Externer KI-Manager: Warum der Mittelstand jetzt einen braucht — und kaum jemand darüber spricht

Im März 2026 veröffentlichte Deloitte die internationale Studie „State of Generative AI in the Enterprise". Sie befragt Führungskräfte in 14 Ländern zur Frage, auf welcher Ebene KI-Verantwortung im Unternehmen angesiedelt ist. Das Ergebnis für Deutschland: nur 2 Prozent der Unternehmen verankern Künstliche Intelligenz beim CEO. Das ist der niedrigste Wert aller 14 untersuchten Länder — Schlusslicht.

Gleichzeitig meldet die Bitkom in ihrer KI-Studie 2026: 41 Prozent der deutschen Unternehmen setzen KI aktiv ein, weitere 48 Prozent planen den Einsatz. Gegenüber dem Vorjahr (17 Prozent aktive Nutzer) hat sich die Zahl innerhalb eines Jahres verdoppelt. Bei Unternehmen mit mehr als 500 Mitarbeitern liegt die Nutzung sogar über 60 Prozent.

Zwischen diesen beiden Zahlen liegt das, was wir im Folgenden die KI-Governance-Lücke nennen: KI wird operativ genutzt — aber sie wird nicht geführt. Es gibt keine strategische Klammer. Keine definierte Verantwortung. Keine klare Instanz, bei der regulatorische, technische und betriebswirtschaftliche Entscheidungen zusammenlaufen.

Genau diese Lücke schließt die Rolle des KI-Managers. Und weil der deutsche Mittelstand sich keine 350.000 Euro teure Vollzeit-Stelle leisten will oder kann — und weil der Markt für Chief AI Officer ohnehin leergefegt ist — wird diese Rolle zunehmend extern besetzt: als externer KI-Manager, im Retainer-Modell, oft auch als „Fractional Chief AI Officer" bezeichnet.

Dieser Artikel erklärt die Rolle, die Rechtslage, den Markt und die praktische Umsetzung — für Geschäftsführer und Vorstände, die wissen wollen, was hier gerade entsteht.

Der Begriff „KI-Manager" ist in Deutschland noch nicht scharf definiert. Anders als der Datenschutzbeauftragte (der gesetzlich geregelt ist) oder der CISO (der sich aus ISO 27001 heraus etabliert hat), existiert für den KI-Manager bisher kein Normungsrahmen. Das bedeutet: jedes Unternehmen interpretiert die Rolle anders.

In der internationalen Diskussion — besonders in den USA, wo sich der Titel „Chief AI Officer" (CAIO) seit 2024 in Fortune-500-Unternehmen stark ausbreitet — kristallisiert sich jedoch ein konsistentes Aufgabenprofil heraus:

Die fünf Kernaufgaben eines KI-Managers

1. Strategische KI-Roadmap: Welche Use-Cases werden in den nächsten 12–24 Monaten angegangen? Mit welcher Priorität? Welche Use-Cases werden bewusst nicht angegangen? Die Roadmap ist kein Dokument, sondern ein laufender Abstimmungsprozess zwischen Geschäftsführung, Fachabteilungen und KI-Manager.
2. Vendor- und Tool-Evaluation: OpenAI, Anthropic, Google, Open-Source-Modelle, EU-Hosting-Anbieter — die Landschaft verändert sich quartalsweise. Der KI-Manager bewertet laufend Reifegrad, Datenschutz, Audit-Trails, Total Cost of Ownership und empfiehlt die passende Konstellation für den jeweiligen Use-Case.
3. Governance-Strukturen: Wer darf welche Tools nutzen? Wer prüft? Wer eskaliert? Wer dokumentiert? Der KI-Manager entwirft die Rollen- und Prozessarchitektur und stimmt sie mit Datenschutzbeauftragtem, CISO, Betriebsrat und Fachabteilungen ab.
4. Compliance und EU AI Act: Risiko-Klassifizierung jedes KI-Systems nach der Taxonomie des EU AI Acts, Dokumentationspflicht nach Artikel 26, KI-Kompetenz-Nachweise nach Artikel 4 (seit Februar 2025 verbindlich), Qualitätsmanagement für Hochrisiko-Systeme.
5. Reporting an die Geschäftsführung: Monatliche oder quartalsweise Berichte über den KI-Status, neue Risiken, eingetretene Vorfälle, Investitionsentscheidungen, ROI-Tracking und Empfehlungen für das folgende Quartal.

