KI-Kompetenz ist Pflicht
Seit dem 2. Februar 2025 gilt Artikel 4 des EU AI Act. Er verpflichtet Unternehmen, die KI-Systeme nutzen oder bereitstellen, für ausreichende KI-Kompetenz bei ihren Mitarbeitern zu sorgen. Diese Pflicht gilt unabhängig von der Risikoklasse des KI-Systems. Wer ChatGPT für Marketingtexte nutzt, ist genauso betroffen wie ein Unternehmen mit Hochrisiko-KI im HR-Bereich.
Was KI-Kompetenz bedeutet
Die Verordnung definiert KI-Kompetenz als die Fähigkeiten, Kenntnisse und das Verständnis, um KI-Systeme sachkundig einzusetzen und sich der Chancen und Risiken bewusst zu sein. Das klingt abstrakt, meint aber konkret: Wer mit KI arbeitet, muss verstehen, was er tut. Nicht auf dem Niveau eines Data Scientists, sondern angemessen zur eigenen Rolle und zum genutzten System.
Ein Sachbearbeiter, der gelegentlich einen KI-Assistenten für Textvorschläge nutzt, braucht andere Kenntnisse als ein Teamleiter, der KI-gestützte Analysen für Personalentscheidungen verantwortet. Die Verordnung berücksichtigt das ausdrücklich: Technische Vorkenntnisse, Erfahrung, Ausbildung und der konkrete Einsatzkontext bestimmen, welches Kompetenzniveau angemessen ist.
Wer ist betroffen
Die Pflicht trifft Anbieter und Betreiber von KI-Systemen. Anbieter entwickeln KI oder bringen sie unter eigenem Namen in Verkehr. Betreiber nutzen KI-Systeme in eigener Verantwortung für berufliche Zwecke. Für die meisten kleinen und mittleren Unternehmen bedeutet das: Sie sind Betreiber. Jedes Unternehmen, das bewusst KI-Tools einsetzt oder deren Nutzung durch Mitarbeiter duldet, fällt unter diese Kategorie.
Der Geltungsbereich ist damit breit. Microsoft Copilot im Office-Paket, ein KI-gestütztes CRM-System, automatisierte Chatbots auf der Website oder schlicht ChatGPT auf dem Arbeitsrechner: Überall dort, wo KI-Systeme beruflich genutzt werden, greift Artikel 4. Die Unternehmensgröße spielt dabei keine Rolle.
Keine starren Vorgaben
Die Verordnung schreibt weder ein bestimmtes Schulungsformat noch konkrete Inhalte vor. Das ist Absicht. Ein standardisiertes Pflichtprogramm würde der Vielfalt der Einsatzszenarien nicht gerecht. Stattdessen liegt die Verantwortung beim Unternehmen, ein passendes Konzept zu entwickeln.
Die Bundesnetzagentur empfiehlt in ihrem Hinweispapier einen interdisziplinären und stufenweisen Aufbau. Interdisziplinär bedeutet: Technische, rechtliche und ethische Aspekte gehören zusammen. Stufenweise heißt: Die Kompetenz wächst mit den Anforderungen der jeweiligen Rolle. Ein modulares Konzept, das Grundlagenwissen für alle mit vertiefenden Bausteinen für bestimmte Funktionen kombiniert, erfüllt diese Anforderungen.
Mögliche Formate reichen von Selbstlernprogrammen über Workshops bis zu strukturierten Fortbildungen. Externe Schulungen sind ebenso zulässig wie interne Maßnahmen. Entscheidend ist nicht das Format, sondern das Ergebnis: Mitarbeiter müssen in der Lage sein, KI-Systeme verantwortungsvoll zu nutzen und Risiken einzuschätzen.
Keine direkten Bußgelder, aber Haftungsrisiken
Ein Verstoß gegen Artikel 4 ist nicht unmittelbar bußgeldbewehrt. Das unterscheidet diese Vorschrift von anderen Teilen der Verordnung, die empfindliche Strafen vorsehen. Dennoch wäre es ein Fehler, die Pflicht auf die leichte Schulter zu nehmen.
Entsteht durch fehlerhafte KI-Nutzung ein Schaden, wird die Frage relevant, ob das Unternehmen angemessene Vorkehrungen getroffen hat. Fehlende Schulungen oder ein nicht vorhandenes Kompetenzkonzept können als Verletzung der Sorgfaltspflicht gewertet werden. Die Haftung trifft dann das Unternehmen, nicht den einzelnen Mitarbeiter. Dokumentierte Maßnahmen zur KI-Kompetenz sind damit auch ein Schutz vor zivilrechtlichen Ansprüchen.
Voraussetzung: Wissen, welche KI im Einsatz ist
Bevor Schulungsmaßnahmen sinnvoll geplant werden können, braucht es Klarheit über den Status quo. Welche KI-Systeme werden im Unternehmen genutzt? Von wem? Für welche Zwecke? Diese Fragen beantwortet ein systematischer Erfassungsprozess, der auch Schatten-KI einschließt.
Ohne diese Grundlage bleiben Kompetenzmaßnahmen beliebig. Ein vollständiges KI-Register zeigt nicht nur, welche Systeme vorhanden sind, sondern auch, wer sie nutzt und in welchem Kontext. Daraus lässt sich ableiten, welche Mitarbeitergruppen welchen Schulungsbedarf haben. Die DISCOVER-Phase des NADOVO Frameworks liefert genau diese Transparenz.
Praktische Umsetzung für KMU
Drei Säulen tragen ein funktionierendes KI-Kompetenzkonzept: Erstens Schulungen, die auf Rollen und Einsatzbereiche zugeschnitten sind. Zweitens klare Verantwortlichkeiten, idealerweise ein benannter Ansprechpartner für KI-Fragen. Drittens dokumentierte Richtlinien für den KI-Einsatz im Unternehmen.
Der Aufwand muss zur Unternehmensgröße passen. Ein Fünf-Personen-Team braucht kein mehrstufiges Zertifizierungsprogramm. Eine dokumentierte Einweisung, klare Nutzungsregeln und die Möglichkeit, bei Fragen nachzuhaken, können ausreichen. Wichtig ist die Nachvollziehbarkeit: Welche Maßnahmen wurden ergriffen, wer wurde wann geschult, welche Systeme sind erfasst.
Die Pflicht zur KI-Kompetenz ist keine bürokratische Hürde. Sie ist eine Investition in den sicheren und produktiven Umgang mit Technologie, die längst im Arbeitsalltag angekommen ist. Unternehmen, die das früh erkennen, profitieren doppelt: Sie erfüllen die regulatorischen Anforderungen und schaffen gleichzeitig die Grundlage für einen echten Mehrwert durch KI.
Über den Autor
Jochen Stier ist AI Compliance Experte mit über 20 Jahren Erfahrung in Prozessmanagement und IT Service Management. Er unterstützt deutsche KMUs dabei, die Anforderungen des EU AI Act systematisch und pragmatisch umzusetzen. Sein 5-Phasen Framework NADOVO verbindet regulatorische Anforderungen mit praktischer Umsetzbarkeit, ohne Enterprise-Budgets oder komplexe Tools.
Weiterführende Informationen:
