Inhaltsverzeichnis
Viele Geschäftsführer verbinden den EU AI Act mit Konzernen, die eigene KI-Modelle entwickeln. Der praktisch wichtigste Teil trifft aber jedes Unternehmen, das KI im Alltag nutzt — auch wenn das nur bedeutet, dass Mitarbeiter mit ChatGPT Texte formulieren. Artikel 4 der Verordnung verlangt seit Februar 2025 KI-Kompetenz in der Belegschaft. Ab August 2026 kann diese Pflicht behördlich durchgesetzt werden. Dieser Beitrag ordnet ein, was das für KMU bedeutet, und zeigt einen umsetzbaren Weg.
Was der EU AI Act ist — kurz und KMU-relevant
Der EU AI Act (offiziell: Verordnung über künstliche Intelligenz) ist das erste umfassende Regelwerk der Europäischen Union für den Einsatz von KI. Wie die DSGVO gilt er unmittelbar in allen Mitgliedstaaten — es braucht kein deutsches Umsetzungsgesetz, um wirksam zu werden. Und wie bei der DSGVO richtet er sich nicht nur an Technologiekonzerne, sondern an alle, die KI in Verkehr bringen oder betrieblich einsetzen.
Der Grundgedanke ist ein risikobasierter Ansatz: Je größer das Risiko, das von einem KI-System für Grundrechte, Sicherheit oder Gesundheit ausgeht, desto strenger die Pflichten. Ein System zur medizinischen Diagnostik unterliegt anderen Anforderungen als ein Spamfilter. Für die meisten KMU liegt der relevante Punkt nicht in den Hochrisiko-Regeln, sondern in einer Pflicht, die unabhängig von der Risikoklasse gilt: der KI-Kompetenz nach Artikel 4.
Der entscheidende Perspektivwechsel für den Mittelstand lautet: Sie müssen keine KI entwickeln, um vom AI Act betroffen zu sein. Es genügt, dass Sie KI-Systeme im Unternehmen einsetzen — und das tun heute weit mehr Betriebe, als sich dessen bewusst sind. Sobald jemand im Team im beruflichen Kontext ein KI-Werkzeug bedient, gilt Ihr Unternehmen als Betreiber im Sinne der Verordnung.
Artikel 4: Die KI-Kompetenzpflicht (betrifft auch reine ChatGPT-Nutzer)
Artikel 4 des EU AI Act ist knapp formuliert, aber folgenreich. Er verpflichtet Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz — im Original „AI Literacy“ — bei ihrem Personal und anderen Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind. Diese Pflicht gilt seit dem 2. Februar 2025.
Zwei Begriffe sind hier zentral. „Betreiber“ ist jede natürliche oder juristische Person, die ein KI-System in eigener Verantwortung nutzt — nicht nur, wer es herstellt. Und „KI-Kompetenz“ meint die Fähigkeiten, das Wissen und das Verständnis, die es ermöglichen, KI-Systeme sachkundig einzusetzen, ihre Chancen und Risiken einzuschätzen und mögliche Schäden zu erkennen. Es geht also nicht um Programmierkenntnisse, sondern um mündigen, kritischen Umgang.
Der oft übersehene Punkt: Auch reine Anwender fallen darunter. Wenn Ihre Mitarbeiter ChatGPT nutzen, um Kundenanschreiben zu formulieren, mit Microsoft Copilot Tabellen auswerten oder mit einem KI-Assistenten Code schreiben, dann setzt Ihr Unternehmen KI-Systeme ein — und die Kompetenzpflicht greift. Sie müssen dafür sorgen, dass diese Menschen verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken es birgt.
Konkret heißt das für die Praxis: Mitarbeiter sollten wissen, dass KI-Modelle Inhalte erfinden können (Halluzinationen), dass eingegebene Daten unter Umständen beim Anbieter landen und deshalb keine Geschäftsgeheimnisse oder personenbezogenen Daten unbedacht eingegeben werden dürfen, und dass KI-Ausgaben verzerrt oder falsch sein können und immer einer menschlichen Prüfung bedürfen. Genau diese Themen entscheiden im Alltag über Datenschutzpannen und Fehlentscheidungen — und genau hier setzt eine gute Schulung an. Wer die Datenschutzdimension vertiefen will, findet in unserem Beitrag zum lokalen LLM einen Weg, KI datensparsam im eigenen Haus zu betreiben.
Wichtig ist auch, was Artikel 4 nicht verlangt. Er schreibt weder ein bestimmtes Schulungsformat noch einen Mindestumfang oder ein Zertifikat vor. Die Verordnung überlässt es dem Unternehmen, die Kompetenz angemessen zum Kontext, zum Erfahrungsstand der Beschäftigten und zum Risiko der eingesetzten Systeme zu gestalten. Das schafft Spielraum — bedeutet aber auch, dass Sie selbst entscheiden und begründen müssen, was „ausreichend“ ist.
Fristen und Bußgelder
Beim AI Act lohnt es, zwei Daten auseinanderzuhalten: das Inkrafttreten einer Pflicht und den Beginn ihrer Durchsetzung.
