KI-Recht · Schulungspflicht

KI-Kompetenzpflicht nach Art. 4 KI-VO: Was Unternehmen jetzt wissen müssen

Seit Februar 2025 gilt die KI-Kompetenzpflicht für alle Unternehmen, die KI einsetzen oder Mitarbeitende mit KI arbeiten lassen. Art. 4 KI-VO ist keine Zukunftsnotiz, sondern eine bereits laufende Pflicht: Wer KI nutzt, muss dafür sorgen, dass die beteiligten Personen ausreichend kompetent sind – und das im Zweifel auch belegen können.

Gerade im Mittelstand wird diese Vorgabe oft unterschätzt, weil sie unscheinbar wirkt: keine komplizierte Zulassung, keine aufwendige Zertifizierung, keine formale Freigabe durch eine Behörde. Genau das macht sie aber in der Praxis so relevant. Denn sobald Mitarbeitende ChatGPT, Copilot, Übersetzungstools, Bildgeneratoren, KI-gestützte Analysefunktionen oder automatisierte Assistenzen verwenden, braucht es klare Regeln, passende Schulungen und eine Dokumentation, die im Ernstfall trägt.

Dieser Beitrag richtet sich an Geschäftsführung, IT, Fachbereiche, Compliance und HR. Er erklärt, was Art. 4 KI-VO tatsächlich verlangt, wen die Pflicht betrifft, wie Unternehmen die Kompetenz aufbauen und wie Sie das Ganze dokumentieren, ohne ein Bürokratie-Monster daraus zu machen. Wenn Sie sich zuerst einen strategischen Überblick verschaffen möchten, starten Sie mit unserem KI-Governance-Überblick. Vertiefend passen dazu auch der EU AI Act im Unternehmen, DSGVO & KI und Haftung bei KI-Fehlern.

Stand: Mai 2026. Keine Rechtsberatung. Dieser Text ersetzt keine anwaltliche Prüfung.

1. Warum die KI-Kompetenzpflicht so leicht unterschätzt wird

Art. 4 KI-VO ist eine der ersten praktisch wirksamen Pflichten der KI-Verordnung. Anders als bei Hochrisiko-Systemen geht es hier nicht darum, erst einmal eine Produktprüfung oder eine umfangreiche technische Konformitätsbewertung aufzusetzen. Die Pflicht greift viel früher: im Alltag des Einsatzes. Sobald Menschen KI im Unternehmen nutzen, müssen sie dazu befähigt werden, das System sachgerecht, risikobewusst und entsprechend ihrer Rolle zu verwenden.

Genau deshalb ist die Pflicht für viele Unternehmen so überraschend. Sie trifft nicht nur KI-Anbieter oder große Tech-Konzerne, sondern auch kleine und mittlere Unternehmen, die KI nur punktuell einsetzen. Ein Marketingteam, das Texte generiert, der Vertrieb mit KI-gestützter Recherche, der Kundenservice mit einem Chatbot oder die Personalabteilung mit Assistenzfunktionen: All das kann bereits ausreichen, damit die Kompetenzpflicht relevant wird.

Das Problem ist selten der böse Wille, sondern die Geschwindigkeit. KI-Tools werden eingeführt, weil sie Effizienz versprechen. Danach wächst die Nutzung schneller als die interne Steuerung. Viele Firmen wissen dann zwar, dass es Regeln geben sollte, aber nicht, wer sie definiert, wie sie kommuniziert werden und wer nachhalten soll, ob die Menschen im Alltag wirklich verstanden haben, was sie tun.

Die Folge: Kompetenz bleibt zufällig. Und Zufall ist bei rechtlich relevanten Technologieeinsätzen kein guter Steuerungsmodus. Wer Art. 4 ernst nimmt, schafft eine feste Struktur – nicht als Bremse, sondern als Voraussetzung für skalierbaren und verantwortbaren KI-Einsatz.

