Am 2. Februar 2025 ist die Europäische KI-Verordnung (EU Artificial Intelligence Act, KI-VO) teilweise in Kraft getreten. Diese Verordnung schafft erstmals EU-weit verbindliche Regeln für den Einsatz Künstlicher Intelligenz. Eine der ersten bereits anwendbaren Verpflichtungen betrifft die KI-Kompetenz aus Artikel 4 KI-VO: Unternehmen und öffentliche Stellen müssen dafür sorgen, dass alle Personen, die KI-Systeme entwickeln, betreiben oder anwenden, über hinreichende Kenntnisse und Fähigkeiten im Umgang mit KI verfügen. Die EU-Kommission hat jetzt eine FAQ zu Artikel 4 KI-VO veröffentlicht, die einige Unklarheiten beseitigen soll.
Rechtsgrundlage: Artikel 4 KI-Verordnung und Begriffsbestimmungen
Artikel 4 KI-Verordnung („KI-Kompetenz“) verpflichtet Anbieter und Betreiber von KI-Systemen, “nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Namen mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen”. Einfach ausgedrückt: Jedes Unternehmen oder jede Behörde, das KI-Systeme entwickelt oder einsetzt, muss dafür sorgen, dass die eigenen Mitarbeiter sowie sonstige eingebundene Personen (etwa externe Dienstleister) genügend Kenntnisse im Umgang mit diesen KI-Systemen haben. Dies schließt alle Beteiligten entlang der KI-Wertschöpfungskette ein, unabhängig von der Größe der Organisation. So sind neben den KI-Anbietern (Hersteller/Entwickler) insbesondere die KI-Betreiber (Nutzer von KI-Systemen in beruflichem Kontext) erfasst. Im Ergebnis also nahezu alle Unternehmen und öffentlichen Stellen, die KI-Technologie einsetzen. Selbst Händler oder Importeure können betroffen sein, soweit sie praktisch KI-Systeme nutzen oder ihren Betrieb integrieren.
Wer fällt unter „andere Personen, die in ihrem Namen mit KI-Systemen umgehen“?
Artikel 4 KI-Verordnung spricht ausdrücklich nicht nur vom eigenen Personal, sondern auch von Personen, die “im Namen” des Anbieters oder Betreibers KI-Systeme bedienen. Gemeint sind damit z.B. externe Auftragnehmer, Dienstleister oder auch Kunden, die für die Organisation Tätigkeiten mit KI-Systemen ausführen. Diese Personengruppen stehen zwar nicht in einem Arbeitsverhältnis, aber unter dem organisatorischen Verantwortungsbereich des KI-Anwenders. Praktisch bedeutet das: Wenn etwa ein Unternehmen den Betrieb eines KI-Systems an einen IT-Dienstleister auslagert, muss es sicherstellen, dass auch die dortigen Mitarbeitenden entsprechend qualifiziert sind (ggf. vertraglich abgesichert).
Definition der „ausreichenden KI-Kompetenz“
Die KI-Verordnung liefert in Artikel 3 Nr. 56 eine Legaldefinition des Begriffs „KI-Kompetenz“ („AI literacy“). Demnach umfasst KI-Kompetenz alle „Fähigkeiten, Kenntnisse und das Verständnis, die es Anbietern, Betreibern und betroffenen Personen ermöglichen, unter Berücksichtigung ihrer Rechte und Pflichten im Kontext dieser Verordnung, KI-Systeme sachkundig bereitzustellen und einzusetzen sowie ein Bewusstsein für die Chancen und Risiken von KI und mögliche Schäden zu erlangen“. Konkret lassen sich daraus folgende Aspekte ableiten:
- Fachliche Fähigkeiten und Wissen: Kenntnis darüber, was KI ist, wie KI-Systeme funktionieren (z.B. Grundlagen maschinellen Lernens) und welche KI-Systeme in der eigenen Organisation zum Einsatz kommen. Hierzu gehört auch ein Verständnis der technologischen Funktionsweise und der Konzepte hinter KI – etwa Datenbasis, Trainingsverfahren, Modellgrenzen – um informierte Entscheidungen über Einsatz und Umgang treffen zu können.
