Braucht Ihr Unternehmen einen KI-Compliance-Officer?
KI-Compliance-Lücken schließen: Brauchen Sie einen KI-Compliance-Officer? Wie Unternehmen AI-Act-Anforderungen meistern und Risikoklassen richtig einordnen.
Drei Monate. So lange hat ein mittelständisches Softwareunternehmen gebraucht, um nach dem Inkrafttreten des AI Acts festzustellen, dass niemand im Haus weiß, welche seiner KI-Systeme unter welche Risikoklasse fallen – und wer überhaupt dafür zuständig ist. Das ist kein Einzelfall. Und es ist genau die Frage, die Geschäftsführungen und IT-Leitungen gerade umtreibt: Brauchen wir jetzt einen KI-Compliance-Officer? Und wenn ja – was macht der eigentlich den ganzen Tag?
Die Compliance-Lücke, die der AI Act aufdeckt
Der AI Act ist keine Datenschutzverordnung mit neuem Etikett. Er ist ein eigenständiges Regelwerk, das technische, organisatorische und rechtliche Anforderungen kombiniert – auf eine Weise, die weder die Rechtsabteilung allein noch die IT-Abteilung allein bewältigen kann. Genau das ist das strukturelle Problem.
Unternehmen, die heute KI einsetzen – sei es ein Chatbot im Kundenservice, ein Scoring-Modell in der Kreditprüfung oder ein Recruiting-Tool im HR-Bereich – haben die entsprechende Verantwortung bisher irgendwo zwischen IT, Legal und Datenschutz verteilt. Meistens: nirgendwo wirklich klar.
Der AI Act ändert das. Er schafft konkrete Pflichten, die jemand verantworten muss:
- KI-Inventarisierung: Welche KI-Systeme setzt das Unternehmen ein, in welcher Rolle (Anbieter oder Betreiber), und in welche Risikoklasse fallen sie? (Mehr dazu im Artikel KI-Inventar erstellen – Anleitung)
- Risikoklassifizierung und laufende Bewertung der eingesetzten Systeme
- Dokumentationspflichten für Hochrisiko-KI-Systeme
- KI-Kompetenz nach Artikel 4 (seit Digital Omnibus Empfehlung statt Pflicht) AI Act für alle betroffenen Mitarbeitenden (KI-Kompetenz nach AI Act)
- Koordination mit Datenschutz (DSFA, DSGVO-Schnittstellen)
- Vendor-Management: Vertragsgestaltung mit KI-Anbietern, Einholen von Konformitätserklärungen
Wer ist aktuell in Ihrem Unternehmen für all das zuständig? Wenn Sie drei Sekunden nachdenken müssen, haben Sie die Antwort auf die Eingangsfrage bereits.
Was ein KI-Compliance-Officer tut – und was nicht
Zunächst eine Entlastung: Der Begriff KI-Compliance-Officer ist keine gesetzlich definierte Rolle. Der AI Act schreibt keine Stellenbezeichnung vor. Was er vorschreibt, sind Verantwortlichkeiten – und die müssen irgendwo gebündelt sein.
In der Praxis umfasst die Funktion folgende Kernbereiche:
1. Governance und Zuständigkeiten
Der KI-Compliance-Officer (in manchen Unternehmen auch AI Governance Manager oder Responsible AI Officer genannt) baut das interne Regelwerk auf: Wer darf welche KI-Systeme beschaffen? Welche Genehmigungsprozesse braucht es? Wer wird bei neuen KI-Projekten einbezogen?
Das klingt bürokratisch, ist aber der entscheidende Hebel: Ohne definierte Prozesse kaufen Fachabteilungen munter KI-Tools ein, ohne dass irgendjemand die Compliance-Relevanz prüft.
2. Risikoklassifizierung und Monitoring
Die KI-Risikoklassen des AI Act sind nicht trivial. Ob ein KI-System als Hochrisiko-System nach Annex III eingestuft wird, hängt vom konkreten Einsatzgebiet ab – nicht vom Produkt allein. Dasselbe HR-Tool kann in einer Behörde ein Hochrisiko-System sein und in einem kreativen Kleinunternehmen nicht. Diese Einordnung erfordert Sachverstand und muss regelmäßig aktualisiert werden.
Der KI-Compliance-Officer pflegt das KI-Register, beobachtet neue Systeme, aktualisiert die Klassifizierungen bei Änderungen der Nutzung und koordiniert im Hochrisiko-Fall die notwendigen Maßnahmen (Hochrisiko-KI nach Annex III erklärt).
