KI-Rollenmodell und Kompetenznachweis im Mittelstand

Warum KI klare Rollen braucht

In vielen mittelständischen Unternehmen ist KI von unten gewachsen. Einzelne Mitarbeitende haben Werkzeuge ausprobiert, Fachbereiche haben eigene Lösungen eingeführt, und nach und nach ist daraus ein produktiver Bestand geworden. Was dabei fast immer fehlt, ist eine klare Antwort auf eine einfache Frage: Wer ist eigentlich wofür zuständig?

Der Branchenverband Bitkom verzeichnet für 2025 eine deutlich wachsende Verbreitung von KI in deutschen Unternehmen. Mit jeder neuen Anwendung wächst die Zahl der Stellen, die mit KI in Berührung kommen, und damit die Notwendigkeit, Verantwortung und Kompetenz klar zu verteilen. Eine wachsende KI-Landschaft ohne Rollenmodell ist wie ein Unternehmen ohne Organigramm: Es funktioniert eine Weile, bis die erste ernste Situation die fehlende Struktur offenlegt.

Solange alles funktioniert, scheint diese Frage zweitrangig. Sie wird in dem Moment entscheidend, in dem etwas schiefgeht, eine Entscheidung getroffen werden muss oder eine Prüfung ansteht. Dann zeigt sich, ob es eine verantwortliche Stelle gibt oder ob die Verantwortung zwischen Geschäftsführung, IT und Fachbereich hin- und hergeschoben wird. Ein KI-Rollenmodell beantwortet diese Frage vorab, bevor sie unter Druck beantwortet werden muss.

Ein Rollenmodell ist mehr als ein Organigramm. Es legt fest, wer eine KI-Anwendung verantwortet, wer sie fachlich steuert, wer ihre Rechtmäßigkeit prüft und wer sie technisch betreibt. Und es verbindet jede dieser Rollen mit einer nachweisbaren Kompetenz, denn eine Verantwortung ohne das nötige Wissen ist nur eine Verantwortung auf dem Papier. Genau diese Verbindung aus Rolle und Kompetenznachweis ist seit dem EU AI Act keine freiwillige Kür mehr, sondern eine regulatorische Erwartung.

Ohne klare Rollen verantwortet niemand die KI, und alle gleichzeitig

Wenn die Zuständigkeit nicht definiert ist, fühlt sich im Normalbetrieb niemand verantwortlich und im Krisenfall jeder angegriffen. Ein Rollenmodell macht aus diffuser Mitverantwortung klare, benannte und mit Kompetenz hinterlegte Zuständigkeit.

Dieser Leitartikel beschreibt, aus welchen Rollen ein KI-Rollenmodell für den Mittelstand besteht, wer welche Verantwortung trägt, was der EU AI Act an Kompetenz verlangt, wie sich ein Kompetenznachweis je Rolle führen lässt und wie Sie dieses Modell mit einer geführten KI-Leitung aufbauen, auch wenn das Wissen heute noch nicht vollständig im Haus ist.

Das KI-Rollenmodell im Überblick

Ein tragfähiges KI-Rollenmodell für den Mittelstand kommt mit wenigen, klar geschnittenen Rollen aus. Es muss nicht jede Stelle neu besetzt werden, oft übernehmen vorhandene Personen eine zusätzliche Rolle. Entscheidend ist, dass jede Rolle eindeutig benannt ist und weiß, was von ihr erwartet wird.

An der Spitze steht die Geschäftsführung. Sie trägt die Letztverantwortung für den KI-Einsatz und gibt den Rahmen vor, was das Unternehmen mit KI erreichen will und wo die Grenzen liegen. Darunter steht die KI-Leitung, eine Rolle, die den Einsatz strategisch steuert, Prioritäten setzt und die anderen Rollen zusammenführt. Sie ist der Dreh- und Angelpunkt des Modells.

