Während Compliance-Teams sich auf Hochrisiko-Klassifizierungen und Konformitätsbewertungen konzentrieren, gilt seit dem 2. Februar 2025 eine Pflicht, über die kaum jemand spricht: Jedes Unternehmen, das KI-Systeme nutzt oder bereitstellt, muss für “ausreichende KI-Kompetenz” seines Personals sorgen. Nicht nur Unternehmen mit Hochrisiko-KI. Nicht nur Tech-Firmen. Jedes Unternehmen. Das Marketing-Team, das ChatGPT für Texte nutzt. Die Personalabteilung mit KI-gestütztem Bewerbungsscreening. Die Finanzanalysten, die Copilot befragen. Sie alle fallen unter Artikel 4 der KI-Verordnung.
Das ist die am breitesten wirkende Pflicht des gesamten EU AI Acts, und die meisten Unternehmen haben bisher nichts dafür getan.
Was Artikel 4 konkret vorschreibt
Der Gesetzestext ist knapp genug, um ihn im Wortlaut zu zitieren: “Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.”
Drei Punkte sind entscheidend. Erstens: Die Pflicht betrifft sowohl Anbieter (Unternehmen, die KI entwickeln) als auch Betreiber (Unternehmen, die KI nutzen). Wenn Ihr Vertrieb Leads über ein KI-Scoring-Tool bewertet, sind Sie Betreiber. Zweitens: “Personal und andere Personen” umfasst auch Auftragnehmer, Freiberufler und alle, die in Ihrem Auftrag mit KI arbeiten. Drittens: Der Maßstab ist nicht absolute Perfektion, sondern “nach besten Kräften”, also verhältnismäßiger Aufwand je nach Kontext. Ein Fünf-Personen-Startup, das ChatGPT für E-Mails nutzt, hat andere Pflichten als eine Bank mit KI-gestützter Kreditbewertung.
Die Europäische Kommission hat detaillierte Leitlinien veröffentlicht. KI-Kompetenz bedeutet demnach die “Fähigkeit, das Wissen und das Verständnis, die es ermöglichen, KI-Systeme sachkundig einzusetzen und ein Bewusstsein für die Chancen und Risiken von KI sowie für mögliche Schäden zu entwickeln.”
Wer ist betroffen?
Der Anwendungsbereich ist bewusst breit. Laut Europäischer Kommission gibt es keine Mindestunternehmensgröße, keine Branchenbeschränkung und keine Ausnahme für risikoarme KI-Nutzung. Betroffen sind:
- Unternehmen, die KI-Systeme entwickeln (Anbieter)
- Unternehmen, die KI-Systeme in ihrem Betrieb nutzen (Betreiber)
- Importeure und Händler von KI-Systemen
- Alle Mitarbeitenden, die mit KI interagieren, sie bedienen oder auf Basis ihrer Ergebnisse Entscheidungen treffen
- Auftragnehmer und Dritte, die KI im Auftrag des Unternehmens einsetzen
Die IHK Rhein-Neckar formuliert es klar: Schon wer ein Übersetzungstool oder einen Chatbot im Kundenservice nutzt, ist KI-Betreiber und unterliegt Artikel 4.
Warum KI-Kompetenz über Compliance hinaus wichtig ist
Die Regelung existiert, weil uninformierter KI-Einsatz realen Schaden verursacht. Eine Analyse von Ropes & Gray dokumentiert typische Szenarien: HR-Teams, die KI-Screening-Tools blind vertrauen und dabei Diskriminierung übersehen. Kundenservice-Mitarbeitende, die Chatbot-Antworten ungeprüft weitergeben. Einkaufsabteilungen, die KI-Analysen für Vertragsrisiken nutzen, ohne deren Grenzen zu verstehen.
Die Logik der EU ist klar: Wenn Mitarbeitende nicht beurteilen können, wann KI-Ergebnisse unzuverlässig sind, treffen sie Entscheidungen auf Basis fehlerhafter Informationen. Das schadet Verbrauchern, Beschäftigten und Geschäftspartnern. Artikel 4 ist die Präventionsschicht, die unter allen anderen Compliance-Anforderungen des AI Acts liegt.
Für Unternehmen, die bereits Hochrisiko-Pflichten nach Anhang III unterliegen, ist KI-Kompetenz keine separate Anforderung, sondern das Fundament. Menschliche Aufsicht (Artikel 14) ist wertlos, wenn die aufsichtführende Person nicht versteht, was das KI-System tut, wie es scheitern kann und wann ein Eingriff nötig ist.
Der Zeitplan: Wann wird es ernst?