Die Kompetenzpflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025. Sie ist also rechtlich in Kraft — heute, während Sie diesen Text lesen. Was bislang fehlte, war die behördliche Durchsetzungsstruktur. Ab dem 2. August 2026 greifen die Regelungen zur Marktaufsicht: Die zuständigen nationalen Behörden werden benannt und können Verstöße gegen die Verordnung ahnden. Bis dahin besteht die Pflicht, wird aber noch nicht aktiv kontrolliert.
Für den Bußgeldrahmen sieht der AI Act ein gestaffeltes System vor. Die höchste Stufe — bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes — betrifft besonders schwere Verstöße wie den Einsatz verbotener KI-Praktiken. Für Verstöße gegen Pflichten bei Hochrisiko-KI-Systemen sind Bußgelder bis zu 15 Millionen Euro beziehungsweise 3 Prozent des Umsatzes vorgesehen. Für die Kompetenzpflicht nach Artikel 4 selbst nennt die Verordnung keinen eigenen, spezifischen Bußgeldrahmen.
Das darf man aber nicht als Entwarnung lesen. Fehlende KI-Kompetenz kann im Schadensfall als Sorgfaltsverletzung gewertet werden und andere, sanktionsbewehrte Pflichtverletzungen begünstigen — etwa wenn ein ungeschulter Mitarbeiter personenbezogene Daten in ein KI-System eingibt und damit einen Datenschutzverstoß auslöst. Die genaue Einordnung im Einzelfall ist eine juristische Frage. Praktisch entscheidend ist: Der Aufbau von Kompetenz jetzt ist ungleich günstiger als die Aufarbeitung eines Vorfalls später.
Die Risikoklassen des AI Act (verboten / hoch / begrenzt / minimal)
Um einzuordnen, welche Pflichten über Artikel 4 hinaus für Ihr Unternehmen gelten, hilft ein Blick auf die vier Risikoklassen der Verordnung. Die meisten KMU-Anwendungen bewegen sich in den unteren beiden Stufen — aber es lohnt zu wissen, wo die Grenzen liegen.
Verbotenes Risiko
Bestimmte KI-Praktiken sind grundsätzlich untersagt, weil sie mit den Grundwerten der EU unvereinbar sind. Dazu gehören etwa Social Scoring durch Behörden, manipulative Systeme, die menschliches Verhalten unterschwellig beeinflussen, oder das ungezielte Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Erkennungsdatenbanken. Für typische KMU-Anwendungen spielt diese Kategorie in der Regel keine Rolle — aber gerade hier greifen die höchsten Bußgelder.
Hohes Risiko
Hochrisiko-Systeme sind erlaubt, unterliegen aber strengen Auflagen zu Risikomanagement, Datenqualität, Transparenz, menschlicher Aufsicht und Dokumentation. Dazu zählen KI-Systeme in sensiblen Bereichen — etwa im Personalwesen bei der Bewerberauswahl, in der Kreditvergabe oder bei kritischer Infrastruktur. Ein KMU, das KI für die Vorauswahl von Bewerbungen einsetzt, kann durchaus in diese Klasse fallen. Hier ist eine sorgfältige Prüfung angeraten.
Begrenztes Risiko
Systeme mit begrenztem Risiko unterliegen vor allem Transparenzpflichten. Nutzer müssen erkennen können, dass sie es mit einer KI zu tun haben. Ein typisches Beispiel ist ein Chatbot auf der Website: Er muss als solcher kenntlich sein. Auch KI-generierte Inhalte müssen unter bestimmten Voraussetzungen als solche gekennzeichnet werden.
Minimales Risiko
Die große Mehrheit alltäglicher KI-Anwendungen fällt in diese Klasse: Spamfilter, KI-gestützte Rechtschreibkorrektur, Empfehlungssysteme, viele Produktivitätswerkzeuge. Für sie gelten über die allgemeine Kompetenzpflicht hinaus keine besonderen Auflagen. Wichtig: Auch bei minimalem Risiko bleibt Artikel 4 anwendbar — die Kompetenzpflicht ist von der Risikoklasse unabhängig.
Ein pragmatisches Schulungskonzept in 5 Bausteinen
Die Kompetenzpflicht wirkt zunächst abstrakt. In der Umsetzung lässt sie sich für ein KMU aber gut auf fünf konkrete Bausteine herunterbrechen. Kein Bürokratiemonster, sondern ein Vorgehen, das zum Betrieb passt und nachweisbar ist.
1. Bestandsaufnahme: Wo wird KI genutzt?
Bevor Sie schulen, müssen Sie wissen, was Sie einsetzen. Erfassen Sie, welche KI-Werkzeuge im Unternehmen genutzt werden — offiziell wie inoffiziell. Gerade die „Schatten-KI“, also von Mitarbeitern eigenmächtig verwendete Tools wie ChatGPT im privaten Account, ist verbreitet und aus Datenschutzsicht heikel. Ordnen Sie jedes System grob einer Risikoklasse zu. Diese Inventur ist die Grundlage für alles Weitere und zugleich der erste Schritt einer belastbaren KI-Strategie.
