EU AI Act2026-04-175 min Lesezeit

KI-Kompetenz nach Art. 4 EU AI Act: Was Unternehmen seit Februar 2025 schulen müssen

MW
Malte Wagenbach

Founder & CEO, Matproof

Inhaltsverzeichnis

  1. 011. Der Wortlaut von Art. 4
  2. 022. Wer muss geschult werden?
  3. 033. Welche Inhalte gehören rein?
  4. 044. Wie dokumentiert man die Schulung?
  5. 055. Was passiert bei Verstößen?
  6. 066. Praktischer Umsetzungsplan
  7. 077. Typische Fehler
  8. 08Fazit

KI-Kompetenz nach Art. 4 EU AI Act: Was Unternehmen seit Februar 2025 schulen müssen

Die KI-Kompetenzpflicht nach Art. 4 der KI-Verordnung gilt seit dem 2. Februar 2025 — und wird in vielen deutschen Unternehmen immer noch unterschätzt. Anders als die meisten AI-Act-Pflichten greift sie unabhängig von der Risikoklasse und betrifft praktisch jeden Betrieb, der KI-Tools einsetzt.

Dieser Artikel erklärt, wer unter die Schulungspflicht fällt, welche Inhalte vermittelt werden müssen, wie die Dokumentation praktisch funktioniert und welche Bußgelder bei Nichteinhaltung drohen.

1. Der Wortlaut von Art. 4

"Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ausreichende KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und ihr Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind."

Zwei Schlüsselbegriffe:

  • Personal und andere Personen, die im Auftrag mit KI-Systemen befasst sind — das schließt externe Berater, Werkstudenten und Praktikanten ein
  • Nach besten Kräften — Maßstab ist das, was unter den Umständen zumutbar ist. Bei einem Tech-Konzern mehr als bei einem Handwerksbetrieb.

2. Wer muss geschult werden?

Die Pflicht ist rollenbezogen, nicht pauschal. Es gibt drei Stufen:

Stufe 1: Alle Mitarbeitenden, die KI-Tools nutzen

Jeder, der ChatGPT für E-Mails, Gemini für Recherche, Copilot für Code oder eine KI-gestützte Software bedient. Basis-Schulung zu:

  • Was ist generative KI und wie funktioniert sie grob?
  • Grenzen und Halluzinationen
  • DSGVO: Was darf in KI-Prompts (keine personenbezogenen Daten unkontrolliert)
  • Urheberrecht: Was passiert mit generierten Inhalten?
  • Firmen-Policy: Welche KI ist erlaubt, welche nicht?

Umfang: 30-60 Minuten E-Learning, alle 12 Monate auffrischen

Stufe 2: Rollenspezifische Vertiefung

Personen mit besonderem KI-Kontext:

Umfang: 2-4 Stunden, alle 6 Monate

Stufe 3: Leitungsebene und KI-Verantwortliche

Geschäftsführung, Vorstand, Chief AI Officer, IT-Leitung:

  • Strategische Entscheidungen zu KI-Einsatz
  • Haftungsrahmen (AI Act, DSGVO, zivilrechtlich)
  • Risikomanagement
  • Reporting-Pflichten

Umfang: 4-8 Stunden, jährlich + Ad-hoc bei Regulierungs-Updates

3. Welche Inhalte gehören rein?

Die EU Kommission hat keine verbindlichen Curricula vorgegeben, aber die Guidelines to AI Literacy von ENISA und nationalen Behörden konvergieren auf folgende Kernthemen:

Basis (alle Mitarbeiter)

  1. Was ist KI? Abgrenzung zu Statistik, Machine Learning, Deep Learning
  2. Was sind Large Language Models und wie funktionieren sie?
  3. Bias, Halluzinationen, Limitationen
  4. Datenschutz im KI-Einsatz (keine Kundendaten ohne Kontext, DSGVO-Einordnung)
  5. Firmeneigene KI-Policy (welche Tools, welche Daten, welche Dokumentation)
  6. Ethische Aspekte (Diskriminierung, Fairness, Transparenz)
  7. Ansprechpartner im Unternehmen bei Unsicherheit

Vertiefung für Betreiber von Hochrisiko-KI

  1. Annex III EU AI Act und Klassifizierung
  2. Art. 26 Betreiberpflichten
  3. Menschliche Aufsicht in der Praxis
  4. Incident-Meldung und Dokumentation
  5. Zusammenspiel mit DSGVO Art. 22

Für Leitung und KI-Verantwortliche

  1. Risikomanagement-Frameworks (NIST AI RMF, ISO/IEC 42001)
  2. Governance-Strukturen
  3. Haftung und Verantwortung
  4. Aufbau einer KI-Strategie

