EU AI Act Art. 4: Was die KI-Kompetenzpflicht für Ihr Unternehmen bedeutet

Seit dem 2. Februar 2025 gilt eine neue Pflicht für praktisch jedes Unternehmen in der EU: Wer KI-Systeme einsetzt oder anbietet, muss sicherstellen, dass die beteiligten Mitarbeiter über ausreichende KI-Kompetenz verfügen. Grundlage ist Artikel 4 der EU-Verordnung über Künstliche Intelligenz, besser bekannt als EU AI Act. In diesem Artikel erfahren Sie, was genau in Art. 4 steht, wen die Pflicht betrifft und welche konkreten Schritte Sie jetzt unternehmen sollten.

Was steht in Artikel 4 des EU AI Act?

Artikel 4 der Verordnung (EU) 2024/1689 trägt den Titel "KI-Kompetenz" (englisch: "AI Literacy") und verpflichtet sowohl Anbieter als auch Betreiber von KI-Systemen, Maßnahmen zu ergreifen. Der Wortlaut ist bewusst weit gefasst:

Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal und andere beteiligte Personen über ein ausreichendes Maß an KI-Kompetenz verfügen. Dabei sind der technische Hintergrund, die Erfahrung, die Ausbildung und der Einsatzkontext der Systeme zu berücksichtigen.

Das klingt abstrakt. Konkret bedeutet es: Wenn Ihre Mitarbeiter KI-Tools nutzen, ob ChatGPT, Microsoft Copilot, ein KI-gestütztes CRM oder ein automatisiertes Bewerbermanagement, dann müssen diese Mitarbeiter verstehen, was sie da tun. Sie müssen die Funktionsweise, die Grenzen und die Risiken der eingesetzten Systeme kennen.

Wer ist betroffen?

Die kurze Antwort: Praktisch jedes Unternehmen, das KI einsetzt.

Art. 4 unterscheidet nicht nach Unternehmensgröße, Branche oder Art des KI-Systems. Betroffen sind:

Betreiber (Deployer): Jedes Unternehmen, das KI-Systeme im Geschäftsbetrieb nutzt. Dazu zählt bereits die Nutzung von ChatGPT für Kundenkommunikation, Copilot für Dokumentenerstellung oder ein KI-Tool für Datenanalyse.
Anbieter (Provider): Unternehmen, die KI-Systeme entwickeln oder auf den Markt bringen.

Der entscheidende Punkt: "Betreiber" im Sinne des EU AI Act ist nicht nur, wer ein KI-System selbst betreibt. Es reicht, KI-Systeme unter eigener Verantwortung einzusetzen. Wenn Ihr Vertriebsteam ChatGPT nutzt, um E-Mails zu formulieren, sind Sie Betreiber.

Besonders relevant für diese Bereiche

Abteilung	Typische KI-Nutzung	Kompetenzanforderung
Marketing	Texterstellung, Bildgenerierung, Kampagnenoptimierung	Erkennen von KI-Halluzinationen, Urheberrecht, Kennzeichnung
Vertrieb	CRM-Automatisierung, Lead-Scoring, Chatbots	Transparenz gegenüber Kunden, Datenqualität
HR	Bewerbungsscreening, Mitarbeiteranalysen	Diskriminierungsrisiken, DSGVO-Konformität
Finanzen	Rechnungsverarbeitung, Prognosen, Anomalieerkennung	Prüfpflichten, Verantwortlichkeit bei Fehlern
IT	Code-Generierung, Systemüberwachung, Automatisierung	Sicherheitsrisiken, Qualitätskontrolle

Was passiert, wenn Sie nichts tun?

Hier ist es wichtig, präzise zu sein, denn in der öffentlichen Diskussion kursieren falsche Behauptungen.

Kein direktes Bußgeld für Art. 4

Artikel 99 des EU AI Act regelt die Sanktionen. Dort werden Verstöße gegen verschiedene Artikel mit Geldbußen belegt. Art. 4 wird in diesem Sanktionskatalog nicht genannt. Es gibt also kein direktes Bußgeld für fehlende KI-Kompetenz.

