KI-Kompetenz nach Artikel 4: Welche Schulungen und Nachweise benötigen KMU?

KMU müssen KI-Kompetenz nicht mit einem einheitlichen Zertifikat belegen, sondern durch angemessene, rollenbezogene Maßnahmen fördern und dokumentieren. Geschult werden sollten alle Personen, die im Auftrag des Unternehmens KI-Systeme einsetzen, betreiben, konfigurieren oder beaufsichtigen. Als Nachweis genügen meist ein Kompetenzkonzept, eine Rollenmatrix, ein Schulungsregister und nachvollziehbare Teilnahmeprotokolle.

Rechtsstand: 14. Juli 2026. Dieser Beitrag dient der betrieblichen Orientierung und ersetzt keine Rechtsberatung.

Warum ist KI-Kompetenz seit Februar 2025 eine Aufgabe der Unternehmensleitung?

In vielen mittelständischen Betrieben begann die KI-Nutzung nicht mit einem formellen Einführungsprojekt. Ein Mitarbeiter ließ eine Kundenmail überarbeiten, die Kalkulation fasste ein Leistungsverzeichnis zusammen, der Service erstellte aus einer Sprachnotiz einen Einsatzbericht und die Personalabteilung testete einen Assistenten für Stellenanzeigen. Aus einzelnen Versuchen entstanden nach und nach feste Arbeitsabläufe.

Artikel 4 des EU AI Act setzt genau an diesem Punkt an. Die Vorschrift ist seit dem 2. Februar 2025 anwendbar und richtet sich an Anbieter und Betreiber von KI-Systemen. Erfasst werden nicht nur Entwickler von KI-Produkten, sondern auch Unternehmen, die Systeme wie ChatGPT, Microsoft Copilot, KI-Telefonie, Bildgeneratoren, Übersetzungsdienste, Wissensassistenten oder KI-Funktionen innerhalb bestehender Fachsoftware einsetzen.

Die Verantwortung lässt sich deshalb nicht vollständig an die IT-Abteilung, den Datenschutzbeauftragten oder einen externen Softwareanbieter übertragen. Die Geschäftsführung muss dafür sorgen, dass der KI-Einsatz organisatorisch beherrscht wird. Dazu gehört die Frage, wer ein System nutzen darf, welche Daten verarbeitet werden dürfen, wer Ergebnisse prüft und welche Kenntnisse für die jeweilige Rolle benötigt werden.

Der ursprüngliche Wortlaut von Artikel 4 verlangt Maßnahmen, um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz sicherzustellen. Der am 8. Juli 2026 ausgefertigte Text des Digital Omnibus on AI ersetzt diese Formulierung durch die Pflicht, Maßnahmen zur Entwicklung von KI-Kompetenz zu unterstützen. Zugleich stellt der neue Text ausdrücklich fest, dass Unternehmen kein bestimmtes Kompetenzniveau jedes einzelnen Mitarbeiters garantieren müssen. Zum Redaktionsstand stand die Veröffentlichung der Änderungsverordnung im Amtsblatt der Europäischen Union noch aus.

KI-Richtlinien von KrambergAI

KI-Nutzung im Unternehmen verbindlich regeln

KrambergAI unterstützt Unternehmen dabei, klare KI-Richtlinien für Mitarbeitende, Daten, Freigaben und verantwortliche Nutzung zu entwickeln und praxistauglich im Arbeitsalltag zu verankern.

Strukturiert entwickelt · Verantwortlich eingeführt · Made in Germany

Für die Praxis ändert diese sprachliche Anpassung weniger, als es zunächst wirkt. Ein Unternehmen braucht weiterhin angemessene Maßnahmen, die sich an Vorkenntnissen, Rolle, eingesetztem System, Nutzungskontext und betroffenen Personen orientieren. Eine unbelegte Aussage wie „Unsere Mitarbeiter kennen sich mit KI aus“ genügt dafür nicht.

Was versteht der EU AI Act unter KI-Kompetenz?

KI-Kompetenz ist mehr als die Fähigkeit, einen brauchbaren Prompt zu schreiben. Artikel 3 des EU AI Act beschreibt sie als Kenntnisse, Fähigkeiten und Verständnis, die einen informierten Einsatz von KI ermöglichen und für Chancen, Risiken sowie mögliche Schäden sensibilisieren.

Damit umfasst KI-Kompetenz mehrere Ebenen. Mitarbeiter müssen zunächst verstehen, wann sie überhaupt mit einem KI-System arbeiten. Das ist nicht immer offensichtlich, weil KI-Funktionen zunehmend in CRM-Systeme, Office-Anwendungen, Telefonanlagen, Bildbearbeitung, ERP-Module, Bewerbermanagement und branchenspezifische Software eingebaut werden.