3. Schnittstelle zu Legal, IT und Datenschutz
Eine der wichtigsten Aufgaben ist Koordination. Der KI-Compliance-Officer ist nicht der neue Datenschutzbeauftragte – aber er arbeitet eng mit ihm zusammen, insbesondere wenn KI-Systeme personenbezogene Daten verarbeiten und eine DSFA erforderlich wird (DSFA für KI).
Er ist auch kein Vertragsanwalt – aber er weiß, welche Klauseln in Vendor-Verträgen für die Compliance kritisch sind, und kann Legal gezielt briefen.
4. Schulung und Awareness
Artikel 4 AI Act verpflichtet Unternehmen dazu, für ausreichende KI-Kompetenz bei ihren Mitarbeitenden zu sorgen. Wer plant, durchführt und dokumentiert diese Schulungen? In vielen Unternehmen fällt das an den KI-Compliance-Officer.
5. Incident-Management
Was passiert, wenn ein KI-System eine diskriminierende Entscheidung trifft? Wenn ein Hochrisiko-System ein unerwartetes Verhalten zeigt? Der KI-Compliance-Officer ist der erste Ansprechpartner – er koordiniert die Reaktion, dokumentiert den Vorfall und prüft, ob Meldepflichten bestehen.
Wann brauchen Sie eine dedizierte Rolle – und wann reicht Integration?
Die ehrliche Antwort: Es kommt auf Ihren KI-Footprint an.
Unternehmen, die eine dedizierte Funktion brauchen
Folgende Konstellationen machen eine eigenständige Funktion – zumindest als klar definierte Teilzeitstelle – fast unumgänglich:
| Kriterium | Beispiel |
|---|---|
| Hochrisiko-KI im Einsatz | HR-Tool mit automatisierter Entscheidungsunterstützung, Kreditscoring |
| Viele verschiedene KI-Systeme | >5 KI-Tools aus verschiedenen Bereichen |
| Reguliertes Umfeld | Finanzdienstleister, Gesundheitswesen, öffentliche Verwaltung |
| Eigene KI-Entwicklung | Unternehmen, die selbst KI-Systeme bauen und vermarkten |
| Datenschutzrelevante KI | Systeme mit Personenbezug, internationale Datenflüsse |
In diesen Fällen ist die Compliance-Last so hoch, dass sie nicht nebenbei erledigt werden kann – weder vom Datenschutzbeauftragten, der seine eigenen gesetzlichen Pflichten hat, noch vom IT-Leiter, der mit operativen Themen ausgelastet ist.
Unternehmen, die Integration nutzen können
Kleinere Unternehmen mit einem begrenzten und klar dokumentierten KI-Einsatz können die Funktion in bestehende Rollen integrieren:
- Datenschutzbeauftragter + KI: Möglich, wenn der DSB ausreichend KI-Kompetenz aufbaut und die zusätzliche Last vertretbar ist. Achtung: Der DSB darf nicht in Interessenkonflikte geraten.
- IT-Leiter + KI-Governance: Funktioniert gut für technische Aspekte, aber die rechtliche Dimension braucht Unterstützung.
- Externer KI-Compliance-Berater: Für KMUs oft die pragmatischste Lösung – ein Spezialist auf Abruf, der das interne Team unterstützt.
Wichtig: Integration heißt nicht, die Verantwortung im Diffusen zu lassen. Sie muss klar einer Person zugeordnet sein, schriftlich dokumentiert und mit ausreichend Kapazität ausgestattet.
Was kostet das – und was kostet es, es nicht zu tun?
Eine realistische Einschätzung: Eine dedizierte KI-Compliance-Officer-Stelle in einem mittelständischen Unternehmen kostet in Deutschland zwischen 60.000 und 90.000 Euro Jahresgehalt (Senior-Level mit rechtlichem und technischem Hintergrund). Hinzu kommen Weiterbildungskosten, Tools und ggf. externe Beratung.
Die Alternative – nämlich keine klare Verantwortlichkeit zu etablieren – klingt erstmal günstiger. Ist sie nicht.
Der AI Act sieht Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes vor, je nach Verstoß (AI Act Bußgelder – Was Unternehmen wirklich droht). Aber selbst unterhalb dieser extremen Szenarien entstehen reale Kosten: Behördliche Anfragen ohne Dokumentation zu beantworten kostet Wochen. Ein nicht gemeldeter Incident kann Vertragsstrafen auslösen. Eine fehlende DSFA kann einen ganzen Produktionsstart verzögern.
Compliance ist kein Cost-Center – sie ist Risikomanagement.
Qualifikationsprofil: Wen suchen Sie eigentlich?