Was ein KI-Manager nicht ist

Um Missverständnissen vorzubeugen, grenzen wir die Rolle klar ab:

• Kein Datenschutzbeauftragter. Der KI-Manager arbeitet eng mit dem DSB zusammen, ersetzt ihn aber nicht. Die gesetzliche DSB-Rolle bleibt bestehen.
• Kein KI-Entwickler. Der KI-Manager konzipiert Use-Cases, verantwortet aber nicht deren Entwicklung. Entwicklung ist ein separates Gewerk (interne Teams oder externe Dienstleister).
• Kein KI-Agentur-Inhaber auf Kundenseite. Agenturen liefern Lösungen. Der KI-Manager entscheidet auf Kundenseite, was geliefert wird und warum.
• Kein IT-Leiter mit Zusatzaufgabe. Gerade im Mittelstand ist die Versuchung groß, KI dem IT-Leiter „mitzugeben". Das funktioniert selten: KI-Governance ist strategisch, nicht operativ. Der IT-Leiter hat keine Zeit für Risikobewertungen auf Vorstandsebene.

Die rationale Antwort auf die 2-Prozent-Lücke wäre: Jedes Unternehmen ab einer bestimmten Größe stellt einen Chief AI Officer ein. So wie es eine Generation vorher bei CIOs und CISOs war. Doch für den deutschen Mittelstand ist das in der Praxis aus drei Gründen unrealistisch:

Grund 1: Der Markt ist leergefegt

In den USA multiplizierte sich die Zahl der CAIO-Positionen in Fortune-500-Unternehmen seit Anfang 2024. Europäische DAX-Konzerne folgen. Die wenigen erfahrenen Kandidaten gehen in Konzerne mit Konzerngehalt. Ein mittelständischer Dienstleister mit 150 Mitarbeitenden hat im Wettbewerb um solche Profile keine Chance.

Grund 2: Die Kosten sind nicht mittelstandskompatibel

Internationale Marktdaten zeigen: Ein Vollzeit-CAIO in den USA kostet zwischen 350.000 und 500.000 US-Dollar Basisgehalt plus Equity. In Deutschland sind die Zahlen niedriger, aber immer noch klar sechsstellig — plus Lohnnebenkosten, plus Recruiting-Aufwand, plus mindestens sechs Monate Einarbeitung. Für einen Mittelständler mit 20–50 Millionen Euro Umsatz ist das nicht darstellbar.

Grund 3: Die Auslastung rechtfertigt keine Vollzeitstelle

Ein KI-Manager, der im Mittelstand arbeitet, hat typischerweise keine 40-Stunden-Woche voller strategischer KI-Entscheidungen. Er hat Wellen: intensive Phasen (EU-AI-Act-Readiness, neue Use-Case-Evaluation, Aufsichtsrats-Briefing) und ruhigere Phasen. Eine fest angestellte Person ist in den ruhigen Phasen strukturell unterbeschäftigt — das ist betriebswirtschaftlich ineffizient und führt langfristig zu Unzufriedenheit auf beiden Seiten.

Die logische Konsequenz: eine externe, fraktionale Besetzung der Rolle. Ein Dienstleister übernimmt die Aufgaben im Retainer-Modell, teilt seine Arbeitszeit über mehrere Mandanten und wird nur dann aktiv, wenn es tatsächlich etwas zu entscheiden oder zu dokumentieren gibt.

In den USA hat sich der Begriff „Fractional Chief AI Officer" bereits etabliert. Marktdaten zeigen: Ein Retainer liegt dort zwischen 15.000 und 30.000 US-Dollar monatlich — das sind 20 bis 40 Prozent der Cash-Kosten einer Vollzeitstelle. Dafür erhält das Unternehmen typischerweise ein bis vier Einsatztage pro Monat mit einer erfahrenen Senior-Person, die in mehreren Unternehmen parallel arbeitet und Best Practices quer übersetzt.

In Deutschland ist das Modell noch jung. Erste spezialisierte Anbieter positionieren sich — in der Regel mit Fokus auf den Mittelstand und mit flexiblen Vertragsmodellen statt Konzern-Beratungsverträgen. Der Kern des Versprechens: „Digitales Kompetenzzentrum auf Abruf", ohne fest angestellte C-Level-Person.