Hinzu kommt ein realistisches Verständnis der Funktionsweise. Ein Sprachmodell recherchiert nicht automatisch in einer verlässlichen Wissensquelle, sondern erzeugt Antworten anhand statistischer Muster und des bereitgestellten Kontexts. Ein Bilderkennungssystem erkennt nicht „die Wahrheit“, sondern ordnet Eingaben anhand seines Modells ein. Eine automatisierte Priorisierung ist nicht zwangsläufig objektiv, nur weil sie rechnergestützt erfolgt.

Die dritte Ebene betrifft den sachgerechten Einsatz. Ein Anwender muss wissen, welche Aufgaben an das System übertragen werden dürfen, wann Ergebnisse geprüft werden müssen und welche Angaben nicht eingegeben werden sollen. Im Bau- und Projektgeschäft können dies Kalkulationsdaten, nicht veröffentlichte Nachträge, Leistungsverzeichnisse oder Bauherreninformationen sein. Im SHK- und Elektrobereich geht es um Kundendaten, Objektadressen, Störungsbilder, Messwerte und technische Dokumentationen. Im Personalbereich kommen Bewerberdaten, Leistungsinformationen und arbeitsrechtlich relevante Entscheidungen hinzu.

Schließlich gehört zur KI-Kompetenz das Verständnis möglicher Auswirkungen auf andere Personen. Ein fehlerhafter Textentwurf ist anders zu behandeln als eine KI-gestützte Bewerberauswahl, eine technische Handlungsempfehlung, eine automatisierte Bonitätsbewertung oder eine Antwort an einen Kunden mit verbindlich wirkendem Preis.

Die Europäische Kommission nennt als Mindestbestandteile unter anderem ein allgemeines Verständnis von KI, die Rolle des eigenen Unternehmens, die Risiken der eingesetzten Systeme sowie eine Ausrichtung auf Wissen, Erfahrung, Ausbildung und Nutzungskontext der betroffenen Personen.

Welche Mitarbeiter sollten geschult werden?

Artikel 4 erfasst Personal und andere Personen, die im Auftrag des Unternehmens mit dem Betrieb oder der Nutzung von KI-Systemen befasst sind. Dazu können neben fest angestellten Mitarbeitern auch freie Mitarbeiter, externe Administratoren, projektbezogene Dienstleister und Auftragnehmer gehören. Die Kommission beschreibt den Kreis ausdrücklich weiter als die eigene Belegschaft.

Nicht jeder Beschäftigte benötigt deshalb automatisch dieselbe Schulung. Ein Mitarbeiter, der weder KI-Werkzeuge nutzt noch über deren Beschaffung, Konfiguration oder Beaufsichtigung entscheidet, braucht möglicherweise nur eine kurze Grundinformation. Wer regelmäßig generative KI für Kundenkommunikation, Angebote, Dokumentation oder technische Recherche einsetzt, benötigt dagegen anwendungsbezogene Kenntnisse.

In einem Handwerksbetrieb können mehrere Gruppen betroffen sein. Die Mitarbeiter im Büro nutzen KI für E-Mails, Terminvorbereitung und Angebotsentwürfe. Monteure erzeugen aus Spracheingaben Baustellen- oder Serviceberichte. Die Disposition lässt Anfragen vorsortieren. Die Geschäftsführung nutzt einen Assistenten für Analysen und Entscheidungsvorlagen. Ein externer IT-Dienstleister verwaltet Benutzerkonten, Schnittstellen und Protokolle.

Bei einem Verkehrssicherungsunternehmen kommen Arbeitsvorbereitung, Einsatzplanung und Dokumentation hinzu. Ein System kann Angaben zu Baustellen, Regelplänen, Personal, Material und Verkehrsführung verarbeiten. Wer solche Ausgaben übernimmt, muss wissen, dass eine generierte Zusammenfassung keine fachliche Prüfung und keine verkehrsrechtliche Anordnung ersetzt.

In einem technischen Servicebetrieb unterscheiden sich die Aufgaben ebenfalls. Der Innendienst nutzt einen KI-Telefonassistenten zur Störungsannahme, die Disposition bewertet die aufgenommenen Angaben, Techniker greifen auf ein Company Brain zu und die IT verwaltet Datenquellen sowie Berechtigungen. Jede dieser Rollen benötigt einen anderen Ausschnitt der KI-Kompetenz.

Besondere Aufmerksamkeit verdienen Mitarbeiter, deren Arbeit Auswirkungen auf Kunden, Bewerber, Beschäftigte oder sicherheitsrelevante Abläufe hat. Dazu zählen Personalabteilung, Kundenservice, Marketing, Vertrieb, Qualitätsmanagement, Arbeitssicherheit, Produktionsleitung und technische Projektverantwortliche.

Warum braucht ein Monteur andere Inhalte als ein Administrator?

Ein Monteur muss kein Modelltraining verstehen, um einen KI-gestützten Servicebericht verantwortungsvoll zu nutzen. Er sollte jedoch erkennen, welche Angaben der Assistent ergänzt oder umformuliert hat, ob Messwerte richtig übernommen wurden und ob aus einer Vermutung eine scheinbar bestätigte Feststellung geworden ist.

