KI & Recht
KI-Kompetenz-Pflicht (Art. 4 AI Act) umsetzen: Was Unternehmen schulen müssen
Seit dem 2. Februar 2025 müssen Unternehmen, die KI einsetzen, etwas Konkretes tun — und die wenigsten haben es sauber dokumentiert. Der Grund ist Artikel 4 der KI-Verordnung: die KI-Kompetenz-Pflicht. Sie klingt nach Selbstverständlichkeit, hat es aber in sich, weil sie für jedes Unternehmen mit KI gilt — vom Konzern bis zum Drei-Personen-Büro mit ChatGPT-Abo. Dieser Beitrag zeigt nicht, dass die Pflicht existiert, sondern wie Sie sie praktisch umsetzen: welche Inhalte, für welche Rollen, in welchem Format und mit welchem prüfsicheren Nachweis. (Fachliche Aufbereitung, keine Rechtsberatung im Einzelfall.)
Die KI-Kompetenz-Pflicht nach Art. 4 KI-VO umsetzen heißt: den eigenen KI-Bestand erfassen, Rollen und Kompetenzstufen definieren, risikoangemessen schulen und alles lückenlos dokumentieren. Die Pflicht gilt seit dem 2. Februar 2025; die behördliche Durchsetzung über die nationale Marktüberwachung greift ab dem 2. August 2026. Ein bestimmtes Format oder Zertifikat schreibt die Verordnung nicht vor — wohl aber einen nachweisbaren, an die Rolle angepassten Schulungsansatz.
Stand: Mai 2026. Die Rechtslage zur KI-VO ist in Bewegung: Am 7. Mai 2026 erzielten Parlament und Rat eine vorläufige Einigung zum „Digital Omnibus”, der die Pflichten für Hochrisiko-KI verschiebt (Anhang III auf den 2. Dezember 2027). Die KI-Kompetenz-Pflicht nach Art. 4 ist davon nicht erfasst — sie gilt unverändert seit dem 2. Februar 2025. Dieser Beitrag wird laufend aktualisiert; maßgeblich bleibt der jeweils gültige Verordnungstext.
Worum es bei Art. 4 wirklich geht
Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, durch geeignete Maßnahmen für ein „ausreichendes Maß an KI-Kompetenz” ihres Personals zu sorgen — und auch der Personen, die in ihrem Auftrag mit den Systemen arbeiten. Entscheidend: Die Pflicht ist risikoklassen-unabhängig. Sie gilt nicht nur für Hochrisiko-KI, sondern auch für vermeintlich harmlose Werkzeuge wie ChatGPT, Microsoft Copilot oder Claude im Büroalltag.
Was „ausreichend” bedeutet, definiert die Verordnung bewusst offen: zu berücksichtigen sind technisches Wissen, Erfahrung, Ausbildung und der konkrete Einsatzkontext der betroffenen Personen. Diese Offenheit ist keine Lücke, sondern ein risikobasierter Auftrag — und genau hier entscheidet sich gute von schlechter Umsetzung. Für die definitorischen Grundlagen (Was, Wer, Bis wann) siehe unseren ausführlichen Beitrag zur KI-Kompetenzpflicht nach Art. 4; dieser Artikel konzentriert sich auf das Wie.
Was müssen Unternehmen konkret schulen?
Die Verordnung schreibt keinen festen Lehrplan vor. In der Praxis — und im Einklang mit der FAQ der EU-Kommission (Mai 2025) — gliedert sich eine belastbare KI-Schulung in drei Inhaltsdimensionen:
- Technische Grundlagen. Wie funktionieren KI und große Sprachmodelle im Kern? Was sind Halluzinationen, warum entstehen Verzerrungen (Bias), wo sind die Grenzen der Zuverlässigkeit? Mitarbeitende müssen verstehen, warum sie KI-Ausgaben nicht blind übernehmen dürfen.
- Rechtlicher Rahmen. Grundzüge der KI-VO, die Schnittstelle zur DSGVO, Transparenzpflichten, Vermeidung von Diskriminierung und der Umgang mit Geschäfts- und Personendaten in Prompts. Hier liegt das größte unterschätzte Risiko: KI plus personenbezogene Daten.
- Konkreter Anwendungskontext. Die unternehmensspezifischen Use-Cases, eigene Tools, eigene Risiken und die interne KI-Richtlinie. Generische Online-Kurse decken diese Ebene fast nie ab.
