Sign in Subscribe
GRC

AI Officer und DPOs: Warum Datenschutzbeauftragte die natürliche Wahl für KI-Governance sind

AI Officer und DPOs: Warum Datenschutzbeauftragte die natürliche Wahl für KI-Governance sind
Photo by BoliviaInteligente / Unsplash

Künstliche Intelligenz ist innerhalb weniger Jahre vom Nischenthema zum Alltagswerkzeug geworden. Damit verschiebt sich auch die Frage, wer im Unternehmen für den verantwortungsvollen Einsatz dieser Technologie zuständig ist. Vladan Rámiš und František Nonnemann vom tschechischen Partnerverein Spolek pro ochranu osobních údajů (Association for Personal Data Protection) haben dazu einen Beitrag verfasst, der auf der Website der EFDPO veröffentlicht wurde. Wir greifen die Kernargumente auf und ordnen sie für den DACH-Raum ein.

Wachstum mit Folgen für den Datenschutz

Rund 16 Prozent der Weltbevölkerung nutzen laut Microsoft AI Economy Institute bereits KI-Anwendungen, etwa jedes fünfte Unternehmen setzt sie laut OECD aktiv ein. Der globale KI-Markt liegt bei rund 390 Milliarden US-Dollar und wächst zweistellig. Für Datenschutzverantwortliche heißt das: Bestehende Regelwerke müssen auf eine technologische Realität angewendet werden, die schneller, vernetzter und intransparenter ist als alles, was die DSGVO zur Zeit ihrer Entstehung adressieren konnte. KI-Werkzeuge beschleunigen die Verarbeitung, finden Zusammenhänge in scheinbar anonymisierten Daten und verändern die Cybersicherheit in beide Richtungen, defensiv wie offensiv.

Welches Recht greift?

Beim KI-Einsatz greifen mehrere Regelwerke parallel ineinander. Der AI Act liefert den horizontalen Rahmen mit Risikoklassifikation und Pflichten entlang der Wertschöpfungskette. Sobald personenbezogene Daten verarbeitet werden, was bei Training, Betrieb und Monitoring fast immer der Fall ist, kommen DSGVO und ePrivacy-Richtlinie hinzu. Cybersicherheit und operationelle Resilienz adressieren NIS2, DORA, CER-Richtlinie und der Cyber Resilience Act. Sektorale Anforderungen aus MDR, IVDR oder der Finanzregulierung treten je nach Branche dazu, ebenso urheberrechtliche und haftungsrechtliche Fragen aus dem Privatrecht.

Wer ein KI-System einführt, muss diese Regelungspyramide für den konkreten Anwendungsfall durchdeklinieren. Ohne risikobasierten Ansatz ist das nicht zu bewältigen.

Zwei Risikoperspektiven, die sich nicht vermischen lassen

Rámiš und Nonnemann arbeiten einen Punkt heraus, der in der Praxis oft untergeht: Klassisches Risikomanagement bewertet die Schwere eines Risikos aus Sicht der Organisation. AI Act und DSGVO drehen die Perspektive um und fragen primär nach den Auswirkungen auf die betroffene natürliche Person. Eine Verarbeitung kann für das Unternehmen banal sein und für einzelne Betroffene trotzdem ein hohes Risiko darstellen, etwa wenn automatisierte Entscheidungen Lebenschancen beeinflussen.

Ein tragfähiges KI-Governance-Framework muss beide Dimensionen abbilden: das Risiko des Unterlassens (oder fehlerhaften Tuns) für die Organisation und das Risiko des Tuns für die Betroffenen.

AI Officer ist nicht gleich AI Officer

Viele Organisationen besetzen derzeit eine Rolle namens „AI Officer“. Was diese Position tun soll, bleibt oft unklar. Im Kern stehen zwei sehr unterschiedliche Aufgabenprofile im Raum:

Der eine Typus ist die Rolle der AI-Evangelisten: Sie treiben die Adoption, koordinieren Einführungsprojekte, unterstützen Fachbereiche und maximieren das Potenzial der Technologie. Der andere ist die Rolle der AI-Governance- oder Compliance-Officer: Sie überwachen den verantwortungsvollen Einsatz, steuern Risiken, sichern Compliance mit AI Act und angrenzenden Regelwerken und sorgen für die KI-Kompetenzpflicht aus Art. 4 AI Act.

