KI-Beauftragter im Unternehmen 2026: Rolle, Kosten, Ausbildung

Der Datenschutzbeauftragte ist seit DSGVO 2018 etabliert. Pflicht ab 20 Mitarbeitern mit personenbezogener Datenverarbeitung, geregelt in § 38 BDSG. Mai 2026 stellt sich die analoge Frage für KI. Wer im Unternehmen sorgt dafür, dass die KI-Nutzung sauber dokumentiert, die Mitarbeiter geschult und die EU-AI-Act-Pflichten erfüllt sind? Antwort der meisten Mittelständler: niemand. Der Geschäftsführer macht es nebenher, der IT-Leiter wird angerufen wenn was kaputt geht. Genau das wird 2026 zum Risiko, weil KI-Compliance keine punktuelle, sondern eine dauerhafte Aufgabe ist.

Was die Rolle praktisch leisten muss

Sechs Aufgaben fallen auf einen KI-Beauftragten in einem typischen Mittelständler.

KI-Inventar pflegen. Welche KI-Systeme sind im Haus, von wem bezogen, mit welchen Daten gefüttert, mit welcher Risikoklassifikation? Das klingt trivial, ist es nicht. In einem 200-Mitarbeiter-Betrieb finden sich bei der ersten Inventur regelmäßig 15 bis 30 KI-Touchpoints, von denen die Geschäftsführung 5 kannte. ChatGPT-Nutzung im Vertrieb, Copilot in der Buchhaltung, KI-Module im CRM, Predictive Maintenance vom Maschinenanbieter, Lead-Scoring im Marketing-Tool.

Risikoklassifikation der Systeme. Welche fallen unter Anhang III EU AI Act (Hochrisiko)? Welche sind General-Purpose mit niedrigem Risiko? Welche dürften eigentlich nicht im Einsatz sein, weil sie unter Artikel 5 fallen (verbotene Praktiken)? Hier geht es nicht um juristische Höchstkompetenz, sondern um pragmatische Einordnung mit klaren Schwellen.

Kompetenz-Schulungen organisieren. Artikel 4 EU AI Act schreibt seit 02.02.2025 vor, dass jeder, der KI bedient oder Ergebnisse interpretiert, ausreichende Kompetenz haben muss. Im Vertrieb, im HR, in der Produktion, in der Buchhaltung. Der KI-Beauftragte plant, organisiert, dokumentiert. Er führt selbst keine Schulung durch, aber er verantwortet, dass sie passiert und dass sie stattfindet.

Vorfall-Management. Wenn eine KI-Entscheidung diskriminiert, falsch ausgegeben hat oder Daten geleakt wurden, muss eine definierte Stelle das aufnehmen, prüfen, dokumentieren und ggf. an die Bundesnetzagentur als deutsche KI-Aufsicht melden. Diese Stelle ist der KI-Beauftragte.

Schnittstelle zu DSB und Geschäftsleitung. KI-Themen überschneiden sich systematisch mit Datenschutz, Informationssicherheit, Compliance und Geschäftsführungs-Verantwortung. Der KI-Beauftragte koordiniert, ohne die Verantwortung der anderen abzunehmen.

Audit-Vorbereitung. Wer eine ISO-42001-Zertifizierung anstrebt oder vom Konzern-Kunden zur KI-Compliance befragt wird, braucht jemanden, der das Material bereithält. Das ist der Job.

Wer im Unternehmen die Rolle übernehmen kann

Die wenigsten Mittelständler stellen einen KI-Beauftragten neu ein. Realistischer ist die Doppelrolle. Vier Profile eignen sich.

Der Datenschutzbeauftragte. Vorteil: kennt schon Compliance-Strukturen, hat Schnittstelle zur Geschäftsführung, weiß wie Audit-Vorbereitung läuft. Nachteil: KI ist kein reines Datenschutzthema, technisches Verständnis muss aufgebaut werden. Bei externen DSBs oft eine sinnvolle Erweiterung des Mandats.

Der CISO oder IT-Sicherheits-Verantwortliche. Vorteil: hat technisches Verständnis, kennt Risiko-Management, ist im Vorfall-Management trainiert. Nachteil: KI-Risiken sind teilweise andere als Cyber-Risiken (Bias, Halluzination, Drift), das Mindset muss erweitert werden.