Für einen Administrator reicht dieses Wissen nicht. Er muss zusätzlich verstehen, wo Daten gespeichert werden, welche Benutzer auf welche Quellen zugreifen können, welche Protokolle vorhanden sind und ob der Anbieter Eingaben für eigene Trainingszwecke verwendet. Auch Modellwechsel, Berechtigungsfehler, Schnittstellen, System-Prompts und technische Schutzmaßnahmen gehören zu seiner Rolle.

Ein Verantwortlicher für KI-Governance benötigt wiederum einen anderen Blick. Er muss Systeme inventarisieren, Rollen des Unternehmens bestimmen, Risiken einstufen, Freigaben organisieren und Änderungen bewerten. Außerdem muss er wissen, wann Datenschutz, Informationssicherheit, Betriebsrat, Einkauf oder Fachverantwortliche einzubeziehen sind.

Selbst innerhalb derselben Abteilung können Unterschiede bestehen. Ein Vertriebsmitarbeiter, der eine E-Mail überarbeiten lässt, benötigt andere Kenntnisse als ein Vertriebsleiter, der eine automatische Leadbewertung einführt. Ein Personalsachbearbeiter, der eine Stellenanzeige formuliert, arbeitet in einem anderen Risikokontext als ein Verantwortlicher, der Bewerber automatisiert sortieren oder bewerten lässt.

Die Schulung sollte deshalb nicht allein nach Organigramm aufgebaut werden. Entscheidend sind die tatsächlichen Tätigkeiten, Systemrechte, Datenzugriffe und Auswirkungen der erzeugten Ergebnisse.

Wie unterscheiden sich Anwender, Administratoren und Verantwortliche?

RolleTypische AufgabenBenötigte KompetenzfelderGeeignete MaßnahmenSinnvolle Nachweise
AnwenderTexte, Bilder, Zusammenfassungen, Serviceberichte oder Recherchen erzeugenzulässige Nutzung, Datenregeln, Grenzen des Systems, Prüfung von Ausgaben, Urheberrecht, Umgang mit FehlernGrundlagenschulung, systembezogene Einweisung, Praxisübungen, KurzanleitungTeilnahmeprotokoll, zugeordnete Rolle, Schulungsstand
Fachlicher PrüferErgebnisse bewerten und für Kunden, Projekte oder Entscheidungen freigebenfachliche Validierung, Quellenprüfung, Entscheidungswirkung, Eskalation, DokumentationFallübungen aus dem Fachbereich, Prüfkriterien, FreigaberegelnRollenmatrix, dokumentierte Prüfbefugnis, Auffrischung
Administrator oder IntegratorSysteme konfigurieren, Berechtigungen verwalten, Schnittstellen betreibenDatenflüsse, Zugriffsrechte, Protokollierung, Modelländerungen, Prompt Injection, Sicherheits- und Ausfallkonzepttechnische Einweisung, Anbieterunterlagen, Konfigurations- und NotfallübungenAdministrationsfreigabe, technische Schulungsnachweise, Änderungsprotokolle
SystemverantwortlicherZweck, Betrieb und Weiterentwicklung eines Systems verantwortenRisikoeinstufung, Anbietersteuerung, Kontrollen, Qualitätskennzahlen, Vorfälle, Änderungsmanagementvertiefte Governance-Schulung, Systemakte, regelmäßige ReviewsBenennung in der Systemakte, Review-Protokolle, Maßnahmenliste
Geschäftsführung und Governance-VerantwortlicherRahmenbedingungen, Zuständigkeiten und Freigaben festlegenUnternehmensrollen, Haftungs- und Geschäftsrisiken, EU AI Act, Datenschutz, Beschaffung, AufsichtManagement-Briefing, Entscheidungsworkshop, jährliche AktualisierungBeschluss, Rollenmatrix, genehmigtes Kompetenzkonzept

Die Tabelle bildet ein praxistaugliches Grundmodell ab. In kleineren Betrieben kann eine Person mehrere Rollen übernehmen. Der Geschäftsführer kann zugleich Systemverantwortlicher sein, während der externe IT-Dienstleister die Administration übernimmt. Entscheidend ist, dass die Rollen trotzdem getrennt beschrieben werden und keine Aufgabe unbemerkt zwischen den Beteiligten liegen bleibt.

Warum genügt eine allgemeine einstündige KI-Schulung häufig nicht?

Eine einstündige Einführung kann ein sinnvoller Anfang sein. Sie vermittelt Grundbegriffe, zeigt typische Fehler und schafft ein gemeinsames Verständnis. Sie genügt aber nicht automatisch für jede Rolle und jedes System.

Das erste Problem liegt im Umfang. Eine allgemeine Präsentation behandelt häufig generative KI, obwohl im Unternehmen zusätzlich KI-Telefonie, Bilderkennung, Bewerbermanagement, Wissenssuche oder automatisierte Entscheidungsunterstützung eingesetzt werden. Die Risiken unterscheiden sich erheblich.

