und keine konkreten Aufgaben. Das führt zu einer Rolle auf dem Papier, die in der Praxis nichts bewirkt.

Das zweite: ein externer Berater wird eingekauft, der Inventory und DSFAs liefert, danach läuft die Rolle auf Wartung mit zwei Stunden pro Monat. Sobald ein neues Tool eingeführt wird oder eine Aufsichtsbehörde fragt, fehlen die Kapazitäten, um sauber zu reagieren.

Beide Fehler lassen sich mit einer schriftlichen Rollenbeschreibung und einem klaren Stundenkontingent vermeiden. Wer die Rolle einführt, vereinbart explizit, wieviel Zeit pro Monat reserviert ist, welche Eskalationswege gelten und welche Reportings an die Geschäftsführung erwartet werden.

Wer die Rolle systematisch aufbauen will, findet im Digitalisierungsmanager die passenden Grundlagen. Die Module zu KI-Compliance, Datenschutz und Prozess-Integration sind speziell darauf zugeschnitten, dass jemand mit IT- oder Datenschutz-Hintergrund die KI-Beauftragten-Rolle übernehmen kann. Eine vertiefte Übersicht über die Aufgaben findet sich auch in unserem Spezial-Artikel zu KI-Beauftragten-Pflichten.

Wann sich die Rolle definitiv lohnt

Drei Konstellationen sprechen klar für eine bestellte oder beauftragte Rolle. Wenn dein Unternehmen Hochrisiko-KI nach Anhang III einsetzt, also HR-Scoring, Bildungsbewertung, Kreditvergabe oder kritische Infrastruktur betreibt, ist die Rolle ab Q4 2026 nicht mehr optional, sondern Voraussetzung für die 2027-Compliance. Wenn dein Unternehmen unter NIS2 fällt und KI-Anbieter als Lieferanten hat, brauchst du jemanden, der den Lieferanten-Prüfblock laufen hält. Wenn dein Unternehmen mehr als fünf produktive KI-Tools betreibt, lohnt sich die Bestellung allein aus Komplexitätsgründen.

In allen anderen Fällen ist die Rolle ein Pluspunkt, aber kein Muss. Wer ein bis zwei KI-Tools im Einsatz hat, kann das Thema beim Datenschutzbeauftragten mitlaufen lassen, wenn dieser KI-Kompetenz aufbaut. Wichtig ist, dass jemand zuständig ist. "Niemand ist zuständig" funktioniert ab dem dritten Tool nicht mehr.

Häufige Fragen

Ist der KI-Beauftragte gesetzlich Pflicht in Deutschland?

Nein. Die KI-Verordnung der EU kennt keine vergleichbare Pflichtrolle wie der Datenschutzbeauftragte nach § 38 BDSG. Wer aber Hochrisiko-KI nach Anhang III KI-VO einsetzt, muss ab 02.12.2027 ein Risikomanagement-System und eine Konformitätsbewertung vorlegen. Diese Aufgaben verlangen praktisch eine zentrale Koordinationsperson, auch wenn der Titel "KI-Beauftragter" nicht vorgeschrieben ist.

Wieviel kostet ein externer KI-Beauftragter pro Monat?

Im DACH-Mittelstand sehen wir Stand Mai 2026 Preise zwischen 800 und 1.500 Euro pro Monat für einen typischen KMU mit 20 bis 100 Mitarbeitern. Darin enthalten sind drei bis fünf Beratungstage, monatliche Berichte und Erreichbarkeit für Eskalationen. Spezialisten mit IT-Sicherheits-Hintergrund oder bei Hochrisiko-KI-Einsatz liegen bei 1.500 bis 3.000 Euro pro Monat.

Kann der Datenschutzbeauftragte gleichzeitig KI-Beauftragter sein?

Ja, das ist im Mittelstand sogar häufig die pragmatische Lösung. Wichtig ist, dass die zusätzlichen Aufgaben mit Stundenkontingent hinterlegt und im Vertrag oder in der internen Bestellung schriftlich festgehalten werden. Wer das nicht macht, schiebt dem Datenschutzbeauftragten eine zweite Rolle auf, für die ihm Zeit und ggf. Qualifikation fehlen.

Haftet der KI-Beauftragte persönlich, wenn etwas schiefgeht?

Im Innenverhältnis nach Arbeitsvertrag bei grober Fahrlässigkeit, im Praxisfall selten. Im Außenverhältnis haftet die Geschäftsführung. Externe KI-Beauftragte haften nach Beratungsvertrag, idealerweise mit Berufshaftpflicht ab 1 Mio Euro Deckung. § 38 NIS2UmsuCG nennt zusätzlich eine persönliche Haftung der Leitungsorgane bei NIS2-Pflichtverletzungen, was die Bedeutung der Rolle als Risikominderer für die Geschäftsführung erhöht.

Über den Autor

Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Inhaber von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger. Er entwickelt seit 2024 KI-gestützte Weiterbildungs- und Prozessautomatisierungslösungen für den Mittelstand. Über Skill-Sprinters läuft auch der Digitalisierungsmanager, eine 4-monatige geförderte Weiterbildung.

Bereit für den nächsten Schritt? Wenn du KI-Compliance im KMU systematisch aufbauen willst, statt nur an einzelnen Tools zu basteln, schau dir den Digitalisierungsmanager an. Vier Monate, komplett online, mit Bildungsgutschein 0 Euro.

Zuletzt geprüft am 25. Mai 2026.