Ein erfahrener Mitarbeiter aus einer betroffenen Fachabteilung. Vertriebsleiter, Produktionsleiter, HR-Leiter, je nachdem wo KI im Unternehmen den größten Anwendungsfall hat. Vorteil: kennt das Geschäft, sieht die Praxis-Implikationen sofort. Nachteil: braucht meist eine fundierte Compliance-Schulung, weil die juristische Logik fremd ist.

Externer KI-Beauftragter als Dienstleistung. Anbieter wie spezialisierte Compliance-Berater, IT-Security-Häuser und einige Bildungsträger bieten das Modell an. Funktioniert wie der externe Datenschutzbeauftragte. Tagessatz oder Monatspauschale, monatliche Sprechstunden plus Vorfall-Reaktion.

In einem Mittelständler mit 50 bis 250 Mitarbeitern ist die Doppelrolle DSB-plus-KI oder CISO-plus-KI das Standardmodell. Die externe Variante macht Sinn, wenn weder DSB noch CISO im Haus arbeiten und die Geschäftsleitung das Thema klar delegieren will.

Was es kostet

Drei Modelle mit unterschiedlichen Kosten.

Vollzeit-Stelle Chief AI Officer. Im gehobenen Mittelstand und in Konzernen üblich. Gehaltsspanne 2026: 90.000 bis 130.000 Euro Jahresbrutto in Betrieben mit 250 bis 2.500 Mitarbeitern. Mit Sozialabgaben und Nebenkosten landet das bei 130.000 bis 180.000 Euro Vollkosten pro Jahr. Lohnt sich ab etwa 1.000 Mitarbeitern oder bei KI als Geschäftsmodell-Treiber.

Doppelrolle mit Weiterbildung. Im Mittelstand das Standardmodell. Initiale Kosten: 5.000 bis 15.000 Euro für die Weiterbildung des designierten Mitarbeiters. Plus die Zeit, die die Person dann für KI-Aufgaben aufwendet, typisch 8 bis 16 Stunden pro Woche bei vollem Aufbau, später 4 bis 8 Stunden pro Woche. Das sind in Vollkosten zwischen 12.000 und 28.000 Euro pro Jahr an internem Aufwand, abhängig vom Stundensatz.

Externer KI-Beauftragter. Pauschalmodelle ab 600 Euro netto pro Monat (kleiner Betrieb mit 1 bis 3 KI-Anwendungen, monatlicher 2-Stunden-Termin). Mittelständler mit umfangreicherem Setup zahlen 1.200 bis 2.500 Euro pro Monat. Das entspricht 7.200 bis 30.000 Euro pro Jahr. Vorfall-Reaktion oft separat abgerechnet.

Welches Modell passt: Das hängt von der KI-Tiefe ab. Wer ChatGPT-Nutzung und ein paar SaaS-Tools mit KI-Modulen abdecken will, fährt mit der Doppelrolle gut. Wer KI selbst entwickelt oder als Hochrisiko-Anbieter agiert, braucht eine Vollzeit-Funktion oder eine sehr enge externe Begleitung.

Praxisbeispiel: Brandt Logistik aus Bamberg, fiktiv, 140 Mitarbeiter, eingebettet in eine Konzern-Lieferkette. Setzt KI ein für Routenoptimierung (von SAP), Lager-Bestandsprognose (eigenes Tool mit OpenAI-API), und HR-Recruiting (Personio mit KI-Modul). Die Geschäftsführung benennt die Personalleiterin als KI-Beauftragte. Sie macht eine 6-Monats-Weiterbildung neben dem Job (Kosten 9.500 Euro netto, davon 4.000 Euro über QCG erstattet). Sie bekommt 6 Stunden pro Woche fest geblockt für KI-Compliance-Themen. Externer Compliance-Berater steht für Vorfälle und ISO-Vorbereitung auf Abruf zur Verfügung (1.200 Euro pro Monat). Gesamtjahreskosten: rund 28.000 Euro. Verhältnis zur Risiko-Exposition: vertretbar.

Welche Qualifikation die Rolle braucht

Drei Kompetenzfelder müssen abgedeckt sein.

Erstens KI-Verständnis auf operativer Ebene. Wie funktionieren Sprachmodelle, was ist Retrieval-Augmented Generation, was ist ein Agent, was ist Fine-Tuning, was ist Halluzination? Nicht auf Forscher-Niveau, aber genug, um mit IT und Anbietern auf Augenhöhe zu reden.

Zweitens Compliance-Wissen. EU AI Act im Detail, DSGVO-Bezug, BDSG, branchenspezifische Aufsichtsregeln (BaFin, BfArM, BNetzA). Plus Audit-Logik (ISO 42001, ISO 27001, ggf. SOC 2).

