Wenn im August 2026 die Hochrisiko-Pflichten des EU AI Act in Kraft treten, wird die öffentliche Aufmerksamkeit auf Dokumentationspflichten, Konformitätsbewertungen und Bußgelder gerichtet sein. Was dabei untergehen wird: Eine zentrale Pflicht der Verordnung gilt bereits. Seit dem 2. Februar 2025. Und die meisten Unternehmen haben sie nicht einmal zur Kenntnis genommen.
Artikel 4 des EU AI Act verpflichtet Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal über ein „ausreichendes Maß an KI-Kompetenz" verfügt. Die Formulierung klingt weich. Die Konsequenz ist es nicht. Wer KI-Systeme einsetzt — und dazu gehört bereits die Nutzung von ChatGPT, Copilot oder einem KI-gestützten Recruiting-Tool —, muss nachweisen können, dass die Personen, die diese Systeme bedienen oder deren Ergebnisse in Entscheidungen einfließen lassen, verstehen, was sie tun. Nicht auf dem Niveau eines Datenwissenschaftlers. Aber auch nicht auf dem Niveau von „hat mal einen Artikel darüber gelesen".
Was „ausreichende KI-Kompetenz" bedeutet
Die Verordnung definiert den Begriff bewusst offen. Artikel 4 spricht von Kenntnissen, Fähigkeiten und dem Verständnis, das erforderlich ist, um KI-Systeme „sachkundig einzusetzen" — unter Berücksichtigung des Kontexts, in dem sie verwendet werden, und der Personen oder Gruppen, die von ihnen betroffen sind.
In der Praxis bedeutet das eine Differenzierung nach Risikoprofil. Ein Sachbearbeiter, der ChatGPT für Zusammenfassungen interner Dokumente nutzt, braucht ein grundlegendes Verständnis der Funktionsweise, der Grenzen und der Datenschutzimplikationen. Eine Personalverantwortliche, die ein KI-gestütztes Bewerbermanagementsystem betreibt, benötigt deutlich tiefere Kenntnisse — über Bias-Risiken, über die Prinzipien menschlicher Aufsicht, über die Dokumentationspflichten, die ab August 2026 für Hochrisiko-Systeme greifen. Ein Geschäftsführer, der die Einführung eines KI-Systems genehmigt, muss die regulatorischen Implikationen auf strategischer Ebene einordnen können.
Das Muster ähnelt dem, was Unternehmen aus dem Datenschutz kennen: Die DSGVO verlangt keine Juristen in jeder Abteilung. Aber sie verlangt, dass die Personen, die personenbezogene Daten verarbeiten, die Grundprinzipien verstehen. Artikel 4 des AI Act folgt derselben Logik — nur dass die meisten Unternehmen beim Datenschutz immerhin eine Schulung gemacht haben, während die KI-Kompetenzpflicht in den allermeisten Fällen noch eine Leerstelle ist.
Ein Gedankenexperiment
Ein mittelständisches Handelsunternehmen in Nordrhein-Westfalen hat vor acht Monaten Microsoft 365 Copilot eingeführt. Die IT-Leitung hat die technische Konfiguration vorgenommen. Die Geschäftsführung hat das Budget freigegeben. Die Mitarbeitenden nutzen das Tool, wie sie es für richtig halten — manche intensiv, manche gar nicht, die meisten irgendwo dazwischen.
Niemand hat dokumentiert, wer das System nutzt. Niemand hat definiert, welche Kenntnisse dafür erforderlich sind. Niemand hat geprüft, ob die Nutzung den DSGVO-Anforderungen entspricht. Und niemand hat evaluiert, ob die Ergebnisse, die Copilot liefert, in der konkreten Arbeitsumgebung zuverlässig genug sind, um Entscheidungen darauf zu stützen.
Dieses Unternehmen verstößt seit Februar 2025 gegen Artikel 4 des EU AI Act. Nicht weil es bösartig handelt, sondern weil es eine Pflicht nicht kennt, die bereits gilt.
Die KI-Kompetenzpflicht ist kein Schulungsprogramm. Sie ist die gesetzliche Anforderung, dass ein Unternehmen verstanden hat, was es einsetzt — und dass die Menschen, die damit arbeiten, es auch verstanden haben.
Wer ist verantwortlich?
