KI-Kompetenzpflicht: Was Artikel 4 des EU AI Act von Ihrem Unternehmen verlangt
Die meisten Unternehmen haben vom EU AI Act gehört. Die wenigsten wissen, dass eine der ersten Pflichten bereits gilt — seit dem 2. Februar 2025: die KI-Kompetenzpflicht nach Artikel 4. Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ausreichendes KI-Wissen verfügt.
Was bedeutet „ausreichend"? Wer ist betroffen? Wie weist man das nach? Dieser Artikel liefert Antworten — mit Wissensmatrix, Schulungsprogramm und Empfehlungen zu Nachweisen.
Was fordert Artikel 4 des EU AI Act?
"The AI Act is not about slowing down innovation. It's about making sure that humans remain in control." — Thierry Breton, ehemaliger EU-Kommissar für Binnenmarkt
Der Wortlaut von Artikel 4 der KI-Verordnung ist bewusst offen formuliert:
„Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und ihr Schulungsstand sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind."
Das klingt abstrakt. Die Kernelemente sind aber konkret:
- Wer ist verantwortlich? Anbieter (Provider) und Betreiber (Deployer) — also sowohl Unternehmen, die KI entwickeln, als auch solche, die KI einsetzen.
- Wer muss geschult werden? Alle Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind — auch externe Dienstleistende.
- Was ist der Maßstab? Es gibt keinen universellen Standard. Die Kompetenz muss kontextabhängig sein: angepasst an die Rolle, den Einsatzzweck und die betroffenen Personengruppen.
- Seit wann gilt das? Seit dem 2. Februar 2025 — zusammen mit den Verboten aus Kapitel II.
EU-Kommission: Kein One-Size-Fits-All
Die EU-Kommission hat in ihren FAQ klargestellt: Es gibt keine vorgeschriebene Zertifizierung und kein einheitliches Schulungsformat. Die Anforderungen richten sich nach dem konkreten Einsatzkontext. Ein Kundenservice-Team, das einen Chatbot betreut, braucht andere Kompetenzen als eine IT-Abteilung, die einen KI-Agenten für die Prozessautomatisierung betreibt.
Wer ist betroffen?
Artikel 4 richtet sich an zwei klar definierte Gruppen: Anbieter, die KI-Systeme entwickeln und vermarkten, sowie Betreiber, die KI-Systeme in ihrem Unternehmen einsetzen. Beide Gruppen tragen die Verantwortung dafür, dass ihr Personal ausreichend geschult ist.
Anbieter: Wer KI-Systeme entwickelt
Unternehmen, die KI-Systeme entwickeln und auf den Markt bringen. Für sie bedeutet Artikel 4: Nicht nur das eigene Entwicklungsteam muss KI-kompetent sein, sondern auch die Personen, die Support, Schulungen und Unterlagen für Betreiber bereitstellen.
Betreiber: Wer KI-Systeme einsetzt
Unternehmen, die KI-Systeme einsetzen — und das betrifft die Mehrheit. Wenn Ihr Unternehmen Microsoft Copilot, ChatGPT Enterprise, SAP Business AI oder einen internen KI-Agenten nutzt, sind Sie Betreiber im Sinne des AI Act.
Ihre Beschäftigten, die diese Systeme bedienen, überwachen oder beaufsichtigen, müssen über ausreichendes KI-Fachwissen verfügen.
Wichtig: Auch wenn Sie KI nur indirekt einsetzen — etwa über ein CRM mit eingebetteter KI oder ein ERP-System mit KI-gestützter Prognose — fallen Sie unter die Betreiberpflichten. Die IHK Köln, IHK Hannover, die IHK Schleswig-Holstein und die Handelskammer Hamburg veröffentlichen bereits Orientierungshilfen für Unternehmen in ihren Regionen.
Was bedeutet „ausreichende KI-Kompetenz"?
