KI-Kompetenz-Audit: Was deutsche Unternehmen ab August 2026 nachweisen müssen

Seit dem 2. Februar 2025 gilt sie – und viele deutsche Unternehmen ignorieren sie noch immer: die Pflicht zur KI-Kompetenz aller Mitarbeitenden mit KI-Kontakt. Was bislang als weiches Governance-Thema abgetan wurde, wird spätestens mit der vollständigen Anwendbarkeit des AI Act ab August 2026 zur messbaren Haftungsfrage. Das Stichwort lautet KI-Kompetenz-Audit – und wer jetzt nicht handelt, kauft sich Probleme auf Raten.

Was der AI Act seit Februar 2025 tatsächlich vorschreibt

Wer den EU AI Act als Zukunftsprojekt betrachtet, hat das Timing falsch. Der AI Act trat am 1. August 2024 in Kraft; wesentliche Teile – darunter Verbote und die Pflicht zur KI-Kompetenz – gelten bereits seit dem 2. Februar 2025. Das ist kein Interpretationsspielraum, sondern geltende Rechtslage.

Konkret verlangt Artikel 4 AI Act: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass Mitarbeitende, die mit KI in Berührung kommen, über angemessene Kompetenzen verfügen. Dabei spielt die Risikoklasse des eingesetzten KI-Systems keine Rolle – auch wer ausschließlich KI mit minimalem Risiko einsetzt, ist betroffen. Die IHK München erklärt das klar: Die Schulungspflicht gilt auch dann, wenn Mitarbeitende lediglich eine Cloud-KI wie ChatGPT im Browser nutzen – und das Unternehmen diesen Einsatz duldet.

Das ist der Punkt, an dem viele Compliance-Abteilungen noch zögern. Dulden bedeutet im Rechtskontext: Das Unternehmen handelt als Betreiber. Betreiber haben Pflichten. Wer glaubt, mit einem allgemeinen Verbots-Disclaimer in der IT-Richtlinie davonzukommen, unterschätzt die Realität des Arbeitsalltags – und den Nachweis-Druck, der ab 2026 entstehen wird.

Keine Größenausnahme: Warum KMU besonders unter Druck stehen

Ein verbreiteter Irrtum: Kleine Unternehmen seien vom AI Act ausgenommen. Das stimmt nicht. Der AI Act kennt keine generelle Größenfreistellung bei der KI-Kompetenzverpflichtung. Ob Start-up mit zehn Mitarbeitenden oder Konzern mit zehntausend – sobald KI entwickelt, eingesetzt oder importiert wird, gilt die Pflicht.

Für KMU ist das strukturell schwieriger, weil spezialisierte HR-Ressourcen fehlen und Compliance-Kapazitäten begrenzt sind. Gleichzeitig ist gerade in mittelständischen Unternehmen der KI-Einsatz oft ungeplant gewachsen: Projektmanager nutzen KI-Assistenten, Vertriebsteams verwenden automatisierte Analysewerkzeuge, das Marketing produziert KI-Texte – ohne dass es dazu je eine formale Entscheidung gab.

Diese gewachsene Nutzung ist das eigentliche Audit-Risiko. Ein KI-Kompetenz-Audit bei einem mittelständischen Unternehmen würde heute in vielen Fällen folgendes aufdecken: Es gibt keine Rollendefinition, kein dokumentiertes Schulungskonzept und keine Nachweise darüber, dass Mitarbeitende den Umgang mit Halluzinationen, Datenschutz in generativer KI oder Risikoklassen kennen. Das ist kein Vorwurf – es ist eine realistische Diagnose. Die KI-Governance-Pflichten für Unternehmen gehen dabei weit über eine einmalige Schulungsmaßnahme hinaus und verlangen ein systematisches, fortlaufend gepflegtes Kompetenzmanagement.