2. Grundlagenschulung für alle
Jeder Mitarbeiter, der mit KI in Berührung kommt, braucht ein gemeinsames Basisverständnis: Was ist ein KI-Sprachmodell, wie „denkt“ es, warum können Ausgaben falsch sein? Was sind Halluzinationen? Welche Daten dürfen unter keinen Umständen eingegeben werden? Diese Grundlagenschulung muss nicht lang sein — ein kompakter, praxisnaher Block, der die wichtigsten Risiken und Verhaltensregeln vermittelt, deckt für die meisten Rollen den Bedarf ab.
3. Rollenspezifische Vertiefung
Wer KI intensiver oder in sensibleren Bereichen einsetzt, braucht mehr. Die Buchhaltung, die KI für Auswertungen nutzt, das Marketing, das Texte und Bilder generiert, oder die Personalabteilung, die über KI-gestützte Vorauswahl nachdenkt — sie alle haben spezifische Anforderungen. Hier lohnt eine vertiefte Schulung, die auf die konkreten Werkzeuge und Risiken der jeweiligen Rolle eingeht. Auch der Aufbau von KI-Assistenten für Fachprozesse gehört hierher; wie das aussieht, zeigt unser Beitrag zu KI-Agenten im Unternehmen.
4. KI-Nutzungsrichtlinie
Schulung wirkt nur mit klaren Regeln. Eine schriftliche KI-Nutzungsrichtlinie legt fest, welche Werkzeuge erlaubt sind, welche Daten eingegeben werden dürfen und welche nicht, wann eine menschliche Prüfung zwingend ist und wer bei Fragen zuständig ist. Diese Richtlinie gibt den Mitarbeitern Handlungssicherheit und dem Unternehmen einen dokumentierten Rahmen. Sie ist zugleich ein zentraler Nachweis, dass Sie Ihre Kompetenzpflicht ernst nehmen.
5. Dokumentation und Wiederholung
Halten Sie fest, wer wann welche Schulung erhalten hat und welche Inhalte vermittelt wurden. Diese Dokumentation ist Ihr Beleg gegenüber Behörden, dass Sie die Kompetenzpflicht erfüllen. Und weil sich KI-Werkzeuge und Risiken schnell wandeln, ist eine einmalige Schulung nicht genug: Planen Sie eine regelmäßige Auffrischung ein, mindestens jährlich oder bei wesentlichen Änderungen im eingesetzten Werkzeugbestand.
Wie Koreva KMU dabei unterstützt
Wir begleiten mittelständische Unternehmen bei genau diesem Weg — von der Bestandsaufnahme bis zur dokumentierten Schulung. Der Ausgangspunkt ist meist eine nüchterne Frage: Wo nutzen Sie heute schon KI, und was davon ist mit Blick auf Datenschutz und AI Act unkritisch, was nicht? Aus dieser Klärung entsteht ein Vorgehen, das zu Ihrem Betrieb passt, statt eine Standardschablone überzustülpen.
In der praktischen Umsetzung verbinden wir zwei Perspektiven, die selten zusammenkommen: fundierte KI-Kompetenz und langjährige IT-Sicherheitspraxis. Der Autor dieses Beitrags arbeitet seit über fünfzehn Jahren in Netzwerk- und Sicherheitsprojekten, hat Netzwerk- und WLAN-Infrastrukturen unter anderem für Schulen und im Gesundheitsbereich aufgebaut und setzt KI heute produktiv ein — auch lokal auf eigener Infrastruktur. Diese Kombination hilft, KI-Schulungen nicht als abstrakte Compliance-Übung zu führen, sondern an echten Datenschutz- und Sicherheitsfragen des Alltags auszurichten.
Konkret unterstützen wir Sie mit praxisnahen IT-Schulungen zu KI-Kompetenz und AI Literacy, mit einer strategischen Einordnung im Rahmen unserer KI-Beratung und beim Aufbau einer belastbaren KI-Strategie — inklusive der Frage, wann sich ein lokales LLM lohnt, um Daten gar nicht erst aus dem Haus zu geben. Ziel ist immer, dass Ihr Team KI sicher und selbstbewusst nutzt, statt sie aus Unsicherheit zu meiden oder unkontrolliert einzusetzen.
Ergänzend bietet das Institut für Cybersicherheit Deutschland (IFCSD) Awareness- und Schulungsformate an und stellt einen kostenlosen Erst-Check bereit, mit dem sich der eigene Reifegrad unkompliziert einordnen lässt — ein guter Einstieg, wenn Sie zunächst nur wissen wollen, wo Sie stehen.
Wenn Sie unsicher sind, ob und wie der AI Act Ihr Unternehmen betrifft: Sprechen Sie uns an. Ein erstes Gespräch klärt oft schneller als erwartet, welche Schritte für Sie tatsächlich anstehen.