Die oft zitierten "35 Millionen Euro Strafe" oder "7 Prozent des weltweiten Jahresumsatzes" beziehen sich ausschließlich auf Art. 5, also auf verbotene KI-Praktiken wie Social Scoring. Das hat mit der Schulungspflicht nach Art. 4 nichts zu tun.

Aber: Erhebliches Haftungsrisiko

Das Fehlen einer direkten Geldstrafe bedeutet nicht, dass Sie nichts riskieren. Im Gegenteil: Die Haftungsrisiken sind real und können teurer werden als jedes Bußgeld.

Sorgfaltspflichtverletzung: Wenn durch mangelnde KI-Kompetenz eines Mitarbeiters ein Schaden entsteht, etwa eine fehlerhafte KI-Entscheidung im Bewerbungsprozess, ein Datenschutzverstoß durch unkontrollierte Dateneingabe in ein KI-System oder eine falsche Kundenberatung auf Basis halluzinierter KI-Antworten, dann kann die fehlende Schulung als Verletzung der Sorgfaltspflicht gewertet werden.

Das bedeutet konkret:

Schadensersatzansprüche von Betroffenen (Bewerber, Kunden, Geschäftspartner)
Arbeitsrechtliche Konsequenzen, wenn der Arbeitgeber seine Organisationspflicht verletzt hat
DSGVO-Verstöße mit eigenem Bußgeldrahmen (bis 20 Mio. EUR oder 4% Umsatz), wenn Mitarbeiter personenbezogene Daten unkontrolliert in KI-Systeme eingeben
Wettbewerbsrechtliche Risiken, wenn KI-generierte Inhalte gegen Kennzeichnungspflichten verstoßen

Ein Unternehmen, das Art. 4 nachweislich umgesetzt hat und seine Mitarbeiter geschult hat, steht in einem Haftungsfall deutlich besser da als eines, das keinerlei Maßnahmen ergriffen hat.

Timeline: Was gilt wann?

Datum	Ereignis
1. August 2024	EU AI Act tritt in Kraft
2. Februar 2025	Art. 4 (KI-Kompetenz) gilt
2. August 2025	Verbotene KI-Praktiken (Art. 5) gelten
2. August 2026	Aufsicht und Durchsetzung der KI-Kompetenzpflicht beginnen
2. August 2027	Regeln für Hochrisiko-KI-Systeme gelten vollständig

Art. 4 gilt also bereits seit Februar 2025. Die behördliche Durchsetzung beginnt am 2. August 2026. Bis dahin haben Unternehmen noch Zeit, die Pflicht umzusetzen. Aber: Wer wartet, riskiert schon jetzt Haftungsprobleme, wenn etwas schiefgeht.

Drei Szenarien: Was ohne KI-Kompetenz passieren kann

Die Haftungsrisiken sind nicht theoretisch. Hier drei Szenarien, die in jedem KMU eintreten können:

Szenario 1: Personenbezogene Daten in ChatGPT

Ein Mitarbeiter kopiert eine Kundenliste mit Namen, E-Mail-Adressen und Bestellhistorie in ChatGPT, um eine Auswertung erstellen zu lassen. Er nutzt den kostenlosen Plan, bei dem OpenAI die Eingaben für das Modelltraining verwenden darf. Ergebnis: Ein Datenschutzverstoß, der dem Unternehmen als Verantwortlichem nach Art. 4 Abs. 7 DSGVO zugerechnet wird. Wenn der Mitarbeiter nie darüber informiert wurde, welche Daten in externe KI-Systeme eingegeben werden dürfen, liegt eine Organisationspflichtverletzung vor.

Szenario 2: KI-generierte Vertragsklauseln

Eine Mitarbeiterin lässt ChatGPT einen Vertragsentwurf erstellen und übernimmt ihn ohne juristische Prüfung. Die KI hat eine Klausel formuliert, die in Deutschland unwirksam ist (z.B. einen pauschalen Gewährleistungsausschluss im B2C-Bereich). Der Kunde macht Ansprüche geltend. Hätte die Mitarbeiterin gewusst, dass KI-Modelle rechtlich falsche Ergebnisse liefern können ("Halluzinationen"), hätte sie den Entwurf prüfen lassen.

