Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter

Interessenskonflikt Datenschutzbeauftragter KI-Beauftragter

Ein neues Spannungsfeld für Unternehmen

Künstliche Intelligenz ist längst im Arbeitsalltag angekommen. Viele Unternehmen nutzen Chatbots, Analyse-Tools oder automatisierte Entscheidungsprozesse. Gleichzeitig bleiben Datenschutz und Informationssicherheit zentrale Pflichten. Genau hier entsteht eine neue Frage, die viele Verantwortliche beschäftigt: Darf eine Person gleichzeitig KI-Beauftragter und Datenschutzbeauftragter sein? Oder liegt hier ein echter Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter vor?

Diese Frage ist nicht nur theoretisch. Sie betrifft kleine Betriebe, mittelständische Unternehmen, Konzerne und öffentliche Institutionen gleichermaßen. Mit der EU-KI-Verordnung (KI-VO) wird das Thema noch drängender. Unternehmen stehen zunehmend unter Druck, Innovation zu ermöglichen und gleichzeitig rechtliche Risiken zu minimieren. Studien zeigen, dass über 60 % der Unternehmen KI-Projekte aus Compliance-Sorgen verzögern. In diesem Artikel zeigen wir Ihnen, wo die Risiken liegen, was Gesetzgeber erwarten – und wie Sie auch mit begrenzten Ressourcen eine saubere Lösung finden.

Rollen und Aufgaben im Überblick

Um den Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter richtig einzuordnen, müssen wir die beiden Rollen klar trennen.

Aufgaben des Datenschutzbeauftragten

Der Datenschutzbeauftragte (DSB) überwacht die Einhaltung der DSGVO, berät die Geschäftsleitung, schult Mitarbeitende und ist Ansprechpartner für Aufsichtsbehörden und betroffene Personen. Entscheidend ist seine Unabhängigkeit: Er darf keine Entscheidungen treffen, die er später selbst kontrollieren müsste.

Typische Aufgaben:

  • Kontrolle von Datenverarbeitungen
  • Prüfung von Verträgen und Dienstleistern
  • Durchführung von Datenschutz-Folgenabschätzungen (DSFA)
  • Beratung bei neuen Projekten

Aufgaben des KI-Beauftragten

Der KI-Beauftragte (AI Officer) ist eine Rolle aus der KI-VO. Er sorgt dafür, dass KI-Systeme rechtssicher, transparent und verantwortungsvoll eingesetzt werden – und hat dabei einen klaren operativen Gestaltungsauftrag.

Seine Aufgaben umfassen:

  • Bewertung und Freigabe von KI-Anwendungsfällen
  • Aufbau von KI-Governance-Strukturen
  • Risikomanagement für KI-Systeme
  • Schulung von Mitarbeitenden zur KI-Kompetenz

Genau hier liegt der Kern des Problems: Der DSB kontrolliert, der KI-Beauftragte gestaltet. Wenn dieselbe Person beides tut, fehlt die notwendige Distanz.

Wo entsteht der Interessenskonflikt zwischen Datenschutzbeauftragtem und KI-Beauftragtem?

Der Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter entsteht strukturell dort, wo eine Person gleichzeitig gestalten und kontrollieren soll.

Kontrolle gegen Gestaltung

Wenn dieselbe Person KI-Projekte freigibt und später deren Datenschutzkonformität prüft, ist objektive Bewertung kaum möglich – besonders dann, wenn bereits Budget, Zeit und Reputation investiert wurden. Die DSGVO verlangt in Artikel 38 ausdrücklich, dass der DSB keine Interessenkollision haben darf. Aufsichtsbehörden legen diesen Punkt streng aus und prüfen zunehmend auf funktionale Trennung.

Praxisbeispiel: KI-gestützte Bewerberauswahl

Ein mittelständisches Unternehmen setzt eine KI zur Bewerberauswahl ein. Als KI-Beauftragter bewertet die verantwortliche Person das System als effizient und gibt es frei. Als Datenschutzbeauftragter müsste dieselbe Person später prüfen, ob die Verarbeitung personenbezogener Daten zulässig ist – eine neutrale Prüfung ist in dieser Konstellation strukturell ausgeschlossen.

