EU AI Act KI-Schulungspflicht für KMU — Koreva eG

EU AI Act: Die KI-Schulungspflicht für KMU

Seit Februar 2025 verpflichtet Artikel 4 des EU AI Act Unternehmen zu KI-Kompetenz — ab August 2026 wird durchgesetzt. Was das für KMU bedeutet, die ChatGPT und Co. nutzen, und wie ein pragmatisches Schulungskonzept aussieht.

Inhaltsverzeichnis

Viele Geschäftsführer verbinden den EU AI Act mit Konzernen, die eigene KI-Modelle entwickeln. Der praktisch wichtigste Teil trifft aber jedes Unternehmen, das KI im Alltag nutzt — auch wenn das nur bedeutet, dass Mitarbeiter mit ChatGPT Texte formulieren. Artikel 4 der Verordnung verlangt seit Februar 2025 KI-Kompetenz in der Belegschaft. Ab August 2026 kann diese Pflicht behördlich durchgesetzt werden. Dieser Beitrag ordnet ein, was das für KMU bedeutet, und zeigt einen umsetzbaren Weg.

Hinweis: Dieser Beitrag ist eine fachliche Einordnung, keine Rechtsberatung. Für die verbindliche Bewertung Ihres konkreten Einzelfalls — insbesondere zur Einstufung Ihrer KI-Systeme und zu Bußgeldrisiken — ziehen Sie eine auf IT- und Datenschutzrecht spezialisierte Kanzlei hinzu.

Was der EU AI Act ist — kurz und KMU-relevant

Der EU AI Act (offiziell: Verordnung über künstliche Intelligenz) ist das erste umfassende Regelwerk der Europäischen Union für den Einsatz von KI. Wie die DSGVO gilt er unmittelbar in allen Mitgliedstaaten — es braucht kein deutsches Umsetzungsgesetz, um wirksam zu werden. Und wie bei der DSGVO richtet er sich nicht nur an Technologiekonzerne, sondern an alle, die KI in Verkehr bringen oder betrieblich einsetzen.

Der Grundgedanke ist ein risikobasierter Ansatz: Je größer das Risiko, das von einem KI-System für Grundrechte, Sicherheit oder Gesundheit ausgeht, desto strenger die Pflichten. Ein System zur medizinischen Diagnostik unterliegt anderen Anforderungen als ein Spamfilter. Für die meisten KMU liegt der relevante Punkt nicht in den Hochrisiko-Regeln, sondern in einer Pflicht, die unabhängig von der Risikoklasse gilt: der KI-Kompetenz nach Artikel 4.

Der entscheidende Perspektivwechsel für den Mittelstand lautet: Sie müssen keine KI entwickeln, um vom AI Act betroffen zu sein. Es genügt, dass Sie KI-Systeme im Unternehmen einsetzen — und das tun heute weit mehr Betriebe, als sich dessen bewusst sind. Sobald jemand im Team im beruflichen Kontext ein KI-Werkzeug bedient, gilt Ihr Unternehmen als Betreiber im Sinne der Verordnung.

Artikel 4: Die KI-Kompetenzpflicht (betrifft auch reine ChatGPT-Nutzer)

Artikel 4 des EU AI Act ist knapp formuliert, aber folgenreich. Er verpflichtet Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz — im Original „AI Literacy“ — bei ihrem Personal und anderen Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind. Diese Pflicht gilt seit dem 2. Februar 2025.

Zwei Begriffe sind hier zentral. „Betreiber“ ist jede natürliche oder juristische Person, die ein KI-System in eigener Verantwortung nutzt — nicht nur, wer es herstellt. Und „KI-Kompetenz“ meint die Fähigkeiten, das Wissen und das Verständnis, die es ermöglichen, KI-Systeme sachkundig einzusetzen, ihre Chancen und Risiken einzuschätzen und mögliche Schäden zu erkennen. Es geht also nicht um Programmierkenntnisse, sondern um mündigen, kritischen Umgang.