  • Die Pflicht ist bereits in Kraft: Seit Februar 2025 müssen Unternehmen KI-Kompetenz systematisch mitdenken.
  • Sie betrifft den praktischen Einsatz: Nicht nur Entwicklung, sondern auch Nutzung, Freigabe und Überwachung.
  • Sie ist rollenabhängig: Wer mehr Verantwortung trägt, braucht in der Regel tiefere Kenntnisse.
  • Sie ist dokumentationsrelevant: Schulungen ohne Nachweis helfen im Zweifel nicht weiter.

2. Was Art. 4 KI-VO konkret verlangt

Der Wortlaut von Art. 4 KI-VO ist bewusst offen gehalten. Unternehmen und Organisationen sollen Maßnahmen ergreifen, um ein „ausreichendes Maß an KI-Kompetenz“ bei ihren Mitarbeitenden und anderen Personen sicherzustellen, die mit KI-Systemen arbeiten. Das klingt unscharf – ist aber gewollt. Der Gesetzgeber wollte keine starre Schulungspflicht mit Einheitscurriculum, sondern einen risikobasierten Ansatz, der sich an Einsatzkontext, technischem Niveau und Zielgruppe orientiert.

Für die Praxis heißt das: Es gibt keine Pflicht zu einer bestimmten Zertifizierung, keinem bestimmten Stundenumfang und keinem einzigen staatlich vorgegebenen Kurs. Entscheidend ist vielmehr, dass die Maßnahmen angemessen sind. Angemessen bedeutet: passend zur Rolle, zum Risiko, zur Komplexität des Systems und zum Wissensstand der betroffenen Personen.

Die Bundesnetzagentur weist in ihrem Hinweispapier darauf hin, dass KI-Kompetenz mehr ist als Technikverständnis. Gemeint ist ein Zusammenspiel aus Wissen über Funktionsweise, Grenzen, Risiken, Datenumgang, Fehlerrisiken, menschliche Aufsicht und organisatorische Vorgaben. Wer ein KI-System nutzt, sollte verstehen, wann das System zuverlässig ist, wann nicht, wie Ergebnisse geprüft werden und welche Konsequenzen Fehlverhalten haben kann. Die rechtliche Grundlage finden Sie direkt in der KI-Verordnung auf EUR-Lex; ergänzend bietet das Hinweispapier der Bundesnetzagentur eine gute Orientierung.

Wichtig ist außerdem: Die Kompetenzpflicht ist kein einmaliges Event. Ein Workshop im Frühjahr genügt nicht, wenn im Herbst ein neues Tool eingeführt wird oder sich die Nutzung wesentlich verändert. Kompetenz ist im KI-Umfeld ein laufender Prozess, weil sich Modelle, Oberflächen, Governance-Standards und rechtliche Rahmenbedingungen schnell entwickeln. Unternehmen müssen deshalb mit regelmäßigen Auffrischungen rechnen.

  • Rollenbezug: Die Tiefe der Schulung richtet sich nach Verantwortung und Einfluss.
  • Kontextbezug: Ein Assistenztool im Backoffice braucht andere Inhalte als ein System mit Kundenkontakt oder Entscheidungswirkung.
  • Risikobezug: Je sensibler der Use Case, desto genauer müssen Grenzen und Kontrollmechanismen vermittelt werden.
  • Aktualität: Die Schulung muss mit dem technischen und rechtlichen Wandel Schritt halten.

3. Wen die Pflicht betrifft – und wer zuerst handeln sollte

Die kurze Antwort lautet: praktisch jedes Unternehmen, das KI nutzt. Die ausführlichere Antwort ist: betroffen sind alle Personen, die im Unternehmen KI entwickeln, auswählen, konfigurieren, freigeben, einsetzen, kontrollieren oder in Geschäftsprozesse integrieren. Die Pflicht richtet sich also nicht nur an die operative Anwendung, sondern an die gesamte Nutzungskette.

In vielen Organisationen ist das zunächst die Geschäftsführung, weil sie die Rahmenbedingungen festlegt und die Verantwortung für den Einsatz trägt. Dann kommen IT und Fachbereiche hinzu, die Tools praktisch einführen oder verwenden. Auch HR, Einkauf, Datenschutz, Compliance und Führungskräfte sind häufig betroffen, weil sie Auswahlentscheidungen treffen, Vorgaben formulieren oder die Nutzung in Teams zulassen. Externe Dienstleister können ebenfalls eine Rolle spielen, wenn sie KI-Systeme im Auftrag betreiben oder konfigurieren.