Warum „Recht und Technik aus einer Hand” hier entscheidend ist
Genau an der Naht zwischen Dimension 1 und 2 scheitern die meisten Angebote am Markt. Reine Kanzleien liefern den rechtlichen Rahmen, kennen aber die Systeme nicht im Detail. Reine Schulungs- und LMS-Anbieter liefern technische Grundlagen, die juristische Tiefe bleibt dünn. Eine KI-Schulung, die technisch korrekt erklärt, warum ein Modell halluziniert, und zugleich rechtssicher einordnet, wann dadurch ein DSGVO- oder Haftungsproblem entsteht, braucht beide Kompetenzen in einer Verantwortung. Mehr dazu auf der Seite zur KI-Schulung für Ihr Team.
Eine belastbare KI-Schulung trägt nur, wenn Technik, Recht und der eigene Anwendungskontext zusammengeführt werden — fehlt eine Dimension, bleibt der Nachweis nach Art. 4 angreifbar.
KI-Kompetenz-Pflicht umsetzen: Schritt für Schritt
Die folgende Reihenfolge hat sich für die Umsetzung im Mittelstand bewährt:
- KI-Bestand erfassen. Welche KI-Tools sind im Einsatz (auch „Schatten-KI” wie privat genutztes ChatGPT)? Wer nutzt sie, für welche Aufgaben, mit welchen Daten? Ohne dieses Inventar lässt sich „risikoangemessen” nicht bestimmen.
- Rollen und Kompetenzstufen definieren. Nicht alle brauchen dasselbe Wissen. Ordnen Sie Personen Kompetenzstufen zu (siehe Tabelle 1).
- Schulungskonzept erstellen. Legen Sie fest, wer was wann lernt — risikobasiert, abgestuft nach Rolle und Vorwissen. Dieses Konzept ist später Ihr zentraler Nachweis.
- Schulung durchführen. Wählen Sie passende Formate (siehe Tabelle 2): Präsenz, Webinar, E-Learning, Multiplikatoren-Modell. Kombinieren ist erlaubt und oft sinnvoll.
- Interne KI-Richtlinie verankern. Eine KI-Nutzungsrichtlinie übersetzt die Schulung in verbindliche Regeln für den Alltag (erlaubte Tools, verbotene Daten, Freigabeprozesse).
- Lückenlos dokumentieren. Halten Sie fest, wer wann was gelernt hat (Details unten).
- Regelmäßig aktualisieren. Neue Tools, neue Rollen, neue Rechtslage — prüfen Sie das Konzept mindestens jährlich und anlassbezogen.
Tabelle 1: Rollen, Kompetenzstufen und Inhalte
| Rolle / Gruppe | Kompetenzstufe | Schulungsschwerpunkt |
|---|---|---|
| Geschäftsführung / Leitung | Strategisch | Pflichten aus der KI-VO, Haftung, Governance, Investitionsentscheidungen |
| Compliance / Datenschutz | Vertieft (Recht) | KI-VO im Detail, DSGVO-Schnittstelle, Nachweisführung, Aufsicht |
| Power-User / Fachabteilungen mit KI | Anwendungsstark | Korrektes Prompten, Datenschutz in Prompts, Halluzinations-Check, Use-Case-Risiken |
| KI-Entwicklung / Integration | Technisch-tief | Modellverhalten, Bias-Minderung, Anbieter-/Betreiberpflichten, Doku |
| Übrige Belegschaft (KI nur am Rande) | Basis-Awareness | Was darf ich (nicht), Grundverständnis, interne KI-Richtlinie |
| Externe Dienstleister „im Auftrag” | je nach Aufgabe | vertraglich abgesichertes Mindestniveau analog interner Rollen |
Wer muss geschult werden?
Erfasst sind alle Personen, die KI im Auftrag des Unternehmens einsetzen — und zwar ausdrücklich auch externe Dienstleister und Geschäftspartner, die in Ihrem Auftrag mit den Systemen arbeiten (so die EU-Kommission-FAQ vom Mai 2025). Sichern Sie das bei Externen vertraglich ab.
Auch KMU sind nicht ausgenommen. Art. 4 kennt keine Größengrenze; ein kleines Unternehmen muss die Pflicht erfüllen, darf den Aufwand aber risikoangemessen — und damit schlanker — gestalten.