Es gibt (noch) keinen Studiengang “KI-Compliance”. Das Profil ist interdisziplinär und entwickelt sich gerade erst. Wer für diese Rolle geeignet ist, bringt typischerweise mit:
Fachliche Grundlagen
- Grundkenntnisse AI Act und DSGVO (kein Jurastudium notwendig, aber rechtliches Denkvermögen)
- Technisches Grundverständnis von KI/ML-Systemen (kein Data Scientist, aber in der Lage, mit Entwicklern zu sprechen)
- Erfahrung im Compliance- oder Datenschutzumfeld als Vorteil
Soft Skills
- Strukturiertes Denken und Dokumentationsfreude
- Fähigkeit, Fachbereiche und Legal zu koordinieren
- Kommunikationsstärke nach innen wie nach außen (Behörden, Auditoren)
Wo finden Sie diese Person?
Realistische Kandidatenprofile kommen heute aus:
- Datenschutz-Background (DSB mit KI-Weiterbildung)
- IT-Compliance / ISO 27001 (Erweiterung Richtung KI)
- Unternehmensberatung (mit KI-Governance-Projekten)
- Neueinsteiger mit juristisch-technischem Doppelstudium (Wirtschaftsinformatik + Jura)
Externe Zertifizierungen (z.B. TÜV AI Act Compliance, IAPP AI Governance) können das Profil schärfen, sind aber kein Ersatz für praktische Erfahrung.
Praktischer Einstieg: So bauen Sie die Funktion auf
Auch wenn Sie noch keine fertige Stelle besetzen können, können Sie heute anfangen:
Schritt 1: Verantwortlichkeit benennen
Definieren Sie jetzt, wer interim für KI-Compliance zuständig ist. Schreiben Sie es auf. Eine Seite, unterschrieben von der Geschäftsführung, mit klarem Mandat.
Schritt 2: KI-Inventar anlegen
Welche KI-Systeme setzt Ihr Unternehmen ein? Inhouse entwickelt? Eingekauft? Als Teil anderer Software? Das ist die Grundlage für alles weitere. (KI-Inventar erstellen – Anleitung)
Schritt 3: Risikoklassen bestimmen
Auf Basis des Inventars: Was fällt in welche Kategorie? Für Hochrisiko-Systeme gelten strenge Pflichten – die sofort angegangen werden müssen. (KI-Risikoklassen im Vergleich)
Schritt 4: Schulungen planen
Welche Mitarbeitenden arbeiten mit KI-Systemen? Art. 4 ist seit dem Digital Omnibus eine Empfehlung statt Pflicht – KI-Schulung bleibt aber Best Practice. (KI-Kompetenz nach AI Act)
Schritt 5: Externe Unterstützung holen
Für KMUs ohne interne KI-Expertise ist ein externer KI-Compliance-Partner oft der schnellste Weg, um eine belastbare Basis zu schaffen – bevor eine interne Stelle besetzt wird.
Fazit: Die Frage ist nicht ob, sondern wie
Der AI Act hat eine neue Verantwortlichkeit geschaffen – ob Unternehmen sie formell benennen oder nicht. Die Pflichten existieren unabhängig davon, ob auf dem Organigramm “KI-Compliance-Officer” steht.
Die eigentliche Frage ist: Wer trägt diese Verantwortung in Ihrem Unternehmen konkret? Eine Person, mit Mandat, Ressourcen und Zugang zur Geschäftsführung? Oder niemand wirklich – was bedeutet, dass alle irgendwie verantwortlich sind und damit niemand?
Für große Unternehmen und alle mit Hochrisiko-KI ist eine dedizierte Funktion keine Option mehr, sondern Pflicht. Für kleinere KMUs kann eine kluge Integration in bestehende Rollen – mit externer Unterstützung – der pragmatische Weg sein. Entscheidend ist, dass die Entscheidung bewusst getroffen und dokumentiert wird.
Wo steht Ihr Unternehmen heute?
Bevor Sie entscheiden, ob und wie Sie die KI-Compliance-Funktion aufbauen, brauchen Sie eine ehrliche Bestandsaufnahme: Welche KI-Systeme setzen Sie ein? Welche Pflichten gelten bereits? Und wo sind die größten Lücken?
Der eu-konform.ai Risiko-Check gibt Ihnen in wenigen Minuten eine strukturierte Einschätzung Ihres aktuellen Compliance-Status – und zeigt Ihnen, welche Schritte als nächstes anstehen. Kostenlos, ohne Berater-Pitch, direkt umsetzbar.
Ist Ihr KI-Einsatz konform?
Kostenloser Risiko-Check in 5 Minuten – ohne Registrierung.
Jetzt prüfen