Der oft übersehene Punkt: Auch reine Anwender fallen darunter. Wenn Ihre Mitarbeiter ChatGPT nutzen, um Kundenanschreiben zu formulieren, mit Microsoft Copilot Tabellen auswerten oder mit einem KI-Assistenten Code schreiben, dann setzt Ihr Unternehmen KI-Systeme ein — und die Kompetenzpflicht greift. Sie müssen dafür sorgen, dass diese Menschen verstehen, was das Werkzeug kann, wo seine Grenzen liegen und welche Risiken es birgt.

Konkret heißt das für die Praxis: Mitarbeiter sollten wissen, dass KI-Modelle Inhalte erfinden können (Halluzinationen), dass eingegebene Daten unter Umständen beim Anbieter landen und deshalb keine Geschäftsgeheimnisse oder personenbezogenen Daten unbedacht eingegeben werden dürfen, und dass KI-Ausgaben verzerrt oder falsch sein können und immer einer menschlichen Prüfung bedürfen. Genau diese Themen entscheiden im Alltag über Datenschutzpannen und Fehlentscheidungen — und genau hier setzt eine gute Schulung an. Wer die Datenschutzdimension vertiefen will, findet in unserem Beitrag zum lokalen LLM einen Weg, KI datensparsam im eigenen Haus zu betreiben.

Wichtig ist auch, was Artikel 4 nicht verlangt. Er schreibt weder ein bestimmtes Schulungsformat noch einen Mindestumfang oder ein Zertifikat vor. Die Verordnung überlässt es dem Unternehmen, die Kompetenz angemessen zum Kontext, zum Erfahrungsstand der Beschäftigten und zum Risiko der eingesetzten Systeme zu gestalten. Das schafft Spielraum — bedeutet aber auch, dass Sie selbst entscheiden und begründen müssen, was „ausreichend“ ist.

Fristen und Bußgelder

Beim AI Act lohnt es, zwei Daten auseinanderzuhalten: das Inkrafttreten einer Pflicht und den Beginn ihrer Durchsetzung.

Die Kompetenzpflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025. Sie ist also rechtlich in Kraft — heute, während Sie diesen Text lesen. Was bislang fehlte, war die behördliche Durchsetzungsstruktur. Ab dem 2. August 2026 greifen die Regelungen zur Marktaufsicht: Die zuständigen nationalen Behörden werden benannt und können Verstöße gegen die Verordnung ahnden. Bis dahin besteht die Pflicht, wird aber noch nicht aktiv kontrolliert.

Für den Bußgeldrahmen sieht der AI Act ein gestaffeltes System vor. Die höchste Stufe — bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes — betrifft besonders schwere Verstöße wie den Einsatz verbotener KI-Praktiken. Für Verstöße gegen Pflichten bei Hochrisiko-KI-Systemen sind Bußgelder bis zu 15 Millionen Euro beziehungsweise 3 Prozent des Umsatzes vorgesehen. Für die Kompetenzpflicht nach Artikel 4 selbst nennt die Verordnung keinen eigenen, spezifischen Bußgeldrahmen.

Das darf man aber nicht als Entwarnung lesen. Fehlende KI-Kompetenz kann im Schadensfall als Sorgfaltsverletzung gewertet werden und andere, sanktionsbewehrte Pflichtverletzungen begünstigen — etwa wenn ein ungeschulter Mitarbeiter personenbezogene Daten in ein KI-System eingibt und damit einen Datenschutzverstoß auslöst. Die genaue Einordnung im Einzelfall ist eine juristische Frage. Praktisch entscheidend ist: Der Aufbau von Kompetenz jetzt ist ungleich günstiger als die Aufarbeitung eines Vorfalls später.

Kurz gefasst: Die Pflicht gilt seit Februar 2025. Durchgesetzt wird ab August 2026. Der Zeitpuffer bis dahin ist keine Gnadenfrist zum Abwarten, sondern die praktische Gelegenheit, Kompetenz strukturiert aufzubauen und zu dokumentieren.

Die Risikoklassen des AI Act (verboten / hoch / begrenzt / minimal)

Um einzuordnen, welche Pflichten über Artikel 4 hinaus für Ihr Unternehmen gelten, hilft ein Blick auf die vier Risikoklassen der Verordnung. Die meisten KMU-Anwendungen bewegen sich in den unteren beiden Stufen — aber es lohnt zu wissen, wo die Grenzen liegen.