Szenario 3: Diskriminierende KI im Bewerbungsprozess

Ein HR-Tool mit KI-Bewertung sortiert systematisch Bewerber mit ausländisch klingenden Namen schlechter ein (ein dokumentiertes Problem bei vielen KI-Systemen). Ohne Schulung erkennt der zuständige HR-Mitarbeiter diesen Bias nicht. Ein abgelehnter Bewerber klagt nach dem AGG. Das Unternehmen kann nicht nachweisen, dass es Maßnahmen gegen Diskriminierung durch KI ergriffen hat.

In allen drei Fällen hätte eine dokumentierte KI-Schulung das Risiko erheblich gemindert oder den Schaden ganz verhindert.

Was genau müssen Sie tun? Praktische Umsetzung

Die gute Nachricht: Art. 4 schreibt keine bestimmte Schulungsform vor. Es ist kein externes Training nötig, kein Zertifikat vorgeschrieben und keine Mindestdauer definiert. Interne Schulung mit interner Dokumentation reicht aus.

Allerdings: "Reicht aus" heißt nicht "ist optimal". Je nachdem, wie intensiv Ihr Unternehmen KI nutzt und wie sensibel die Einsatzbereiche sind, kann eine strukturierte externe Weiterbildung sinnvoller sein als ein einstündiger interner Workshop. Die folgenden fünf Schritte gelten unabhängig vom gewählten Format.

1. Bestandsaufnahme: Welche KI nutzen Sie?

Erfassen Sie, welche KI-Systeme in Ihrem Unternehmen genutzt werden. Denken Sie dabei nicht nur an offensichtliche Tools wie ChatGPT, sondern auch an KI-Funktionen in bestehender Software: automatische E-Mail-Kategorisierung, Textvorschläge in Office, Chatbots auf der Website, automatisierte Rechnungsverarbeitung.

Erstellen Sie eine Tabelle mit folgenden Spalten: Name des KI-Systems, Abteilung, Anzahl der Nutzer, Art der verarbeiteten Daten, Risikoeinstufung. Diese Tabelle ist gleichzeitig der erste Teil Ihrer Compliance-Dokumentation.

2. Risikogruppen identifizieren

Nicht jeder Mitarbeiter braucht das gleiche Kompetenzniveau. Art. 4 verlangt, dass Ausbildung und Einsatzkontext berücksichtigt werden. Ein Mitarbeiter, der ChatGPT für Textvorschläge nutzt, braucht andere Kenntnisse als einer, der ein KI-basiertes Bewerbermanagement betreut.

Definieren Sie mindestens zwei Gruppen: Grundniveau (alle KI-Nutzer, Fokus auf Risiken und Grenzen) und Expertenniveau (Mitarbeiter in sensiblen Bereichen wie HR, Kundenservice, IT, die KI-Systeme konfigurieren oder kritische Entscheidungen auf Basis von KI-Ausgaben treffen).

Eine ausführliche Anleitung mit drei Kompetenzniveaus und konkretem Zeitplan finden Sie in unserem Artikel KI-Schulungspflicht: 7 konkrete Schritte für Geschäftsführer.

3. Schulung durchführen

Das kann ein interner Workshop sein, ein E-Learning-Kurs, eine Kombination aus beidem oder auch eine externe Weiterbildung. Wichtig ist, dass die Schulung die konkreten KI-Systeme abdeckt, die der Mitarbeiter nutzt, und dass er die Risiken und Grenzen versteht.

Eine gute Schulung sollte mindestens diese Punkte abdecken: Was ist KI und was kann sie nicht? Welche Daten dürfen eingegeben werden? Wie erkenne ich fehlerhafte KI-Ausgaben? Wann muss ich einen Menschen einschalten? An wen wende ich mich bei Problemen?