Hier wird die Zeitplanung wichtig. Artikel 4 gilt seit dem 2. Februar 2025. Die aktive Durchsetzung durch nationale Marktaufsichtsbehörden beginnt aber erst am 2. August 2026. Das schafft ein Zeitfenster, keinen Freifahrtschein.
| Datum | Was passiert |
|---|---|
| 2. Februar 2025 | Artikel 4 KI-Kompetenzpflicht tritt in Kraft |
| 2. August 2025 | Zivilrechtliche Haftung greift; Unternehmen können verklagt werden, wenn ungeschultes Personal durch KI-Einsatz Schäden verursacht |
| 2. August 2026 | Nationale Marktaufsichtsbehörden beginnen mit aktiver Durchsetzung |
Das entscheidende Zwischendatum ist der 2. August 2025. Ab diesem Zeitpunkt drohen, auch ohne behördliche Bußgelder, zivilrechtliche Konsequenzen. Latham & Watkins betont, dass genau dieses Haftungsrisiko die Dringlichkeit von Artikel 4 begründet, noch vor dem formalen Durchsetzungsbeginn.
Die Europäische Kommission stellt in ihren Leitlinien klar: Auch wenn “keine direkten Bußgelder oder sonstigen Sanktionen für Verstöße gegen die Anforderungen an die KI-Kompetenz gelten”, besteht ab August 2025 zivilrechtliche Haftung. Eine Personalentscheidung auf Basis von KI-Ergebnissen durch ungeschultes HR-Personal. Eine medizinische Überweisung auf Basis von KI-Screening durch Mitarbeitende, die dessen Grenzen nicht kennen. Das sind Haftungsfälle.
So bauen Sie ein KI-Kompetenzprogramm auf, das funktioniert
Die Europäische Kommission schreibt bewusst keinen Einheitslehrplan vor. Die offizielle FAQ stellt klar: “Es gibt keinen Einheitsansatz für KI-Kompetenz, und das KI-Büro beabsichtigt nicht, strenge Anforderungen oder verpflichtende Schulungen vorzuschreiben.” Unternehmen haben Gestaltungsfreiheit bei der Programmkonzeption. “Flexibilität” heißt aber nicht “Freiwilligkeit.” Sie wählen die Methode, nicht ob Sie handeln.
Die Haufe Akademie und das Fraunhofer IPA benennen fünf Kernkompetenzbereiche, die wirksame KI-Kompetenzprogramme abdecken sollten:
1. KI-Grundlagen
Mitarbeitende brauchen ein funktionales Verständnis dessen, was KI-Systeme tun und wie sie Ergebnisse produzieren. Das bedeutet nicht, jedem Machine Learning beizubringen. Es bedeutet zu erklären, dass ein großes Sprachmodell wahrscheinliche nächste Wörter vorhersagt statt Fakten zu “wissen”, dass Bildklassifizierer auf Mustererkennung in Trainingsdaten beruhen und dass KI-Ergebnisse Unsicherheit tragen. Das Ziel: Mitarbeitende behandeln KI nicht mehr als Orakel, sondern als Werkzeug mit spezifischen Stärken und Grenzen.
2. Recht und Compliance
Jeder KI-Nutzer sollte wissen, dass die KI-Verordnung existiert, dass das Unternehmen konkrete Pflichten hat und was die Risikokategorien bedeuten. Personal, das Hochrisiko-KI-Systeme nutzt (Recruiting-Tools, Kreditbewertung, Medizindiagnostik), braucht tieferes Verständnis der Betreiberpflichten im Arbeitsalltag: Protokollierungspflichten, menschliche Aufsichtspflichten, Meldepflichten bei Vorfällen.
3. Ethik und Bias-Bewusstsein
KI-Systeme spiegeln ihre Trainingsdaten. Wenn diese historische Verzerrungen enthalten, tun das auch die Ergebnisse. Mitarbeitende müssen verstehen, dass KI-Empfehlungen nicht neutral sind und dass menschliches Urteilsvermögen notwendig bleibt, um diskriminierende Muster zu erkennen, besonders in der Personalauswahl, bei Finanzdienstleistungen und bei kundennahen Anwendungen.
4. Datenschutz
KI-Kompetenz und Datenschutzkompetenz überschneiden sich erheblich. Mitarbeitende müssen wissen, welche Daten sie in KI-Tools eingeben dürfen und welche nicht, wie DSGVO-Vorgaben auf KI-Verarbeitung anwendbar sind und warum die Eingabe personenbezogener Daten in Consumer-KI-Tools Compliance-Risiken schafft.