Die EU-Kommission hat bewusst keine starre Definition vorgegeben. Stattdessen nennt Artikel 4 vier Dimensionen, die bei der Bewertung berücksichtigt werden müssen:
- Technische Kenntnisse — Verständnis der Funktionsweise, Grenzen und Risiken des eingesetzten KI-Systems
- Erfahrung und Ausbildung — vorhandene Qualifikationen und praktische Erfahrung im Umgang mit KI
- Einsatzkontext — in welchem Bereich und für welche Aufgaben das KI-System genutzt wird
- Betroffene Personen — wer von den Entscheidungen oder Outputs des KI-Systems betroffen ist
Das bedeutet: Ein Geschäftsführer, der über den Einsatz eines KI-Systems entscheidet, braucht andere Kompetenzen als die Fachkraft, die das System täglich bedient. Und ein KI-System, das interne Berichte zusammenfasst, erfordert weniger tiefgehendes Wissen als ein System, das automatisierte Kreditentscheidungen trifft.
Kompetenzmatrix: Welche Rolle braucht welches Wissen?
Eine der größten Herausforderungen bei der Umsetzung von Artikel 4 ist die Frage: Was genau muss wer wissen? Die folgende Kompetenzmatrix bietet eine praxistaugliche Orientierung.
| App | Technisches Wissen | Rechtlicher Kontext | Ethik & Bias | Risikobewertung |
|---|---|---|---|---|
| Geschäftsführung / Vorstand | Grundlagen | Ja | Ja | Ja |
| IT-Leitung / CTO | Ja | Ja | Ja | Ja |
| Fachabteilung (Nutzende) | Grundlagen | Grundlagen | Grundlagen | Eingeschränkt |
| Datenschutzbeauftragte | Grundlagen | Ja | Ja | Ja |
| Entwicklung / Data Science | Ja | Grundlagen | Ja | Ja |
| HR / People Operations | Grundlagen | Ja | Ja | Eingeschränkt |
| Einkauf / Vendor Management | Eingeschränkt | Grundlagen | Eingeschränkt | Grundlagen |
Lesehinweis: „Ja" bedeutet vertieftes Wissen erforderlich. „Grundlagen" bedeutet Awareness-Level. „Eingeschränkt" bedeutet situationsabhängig — nur wenn die Rolle direkt mit KI-Entscheidungen befasst ist.
Was die Matrix in der Praxis bedeutet
- Geschäftsführung muss verstehen, welche KI-Systeme im Unternehmen laufen, welche Risiken sie bergen und welche rechtlichen Pflichten daraus entstehen. Kein Programmierwissen nötig, aber strategische KI-Literacy.
- IT-Leitung braucht das volle Programm: technisches Verständnis, rechtliche Rahmenbedingungen, Risikobewertungskompetenz. Diese Rolle ist oft der interne AI-Governance-Anker.
- Fachabteilungen (z.B. Vertrieb, Marketing, Einkauf) brauchen Awareness: Was kann das KI-Tool? Was kann es nicht? Wann muss ich eskalieren? Welche Outputs darf ich blind übernehmen — und welche nicht?
- Datenschutzbeauftragte müssen die Schnittstelle zwischen DSGVO und AI Act verstehen — insbesondere bei Systemen, die personenbezogene Daten verarbeiten.
Praktische Umsetzung: Schulungsprogramm in vier Schritten
Die Pflicht ist klar. Die Umsetzung muss kein Mammutprojekt sein. Vier Schritte reichen, um ein tragfähiges Schulungsprogramm aufzubauen.
Schritt 1: KI-Inventar und Rollenanalyse
Bevor Sie schulen, müssen Sie wissen, was Sie schulen. Erstellen Sie ein vollständiges Inventar aller KI-Systeme im Unternehmen — einschließlich eingebetteter KI in SaaS-Produkten. Ordnen Sie dann jeder Rolle zu, welche Systeme sie nutzt, überwacht oder beaufsichtigt.
