Eine KI-Schulung für Mitarbeitende ist Pflicht — und zwar seit dem 2. Februar 2025. Wer im Unternehmen ChatGPT, Microsoft Copilot, Chatbots oder ein anderes Tool mit künstlicher Intelligenz nutzt, fällt unter Art. 4 der EU-KI-Verordnung. Viele Geschäftsführer haben diese Frist zur KI-Kompetenz schlicht übersehen.
Der Wortlaut ist eindeutig. Anbieter und Betreiber von KI-Systemen müssen Maßnahmen ergreifen, „um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz ihres Personals” sicherzustellen — so steht es in Art. 4 der Verordnung (EU) 2024/1689.
Diese Pflicht gilt nicht erst irgendwann. Sie ist seit dem 2. Februar 2025 anwendbar. Das ist keine Übergangsfrist, sondern geltendes Recht — überall dort, wo künstliche Intelligenz im Arbeitsalltag zum Einsatz kommt.
Wichtig: Der Begriff „Betreiber” ist in Artikel 4 der KI-VO weit gefasst und meint jedes Unternehmen, in dem KI-Systeme eingesetzt werden. Eine eigene KI-Entwicklung ist nicht erforderlich. Wer eine kommerzielle KI im Arbeitsalltag anwendet, ist betroffen. Die Verordnung wurde bereits im August 2024 in Kraft gesetzt, die KI-Kompetenz-Pflicht greift seitdem schrittweise.
Viele Inhaber kleiner Firmen winken ab. „KI Act? Das ist doch was für Tech-Konzerne.” Ein Trugschluss.
Nutzt Ihr Vertrieb ChatGPT für E-Mail-Entwürfe? Schreibt das Marketing Texte mit Copilot? Sortiert ein KI-gestütztes Recruiting-Tool Bewerbungen vor? Dann ist Art. 4 für Sie bindend — unabhängig von Mitarbeiterzahl oder Branche. Sobald in Ihrem Betrieb KI-Systeme eingesetzt werden, müssen Unternehmen die KI-Kompetenz ihres Personals sicherstellen.
Die IHK Schleswig-Holstein stellt klar: Die AI-Act-Schulung betrifft alle Mitarbeiter, die mit KI-Systemen arbeiten — nicht nur Entwickler.
Lesetipp: Dieses Thema behandelt unser kostenloses E-Book „KI sicher einsetzen — Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →
Die gute Nachricht: Der AI Act schreibt weder eine Mindeststundenzahl noch ein bestimmtes Zertifikat vor. Das hat das EU-AI-Office in seinen Q&A bestätigt. Es geht um echte Befähigung, nicht um Formalien.
KI-Kompetenz bedeutet, dass Ihr Personal KI-Systeme versteht, sinnvoll einsetzt und kritisch hinterfragt. Wer sich mit der Nutzung von KI-Systemen befasst, soll wissen, was die jeweilige Anwendung leisten kann — und wo Grenzen und Risiken liegen. Mitarbeitende, die über diese KI-Kompetenz verfügen, treffen bessere Entscheidungen und vermeiden Fehler. Auch die technischen Kenntnisse müssen nur so weit reichen, wie es die jeweilige Rolle erfordert.
Eine pauschale „KI ist gefährlich"-Mail an alle reicht nicht. Die Maßnahme muss zur jeweiligen Rolle passen — und sie muss nachweisbar sein. Ohne Dokumentation existiert die Schulung im Streitfall nicht.
Der Umfang darf pragmatisch bleiben. Für die meisten Rollen genügt eine kompakte Einführung plus eine unternehmenseigene Leitlinie zur KI-Nutzung. Bei einer Hochrisiko-KI — etwa automatisierte Systeme in Personalauswahl oder Kreditvergabe — fallen die Anforderungen höher aus. Entscheidend für die Compliance ist, dass die Inhalte sitzen und dokumentiert sind.
Halten Sie es einfach, aber lückenlos. So gehen Sie vor:
Die Aufsichts- und Sanktionsregeln des AI Act greifen ab dem 3. August 2026. Bis dahin sollten die Nachweise vorliegen. Wer jetzt startet, hat die Pflicht in Ruhe erfüllt, bevor die Behörden prüfen.
Sie kennen das Muster bereits. Nach Art. 39 DSGVO gehört die Sensibilisierung und Schulung der Mitarbeiter zu den Kernaufgaben — Datenschutz ist hier seit Jahren Pflicht. Die KI-Schulung kommt nun obendrauf.
Beide Themen überschneiden sich. KI-Tools verarbeiten oft personenbezogene Daten. Wer Copilot mit Kundendaten füttert, berührt DSGVO und die KI-VO (den AI Act) zugleich. Klassische Datenschutzschulungen sensibilisieren das Personal bereits für den Umgang mit Daten — das KI-Modul setzt genau dort an.
Bündeln Sie die Pflichten. Wer ohnehin eine DSGVO-Schulung für Mitarbeiter durchführt, hängt das AI-Act-Modul direkt an — ein Termin, zwei Nachweise. Das spart Zeit und sorgt für konsistente Dokumentation.
Ähnlich verhält es sich mit der NIS2-Schulungspflicht für Mitarbeiter und Geschäftsführung. Drei Regelwerke, ein Schulungssystem — das hält den Aufwand klein.