Muss ich Mitarbeitende schulen, die gar keine KI nutzen? Wer nachweislich keine KI einsetzt, braucht keine vertiefte Schulung. Eine kurze Basis-Awareness ist dennoch sinnvoll: Sie verhindert die unkontrollierte Nutzung privater KI-Tools („Schatten-KI”) und ist Teil eines glaubwürdigen Gesamtkonzepts.
Gilt das auch für ChatGPT, Copilot und Claude? Ja. Die Pflicht hängt nicht vom Tool, sondern vom Einsatz im Unternehmen ab. Wer eines dieser Werkzeuge betrieblich nutzt, ist Betreiber im Sinne der KI-VO und damit von Art. 4 erfasst.
Schulungsnachweis richtig dokumentieren
Ein offizielles Zertifikat ist nicht vorgeschrieben — die EU-Kommission lässt das Format offen. Pflicht ist aber faktisch die Auditfähigkeit: Sie müssen gegenüber der Aufsicht belegen können, dass Sie angemessene Maßnahmen ergriffen haben. Bewahren Sie deshalb auf:
- Teilnehmer und Datum jeder Maßnahme (wer, wann)
- Inhalte und Version der Schulung (Foliensatz, Agenda, Stand)
- Referent / Quelle der Schulung (intern oder extern)
- Rollenbezogene Lernziele je Gruppe (Bezug zum Schulungskonzept)
- Die geltende KI-Richtlinie samt Empfangsbestätigung der Mitarbeitenden
- Aktualisierungen (wann wurde das Konzept überprüft, was geändert)
Faustregel: Ihr Schulungskonzept plus Teilnahmenachweise plus KI-Richtlinie ergeben zusammen die Geschichte, die im Ernstfall zählt — eine saubere, datierte Dokumentation ist mehr wert als jedes generische Zertifikat.
Frist, Durchsetzung und Sanktionen — die korrekte Rechtslage
Hier trennt sich Faktentreue von Angstmarketing. Zwei Daten sind auseinanderzuhalten:
- Seit 2. Februar 2025 ist die KI-Kompetenz-Pflicht unmittelbar anwendbar (zeitgleich mit dem Verbot bestimmter KI-Praktiken nach Art. 5).
- Ab 2. August 2026 greift die behördliche Durchsetzung über die nationale Marktüberwachung. In Deutschland nimmt unter anderem die Bundesnetzagentur eine zentrale Rolle ein.
Und die Bußgelder? Eine wichtige Klarstellung: Art. 4 ist im Sanktionskatalog des Art. 99 KI-VO nicht mit einem eigenständigen Bußgeld belegt. Die viel zitierten Beträge von „bis zu 15 Mio. € / 3 % des Jahresumsatzes” beziehen sich auf andere Pflichtverstöße (Anbieter-/Betreiberpflichten nach Art. 99 Abs. 4); „bis zu 35 Mio. € / 7 %” gelten für verbotene Praktiken nach Art. 5. Wer also behauptet, ein fehlender KI-Kurs koste „bis zu 35 Millionen Euro”, liegt rechtlich daneben.
Das heißt nicht, dass Art. 4 folgenlos ist. Die Durchsetzung erfolgt über nationale Marktüberwachungsmaßnahmen, und es entsteht ein mittelbares Haftungs- und Schadensrisiko: Lässt sich ein KI-Vorfall (etwa ein Datenschutzverstoß oder ein Fehlentscheid) auf nachweislich fehlende Kompetenz zurückführen, wirkt das verschärfend — zivilrechtlich wie aufsichtsrechtlich. Der seriöse Treiber ist also nicht ein Fantasie-Bußgeld, sondern reale Haftung und Auditfähigkeit.
Selbst schulen oder extern beauftragen?