Artikel 4 richtet sich an zwei Adressaten: Anbieter und Betreiber. Für die meisten mittelständischen Unternehmen ist die Betreiberrolle relevant — sie entwickeln keine KI-Systeme, sie setzen sie ein. Die Verantwortung für die Kompetenzpflicht liegt bei der Geschäftsleitung. Nicht bei der IT-Abteilung, nicht beim Datenschutzbeauftragten, nicht bei der Personalabteilung. Bei der Geschäftsleitung.
Das hat eine rechtliche Konsequenz, die über den AI Act selbst hinausgeht. Wenn ein Unternehmen ein KI-System einsetzt, das nachweislich fehlerhafte Ergebnisse produziert — etwa ein Recruiting-Tool, das systematisch bestimmte Bewerbergruppen benachteiligt —, und die Personen, die das System bedienen, nicht über die Kompetenz verfügen, dieses Problem zu erkennen, dann hat die Geschäftsleitung ihre Sorgfaltspflicht verletzt. Die KI-Kompetenzpflicht schafft damit einen dokumentierbaren Standard, an dem sich Verantwortlichkeit messen lässt.
Drei Schritte, die jetzt Substanz schaffen
Die Umsetzung der Kompetenzpflicht muss weder aufwändig noch teuer sein. Sie muss vor allem eines sein: ehrlich. Drei Maßnahmen decken den Kern ab.
Erstens: Bestandsaufnahme. Welche KI-Systeme werden im Unternehmen eingesetzt? Nicht welche eingekauft wurden — welche tatsächlich genutzt werden. Erfahrungsgemäß gibt es eine erhebliche Diskrepanz zwischen beidem. Eine systematische KI-Bestandsaufnahme fördert in der Regel Nutzungsmuster zutage, von denen die IT-Leitung nichts wusste. Dazu gehört auch die Schatten-Nutzung: Mitarbeitende, die über private Accounts auf ChatGPT, Gemini oder andere Tools zugreifen. Die Bestandsaufnahme ergibt eine Liste von Personen, Systemen und Einsatzzwecken — die Grundlage für alles Weitere.
Zweitens: Kompetenzanforderungen definieren. Nicht jeder Mitarbeiter braucht dieselbe Schulung. Die Anforderungen ergeben sich aus dem Einsatzzweck und dem Risikoprofil des jeweiligen Systems. Für die breite Belegschaft, die generative KI für Alltagsaufgaben nutzt, genügt ein kompaktes Format: Wie funktioniert ein Sprachmodell auf Grundlagenniveau? Wo liegen die Grenzen? Welche Daten dürfen eingegeben werden, welche nicht? Für Fachabteilungen, die KI-Systeme in Entscheidungsprozessen einsetzen — HR, Finanzen, Einkauf —, braucht es tiefere Inhalte: Bias-Erkennung, Dokumentationsanforderungen, Eskalationsprozesse bei fehlerhaften Ergebnissen.
Drittens: Dokumentation. Die Kompetenzpflicht verlangt nicht nur, dass Schulungen stattfinden. Sie verlangt, dass ein Unternehmen im Prüffall nachweisen kann, dass es die Pflicht ernst genommen hat. Das bedeutet: Wer wurde wann zu welchem Thema geschult? Welche Systeme sind im Einsatz, und welche Kompetenzanforderungen wurden dafür definiert? Wie wird sichergestellt, dass neue Mitarbeitende oder neue Systeme in den Prozess aufgenommen werden? Diese Dokumentation muss kein Ordner mit 200 Seiten sein. Ein lebendiges Verzeichnis — aktuell gehalten, regelmäßig überprüft — erfüllt den Zweck.
Was „ausreichend" nicht bedeutet
Die Versuchung liegt nahe, die Kompetenzpflicht mit einer einmaligen E-Learning-Einheit abzuhaken. Dreißig Minuten „KI-Grundlagen", Multiple-Choice-Test, Zertifikat, fertig. Das erfüllt den Buchstaben der Pflicht, aber nicht ihren Sinn. Und im Prüffall — oder schlimmer: im Schadensfall — wird die Frage sein, ob die Schulungsmaßnahme geeignet war, die konkreten Risiken des konkreten Systems abzudecken. Ein generischer Online-Kurs wird diese Frage selten positiv beantworten.
Was funktioniert, sind Formate, die am tatsächlichen Arbeitsalltag ansetzen. Workshops, in denen die Teilnehmenden mit dem konkreten Tool arbeiten und dessen Grenzen selbst erleben. Leitfäden, die drei bis fünf klare Regeln formulieren, wann KI-Ergebnisse vertrauenswürdig sind und wann nicht. Regelmäßige Kurzformate — ein monatlicher Erfahrungsaustausch von dreißig Minuten, in dem auffällige Ergebnisse oder neue Nutzungsmuster besprochen werden. Die Investition ist überschaubar. Der Effekt geht über Compliance hinaus: Mitarbeitende, die verstehen, wie ein Tool funktioniert, nutzen es besser.
