Der Aufbau von KI-Kompetenzen wird in der EU-KI-Verordnung (KI-VO bzw. AI-Act) verlangt, Unternehmen müssen sicherstellen, dass relevante Mitarbeiter über ausreichendes Wissen zu KI-Risiken und Compliance verfügen.
Dies gilt besonders für hochrisikobehaftete KI-Systeme (z. B. in der Medizin, im Personalwesen oder bei der Strafverfolgung).
Und Unternehmen müssen technische Dokumentation und Konformitätsbewertung für KI-Systeme bereitstellen, zudem sind klare Verantwortungsketten erforderlich. Besonders relevant ist die interne und externe Kontrolle bei den Unternehmen, die Hochrisiko-KI einsetzen, sie müssen interne Audits durchführen und in bestimmten Fällen ist eine externe Konformitätsbewertung vorgeschrieben.
Positionen wie KI-Manager, KI-Koordinator oder KI-Beauftragter werden sich nun etablieren. Was konkret an Aufgaben über die KI-VO hinaus von diesen Personen übernommen werden soll, dürfte von Organisation zu Organisation unterschiedlich sein. Die genaue Bezeichnung spielt dabei keine Rolle, aber ein KI-Beauftragter kann als zentrale Anlaufstelle dienen.
Rollenbild
Die Rolle eines KI-Beauftragten oder auch AI-Officer (KIB bzw. AIO) ist zwar nicht explizit in der KI-VO vorgesehen, aber viele Unternehmen und Behörden werden sie voraussichtlich einsetzen, um einen „Kümmerer“ zu haben und mit dessen Hilfe den sicheren und rechtskonformen Umgang mit KI zu gewährleisten.
Kleinere Unternehmen werden die Rolle ggf. als Zusatzaufgabe an bestehende Kollegen mit anderen Funktionen additiv vergeben, aber gerade bei größeren Unternehmen, Unternehmensgruppen und Konzernen könnte eine dedizierte Person in der Rolle angesiedelt vonnöten sein.
Ist der DSB der perfekte KIB?
Und wer übernimmt die Aufgabe so mal schnell "nebenbei", etwa der Datenschutzbeauftragte (DSB)? Hat er nichts mehr zu tun?
Und ob er diese Rolle bekleiden sollte, darüber kann man aus guten Gründen geteilter Meinung sein. Das ist sicher eine pragmatische Lösung und unter bestimmten Voraussetzungen kann ein bestellter Datenschutzbeauftragter die entsprechende Kompetenz einer zentralen Position als KIB übernehmen. Denn er übernimmt häufig Sensibilisierungs- und Beratungsaufgaben für den Verantwortlichen. Und auch in der KI-VO ist der Schutz personenbezogener Daten eine Aufgabe. Vor allem ist er schon im Unternehmen aktiv, es muss also nicht eine neue Stelle geschaffen werden, er kennt die Organisation, es entstehen keine zusätzlichen Kosten für eine neue Stelle.
Der DSB hat zudem Erfahrung mit Compliance und ist an rechtliche Prüfungen und Audits gewöhnt, er bewegt sich in etablierten Strukturen und hat i. d. R. direkten Zugang zu Geschäftsführung und IT. Also gibt es durchaus Gründe dafür, das so zu tun.
Aber das hätte auch Nachteile! Eineseits geht es um Überlastung, denn der Datenschutz ist bereits ein komplexes Feld, die zusätzliche KI-Verantwortung kann zu Ressourcenproblemen führen und es sind sehr unterschiedliche Fachgebiete. Der DSB hat nicht zwingend Wissen zu KI-Recht oder KI-Fachwissen. Und die KI-Welt ist sehr dynamisch, Aufbau und laufender Erhalt von aktuellem KI-Wissen ist erforderlich.
Kritisch sind auch potenzielle Interessenkonflikte, denn Datenschutzbeauftragte müssen neutral sein, während sie als KI-Beauftragte ggf. eigene Entscheidungen treffen oder bewerten müssen.
Falls der Datenschutzbeauftragte also diese Rolle übernimmt, sollte er zusätzliche Schulungen zu KI erhalten und durch ein interdisziplinäres Team (IT, Compliance, Ethik, Recht) unterstützt werden. Auch müsste seine Rolle je Thema und sein Berichtsweg klar definiert werden!
Aber es bleibt offen, ob der KIB auch Entscheidungskompetenzen über die Nutzung von KI haben soll. Und der DSB berichtet aus gesetzlicher Vorgabe direkt an die Unternehmensleitung, wird das auch für den KIB passen? Das kann leicht miteinander kollidieren. Fazit: Die Kombination ist zwar möglich, aber schon auf Basis der Interessenkonflikte nicht ideal.
Wenn es kollidieren kann, stellt sich die Frage: Was macht der KIB konkret?
Ein KI-Beauftragter kann als zentraler Ansprechpartner für KI-Governance, Compliance und Ethik fungieren, seine möglichen Aufgaben im Bereich sind: Strategie & Governance
- Entwicklung einer unternehmensweiten KI-Strategie
- Definition von KI-Richtlinien und internen Leitlinien
- Überprüfung der Einhaltung des AI-Act und anderer relevanter Gesetze
Risikomanagement & Compliance
- Durchführung von Risikobewertungen für KI-Systeme
- Überwachung der KI-Konformität mit ISO 42001 (KI-Managementsysteme)
- Sicherstellen, dass hochrisikobehaftete KI-Systeme den regulatorischen Anforderungen entsprechen
Transparenz & Ethik
- Sicherstellen, dass KI-Systeme fair, nachvollziehbar und diskriminierungsfrei sind
- Förderung von Erklärbarkeit und Dokumentation für KI-Entscheidungen
- Schulung von Mitarbeitern zu KI-Risiken und ethischen Fragestellungen
Zusammenarbeit mit internen und externen Stakeholdern
- Abstimmung mit IT, Datenschutz, Compliance und Geschäftsführung
- Kommunikation mit Aufsichtsbehörden und Zertifizierungsstellen
Managementsysteme werden sich bewähren
Eines ist sicher: Die Anforderungen der KI-Verordnung sind umfassend, und Unternehmen können enorm von bereits bestehenden Management-Systemen, Rollen und Positionen profitieren, die gem. ISO 9001 und ISO 27001 vorhanden sind. Entscheidend ist, zu wissen, welche Ressourcen intern genutzt werden können.