Was ein KI-Kompetenz-Audit konkret prüft

Der Begriff „KI-Kompetenz-Audit“ taucht im AI Act nicht als fester Rechtsbegriff auf. Trotzdem wird er zum De-facto-Standard für Unternehmen, die nachweisen müssen, dass sie ihren Pflichten nachkommen. IHK-Leitfäden, Beratungshäuser und Weiterbildungsanbieter übersetzen die gesetzliche Anforderung in prüfbare Strukturen.

Ein solcher Audit fragt typischerweise: Welche Mitarbeitenden arbeiten mit KI-Systemen – in welcher Rolle? Gibt es definierte Kompetenzprofile je Rolle? Wurden Schulungen durchgeführt, und wie werden sie dokumentiert? Können Teilnehmerlisten, Tests oder Zertifikate vorgelegt werden? Wurde das Thema Datenschutz im KI-Kontext adressiert? Sind Mitarbeitende in der Lage, KI-Ergebnisse kritisch zu beurteilen – also etwa Halluzinationen zu erkennen?

Diese Fragen klingen nach Bürokratie. Sie sind es auch – aber mit Grund. Die IHK Köln empfiehlt ausdrücklich, Schulungen, Inhalte und Evaluationen zu dokumentieren, auch wenn der AI Act (Stand 2025) noch keine explizite Nachweispflicht formuliert. Im Streitfall – vor Aufsichtsbehörden, bei Kundenforderungen, in arbeitsrechtlichen Auseinandersetzungen – zählt die Dokumentation.

Rollenbasiertes Curriculum statt Einheitsschulung

Ein zentrales Qualitätsmerkmal des AI Act-konformen Vorgehens ist die Rollenspezifität. Nicht jede Mitarbeiterin und jeder Mitarbeiter braucht die gleiche Schulung. Die IHK-Auslegung unterscheidet sinngemäß zwischen Entwicklern und KI-Spezialistinnen, die technische Risiken und Bias verstehen müssen, Fachanwendenden, die sichere Nutzung und kritische Beurteilung von Outputs brauchen, und Führungskräften sowie Compliance-Verantwortlichen, die Governance, Haftung und Risikoklassen kennen müssen.

Ein Audit prüft, ob diese Differenzierung existiert und gelebt wird. Wer allen Mitarbeitenden dasselbe 60-Minuten-Webinar angeboten und das als Pflicht abgehakt hat, besteht eine ernsthafte Prüfung nicht. Das mag sich bequem anfühlen – es ist aber kein Nachweis angemessener Kompetenz im Sinne des Gesetzes.

Haftungsrisiken: Wo fehlende KI-Schulung teuer wird

Die reine Schulungspflichtverletzung ist im AI Act (Stand Mitte 2025) nicht direkt bußgeldbewehrt. Das klingt beruhigend. Es ist ein Trugschluss.

Der entscheidende Mechanismus ist ein anderer: Ab August 2026 greifen die Transparenz- und Kennzeichnungspflichten des AI Act vollständig. Nach Artikel 50 AI Act müssen Anbieter und Betreiber von KI-Systemen sicherstellen, dass KI-generierte Inhalte als solche erkennbar sind, wenn sie veröffentlicht werden. Verstöße gegen diese Pflichten können Bußgelder bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes nach sich ziehen – je nachdem, welcher Betrag höher ist.

Wenn ein Mitarbeitender einen KI-generierten Pressebericht ohne Kennzeichnung veröffentlicht, weil niemand ihn je auf diese Pflicht hingewiesen hat: Wessen Organisationsverschulden ist das? Die Antwort ist eindeutig. Fehlende Schulung wird dann nicht als mildernder Umstand gewertet – sie ist der Grund, warum der Verstoß überhaupt möglich war.

Parallel dazu entstehen Risiken aus der DSGVO: Wer Mitarbeitende unkontrolliert personenbezogene Daten in externe KI-Systeme eingeben lässt, ohne sie vorher zu schulen, baut gleichzeitig ein Datenschutzproblem auf. Viele KI-Schulungsanbieter integrieren DSGVO-Aspekte bereits in ihre KI-Weiterbildung – das ist keine optionale Ergänzung, sondern logische Notwendigkeit.