Eine ehrliche Abwägung — auch wenn wir selbst Schulungen anbieten:
Tabelle 2 / 3: Intern, extern oder Blended?
| Kriterium | Intern selbst schulen | Externer Anbieter | Blended (extern + intern) |
|---|---|---|---|
| Rechtliche Tiefe | nur bei eigener Expertise | hoch (wenn juristisch fundiert) | hoch |
| Aktualität der Rechtslage | schwer zu halten | im Anbieter-Interesse | gut |
| Unternehmensspezifischer Kontext | sehr hoch | gering, sofern nicht maßgeschneidert | sehr hoch |
| Aufwand intern | hoch | gering | mittel |
| Nachweis / Auditfähigkeit | selbst aufzubauen | meist mitgeliefert | mitgeliefert + intern verankert |
| Kosten | „versteckte” Personalkosten | transparent, kalkulierbar | mittel |
Für viele Mittelständler ist Blended der beste Weg: ein externer, rechtlich verantworteter Rahmen (Konzept, rollenbasierte Inhalte, Nachweis-Vorlagen) plus interne Verankerung in der eigenen KI-Richtlinie und den eigenen Use-Cases. Wenn Sie eine Umsetzung wünschen, die Recht und Technik aus einer Hand abdeckt: Sprechen Sie uns für eine rechtssichere, DSGVO-konforme KI-Schulung an — gern zunächst in einem unverbindlichen Erstgespräch.
Häufige Fragen (FAQ)
Reicht ein einmaliger Online-Kurs?
Für sehr risikoarme Nutzung mit Basis-Awareness kann ein guter Online-Kurs der Einstieg sein. „Reicht” tut er nur, wenn er rollenbezogen ist und dokumentiert wird. Da sich Tools und Rechtslage ändern, sind Auffrischungen (mindestens jährlich, anlassbezogen) Teil der Pflicht.
Brauche ich ein offizielles Zertifikat für Art. 4 KI-VO?
Nein. Die KI-VO und die EU-Kommission schreiben kein bestimmtes Zertifikat vor. Verlangt wird ein angemessener, dokumentierter Schulungsansatz — die Auditfähigkeit zählt, nicht das Zertifikatslogo.
Brauche ich zusätzlich eine interne KI-Richtlinie?
Sie ist nicht ausdrücklich vorgeschrieben, aber praktisch unverzichtbar. Die KI-Nutzungsrichtlinie übersetzt die Schulungsinhalte in verbindliche Alltagsregeln und ist zugleich ein starker Nachweis Ihrer Maßnahmen.
Bis wann muss die Umsetzung stehen?
Die Pflicht gilt rechtlich bereits seit dem 2. Februar 2025. Wer noch nichts hat, sollte nicht auf den 2. August 2026 (Durchsetzungsbeginn) warten — denn dann fehlt die saubere, datierte Historie, die im Prüffall überzeugt.
Gilt die Pflicht auch für mein kleines Unternehmen?
Ja. Es gibt keine Ausnahme für KMU. Der Umfang darf aber risikoangemessen — und damit schlanker — ausfallen als im Konzern.
Quellen — Stand 10.05.2026
- Verordnung (EU) 2024/1689 (KI-VO), Art. 3 Nr. 56, Art. 4, Art. 99 — Primärquelle (EUR-Lex)
- Art. 99 KI-VO (Sanktionen, Volltext) — https://ai-act-law.eu/de/artikel/99/
- EU-Kommission-FAQ zur KI-Kompetenz nach Art. 4 (Mai 2025), aufbereitet von Otto Schmidt IT-Recht-Blog — https://www.otto-schmidt.de/blog/it-recht-blog/faq-der-eu-kommission-zur-ki-kompetenz-nach-art-4-ki-vo-was-fur-arbeitgeber-gilt-und-ab-wann-ITBLOG0007892.html
- Noerr — Artikel 4 KI-VO: Pflichten und Chancen für Unternehmen — https://www.noerr.com/de/insights/artikel-4-ki-vo-pflichten-und-chancen-fuer-unternehmen-im-umgang-mit-ki-kompetenz
- Bundesnetzagentur — KI-Kompetenz (nationale Aufsicht DE) — https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/7_Kompetenz/start.html
- Rat der EU — „Künstliche Intelligenz: Rat und Parlament einigen sich auf Vereinfachung der Regeln” (vorläufige Einigung Digital Omnibus, 7. Mai 2026) — https://www.consilium.europa.eu/en/press/press-releases/2026/05/07/artificial-intelligence-council-and-parliament-agree-to-simplify-and-streamline-rules/
Dieser Beitrag gibt den Stand Mai 2026 wieder und ersetzt keine Rechtsberatung im Einzelfall. — Leon Lotz, Wirtschaftsjurist
Leon Lotz
Leon Lotz ist Wirtschaftsjurist und Gründer von MusketierSoftware. Er verbindet juristische Tiefe mit echtem Software-Handwerk.