Das zweite Problem ist die fehlende Verbindung zur täglichen Arbeit. Ein Monteur benötigt Beispiele aus Servicebericht, Mängeldokumentation und Kundenkommunikation. Die Buchhaltung braucht Regeln für Rechnungen, Zahlungsinformationen und Vertragsunterlagen. Im Marketing stehen Kennzeichnung, Markenrecht, Bildrechte und Freigaben im Vordergrund. Eine allgemeine Folie über erfundene Antworten löst diese Fragen nicht.

Das dritte Problem betrifft die Systemrechte. Ein Anwender kann nur Texte erzeugen. Ein Administrator kann Datenquellen anbinden, Zugriffsebenen verändern und Protokollierung deaktivieren. Beide Personen in dieselbe Schulung zu setzen und danach denselben Kompetenzstand zu unterstellen, wird ihrer Verantwortung nicht gerecht.

Auch die Veränderung der Systeme spielt eine Rolle. Ein Office-Assistent, der zunächst nur Texte überarbeitet, kann nach einem Update auf E-Mails, Kalender, Dateien oder CRM-Daten zugreifen. Eine einmalige Schulung bildet solche Änderungen nicht dauerhaft ab.

Umgekehrt muss ein KMU kein umfangreiches Schulungsprogramm für einen risikoarmen, eng begrenzten Einsatz aufbauen. Wird ein freigegebener Assistent ausschließlich zur sprachlichen Überarbeitung unkritischer interner Texte genutzt, kann eine kompakte Einführung zusammen mit einer verbindlichen Richtlinie und einer systembezogenen Kurzanleitung angemessen sein.

Nicht die Dauer allein entscheidet. Maßgeblich ist, ob die Maßnahme zum System, zur Rolle, zum Kenntnisstand und zu den möglichen Auswirkungen passt.

Welche Inhalte gehören in ein rollenbezogenes Schulungsprogramm?

Für Anwender sollte die Schulung mit dem konkreten Arbeitsprozess beginnen. Statt abstrakt über neuronale Netze zu sprechen, kann ein SHK-Betrieb zeigen, wie aus einer Sprachnotiz ein Servicebericht entsteht, welche Angaben überprüft werden müssen und warum eine vermutete Fehlerursache nicht als bestätigter Befund erscheinen darf.

Im Elektrohandwerk kann eine Übung darin bestehen, eine Kundenanfrage zu strukturieren, ohne sicherheitsrelevante Hinweise zu verkürzen oder aus allgemeinen Informationen eine konkrete Arbeitsanweisung abzuleiten. Im Bau- und Projektgeschäft eignet sich ein Beispiel mit Leistungsverzeichnis, Besprechungsprotokoll und Nachtragsentwurf. Die Teilnehmer sehen dabei, welche Ergebnisse als Entwurf verwendet werden können und welche Angaben zwingend durch den Projektverantwortlichen geprüft werden müssen.

Für Büroanwender gehören mindestens die folgenden Themen in den Lernstoff: zulässige und unzulässige Daten, Umgang mit vertraulichen Informationen, Prüfung von Aussagen, Quellen und Zahlen, Kennzeichnungspflichten bei bestimmten Inhalten, Urheber- und Nutzungsrechte, interne Freigaben sowie der Umgang mit verdächtigen oder ungeeigneten Ausgaben.

Administratoren benötigen zusätzliche technische Inhalte. Dazu gehören Identitäts- und Berechtigungsmanagement, Datenquellen, Mandantentrennung, Protokollierung, Aufbewahrung, Modell- und Anbieterwechsel, API-Schlüssel, Schnittstellenrechte und Schutz vor manipulierten Eingaben. Bei einem Company Brain muss beispielsweise verhindert werden, dass ein externer Partner über den Assistenten auf interne Projekt-, Personal- oder Kalkulationsdaten zugreift.

Systemverantwortliche sollten lernen, wie ein KI-System beschrieben, eingestuft und betrieben wird. Dazu gehören Zweckbestimmung, Nutzergruppen, betroffene Personen, Datenkategorien, gewünschte Ergebnisse, Kontrollmaßnahmen, menschliche Aufsicht, Qualitätsprüfung, Vorfallbehandlung und Stilllegung.

Für Geschäftsführung und Bereichsleitung reicht eine Produktdemonstration nicht. Sie müssen verstehen, welche Verantwortung mit der Freigabe eines Systems verbunden ist, welche Anbieterunterlagen benötigt werden und welche Entscheidungen nicht vollständig automatisiert werden sollten. Auch die wirtschaftliche Perspektive gehört dazu: Ein System, das Zeit spart, aber regelmäßig falsche Angebote, unzutreffende technische Aussagen oder Datenschutzvorfälle erzeugt, verbessert den Prozess nicht.

Welche Nachweise verlangt Artikel 4 tatsächlich?

Der EU AI Act schreibt derzeit kein bestimmtes Zertifikat, keine vorgeschriebene Prüfungsform und kein einheitliches Schulungsformat vor. Nach den Fragen und Antworten der Europäischen Kommission können Unternehmen interne Aufzeichnungen über Schulungen und andere Maßnahmen führen. Eine Zertifizierung ist nicht erforderlich.

