Tech-Mandate im Aufsichtsrat: NIS2, EU AI Act und der Skill-Gap

20.05.2026

9 Min. Lesezeit

Bei der letzten Bilanzpressekonferenz eines DAX-Konzerns saß im Aufsichtsrat eine Person mit explizitem KI-Mandat. Bei dreizehn weiteren saß keine. Das ist nicht Statistik, das ist Governance-Lage. Wer im Mai 2026 über NIS2-Haftung, EU AI Act und Lieferketten-Resilienz redet, redet über Themen, die im Aufsichtsrat aktuell selten einen verantwortlichen Sitz haben.

Das Wichtigste in Kürze

Tech-Mandat im Aufsichtsrat ist 2026 kein Nice-to-have: NIS2-Geschäftsleitungshaftung, EU AI Act mit Sanktionsrahmen ab Februar 2026 und die laufende CSRD-Datenpipeline binden Aufsichtsorgane in technische Detail-Fragen, für die viele Gremien personell nicht aufgestellt sind.
Skill-Gap ist messbar, nicht gefühlt: In einer DSW-Analyse zu DAX- und MDAX-Aufsichtsräten gaben weniger als ein Fünftel der Mitglieder bei einer Selbsteinschätzung an, KI-bezogene Risikofragen ohne externe Beratung verantwortungsbewusst entscheiden zu können.
Audit- und Risikoausschuss tragen den Hauptdruck: Wer Tech-Mandate vergibt, ohne den Audit-Ausschuss strukturell mit Tech-Kompetenz auszustatten, schiebt das Risiko an eine Stelle, die es nicht prüfen kann. Die Folge sind Beschluss-Vorlagen, die Geschäftsleitung und Aufsichtsrat formal abnicken, ohne dass jemand den Inhalt unabhängig validiert.

VerwandtAI im Vorstand: Wer entscheidet, wer haftet? / SaaS-Portfolios brauchen eine Exit-Strategie

Was sich verschoben hat

Vor zehn Jahren war die übliche Argumentation gegen ein Tech-Mandat im Aufsichtsrat, dass operative Themen in der Geschäftsführung gehörten und der Aufsichtsrat sich auf Strategie, Finanzen und Personalfragen konzentrieren solle. Diese Argumentation hat sich verbraucht. Die regulatorische Lage hat den Aufsichtsrat in technische Verantwortlichkeiten hineingezogen, ob er das wollte oder nicht.

Drei Verschiebungen tragen das. Erstens: NIS2 macht die Geschäftsleitung persönlich haftbar für Cybersecurity-Versäumnisse, was den Aufsichtsrat zur Überwachung dieser Pflicht zwingt. Zweitens: Der EU AI Act fordert für Hochrisiko-Systeme Risikomanagement, Daten-Governance und Conformity-Assessments, die der Aufsichtsrat als prüfendes Organ nicht delegieren kann, ohne in die eigene Sorgfaltspflicht zu geraten. Drittens: Die CSRD-Berichterstattung zwingt Aufsichtsräte zu einer Datenqualitäts-Prüfung, die ohne IT-Verständnis nicht seriös funktioniert.

Wer drei strukturelle Verschiebungen gleichzeitig erlebt und in der Personalplanung des Aufsichtsrats nicht reagiert, hat eine Lücke, die in Wirtschaftsprüfer-Berichten in den nächsten Quartalen Erwähnung finden wird.

Wie ein Tech-Mandat konkret aussieht

Ein Tech-Mandat ist keine zusätzliche Aufsichtsrats-Position mit unscharfer Aufgabenbeschreibung. Es ist eine in der Geschäftsordnung verankerte Verantwortlichkeit, die mindestens vier Elemente umfasst.

Vier Elemente eines belastbaren Tech-Mandats

Risiko-Mandat: Federführung im Risikoausschuss für IT-Sicherheit, KI-Systeme und Datenverarbeitung mit Beschluss-Vorlage-Pflicht für den Gesamt-Aufsichtsrat
Audit-Mandat: Mitwirkung im Audit-Ausschuss bei der Prüfung der CSRD-Datenpipeline und der internen Kontrollen für KI-gestützte Reporting-Prozesse
Investitions-Mandat: Stellungnahme zu IT- und KI-Investitionen oberhalb einer in der Satzung definierten Schwelle, mit Business-Case-Prüfung über die reine Wirtschaftlichkeit hinaus
Eskalations-Mandat: Direkter Berichtskanal von CISO und CIO an das Tech-Mandat im Aufsichtsrat, ohne dass die Geschäftsleitung als Filter dazwischen sitzt

Insbesondere das Eskalations-Mandat ist die unangenehme Stelle. Es schafft eine direkte Linie zwischen Tech-Spitze und Aufsichtsrat, die in vielen Unternehmen historisch nicht gewollt war, weil sie die Berichts-Hierarchie unterläuft. Sie ist 2026 dennoch der einzige Weg, NIS2-Anforderungen an die Aufsichtsorgan-Kenntnis sauber zu erfüllen.