Auf der fachlichen Ebene steht der Process Owner, also die Person im Fachbereich, die eine konkrete Anwendung inhaltlich verantwortet und beurteilt, ob die Ergebnisse fachlich taugen. Daneben steht die Rolle für Datenschutz und Recht, die prüft, ob eine Anwendung zulässig ist. Die IT- und Sicherheitsrolle verantwortet den technischen Betrieb und die Absicherung. Und schließlich gibt es die Anwender, die die KI im Alltag nutzen und ein Grundverständnis für ihre Möglichkeiten und Grenzen brauchen.

Hilfreich ist es, neben der Verantwortung auch die Entscheidungsrechte zu klären. Für jede wichtige Entscheidung im KI-Einsatz sollte feststehen, wer sie vorbereitet, wer sie trifft und wer informiert werden muss. Diese einfache Logik verhindert sowohl Blockaden, bei denen niemand entscheidet, als auch Alleingänge, bei denen jemand über seinen Verantwortungsbereich hinaus handelt. Gerade bei der Einführung neuer Anwendungen zeigt sich schnell, ob diese Entscheidungswege geklärt sind oder ob jede Freigabe zur Verhandlung wird.

Dieses Modell lässt sich an die Größe des Unternehmens anpassen. In kleineren Häusern kann eine Person mehrere Rollen übernehmen, solange die Aufgaben klar getrennt bleiben und keine Rolle sich selbst kontrolliert. Wichtig ist nicht die Zahl der Köpfe, sondern die Eindeutigkeit der Zuordnung. Ein häufiger Reflex ist, ein möglichst feingliedriges Modell mit vielen Spezialrollen zu entwerfen. Für den Mittelstand ist das selten sinnvoll. Wenige, klar verstandene Rollen, die tatsächlich gelebt werden, sind mehr wert als ein ausgefeiltes Modell, das niemand im Alltag anwendet.

Wer trägt die Verantwortung

Eine der häufigsten Unklarheiten betrifft den Unterschied zwischen Verantwortung und Ausführung. Wer eine KI bedient, ist nicht automatisch für sie verantwortlich. Und wer verantwortlich ist, muss nicht selbst die Technik bedienen. Diese Trennung sauber zu ziehen, ist der Kern eines funktionierenden Rollenmodells.

Die Letztverantwortung liegt immer bei der Geschäftsführung. Sie kann einzelne Aufgaben delegieren, aber nicht die grundsätzliche Verantwortung dafür, dass KI im Unternehmen rechtmäßig und beherrscht eingesetzt wird. Diese Verantwortung lässt sich nicht an einen Dienstleister oder ein Werkzeug abgeben. Darunter wird die operative Verantwortung verteilt: Der Process Owner steht für die fachliche Richtigkeit, die Datenschutzrolle für die Zulässigkeit, die IT für den sicheren Betrieb.

Hilfreich ist, die wichtigsten Rollen schriftlich zu bestellen, also festzuhalten, wer welche Rolle mit welchen Befugnissen übernimmt. Das muss kein juristisches Dokument sein, eine klare, datierte Notiz genügt. Sie schafft Verbindlichkeit, gibt der benannten Person Rückhalt und ist im Ernstfall der Beleg dafür, dass die Verantwortung bewusst verteilt wurde. Ohne diese Schriftlichkeit bleibt die Rollenverteilung oft Absichtserklärung, die im Alltag wieder verschwimmt.

Damit diese Verteilung trägt, braucht es eine Stelle, die das Ganze zusammenhält. Ohne eine KI-Leitung zerfällt das Modell in nebeneinander arbeitende Zuständigkeiten, die im Zweifel aufeinander zeigen. Die KI-Leitung sorgt dafür, dass die Rollen ineinandergreifen, dass Entscheidungen getroffen werden und dass niemand zwischen den Stühlen sitzt. In vielen mittelständischen Unternehmen ist gerade diese Rolle zunächst nicht besetzt, und genau hier entstehen die größten Lücken.

Rollen und die drei Verteidigungslinien

Ein bewährtes Ordnungsprinzip aus dem Risikomanagement hilft, das Rollenmodell sauber zu strukturieren: die drei Verteidigungslinien. Es klingt technischer, als es ist, und beschreibt schlicht, wer im Tagesgeschäft handelt, wer überwacht und wer unabhängig prüft.