- Bewusstsein für Chancen und Risiken: Verständnis der Möglichkeiten, die KI im konkreten Anwendungsfeld bietet. Aber ebenso der Risiken und potenziellen Schäden, die durch KI-Systeme verursacht werden können. Beispielsweise sollte geschultes Personal die Gefahr von Fehlentscheidungen, Diskriminierungstendenzen oder „Halluzinationen“ generativer KI (erfundene Ausgaben) erkennen. Dieses Risiko-Bewusstsein befähigt dazu, angemessene Schutz- und Gegenmaßnahmen zu ergreifen.
- Technische, rechtliche und ethische Kenntnisse: KI-Kompetenz geht über rein technische Schulung hinaus und umfasst auch ein Grundwissen der rechtlichen Rahmenbedingungen. Hierzu gehört die KI-VO selbst , aber auch einschlägige Vorschriften wie die DSGVO. Hinzu kommen ethischen Prinzipien im KI-Kontext. So sollen Mitarbeitende z.B. die Transparenz- und Aufsichtspflichten der KI-VO (Artikel 13, 14) verstehen, aber auch ethische Leitlinien (z.B. zum Umgang mit Bias oder zu menschenzentrierter KI) kennen.
- Praktische Anwendungskompetenz: Schließlich erfordert KI-Kompetenz die Fähigkeit, das erworbene Wissen praktisch umzusetzen. Mitarbeiter sollen in der Lage sein, die KI-Systeme im Alltag sachkundig zu bedienen, Ergebnisse korrekt einzuordnen und bei auftretenden Problemen richtig zu reagieren. Dies schließt z.B. ein, KI-Ausgaben kritisch zu prüfen, statt sie unreflektiert zu übernehmen. Oder Eingabedaten qualitätsgesichert aufzubereiten und im Bedarfsfall menschliche Überprüfungen („human-in-the-loop“) vorzunehmen.
FAQ der EU-Kommission zu Artikel 4 KI-Verordnung
In einer FAQ hat die EU-Kommission klargestellt, dass sie für Artikel 4 KI-Verordnung keine starren Vorgaben zu Schulungsinhalten oder -formaten machen wird. Vielmehr sei ein gewisses Maß an Flexibilität nötig, da KI-Technologien einem schnellen Wandel unterliegen und sehr unterschiedliche Anwendungsfelder abdecken. Allerdings nennt die Kommission einige Mindestaspekte, die eine KI-Schulungsinitiative abdecken sollte, um den Vorgaben aus Artikel 4 zu genügen:
- Grundverständnis von KI innerhalb der Organisation – “Was ist KI? Wie funktioniert sie? Welche KI-Systeme werden in unserem Unternehmen eingesetzt? Welche Chancen und Gefahren bestehen?”. Alle relevanten Mitarbeiter sollten ein gemeinsames Fundament an KI-Grundlagenwissen erhalten, inklusive Kenntnis der im Unternehmen eingesetzten KI-Anwendungen und ihrer möglichen Auswirkungen.
- Rolle der eigenen Organisation berücksichtigen – Ist man KI-Anbieter (entwickelt man also selbst KI-Systeme) oder KI-Betreiber (nutzt man externe KI-Systeme)?. Davon hängt der inhaltliche Zuschnitt der Schulung ab. Ein KI-Entwickler benötigt vertiefte Kenntnisse über Modellentwicklung und Daten, während ein reiner KI-Anwender den Fokus auf den korrekten Einsatz und die Grenzen des Tools legen sollte.
- Risikoanalyse der eingesetzten KI-Systeme – “Welche Risiken gehen von unseren KI-Systemen aus? Was müssen Beschäftigte darüber wissen, um diese Risiken zu erkennen und zu mindern?”. Je nach Risikostufe der KI (normale oder Hochrisiko-KI nach der KI-VO) müssen die Schulungen intensiver auf mögliche Fehlerrisiken, Bias, Sicherheitslücken oder Haftungsfragen eingehen. Personal, das mit einem Hochrisiko-KI-System (z.B. einer KI für die Personalauswahl oder medizinische Diagnostik) arbeitet, braucht detailliertere Unterweisung als solches, das ein gering-riskantes Assistenzsystem nutzt.