Verbotenes Risiko

Bestimmte KI-Praktiken sind grundsätzlich untersagt, weil sie mit den Grundwerten der EU unvereinbar sind. Dazu gehören etwa Social Scoring durch Behörden, manipulative Systeme, die menschliches Verhalten unterschwellig beeinflussen, oder das ungezielte Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Erkennungsdatenbanken. Für typische KMU-Anwendungen spielt diese Kategorie in der Regel keine Rolle — aber gerade hier greifen die höchsten Bußgelder.

Hohes Risiko

Hochrisiko-Systeme sind erlaubt, unterliegen aber strengen Auflagen zu Risikomanagement, Datenqualität, Transparenz, menschlicher Aufsicht und Dokumentation. Dazu zählen KI-Systeme in sensiblen Bereichen — etwa im Personalwesen bei der Bewerberauswahl, in der Kreditvergabe oder bei kritischer Infrastruktur. Ein KMU, das KI für die Vorauswahl von Bewerbungen einsetzt, kann durchaus in diese Klasse fallen. Hier ist eine sorgfältige Prüfung angeraten.

Begrenztes Risiko

Systeme mit begrenztem Risiko unterliegen vor allem Transparenzpflichten. Nutzer müssen erkennen können, dass sie es mit einer KI zu tun haben. Ein typisches Beispiel ist ein Chatbot auf der Website: Er muss als solcher kenntlich sein. Auch KI-generierte Inhalte müssen unter bestimmten Voraussetzungen als solche gekennzeichnet werden.

Minimales Risiko

Die große Mehrheit alltäglicher KI-Anwendungen fällt in diese Klasse: Spamfilter, KI-gestützte Rechtschreibkorrektur, Empfehlungssysteme, viele Produktivitätswerkzeuge. Für sie gelten über die allgemeine Kompetenzpflicht hinaus keine besonderen Auflagen. Wichtig: Auch bei minimalem Risiko bleibt Artikel 4 anwendbar — die Kompetenzpflicht ist von der Risikoklasse unabhängig.

Ein pragmatisches Schulungskonzept in 5 Bausteinen

Die Kompetenzpflicht wirkt zunächst abstrakt. In der Umsetzung lässt sie sich für ein KMU aber gut auf fünf konkrete Bausteine herunterbrechen. Kein Bürokratiemonster, sondern ein Vorgehen, das zum Betrieb passt und nachweisbar ist.

1. Bestandsaufnahme: Wo wird KI genutzt?

Bevor Sie schulen, müssen Sie wissen, was Sie einsetzen. Erfassen Sie, welche KI-Werkzeuge im Unternehmen genutzt werden — offiziell wie inoffiziell. Gerade die „Schatten-KI“, also von Mitarbeitern eigenmächtig verwendete Tools wie ChatGPT im privaten Account, ist verbreitet und aus Datenschutzsicht heikel. Ordnen Sie jedes System grob einer Risikoklasse zu. Diese Inventur ist die Grundlage für alles Weitere und zugleich der erste Schritt einer belastbaren KI-Strategie.

2. Grundlagenschulung für alle

Jeder Mitarbeiter, der mit KI in Berührung kommt, braucht ein gemeinsames Basisverständnis: Was ist ein KI-Sprachmodell, wie „denkt“ es, warum können Ausgaben falsch sein? Was sind Halluzinationen? Welche Daten dürfen unter keinen Umständen eingegeben werden? Diese Grundlagenschulung muss nicht lang sein — ein kompakter, praxisnaher Block, der die wichtigsten Risiken und Verhaltensregeln vermittelt, deckt für die meisten Rollen den Bedarf ab.

3. Rollenspezifische Vertiefung

Wer KI intensiver oder in sensibleren Bereichen einsetzt, braucht mehr. Die Buchhaltung, die KI für Auswertungen nutzt, das Marketing, das Texte und Bilder generiert, oder die Personalabteilung, die über KI-gestützte Vorauswahl nachdenkt — sie alle haben spezifische Anforderungen. Hier lohnt eine vertiefte Schulung, die auf die konkreten Werkzeuge und Risiken der jeweiligen Rolle eingeht. Auch der Aufbau von KI-Assistenten für Fachprozesse gehört hierher; wie das aussieht, zeigt unser Beitrag zu KI-Agenten im Unternehmen.