Die erste Linie sind die Fachbereiche, die KI im Alltag nutzen. Der Process Owner und die Anwender stehen hier. Sie tragen die unmittelbare Verantwortung dafür, dass eine Anwendung in ihrem Bereich richtig eingesetzt wird. Die zweite Linie sind die übergreifenden Kontrollfunktionen, also Datenschutz, Recht und die KI-Leitung. Sie geben Regeln vor, überwachen ihre Einhaltung und unterstützen die erste Linie, ohne ihr die Verantwortung abzunehmen. Die dritte Linie ist die unabhängige Prüfung, etwa durch eine interne Revision oder eine externe Auditstelle, die kontrolliert, ob das gesamte System funktioniert.

In der Praxis lässt sich die dritte Linie im Mittelstand auch durch eine externe Stelle abbilden, die in regelmäßigen Abständen unabhängig prüft. Das spart eigene Strukturen und bringt zugleich einen unverstellten Blick von außen, der interne Betriebsblindheit ausgleicht. Entscheidend ist nur, dass diese prüfende Instanz wirklich unabhängig von denen ist, die KI einsetzen und steuern. Sobald Prüfung und Betrieb in einer Hand liegen, verliert die dritte Linie ihren Sinn.

Für den Mittelstand muss dieses Modell nicht überdimensioniert werden. Wichtig ist allein das Prinzip, dass nicht dieselbe Person handelt, überwacht und prüft. Schon eine einfache Trennung dieser drei Aufgaben verhindert die gefährlichsten blinden Flecken. Wer KI einsetzt, kann sich nicht selbst die Unbedenklichkeit bescheinigen, und wer eine Anwendung baut, sollte nicht allein über ihre Zulässigkeit entscheiden. Die drei Linien geben dem Rollenmodell damit seine innere Logik.

Kompetenz als Pflicht: was Artikel 4 verlangt

Mit dem EU AI Act ist Kompetenz im Umgang mit KI keine Frage des guten Willens mehr. Der Rechtsrahmen verlangt, dass Personen, die KI-Systeme einsetzen oder betreiben, über ein ausreichendes Maß an KI-Kompetenz verfügen. Gemeint ist ein Verständnis dafür, wie diese Systeme funktionieren, welche Chancen und Risiken sie mit sich bringen und wie sie verantwortungsvoll genutzt werden.

Diese Pflicht trifft nicht nur Spezialisten, sondern grundsätzlich alle, die mit KI arbeiten, abgestuft nach ihrer Rolle. Eine Anwenderin braucht ein anderes Kompetenzniveau als die KI-Leitung, und die Geschäftsführung braucht ein anderes als die Datenschutzrolle. Genau hier verbindet sich die Kompetenzpflicht mit dem Rollenmodell: Die Rolle bestimmt, welche Kompetenz nötig ist und in welcher Tiefe sie nachgewiesen werden muss. Welche konkreten Inhalte eine solche Schulungspflicht umfasst und wie ein Curriculum dafür aussieht, beschreibt der Beitrag KI-Kompetenz nach Artikel 4 im Detail.

Wichtig ist, dass es nicht um ein einmaliges Häkchen geht. KI verändert sich schnell, und damit auch die nötige Kompetenz. Ein tragfähiges Modell sieht deshalb eine wiederkehrende Auffrischung vor und hält den jeweiligen Stand nachvollziehbar fest. So wird aus einer abstrakten Pflicht ein gelebter Bestandteil der Organisation.

Für mittelständische Unternehmen ist diese Pflicht zugleich eine Chance. Ein Team, das KI versteht, nutzt sie nicht nur sicherer, sondern auch wirkungsvoller. Es erkennt, wo sich ein Einsatz lohnt und wo nicht, und vermeidet sowohl überzogene Erwartungen als auch unbegründete Ängste. Die Kompetenzpflicht zwingt damit zu etwas, das ohnehin im eigenen Interesse liegt: einer Belegschaft, die mit KI souverän umgeht. Wer die Pflicht nur als Last begreift, verschenkt diesen Nebeneffekt.