Maßgeschneiderte Qualifizierungsmaßnahmen
Aufbauend auf dieser Analyse sollen die konkreten Schulungsmaßnahmen passgenau zugeschnitten werden. Dabei sind “Unterschiede in technischem Wissen, Erfahrung, Bildung und Ausbildung der Mitarbeiter und anderen Personen” ebenso zu beachten wie “der Kontext, in dem die KI-Systeme eingesetzt werden, und die Personen, an denen sie verwendet werden”.
Praktisch bedeutet dies: Das vorhandene Know-how der einzelnen Zielgruppen ist zu erheben (z.B. Vorerfahrung mit KI, fachlicher Hintergrund), um niemanden zu über- oder unterfordern. Gleichzeitig muss der Einsatzkontext berücksichtigt werden: Etwa Branche und Funktion, für die die KI genutzt wird, sowie die betroffene Kundengruppe oder Bevölkerung.
Beispielsweise benötigt eine IT-Expertin andere (tiefergehende) Trainingsinhalte als ein Sachbearbeiter, der eine KI-Software nur anwendet. Ebenso stellen z.B. KI-Systeme im medizinischen Bereich andere Anforderungen (z.B. zu Patientensicherheit) als solche im Marketing.
Risikobasierter Ansatz in Artikel 4 KI-Verordnung
Die Pflicht aus Art. 4 KI-Verordnung ist bewusst skalierbar ausgestaltet. Organisationen müssen ihr KI-Kompetenzprogramm dem eigenen Risikoprofil anpassen. Verfügt ein Unternehmen lediglich über niedrigriskante KI-Tools (z.B. eine einfache KI-Textassistenz im Marketing), genügen überschaubare Schulungsmaßnahmen, um den sachgerechten Gebrauch sicherzustellen. Hat ein Unternehmen jedoch Hochrisiko-KI-Systeme im Einsatz (siehe Definition in Art. 6 und Anhang III KI-VO, z.B. KI-Systeme zur Bewerberauswahl oder im Personalmanagement), so “dürften zusätzliche Maßnahmen relevant sein, um sicherzustellen, dass die Beschäftigten wissen, wie mit dem jeweiligen System umzugehen ist und wie die Risiken zu vermeiden oder zu mindern sind”. In solchen Fällen verlangt bereits Art. 26 KI-VO ausdrücklich, dass die Betreiber sicherstellen, dass ihr Personal ausreichend geschult ist, um das Hochrisiko-System korrekt zu bedienen und die menschliche Aufsicht wahrzunehmen. Ein bloßes Überreichen des Handbuchs an die Mitarbeitenden reicht dann keinesfalls aus.
Format und Methoden der KI-Schulung in Unternehmen
Artikel 4 KI-Verordnung schreibt kein bestimmtes Format – etwa Präsenzseminare vs. E-Learning – vor. Und auch eine starre „Mindeststundenzahl“ sucht man vergeblich. Die Kommission betont, dass es “keine Einheitslösung” gibt und das AI Office keine Pflicht zum bestimmten Trainingstypus auferlegen wird. Unternehmen können daher vielfältige Ansätze wählen: klassische Seminare, Workshops, Webinare, praxisnahe On-the-Job-Schulungen, Tutorials, interne Knowledge Bases oder regelmäßige Coaching-Sessions.
In vielen Fällen wird ein Mix aus Maßnahmen sinnvoll sein, um unterschiedliche Lerntypen anzusprechen und eine kontinuierliche Weiterbildung sicherzustellen. Wichtig ist, dass die gewählten Formate effektiv sind. Die Kommission merkt an, dass ein rein passives Vorgehen (“Mitarbeiter lesen lassen”) meist nicht genügt und aktive Trainings und Anleitung erforderlich sind. Entscheidend ist letztlich, dass die Lernziele – die Erlangung der oben beschriebenen Kompetenzen – erreicht werden. Die konkrete Umsetzung soll sich an der Ausgangslage und dem Bedarf der Zielgruppen orientieren.