4. KI-Nutzungsrichtlinie

Schulung wirkt nur mit klaren Regeln. Eine schriftliche KI-Nutzungsrichtlinie legt fest, welche Werkzeuge erlaubt sind, welche Daten eingegeben werden dürfen und welche nicht, wann eine menschliche Prüfung zwingend ist und wer bei Fragen zuständig ist. Diese Richtlinie gibt den Mitarbeitern Handlungssicherheit und dem Unternehmen einen dokumentierten Rahmen. Sie ist zugleich ein zentraler Nachweis, dass Sie Ihre Kompetenzpflicht ernst nehmen.

5. Dokumentation und Wiederholung

Halten Sie fest, wer wann welche Schulung erhalten hat und welche Inhalte vermittelt wurden. Diese Dokumentation ist Ihr Beleg gegenüber Behörden, dass Sie die Kompetenzpflicht erfüllen. Und weil sich KI-Werkzeuge und Risiken schnell wandeln, ist eine einmalige Schulung nicht genug: Planen Sie eine regelmäßige Auffrischung ein, mindestens jährlich oder bei wesentlichen Änderungen im eingesetzten Werkzeugbestand.

Wie Koreva KMU dabei unterstützt

Wir begleiten mittelständische Unternehmen bei genau diesem Weg — von der Bestandsaufnahme bis zur dokumentierten Schulung. Der Ausgangspunkt ist meist eine nüchterne Frage: Wo nutzen Sie heute schon KI, und was davon ist mit Blick auf Datenschutz und AI Act unkritisch, was nicht? Aus dieser Klärung entsteht ein Vorgehen, das zu Ihrem Betrieb passt, statt eine Standardschablone überzustülpen.

In der praktischen Umsetzung verbinden wir zwei Perspektiven, die selten zusammenkommen: fundierte KI-Kompetenz und langjährige IT-Sicherheitspraxis. Der Autor dieses Beitrags arbeitet seit über fünfzehn Jahren in Netzwerk- und Sicherheitsprojekten, hat Netzwerk- und WLAN-Infrastrukturen unter anderem für Schulen und im Gesundheitsbereich aufgebaut und setzt KI heute produktiv ein — auch lokal auf eigener Infrastruktur. Diese Kombination hilft, KI-Schulungen nicht als abstrakte Compliance-Übung zu führen, sondern an echten Datenschutz- und Sicherheitsfragen des Alltags auszurichten.

Konkret unterstützen wir Sie mit praxisnahen IT-Schulungen zu KI-Kompetenz und AI Literacy, mit einer strategischen Einordnung im Rahmen unserer KI-Beratung und beim Aufbau einer belastbaren KI-Strategie — inklusive der Frage, wann sich ein lokales LLM lohnt, um Daten gar nicht erst aus dem Haus zu geben. Ziel ist immer, dass Ihr Team KI sicher und selbstbewusst nutzt, statt sie aus Unsicherheit zu meiden oder unkontrolliert einzusetzen.

Ergänzend bietet das Institut für Cybersicherheit Deutschland (IFCSD) Awareness- und Schulungsformate an und stellt einen kostenlosen Erst-Check bereit, mit dem sich der eigene Reifegrad unkompliziert einordnen lässt — ein guter Einstieg, wenn Sie zunächst nur wissen wollen, wo Sie stehen.

Wenn Sie unsicher sind, ob und wie der AI Act Ihr Unternehmen betrifft: Sprechen Sie uns an. Ein erstes Gespräch klärt oft schneller als erwartet, welche Schritte für Sie tatsächlich anstehen.

Steffen Huntscha

IT-Berater & Gründungsmitglied · Koreva eG

Cisco-zertifizierter Netzwerk- & Security-Spezialist (CCNA/CCNP, seit 2010), BSI-zertifizierter Security-Risk-Check-Berater. Arbeitet seit Jahren produktiv mit KI — auch lokal auf eigener GPU-Infrastruktur.