Drittens organisationale Fähigkeiten. Schulungen koordinieren, Vorfälle moderieren, mit Geschäftsführung und Fachabteilungen verhandeln, Dokumente verfassen die im Audit halten. Das ist der oft unterschätzte Teil.

Wege zur Qualifikation 2026:

Die DigiMan-Weiterbildung deckt KI-Verständnis und Anwendungs-Praxis in 720 Unterrichtseinheiten über 16 Wochen ab. AZAV-Maßnahmenzertifikat 723/0097/2026 (DEKRA). Komplett online. Über Bildungsgutschein für Arbeitssuchende kostenlos, über QCG für Beschäftigte mit Förderquoten je nach Betriebsgröße. Plus eine ergänzende ISO-42001-Schulung (typisch 2 bis 5 Tage, 1.500 bis 3.500 Euro netto) deckt das Compliance-Set ab.

Microsoft AI-901 als Nachweis, ab Sommer 2026 verfügbar (löst AI-900 ab Juni 2026 ab). Prüfungsgebühr 165 Euro netto. Solo wenig wert, in Kombination mit DigiMan oder ähnlicher Praxis-Weiterbildung sinnvoll.

Anthropic Course Series und vergleichbare Anbieter-Kurse. Nützlich für aktuelle Tool-Praxis, ersetzen aber keine Zertifizierung.

Weiterbildung beim TÜV Süd oder TÜV Rheinland zum KI-Auditor oder KI-Manager. Typisch 5 bis 8 Tage Präsenz, 3.500 bis 6.000 Euro netto. Hat den Vorteil eines Zertifikats, das im Konzern-Audit als Nachweis akzeptiert wird.

Wer diese drei Felder bereits abdeckt: erfahrene DSBs nach 3 bis 6 Monaten Weiterbildung. CISOs in 4 bis 6 Monaten. Reine Fach-Mitarbeiter in 6 bis 12 Monaten. Quereinsteiger ohne Compliance-Hintergrund 9 bis 15 Monate.

Eigene Einschätzung aus der Praxis

Die größte Falle ist die Halbtags-Verantwortung. Geschäftsführer ernennen einen Mitarbeiter zum KI-Beauftragten und sagen ihm, das macht er nebenher, eine Stunde pro Woche. Das funktioniert nicht. KI-Compliance ist anlassbezogen. Wenn ein neues KI-Tool eingeführt wird, sind plötzlich 30 Stunden Arbeit fällig: Risiko-Analyse, Schulung, Doku, Anbieter-Prüfung. Wenn dann nichts passiert, sind es zwei Stunden pro Monat Routine.

Wer die Rolle ernst nimmt, muss eine Mindest-Zeitkapazität reservieren (mindestens 4 Stunden pro Woche, häufig 8) und gleichzeitig akzeptieren, dass es Wochen mit 20 Stunden geben wird. Das verlangt klare Absprachen mit der Linienführung.

Zweite Beobachtung: Externe KI-Beauftragte sind günstiger als gedacht und oft besser als interne Lösungen, weil sie mehr Erfahrung sehen. Aber sie taugen nicht für Unternehmen, die KI strategisch verstehen wollen. Wer KI nur als Compliance-Risiko behandeln will, fährt extern gut. Wer KI als Wertschöpfungshebel sieht, braucht jemanden im Haus.

Dritte Beobachtung: Die Doppelrolle DSB-plus-KI funktioniert nur, wenn der DSB technisch genug ist. Klassische DSBs aus dem juristischen Bereich tun sich mit Sprachmodellen schwer. Wer einen rein juristischen DSB hat, sollte ihn nicht zum KI-Beauftragten machen, sondern eine zusätzliche technische Person benennen.

Wann die Rolle wirklich gebraucht wird

Vier Schwellen, ab denen das Ausweichen teuer wird.

Sobald das Unternehmen mehr als drei produktiv genutzte KI-Anwendungen hat. Bei drei oder weniger reicht oft ein gut dokumentierter Geschäftsführer-Account.

Sobald eine KI-Anwendung Hochrisiko nach Anhang III EU AI Act ist. Spätestens 02.08.2026.

Sobald ein Konzern-Kunde KI-Compliance-Nachweise verlangt. Im Maschinenbau, in der Software, in der Bauindustrie passiert das seit Anfang 2026 regelmäßig.