Artikel 4 KI-Verordnung: Beispiele und Best Practices
Um Organisationen bei der Ausgestaltung ihrer KI-Trainingsprogramme zu unterstützen, hat die EU-Kommission einen „Living Repository“ von KI-Literacy-Praktiken gestartet. In dieser frei zugänglichen Online-Datenbank finden sich Praxisbeispiele und Initiativen verschiedenster Anbieter und Betreiber – unterschiedlicher Branchen, Größen und Länder – wie sie die KI-Schulung angehen. Die Beispiele zeigen u.a., wie Schulungskonzepte für verschiedene Mitarbeitergruppen (von Entwicklern bis Verwaltungsmitarbeitern) gestaltet werden und wie auch externe Partner (z.B. Zulieferer, Kunden) einbezogen werden können. Obwohl das bloße Kopieren dieser Beispiele keine automatische Rechtskonformität garantiert, soll die Sammlung zum Lernen und Austauschen anregen. Die Kommission pflegt die Datenbank laufend und überprüft eingereichte Praxisbeispiele auf Transparenz und Verlässlichkeit, bevor sie öffentlich gelistet werden.
Ergänzend veranstaltet das AI Office im Rahmen des „KI-Pakts“ Webinare, Workshops und Community-Events, in denen sich Stakeholder über Erfahrungen austauschen und Expertenwissen einholen können. Insgesamt ist das Thema KI-Kompetenz sehr dynamisch; weitere Leitfäden und Awareness-Maßnahmen sind angekündigt bzw. im Aufbau, darunter eine eigene Website zu KI-Kompetenzen und -Fachkräften. Organisationen tun gut daran, diese Entwicklungen im Blick zu behalten und von neuen Erkenntnissen und Ressourcen zu profitieren.
Lese-Tipp: KI-Verordnung – das gilt ab Februar 2025 für Unternehmen
Dokumentation und organisatorische Einbettung
Obwohl Artikel 4 keine ausdrückliche Dokumentationspflicht der Schulungsmaßnahmen enthält, ist es aus Compliance-Sicht ratsam, die Durchführung von Trainings intern schriftlich festzuhalten. Die EU-Kommission bestätigt, dass kein formelles Zertifikat vorgeschrieben ist und es den Organisationen überlassen bleibt, Nachweise zu führen. In der Praxis empfiehlt es sich, Teilnehmerlisten, Zertifikate oder interne Schulungsnachweise zu erstellen und aufzubewahren. Kommt es später zu einer behördlichen Überprüfung oder gar einem Rechtsstreit, kann das Unternehmen so belegen, welche Maßnahmen ergriffen wurden, um Artikel 4 zu erfüllen.
Anders als im Datenschutzrecht gibt es im KI-Recht bislang keine Pflicht zur Benennung eines KI-Beauftragten o.ä. (anders gesagt: ein “AI Officer” ist nicht gesetzlich vorgeschrieben). Die EU-Kommission hat klargestellt, dass für Art. 4 keine spezielle Governance-Struktur vorgeschrieben ist. Unternehmen können selbst entscheiden, wie sie intern die Verantwortung verankern. In der Praxis zeigt sich jedoch, dass viele größere Organisationen überlegen, eine Art KI-Verantwortlichen oder ein KI-Kompetenz-Team zu etablieren, um die neuen Anforderungen zu koordinieren. Dies kann hilfreich sein, um zentral das Schulungsprogramm zu steuern, regelmäßige Updates zu gewährleisten und als Anlaufstelle für Fragen der Mitarbeitenden zu dienen. Denkbar ist z.B., diese Rolle dem Compliance- oder Datenschutzbeauftragten zu übertragen oder neue Positionen wie einen “AI Officer” zu schaffen – teilweise werden hierfür bereits private Zertifizierungen angeboten. Rechtlich verpflichtend ist dies – anders als beim Datenschutzbeauftragten unter der DSGVO – allerdings nicht.