Wer zuerst handeln sollte? Unternehmen sollten dort beginnen, wo der Hebel am größten ist: bei den Personen, die KI tatsächlich produktiv nutzen oder die Freigabe erteilen. Das sind oft die Teams mit Kundenkontakt, Content-Erstellung, Analyseaufgaben, Vertrieb, Personal oder Prozessautomatisierung. Dort entsteht das größte Risiko für Fehlanwendung, unzulässige Dateneingaben oder eine falsche Übernahme von KI-Ergebnissen.

Ein sinnvoller Startpunkt ist eine einfache interne Bestandsaufnahme: Welche KI-Tools sind im Einsatz? Wer nutzt sie? Welche Daten werden eingegeben? Wer prüft die Ergebnisse? Und welche Funktionen wären kritisch, wenn sie falsch arbeiten? Sobald diese Fragen beantwortet sind, lässt sich die Schulung zielgerichtet staffeln. Ein pauschaler Gießkannenansatz ist dagegen ineffizient und oft auch rechtlich zu grob.

  • Geschäftsführung: Festlegung von Leitplanken, Verantwortlichkeiten und Freigaben.
  • Fachbereiche: Operative Nutzung und Risikoerkennung im Alltag.
  • IT und Produktteams: Konfiguration, Auswahl, technische Kontrolle und Integration.
  • HR, Einkauf, Legal, DSB: Richtlinien, Prüfprozesse, Dokumentation und Schulungsorganisation.
  • Externe Partner: Relevanz, wenn sie KI für das Unternehmen einsetzen oder betreiben.

4. Die Praxis: KI-Kompetenz in vier Stufen aufbauen

Für Unternehmen ohne große Compliance-Abteilung funktioniert ein pragmatischer Vier-Stufen-Ansatz am besten. Er bringt Struktur in den Prozess, bleibt aber schlank genug, um im Alltag umsetzbar zu sein. Ziel ist nicht, ein akademisch perfektes Schulungssystem zu entwerfen, sondern eine belastbare, wiederholbare und dokumentierbare Routine zu schaffen.

Die vier Stufen bauen aufeinander auf: Zuerst schaffen Sie Transparenz, dann definieren Sie den Rahmen, anschließend qualifizieren Sie die Mitarbeitenden und schließlich sichern Sie den Betrieb. Auf diese Weise bleibt die Kompetenzpflicht kein abstrakter Rechtsbegriff, sondern wird Teil Ihrer Steuerungspraxis.

  • Stufe 1 – Inventarisieren: Erfassen Sie, welche KI-Systeme eingesetzt werden, in welchen Teams sie laufen und welche Datenarten verarbeitet werden.
  • Stufe 2 – Einordnen: Bewerten Sie den Anwendungsfall nach Risiko, Sensibilität, Datenbezug und Einfluss auf Entscheidungen.
  • Stufe 3 – Schulen: Vermitteln Sie den betroffenen Personen Funktionsweise, Grenzen, typische Fehlermuster, Datenschutzregeln und interne Nutzungsregeln.
  • Stufe 4 – Verstetigen: Wiederholen Sie Schulungen regelmäßig, aktualisieren Sie Inhalte und prüfen Sie, ob die Regeln im Alltag eingehalten werden.

In der Schulung selbst sollten Sie nicht nur Theorie vermitteln. Gute KI-Kompetenz ist anwendungsnah: Welche Prompts sind zulässig? Welche Informationen dürfen nicht in ein öffentliches Modell? Wie erkennt man Halluzinationen? Wann muss ein Mensch nachprüfen? Welche Ergebnisse dürfen nicht ungeprüft in Kundendialoge, HR-Entscheidungen oder interne Berichte übernommen werden? Genau diese Fragen machen den Unterschied zwischen formaler und echter Kompetenz aus.

