AI Literacy Pflicht seit Februar 2025 — was Geschäftsführer jetzt tun müssen

Inhalt in Kürze

• Seit dem 2. Februar 2025 gilt Artikel 4 der EU-KI-Verordnung (AI Act): Jedes Unternehmen, das KI-Systeme einsetzt, muss für ein „ausreichendes Maß an KI-Kompetenz" seiner Mitarbeiter sorgen.
• Betroffen sind alle Betreiber – auch KMU mit drei Mitarbeitern, die ChatGPT, Microsoft Copilot oder Midjourney nutzen. Es gibt keine Bagatellgrenze.
• Geldbußen nach Art. 99 AI Act können bis zu 15 Mio. € oder 3 % des Jahresumsatzes betragen. Ab August 2026 sind die nationalen Behörden (in Deutschland: Bundesnetzagentur) befugt, Verstöße zu ahnden.
• Eine dokumentierte KI-Schulung plus Nutzungsrichtlinie ist der pragmatische Weg zur Compliance. Keine Hochschul-Weiterbildung nötig.

Sie nutzen ChatGPT, um Angebote zu formulieren. Ihre Assistentin lässt Copilot Protokolle zusammenfassen. Der Vertrieb schickt Midjourney-Bilder raus. Klingt nach Alltag in 2026? Ist es. Und seit dem 2. Februar 2025 ist es ohne dokumentierte Schulung ein Rechtsverstoß.

Laut Bitkom-Studie 2026 setzen 41 % der deutschen Unternehmen ab 20 Beschäftigten KI aktiv ein – doppelt so viele wie 2025. Weitere 48 % planen den Einsatz. Die KI-Kompetenzpflicht aus Artikel 4 EU AI Act betrifft damit praktisch jedes mittelständische Unternehmen. Die meisten Geschäftsführer wissen es nicht.

Was die AI-Literacy-Pflicht wirklich verlangt

Artikel 4 der KI-Verordnung ist kurz und unmissverständlich. Übersetzt: Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass das Personal, das diese Systeme bedient, ein ausreichendes Maß an KI-Kompetenz besitzt. Dabei sind technische Kenntnisse, die Erfahrung des Personals, Bildung und Schulung sowie der konkrete Einsatzkontext zu berücksichtigen.

Der Gesetzgeber definiert „KI-Kompetenz" als die Fähigkeiten, Kenntnisse und das Verständnis, die es erlauben, KI-Systeme sachkundig einzusetzen und sich der Chancen, Risiken und möglichen Schäden bewusst zu sein. Das ist absichtlich weit formuliert – und genau darin liegt die Krux: Es gibt keinen festen Katalog, keine Zertifikatspflicht, aber auch keinen Freifahrtschein.

Welche KI-Nutzung welche Schulungstiefe erfordert

Die Pflicht ist risikobasiert. Je sensibler der Einsatzbereich, desto mehr muss geschult werden:

Faustregel: Wer KI nur für Texte, Recherche und Bilder nutzt, braucht eine solide Grundlagen-Schulung. Wer KI entscheiden lässt – über Menschen, Zugänge, Budgets – muss deutlich tiefer gehen.

Was bei Verstößen droht

Der AI Act kennt drei Bußgeldstufen:

Für KMU ist die mittlere Stufe relevant. 3 % vom Jahresumsatz klingt nach wenig – bei 10 Mio € Umsatz sind das aber 300.000 €. Die Behörden sollen die niedrigere Grenze (absoluter Betrag oder Prozentsatz) immer zugunsten der kleineren Zahl wählen, was KMU etwas entlastet.

Wer in Deutschland zuständig ist, regelt aktuell das KI-Markt­überwachungs­gesetz-Entwurf. Vorgesehen ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde. Ab dem 2. August 2026 können erste Sanktionen verhängt werden.

„Keine Frage ist doof. Oftmals kann schon damit geholfen werden, wenn Mitarbeiter schnell mal eine Frage loswerden und diese zeitnah vom Datenschutzbeauftragten beantwortet wird. Genau das gilt jetzt auch für KI – die größten Risiken entstehen, wenn Leute Tools nutzen, ohne zu verstehen, was technisch passiert."

Nils OehmichenDatenschutzberater bei frag.hugo

4 Schritte zur AI-Literacy-Compliance

Der pragmatische Weg in der Praxis – so setzen wir es bei Mandanten um:

1. Bestandsaufnahme: Welche KI-Tools sind im Einsatz? Fragen Sie nach, ehrlich. Viele Mitarbeiter nutzen ChatGPT privat mit Firmendaten – das ist „Schatten-KI" und muss auf den Tisch.
2. Nutzungsrichtlinie verabschieden: Eine 2-seitige KI-Policy, die regelt, welche Tools erlaubt sind, welche Daten rein dürfen (keine personenbezogenen, keine Geschäftsgeheimnisse in kostenlose Modelle) und wer der Ansprechpartner ist.
3. Schulung durchführen und dokumentieren: Präsenz oder E-Learning – entscheidend ist die nachweisbare Teilnahme. Inhalte: AI-Act-Basics, konkrete Nutzungsregeln im Unternehmen, Datenschutz-Fallstricke, Halluzinationen erkennen, Urheberrecht.
4. Jährliche Auffrischung einplanen: KI entwickelt sich schnell. Ein Onboarding für neue Mitarbeiter plus eine kurze Auffrischung pro Jahr reicht für die meisten KMU – und ist gerichtsfest dokumentiert.

