KI-Kompetenz und Schulungspflicht: Was Unternehmen jetzt nachweisen müssen

Seit dem 2. Februar 2025 gilt Artikel 4 der EU-KI-Verordnung verbindlich – und damit die Pflicht, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, nachweisbar über ausreichende KI-Kompetenz verfügen. Klingt nach einer Formalität. Ist es nicht. Wer die Schulungspflicht als Häkchen-Übung versteht, unterschätzt, was Auditoren heute schon fragen – und was ab August 2026 richtig teuer werden kann.

Was Artikel 4 KI-VO wirklich verlangt – und was er nicht sagt

Die EU-KI-Verordnung ist in ihrer Sprache oft absichtlich offen. Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal und beauftragte Dritte über ein „ausreichendes Maß an KI-Kompetenz“ verfügen. Kein Mindestumfang in Stunden. Kein vorgeschriebenes Curriculum. Kein offizieller Pflichtkurs, den man einfach buchen und abhaken könnte.

Das ist einerseits pragmatisch – kein Einheitsformat für die Automobilindustrie und die kommunale Verwaltung gleichermaßen. Andererseits ist es eine Einladung zu Schein-Compliance. Wer glaubt, ein 45-minütiges Online-Modul für alle Beschäftigten löse die Sache, irrt. Die Verordnung formuliert eine Ergebnispflicht: Mitarbeitende müssen tatsächlich kompetent im Umgang mit KI sein – bezogen auf ihren konkreten Einsatzkontext, ihr Risikoprofil, ihre Rolle.

Die Bundesnetzagentur hat klargestellt: Es gibt keine gesonderten Umsetzungsfristen für Schulungen. Ab dem 2. Februar 2025 muss ausreichende Kompetenz vorhanden sein – nicht irgendwann danach. Wer jetzt im Sommer 2026 noch kein Schulungskonzept hat, ist bereits seit eineinhalb Jahren im Rückstand.

Was KI-Kompetenz konkret bedeutet, konkretisiert die Fachliteratur in vier Dimensionen: allgemeines Verständnis für Funktionsweise und Risiken von KI-Systemen, Kenntnisse der rechtlichen Rahmenbedingungen (KI-VO, DSGVO, Antidiskriminierungsrecht), technisches Know-how zur sachkundigen Nutzung und Überwachung sowie ethische Grundlagen – insbesondere im Umgang mit algorithmischen Verzerrungen.

Wen die Schulungspflicht trifft – weiter als gedacht

Die häufigste Fehlannahme: Nur wer Hochrisiko-KI entwickelt oder betreibt, sei betroffen. Das stimmt nicht. Artikel 4 gilt für alle Anbieter und Betreiber von KI-Systemen, unabhängig von Risikokategorie, Branche oder Unternehmensgröße. Wer ChatGPT, GitHub Copilot oder ein KI-gestütztes Recruiting-Tool betrieblich einsetzt und als Betreiber einzuordnen ist, fällt darunter.

In der Praxis bedeutet das: HR-Abteilungen, die KI für Bewerbungsscreening oder Personalplanung nutzen; Compliance- und Rechtsabteilungen, die KI-Regelungen umsetzen müssen; IT- und Data-Teams, die Systeme integrieren oder betreiben; Kundenservice-Einheiten mit Chatbot-Infrastruktur; und nicht zuletzt externe Dienstleister, sofern sie im Auftrag des Unternehmens mit KI-Systemen arbeiten. Die Schulungspflicht folgt der Verantwortungskette, nicht der Organigramm-Hierarchie.

Meiner Einschätzung nach wird genau hier die größte Lücke in deutschen Unternehmen entstehen: Man schult die IT, vergisst aber den Einkauf, der KI-gestützte Lieferantenbewertungen nutzt, oder die Personalabteilung, die seit Monaten ein Scoring-Tool einsetzt, ohne zu wissen, nach welchem Algorithmus es urteilt. Das ist keine Kleinigkeit – das ist ein strukturelles Compliance-Risiko.

Besonders unterschätzt wird die Situation bei Unternehmen, die KI-Funktionen als eingebettete Features in bestehende Softwareprodukte erhalten – etwa ERP-Systeme mit automatisierter Anomalie-Erkennung oder CRM-Plattformen mit Churn-Prediction. Hier fehlt oft das Bewusstsein, überhaupt ein KI-System zu betreiben. Tatsächlich ist aber auch in diesen Konstellationen der Betreiberbegriff der KI-VO erfüllt, sobald das Unternehmen die Funktionalität aktiv nutzt und eigene Zwecke verfolgt. Einen strukturierten Überblick darüber, wie verschiedene KI-Kompetenzmodelle im Unternehmenskontext sinnvoll differenziert werden, bietet die aktuelle Vergleichsanalyse auf digital-magazin.de.