Die Verbindung zu den Hochrisiko-Pflichten
Ab August 2026 greifen die Hochrisiko-Pflichten des EU AI Act. Für Unternehmen, die HR-Scoring, Recruiting-KI oder andere Annex-III-Systeme betreiben, verschärft sich die Anforderung an die Kompetenz erheblich. Die menschliche Aufsicht, die der AI Act für Hochrisiko-Systeme vorschreibt, funktioniert nur, wenn die aufsichtführende Person versteht, was das System tut, wo es Fehler machen kann und wie eine Intervention aussieht. Eine Personalleiterin, die ein KI-gestütztes Ranking von Bewerbungen abnimmt, ohne die Logik des Rankings nachvollziehen zu können, erfüllt keine menschliche Aufsicht — sie erfüllt ein Formular.
Die Kompetenzpflicht nach Artikel 4 ist deshalb nicht nur eine eigenständige Anforderung. Sie ist die Grundlage, ohne die alle anderen Pflichten ins Leere laufen. Dokumentation, Risikomanagement, Grundrechte-Folgenabschätzung — all das setzt voraus, dass jemand im Unternehmen versteht, worüber dokumentiert, was gemanagt und welche Grundrechte abgeschätzt werden.
Häufige Fragen zur KI-Kompetenzpflicht
Gilt die Kompetenzpflicht auch für kleine Unternehmen?
Ja. Artikel 4 enthält keine Schwellenwerte für Unternehmensgröße oder Mitarbeiterzahl. Jedes Unternehmen, das KI-Systeme einsetzt — und dazu gehört bereits die Nutzung von ChatGPT —, ist betroffen. Der Umfang der erforderlichen Maßnahmen skaliert mit dem Risikoprofil der eingesetzten Systeme, nicht mit der Unternehmensgröße.
Reicht eine einmalige Schulung aus?
In den meisten Fällen nicht. Die Kompetenzpflicht ist eine fortlaufende Anforderung. Wenn neue Systeme eingeführt, bestehende Systeme aktualisiert oder neue Mitarbeitende eingestellt werden, muss die Kompetenz erneut sichergestellt werden. Ein jährlicher Refresher plus anlassbezogene Einweisungen ist ein pragmatischer Mindeststandard.
Welche Bußgelder drohen bei Verstoß gegen Artikel 4?
Verstöße gegen die Kompetenzpflicht fallen unter die allgemeinen Sanktionsvorschriften des AI Act. Für Unternehmen drohen Bußgelder bis zu 7,5 Millionen Euro oder 1 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für KMU gilt der jeweils niedrigere Betrag.
Muss ich die Schulungen extern durchführen lassen?
Nein. Die Verordnung schreibt kein bestimmtes Format vor. Interne Schulungen, Peer-Learning-Formate oder begleitete Pilotprojekte sind ebenso zulässig wie externe Workshops — entscheidend ist, dass die Maßnahmen dokumentiert, auf die konkret eingesetzten Systeme zugeschnitten und in ihrer Wirksamkeit nachvollziehbar sind.
Worum es am Ende geht
Die KI-Kompetenzpflicht ist die unspektakulärste und zugleich folgenreichste Pflicht des gesamten EU AI Act. Unspektakulär, weil sie kein Verbot ausspricht, keine technische Zertifizierung verlangt und kein System abschalten lässt. Folgenreich, weil sie die organisatorische Voraussetzung schafft, ohne die alle anderen Pflichten nicht funktionieren. Ein Unternehmen, das seine Mitarbeitenden nicht befähigt hat, KI-Systeme sachkundig einzusetzen, wird weder die Hochrisiko-Dokumentation sinnvoll erstellen noch die menschliche Aufsicht wirksam umsetzen können.
Wer in drei Monaten nicht unter Zeitdruck geraten will, beginnt jetzt. Der erste Schritt ist keine Schulung. Der erste Schritt ist die Bestandsaufnahme: Welche Systeme sind im Einsatz, wer nutzt sie, und was wissen diese Personen darüber? Die Antwort auf diese Frage entscheidet darüber, ob die Kompetenzpflicht eine Formalie bleibt oder ein tatsächlicher Fortschritt wird.