Durchsetzung und Sanktionen
Die Pflicht aus Art. 4 KI-VO gilt bereits seit dem 2. Februar 2025 verbindlich. Unternehmen und Behörden können sich also nicht darauf berufen, die Regelung sei noch nicht umzusetzen. De jure ist die Schulungspflicht in Kraft. Allerdings hat der Verordnungsgeber gewisse Übergangsfristen für die aufsichtsrechtliche Durchsetzung vorgesehen. Die Überwachung und Sanktionierung von Verstößen obliegt den nationalen Marktüberwachungsbehörden, die von jedem EU-Mitgliedstaat bis zum 2. August 2025 benannt werden müssen. Diese Behörden (für Deutschland ist die Bundesnetzagentur vorgesehen) sollen dann ab dem 3. August 2026 mit aktiver Kontrolle und Durchsetzung beginnen. Unternehmen müssen zwar jetzt schon schulen, aber staatliche Kontrollen oder Bußgelder sind erst ab August 2026 zu erwarten, wenn die Behörden ihre Arbeit aufnehmen.
Diese gestufte Inkraftsetzung wirft die Frage auf, ob ein Unternehmen, das bis 2025/26 untätig bleibt, keine Sanktionen befürchten muss. Hier ist Vorsicht geboten: Zwar können vor dem Wirksamwerden der nationalen Sanktionsvorschriften faktisch keine behördlichen Strafen verhängt werden, doch ein solches Abwarten wäre riskant. Die EU-Kommission betont, dass die Pflichten – insbesondere Verbote bestimmter KI-Praktiken – ab 2025 gelten und eine koordinierte Anwendung der Regeln durch den AI Board (dem Gremium der Aufsichtsbehörden) sichergestellt wird. Unternehmen, die erst aktiv werden, wenn die Aufsicht vor der Tür steht, hätten dann bereits eine Pflichtverletzung begangen.
Mögliche Sanktionen bei Verstößen
Die KI-VO selbst enthält in Kapitel 12 allgemeine Vorgaben zu Sanktionen (Art. 99 ff.). Sie überlässt es aber den Mitgliedstaaten, konkrete Straf- und Bußgeldtatbestände für Verstöße festzulegen. Anders als z.B. bei den Verstößen gegen bestimmte Hochrisiko-Pflichten (wo der EU-Gesetzgeber Maximalstrafen wie bis zu 6% des Jahresumsatzes vorgibt), ist Artikel 4 KI-VO nicht explizit im EU-Bußgeldkatalog genannt. Ob und in welcher Höhe z.B. ein Bußgeld für unzureichende KI-Schulungen droht, hängt von der nationalen Umsetzung ab. Bis dato (Stand Mai 2025) hat Deutschland noch kein konkretes Gesetz erlassen, das die Missachtung von Artikel 4 sanktioniert. Es ist zu erwarten, dass im geplanten deutschen KI-Ausführungsgesetz entsprechende Bestimmungen geschaffen werden, möglicherweise im Rahmen allgemeiner Aufsichtsmaßnahmen oder Meldeauflagen.
Ungeachtet formaler Bußgeldtatbestände gilt, dass jede Sanktion verhältnismäßig sein muss. Die Aufsichtsbehörden werden im Einzelfall Faktoren wie “Art und Schwere des Verstoßes sowie den vorsätzlichen oder fahrlässigen Charakter” berücksichtigen. So wird es einen Unterschied machen, ob ein Unternehmen überhaupt keine Vorkehrungen getroffen hat oder ob es zwar Schulungen implementiert, diese aber vielleicht lückenhaft waren. Die Kommission deutet an, dass eine Sanktion insbesondere dann nahe liegt, “wenn ein Vorfall nachweislich auf fehlende angemessene Schulung oder Anleitung zurückzuführen ist”. Beispiel: Führt die falsche Bedienung einer KI-Maschine durch ungeschultes Personal zu einem meldepflichtigen Sicherheitsvorfall, dürfte die Behörde einschreiten. Bleiben konkrete Schäden aus, ist eher mit der Aufforderung zur Nachbesserung als mit drakonischen Strafen zu rechnen.