Rechtlicher Rahmen: DSGVO und KI-VO

Anforderungen aus der DSGVO

Artikel 38 DSGVO fordert, dass der Datenschutzbeauftragte keine Aufgaben wahrnimmt, die zu einem Interessenskonflikt führen. Aufsichtsbehörden haben in mehreren Stellungnahmen betont, dass bereits potenzielle Konflikte problematisch sind – nicht nur nachgewiesene.

Anforderungen aus der KI-VO

Artikel 4 KI-VO verpflichtet Unternehmen zur KI-Kompetenz und zum Aufbau geeigneter Compliance-Strukturen. Der KI-Beauftragte ist dabei klar operativ verankert: Er baut Prozesse auf, er überwacht sie nicht primär. Diese unterschiedlichen Blickwinkel lassen sich in einer einzigen Person nur unter sehr engen Voraussetzungen vereinen.

Ist die Doppelfunktion verboten?

Ein ausdrückliches gesetzliches Verbot existiert aktuell nicht. Entscheidend ist aber nicht der Titel, sondern die tatsächliche Aufgabenwahrnehmung. Aufsichtsbehörden prüfen im Einzelfall:

  • Welche Entscheidungsbefugnisse liegen vor?
  • Wie ist die organisatorische Einbindung?
  • Ist die Unabhängigkeit dokumentiert und glaubwürdig?

In vielen Fällen gelangen Prüfer zu dem Ergebnis, dass ein AI Officer Interessenskonflikt vorliegt – insbesondere dann, wenn der KI-Beauftragte aktiv an Auswahl, Einführung oder Optimierung von Systemen beteiligt war.

Pragmatische Lösungen – auch für kleine Organisationen

Die häufigste Reaktion auf dieses Thema lautet: „Wir haben keine Ressourcen für zwei separate Stellen.“ Das ist verständlich – und kein Grund zur Resignation. Es gibt mehrere Lösungswege, die auch für kleinere Organisationen realistisch sind.

Lösung 1: Klare Rollentrennung (Idealfall)

Die sauberste Lösung ist eine personelle Trennung. Eine Person übernimmt den Datenschutz, eine andere die KI-Governance. Beide berichten idealerweise direkt an die Geschäftsleitung. Das schafft Unabhängigkeit, klare Verantwortlichkeiten und bessere Akzeptanz bei Behörden.

Lösung 2: Funktionale Trennung mit einer Person (pragmatischer Mittelweg)

Wenn personelle Trennung nicht möglich ist, kann eine funktionale Trennung innerhalb einer Person helfen – vorausgesetzt, die Rahmenbedingungen stimmen. Das bedeutet konkret:

  • Keine Entscheidungsbefugnis in der KI-Beauftragten-Rolle: Die Person begleitet und berät KI-Projekte, trifft aber keine abschließenden Freigabeentscheidungen. Diese liegen bei der Geschäftsleitung oder einem Fachbereich.
  • Klare Dokumentation der jeweiligen Handlungen in den verschiedenen Rollen – getrennte Akten, getrennte Berichte, transparente Protokolle.
  • Regelmäßiges Vier-Augen-Prinzip bei kritischen Entscheidungen: Eine zweite Person – z. B. aus dem Management oder einem externen Beirat – bestätigt datenschutzrelevante Bewertungen.
  • Offenlegung gegenüber der Aufsichtsbehörde, falls diese im Rahmen einer Prüfung fragt. Wer die Situation aktiv dokumentiert und begründet, steht deutlich besser da als wer sie verschweigt.

Dieser Ansatz ist kein Freifahrtschein, aber er ist für viele kleine und mittlere Unternehmen ein rechtlich vertretbarer Kompromiss – sofern er ernsthaft und nachvollziehbar umgesetzt wird.

Lösung 3: Externe Unterstützung gezielt einsetzen

Viele Organisationen lösen das Ressourcenproblem durch externe Beauftragung – und das zu deutlich geringeren Kosten als eine zweite Vollzeitstelle.