Oftmals ist es nicht notwendig, neue Strukturen oder Softwarelösungen zu schaffen – vielmehr sollte die Herausforderung mit bestehenden Kompetenzen und Systemen gemeistert werden. Denn auch die ISO 42001, die Norm für KI-Managementsysteme folgt dem „Harmonized Structure“ und ist gut in die o.g. Managementsysteme integrierbar. Ein DSB hat auch Kenntnisse zur Informationssicherheit, denn die TOMs des ISMS sind weitgehende identisch mit denen des DSB. Dieser hat natürlicherweise oft im Bereich der Managementsysteme außerhalb der DSGVO Wissenslücken, dies es zu füllen gilt.
Stellenbeschreibung KI-Beauftragten
Man kann nun die ideale Beschreibung für die Rolle suchen, aber das muss auch zum Unternehmen passen. Wir versuchen hier, eine Stellenbeschreibung für einen KI-Beauftragten zu definieren, der eine koordinierende und strategische Rolle einnimmt, ohne tiefgehende technische Entwicklungskenntnisse aus eigener Praxis zu benötigen, aber übergreifendes Wissen zum Datenschutz, Informationssicherheit, Qualitätsmanagement und relevanten ISO-Normen hat. Und die Rolle soll nicht zu stark juristisch geprägt sein! Dafür gibt es Hausjuristen oder spezialisierte Kanzleien.
Ihre Rolle
Als KI-Beauftragter (m/w/d) sind Sie die zentrale Ansprechperson für den sicheren, verantwortungsbewussten und rechtskonformen Einsatz von Künstlicher Intelligenz im Unternehmen. Sie koordinieren die Einhaltung gesetzlicher Vorgaben (EU-KI-Verordnung, DSGVO), setzen Standards im Qualitätsmanagement (ISO 9001), der Informationssicherheit (ISO 27001) sowie dem KI-Managementsystem (ISO 42001) und entwickeln unternehmensweite Richtlinien. Dabei arbeiten Sie eng mit IT, Compliance, Datenschutz, Qualitätssicherung und der Geschäftsleitung zusammen.
Ihre Aufgaben
Governance & Strategie: Entwicklung einer KI-Strategie im Einklang mit Unternehmenszielen und regulatorischen Anforderungen
Regulatorische Konformität: Sicherstellung der Einhaltung der EU-KI-Verordnung, DSGVO, ISO 42001, ISO 27001 und ISO 9001
Risikomanagement: Identifikation, Bewertung und Steuerung von KI-Risiken, insbesondere in hochkritischen Anwendungen
Qualitäts- und Sicherheitsmanagement
Integration von ISO 9001 (Qualitätsmanagement) in KI-Prozesse
Umsetzung von ISO 27001 (Informationssicherheit) für KI-Datenverarbeitung
Einführung und Betreuung eines KI-Managementsystems nach ISO 42001
Interne Richtlinien & Audits:
Erarbeitung von KI-Richtlinien für verschiedene Abteilungen
Durchführung von internen Audits & Gap-Analysen zu KI-Prozessen
Schulung & Awareness: Sensibilisierung der Mitarbeitenden zu KI-Risiken, ethischen Fragen und Sicherheitsanforderungen
Schnittstellenfunktion und enge Zusammenarbeit mit
IT
Compliance
Datenschutz
HR
Qualitätssicherung
Geschäftsleitung
Dokumentation & Transparenz
Unterstützung bei KI-Audits
Nachweispflichte
Zertifizierungsprozessen
Ihr Profil
Erfahrung in einer strategischen, koordinierenden oder regulatorischen Rolle (z. B. Compliance, Datenschutz, IT-Management, Qualitätssicherung)
Kenntnisse in EU-Regularien & Standards (AI-Act, DSGVO, ISO 42001, ISO 27001, ISO 9001) oder Bereitschaft zur Einarbeitung
Grundverständnis für KI-Technologien & deren Anwendungsmöglichkeiten
Erfahrung in Projektmanagement, Risikomanagement und interdisziplinärer Zusammenarbeit
Kommunikationsstärke und Fähigkeit, komplexe Sachverhalte verständlich zu vermitteln
Mit dem Entwurf einer Stellenbeschreibung schaffen wir eine Verbindung zwischen KI-Wissen, Datenschutz, Informationssicherheit und KI-VO. Zentral sind Kenntnisse zur Compliance, der ISO 42001 (KI-Managementsysteme), ISO 27001 (Informationssicherheit) und ISO 9001 (Qualitätsmanagement), die alle einen starken Risikoansatz fahren. Rein technische Aspekte bewerten wir eher weniger stark, da wir die Rolle nicht über die Entwicklung oder Softwarekompetenzen definieren, sondern darüber, die KI-Verwendung effizient, reibungslos, möglichst schnell und gesetzeskonform zu organisieren bzw. zu koordinieren.
Ob sich der Ansatz in der Praxis des AI-Act und der ISO 42001 bewährt, wird sich zeigen. Dynamisch anpassen und weiterentwickeln kann man ihn immer!
Comments