Audit-Realität: Wie Prüfer heute schon vorgehen

Einen spezifischen EU-„KI-Schulungs-Auditstandard“ gibt es noch nicht. Was es gibt: Datenschutz-Audits nach DSGVO, Informationssicherheitsprüfungen nach ISO 27001 und allgemeine Compliance-Management-Prüfungen – und in all diesen Formaten taucht Artikel 4 KI-VO zunehmend als Prüfpunkt auf.

Konkret fragen Auditoren nach: Welche KI-Systeme setzt das Unternehmen ein? Wer hat Zugang? Gibt es ein Schulungskonzept – und wenn ja, welche Rollen werden wie geschult? Liegen Teilnehmerlisten, Lerninhalte und Lernzieldokumentation vor? Wann wurde zuletzt aktualisiert? Diese Fragen sind nicht neu aus dem KI-Kontext, aber die Verknüpfung mit Artikel 4 ist es.

Was Fachautoren aus der Compliance-Beratung berichten, deckt sich mit dem, was ich aus Gesprächen mit Datenschutzbeauftragten höre: Auditoren prüfen KI-Kompetenz derzeit indirekt über bestehende Governance-Strukturen – aber der Detailgrad nimmt zu. Wer heute keine Dokumentation hat, wird das in einem ISO- oder Datenschutz-Audit spüren.

Ein konkretes Beispiel aus der HR-Praxis: Setzt ein Unternehmen ein KI-gestütztes Bewerbungsranking ein, erwarten Auditoren nicht nur eine Datenschutz-Folgenabschätzung, sondern auch den Nachweis, dass die HR-Fachleute, die das System nutzen, verstehen, wie Bias-Risiken entstehen und wie sie gegengesteuert werden. Eine Schulungsunterlage aus dem Systemanbieter-Onboarding reicht dafür in aller Regel nicht.

Dokumentation als Kernstrategie: Was wirklich zählt

Die wichtigste praktische Erkenntnis aus der bisherigen Audit-Praxis lautet: Schulung ohne Dokumentation existiert rechtlich nicht. Das klingt hart, aber es stimmt. Wer im Streitfall oder bei einer Behördenprüfung belegen muss, dass ausreichende KI-Kompetenz vorhanden war, braucht mehr als die Erinnerung der Beteiligten.

Was Fachexperten als Mindestdokumentation empfehlen: erstens ein schriftliches Schulungskonzept, das Rollen, Risikostufen und Schulungsinhalte verknüpft. Zweitens Teilnehmerlisten mit Datum, Dauer und Inhaltsmodulen. Drittens eine Beschreibung der Lernziele – was sollen Mitarbeitende nach der Schulung können oder wissen? Viertens ein Aktualisierungsplan, der festlegt, wann und bei welchen Anlässen (neue KI-Tools, Gesetzesänderungen, Risikoklassenänderung) nachgeschult wird.

Rollenbasierte Schulungsmatrizen gelten dabei als Best Practice: Compliance-Personal braucht vertiefte Kenntnisse zu Rechtslage, Haftungsrisiken und Aufsichtsstrukturen; HR-Fachleute müssen Bias-Mechanismen und Antidiskriminierungspflichten verstehen; IT-Teams brauchen technisches Know-how zu Systemüberwachung und Protokollierung; alle Endnutzer generativer KI benötigen Basiswissen zu Halluzinationsrisiken, Dateneingabe und Nutzungsrichtlinien.

IHKs und Akademien bieten seit 2025 Zertifikatslehrgänge zur KI-Kompetenzpflicht und zum AI Act an – hilfreich als strukturierter Einstieg und als nachweisbarer Baustein. Aber ein IHK-Zertifikat ersetzt kein unternehmensspezifisches Schulungskonzept. Wer ein generisches Seminar belegt und damit seine Schulungspflicht für erledigt hält, hat den Charakter der Ergebnispflicht nicht verstanden.