Die Profile, die jetzt fehlen

Die ehrliche Beobachtung aus den Sondierungs-Gesprächen, die Personalberater in den letzten Quartalen für Aufsichtsrats-Besetzungen geführt haben: Klassische CIO-Profile sind verfügbar, aber sie passen oft nicht in das Anforderungs-Bild. Was gesucht wird, ist eine Mischung aus operativer Tech-Verantwortung, regulatorischer Erfahrung und der Fähigkeit, im Gremium ohne PowerPoint zu argumentieren.

Was nicht trägt

Ehemaliger Konzern-CIO ohne Erfahrung mit EU-Regulatorik
Tech-Investor mit Fondshintergrund ohne Operations-Erfahrung
Hochschul-Profil mit KI-Lehrstuhl ohne Vorstandserfahrung
Berater-Profil aus Big Four ohne eigene Verantwortung im Linien-Geschäft
Ehemaliger Sicherheitsbehörden-Vertreter ohne unternehmerische Rolle

Was trägt

Ehemaliger CIO oder CISO mit Erfahrung in regulierten Branchen
Geschäftsführer einer Tech-Tochter mit Aufsichtsrats-Mandat in einer Konzern-Struktur
CDO mit eigener Verantwortung für KI-Governance in einem internationalen Konzern
Wirtschaftsprüfer mit IT-Audit-Schwerpunkt und Aufsichtsrats-Erfahrung
COO eines Tech-Unternehmens mit nachweisbarer Vorstandsverantwortung für Cybersecurity

Auffällig ist, dass die meisten dieser Profile in Personalberatungs-Pools unterrepräsentiert sind. Sie sind nicht selten in absoluten Zahlen, aber sie melden sich seltener von sich aus und müssen aktiv angesprochen werden. Das verlängert Besetzungszeiten und treibt die Erstaussage in Richtung externer Beratungs-Mandate, was als Übergangslösung sinnvoll, als Dauerlösung aber teuer ist.

Was im Wahrnehmungs-Kalender stehen sollte

Timeline: Tech-Mandat-Reife in 12 Monaten

Monat 1-2: Self-Assessment der bestehenden Aufsichtsrats-Kompetenz für KI, Cybersecurity und Datenarchitektur
Monat 3-4: Geschäftsordnungs-Anpassung, Definition der Mandatsbereiche, Beschluss durch das Gesamt-Gremium
Monat 5-7: Personalsuche, Sondierung bestehender Mitglieder auf interne Lösungen, Externe-Suche parallel
Monat 8-10: Einarbeitung, Aufbau Eskalations-Kanal, erste Sitzungs-Vorlagen mit Tech-Mandat-Verantwortung
Monat 11-12: Erste turnusmäßige Berichterstattung an die Hauptversammlung mit Tech-Mandats-Statement

Wer die Geschäftsordnungs-Anpassung in Monat 3 oder 4 nicht aufnimmt, verzögert den gesamten Pfad um mindestens einen Aufsichtsrats-Zyklus. Geschäftsordnungs-Änderungen sind seltene Beschlüsse, die nicht zwischendurch geschoben werden.

Haftungsschatten und stille Risiken

Eine Beobachtung, die in Vorstands-Coachings immer wieder auftaucht. Aufsichtsrats-Mitglieder fragen nach D&O-Versicherung, nach Haftungsausschluss-Klauseln, nach persönlichen Risiken. Was sie weniger fragen, ist, wie eine Versicherung in einem KI-Vorfall greifen kann, wenn die Aufsichtsorgan-Mitglieder formal eine Beschluss-Vorlage abgenickt haben, deren technische Substanz sie nicht beurteilen konnten.

D&O-Verträge enthalten in den meisten neueren Versionen Klauseln zur erforderlichen Sorgfaltspflicht. Wer die Sorgfaltspflicht über externe Beratung füllt, ist abgesichert, solange die Beratung dokumentiert ist und der Aufsichtsrat sich nachweislich informiert hat. Wer die Sorgfaltspflicht ausschließlich an die Geschäftsleitung delegiert, ohne eigene Bewertungs-Kapazität, hat einen blinden Fleck im Versicherungsmantel.