Wie ein Retainer im Mittelstand typischerweise aussieht

Auch wenn wir hier bewusst keine Preise nennen (die hängen stark von Unternehmensgröße, Branche und Taktung ab), lässt sich die typische Leistungsstruktur skizzieren:

• Monatliches Sparring: 60–90 Minuten Call mit der Geschäftsführung. Status, neue Risiken, Priorisierung.
• Ad-hoc-Beratung: Slack oder E-Mail, typische Response-Zeit unter 24 Stunden an Werktagen.
• Laufendes Tool-Monitoring: Neue KI-Tools werden kontinuierlich bewertet, relevante Entwicklungen kommuniziert.
• Schatten-KI Scans: Ein- bis viermal pro Jahr ein vollständiger Scan der tatsächlichen KI-Nutzung im Unternehmen.
• Quartals-Report: 15–25-seitiger Executive-Report direkt an Geschäftsführung und gegebenenfalls Beirat oder Aufsichtsrat.
• Review kritischer Entscheidungen: Second Opinion vor Vendor-Verträgen, Use-Case-Freigaben oder Compliance-Fragestellungen.
• Jahresstrategie-Workshop: Ein ganztägiger Termin vor Ort zur Roadmap-Aktualisierung.

Entscheidend ist die klare Abgrenzung: Der externe KI-Manager übernimmt Beratung und strategische Verantwortung, nicht die Entwicklung. Die gesetzliche Organhaftung (§§ 43 GmbHG, 93 AktG) bleibt bei der Geschäftsführung — darauf kommen wir im nächsten Kapitel zurück.

Die häufigste Fehlannahme im Mittelstand: „KI-Entscheidungen sind technische Entscheidungen, dafür ist doch die IT zuständig." Aus juristischer Sicht ist das schlicht falsch. In Deutschland haften Geschäftsführer nach § 43 GmbHG und Vorstände nach § 93 AktG persönlich — und zwar schon bei einfacher Fahrlässigkeit. Das betrifft alle Entscheidungen, bei denen KI eine Rolle spielt.

Die Business Judgment Rule und ihre KI-Lücke

Nach § 93 Absatz 1 Satz 2 AktG (analog für GmbH-Geschäftsführer über § 43 GmbHG) liegt keine Pflichtverletzung vor, wenn der Vorstand „bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln". Diese Regel nennt man Business Judgment Rule.

Bei KI-Entscheidungen entsteht hier ein praktisches Problem: KI-Systeme liefern in der Regel keine nachvollziehbare Begründung, wie sie zu ihrer Entscheidung gekommen sind (das sogenannte Blackbox-Problem). Eine juristisch saubere Plausibilitätskontrolle — wie sie die ISION-Rechtsprechung des BGH für Berater-Information verlangt — ist damit nur eingeschränkt möglich.

Die Konsequenz: Wer sich blind auf eine KI-Empfehlung verlässt, handelt nicht auf Grundlage „angemessener Information" im Sinne der Business Judgment Rule — und verliert den Haftungsschutz.

Was das konkret bedeutet

Nach deutschem Gesellschaftsrecht bleibt die Letztverantwortung immer beim Vorstand. Eine vollständige Delegation an ein KI-System ist ausgeschlossen. KI kann Entscheidungen vorbereiten — treffen muss sie die Geschäftsführung. Und zwar auf nachvollziehbarer Grundlage.

Im Konzernumfeld ist das gelöst: Ein Chief AI Officer mit Budget, Team und Compliance-Prozessen sorgt dafür, dass Entscheidungsgrundlagen dokumentiert sind. Im Mittelstand ohne diese Rolle entsteht eine Dokumentations- und Plausibilitätslücke — und genau in dieser Lücke entsteht die persönliche Haftung des Geschäftsführers.

Ein externer KI-Manager schließt diese Lücke durch zwei Beiträge: Er liefert die fachliche Grundlage für die Entscheidung (Tool-Bewertung, Risiko-Klassifizierung, Alternativenvergleich) und er dokumentiert diese Grundlage auditierfähig. Die Geschäftsführung entscheidet weiterhin selbst — aber auf belastbarer Informationsbasis.

Ein Aspekt, der in der öffentlichen Diskussion noch immer unterschätzt wird: Der EU AI Act ist nicht erst ab August 2026 relevant. Artikel 4 des EU AI Acts gilt seit dem 2. Februar 2025 verbindlich — für jedes Unternehmen, das KI einsetzt, unabhängig von Größe oder Branche.