Zivil- und strafrechtliche Konsequenzen bei Verstoß gegen KI-VO
Neben behördlichen Sanktionen kann auch die private Durchsetzung eine Rolle spielen. Die KI-VO selbst schafft zwar keine neue zivilrechtliche Haftungsgrundlage oder gar einen Anspruch auf Schadensersatz. Allerdings können die allgemeinen zivilrechtlichen Haftungsregeln greifen: Wenn durch mangelhafte Mitarbeiterqualifikation ein Dritter geschädigt wird, kann dies als Verstoß gegen Verkehrssicherungspflichten oder allgemeine Sorgfaltspflichten gewertet werden. So könnte z.B. ein Patient klagen, wenn ein Krankenhaus eine KI-Diagnosesoftware ohne ausreichende Schulung des Ärzteteams einsetzt und dadurch ein Fehldiagnose-Schaden entsteht. Oder ein Arbeitnehmer macht Arbeitgeberhaftung geltend, wenn er aufgrund fehlender KI-Schulung einen Fehler begeht, der einen finanziellen Schaden verursacht. In solchen Fällen ließe sich argumentieren, dass das Unternehmen seine Pflicht aus Artikel 4 KI-VO verletzt und damit zugleich gegen zivilrechtliche Sorgfaltspflichten verstoßen hat, was Schadenersatzansprüche begründen kann. Unternehmen sollten dieses Haftungsrisiko ernst nehmen.
Strafrechtliche Konsequenzen sind derzeit nicht explizit vorgesehen. Art. 4 KI-VO begründet keinen Straftatbestand und die Verordnung schafft auch keine unmittelbare Grundlage für strafrechtliche Arbeitgeberverantwortung. Theoretisch könnten jedoch besonders grobe Verstöße (etwa völlig fehlende Sicherheitsvorkehrungen bei Hochrisiko-KI mit anschließendem Personenschaden) in bestehende nationale Straftatbestände fallen (z.B. fahrlässige Körperverletzung durch Organisationsverschulden). Dies wären aber Ausnahmefälle. Im Mittelpunkt steht eindeutig die präventive und verwaltungsrechtliche Durchsetzung.
Quelle: AI Literacy – Questions & Answers (European Commission)
Fazit: FAQ der EU zur KI-Kompetenz lässt viele Fragen offen
Artikel 4 der KI-Verordnung rückt den Faktor Mensch ins Zentrum der KI-Regulierung. Neben technischen Vorgaben an KI-Systeme setzt der Gesetzgeber bewusst auf Aufklärung und Befähigung derjenigen, die mit KI arbeiten. Dies ist ein präventiver Ansatz: Gut geschulte Anwender werden KI-Systeme eher korrekt bedienen, ihre Grenzen kennen und Risiken frühzeitig erkennen. So können Zwischenfälle und Regelverstöße vermieden werden, bevor sie entstehen,
Die bisher veröffentlichten FAQ und Leitlinien der EU zeigen, dass man auf Zusammenarbeit und Anleitung statt auf reine Sanktionen setzt. Daher legt die jetzt veröffentlichte FAQ zur KI-Kompetenz auch keinen Wert auf Vollständigkeit, ganz im Gegenteil. Die nächsten Monate und Jahre werden weitere Klärungen und Best Practices bringen. Schon jetzt zeichnet sich ab, dass das Thema KI-Kompetenz fortlaufend weiterentwickelt wird. Bei der Dynamik ist das auch besser so.
Jetzt handeln: Ihre Organisation fit für die KI-Zukunft machen
Die Anforderungen aus Artikel 4 KI-Verordnung sind keine Zukunftsmusik – sie gelten bereits. Unternehmen und Behörden sind jetzt gefragt, die Kompetenz ihrer Mitarbeitenden im Umgang mit Künstlicher Intelligenz systematisch zu stärken.
Nutzen Sie diese Chance:
Prüfen Sie Ihren aktuellen Schulungsstand
Entwickeln Sie ein maßgeschneidertes Trainingskonzept
Sichern Sie Ihre Compliance durch gezielte Qualifizierung
Sie benötigen Unterstützung bei der Entwicklung und Umsetzung eines KI-Kompetenzprogramms?
Kontaktieren Sie unsere Experten für Datenschutz, Compliance & KI-Strategie: Wir beraten Sie individuell und begleiten Sie bei der rechtskonformen und praxisnahen Umsetzung der KI-VO in Ihrem Unternehmen.
German 
English 
Italian 
French