Sobald die Geschäftsführung selbst die Übersicht verliert. Das ist der menschliche Indikator. Wenn die GF nicht mehr weiß, welche Tools im Einsatz sind und wer was darf, ist die Rolle überfällig.

In der Praxis sehen wir: Mittelständler mit 100 bis 500 Mitarbeitern erreichen mindestens eine dieser Schwellen typischerweise im Jahr 2026. Der Hebel der Rolle liegt nicht in der Vermeidung von Bußgeldern (die sind in der Praxis selten der erste Schaden). Der Hebel liegt in der Geschwindigkeit, mit der das Unternehmen KI sicher nutzen kann. Wer keinen KI-Beauftragten hat, blockiert produktive KI-Einführungen wegen unklarer Verantwortung. Wer einen hat, kann freigeben.

Häufige Fragen

Ist der KI-Beauftragte gesetzlich vorgeschrieben?

Stand Mai 2026 nein. Anders als der Datenschutzbeauftragte (§ 38 BDSG ab 20 Mitarbeitern) ist der KI-Beauftragte keine Pflichtrolle. Aber Artikel 4 EU AI Act schreibt KI-Kompetenz der Beschäftigten vor (seit 02.02.2025), Artikel 14 verlangt menschliche Aufsicht bei Hochrisiko-KI. Beides ist ohne benannte Verantwortliche kaum umsetzbar.

Kann der Datenschutzbeauftragte auch KI-Beauftragter sein?

Ja, in vielen Mittelständlern ist das das Standardmodell. Voraussetzung ist, dass der DSB technische KI-Kompetenz aufbaut, weil reine juristische DSGVO-Erfahrung nicht ausreicht. Externe DSBs erweitern das Mandat oft gegen Aufpreis (typisch 200 bis 400 Euro pro Monat zusätzlich).

Reicht ein externer KI-Beauftragter für eine ISO-42001-Zertifizierung?

Ja, sofern er regelmäßig vor Ort oder remote im Unternehmen aktiv ist und Vorfälle zeitnah bearbeitet. Auditoren akzeptieren externe Modelle, prüfen aber die tatsächliche Verfügbarkeit. Wer einen externen Beauftragten hat, der einmal im Quartal 30 Minuten telefoniert, wird das Audit nicht bestehen.

Welche Weiterbildung qualifiziert für die Rolle?

Die Kombination aus einer breiten KI-Praxis-Weiterbildung (zum Beispiel die DigiMan-Weiterbildung mit 720 UE) und einer Compliance-Spezialisierung (ISO 42001, EU AI Act, ggf. branchenspezifische Aufsicht). Für einen DSB oder CISO als Doppelrolle reichen oft 4 bis 6 Monate berufsbegleitende Weiterbildung. Quereinsteiger brauchen eher 9 bis 15 Monate.

Was kostet ein externer KI-Beauftragter im Monat?

Pauschalen ab 600 Euro netto für sehr kleine Betriebe mit wenigen KI-Anwendungen, typisch 1.200 bis 2.500 Euro netto pro Monat für Mittelständler mit 100 bis 500 Mitarbeitern und mehreren KI-Systemen. Vorfall-Reaktion und Audit-Begleitung werden meist separat als Tagessatz abgerechnet (800 bis 1.500 Euro netto pro Tag).

KI-Beauftragten qualifiziert besetzen? Die DigiMan-Weiterbildung ist der breite Praxis-Rahmen für die Rolle. AZAV-zertifiziert (DEKRA 723/0097/2026), 720 UE über 16 Wochen, komplett online. Über das Qualifizierungschancengesetz für Beschäftigte mit bis zu 100 Prozent förderbar (bei Kleinbetrieben unter 10 MA), für Arbeitssuchende über Bildungsgutschein kostenlos. Für einen ersten Eindruck ohne Anmeldebindung gibt es den kostenlosen Schnupperkurs. Wer die Rolle für sein Unternehmen strategisch einrichten will, findet unter skill-sprinters.de/termin einen kurzen Telefontermin.

Über den Autor

Dr. Jens Aichinger ist promovierter Wirtschaftspädagoge und Erwachsenenbildner. Er hat über 70 Sachbücher auf Amazon KDP veröffentlicht und betreibt SkillSprinters by Dr. Aichinger, einen DEKRA-zertifizierten Bildungsträger in Bayreuth mit Schwerpunkt geförderte Weiterbildungen für Berufstätige und Arbeitssuchende. Schwerpunkte: Wirtschaftsfachwirt (IHK), Digitalisierungsmanager und KI-Kompetenz im Mittelstand.