Sie schulen Ihre Mitarbeiter für Excel. Für ISO 9001. Für den Datenschutz. Seit Februar 2025 kommt eine weitere Pflicht hinzu – und diese kennen die meisten Unternehmen noch nicht: Art. 4 der EU-KI-Verordnung schreibt vor, dass Unternehmen, die KI-Systeme einsetzen, nach besten Kräften sicherstellen müssen, dass ihr Personal ausreichende KI-Kompetenz besitzt. Keine Übergangsfrist. Kein Kleingedrucktes. Was das konkret bedeutet, was als Nachweis gilt – und warum der geplante Digitale Omnibus kein Freifahrtschein ist, erfahren Sie hier.
Was Art. 4 des AI Acts tatsächlich fordert
Das Gesetz definiert KI-Kompetenz – im Original: AI Literacy – als die Fähigkeiten, Kenntnisse und das Verständnis, die es ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen, Risiken und möglicher Schäden bewusst zu werden. Das ist mehr als eine Bedienungsanleitung.
Konkret heißt das: Wer in Ihrem Unternehmen ChatGPT, Copilot oder ein anderes KI-System nutzt, muss verstehen, was ein Sprachmodell kann – und was nicht. Warum es plausibel klingende Informationen erfinden kann. Welche Eingaben gegen Datenschutzregeln oder Betriebsgeheimnisse verstoßen. Und wo ein Mensch die Kontrolle behalten muss. Der Standard ist bewusst offen formuliert: „nach besten Kräften" und „ausreichendes Maß". Das schafft Spielraum – bedeutet aber auch: Wer nichts dokumentiert hat, kann im Haftungsfall nicht nachweisen, dass er seiner Pflicht nachgekommen ist.
Für wen die Pflicht gilt
Art. 4 richtet sich an zwei Gruppen: Anbieter, die KI-Systeme entwickeln oder unter eigenem Namen vermarkten – und Betreiber, die KI-Systeme eigenverantwortlich in ihren Arbeitsprozessen einsetzen. Letzteres trifft praktisch jedes Unternehmen, das seinen Mitarbeitern Zugang zu Werkzeugen wie ChatGPT, Microsoft Copilot, Google Gemini oder einem internen KI-Assistenten gibt.
Die Pflicht bezieht sich auf das Personal, das mit dem Betrieb oder der Nutzung dieser Systeme befasst ist. Sie schließt also nicht nur IT-Administratoren ein, sondern auch Vertriebsmitarbeiter, die Angebote mit KI-Unterstützung formulieren, oder HR-Mitarbeiter, die mit KI Bewerbungsunterlagen sichten.
Der Digitale Omnibus: Abschwächung geplant – warum das nichts ändert
Im November 2025 veröffentlichte die EU-Kommission einen Entwurf, der als „Digitaler Omnibus zu KI" bekannt wurde. Er schlägt vor, die direkte Unternehmenspflicht aus Art. 4 zu streichen und stattdessen Mitgliedstaaten und die Kommission dazu zu verpflichten, Unternehmen lediglich zur Förderung von KI-Kompetenz zu „ermutigen".
Das klingt nach Entlastung. Ist es aber nicht. Selbst wenn Art. 4 in seiner jetzigen Form abgeschwächt wird: Die Haftungslage bleibt. Wer keine Schulungsmaßnahmen dokumentiert hat und ein KI-System einen Fehler begeht – eine falsche Rechtsauskunft, eine diskriminierende Einstellungsentscheidung, eine erfundene Preiszusage – steht ohne Nachweis da. Organisationspflichten nach § 823 BGB gelten unabhängig davon, was die EU-Verordnung in ihrer finalen Fassung schreibt. Der Weg des geringsten Widerstands – abwarten, bis der Omnibus verabschiedet ist – ist der teuerste Weg.
Was als Nachweis gilt – und was nicht
Da Art. 4 die Anforderungen nicht abschließend definiert, gilt: Wer im Schadensfall nachweisen kann, konkrete Maßnahmen ergriffen zu haben, steht deutlich besser da.
Was als Nachweis gilt:
Interne KI-Leitlinien, die schriftlich festhalten, welche Anwendungsszenarien erlaubt oder verboten sind – insbesondere im Umgang mit Kundendaten, Betriebsgeheimnissen und externen Diensten.
Protokollierte Schulungen – Datum, Themen, Teilnehmer. Auch eine interne Runde von 60 Minuten mit Ergebnisprotokoll zählt; entscheidend ist die Dokumentation, nicht das Format.
Einbindung des Datenschutzbeauftragten bei der Auswahl und Einführung von KI-Werkzeugen – als Beleg, dass die Prüfung stattgefunden hat.
Betriebsvereinbarungen, die Nutzungsgrenzen und Verantwortlichkeiten verbindlich regeln, bevor das erste Tool im Einsatz ist.
Was nicht ausreicht:
Ein pauschaler Haftungsausschluss in den Nutzungsbedingungen oder AGB – „KI kann Fehler machen" schützt nicht vor Haftung, wenn kein strukturierter Kontrollmechanismus besteht. Gerichte haben das bereits bei Chatbot-Urteilen klargestellt: Wer KI als eigenes Werkzeug einsetzt, übernimmt die inhaltliche Verantwortung.