Das bedeutet jedoch nicht, dass überhaupt kein Nachweis benötigt wird. Ohne Dokumentation kann das Unternehmen später nur schwer zeigen, welche Maßnahmen es ergriffen hat. Das wird besonders relevant, wenn ein Vorfall auf eine fehlerhafte Nutzung, eine nicht geprüfte Ausgabe oder eine unzureichende Administration zurückgeführt wird.

Ein belastbarer Nachweis sollte drei Fragen beantworten:

Was wurde vermittelt?
Dazu gehören Lernziele, Inhalte, verwendete Beispiele, betroffene Systeme und gegebenenfalls die behandelten internen Vorgaben.

Wer wurde geschult?
Erfasst werden Teilnehmer, Rolle, Abteilung, Schulungsbedarf, Datum und gegebenenfalls externe Auftragnehmer.

Warum war die Maßnahme für diese Person angemessen?
Hier kommt die Rollenmatrix ins Spiel. Sie verbindet die Tätigkeit mit den erforderlichen Kenntnissen und dem vorgesehenen Schulungsmodul.

Ein Teilnahmeprotokoll allein beweist noch keine tatsächliche Kompetenz. Es belegt zunächst nur, dass eine Person an einer Maßnahme teilgenommen hat. Ergänzend können Praxisaufgaben, kurze Wissensfragen, bestätigte Einweisungen oder beobachtete Übungen sinnvoll sein. Eine formale Prüfung ist jedoch nicht generell vorgeschrieben.

Ebenso wenig muss jedes Unternehmen umfangreiche personenbezogene Leistungsprofile anlegen. Die Dokumentation sollte angemessen bleiben und nur die Informationen erfassen, die für Organisation, Nachweis und Aktualisierung der Schulungen benötigt werden.

Wie sehen Schulungsregister, Teilnahmeprotokoll und Rollenmatrix aus?

Ein Schulungsregister ist die zentrale Übersicht aller geplanten und durchgeführten KI-Kompetenzmaßnahmen. Es enthält beispielsweise Bezeichnung der Maßnahme, Zielgruppe, verantwortlichen Organisator, behandelte Systeme, Lernziele, Termin, Format, verwendete Unterlagen, Aktualisierungsdatum und Status.

Ein Teilnahmeprotokoll dokumentiert, welche Personen an einer konkreten Maßnahme teilgenommen haben. Sinnvolle Felder sind Name, Funktion, Organisationseinheit, Datum, Dauer, Schulungsformat, behandelte Module, Trainer und gegebenenfalls eine bestätigte Praxisübung. Bei externen Dienstleistern kann zusätzlich die Firma und der zugrunde liegende Auftrag erfasst werden.

Die Rollenmatrix verbindet Aufgaben und Berechtigungen mit dem erforderlichen Kompetenzniveau. Sie sollte nicht nur Stellenbezeichnungen enthalten. Ein Mitarbeiter kann beispielsweise gleichzeitig „Anwender generativer KI“, „fachlicher Prüfer für Angebote“ und „Key User CRM“ sein. Jede dieser Rollen löst andere Lerninhalte aus.

Eine einfache Rollenmatrix kann mit folgenden Zuordnungen arbeiten:

  1. Grundinformation: Verständnis von KI, internen Regeln und verfügbaren Systemen.
  2. Anwenderkompetenz: sichere Eingaben, Prüfung von Ausgaben und fachbezogene Praxis.
  3. Prüfkompetenz: Freigabe, Quellenbewertung und Umgang mit entscheidungsrelevanten Ergebnissen.
  4. Technische Kompetenz: Konfiguration, Datenflüsse, Berechtigungen, Protokolle und Sicherheitsmaßnahmen.
  5. Governance-Kompetenz: Risikoeinstufung, Anbietersteuerung, Freigaben, Vorfälle und Änderungsmanagement.

Das Unternehmen muss daraus kein kompliziertes Punktesystem entwickeln. Eine überschaubare Zuordnung reicht, sofern sie den tatsächlichen Betrieb abbildet.

KI-Einführung von KrambergAI

KI strukturiert in den Arbeitsalltag bringen

Die KI-Einführung von KrambergAI unterstützt Unternehmen dabei, passende Anwendungsfälle auszuwählen, Prozesse vorzubereiten und KI-Lösungen kontrolliert in den Betrieb zu integrieren.

Strukturiert eingeführt · Praxisnah begleitet · Made in Germany

Wie kann ein einfaches KI-Kompetenzkonzept aufgebaut sein?

Ein pragmatisches Kompetenzkonzept für ein KMU kann auf wenigen Seiten beschrieben werden. Entscheidend ist nicht die Länge des Dokuments, sondern die Verbindung zwischen eingesetzten Systemen, Rollen, Schulungen und Nachweisen.