Der Kompetenznachweis: was pro Rolle belegt sein muss

Ein Kompetenznachweis klingt nach Prüfung und Zertifikat, ist im Kern aber etwas Einfacheres: ein nachvollziehbarer Beleg dafür, dass eine Person das für ihre Rolle nötige Wissen besitzt. Wie dieser Beleg aussieht, hängt von der Rolle ab.

Für Anwender genügt oft der dokumentierte Besuch einer Grundlagenschulung, ergänzt um eine kurze Bestätigung der wichtigsten Regeln im Umgang mit KI. Für den Process Owner kommt der Nachweis hinzu, dass er die Ergebnisse seiner Anwendung fachlich beurteilen kann, etwa anhand konkreter Beispiele aus seinem Bereich. Die Datenschutzrolle weist vertiefte Kenntnisse in Datenschutz und im EU AI Act nach, die KI-Leitung zusätzlich Methodik, Architekturverständnis und Führungskompetenz im KI-Einsatz.

Sinnvoll ist eine einfache Kompetenzmatrix, die für jede Rolle festhält, welche Kompetenz erwartet wird, wie sie belegt ist und wann sie zuletzt aufgefrischt wurde. Diese Matrix ist zugleich das Beweismittel gegenüber einer Aufsicht und ein Steuerungsinstrument für das Unternehmen, weil sie Lücken sichtbar macht. Sie muss nicht aufwendig sein. Eine gepflegte Übersicht genügt, solange sie aktuell gehalten wird und die Verbindung zwischen Rolle, Person und Nachweis klar bleibt.

Der größte Fehler an dieser Stelle ist, Kompetenz mit einer Schulung gleichzusetzen. Eine besuchte Schulung ist ein Baustein, aber erst die Fähigkeit, das Gelernte in der eigenen Rolle anzuwenden, ist die eigentliche Kompetenz. Ein guter Nachweis berücksichtigt deshalb nicht nur, was jemand gehört hat, sondern auch, dass er es in seinem Arbeitsalltag einsetzt.

Vorsicht ist auch vor dem Gegenteil geboten, dem Zertifikate-Theater. Ein Stapel allgemeiner Online-Zertifikate belegt selten die rollenspezifische Kompetenz, auf die es ankommt. Ein Process Owner im Einkauf braucht ein anderes Wissen als einer in der Personalabteilung, und kein generisches Zertifikat deckt das ab. Der Kompetenznachweis sollte deshalb immer den Bezug zur konkreten Rolle und zu den tatsächlich eingesetzten Anwendungen herstellen. Lieber ein knapper, aber passgenauer Beleg als eine Sammlung beeindruckender, aber unspezifischer Urkunden, die im Ernstfall niemanden überzeugt.

Typische Fehler im Rollenmodell

Beim Aufbau eines KI-Rollenmodells wiederholen sich einige Fehler, die seine Wirkung untergraben.

Der erste Fehler ist die Scheinverantwortung. Eine Rolle wird benannt, aber mit keiner echten Befugnis oder Zeit ausgestattet. Der Benannte trägt formal die Verantwortung, kann sie aber nicht ausfüllen. Der zweite Fehler ist die Vermischung von Kontrolle und Ausführung. Wenn dieselbe Person eine Anwendung baut und ihre Zulässigkeit prüft, fehlt das Korrektiv. Der dritte Fehler ist die fehlende KI-Leitung. Ohne eine Stelle, die das Modell zusammenhält, bleiben die Rollen Inseln.

Der vierte Fehler betrifft die Kompetenz. Rollen werden verteilt, ohne zu prüfen, ob die Personen das nötige Wissen mitbringen. So entsteht ein Modell, das auf dem Papier vollständig ist, in der Praxis aber nicht trägt. Der fünfte Fehler ist die fehlende Pflege. Ein Rollenmodell, das einmal erstellt und dann vergessen wird, veraltet schnell, weil Personen wechseln und neue Anwendungen hinzukommen. Eng damit verbunden ist die unkontrollierte Nutzung von KI, die sich jedem Rollenmodell entzieht, solange sie nicht sichtbar gemacht wird, wie der Beitrag Schatten-KI im Unternehmen zeigt.