Praxis-Szenario: Wenn der Verstoß durch fehlende Schulung entsteht

Ein konkretes Bild hilft, die abstrakte Haftungskette zu verstehen: Ein mittelständisches Beratungsunternehmen setzt seit Anfang 2024 ein KI-gestütztes Zusammenfassungstool für Kundenmeetings ein. Das Tool verarbeitet Audioaufnahmen und erstellt automatisiert Protokolle, die Mitarbeitende anschließend direkt an Kunden weiterleiten. Niemand wurde geschult, welche Datenkategorien nicht in das externe System dürfen – und niemand prüft die automatisierten Protokolle systematisch auf inhaltliche Fehler. Im Herbst 2025 enthält ein Protokoll eine sachlich falsche Aussage, die der Kunde als Grundlage für eine Investitionsentscheidung verwendet.

In diesem Szenario treffen drei Haftungsstränge zusammen: ein zivilrechtlicher Schadensersatzanspruch wegen fehlerhafter Information, ein möglicher DSGVO-Verstoß wegen unkontrollierter Verarbeitung personenbezogener Gesprächsinhalte und ein Organisationsverschulden, das sich unmittelbar aus fehlender KI-Schulung der Mitarbeitenden ableitet. Ein KI-Kompetenz-Audit hätte dieses Risiko vor dem ersten produktiven Einsatz sichtbar gemacht – und das Schulungskonzept wäre Teil der Prävention gewesen.

Was Schulungen mindestens abdecken müssen

Der AI Act gibt kein Stundenkontingent vor und keine Pflichtformate. Das klingt flexibel, ist aber eine Gestaltungsaufgabe. Die IHK-Leitfäden legen inhaltlich nahe, was angemessene Kompetenz bedeutet: Mitarbeitende sollen grundlegende Funktionsweisen von KI verstehen, KI-Systeme und Risikoklassen erkennen, Chancen und Risiken beurteilen können – einschließlich Halluzinationen, Bias, Datenschutzimplikationen und ethischer Fragen – und auf Basis dieser Kenntnisse verantwortungsvolle Entscheidungen treffen.

Meine Einschätzung dazu: Das klingt nach einem moderaten Anspruch, ist in der Praxis aber anspruchsvoller als erwartet. Denn „Halluzinationen erkennen“ bedeutet nicht, den Begriff zu kennen – es bedeutet, einen KI-Output systematisch zu hinterfragen und eigene Überprüfungsroutinen zu haben. Das ist eine Verhaltensänderung, keine reine Wissensvermittlung. Einmalige Präsenzschulungen reichen dafür nicht aus.

Formate wie Micro-Learning, rollenspezifische E-Learning-Pfade, jährliche Refresh-Trainings und praxisnahe Anwendungsszenarien sind deshalb nicht nur didaktisch sinnvoller – sie sind glaubwürdiger im Sinne des Gesetzes. Ein Audit, der eine dokumentierte Lernhistorie über mehrere Monate sieht, ist belastbarer als ein einmaliges Seminar-Protokoll.

ISO 42001 als Rahmen für den KI-Kompetenz-Audit

Unternehmen, die strukturierter vorgehen wollen, orientieren sich zunehmend an ISO 42001 – dem internationalen Standard für KI-Managementsysteme. ISO 42001 fordert explizit, dass Organisationen Kompetenzanforderungen für KI-bezogene Rollen definieren und dokumentieren. Das ist keine Pflicht aus dem AI Act, aber ein anerkannter Rahmen, mit dem sich KI-Kompetenz-Audits operationalisieren lassen: Kompetenzmatrix je Rolle, definierte Lernziele, Nachweisarchiv, internes Audit-Intervall.

Wer diesen Rahmen nutzt, kann auch gegenüber Geschäftspartnern und Kunden Compliance demonstrieren – ein wachsender Wettbewerbsfaktor in B2B-Vergabeprozessen, wo KI-Governance bereits als Kriterium auftaucht.