4. Wie dokumentiert man die Schulung?

Hier liegt in der Praxis die größte Schwachstelle. Prüffähig ist nur eine Schulung, die:

  • Personalisiert erfasst ist (wer, wann, was)
  • Nachweisbar durchgeführt wurde (E-Learning-Abschluss, Teilnahmeliste, Test)
  • Inhaltlich dokumentiert ist (Foliensätze, Curricula, Versionen)
  • Regelmäßig aktualisiert wird (sichtbare Update-Historie)
  • Bei Audits zugänglich ist

Tabellen und SharePoint-Ablagen erfüllen das nur schlecht. Eine dedizierte GRC-Plattform wie Matproof bildet die KI-Kompetenz als eigenen Control mit Trainings-Tracker, Reminder-Workflow und Nachweis-Archiv ab.

5. Was passiert bei Verstößen?

Art. 4 ist eine allgemeine Pflicht, kein eigenständiger Sanktionstatbestand. Bei Verstößen greifen aber:

  • Administrative Bußgelder nach Art. 99 — je nach Schwere
  • Indirekte Konsequenzen: Wer KI-Kompetenz nicht schult, erfüllt regelmäßig auch die Betreiberpflichten aus Art. 26 nicht (menschliche Aufsicht erfordert verstandenes Tool). Das zieht die Hochrisiko-Bußgelder bis 15 Mio. EUR nach sich.
  • Zivilrechtliche Haftung gegenüber Mitarbeitern und Dritten, wenn ungeschultes Personal Schaden verursacht

Besonders heikel: Bei einer DSGVO-Verletzung durch KI-Fehlverhalten (z.B. ChatGPT-Datenleck) wird die fehlende Schulung zum Beweis der fehlenden technisch-organisatorischen Maßnahmen. Das Bußgeldrisiko kumuliert.

6. Praktischer Umsetzungsplan

Woche 1-2: Bestandsaufnahme

  • Welche KI-Tools sind im Einsatz? (KI-Inventar)
  • Welche Rollen arbeiten mit welchen Tools?
  • Matrix Rolle × Schulungsbedarf

Woche 3-6: Curriculum entwickeln

  • Basis-Schulung: eigene E-Learning-Inhalte oder lizenzierte Kurse (EU-Kommission, nationale Cyber-Agenturen, Udemy für Business, LinkedIn Learning)
  • Rollenspezifische Vertiefung: oft intern entwickelt oder Teil der Anbieter-Schulung (bei Hochrisiko-KI-Kauf)
  • Leitungsschulung: Workshop-Format, oft extern

Woche 7-12: Rollout

  • Pflichtzuweisung über LMS oder GRC-Tool
  • Deadline für Abschluss
  • Auto-Reminder
  • Bestätigungstest

Ab Woche 13: Rolling

  • Monatliches Tracking
  • Refresher-Zyklen
  • Onboarding: neue Mitarbeiter innerhalb von 30 Tagen schulen

7. Typische Fehler

  1. "Reicht, dass wir einmal alle informiert haben" — nein, Rolling-Basis und Dokumentation sind Pflicht
  2. IT-only-Schulung — AI Literacy ist auch ein Thema für HR, Marketing, Vertrieb, Recht
  3. Keine Unterscheidung nach Rolle — Basis-Schulung reicht nicht für HR-Mitarbeiter mit KI-Recruiting
  4. Keine Aktualisierung — die KI-Verordnung entwickelt sich schnell (Leitlinien, Durchführungsrechtsakte)
  5. Schulung nicht dokumentiert — kein Nachweis = keine Compliance

Fazit

Die KI-Kompetenz nach Art. 4 ist die niedrigste Hürde, die am häufigsten gerissen wird. Die Umsetzung kostet ein mittelständisches Unternehmen einmalig 3-6 Wochen Projektarbeit und dann ca. 0,5-1 FTE-Monat pro Jahr für den laufenden Betrieb. Wer das nicht investiert, riskiert durch den Dominoeffekt mit Art. 26 Bußgelder in Millionenhöhe.

Weiterführend:

KI KompetenzArt 4 EU AI ActKI SchulungAI LiteracyKI Verordnung SchulungspflichtKI Mitarbeiter Schulung

EU AI Act Readiness Assessment

Check your AI compliance before August 2026

Take the free assessment

Bereit, Compliance zu vereinfachen?

Werden Sie in Wochen audit-ready, nicht Monaten. Sehen Sie Matproof in Aktion.

Demo anfordern