Aus der Praxis: Was wirklich geprüft wird

Die europäische KI-Behörde hat Anfang 2026 Auslegungshinweise zur AI Literacy veröffentlicht. Daraus lässt sich ableiten, welche Nachweise Unternehmen bereithalten sollten:

• Teilnehmerliste mit Datum und Dauer der Schulung.
• Inhaltsübersicht (Agenda der Schulung mit den behandelten Themen).
• Schriftliche KI-Nutzungsrichtlinie, die jeder Mitarbeiter unterzeichnet hat oder digital bestätigt.
• Verantwortlichkeit benennen: Eine Person (oft der Datenschutzbeauftragte oder IT-Leiter) ist für AI Compliance zuständig.
• Risikoklassifizierung der eingesetzten KI-Systeme (Grundlagen-Tool vs. Hochrisiko-KI).

Unsere Erfahrung aus DSGVO-Audits: Behörden fragen selten nach perfekter Pädagogik. Sie wollen sehen, dass Sie das Thema systematisch und nachvollziehbar angegangen sind. Ein einseitiges Schulungsprotokoll mit Inhalt, Teilnehmern und Unterschrift schlägt eine mündliche „Wir reden im Team auch mal über KI" um Längen.

Sonderfall: Hochrisiko-KI

Wenn Sie KI einsetzen, die Menschen direkt betrifft – etwa Bewerber-Vorsortierung, Kreditentscheidungen oder Leistungsbewertungen – gelten strengere Regeln. Solche Systeme sind Hochrisiko-KI nach Anhang III des AI Act. Hier sind Datenschutz-Folgenabschätzung, Logging, menschliche Aufsicht und intensivere Schulung Pflicht. Wenn das auf Sie zutrifft: sprechen Sie uns an, bevor die Behörde es tut.

Ihr nächster Schritt

Wie der AI Act auf andere KMU-Themen wirkt, haben wir in unseren Artikeln zu AI Act für KMU und ChatGPT unter dem EU AI Act im Detail erklärt. Wer gleichzeitig DSGVO-Themen prüfen möchte, findet in unserer DSGVO-Checkliste 2026 die häufigsten Fehler im Mittelstand.

Häufige Fragen (FAQ)

Ab wann gilt die AI-Literacy-Pflicht?

Die Pflicht aus Artikel 4 EU AI Act gilt seit dem 2. Februar 2025. Sanktioniert werden kann ab dem 2. August 2026, wenn die nationalen Marktüberwachungsbehörden ihre Befugnisse erhalten.

Zählt ChatGPT, Copilot oder Midjourney auch?

Ja. Sobald Ihr Unternehmen ein KI-System „im Rahmen seiner Tätigkeit" einsetzt, sind Sie Betreiber im Sinne des AI Act. Das gilt für die Gratisversion von ChatGPT genauso wie für integrierte Copilot-Lizenzen oder Bild-KIs.

Wie muss ich Schulungen dokumentieren?

Teilnehmerliste, Datum, Dauer, Inhaltsübersicht und eine unterzeichnete KI-Nutzungsrichtlinie genügen in den meisten KMU. Eine amtliche Form schreibt der AI Act nicht vor – nachvollziehbar und systematisch muss es sein.

Muss jeder einzelne Mitarbeiter geschult werden?

Nur die, die KI-Systeme tatsächlich bedienen oder deren Ausgaben nutzen. In Büroumgebungen betrifft das mittlerweile fast alle – Empfang, Vertrieb, Buchhaltung, Geschäftsleitung. Eine pauschale Basis-Schulung für das gesamte Team ist meist die effizienteste Lösung.

Was kostet eine AI-Literacy-Schulung für ein KMU?

Zwischen 500 € und 3.000 € für eine einmalige Präsenz- oder Online-Schulung, abhängig von Teamgröße und Tiefe. Als Paket mit Nutzungsrichtlinie und Dokumentation deutlich günstiger, als wenn Sie jeden Baustein einzeln einkaufen.

Was passiert bei einem Verstoß gegen Artikel 4?

Nach Artikel 99 AI Act drohen Bußgelder bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes – je nachdem, welcher Betrag niedriger ist. Für KMU gilt die jeweils günstigere Grenze. Wichtiger als die Zahl: Ein Verstoß wird in laufenden DSGVO- oder Haftungsverfahren mitgewertet.