Hochrisiko-KI versus Low-Risk: Differenzierung macht den Unterschied

Die Schulungstiefe hängt von der Risikoklasse der eingesetzten KI-Systeme ab. Das ist keine gesetzliche Vorgabe, aber logische Priorisierung. Hochrisiko-KI-Systeme – definiert nach Anhang III des AI Act, etwa in den Bereichen Personalauswahl, Kreditvergabe, medizinische Diagnostik oder Strafverfolgung – lösen deutlich weitergehende Pflichten aus: technische Dokumentation, Konformitätsbewertung, menschliche Aufsicht.

Mitarbeitende, die Hochrisiko-KI bedienen, brauchen tiefere Schulungen – zur technischen Funktionsweise, zu Fehlermodi, zur Dokumentationspflicht, zur Überprüfung von KI-Entscheidungen. Wer dagegen ausschließlich ein KI-gestütztes E-Mail-Programmierwerkzeug nutzt, kommt mit Grundkompetenz aus.

Ein KI-Kompetenz-Audit beginnt deshalb mit einer Bestandsaufnahme: Welche KI-Systeme werden eingesetzt, welcher Risikoklasse gehören sie an, und welche Mitarbeitenden haben damit Kontakt? Erst aus dieser Inventur ergibt sich ein vertretbares Schulungsprogramm – und ein belastbarer Nachweis dafür. Wer diesen Schritt überspringt und direkt mit generischen Schulungen startet, baut auf einem Fundament, das ein ernsthafter Audit erschüttern würde.

Gegenargumente und ihre Grenzen

In der Praxis begegnen Compliance-Verantwortliche regelmäßig Einwänden, die das Thema KI-Kompetenz-Audit klein halten sollen. Die häufigsten lauten: „Wir nutzen KI nur sporadisch“, „unsere Mitarbeitenden sind ohnehin technikaffin“ oder „der Rechtsrahmen ist noch nicht abschließend geklärt“. Jedes dieser Argumente hat eine Grenze.

„Sporadische Nutzung“ schützt nicht vor Betreiberpflichten – die Schwelle ist nicht die Nutzungsfrequenz, sondern das Dulden von KI-Einsatz. „Technikaffinität“ ist kein Kompetenznachweis im Sinne des Gesetzes; wer das Gegenteil behauptet, muss es belegen. Und der Einwand des unklaren Rechtsrahmens verfängt nicht mehr, seit Artikel 4 AI Act seit Februar 2025 unmittelbar gilt. Der Rahmen ist klar genug, um jetzt handeln zu müssen – fehlende Detailspezifikationen auf nationaler Ebene entbinden nicht von der europäischen Grundpflicht.

Das bedeutet nicht, dass Unternehmen ein perfektes System aufbauen müssen, bevor sie den ersten Schritt gehen. Es bedeutet, dass das Argument „wir warten noch ab“ ab einem gewissen Punkt zum Organisationsverschulden beiträgt, das im Streitfall gegen das Unternehmen verwendet werden kann.

Leitfäden der IHK und Digitalzentren: Aktuelle Orientierungspunkte

Industrie- und Handelskammern haben ihre AI-Act-Leitfäden in den vergangenen Monaten spürbar konkretisiert. Die IHK München etwa behandelt KI-Kompetenznachweise inzwischen als regulären Bestandteil von Compliance-Beratungen. Das Digitalzentrum Berlin hat Pflichten-Übersichten veröffentlicht, die KI-Kompetenz als eigenen Prüfpunkt ausweisen. Diese Entwicklung ist kein Zufall – sie spiegelt den Druck, den Unternehmen spüren, die mit Kunden, Versicherern oder Investoren über AI-Act-Konformität sprechen müssen.