Eine Rolle ohne Befugnis und Kompetenz ist nur ein Name

Verantwortung trägt nur, wer auch entscheiden darf und das nötige Wissen besitzt. Ein Rollenmodell, das Zuständigkeit verteilt, ohne Befugnis und Kompetenz mitzugeben, erzeugt eine gefährliche Illusion von Kontrolle.

Wie Sie ein KI-Rollenmodell aufbauen

Der Aufbau eines Rollenmodells lässt sich in vier Schritten bewältigen, ohne die Organisation zu überfordern.

Der erste Schritt ist die Bestandsaufnahme. Sie erfassen, welche KI-Anwendungen es gibt und wer sich heute faktisch um sie kümmert. Oft existieren informelle Rollen bereits, sie sind nur nicht benannt. Der zweite Schritt ist die Zuordnung. Sie weisen jeder Anwendung die Rollen aus dem Modell zu und benennen konkrete Personen, samt Vertretung. Hier zeigt sich schnell, wo eine Rolle fehlt oder überlastet ist.

Der dritte Schritt ist der Kompetenzabgleich. Für jede zugewiesene Rolle prüfen Sie, ob die Person die nötige Kompetenz besitzt oder ob ein Aufbau nötig ist. Daraus entsteht die Kompetenzmatrix. Der vierte Schritt ist die Verankerung. Das Rollenmodell wird Teil der normalen Abläufe, mit klaren Übergaben bei Personalwechsel und einer regelmäßigen Überprüfung. Ein bewährtes Hilfsmittel ist dabei ein einfaches Ampel-System für die Steuerung, wie es der Beitrag KI-Governance mit Ampel-System beschreibt.

Diese vier Schritte sollten nicht als einmaliges Projekt verstanden werden, sondern als Beginn eines fortlaufenden Prozesses. Personen wechseln, neue Anwendungen kommen hinzu, und die Anforderungen verändern sich. Ein Rollenmodell, das einmal im Jahr überprüft und bei jedem Personalwechsel angefasst wird, bleibt lebendig. Eines, das nach der ersten Erstellung in einer Ablage verschwindet, ist nach kurzer Zeit nur noch ein historisches Dokument. Die regelmäßige, kurze Überprüfung ist deshalb kein Verwaltungsaufwand, sondern die eigentliche Voraussetzung dafür, dass das Modell seine Wirkung behält.

Rollen zuerst benennen, dann mit Kompetenz hinterlegen

Ein Rollenmodell entsteht nicht durch ein großes Reorganisationsprojekt, sondern indem vorhandene faktische Zuständigkeiten benannt, geordnet und mit dem passenden Kompetenznachweis verbunden werden. Der erste Schritt ist Klarheit, nicht ein neues Organigramm.

Wenn die Kompetenz im Haus noch fehlt

Viele mittelständische Unternehmen stehen vor demselben Problem: Sie können die Rollen benennen, aber für einige davon fehlt das nötige Wissen im Haus. Besonders die KI-Leitung ist eine Rolle, die anspruchsvolles Wissen aus Strategie, Recht, Architektur und Methodik vereint, und das ist selten von heute auf morgen verfügbar.

Dieser Mangel ist kein Grund, das Rollenmodell aufzuschieben. Im Gegenteil: Gerade dann lohnt es sich, die Rollen klar zu benennen und für die noch nicht besetzbaren eine Brücke zu bauen. Eine erfahrene externe KI-Leitung kann diese Rolle übernehmen, das Modell etablieren und zugleich die internen Personen so weit aufbauen, dass sie die Rolle später selbst tragen. Wie lange ein solcher Kompetenzaufbau realistisch dauert und wie die Brücke über eine externe Leitung funktioniert, beschreibt der Beitrag KI-Kompetenzaufbau und die Brücke über externe Leitung.