Bußgelder, Haftung und das echte Risiko fehlender KI-Schulung

Hier räumt die juristische Fachliteratur mit einem verbreiteten Irrtum auf: Ein direktes Bußgeld speziell für den Verstoß gegen Artikel 4 – also die fehlende Schulungspflicht – ist nach aktueller Auslegung nicht unmittelbar vorgesehen. Die Bußgeldtatbestände, die ab dem 2. August 2026 für Hochrisiko-KI-Systeme greifen (bis zu 30 Millionen Euro oder 6 Prozent des weltweiten Jahresumsatzes), beziehen sich auf andere Verstöße.

Das klingt nach Entwarnung. Ist es keine. Denn fehlende Schulung ist ein strukturelles Compliance-Defizit – und wenn dieses Defizit zu konkreten Verstößen führt, etwa weil ungeschulte Mitarbeitende ein Hochrisiko-KI-System fehlerhaft überwachen oder datenschutzwidrig einsetzen, dann ist die Schulungslücke der Hebel, der Haftung begründet. Zivilrechtlich können Unternehmen in Regress genommen werden, wenn durch fehlerhafte KI-Nutzung Schäden entstehen und nachgewiesen werden kann, dass keine angemessene Schulung stattfand.

Für Compliance-Personal bedeutet das eine neue Dimension der eigenen Verantwortung. Wer als Compliance-Beauftragter oder Datenschutzverantwortlicher ein KI-System einführt oder überwacht, ohne selbst über ausreichende KI-Kompetenz zu verfügen, setzt sich persönlichem Haftungsrisiko aus. Die Schulungspflicht richtet sich auch an jene, die sie steuern sollen.

Integration in bestehende Compliance-Strukturen – und warum Silodenken scheitert

Die pragmatisch klügste Strategie ist die Integration der Schulungspflicht in bestehende Compliance- und Datenschutzprogramme. Kein separates „KI-Schulungs-Projekt“ aufsetzen, das nach drei Monaten im Tagesgeschäft versumpft, sondern Artikel-4-Anforderungen als Bestandteil des laufenden Compliance-Managements behandeln. Das bedeutet: KI-Kompetenz in die jährliche Pflichtschulung einbauen, in DSGVO-Trainings integrieren, im Onboarding neuer Mitarbeitender verankern.

KI-Kompetenz-Governance – der Begriff beschreibt den notwendigen Rahmen treffend – ist keine einmalige Maßnahme, sondern ein kontinuierlicher Prozess. KI-Systeme ändern sich, neue Tools kommen hinzu, Risikoklassifizierungen werden angepasst. Ein Schulungskonzept, das heute passt, kann in zwölf Monaten veraltet sein, wenn das Unternehmen seine KI-Infrastruktur erweitert.

Was in der Praxis zunehmend entsteht: die Rolle des „AI Compliance Officer“, formal oder informell. Jemand, der KI-Risiken bewertet, Schulungsmatrizen pflegt, Richtlinien formuliert und als Ansprechpartner für Auditoren fungiert. Das ist keine Luxus-Rolle für Konzerne, sondern eine Notwendigkeit für jedes Unternehmen, das KI ernsthaft und rechtssicher einsetzt. Selbst wenn diese Funktion in kleinen Betrieben an einer Person hängt, die noch fünf andere Aufgaben hat.

Typische Fehler bei der Umsetzung – und wie man sie vermeidet

Aus der bisherigen Beratungspraxis lassen sich wiederkehrende Muster benennen, die Unternehmen bei der Umsetzung ihrer Schulungspflicht in Schwierigkeiten bringen. Das Wissen darum hilft, dieselben Fehler zu vermeiden.

Fehler eins: Die Schulung endet beim Tool-Onboarding. Viele Unternehmen verlassen sich auf Einführungsschulungen der KI-Systemanbieter, wenn ein neues Tool implementiert wird. Diese Schulungen sind oft gut für die technische Bedienung – aber sie sind nicht darauf ausgelegt, das Bewusstsein für Risiken, Bias-Mechanismen oder Rechtspflichten zu schärfen. Beides ist für Artikel 4 notwendig.

Fehler zwei: Fehlende Rollendifferenzierung. Wer ein einziges allgemeines KI-Awareness-Training für das gesamte Unternehmen durchführt und dabei dieselben Inhalte für Entwicklerinnen, Sachbearbeiter und Geschäftsführung verwendet, wird dem Ergebnisprinzip der KI-VO nicht gerecht. Die Anforderungen an KI-Kompetenz sind rollenspezifisch – und das sollte sich in der Dokumentation widerspiegeln.