Was aus diesen Leitfäden nicht folgt: Zertifizierungspflichten für einzelne Mitarbeitende. Der AI Act schreibt kein namentliches KI-Kompetenz-Zertifikat vor. Wer Angebote sieht, die mit „AI-Act-zertifiziert“ werben, sollte die Substanz dahinter prüfen. Relevant ist der Inhalt der Schulung und deren Dokumentation – nicht das Logo auf dem Zertifikat.

Ich halte diese Marktentwicklung für doppelschneidig: Einerseits bringt das steigende Angebot an KI-Weiterbildung mehr Unternehmen dazu, überhaupt zu handeln. Andererseits entstehen schnell Scheinlösungen, die Compliance suggerieren, ohne sie zu liefern. Ein intern durchgeführter strukturierter Audit nach den Maßstäben der EU-KI-Verordnung ist durch kein externes Gütesiegel zu ersetzen.

Praktischer Einstieg: Was Unternehmen jetzt tun müssen

Die Pflicht gilt seit Februar 2025. Der Zeitpunkt für ein strukturiertes Vorgehen war also gestern. Trotzdem: Lieber jetzt starten als weiter warten.

Schritt eins ist die KI-Inventur: Welche Tools, Systeme und Modelle werden genutzt, offiziell und inoffiziell? Schritt zwei ist die Rollenzuordnung: Wer hat Kontakt mit KI in welcher Funktion? Schritt drei ist die Kompetenzlücken-Analyse: Was wissen diese Mitarbeitenden bereits, was fehlt? Schritt vier ist das Schulungskonzept: Welche Formate, Inhalte und Prüfmechanismen werden eingesetzt? Schritt fünf ist die Dokumentation: Teilnehmerlisten, Lernergebnisse, Zeitstempel – alles, was im Streitfall belegt, dass die Pflicht ernst genommen wurde.

Dieser Prozess muss nicht perfekt starten. Er muss starten. Denn ab August 2026, wenn die Transparenz- und Kennzeichnungspflichten greifen und Aufsichtsbehörden konkrete Prüfbefugnisse haben, ist „wir waren noch dabei, ein Konzept zu entwickeln“ keine Antwort mehr.

Wer intern den Audit koordinieren sollte

Eine unterschätzte Frage ist die Zuständigkeit: Wer trägt in der Organisation die Verantwortung für den KI-Kompetenz-Audit – HR, Compliance, IT oder die Geschäftsführung? Die Antwort ist nicht eindeutig, aber das Schweigen darüber ist das eigentliche Risiko. Wenn niemand benannt ist, passiert nichts – und das ist das teuerste Ergebnis.

In der Praxis empfiehlt sich ein gemeinsames Steuerungsgremium aus HR, Compliance und IT, das von der Geschäftsführung mandatiert ist. HR verantwortet die Rollenzuordnung und Schulungslogistik, IT liefert die KI-Inventur und Systemkategorisierung, Compliance überwacht die Dokumentation und bewertet Risikoklassen. Die Geschäftsführung trägt die rechtliche Letztverantwortung – und sollte deshalb mindestens quartalsweise über den Stand informiert werden. Wer diese Zuständigkeiten frühzeitig klärt, verhindert, dass der KI-Kompetenz-Audit im Zuständigkeitsvakuum verschwimmt.

Was bleibt

Die eigentliche Frage für Compliance-Verantwortliche lautet nicht mehr, ob KI-Kompetenz-Audits kommen – sondern ob das eigene Unternehmen eine belastbare Antwort hat, wenn jemand fragt: Wie weisen Sie nach, dass Ihre Mitarbeitenden den Anforderungen des AI Act entsprechend geschult sind? Wer auf diese Frage heute noch keine Antwort hat, sollte damit aufhören, auf einen klareren Rechtsrahmen zu warten. Der Rahmen steht. Er gilt bereits. Und er wird ab August 2026 mit Substanz gefüllt.

Wo steht Ihr Unternehmen mit dem KI-Kompetenz-Audit – und welche Hürden hindern Sie konkret daran, jetzt zu beginnen?