5. Praktische, rollenspezifische Anwendung
Ein Entwickler, der eine KI-API integriert, hat andere Kompetenzbedarfe als ein Recruiter, der ein KI-Screening-Tool nutzt. Die Schulung muss nach Rollen differenziert werden. Die IHK Hannover empfiehlt, zunächst KI-Berührungspunkte in der gesamten Organisation zu kartieren und dann gezielte Module für jede Nutzergruppe zu entwickeln.
Rollenbasierte Schulung: Wer braucht was?
Nicht jeder braucht dieselbe Tiefe. Die Leitlinien der Europäischen Kommission betonen, dass Schulungen “technische Kenntnisse, Erfahrung, Ausbildung und Schulung” der einzelnen Person berücksichtigen müssen.
Geschäftsführung und Vorstand braucht strategische KI-Kompetenz: Was kann KI, was nicht, wie verändert sie die Branche, welche regulatorischen Pflichten betreffen Geschäftsentscheidungen, wie bewertet man KI-Investitionen. Transformer-Architekturen müssen sie nicht verstehen. Haftungsrisiken schon.
Mittleres Management, das Teams mit KI-Nutzung führt, braucht operative Kompetenz: Wie bewertet man KI-Ergebnisse, wann eskaliert man, wie dokumentiert man KI-gestützte Entscheidungen, wie stellt man Compliance im Team sicher. Diese Personen setzen menschliche Aufsicht in der Praxis durch.
KI-Endanwender (HR, Vertrieb, Kundenservice, Finanzteams mit täglicher KI-Nutzung) brauchen praktische Kompetenz: Was macht das Tool, was nicht, wann sind Ergebnisse vertrauenswürdig, wann muss geprüft werden, wie meldet man Probleme. Hier verhindert Schulung die häufigsten Compliance-Verstöße.
IT- und Datenteams brauchen technische Kompetenz: Wie sind KI-Systeme integriert, welches Monitoring ist erforderlich, wie erkennt man Drift oder Degradation, welche Protokollierung verlangt die Verordnung.
Rechts- und Compliance-Abteilungen brauchen regulatorische Kompetenz: Den vollen Wortlaut der relevanten Artikel, die Interpretation durch nationale Behörden, die erforderliche Dokumentation und den Umgang mit Vorfällen.
Was der Betriebsrat mit KI-Schulung zu tun hat
Für Unternehmen in Deutschland berührt KI-Kompetenzschulung unmittelbar Mitbestimmungsrechte. Nach § 87 Abs. 1 Nr. 6 und Nr. 7 BetrVG hat der Betriebsrat Mitbestimmungsrechte bei der Einführung technischer Überwachungseinrichtungen und beim Gesundheitsschutz am Arbeitsplatz, was KI-Schulungsprogramme einschließt.
Die Springer Professional Analyse der HR-Trends 2026 benennt KI-Kompetenz als Top-Priorität, und die Zukunft Personal Konferenz hat ganze Programmstränge dazu aufgesetzt. Die praktische Konsequenz für deutsche Unternehmen: Der Betriebsrat muss bei der Gestaltung und Umsetzung von KI-Kompetenzprogrammen einbezogen werden. Das ist keine Empfehlung, sondern gesetzliche Pflicht nach dem BetrVG.
Der Betriebsrat hat zudem nach § 80 Abs. 3 BetrVG das Recht, auf Kosten des Arbeitgebers externe KI-Sachverständige hinzuzuziehen, um Schulungskonzepte zu bewerten. Unternehmen, die KI-Kompetenzschulungen ohne Beteiligung des Betriebsrats ausrollen wollen, riskieren, dass das gesamte Programm blockiert wird.
Die IHK Schleswig-Holstein hat eine praktische Handreichung veröffentlicht, die speziell auf die Bedürfnisse des Mittelstands zugeschnitten ist und auch die Betriebsratsthematik adressiert.
Praktische Compliance-Checkliste
Wenn Sie mit Artikel 4 noch nicht begonnen haben, hier ein konkreter Aktionsplan.
KI-Landschaft kartieren. Identifizieren Sie jedes KI-System, das Ihr Unternehmen nutzt, entwickelt oder vertreibt. Erfassen Sie SaaS-Tools mit KI-Funktionen, interne KI-Prototypen und Consumer-Tools (ChatGPT, Copilot), die Mitarbeitende für Arbeitsaufgaben nutzen. Die meisten Unternehmen finden 3-5 mal mehr KI-Berührungspunkte als erwartet.
Alle KI-Nutzer identifizieren. Listen Sie für jedes System auf, wer damit interagiert: direkte Nutzer, Entscheider, die auf Basis der Ergebnisse handeln, und technisches Personal für die Wartung. Auftragnehmer und Freelancer einbeziehen.