Konkret:
- Listen Sie alle KI-Systeme auf (auch Copilot, ChatGPT, eingebettete KI in CRM/ERP)
- Ordnen Sie jedes System einer Risikoklasse zu (→ EU AI Act Risikoklassen-Übersicht)
- Identifizieren Sie für jedes System die beteiligten Rollen
- Leiten Sie aus der Kompetenzmatrix den Schulungsbedarf pro Rolle ab
Schritt 2: Schulungsformate differenzieren
Nicht jede Rolle braucht dasselbe Format. Differenzieren Sie nach drei Ebenen:
Für die Ebene Anwendungskompetenz eignet sich ein praxisnaher KI-Workshop für Unternehmen. Wie ein solcher Workshop konkret aufgebaut ist, zeigt unsere vollständige KI-Adoption-Workshop-Agenda: Halbtags und Ganztags, Stunde für Stunde, mit einem eigenen Block zu Governance und EU AI Act.
Schritt 3: Schulungsinhalte festlegen
Die EU-Kommission nennt vier Kompetenzbereiche, die jedes Schulungsprogramm abdecken sollte:
- Technisches Grundwissen — Wie funktioniert das KI-System? Was sind Large Language Models, neuronale Netze, Trainingsdaten? Wo liegen die Grenzen (Halluzinationen, Bias, Datendrift)?
- Rechtlicher Kontext — Welche Pflichten hat mein Unternehmen als Betreiber? Was sind die Risikoklassen? Welche Fristen gelten? Wie hängen DSGVO und AI Act zusammen?
- Ethische Aspekte — Wie erkenne ich Bias in KI-Outputs? Wann ist menschliche Aufsicht notwendig? Wie gehe ich mit KI-generierten Inhalten transparent um?
- Risikobewertung — Wie bewerte ich das Risiko eines KI-Systems? Wann muss ich eskalieren? Welche Aufzeichnungen sind erforderlich?
Schritt 4: Regelmäßig aktualisieren
KI-Wissen veraltet schnell. Die Technologie entwickelt sich rasant — was heute gilt, kann in sechs Monaten überholt sein. Planen Sie:
- Jährliche Auffrischung der Awareness-Schulungen
- Halbjährliche Updates für Governance-Verantwortliche (neue Leitlinien, Enforcement-Entwicklungen)
- Ad-hoc-Schulungen bei Einführung neuer KI-Systeme oder wesentlichen System-Updates
- Onboarding-Modul für neue Beschäftigte, die KI-Systeme nutzen werden
Nachweise und Aufzeichnungen — was Sie aufbewahren sollten
Artikel 4 schreibt keine spezifische Aufbewahrungspflicht vor. Aber: Im Fall einer Prüfung durch die nationale Aufsichtsbehörde werden Sie nachweisen müssen, dass Sie Maßnahmen ergriffen haben. „Wir haben ein paar E-Mails verschickt" wird nicht reichen.
Empfohlene Dokumentation
Bewahren Sie folgende Nachweise strukturiert auf:
- KI-Inventar mit Risikoklassifizierung und zugeordneten Rollen
- Kompetenzmatrix mit Soll- und Ist-Profilen pro Rolle
- Schulungsplan mit Formaten, Inhalten und Zeitrahmen
- Teilnahmenachweise (Teilnahmelisten, Zertifikate, E-Learning-Abschlüsse)
- Aktualisierungsprotokoll — wann wurden Schulungen zuletzt durchgeführt, aktualisiert?
- Evaluierungsergebnisse — Wissenstests, Feedbackbögen, Kompetenz-Self-Assessments
Diese Nachweise dienen nicht nur der Compliance. Sie sind auch die Grundlage, um den Fortschritt zu messen und Lücken frühzeitig zu erkennen.