Diese beiden Aufgaben in einer Position zu bündeln, erzeugt einen strukturellen Interessenkonflikt. Wer Adoption forciert, kann nicht gleichzeitig unabhängig prüfen, ob diese Adoption rechtskonform und ethisch vertretbar erfolgt. Eine der beiden Rollen wird in der Praxis verkümmern, meistens die kontrollierende.

Warum DPOs die natürlichen Kandidaten sind

Spätestens an dieser Stelle drängt sich der Vergleich mit der Funktion von Datenschutzbeauftragten nach DSGVO auf. Die strukturellen Parallelen sind erheblich: betroffenenzentrierte Risikobetrachtung, Pflicht zur Folgenabschätzung (DSFA nach Art. 35 DSGVO, FRIA nach Art. 27 AI Act), zweite Verteidigungslinie im Three-Lines-Modell, Beratungs- und Überwachungsfunktion ohne Entscheidungsbefugnis.

DPOs bringen zudem Eigenschaften mit, die sich nicht beliebig replizieren lassen:

  • Weisungsfreiheit nach Art. 38 Abs. 3 DSGVO. Diese Unabhängigkeit ist gesetzlich abgesichert und nicht verhandelbar.
  • Direkter Berichtsweg an die oberste Leitungsebene, ebenfalls aus Art. 38 Abs. 3 DSGVO. Kritische Befunde landen dort, wo sie hingehören.
  • Zugang zu Daten und Verarbeitungstätigkeiten nach Art. 38 Abs. 1 und 2 DSGVO, ergänzt durch die rechtzeitige Einbindung in alle datenschutzrelevanten Vorgänge.
  • Anlaufstelle für Betroffene nach Art. 38 Abs. 4 DSGVO.

Der AI Act greift diese Logik bereits explizit auf. Nach Art. 27 Abs. 5 AI Act sind Betreiber, die für ein Hochrisiko-KI-System eine Fundamental Rights Impact Assessment durchführen, verpflichtet, DPOs einzubinden, soweit anwendbar.

Wo sich die Rollen überschneiden, wo sie auseinanderlaufen

Der Originalbeitrag liefert eine gut gemachte Gegenüberstellung. Verdichtet auf die wesentlichen Punkte:

Rechtsgrundlage: DPOs haben sie in Art. 37 bis 39 DSGVO, AI-Governance-Officer sind im AI Act nicht ausdrücklich vorgesehen. Ihre Rolle leitet sich aus den Pflichten zu Hochrisiko-Systemen (insbesondere Art. 9 und Art. 26 AI Act) und der allgemeinen Rechenschaftspflicht ab.

Hard Skills Recht: DPOs benötigen DSGVO, ePrivacy, sektorale Vorgaben, arbeits- und verbraucherrechtliche Aspekte, Cybersicherheit und zunehmend den AI Act. AI-Governance-Officer brauchen denselben Werkzeugkasten, mit anderer Schwerpunktsetzung und ergänzt um Urheberrecht (Trainingsdaten) und produktbezogene Regulatorik.

Hard Skills Technik: Beide brauchen Verständnis für Datenflüsse, Architektur und Schutzmaßnahmen. AI-Governance-Officer zusätzlich Wissen zu Trainings-, Validierungs- und Testdaten, Bias, Black-Box-Problematik und KI-spezifischen Angriffsvektoren.

Soft Skills: Unabhängigkeit, Bereitschaft, unangenehme Wahrheiten auszusprechen, kommunikative Brückenfunktion zwischen Fachbereichen. Hier unterscheiden sich beide Rollen kaum.

Stellung in der Organisation: Bei DPOs gesetzlich abgesichert, bei AI-Governance-Officern nicht. In der Praxis müssen die Schutzmechanismen vertraglich nachgebildet werden.

Verhältnis zur Entscheidung: Beide sind beratend und überwachend, nicht entscheidend. Bei DPOs ergibt sich das aus Art. 38 Abs. 6 DSGVO, bei AI-Governance-Officern aus der Logik der zweiten Verteidigungslinie.