Was Artikel 4 verlangt

Der Wortlaut ist kompakt, die Folgen sind weitreichend. Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen dazu, sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das umfasst drei Dimensionen:

• Technisches Verständnis: Wie funktionieren die eingesetzten Modelle? Was sind ihre Grenzen?
• Regulatorisches Wissen: Welche Anforderungen ergeben sich aus AI Act, DSGVO, branchenspezifischen Regelungen?
• Anwendungsbezogene Kenntnisse: Wie setze ich KI in meinem konkreten Arbeitskontext verantwortungsvoll ein?

Dabei ist Artikel 4 bewusst offen formuliert: Es gibt kein vorgeschriebenes Curriculum, keine zertifizierte Ausbildung, keinen verpflichtenden Prüfkatalog. Das Gesetz verlangt eine Organisationsverantwortung — wie die Unternehmen sie erfüllen, bleibt ihnen überlassen.

Die Haftungsfalle im kleinen Paragraphen

Auf den ersten Blick klingt das entspannt: keine direkte Sanktion, keine Bußgelder nach Artikel 4 selbst. Aber die Haftungslage ist trotzdem scharf. Wenn durch fehlerhafte KI-Nutzung ein Schaden entsteht, der durch angemessene Schulung hätte verhindert werden können, greifen die allgemeinen Sorgfaltspflichten — und damit wieder §§ 43 GmbHG, 93 AktG.

Ein KI-Manager übersetzt Artikel 4 in ein konkretes Konzept: Kompetenz-Mapping nach Rollen (was muss welche Mitarbeitergruppe wissen?), Schulungsplan, Nachweis-Dokumentation, regelmäßige Updates. Ohne diese Strukturen riskieren Geschäftsführer bei jedem KI-bezogenen Vorfall den Vorwurf mangelnder Organisation.

Der August-2026-Countdown

Zum 2. August 2026 tritt dann die zweite, deutlich schwerere Welle in Kraft: die vollen Pflichten für Hochrisiko-KI-Systeme. Darunter fallen unter anderem HR-Tools für Bewerberauswahl, Credit-Scoring, biometrische Identifikation und KI-Systeme in kritischer Infrastruktur. Ab diesem Datum drohen Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes — je nachdem, was höher ist.

Der Mittelstand hat also einen klaren Zeitplan: Die Governance-Strukturen müssen vor August 2026 stehen. Wer erst im Juli 2026 anfängt, hat verloren.

Um die bisher abstrakten Konzepte greifbarer zu machen, ein anonymisiertes Fallbeispiel aus der Beratungspraxis — angelehnt an ein reales Mandat, mit leicht veränderten Details zum Schutz der Vertraulichkeit.

Ausgangslage

Ein regulierter Dienstleister im süddeutschen Raum, rund 150 Mitarbeitende, aktives Aufsichtsorgan. Auf der Quartalssitzung stellte der Vorsitzende eine unscheinbare Frage: „Wissen wir eigentlich, welche KI-Tools hier laufen?"

Die Geschäftsführung wusste es nicht — und konnte auf die Schnelle auch niemanden nennen, der es hätte wissen können. Die IT-Leitung kannte die offiziell freigegebenen Systeme, konnte aber für die Schatten-IT keine Aussage treffen. Der Datenschutzbeauftragte kannte die ihm gemeldeten Verarbeitungstätigkeiten — aber eben nur die gemeldeten.

Innerhalb von 48 Stunden nach der Sitzung kam der Anruf. 72 Stunden später war der Kickoff-Termin.

Tag 1–14: Discovery und Schatten-KI-Scan

Ein Readiness-Assessment identifizierte die kritischen Fragestellungen. Parallel lief der erste vollständige Schatten-KI-Scan über Netzwerk-Analyse, MA-Befragungen und Tool-Inventur. Ergebnis: 23 KI-Tools in produktiver Nutzung, davon 9 Tools ohne jegliche Freigabe oder Dokumentation. Darunter drei Fälle mit DSGVO-relevanter Datenweitergabe an Anbieter in Drittstaaten.