Besonders wichtig ist auch das Zusammenspiel mit anderen Pflichten. KI-Kompetenz ist eng mit der DSGVO, der internen IT-Sicherheit und der späteren Haftungsfrage verknüpft. Wer zu viel vertrauliche Information in ein externes Tool eingibt, verletzt womöglich Datenschutzregeln. Wer ein Ergebnis ungeprüft übernimmt, riskiert Fehlentscheidungen. Wer den Einsatz nicht dokumentiert, kann später nicht nachweisen, dass er seiner Organisationspflicht nachgekommen ist.

5. Nachweis und Dokumentation: Was Sie festhalten sollten

Die KI-Kompetenzpflicht ist nicht nur eine Frage der Inhalte, sondern auch des Nachweises. Im Ernstfall muss ein Unternehmen plausibel machen können, dass es angemessene Maßnahmen ergriffen hat. Das bedeutet nicht, dass jede einzelne Person eine Prüfung ablegen muss. Aber es bedeutet, dass Sie die Schulung, den Kontext und die Verantwortlichkeit strukturiert dokumentieren sollten.

Die Dokumentation sollte so aufgebaut sein, dass sie nachvollziehbar, aktuell und revisionssicher ist. Ein lose abgelegtes PDF reicht meist nicht aus. Besser ist eine schlanke, zentral gepflegte Ablage mit Verantwortlichen, Terminen, Teilnahmeinfos und den wichtigsten Lerninhalten. So kann die Organisation später zeigen, dass nicht nur „irgendetwas gemacht“, sondern ein systematischer Ansatz verfolgt wurde.

Für viele Unternehmen ist das auch intern hilfreich, weil damit Klarheit entsteht: Wer wurde wann geschult? Für welchen Anwendungsfall? Welche Version der Nutzungsrichtlinie galt? Welche Risiken wurden adressiert? Gerade bei schnell wachsenden Tool-Landschaften ist diese Transparenz Gold wert.

  • Teilnahmelisten: Wer hat an welcher Schulung teilgenommen?
  • Inhalte: Welche Themen, Regeln und Beispiele wurden vermittelt?
  • Rollenmatrix: Welche Zielgruppe bekam welche Tiefe?
  • Freigabe- und Nutzungsregeln: Welche internen Vorgaben galten zum Zeitpunkt der Nutzung?
  • Review-Zyklen: Wann werden Inhalte aktualisiert und erneut geschult?
  • Tool-Inventar: Welche Systeme waren wann im Einsatz?

Wenn Sie die Dokumentation ergänzen möchten, lohnt sich auch ein Verweis auf die übrigen Governance-Bausteine: der Hub zur KI-Governance als zentrale Orientierung, der Artikel zum EU AI Act für den risikobasierten Gesamtrahmen, DSGVO & KI für den Datenbezug und Haftung bei KI-Fehlern für die Folgen falscher Entscheidungen.

6. Digital Omnibus und aktueller Stand im Mai 2026

Immer wieder fällt im Zusammenhang mit dem AI Act der Begriff „Digital Omnibus“. Gemeint sind Vorschläge der EU-Kommission, den Rechtsrahmen zu vereinfachen, Fristen zu bündeln oder einzelne Anforderungen weniger bürokratisch auszugestalten. Für Unternehmen ist das relevant, weil solche Initiativen die Frage aufwerfen, ob sich Pflichten verschieben oder entschärfen könnten.

Der entscheidende Punkt ist aber: Ein Vorschlag ist noch keine geltende Rechtslage. Stand Mai 2026 sollten Unternehmen die aktuelle, bereits wirksame Pflichtlage zugrunde legen. Art. 4 KI-VO gilt bereits, und die Kompetenzmaßnahmen sollten nicht mit dem Verweis auf mögliche künftige Erleichterungen aufgeschoben werden. Wer jetzt wartet, riskiert Zeitverlust und unnötigen Druck im Rollout.

Genau deshalb ist ein „Abwarten bis alles final ist“ die falsche Strategie. Die Praxis entwickelt sich ohnehin weiter: neue Tools, neue Funktionen, neue Anbieter, neue interne Use Cases. Selbst wenn die EU einzelne Vorgaben künftig anpasst, bleibt die Grundidee bestehen: Unternehmen müssen ihre Mitarbeitenden so befähigen, dass der KI-Einsatz kontrolliert und verantwortbar bleibt. Das ist nicht nur regulatorisch sinnvoll, sondern auch wirtschaftlich vernünftig.