Die bloße Behauptung, keinen Einblick in die Funktionsweise des Systems zu haben. Wer als Betreiber auftritt, trägt die Betreiberpflichten – unabhängig davon, ob das Modell von OpenAI, Microsoft oder einem anderen Anbieter stammt.
Die arbeitsrechtliche Dimension: Betriebsrat, Recruiting, Direktionsrecht
KI-Kompetenz ist nicht nur ein regulatorisches Thema. Sie hat eine direkte arbeitsrechtliche Dimension, die in der Praxis häufig übersehen wird.
Direktionsrecht und Offenlegungspflicht. Arbeitgeber können die Nutzung bestimmter KI-Tools gemäß § 106 GewO anweisen – oder untersagen. Existieren keine klaren Leitlinien, müssen Mitarbeiter KI-Einsatz gemäß ihrer nebenvertraglichen Offenlegungspflicht (§ 241 Abs. 2 BGB) mit Vorgesetzten abstimmen. Beides setzt voraus, dass beide Seiten wissen, worum es geht.
Betriebsrat und Mitbestimmung. Sobald ein KI-System geeignet ist, das Verhalten oder die Leistung von Mitarbeitern zu überwachen – etwa durch die Protokollierung von Prompt-Häufigkeiten oder die automatische Auswertung von Kommunikation – greift das echte Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG. Der Betriebsrat muss außerdem nach § 90 BetrVG über die Planung und Funktionsweise neuer KI-Systeme unterrichtet werden – rechtzeitig, nicht nachträglich.
Recruiting-Falle. KI-Systeme, die im Personalbereich eingesetzt werden, gelten nach EU AI Act regelmäßig als Hochrisiko-Systeme. Rein KI-gestützte Absagen ohne menschliche Prüfung verstoßen gegen Art. 22 DSGVO – das Verbot automatisierter Einzelentscheidungen. Werden KI-Systeme mit historischen Einstellungsdaten trainiert, können sie unbewusst Vorurteile reproduzieren und gegen das Allgemeine Gleichbehandlungsgesetz verstoßen. Die Lösung ist keine andere als bei der Haftungsfrage: Human-in-the-Loop – die KI sortiert vor, ein Mensch entscheidet.
Sanktionen. Verstöße gegen die Grundpflichten der KI-Verordnung können mit bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Für KMU gilt jeweils der niedrigere Betrag des vorgegebenen Rahmens.
Drei Schritte, die Sie jetzt gehen können
Die KI-Kompetenzpflicht klingt nach bürokratischer Last. Im Gegenteil: Wer die Pflicht strukturiert angeht, baut gleichzeitig eine interne Grundlage auf, die den Einsatz jedes weiteren KI-Werkzeugs absichert – und die im Schadensfall entscheidend ist.
Schritt 1: KI-Leitlinien schreiben. Was darf mit welchem Tool gemacht werden? Was ist verboten – Kundendaten in externe Systeme eingeben, Verträge ohne Prüfung final durch KI formulieren lassen? Eine A4-Seite mit klar formulierten Regeln, die Mitarbeiter unterschrieben haben, ist ein besserer Nachweis als jedes Schulungszertifikat ohne Bezug zum konkreten Betrieb. Die KI-Betriebsvereinbarung in der AGILERO Akademie gibt den rechtlichen Rahmen dafür vor.
Schritt 2: Erste Schulung dokumentieren. Kein externes Seminar nötig. Eine interne Runde von 60 Minuten mit dem Thema „Wie nutzen wir KI in unserem Unternehmen – was können Systeme wie ChatGPT, was nicht, und wo lauern Fallen?" – protokolliert mit Datum, Teilnehmern und Kernaussagen – ist ein rechtswirksamer Nachweis. Schwerpunkte: Halluzinationen erkennen, Datenschutzgrenzen kennen, wann ein Mensch eingreifen muss.
Schritt 3: Betriebsrat frühzeitig einbinden. Vor dem Rollout eines neuen KI-Werkzeugs, nicht danach. Das erspart Konflikte, schafft Akzeptanz und schützt vor dem Vorwurf, Mitbestimmungsrechte umgangen zu haben.
Was das jetzt für Ihr Unternehmen bedeutet
Art. 4 AI Act ist die Pflicht, die niemand auf dem Schirm hat – obwohl sie seit über einem Jahr gilt. Der Digitale Omnibus mag sie in ihrer Direktheit abschwächen. Die Haftungslogik dahinter bleibt: Wer Mitarbeiter KI-Systeme nutzen lässt, ohne sie zu befähigen und das zu dokumentieren, trägt das Risiko allein.
Die gute Nachricht: Der Aufwand ist überschaubar. Eine KI-Leitlinie, eine dokumentierte Einführungsrunde, ein klar geregelter Umgang mit Betriebsrat und Datenschutzbeauftragtem – das ist kein Großprojekt. Das ist ein Tag Invest, der im Schadensfall entscheidend sein kann.
Wer nicht weiß, wo sein Unternehmen in Sachen KI-Governance gerade steht, beantwortet das am schnellsten mit dem KI-Governance Stresstest: ein Tag, remote, mit einem strukturierten Ergebnisbericht – der zeigt, was bereits solide ist und wo die dringendsten Lücken liegen. Wie KI-Kompetenz, Human-in-the-Loop und Governance als integriertes System zusammenspielen, beschreibt das KI-Betriebsmodell.
Die anderen Teile dieser Serie: EU AI Act Fristen · Wenn der Chatbot lügt · RAG und DSGVO