Sanktionen: Keine direkten Strafen — aber ein Sorgfaltspflicht-Verstärker
Fehlende Schulungen nach Artikel 4 des EU AI Act ziehen keine eigenständigen Bußgelder nach sich, wirken aber als erschwerender Faktor bei der Sanktionsbemessung anderer AI-Act-Verstöße. Hier liegt ein verbreitetes Missverständnis: Artikel 4 hat kein eigenes Sanktionsregime. Es gibt keine Bußgelder speziell für fehlende KI-Schulungen. Das klingt nach Entwarnung — ist es aber nicht.
Der Grund: Artikel 4 wirkt als Sorgfaltspflicht-Verstärker. Wenn Ihr Unternehmen gegen andere Bestimmungen des AI Act verstößt — etwa gegen Hochrisiko-Anforderungen, Transparenzpflichten oder das Verbot bestimmter KI-Praktiken — und die Aufsichtsbehörde feststellt, dass Ihre Belegschaft nicht ausreichend geschult war, verschärft das die Bewertung erheblich.
Konkret bedeutet das:
- Fehlende KI-Kompetenz wird als erschwerender Umstand bei der Sanktionsbemessung gewertet
- Die Aufsichtsbehörde fragt: „Haben Sie zumutbare Maßnahmen ergriffen, um Verstöße zu verhindern?" Wenn die Antwort „Nein, wir haben nicht geschult" lautet, steigt das Bußgeld
- Die Bußgelder des AI Act sind erheblich: bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken, bis zu 15 Millionen Euro oder 3 % für Hochrisiko-Verstöße
Zeitplan: Was jetzt gilt und was kommt
Die kritische Zeitspanne: Die Pflicht gilt seit Februar 2025. Das aktive Enforcement beginnt im August 2026. Sie haben noch sechs Monate, um ein dokumentiertes Schulungsprogramm aufzusetzen — bevor die Aufsichtsbehörden prüfen.
„Die Kompetenzpflicht nach Artikel 4 ist kein Papiertiger. Wer sie jetzt ernst nimmt, hat bei der nächsten Aufsichtsprüfung alles dokumentiert — wer wartet, baut unter Zeitdruck." — Jamin Mahmood-Wiebe, Gründer von IJONIS
Warum KI-Wissen mehr ist als Compliance
Die rein regulatorische Perspektive greift zu kurz. Ein fundiertes Verständnis von KI ist die Voraussetzung für alles, was danach kommt:
- Bevor Sie KI-Agenten einführen, müssen Ihre Teams verstehen, was Agenten können und wo sie scheitern. Ohne dieses Verständnis fehlt die Grundlage für sinnvolle Governance. Mehr dazu: KI-Agenten einführen — Leitfaden für den Mittelstand.
- Bevor Sie KI-Prozesse automatisieren, brauchen Sie Menschen, die Outputs bewerten, Fehler erkennen und Eskalationsentscheidungen treffen können.
- Bevor Sie Datenschutz und KI zusammendenken, muss Ihr Datenschutzteam verstehen, wie KI-Systeme Daten verarbeiten. Die Schnittstelle zwischen DSGVO und AI Act ist kein Nebenthema — sie ist zentral. Mehr zur datenschutzkonformen KI-Infrastruktur.
KI-Wissen ist nicht der letzte Schritt der Compliance. Es ist der erste Schritt der KI-Strategie.
FAQ: KI-Kompetenzpflicht nach Artikel 4
Brauchen meine Beschäftigten eine KI-Zertifizierung?
Nein. Artikel 4 schreibt keine bestimmte Zertifizierung vor. Die EU-Kommission hat explizit klargestellt, dass es kein einheitliches Prüfformat gibt. Was zählt, ist der Nachweis, dass Sie kontextbezogene Maßnahmen ergriffen haben — angepasst an die Rollen, Systeme und Risiken in Ihrem Unternehmen.
Wir nutzen nur ChatGPT und Copilot. Gilt Artikel 4 für uns?