Wer sich zusätzlich für den Gesamttrend interessiert, findet auf der EU-Ebene mehrere politische Impulse rund um den AI Act und die Wettbewerbsfähigkeit europäischer KI-Nutzung. Einen guten Einstieg bietet die offizielle EU-Seite zum Digital Omnibus on AI. Für die interne Planung gilt dennoch: nicht auf politische Dynamik spekulieren, sondern die heute geltenden Pflichten umsetzen.

Passende Vertiefungen im Themencluster

Die KI-Kompetenzpflicht steht nicht für sich allein. Für eine belastbare Einordnung sollten Sie Schulung, Risikoklassen, Datenschutz und Haftung zusammen betrachten:

KI-Governance strukturiert aufbauen

Wenn Sie die KI-Kompetenzpflicht nicht isoliert, sondern als Teil Ihrer gesamten Governance betrachten möchten, ist der nächste Schritt der Blick auf Rollen, Prozesse und Prioritäten. Unser Hub fasst die vier Kernfelder zusammen und hilft Ihnen beim Einordnen des Gesamtbilds.

Zum KI-Governance-Überblick
Erstgespräch vereinbaren

7. Bußgelder, Aufsicht und Organisationsrisiken

Bei der KI-Kompetenzpflicht ist die eigentliche Gefahr nicht nur eine abstrakte Geldbuße, sondern die Kombination aus Aufsichtsrisiko, Organisationsversagen und Folgeproblemen. Der AI Act sieht insgesamt empfindliche Sanktionen vor, vor allem bei schwerwiegenden Verstößen gegen zentrale Pflichten. Für Unternehmen ist deshalb wichtig zu verstehen: Auch wenn Art. 4 in der täglichen Praxis vor allem als Kompetenz- und Organisationspflicht erscheint, kann ein schlechtes oder fehlendes Schulungskonzept im Gesamtbild erheblichen Ärger auslösen.

Zu den Folgen zählen nicht nur behördliche Beanstandungen, sondern auch interne Haftungsfragen, Projektstopps, Reputationsschäden und Nachschulungsaufwand. Wenn Mitarbeitende ein System falsch benutzen oder sensible Daten unzulässig eingeben, entstehen Risiken, die später sehr viel teurer werden können als eine ordentliche Einführungsrunde. Gerade im Mittelstand ist das relevant, weil Verantwortlichkeiten oft kompakter sind und Fehler schneller auf die Organisation zurückfallen.

Praktisch heißt das: Sie sollten KI-Kompetenz nicht als Formalie behandeln. Sie ist ein Schutzmechanismus gegen Fehlbedienung, Fehlinterpretation und unkontrollierte Tool-Nutzung. Sie stärkt nicht nur die Rechtsposition, sondern auch die Qualität der Arbeit. Ein geschultes Team erkennt Grenzen schneller, stellt bessere Fragen und nutzt KI zielgerichteter.

  • Behördlicher Druck: Fehlende Kompetenz kann bei Prüfungen negativ auffallen.
  • Interne Haftung: Unklare Verantwortlichkeiten führen schnell zu Streit im Unternehmen.
  • Datenschutzfolgen: Falsche Eingaben können DSGVO-Verstöße auslösen.
  • Qualitätsrisiko: Ungeschulte Nutzung erhöht Fehlerquote und Vertrauensverlust.

Die beste Absicherung ist deshalb ein belastbares Minimum an Governance: klare Regeln, einfache Schulungen, saubere Dokumentation und regelmäßige Aktualisierung. Wer das früh aufsetzt, reduziert nicht nur rechtliche Risiken, sondern schafft die Grundlage für skalierbaren KI-Einsatz.

8. Ihr 4-Schritte-Fahrplan bis August 2026

Bis August 2026 sollten Unternehmen die KI-Kompetenzpflicht nicht mehr als Einzelthema, sondern als festen Bestandteil ihrer internen Steuerung betrachten. Ein realistisch umsetzbarer Fahrplan umfasst vier Schritte, die Sie sofort anstoßen können und die sich gut in bestehende Prozesse integrieren lassen.