Der Vorteil dieses Wegs liegt darin, dass das Unternehmen sofort handlungsfähig wird, ohne auf den langwierigen Aufbau interner Spezialisten zu warten. Die Verantwortung bleibt im Haus, die Ausführung wird übergangsweise gestützt, und das Wissen wächst planvoll mit. So entsteht kein Abhängigkeitsverhältnis, sondern eine zeitlich begrenzte Brücke mit einem klaren Ziel: die eigene Kompetenz.

Wichtig ist, diese Brücke von Anfang an mit einem Übergabeplan zu versehen. Wer welche Teile der KI-Leitung bis wann übernimmt, sollte nicht dem Zufall überlassen bleiben, sondern als Ziel im Mandat stehen. So wird aus der externen Unterstützung kein Dauerzustand, sondern ein bewusst gestalteter Weg zur eigenen Souveränität. Das Unternehmen behält die Kontrolle über das Tempo und kann den Übergang an seine Möglichkeiten anpassen, statt sich an einer fremden Geschwindigkeit auszurichten.

Wie sensified Rollen und Kompetenz aufbaut

sensified übernimmt für mittelständische Unternehmen die strategische KI-Leitung und baut dabei das Rollenmodell von Anfang an mit auf. Statt KI als lose Sammlung von Werkzeugen zu betreiben, entsteht eine geordnete Struktur, in der jede Anwendung eine klare Verantwortung und jede Rolle die nötige Kompetenz hat.

Der Einstieg ist ein Discovery-Workshop, in dem die vorhandenen Anwendungen und die faktischen Zuständigkeiten erfasst werden. Daraus entsteht ein konkretes Rollenmodell mit benannten Personen und eine Kompetenzmatrix, die Lücken sichtbar macht. Ein festes Duo aus einem KI-Architekten und einem Domänenexperten übernimmt anfangs die KI-Leitung, etabliert die Rollen und baut die internen Personen gezielt auf.

Dieser Ansatz unterscheidet sich bewusst von einer reinen Schulung. Eine Schulung vermittelt Wissen, lässt die Organisation aber unverändert. sensified setzt zugleich an der Struktur an, indem es Rollen benennt, Verantwortung verankert und den Kompetenzaufbau an die konkrete Rolle bindet. So entsteht nicht nur geschultes Personal, sondern eine Organisation, in der jede KI-Anwendung einen klaren Verantwortlichen mit dem passenden Wissen hat. Wissen und Struktur wachsen gemeinsam, statt nebeneinander herzulaufen.

Für größere Vorhaben folgt ein Mandat nach dem Prinzip Build, Operate, Transfer. sensified etabliert das Rollenmodell, führt es zunächst selbst und übergibt die KI-Leitung samt dokumentierter Rollen und Kompetenznachweise an Ihr internes Team. Am Ende verfügt Ihr Haus über eine klare Verantwortungsstruktur, die einer Prüfung standhält und die Sie selbst tragen. Wie diese dauerhaft verantwortete Leitung aussieht, beschreibt der Beitrag externe KI-Leitung im Mittelstand.

Nächste Schritte

Ein KI-Rollenmodell beginnt nicht mit einem Organigramm, sondern mit einer ehrlichen Frage: Wer ist heute für unsere wichtigste KI-Anwendung verantwortlich, und kann diese Person die Verantwortung auch fachlich tragen? Können Sie diese Frage nicht klar beantworten, ist genau das der Ausgangspunkt.

Wenn Sie wissen möchten, wie ein tragfähiges Rollenmodell für Ihr Haus aussieht und wie Sie die nötige Kompetenz aufbauen oder überbrücken, sprechen Sie mit uns. In einem ersten Gespräch ordnen wir Ihre Situation ein und zeigen, wie ein geführter Weg von der Bestandsaufnahme über das Rollenmodell und den Kompetenznachweis bis zur eigenständigen KI-Leitung in Ihrem Haus aussehen kann.