1. Zweck und Geltungsbereich
Das Konzept beschreibt, für welche Gesellschaften, Standorte, Beschäftigten und externen Auftragnehmer es gilt. Es verweist auf die eingesetzten oder freigegebenen KI-Systeme.

2. Verantwortlichkeiten
Die Geschäftsführung benennt einen organisatorisch Verantwortlichen. Fachbereiche benennen Systemverantwortliche. IT, Datenschutz, Informationssicherheit, Personal und Einkauf werden entsprechend ihrer Aufgaben eingebunden.

3. Zielgruppen und Rollen
Die Rollenmatrix unterscheidet mindestens allgemeine Nutzer, regelmäßige Anwender, fachliche Prüfer, Administratoren und Verantwortliche. Mehrfachrollen sind zulässig und werden dokumentiert.

4. Lernziele
Für jede Rolle werden erwartete Fähigkeiten beschrieben. Ein Anwender soll beispielsweise vertrauliche Daten erkennen, Ausgaben prüfen und Fehler melden können. Ein Administrator soll Berechtigungen, Datenflüsse und Modelländerungen bewerten können.

5. Maßnahmen
Mögliche Formate sind Management-Briefing, Basisschulung, systembezogene Einweisung, Praxisworkshop, Kurzanleitung, Lernvideo, Fallbesprechung und technische Herstellerschulung. Nicht jede Rolle benötigt jedes Format.

6. Nachweis
Schulungsregister, Teilnahmeprotokoll und Rollenmatrix werden zentral gepflegt. Änderungen an Lerninhalten erhalten einen Versionsstand. Die verantwortliche Stelle prüft regelmäßig fehlende oder abgelaufene Maßnahmen.

7. Aktualisierung
Das Konzept nennt Auslöser für eine erneute Einweisung: neues System, neue Funktion, veränderter Datenzugriff, neue Nutzergruppe, Vorfall, geänderter Rechtsrahmen oder auffällige Qualitätsprobleme.

8. Verbindung zur KI-Richtlinie
Die Schulung vermittelt nicht nur allgemeines Wissen, sondern erklärt die betrieblichen Vorgaben. Dazu gehören freigegebene Systeme, verbotene Daten, Prüfpflichten, Freigaben, Kennzeichnung und Meldewege.

Ein solches Konzept kann zunächst für die wichtigsten Systeme umgesetzt und anschließend erweitert werden. Das ist oft wirksamer als ein umfassendes Dokument, das zahlreiche theoretische Fälle beschreibt, aber im Arbeitsalltag nicht verwendet wird.

Wann sollten Schulungen aktualisiert oder wiederholt werden?

Artikel 4 nennt keinen festen jährlichen Wiederholungsrhythmus. Ein pauschaler Termin kann organisatorisch nützlich sein, ersetzt aber nicht die anlassbezogene Aktualisierung.

Eine neue Schulung oder Einweisung ist insbesondere sinnvoll, wenn ein weiteres KI-System eingeführt wird, sich der Nutzungszweck verändert oder neue Datenquellen angebunden werden. Dasselbe gilt bei zusätzlichen Automatisierungen. Ein Assistent, der zunächst nur Textvorschläge erstellt, hat einen anderen Schulungsbedarf, sobald er Termine bucht, CRM-Daten verändert oder Nachrichten selbstständig versendet.

Auch Rollenwechsel sind relevant. Wird ein bisheriger Anwender zum Key User, fachlichen Prüfer oder Administrator, sollte die Qualifizierung vor der Vergabe der zusätzlichen Rechte erfolgen.

Vorfälle sind ein weiterer Auslöser. Dazu zählen veröffentlichte Falschinformationen, fehlerhafte Angebote, unberechtigte Datenzugriffe, ungeeignete Kundenantworten oder die Nutzung nicht freigegebener Dienste. Nach einem Vorfall sollte geprüft werden, ob es sich um einen individuellen Fehler, eine ungeeignete Systemkonfiguration oder eine Lücke im Schulungskonzept handelt.

Anbieterupdates müssen ebenfalls beobachtet werden. Neue Modelle, veränderte Speicherregeln, zusätzliche Integrationen oder geänderte Nutzungsbedingungen können die bisherige Einweisung überholen.

Eine jährliche Überprüfung des Konzepts ist für viele KMU ein praktikabler Grundrhythmus. Ergänzend sollte jede wesentliche Systemänderung eine anlassbezogene Prüfung auslösen.

Welche vier Kennzahlen zeigen den Handlungsbedarf?

Die betriebliche Realität liegt vielerorts noch deutlich hinter der wachsenden KI-Nutzung. Nach einer Erhebung des Digitalverbands Bitkom hatten im Jahr 2025 erst 20 Prozent der Beschäftigten bereits eine KI-Fortbildung im Beruf absolviert. Gleichzeitig boten nur 26 Prozent der befragten Unternehmen entsprechende Weiterbildungen an.

Gerade in technisch geprägten Betrieben zeigt sich die Wissenslücke auch bei der Einführung. In einer weiteren Bitkom-Erhebung nannten 42 Prozent der Industrieunternehmen fehlende Expertise bei der Einbindung von KI in bestehende Prozesse als Hindernis.