In Erstgesprächen merken wir immer wieder, wie sehr die Schulung von der Geschäftsleitung abhängt — und wie viel ein kurzer, direkter Draht bewirkt. Die Pflicht zur Schulung gilt für alle Personen oder Personengruppen, die KI-Anwendungen bedienen, nicht nur für die IT. Den Nachweis, dass diese Personen geschult wurden, fragt der Datenschutzbeauftragte regelmäßig ab.
Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird.
Nils OehmichenDatenschutzberater bei frag.hugo
Genau dafür ist eine strukturierte Schulungsplattform da: Sie senkt die Hemmschwelle, hält die Inhalte aktuell und liefert ganz nebenbei den Nachweis, den Aufsichtsbehörden sehen wollen.
Die KI-Schulungspflicht ist keine Zukunftsmusik — sie gilt seit Februar 2025. Wer wartet, bis die Sanktionen ab August 2026 greifen, geht ein vermeidbares Risiko ein.
Mit Hugo Learn erfüllen Sie Art. 4 EU AI Act ohne Mehraufwand: Das Modul „Sicherer Umgang mit KI-Tools (EU AI Act)” plus die monatliche KI-Lektion halten Ihr Team auf Stand. Quiz, Zertifikat und auditfester Nachweis sind inklusive — verwendbar auch für ISO 27001 oder TISAX.
KI-Kompetenz nach Art. 4 EU AI Act — auditfest mit Hugo Learn
Schulen Sie Ihr Team zu KI, DSGVO, Phishing und NIS2 auf einer Plattform. Free für bis zu 5 Mitarbeiter, dauerhaft kostenlos.
Hugo Learn kennenlernen →Sie wollen Datenschutz, Schulung und externen DSB aus einer Hand? Dann werfen Sie einen Blick auf Hugo DSB — Hugo Learn ist ab dem Standard-Tarif enthalten.
Ja. Seit dem 2. Februar 2025 verlangt Art. 4 der EU-KI-Verordnung (EU) 2024/1689, dass Anbieter und Betreiber von KI-Systemen ein ausreichendes Maß an KI-Kompetenz ihres Personals sicherstellen. Das gilt auch für KMU, die nur fertige Tools wie ChatGPT oder Microsoft Copilot nutzen.
Ja. Schon wer ChatGPT, Copilot oder ein KI-gestütztes CRM einsetzt, gilt als Betreiber eines KI-Systems und unterliegt der Pflicht aus Art. 4. Eine eigene KI-Entwicklung ist nicht nötig.
Der AI Act schreibt keine feste Stundenzahl und kein Zertifikat vor. Mitarbeiter müssen verstehen, wie KI-Systeme funktionieren, welche Risiken bestehen und wie sie die im Unternehmen genutzten Tools verantwortungsvoll bedienen — angemessen zu ihrer Rolle.
Die Pflicht gilt bereits seit dem 2. Februar 2025. Die Aufsichts- und Sanktionsregeln greifen ab dem 3. August 2026. Bis dahin sollten dokumentierte Schulungsmaßnahmen vorliegen.
Beide Pflichten überschneiden sich beim Thema Datenverarbeitung durch KI. Wer Mitarbeiter ohnehin nach Art. 39 DSGVO schult, kann das AI-Act-Modul direkt anschließen und beide Nachweise gemeinsam führen.
Art. 4 nimmt Anbieter und Betreiber von KI-Systemen in die Pflicht. Betreiber ist jedes Unternehmen, in dem KI-Systeme eingesetzt werden — vom Einzelunternehmen bis zum Konzern. Schon die Nutzung fertiger Tools wie ChatGPT oder Copilot reicht aus.
Die KI-VO nennt kein festes Intervall. Sinnvoll ist mindestens eine jährliche Auffrischung, besser eine kurze monatliche Lektion. Da sich KI-Anwendungen rasant weiterentwickeln, muss die KI-Kompetenz aktuell bleiben.
Unternehmen müssen seit dem 2. Februar 2025 sicherstellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Die Schulung muss zur Rolle passen, den verantwortungsvollen Einsatz vermitteln und dokumentiert sein. Aufsicht und Sanktionen greifen ab dem 3. August 2026.
Eine KI-Schulung erfüllt die Pflicht aus Art. 4 EU AI Act und senkt zugleich reale Risiken — etwa Datenlecks oder Fehlentscheidungen durch unkritische KI-Nutzung. Geschulte Mitarbeitende arbeiten schneller, sicherer und im Rahmen der Compliance.
Inhaltsverzeichnis
Artikel 4 EU AI Act verpflichtet seit 02.02.2025 alle Unternehmen zur KI-Schulung ihrer Mitarbeiter. Was Geschäftsführer jetzt konkret tun müssen.
Weiterlesen
Datenschutz-Roundup Juni 2026: 5 Mio. € CNIL-Bußgeld gegen IQVIA, das neue Data-Act-Durchführungsgesetz (DADG), die NIS2/KRITIS-Frist 17. Juli — nur 38,5 % registriert — und was der AI Act jetzt von KMU verlangt.
Weiterlesen
Datenschutz-Roundup Mai 2026: 120.000 Patientendaten nach Dienstleister-Hack, 100 Mio. € DSGVO-Bußgeld, KRITIS-Frist 17. Juli und der AI-Act-Fahrplan für KMU.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular
