Der KI-Beauftragte – Notwendigkeit, Aufgaben und rechtliche Einordnung

Mit der Einführung der EU-KI-Verordnung (KI-VO) stellt sich für Unternehmen die Frage, ob sie einen KI-Beauftragten (KSB) benötigen und welche Aufgaben und Pflichten mit dieser Rolle verbunden sind. Während die DSGVO explizit einen Datenschutzbeauftragten (DSB) vorschreibt, gibt es keine direkte Verpflichtung in der KI-VO zur Benennung eines KI-Beauftragten. Dennoch ergeben sich aus verschiedenen Vorschriften der KI-VO indirekte Anforderungen, die eine solche Rolle sinnvoll machen, insbesondere für Unternehmen, die Hochrisiko-KI-Systeme einsetzen:

Nein. Die KI-VO enthält keine ausdrückliche Pflicht zur Bestellung eines KI-Beauftragten. In der Verordnung werden verantwortliche Rollen wie „Anbieter“ (Art. 3 Nr. 2 KI-VO) und „Betreiber“ (Art. 3 Nr. 4 KI-VO) definiert, jedoch kein spezifischer Beauftragter.

Aber:

• Artikel 4 Abs. 1 KI-VO verlangt, dass Unternehmen intern sicherstellen, dass genügend KI-Kompetenz vorhanden ist. Dies könnte indirekt die Einrichtung einer zentralen Ansprechperson erforderlich machen.
• Artikel 9 KI-VO (Risikomanagement) verpflichtet Anbieter von Hochrisiko-KI-Systemen zu laufenden Überwachungen und Risikobewertungen – eine typische Aufgabe für einen KI-Beauftragten.
• Artikel 17 KI-VO (Transparenz und Dokumentation) fordert eine umfassende Protokollierung und Dokumentation, die von einer verantwortlichen Stelle betreut werden muss.

Der KI-Beauftragte (KSB) ist die zentrale Ansprechperson für alle Fragen zur KI-Compliance im Unternehmen. Seine Aufgaben ergeben sich indirekt aus mehreren Vorschriften der KI-VO:

Überwachung der Einhaltung der KI-VO
Artikel 17 KI-VO verlangt umfassende Dokumentationspflichten für Hochrisiko-KI-Systeme. Der KI-Beauftragte könnte verantwortlich sein, dass diese eingehalten und gepflegt werden.

Beratung der Unternehmensleitung und Fachabteilungen
Artikel 4 Abs. 1 KI-VO fordert, dass Unternehmen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Der KSB kann dabei unterstützen, Schulungen und Sensibilisierungsmaßnahmen durchzuführen.

Risikomanagement und KI-Überprüfung
Artikel 9 KI-VO (Risikomanagementsysteme) fordert, dass Anbieter von Hochrisiko-KI eine laufende Risikobewertung vornehmen. Der KI-Beauftragte kann helfen, diese Risikobewertungen zu dokumentieren und zu koordinieren.

Schnittstelle zu Datenschutz und IT-Sicherheit
Artikel 10 KI-VO regelt den Umgang mit Trainingsdaten, insbesondere, wenn diese personenbezogene Daten enthalten. Daraus ergibt sich eine enge Zusammenarbeit mit dem Datenschutzbeauftragten (DSB), dem Informationssicherheitsbeauftragten (ISB) und der Rechtsabteilung.

Überprüfung von KI-Modellen auf Fairness und Transparenz
Artikel 13 KI-VO (Genauigkeit, Robustheit und Cybersicherheit) fordert, dass KI-Systeme fair, sicher und robust sind.Der KSB kann kontinuierliche Prüfungen und Qualitätssicherungen der eingesetzten KI-Modelle überwachen.

Erstellung und Pflege eines KI-Compliance-Managementsystems
Artikel 16 KI-VO (Qualitätsmanagementsysteme für Hochrisiko-KI) verlangt von Unternehmen, dass sie ein internes System zur Einhaltung der KI-Vorschriften etablieren. Der KI-Beauftragte kann die Koordination und Umsetzung eines solchen Systems übernehmen.

Prüfung und Einhaltung von Datenschutzrichtlinien
Artikel 10 KI-VO (Verarbeitung von Daten für das Training von KI) verweist explizit auf die DSGVO. Für den KSB bedeutet das eine enge Abstimmung mit dem Datenschutzbeauftragten, um sicherzustellen, dass personenbezogene Daten konform verarbeitet werden.

Zusammenarbeit mit Behörden und Aufsichtsstellen
Artikel 71 KI-VO (Aufsichtsbehörden und Marktüberwachung) sieht vor, dass Mitgliedstaaten KI-Aufsichtsstellen benennen. Der KI-Beauftragte kann als zentrale Ansprechperson für behördliche Anfragen fungieren.

Während die Aufgaben und Pflichten, aber auch die Stellung im Unternehmen des Datenschutzbeauftragten durch die DSGVO und das BDSG geregelt sind, fehlen solche Regelungen in der KI-VO. Daraus ergeben sich viele wichtige Unterschiede:

Darf der KI-Beauftragte rechtliche Beratung leisten?
Nein, der KI-Beauftragte ist kein Rechtsberater, sondern verantwortlich für die Einhaltung technischer und organisatorischer Maßnahmen. Ist er kein Rechtsanwalt, darf keine rechtsverbindlichen Bewertungen treffen, sondern sollte mit der Rechtsabteilung oder externen Beratern zusammenarbeiten. Die DSGVO sieht hier einen gewissen Schutz vor, denn die Beratung der Unternehmensleitung ist als zentrale Aufgabe des Datenschutzbeauftragten fest verankert.

Ist der KI-Beauftragte weisungsfrei?
Nein, anders als der DSB nach Art. 38 DSGVO hat der KI-Beauftragte keine garantierte Weisungsfreiheit. Er untersteht der Geschäftsleitung, muss aber unabhängig arbeiten können, um Compliance sicherzustellen.

Gibt es einen besonderen Kündigungsschutz?
Nein, die KI-VO sieht keinen besonderen Kündigungsschutz vor. Anders als beim DSB (Art. 38 Abs. 3 DSGVO) kann der KI-Beauftragte wie jede andere Führungsrolle gekündigt werden.

Darf der Datenschutzbeauftragte auch KI-Beauftragter sein?
Ja, aber mit Einschränkungen. Artikel 4 KI-VO (KI-Kompetenz im Unternehmen) legt nahe, dass Unternehmen eine interne Ansprechperson für KI haben sollten. Da der DSB bereits für datenschutzrechtliche Aspekte von KI verantwortlich ist, kann er unter Umständen auch als KI-Beauftragter fungieren. Aber es gilt Interessenskonflikte zu vermeiden. Wenn der DSB zu viele operative Aufgaben übernimmt, könnte das seine Unabhängigkeit beeinträchtigen.

Muss die Bestellung des KI-Beauftragten einer Behörde gemeldet werden?
Nein. Anders als beim DSB nach Art. 37 Abs. 7 DSGVO gibt es in der KI-VO keine Pflicht zur Meldung der Bestellung eines KI-Beauftragten an eine Aufsichtsbehörde. Dies könnte sich durch zukünftige nationale Regelungen noch ändern.

Eine gesetzliche Verpflichtung zur Benennung eines KI-Beauftragten gibt es derzeit nicht. Dennoch fordert die KI-Verordnung (KI-VO) umfassende Compliance-Maßnahmen, insbesondere für Unternehmen, die Hochrisiko-KI-Systeme einsetzen. In solchen Fällen wird die Einrichtung einer verantwortlichen Instanz dringend empfohlen.

Ein KI-Beauftragter kann dabei helfen, die Einhaltung der KI-VO sicherzustellen, Transparenz zu gewährleisten und Risiken frühzeitig zu erkennen und zu minimieren. Unternehmen sollten daher prüfen, ob die Einführung eines KI-Beauftragten in ihrer Organisation sinnvoll ist und welche Rolle er in bestehende Strukturen übernehmen kann.