Aktuellen Kompetenzstand erheben. Befragen Sie Ihr Personal zum KI-Verständnis. Was wissen sie darüber, wie die von ihnen genutzten Tools funktionieren? Können sie erkennen, wann Ergebnisse unzuverlässig sein könnten? Kennen sie die KI-Nutzungsrichtlinien des Unternehmens?
Rollenbasierte Schulung konzipieren. Entwickeln Sie Module für jede Nutzergruppe auf Basis der fünf Kernkompetenzbereiche. Praxisnah arbeiten: reale Beispiele aus Ihren eigenen KI-Tools verwenden, nicht abstrakte KI-Theorie.
Alles dokumentieren. Protokollieren Sie, welche Schulungen durchgeführt wurden, wer teilgenommen hat, wann, und welche Kompetenzen behandelt wurden. Das ist Ihr Nachweis für “Maßnahmen nach besten Kräften”, wenn Aufsichtsbehörden oder Gerichte nachfragen.
Regelmäßige Aktualisierung einplanen. KI-Kompetenz ist kein einmaliger Kurs. Wenn KI-Tools aktualisiert, neue Tools eingeführt oder Vorschriften geändert werden, muss die Schulung aufgefrischt werden. Quartalsweisen Review-Zyklus einrichten.
KI-Nutzungsrichtlinie etablieren. Schulung ohne klare Regeln ist unvollständig. Definieren Sie, welche KI-Tools für welche Zwecke freigegeben sind, welche Daten eingegeben werden dürfen, welche Ergebnisse menschliche Prüfung erfordern und wie Probleme gemeldet werden.
Häufig gestellte Fragen
Was ist die KI-Kompetenzpflicht nach dem EU AI Act?
Artikel 4 der KI-Verordnung verpflichtet alle Anbieter und Betreiber von KI-Systemen, für ein ausreichendes Maß an KI-Kompetenz ihres Personals und aller in ihrem Auftrag mit KI befassten Personen zu sorgen. Die Pflicht gilt seit dem 2. Februar 2025 für jedes Unternehmen, das KI-Systeme nutzt, unabhängig von Größe, Branche oder Risikoklasse.
Gilt Artikel 4 auch für Unternehmen, die nur ChatGPT oder Copilot nutzen?
Ja. Jedes Unternehmen, das KI-Systeme im Betrieb nutzt, ist Betreiber im Sinne der KI-Verordnung. Das umfasst die Nutzung kommerzieller KI-Tools wie ChatGPT, Microsoft Copilot oder KI-Funktionen in SaaS-Produkten. Die KI-Kompetenzpflicht nach Artikel 4 gilt unabhängig davon, ob das KI-System als Hochrisiko eingestuft ist.
Welche Sanktionen drohen bei fehlender KI-Kompetenz?
Artikel 4 sieht keine direkten Bußgelder für Verstöße vor. Allerdings können Unternehmen ab dem 2. August 2025 zivilrechtlich haften, wenn ungeschultes Personal durch KI-Einsatz Schäden verursacht. Ab dem 2. August 2026 beginnen nationale Marktaufsichtsbehörden mit der aktiven Durchsetzung. Zudem kann fehlende Schulung die Sanktionen bei anderen Verstößen gegen den AI Act verschärfen.
Welche Schulung verlangt der EU AI Act von Unternehmen?
Der EU AI Act schreibt keinen bestimmten Lehrplan vor. Unternehmen müssen für ausreichende KI-Kompetenz sorgen, die dem jeweiligen Kontext angemessen ist und die Rollen, technischen Kenntnisse und genutzten KI-Systeme berücksichtigt. Wirksame Programme decken typischerweise fünf Bereiche ab: KI-Grundlagen, Recht und Compliance, Ethik und Bias-Bewusstsein, Datenschutz und praktische rollenspezifische Anwendung.
Ab wann wird die KI-Kompetenzpflicht durchgesetzt?
Artikel 4 gilt seit dem 2. Februar 2025. Die zivilrechtliche Haftung greift ab dem 2. August 2025. Die aktive Durchsetzung durch nationale Marktaufsichtsbehörden beginnt am 2. August 2026. Unternehmen sollten KI-Kompetenzprogramme bereits jetzt etabliert haben, da die Pflicht bereits rechtlich bindend ist.
Wir verfolgen die Compliance-Entwicklungen rund um den EU AI Act und ihre Auswirkungen auf den Einsatz von KI in Unternehmen. Abonnieren Sie unseren Newsletter für praxisnahe Leitfäden.