Genau diesen blinden Fleck schließt ein Tech-Mandat. Es ist also nicht nur eine Frage der Governance-Hygiene, sondern eine Frage des Versicherungsschutzes der Aufsichtsorgan-Mitglieder selbst.

Was nach zwölf Monaten anders aussieht

In den wenigen Konzern-Strukturen, in denen ein Tech-Mandat seit 18 Monaten oder länger institutionalisiert ist, zeigen sich drei Veränderungen, die operativ messbar sind. Erstens: Beschluss-Vorlagen zu IT- und KI-Investitionen werden früher überarbeitet. Die Quote der Vorlagen, die im ersten Anlauf vom Aufsichtsrat zurückverwiesen werden, sinkt deutlich, weil die Geschäftsleitung die Tech-Mandats-Perspektive bereits einbezieht.

Zweitens: Die Reaktionszeit auf Cybersecurity-Vorfälle, die das Aufsichtsorgan informieren müssten, verkürzt sich von Wochen auf Tage. Der Eskalations-Kanal funktioniert, sobald er einmal genutzt wurde.

Drittens: Im Wirtschaftsprüfer-Bericht zur Governance-Bewertung verschwinden Hinweise zu fehlender IT-Kompetenz im Aufsichtsrat. Das ist kein kosmetischer Effekt. Aufsichtsorgan-Bewertungen in Wirtschaftsprüfer-Anhängen werden zunehmend von institutionellen Investoren als Reputationssignal gelesen.

Häufige Fragen

Ist ein Tech-Mandat im Aufsichtsrat in der Satzung pflicht?

Nicht direkt, aber indirekt. NIS2 und der EU AI Act fordern eine Aufsichtskompetenz, die ohne entsprechende Person im Gremium praktisch nicht nachweisbar ist. Eine Verankerung in der Geschäftsordnung ist sauberer als der informelle Verweis auf externe Beratung, weil sie im Wirtschaftsprüfer-Anhang prüfbar dokumentiert ist.

Wer kommt als Tech-Mandat-Träger in Frage?

Ehemalige CIOs oder CISOs aus regulierten Branchen, COOs oder CDOs mit eigener KI-Governance-Verantwortung in internationalen Konzernen, sowie Wirtschaftsprüfer mit IT-Audit-Schwerpunkt und Aufsichtsrats-Erfahrung. Reine Beratungsprofile ohne operative Linienverantwortung tragen das Mandat in der Praxis nicht.

Wie hoch ist der Aufwand eines Tech-Mandats neben den klassischen Aufsichtsrats-Pflichten?

Realistisch 30 bis 50 Prozent mehr Zeit als ein klassisches Mandat, vor allem in den ersten 12 Monaten nach Einrichtung. Der Mehraufwand entsteht durch Sondersitzungen zu Vorfällen, durch Einarbeitung in die spezifische Tech-Landschaft des Unternehmens und durch den Aufbau des Eskalations-Kanals.

Welche Vergütung ist für ein Tech-Mandat üblich?

Im DAX-Umfeld liegt der Aufschlag gegenüber dem Standard-Aufsichtsrats-Mandat bei 30 bis 60 Prozent, im MDAX bei 20 bis 40 Prozent. Im Mittelstand greift häufig eine Pauschale für Sondersitzungen, weil die Hauptsitzungs-Vergütung selten den Mehraufwand abdeckt.

Wie greift D&O bei einem KI-Vorfall ohne Tech-Mandat?

Mit Einschränkungen. Neuere D&O-Verträge fordern eine nachvollziehbare Sorgfaltspflicht. Wer Tech-Themen ohne dokumentierte Bewertungs-Kapazität abnickt und einen größeren Vorfall erlebt, kann in die Situation kommen, dass die Versicherung Eigenverschulden geltend macht. Eine externe Beratung mit dokumentiertem Protokoll schützt formal, ist aber teurer als ein institutionalisiertes Tech-Mandat.

Lesetipps der Redaktion

Mehr aus dem MBF Media Netzwerk

cloudmagazin

FinOps für KI-Inferenz: GPU-Kosten in Multi-Cloud im Griff

securitytoday

Adaptive MFA: die Werkseinstellung reicht nicht

mybusinessfuture

Kundenbindung beginnt vor dem Angebot

Bildquelle: E. (. SumOfUs) / Wikimedia Commons (CC BY 2.0). Aufnahme: Einreichung der Forderungen zum EU AI Act, EU-Parlament Straßburg.

Auch verfügbar in

Français Español English