Fehler drei: Keine Wiederholungs- und Aktualisierungslogik. Einmalige Schulungen, die vor einem Jahr stattfanden, decken nicht die KI-Systeme und gesetzlichen Anforderungen ab, die seitdem hinzugekommen sind. Unternehmen brauchen eine Logik, die festlegt: Bei welchen Ereignissen wird nachgeschult? Wer ist dafür verantwortlich? Wie wird das dokumentiert?

Fehler vier: Schulungskonzept ohne Bezug zur tatsächlichen KI-Systemlandschaft. Ein gut gemeintes Schulungskonzept, das allgemein über „Künstliche Intelligenz“ informiert, aber keinen Bezug zu den tatsächlich genutzten Systemen im Unternehmen herstellt, erfüllt die Ergebnispflicht nicht. Auditoren werden fragen: Wer wurde spezifisch für welches System in welchem Risikokontext geschult?

Was bleibt offen – und was jetzt konkret zu tun ist

Die EU-KI-Verordnung hat eine Pflicht geschaffen, deren Prüfpraxis noch in der Entstehung ist. Aufsichtsbehörden, EU-Kommission und Branchenverbände werden die Anforderungen in den kommenden Monaten weiter konkretisieren. Wer darauf wartet, spielt auf Zeit – auf Kosten eines Zeitfensters, in dem sich strukturierte KI-Kompetenz-Governance noch verhältnismäßig niederschwellig aufbauen lässt.

Ab August 2026 greifen die vollen Hochrisiko-Pflichten des AI Act, und Auditoren werden KI-Schulungsnachweise nicht mehr als nette Zusatzinformation behandeln, sondern als Teil eines harten Compliance-Musts. Die Frage, die sich Compliance-, HR- und Tech-Verantwortliche jetzt stellen sollten, ist nicht: „Müssen wir wirklich?“ – sondern: „Können wir in einem Audit heute schon belegen, dass unsere Teams ausreichend KI-informiert sind, und wenn nicht – warum nicht?“

Schauen Sie sich Ihre aktuelle Schulungsdokumentation an. Steht dort, welche KI-Systeme mit einbezogen sind, welche Rollen wie tief geschult wurden und wann das nächste Update ansteht? Wenn nicht, haben Sie heute noch die Gelegenheit, das zu ändern, bevor es andere für Sie tun.

Was KMU und Vereine konkret tun sollten

Die Schulungspflicht gilt unabhängig von Unternehmensgröße und Rechtsform. Ein Handwerksbetrieb, der KI-gestützte Angebotssoftware nutzt, ein Sportverein, der Mitgliederdaten mit KI-gestützten CRM-Tools verwaltet – beide sind Betreiber von KI-Systemen und fallen unter Artikel 4. Die Anforderungen skalieren mit dem Risiko, aber sie entfallen nicht.

Für kleine und mittlere Unternehmen bedeutet das in der Praxis: Zunächst eine einfache Bestandsaufnahme – welche KI-Systeme werden genutzt, wer nutzt sie, wie? Dann eine Risikoeinschätzung: Welche dieser Systeme haben Einfluss auf Entscheidungen, die Menschen betreffen? Daraus folgt die Schulungsplanung, die für kleinere Betriebe deutlich schlanker aussehen kann als für Konzerne – aber dokumentiert sein muss.

Wer ganz am Anfang steht, kann mit IHK-Angeboten oder Webinaren von Branchenverbänden beginnen und diese als dokumentierten Baustein in ein eigenes, auch schlichtes Schulungskonzept einbetten. Der entscheidende Schritt ist nicht die perfekte Schulung – der entscheidende Schritt ist, damit anzufangen und es aufzuschreiben.

Für KMU empfiehlt sich außerdem ein pragmatischer Dreischritt: Erstens eine einseitige interne Übersicht aller genutzten KI-Tools mit Angabe des Nutzungszwecks und der betroffenen Beschäftigten. Zweitens ein einfaches, schriftliches Schulungsprotokoll, das festhält, wer wann welche Inhalte absolviert hat – selbst wenn das zunächst nur ein halbstündiges internes Briefing war. Drittens ein kurzer Vermerk, wann das nächste Schulungsupdate geplant ist und bei welchem Anlass – etwa bei der Einführung eines neuen KI-Tools oder nach einer Änderung der Nutzungsrichtlinien des eingesetzten Systems. Diese drei Dokumente sind kein Garant für vollständige Compliance, aber sie zeigen Auditoren und Behörden, dass das Unternehmen den Prozess ernst nimmt und aktiv steuert.