Wichtig ist: Dieser Fahrplan ist bewusst pragmatisch. Er soll nicht ein Jahr Vorbereitung erfordern, sondern Ihnen helfen, innerhalb weniger Wochen handlungsfähig zu werden. Die Reihenfolge ist dabei entscheidend, weil Sie zuerst Transparenz schaffen und danach Qualität und Nachweis aufbauen.

  • Schritt 1 – Bestandsaufnahme: Erfassen Sie alle KI-Tools, Use Cases und Verantwortlichen im Unternehmen.
  • Schritt 2 – Priorisierung: Starten Sie mit den Bereichen, in denen Daten, Kundenkontakt oder Entscheidungsrelevanz besonders hoch sind.
  • Schritt 3 – Kompetenzaufbau: Führen Sie zielgruppengerechte Schulungen, kurze Richtlinien und Praxisbeispiele ein.
  • Schritt 4 – Verstetigung: Legen Sie Review-Termine, Update-Zyklen und Dokumentationsstandards fest.

Ergänzen Sie diesen Fahrplan um die Verknüpfung mit den anderen Rechtsbereichen: Der EU AI Act liefert den Rahmen, DSGVO & KI die Regeln für Datenverarbeitung, und Haftung bei KI-Fehlern zeigt, wie sich Fehler auswirken können. So wird aus einer Einzelpflicht ein belastbares Governance-System.

Häufige Fragen zur KI-Kompetenzpflicht

Gilt die KI-Kompetenzpflicht auch für Unternehmen, die nur KI-Tools einkaufen?

Ja. Die Pflicht betrifft nicht nur Entwickler, sondern auch Anwender und Betreiber. Wer ein KI-Tool im Unternehmen nutzt, muss sicherstellen, dass die beteiligten Personen kompetent genug sind, das System sachgerecht und risikobewusst einzusetzen.

Reicht ein einmaliges Webinar für die Pflicht aus?

In der Regel nein. Ein einmaliges Webinar kann ein guter Start sein, ersetzt aber keine laufende Kompetenzentwicklung. Sobald sich Tools, Prozesse oder Risiken ändern, sollten Inhalte aktualisiert und bei Bedarf erneut vermittelt werden.

Muss jede Mitarbeiterin und jeder Mitarbeiter gleich intensiv geschult werden?

Nein. Die Schulung muss angemessen sein und sich am Rollenprofil orientieren. Wer nur gelegentlich mit KI arbeitet, braucht andere Inhalte als jemand, der Freigaben erteilt, Daten vorbereitet oder KI-Ergebnisse in Geschäftsentscheidungen einfließen lässt.

Was zählt als ausreichender Nachweis?

Hilfreich sind Teilnahmelisten, Schulungsinhalte, Zielgruppenbezug, Freigabe- und Nutzungsregeln sowie ein dokumentierter Review-Zyklus. Entscheidend ist, dass Ihr Vorgehen nachvollziehbar, aktuell und zur Nutzung passend ist.

Gibt es schon Entlastungen durch den Digital Omnibus?

Stand Mai 2026: Nein, jedenfalls nicht als geltendes Recht, auf das Sie sich im Tagesgeschäft verlassen sollten. Politische Vereinfachungsvorschläge können kommen, aber die aktuelle Pflichtlage gilt bereits jetzt. Unternehmen sollten deshalb nicht auf mögliche spätere Änderungen warten.

Wie hängt die KI-Kompetenzpflicht mit DSGVO und Haftung zusammen?

Sehr eng. Wer KI nicht versteht, riskiert Fehlbedienung, unzulässige Dateneingaben und falsche Entscheidungen. Genau dadurch entstehen oft Datenschutzverstöße oder Haftungsprobleme. Darum ist KI-Kompetenz ein Querschnittsthema und kein isoliertes HR-Training.

Rechtlicher Hinweis: Keine Rechtsberatung. Dieser Beitrag dient der ersten Orientierung und ersetzt keine anwaltliche Prüfung im Einzelfall.

Stand: Mai 2026