4. Dokumentation

Halten Sie schriftlich fest, welche Mitarbeiter wann zu welchen KI-Themen geschult wurden. Diese Dokumentation ist im Streitfall Ihr Nachweis, dass Sie Ihre Pflicht aus Art. 4 erfüllt haben. Bewahren Sie Teilnehmerlisten, Schulungsunterlagen und die Agenda auf. Ein einfaches Tabellenblatt genügt.

5. Regelmäßige Aktualisierung

KI entwickelt sich schnell. Neue Tools kommen hinzu, bestehende werden aktualisiert, neue Risiken werden bekannt. Planen Sie mindestens jährliche Auffrischungen ein und schulen Sie bei Einführung neuer KI-Systeme gezielt nach. Bestimmen Sie einen Verantwortlichen im Unternehmen, der die KI-Schulungen koordiniert und das KI-Inventar aktuell hält.

Finanzierung: Qualifizierungschancengesetz nutzen

Wenn Sie sich für externe Weiterbildung entscheiden, etwa weil Ihnen intern die Expertise fehlt oder weil Sie einen zertifizierten Nachweis haben möchten, gibt es eine attraktive Finanzierungsmöglichkeit: das Qualifizierungschancengesetz (QCG).

Über das QCG zahlt die Agentur für Arbeit bis zu 100% der Weiterbildungskosten für Ihre Mitarbeiter. Die Förderquote hängt von der Unternehmensgröße ab:

Unternehmensgröße	Förderung Lehrgangskosten	Förderung Lohnzuschuss
Weniger als 10 Mitarbeiter	Bis zu 100%	Bis zu 75%
10 bis 249 Mitarbeiter	50% bis 100%	Bis zu 50%
Ab 250 Mitarbeiter	25% bis 50%	Bis zu 25%

Voraussetzung ist, dass die Weiterbildung AZAV-zertifiziert ist. Mehr dazu erfahren Sie in unserem Artikel Qualifizierungschancengesetz 2026: So zahlt der Staat Ihre KI-Weiterbildung.

Häufige Fragen

Gilt Art. 4 auch für kleine Unternehmen?

Ja. Art. 4 EU AI Act macht keine Ausnahme nach Unternehmensgröße. Jedes Unternehmen, das KI-Systeme einsetzt oder anbietet, ist betroffen. Allerdings sind die Anforderungen proportional: Ein Fünf-Personen-Betrieb, der ChatGPT nutzt, muss keine mehrtägige Schulung organisieren. Eine dokumentierte Einweisung in die Risiken und Grenzen des Tools reicht aus.

Reicht eine interne Schulung oder brauche ich ein externes Zertifikat?

Eine interne Schulung mit interner Dokumentation reicht aus. Art. 4 schreibt kein bestimmtes Zertifikat vor. Externe Weiterbildungen bieten allerdings den Vorteil, dass sie einen belastbaren Nachweis liefern und das Wissen strukturiert und aktuell vermittelt wird.

Was kostet es, wenn ich Art. 4 nicht umsetze?

Es gibt kein direktes Bußgeld für Verstöße gegen Art. 4. Die Kosten entstehen indirekt: Wenn durch mangelnde KI-Kompetenz ein Schaden entsteht, drohen Schadensersatzansprüche und die fehlende Schulung kann als Sorgfaltspflichtverletzung ausgelegt werden. Zudem können DSGVO-Verstöße durch unkontrollierte KI-Nutzung eigene Bußgelder nach sich ziehen.

Bis wann muss ich die Pflicht umgesetzt haben?

Art. 4 gilt bereits seit dem 2. Februar 2025. Die behördliche Aufsicht und Durchsetzung beginnt am 2. August 2026. Wir empfehlen, nicht bis zum letzten Moment zu warten, sondern die verbleibende Zeit für eine sorgfältige Umsetzung zu nutzen.

KI-Prozesse in Ihrem Unternehmen automatisieren?

Unser kostenloser KI-Assistent analysiert Ihre Geschäftsprozesse und zeigt konkrete Automatisierungspotenziale auf. Ohne Verpflichtung, ohne Kosten.

Jetzt KI-Potenzial entdecken WhatsApp