Daraus folgt jedoch nicht, dass die gesamte Belegschaft zu KI-Entwicklern ausgebildet werden muss. Die OECD kommt in ihrer 2026 veröffentlichten Analyse zu dem Ergebnis, dass weniger als 1 Prozent der Beschäftigten fortgeschrittene KI-Spezialkenntnisse benötigen. Für die meisten Rollen sind anwendungsbezogene digitale Fähigkeiten, Datenverständnis, Urteilsvermögen und passende Fachkenntnisse wichtiger.

Diese Zahlen sprechen für ein abgestuftes Modell: breite Grundinformation, vertiefte Anwenderschulung für regelmäßige Nutzer und spezialisierte Qualifizierung für Administratoren, Entwickler und Governance-Verantwortliche.

Wie entsteht aus Schulung, Richtlinie und Governance ein arbeitsfähiges Grundpaket?

Eine Schulung entfaltet nur begrenzte Wirkung, wenn das Unternehmen nicht festgelegt hat, welche Systeme freigegeben sind und welche Regeln gelten. Umgekehrt bleibt eine KI-Richtlinie wirkungslos, wenn Mitarbeiter ihre Inhalte nicht auf konkrete Situationen übertragen können.

Für KMU bietet sich deshalb ein verbundenes Grundpaket an. Die Richtlinie definiert zulässige Systeme, Datenregeln, Prüfpflichten und Verantwortlichkeiten. Das Kompetenzkonzept ordnet diese Vorgaben den jeweiligen Rollen zu. Die Governance-Grundstruktur stellt sicher, dass neue Systeme geprüft, Änderungen bewertet und Vorfälle bearbeitet werden.

Ein solcher Einstieg muss nicht mit einem umfangreichen Kontrollapparat beginnen. Häufig reichen ein KI-Inventar, eine kompakte Richtlinie, eine Rollenmatrix, zwei oder drei zielgruppengerechte Schulungsmodule sowie ein geregelter Freigabeprozess.

KrambergAI GmbH, https://krambergai.com/, verbindet diese Bausteine in einem mittelstandsgerechten Einstieg aus Schulung, KI-Richtlinie und Governance-Grundstruktur. Ziel ist kein isolierter Schulungstermin, sondern ein System, das sich auf weitere KI-Anwendungen und zusätzliche Fachbereiche übertragen lässt.

Welche Quellen belegen die verwendeten Kennzahlen?

Bitkom: Ein Fünftel wurde im Job zu KI geschult
https://www.bitkom.org/Presse/Presseinformation/Ein-Fuenftel-im-Job-zu-KI-geschult

Bitkom: Industrieunternehmen setzen verstärkt auf KI in der Produktion
https://www.bitkom.org/Presse/Presseinformation/Industrie-4.0-Unternehmen-KI-Produktion

OECD: AI and Skills – What We Know So Far
https://www.oecd.org/en/publications/ai-and-skills_f843b352-en/full-report.html

Welche Quellen eignen sich als „Interessante Links“?

Europäische Kommission: Fragen und Antworten zur KI-Kompetenz nach Artikel 4
https://digital-strategy.ec.europa.eu/en/faqs/ai-literacy-questions-answers

Bundesnetzagentur: KI-Kompetenz nach Artikel 4 der KI-Verordnung
https://www.bundesnetzagentur.de/DE/Fachthemen/Digitales/KI/7_Kompetenz/start.html

Europäische Kommission: Sammlung praktischer Maßnahmen zur KI-Kompetenz
https://digital-strategy.ec.europa.eu/en/policies/repository-ai-literacy-practices

FAQ

Gilt Artikel 4 bereits für mittelständische Unternehmen?

Ja. Die Anforderung zur KI-Kompetenz ist seit dem 2. Februar 2025 anwendbar und gilt unabhängig von Branche oder Unternehmensgröße. Betroffen sind Unternehmen, die KI-Systeme anbieten oder für ihre geschäftliche Tätigkeit einsetzen. Der konkrete Umfang der Maßnahmen richtet sich nach den verwendeten Systemen, den Aufgaben der Mitarbeiter und den möglichen Auswirkungen.

Muss jeder Mitarbeiter eine KI-Schulung besuchen?

Nicht zwangsläufig im selben Umfang. Geschult werden sollten vor allem Personen, die KI-Systeme nutzen, administrieren, beaufsichtigen, beschaffen oder fachlich freigeben. Für andere Mitarbeiter kann eine Grundinformation genügen. Entscheidend ist, ob die Person im Auftrag des Unternehmens mit KI arbeitet oder Verantwortung für deren Einsatz trägt.

Benötigt das Unternehmen ein anerkanntes KI-Zertifikat?