Mögliche Modelle:

  • Externer Datenschutzbeauftragter + interner KI-Beauftragter: Der DSB bleibt organisatorisch unabhängig, der interne KI-Beauftragte gestaltet Prozesse. Die Rollentrennung ist strukturell sauber.
  • Externer KI-Beauftragter + interner DSB: Sinnvoll, wenn der interne DSB bereits etabliert und bekannt ist, aber KI-Expertise fehlt.
  • Externes Beratungspaket: Für sehr kleine Unternehmen reicht oft eine regelmäßige externe Begleitung (z. B. quartalsweise Review), um die Unabhängigkeit der Kontrollperspektive sicherzustellen.

Externe Expertise ist in der Regel deutlich günstiger als ein Bußgeld oder ein Projektstopp – und bringt Erfahrung aus vielen vergleichbaren Organisationen mit.

Lösung 4: Schrittweise Struktur aufbauen

Besonders für kleine Betriebe gilt: Perfekte Compliance von Anfang an ist unrealistisch. Was zählt, ist ein nachvollziehbarer Aufbau:

  1. Dokumentieren Sie den IST-Zustand ehrlich.
  2. Definieren Sie, wer welche Rolle faktisch ausfüllt.
  3. Identifizieren Sie konkrete Konfliktpunkte und wie Sie damit umgehen.
  4. Planen Sie mittelfristig eine klarere Trennung – z. B. über externe Unterstützung.

Aufsichtsbehörden honorieren nachvollziehbare, ehrliche Bemühungen deutlich mehr als gut klingende Papierlösungen ohne substanzielles Fundament.

Risiken bei falscher Rollenbesetzung

Ein falsch besetztes Rollenmodell kann teuer werden:

  • Beanstandungen durch Datenschutzbehörden
  • Bußgelder nach DSGVO
  • Zweifel an der Glaubwürdigkeit der Compliance
  • Reputationsschäden
  • Projektverzögerungen oder Stopps laufender KI-Anwendungen

Gerade öffentliche Institutionen und Konzerne stehen unter besonderer Beobachtung. Aber auch kleinere Betriebe geraten zunehmend in den Fokus der Aufsicht – unterschätzen Sie dieses Risiko nicht.

Besonderheiten für Mittelstand und öffentliche Institutionen

Mittelstand

Im Mittelstand sind Ressourcen oft begrenzt. Genau hier ist das Risiko für einen unkontrollierten Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter besonders hoch. Der pragmatische Mittelweg – funktionale Trennung mit klarer Dokumentation und externer Begleitung – ist hier oft die wirtschaftlich sinnvollste Option.

Öffentliche Institutionen und Konzerne

Große Organisationen haben komplexe KI-Projekte und hohe Transparenzanforderungen. Eine Doppelfunktion wird hier besonders kritisch gesehen. Viele Behörden trennen Datenschutz, Informationssicherheit und KI-Governance bewusst – das gilt als Best Practice und wird von Rechnungshöfen und internen Revisionen empfohlen.

Fazit: Klarheit schafft Sicherheit – auch ohne große Ressourcen

Der Interessenskonflikt Datenschutzbeauftragter und KI-Beauftragter ist kein Randthema. Er betrifft jedes Unternehmen, das KI einsetzt und personenbezogene Daten verarbeitet.

Auch wenn kein ausdrückliches Verbot existiert, ist eine unstrukturierte Doppelfunktion riskant. Die Anforderungen aus DSGVO und KI-VO verlangen unabhängige Kontrolle, saubere Governance und nachvollziehbare Aufgabentrennung.

Die gute Nachricht: Es gibt pragmatische Wege, die auch für kleine Organisationen funktionieren. Entscheidend ist nicht die perfekte Struktur vom ersten Tag, sondern ein ehrlicher, dokumentierter Umgang mit der Situation – und der Wille, schrittweise besser zu werden.

Wenn Sie unsicher sind, welches Modell für Ihre Organisation passt, lassen Sie Ihre Struktur neutral prüfen. Eine fundierte Einschätzung spart Zeit, Geld und Nerven.