Tag 15–45: Risiko-Klassifizierung und Guideline

Jedes Tool wurde nach einem einheitlichen Schema bewertet: Datenschutz-Reifegrad, Audit-Trail, DSGVO-Konformität, EU-Hosting-Status, Anbieter-Stabilität. Drei Tools wurden zu sanktionierten Standards erhoben — inklusive Nutzungsrichtlinie, Freigabeprozess und Audit-Logs. Sechs weitere Tools wurden eingeschränkt oder vollständig deaktiviert. Die Kommunikation an die Mitarbeitenden erfolgte transparent, mit klarer Begründung und ohne Schuldzuweisung.

Tag 46–75: Governance-Briefing und Schulung

Eine schlanke KI-Guideline (sechs Seiten, keine 60) ging an alle Mitarbeitenden. Parallel wurde ein 45-minütiges Schulungsvideo nach Artikel 4 produziert — mit dokumentierter Teilnahmepflicht und Wissens-Check. Eskalationsprozesse wurden definiert, Verantwortliche benannt. Die Geschäftsführung erhielt ein ausführliches Einzel-Briefing inklusive Entwurf der Aufsichtsrats-Vorlage.

Tag 76–90: Aufsichtsrats-Bericht und Übergabe

Der Quartalsbericht an den Aufsichtsrat enthielt: das vollständige KI-Tool-Inventar, die Risiko-Klassifizierung, die getroffenen Maßnahmen, die eingeführten Governance-Strukturen und die Roadmap für das Folgequartal. Der Bericht wurde angenommen. Intern übernahm eine Person mittleren Managements die Rolle des „Hüters der Policy"; EconLab AI blieb als externer KI-Manager im monatlichen Retainer für die strategische Steuerung.

Ergebnisse nach 90 Tagen

• 100 Prozent dokumentierte KI-Nutzung (zuvor etwa 40 Prozent)
• Null kritische Risiken in der Tool-Landschaft
• DSGVO-Mängel in drei Tools aktiv behoben
• Aufsichtsrats-Bericht angenommen, Folgebericht planbar
• Artikel-4-Konformität dokumentiert und auditierbar

Die Lehre aus diesem Mandat: Geschwindigkeit schlägt Perfektion. Der Aufsichtsrat erwartete nicht den großen Wurf in 12 Monaten. Er erwartete, dass die Geschäftsführung strukturiert und nachvollziehbar handelt — und genau das war das Ergebnis.

Die Frage „Brauchen wir einen KI-Manager — intern oder extern?" lässt sich nicht pauschal beantworten. Sie hängt von mindestens sechs Variablen ab. Hier die ehrliche Matrix:

Interne Vollzeit-Stelle (Chief AI Officer)

Lohnt sich, wenn:

• Das Unternehmen über 500 Mitarbeitende hat
• KI Kern des Geschäftsmodells ist (z.B. Software-Produkte mit KI-Features)
• Die Use-Case-Pipeline so voll ist, dass ein externer Retainer strukturell überfordert wäre
• Das Budget mindestens 200.000 Euro Jahres-Gesamtkosten verträgt
• Das Unternehmen bereit ist, 6–9 Monate Recruiting zu investieren

Externer KI-Manager (Fractional CAIO, Retainer)

Lohnt sich, wenn:

• Das Unternehmen zwischen 50 und 500 Mitarbeitende hat
• KI wichtig, aber nicht der einzige strategische Hebel ist
• Regulierte Branche und aktives Aufsichtsorgan vorhanden
• Budget für mittlere vierstellige Monatsretainer vorhanden, aber nicht für C-Level-Gehälter
• Die Geschwindigkeit wichtiger ist als die Suche nach dem „perfekten" internen Kandidaten

Klassische Projekt-Beratung

Lohnt sich, wenn:

• Ein klar abgegrenzter einmaliger Auftrag besteht (z.B. KI-Strategie-Workshop, Readiness-Assessment)
• Kein Bedarf an laufender strategischer Begleitung
• Die interne Organisation stark genug ist, um Ergebnisse selbst umzusetzen

Nichts tun und abwarten

Ist keine Option, wenn:

• Das Unternehmen reguliert ist
• KI-Tools bereits von Mitarbeitenden genutzt werden (praktisch immer)
• Ein Aufsichtsrat oder Beirat Fragen stellt
• Das Unternehmen seine Geschäftsführung vor persönlicher Haftung schützen möchte

Die meisten mittelständischen Unternehmen landen nach ehrlicher Prüfung beim Modell des externen KI-Managers — aus Gründen, die nicht ideologisch, sondern betriebswirtschaftlich sind.