Ja, Artikel 4 gilt auch für Unternehmen, die nur fertige KI-Produkte wie ChatGPT oder Copilot nutzen. Als Betreiber von KI-Systemen sind Sie verpflichtet, sicherzustellen, dass Ihre Teams ausreichend kompetent im Umgang mit diesen Tools sind. Das umfasst mindestens Awareness-Schulungen: Was kann das Tool? Was sind seine Grenzen? Wann darf ich den Output nicht ungeprüft übernehmen?
Was passiert, wenn wir nicht schulen?
Kurzfristig: nichts Direktes. Artikel 4 hat kein eigenes Bußgeld. Aber fehlendes KI-Wissen wirkt als erschwerender Faktor bei Verstößen gegen andere AI-Act-Bestimmungen. Wenn Ihr Personal ein Hochrisiko-System fehlerhaft betreibt und Sie keine Schulung nachweisen können, steigt die Sanktion.
Wie viel kostet ein KI-Schulungsprogramm?
Das hängt von der Unternehmensgröße und der Anzahl der KI-Systeme ab. Basierend auf Erfahrungswerten aus unserer Projektarbeit rechnen Sie für ein mittelständisches Unternehmen mit 100 bis 300 Beschäftigten mit 5.000 bis 20.000 Euro für die initiale Schulungsentwicklung und -durchführung. Jährliche Aktualisierungen liegen erfahrungsgemäß bei 20 bis 30 Prozent der Initialkosten.
Gibt es Muster-Schulungspläne oder Vorlagen?
Die IHK-Kammern in Deutschland veröffentlichen zunehmend Orientierungshilfen. Auf EU-Ebene arbeitet das EU AI Office an Leitlinien. Stand Februar 2026 gibt es jedoch noch keinen offiziellen Muster-Schulungsplan. Die beste Grundlage ist eine eigene Wissensmatrix auf Basis der vier Dimensionen aus Artikel 4.
„KI-Kompetenz aufzubauen kostet Wochen. Die Lücke bei einer Prüfung erklären zu müssen, kostet ein Vielfaches." — Jamin Mahmood-Wiebe, Gründer von IJONIS
Wie Sie Ihr Unternehmen bis August 2026 audit-fähig machen
Zusammengefasst: Die KI-Kompetenzpflicht nach Artikel 4 gilt seit Februar 2025 für jedes Unternehmen, das KI einsetzt. Es gibt keine Standardzertifizierung, aber eine klare Erwartung: Sie müssen nachweisen können, dass Ihr Personal kontextbezogen geschult ist. Wer jetzt ein strukturiertes Schulungsprogramm aufsetzt und die Nachweise dokumentiert, ist ab August 2026 vorbereitet. In der Summe ist Artikel 4 kein Bürokratiemonster, sondern die Grundlage für verantwortungsvollen KI-Einsatz.
Nächste Schritte: So unterstützen wir Sie
Wir bei IJONIS bauen und betreiben KI-Agenten für den deutschen Mittelstand. Die Schulungspflicht nach Artikel 4 betrifft uns und unsere Kunden gleichermaßen. Deshalb beraten wir nicht nur zu Technik, sondern auch zur organisatorischen Befähigung:
- KI-Inventar und Kompetenz-Audit: Wir analysieren, welche KI-Systeme Sie einsetzen und wo Kompetenzlücken bestehen.
- Kompetenzmatrix-Workshop: Gemeinsam erarbeiten wir eine rollenspezifische Matrix für Ihr Unternehmen.
- Compliance-ready Architektur: Wir bauen KI-Systeme mit eingebautem Logging, Human-in-the-Loop und lückenloser Nachweisführung — damit Ihre Teams sie auch sicher betreiben können.
Sie wollen wissen, wo Ihr Unternehmen beim KI-Fachwissen steht? Sprechen Sie mit uns — wir führen eine initiale Standortbestimmung durch.
Wie bereit ist Ihr Unternehmen für KI? Finden Sie es in 3 Minuten heraus — mit unserem kostenlosen, KI-gestützten Readiness-Check. Jetzt Check starten →