Nein. Artikel 4 schreibt weder ein bestimmtes Zertifikat noch einen anerkannten Schulungsanbieter vor. Interne oder externe Maßnahmen sind möglich. Das Unternehmen sollte jedoch dokumentieren, welche Zielgruppen geschult wurden, welche Inhalte behandelt wurden und wie die Maßnahmen zur jeweiligen Rolle, zum eingesetzten System und zum Nutzungskontext passen.

Reicht eine einstündige allgemeine KI-Schulung aus?

Sie kann für einen risikoarmen Einstieg angemessen sein, genügt aber nicht automatisch für regelmäßige Anwender, Administratoren oder Verantwortliche. Diese Rollen benötigen system- und aufgabenbezogene Inhalte. Die allgemeine Schulung sollte deshalb durch eine KI-Richtlinie, Praxisbeispiele, Kurzanleitungen und bei höheren Risiken durch vertiefte Einweisungen ergänzt werden.

Müssen auch externe Dienstleister geschult werden?

Das kann erforderlich sein, wenn externe Personen im Auftrag des Unternehmens KI-Systeme betreiben oder nutzen. Dazu zählen beispielsweise IT-Administratoren, Freelancer, Callcenter-Dienstleister oder projektbezogene Fachkräfte. Im Vertrag sollte geregelt werden, welche Kompetenzen erwartet werden, wer die Einweisung übernimmt und welche Nachweise der Dienstleister bereitstellt.

Brauchen Administratoren dieselbe Schulung wie Anwender?

Nein. Administratoren benötigen zusätzlich Kenntnisse über Datenflüsse, Berechtigungen, Protokollierung, Schnittstellen, Modelländerungen, technische Schutzmaßnahmen und Vorfallbehandlung. Anwender konzentrieren sich stärker auf zulässige Eingaben, Prüfung von Ausgaben und den fachlichen Einsatz. Ein gemeinsames Basismodul kann beide Gruppen verbinden, ersetzt aber keine rollenspezifische Vertiefung.

Muss die Geschäftsführung selbst an einer Schulung teilnehmen?

Eine persönliche Teilnahme ist nicht ausdrücklich als eigenes Format vorgeschrieben. Die Geschäftsführung muss jedoch genügend Verständnis besitzen, um Zuständigkeiten, Freigaben, Risiken und Ressourcen angemessen zu entscheiden. Ein kompaktes Management-Briefing mit Unternehmensrollen, Haftungsfragen, Risikoklassen und Governance-Aufgaben ist daher für die Leitungsebene regelmäßig sinnvoll.

Ist ein Wissenstest nach der Schulung vorgeschrieben?

Nein. Artikel 4 verlangt keinen standardisierten Test. Ein kurzer Wissenstest, eine Praxisübung oder eine bestätigte Systemeinweisung kann dennoch hilfreich sein, insbesondere bei Administratoren, fachlichen Prüfern und risikoreicheren Anwendungen. Das Unternehmen erhält dadurch einen besseren Hinweis darauf, ob die vermittelten Regeln im Arbeitsablauf angewendet werden können.

Wie häufig müssen KI-Schulungen wiederholt werden?

Es gibt keinen einheitlich vorgeschriebenen Wiederholungszeitraum. Eine regelmäßige Überprüfung, beispielsweise im jährlichen Rhythmus, ist sinnvoll. Zusätzlich sollten Änderungen an System, Nutzungszweck, Datenzugriff, Berechtigungen oder Rechtslage eine neue Einweisung auslösen. Auch Vorfälle, Qualitätsprobleme und Rollenwechsel können eine Auffrischung erforderlich machen.

Welche Angaben gehören in ein Schulungsregister?

Das Register sollte Maßnahme, Zielgruppe, Lernziele, behandelte Systeme, Termin, Format, verantwortlichen Organisator, verwendete Unterlagen und Versionsstand enthalten. Ergänzend werden Teilnehmer und zugeordnete Rollen dokumentiert. So lässt sich erkennen, welche Qualifizierung abgeschlossen wurde, welche Aktualisierungen ausstehen und ob neue Mitarbeiter oder externe Kräfte noch einzuweisen sind.

Darf eine KI-Schulung vollständig intern durchgeführt werden?

Ja. Unternehmen können Schulungen intern entwickeln und durchführen, sofern Inhalte, Trainer und Format zum jeweiligen Einsatz passen. Bei technischen oder rechtlichen Spezialthemen kann externe Unterstützung sinnvoll sein. Eine interne Schulung ist besonders wirksam, wenn sie reale Arbeitsabläufe, freigegebene Systeme, eigene Datenregeln und typische Fehler aus dem Betrieb aufgreift.

Löst bereits die Nutzung von ChatGPT Artikel 4 aus?

Grundsätzlich kann schon der geschäftliche Einsatz eines allgemeinen KI-Assistenten die Verpflichtung auslösen. Mitarbeiter sollten insbesondere zu vertraulichen Daten, möglichen Falschaussagen, Prüfung der Ergebnisse, Urheberrecht und internen Freigaben informiert werden. Der Umfang kann begrenzt bleiben, wenn das System nur für eng definierte, risikoarme Aufgaben eingesetzt wird.