Der Markt für externe KI-Manager wächst schnell. Das bedeutet: nicht jeder Anbieter liefert dieselbe Qualität. Hier sieben Kriterien für die Auswahl:

1. Audit- oder Compliance-Hintergrund

Ein guter KI-Manager kombiniert technische Expertise mit regulatorischer Tiefe. Wer aus der Wirtschaftsprüfung, IT-Auditing oder Compliance kommt, versteht Governance-Architektur besser als jemand, der nur „KI-Beratung" auf der Visitenkarte hat. Achten Sie auf nachweisbare Referenzen — ISO-27001-Projekte, BaFin-Prüfungen, DSGVO-Audits.

2. Eigene operative KI-Praxis

Wer selbst KI-Systeme im produktiven Einsatz betreibt (eigene Produkte, eigener Agentic-Coding-Stack, eigene Automatisierungen), spricht aus Erfahrung. Wer nur theoretische Empfehlungen gibt, ist schnell durchschaut — und liefert oft Allgemeinplätze statt anwendbare Strategien.

3. Vendor-Neutralität

Ein externer KI-Manager, der Provisionen von OpenAI, Microsoft oder einem bestimmten Anbieter bezieht, hat einen strukturellen Interessenkonflikt. Fragen Sie explizit nach Partnerschaften, Affiliate-Programmen und Finanzierungsquellen.

4. Transparentes Leistungsversprechen

Ein seriöser Anbieter sagt klar, was enthalten ist — und was nicht. Wenn „alles nach Absprache" steht, ist Vorsicht geboten. Ein guter Retainer-Vertrag listet enthaltene Leistungen, SLAs (Response-Zeiten), Kündigungsbedingungen und explizit ausgeschlossene Aufgaben (z.B. Rechtsberatung, die einem Anwalt vorbehalten bleibt).

5. Forschungsnähe oder wissenschaftliche Fundierung

KI entwickelt sich so schnell, dass Erfahrung allein nicht reicht. Fragen Sie nach aktuellen Veröffentlichungen, Konferenzbeiträgen, Masterarbeiten, Universitätskooperationen. Wer Anschluss an die Forschung hat, bleibt relevant. Wer nur „gelesen hat was andere geschrieben haben", bleibt hinter der Entwicklung zurück.

6. Kündbarkeit und Übergabe-Fähigkeit

Ein guter externer KI-Manager ist entbehrlich. Das klingt paradox, ist aber wichtig: Er sollte in der Lage sein, nach einer Phase strukturiert an eine interne Rolle zu übergeben — inklusive Dokumentation, Prozessen und Wissenstransfer. Wer Sie in ewige Abhängigkeit manövrieren will, ist kein Partner, sondern ein Lock-in.

7. Kultureller Fit mit der Geschäftsführung

Der KI-Manager sitzt in den wichtigsten Gremien mit. Er liest Geschäftsberichte, Prognosen, Strategiepapiere. Er muss mit Ihrer Geschäftsführung auf Augenhöhe sprechen können — weder von oben herab, noch servil. Ein Discovery Call sollte Ihnen innerhalb von 30 Minuten zeigen, ob das funktioniert.

Faustregel: Wer bereits nach der ersten halben Stunde in Schlagworten spricht („Agentic Coding", „Multi-Agent-Orchestration", „Prompt Engineering"), ohne erklären zu können, was das konkret für Ihren Betrieb bedeutet, ist der falsche Partner.

Wer bis zum August-2026-Stichtag eine funktionierende KI-Governance aufbauen will, hat noch etwa 15 Monate Zeit — klingt viel, ist es aber nicht, wenn man die üblichen Zyklen aus Entscheidung, Vergabe, Implementation und Stabilisierung rechnet. Unsere Empfehlung für die nächsten 90 Tage:

Woche 1–2: Status feststellen

Führen Sie ein ehrliches Status-Assessment durch. Welche KI-Tools sind offiziell freigegeben? Welche werden tatsächlich genutzt (inklusive Schatten-KI)? Wer ist für was verantwortlich? Gibt es dokumentierte Risiken? Dieser Status allein kostet Sie keinen Cent — er kostet Sie eine ehrliche Stunde Selbstreflexion auf Geschäftsführungs-Ebene.