Häufige Fragen

Ja, wenn Ihr Unternehmen KI-Systeme einsetzt oder betreibt. Artikel 4 des EU AI Act verpflichtet Anbieter und Betreiber von KI-Systemen dazu, für ein ausreichendes Maß an KI-Kompetenz (AI Literacy) bei den Personen zu sorgen, die diese Systeme in ihrem Auftrag bedienen. Das gilt seit dem 2. Februar 2025 und betrifft ausdrücklich auch reine Anwenderinnen und Anwender — also Mitarbeiter, die im Job ChatGPT, Copilot oder ähnliche Werkzeuge nutzen.

Die Verordnung schreibt kein bestimmtes Format vor: Es gibt keine Pflicht zu einem Zertifikat und keinen gesetzlich vorgeschriebenen Umfang. Verlangt wird, dass die Kompetenz zum Einsatzkontext und zum Risiko passt.

Die Pflicht zur KI-Kompetenz nach Artikel 4 gilt bereits seit dem 2. Februar 2025 — sie ist also schon in Kraft. Was noch fehlte, war die behördliche Durchsetzung. Ab dem 2. August 2026 greifen die Vorschriften zur Marktaufsicht und die zuständigen nationalen Behörden können Verstöße ahnden.

Bis dahin gilt die Pflicht rechtlich, wird aber noch nicht aktiv kontrolliert. Wer wartet, bis geprüft wird, riskiert, unvorbereitet in die Durchsetzungsphase zu geraten. Sinnvoll ist es deshalb, die Kompetenz jetzt aufzubauen und zu dokumentieren, statt kurzfristig reagieren zu müssen.

Der EU AI Act sieht ein gestaffeltes Bußgeldsystem vor. Der höchste Rahmen greift bei besonders schweren Verstößen — etwa dem Einsatz verbotener KI-Praktiken — und reicht bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes. Für Verstöße gegen Pflichten bei Hochrisiko-KI-Systemen sind Bußgelder bis zu 15 Millionen Euro beziehungsweise 3 Prozent des Umsatzes vorgesehen.

Für die Kompetenzpflicht nach Artikel 4 selbst nennt die Verordnung keinen eigenen, spezifischen Bußgeldrahmen. Fehlende KI-Kompetenz kann aber im Schadensfall als Sorgfaltsverletzung gewertet werden und andere Pflichtverletzungen begünstigen. Für die konkrete Einordnung im Einzelfall ist eine rechtliche Prüfung erforderlich.

Für die Kompetenzpflicht nach Artikel 4: ja. Sobald Mitarbeiter im beruflichen Kontext KI-Werkzeuge wie ChatGPT, Microsoft Copilot oder Google Gemini nutzen, gilt Ihr Unternehmen als Betreiber eines KI-Systems und muss für ausreichende KI-Kompetenz sorgen. Es kommt nicht darauf an, ob Sie die KI selbst entwickeln — die reine Nutzung genügt.

Das ist für viele KMU der praktisch relevanteste Punkt, denn nach Erhebungen nutzen bereits rund 56 Prozent der deutschen Unternehmen ChatGPT und vergleichbare Dienste, während erst etwa 27 Prozent ihre Belegschaft dazu geschult haben. Diese Lücke ist genau das, was Artikel 4 adressiert.

Nein, einen KI-Beauftragten schreibt der EU AI Act nicht gesetzlich vor — anders als etwa den Datenschutzbeauftragten unter bestimmten Voraussetzungen der DSGVO. Es gibt keine Pflicht, eine solche Rolle formal zu benennen.

In der Praxis ist es dennoch sinnvoll, eine verantwortliche Person zu bestimmen, die den KI-Einsatz im Unternehmen überblickt, Schulungen koordiniert und die Kompetenz dokumentiert. Das erleichtert die Umsetzung und schafft einen Ansprechpartner. Verpflichtend ist es aber nicht, und es genügt für kleinere Betriebe oft, die Zuständigkeit einer bestehenden Rolle zuzuordnen, etwa der IT-Leitung.

KI-Kompetenz nach dem AI Act aufbauen

Wir schulen Ihr Team praxisnah zur KI-Kompetenz nach Artikel 4 — verständlich, dokumentiert und auf Ihren Betrieb zugeschnitten. Damit Sie vorbereitet sind, bevor durchgesetzt wird.