Doppelmandat: rechtlich kein Problem, wenn der Interessenkonflikt sauber adressiert wird

Es gibt keine gesetzliche Hürde, beide Rollen in einer Position zu vereinen. Art. 38 Abs. 6 DSGVO erlaubt DPOs ausdrücklich, weitere Aufgaben wahrzunehmen, solange daraus kein Interessenkonflikt entsteht. Der AI Act schweigt zur Doppelung und setzt die parallele Anwendung der DSGVO voraus.

Die WP29-Leitlinien zur Funktion von DPOs, vom EDSA bestätigt, listen die typischen unvereinbaren Funktionen auf: CEO, COO, CFO, Leitung Marketing, HR oder IT. Alles, was Zwecke und Mittel der Verarbeitung bestimmt, ist tabu. Übertragen auf KI bedeutet das: Wer den AI-Evangelist-Hut trägt und über Einführung und Einsatzbereiche entscheidet, kann nicht gleichzeitig die Governance-Rolle ausfüllen.

Sinnvoll ist daher, intern verbindlich festzulegen, welche Positionen mit der kombinierten DPO- und AI-Governance-Rolle unvereinbar sind, und dies in Stellenbeschreibungen oder Dienstleistungsverträgen abzubilden.

Was das praktisch bedeutet

DPOs bringen für die KI-Governance bereits mit, was sich an anderer Stelle erst aufgebaut werden müsste: etablierte Compliance-Prozesse, Erfahrung mit Risikobewertungen aus Betroffenenperspektive, Routine bei der Prüfung automatisierter Verarbeitung, Vertragsmanagement mit Dienstleistern, Übersicht über Prozesse und Datenflüsse. Genau das verlangen Art. 9 AI Act (Risikomanagement für Hochrisiko-Systeme) und Art. 26 AI Act (Betreiberpflichten).

Wer eine fähige DPO-Funktion hat und sie nicht für die KI-Governance in Erwägung zieht, vergibt eine offensichtliche Chance. Das heißt nicht, dass die Trennung in allen Fällen falsch wäre. In großen Organisationen mit umfangreichem KI-Portfolio oder bei kapazitativen Engpässen ist eine separate Funktion oder ein KI-Governance-Team mit DPO-Beteiligung oft die bessere Lösung. Die Grundkonstellation aber lautet: DPOs und AI-Governance-Officer gehören enger zusammen, als die aktuelle Debatte um die „AI Officer“-Rolle vermuten lässt.

Fazit

Die Trennung zwischen AI-Evangelisten und AI-Governance-Officern ist keine akademische Spitzfindigkeit, sondern eine Voraussetzung für funktionierende Compliance. Wer beide Rollen in einer Position bündelt, baut den Interessenkonflikt ins eigene Governance-Modell ein. DPOs sind für die Governance-Seite die natürlichen Kandidaten, weil DSGVO und AI Act methodisch dieselbe Sprache sprechen und DPOs bereits über die strukturellen Schutzmechanismen verfügen, die der AI Act für seine Aufsichtsfunktionen noch nicht ausdrücklich vorsieht.

Der Originalbeitrag „AI Officer and DPO“ stammt von Vladan Rámiš (Chair of the Committee) und František Nonnemann (Vice-Chair of the Committee) der Association for Personal Data Protection (Tschechische Republik), unserem tschechischen Partnerverein in der EFDPO. Er wurde am 27. Mai 2026 auf der Website der European Federation of Data Protection Officers veröffentlicht: efdpo.eu/ai-officer-and-dpo.

Read next

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Souveräne Cloud: Vom Marketing-Begriff zum messbaren Standard

Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) hat kürzlich seinen Kriterienkatalog „Criteria Enabling Cloud Computing Autonomy" (C3A) veröffentlicht. Das klingt zunächst wie ein weiteres technisches Regelwerk aus Deutschland ohne unmittelbare Relevanz für österreichische Datenschutzbeauftragte. Wer genauer hinschaut, erkennt jedoch: Dieser Katalog ist ein erster ernstzunehmender Versuch, die
Michael Mrak