Woche 3–4: Entscheidung treffen

Entscheiden Sie auf Basis der Entscheidungsmatrix aus Kapitel 8: Vollzeit, extern oder Projektberatung. Schieben Sie diese Entscheidung nicht. Das häufigste Muster im Mittelstand ist Prokrastination — und genau diese Prokrastination wird im August 2026 teuer.

Monat 2: Aufsetzen

Wenn Sie sich für einen externen KI-Manager entscheiden: führen Sie 2–3 Discovery Calls mit unterschiedlichen Anbietern. Prüfen Sie die sieben Kriterien aus Kapitel 9. Entscheiden Sie sich, und starten Sie mit einem Kickoff-Workshop plus erstem Schatten-KI-Scan.

Monat 3: Erste Ergebnisse

Nach 90 Tagen sollten Sie einen ersten belastbaren Bericht haben: Tool-Inventar, Risiko-Klassifizierung, Artikel-4-Kompetenzplan, Ausblick auf den August-2026-Meilenstein. Dieser Bericht geht an Geschäftsführung und — falls vorhanden — an Beirat oder Aufsichtsrat.

Warum wir das schreiben

EconLab AI ist selbst als externer KI-Manager für mittelständische Unternehmen tätig. Unsere Positionierung: Audit-DNA aus sieben Jahren Wirtschaftsprüfung und IT-Auditing, kombiniert mit täglicher Agentic-Coding-Praxis in über 100 produktiven KI-Agents. Wir schreiben diesen Artikel nicht als neutrale Beobachter, sondern als Anbieter im Markt — das möchten wir transparent machen.

Gleichzeitig gilt: Die Analyse stimmt unabhängig davon, ob Sie am Ende mit uns arbeiten oder mit einem anderen Anbieter. Die 2-Prozent-Lücke existiert. Die Haftung nach §§ 43 GmbHG, 93 AktG existiert. Der EU AI Act existiert. Der Markt für Vollzeit-CAIOs ist leergefegt. Der Mittelstand braucht eine Antwort — und der externe KI-Manager ist in den meisten Fällen die wirtschaftlich vernünftigste.

Wenn Sie die Rolle in Ihrem Unternehmen besetzen wollen — intern oder extern — und ein ehrliches, unverbindliches Gespräch führen möchten: Wir bieten ein 30-minütiges kostenloses Erstgespräch an. Kein Pitch, kein Verkaufsgespräch. Wir hören zu, stellen Rückfragen und sagen Ihnen ehrlich, ob wir passen. Wenn nicht, nennen wir Ihnen Kollegen aus unserem Netzwerk, die es besser können.

Und falls Sie konkret prüfen möchten, wie unser Modell aussieht: auf unserer Detailseite zum externen KI-Manager finden Sie die Leistungsstruktur, Ablauf, FAQ und ein anonymisiertes Fallbeispiel — in derselben Ausführlichkeit, in der wir in diesem Artikel geschrieben haben.

Einen breiteren Blick auf unser gesamtes Beratungsportfolio — inklusive KI-Strategieberatung, Technischer Beratung & Infrastruktur sowie Vorstands- und Aufsichtsrat-Beratung — bekommen Sie auf unserer Consulting-Übersicht. Der externe KI-Manager ist eine von vier Service-Linien, die alle dieselbe Audit-DNA teilen.

Quellen und Referenzen

• Deloitte, State of Generative AI in the Enterprise (2026): Untersuchung zur KI-Verankerung auf CEO-Ebene in 14 Ländern.
• Bitkom, Künstliche Intelligenz in Deutschland — Studienbericht 2026: 41 % aktive KI-Nutzung, 48 % Planung, Verdopplung zum Vorjahr.
• EU Artificial Intelligence Act, Artikel 4 — AI Literacy (Inkrafttreten 2. Februar 2025): KI-Kompetenzpflicht für Anbieter und Betreiber.
• § 43 GmbHG und § 93 AktG: Organhaftung der Geschäftsführung/des Vorstands, Business Judgment Rule.
• ISION-Rechtsprechung des BGH: Anforderungen an Plausibilitätskontrolle bei Berater-Information.
• Umbrex, Fractional Chief AI Officer Playbook; Marktdaten zu Fractional-CAIO-Retainer-Modellen in den USA und Europa.
• EconLab AI, Schatten-KI im Unternehmen: Vorgängerartikel mit 98-%-Schatten-KI-Prävalenz und Vectra-AI-/Varonis-Studiendaten.