KI-Schulungspflicht nach AI Act

In den letzten Monaten ist Künstliche Intelligenz zum festen Bestandteil des Arbeitsalltags geworden — vom Texten über Bilderstellung bis zur Datenanalyse. ChatGPT, Microsoft Copilot, Midjourney und dutzende weitere KI-Tools haben die Art und Weise verändert, wie Unternehmen arbeiten. Was dabei oft übersehen wird: Mit der KI-Verordnung der EU (AI Act) kommen neue Pflichten. Dazu gehört, dass Mitarbeitende, die mit KI-Systemen arbeiten, entsprechend geschult werden müssen.

Die KI-Schulungspflicht nach dem AI Act betrifft nicht nur Technologieunternehmen oder Hochrisikoanwendungen. Jedes Unternehmen, das KI-Systeme einsetzt — und das sind inzwischen fast alle — muss sicherstellen, dass seine Beschäftigten über ausreichende KI-Kompetenz verfügen. Die Anforderung gilt seit dem 2. Februar 2025 und wird von den nationalen Aufsichtsbehörden überwacht.

Als Datenschutzberater mit über 20 Jahren IT-Erfahrung unterstützt die DATUREX GmbH Unternehmen in Sachsen und deutschlandweit bei der Umsetzung der neuen KI-Regulierung — von der Bestandsaufnahme bis zur zertifizierten Schulung. Auf dieser Seite erklären wir, was der AI Act konkret fordert, wen die AI Act Schulungspflicht betrifft und wie Sie Ihr Unternehmen rechtssicher aufstellen.

Was fordert der AI Act zur KI-Kompetenz?

Die Grundlage der KI-Schulungspflicht findet sich in Art. 4 der KI-Verordnung (AI Act) unter dem Begriff „AI Literacy“ — auf Deutsch: KI-Kompetenz. Dieser Artikel verlangt von Anbietern und Betreibern von KI-Systemen, dass sie Maßnahmen ergreifen, um ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitenden sicherzustellen.

Der Wortlaut von Art. 4 AI Act

Art. 4 der KI-Verordnung lautet sinngemäß: „Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen.“

Dabei sind folgende Aspekte zu berücksichtigen:

• Technische Kenntnisse der eingesetzten KI-Systeme
• Erfahrung und Ausbildung der betroffenen Personen
• Einsatzkontext und Zweck, für den die KI-Systeme genutzt werden
• Personengruppen, die von den KI-Systemen betroffen sind

Wer ist betroffen? ALLE Unternehmen, die KI nutzen!

Ein weit verbreiteter Irrtum ist, dass die KI-Verordnung Schulung nur Unternehmen betrifft, die Hochrisiko-KI-Systeme entwickeln oder betreiben. Das Gegenteil ist der Fall: Art. 4 AI Act gilt für alle Risikoklassen — auch für KI-Systeme mit minimalem oder keinem Risiko.

Das bedeutet konkret: Wenn Ihre Mitarbeiter ChatGPT für Texterstellung nutzen, Microsoft Copilot in Office einsetzen oder KI-basierte Tools für Marketing, HR oder Buchhaltung verwenden, greift die Schulungspflicht. Die KI-Kompetenz AI Act-Anforderung unterscheidet nicht zwischen großen Konzernen und kleinen Betrieben.

Ab wann gilt die KI-Schulungspflicht?

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten. Die verschiedenen Bestimmungen gelten gestaffelt:

• 2. Februar 2025: Verbotene KI-Praktiken (Art. 5) und die KI-Kompetenzpflicht (Art. 4) gelten
• 2. August 2025: Anforderungen an KI-Modelle für allgemeine Zwecke (GPAI)
• 2. August 2026: Vollständige Anwendung für Hochrisiko-KI-Systeme

Die Schulungspflicht nach Art. 4 AI Act gilt also bereits seit dem 2. Februar 2025. Unternehmen, die noch keine Maßnahmen ergriffen haben, befinden sich bereits in einem potenziellen Compliance-Verstoß. Die Dringlichkeit ist hoch — die Übergangsfristen für die allgemeine KI-Kompetenz sind bereits abgelaufen.

Im Gegensatz zu anderen Teilen der KI-Verordnung gibt es für Art. 4 keine weitere Schonfrist. Unternehmen müssen jetzt handeln, um compliant zu sein. Als Ihr Partner für Datenschutz im Unternehmen unterstützen wir Sie bei der zeitnahen Umsetzung.

Wer muss geschult werden?

Die KI-Schulungspflicht betrifft alle Personen in einem Unternehmen, die direkt oder indirekt mit KI-Systemen in Berührung kommen. Das umfasst weit mehr als nur die IT-Abteilung:

Führungskräfte und Geschäftsleitung

Entscheidungsträger müssen verstehen, welche KI-Systeme im Unternehmen eingesetzt werden, welche Risiken damit verbunden sind und welche regulatorischen Pflichten bestehen. Sie tragen die Gesamtverantwortung für die Compliance.

IT-Abteilung und Entwickler

IT-Fachkräfte benötigen vertiefte technische Kenntnisse über die Funktionsweise, Grenzen und Sicherheitsaspekte der eingesetzten KI-Systeme. Sie müssen in der Lage sein, technische und organisatorische Maßnahmen für KI-Systeme zu implementieren.

Marketing und Kommunikation

Marketing-Teams nutzen KI-Tools für Content-Erstellung, Bildgenerierung, Kampagnenoptimierung und Kundensegmentierung. Sie müssen Kennzeichnungspflichten, Urheberrechtsfragen und die Grenzen KI-generierter Inhalte verstehen.

Personalabteilung (HR)

KI im Recruiting (automatisierte Bewerberauswahl, CV-Screening) ist ein Hochrisikobereich nach dem AI Act. HR-Mitarbeiter benötigen spezielle Schulungen zu Diskriminierungsrisiken und den Anforderungen an Beschäftigtendatenschutz im KI-Kontext.

Vertrieb und Kundenservice

KI-gestützte CRM-Systeme, Chatbots und automatisierte Kommunikation erfordern Wissen über Transparenzpflichten gegenüber Kunden und den datenschutzkonformen Umgang mit personenbezogenen Daten.

Externe Mitarbeiter und Dienstleister

Die Schulungspflicht erstreckt sich auch auf Personen, die im Auftrag des Unternehmens mit KI-Systemen arbeiten — etwa Freelancer, Zeitarbeiter oder Partnerunternehmen. Hier empfiehlt sich eine vertragliche Absicherung der KI-Kompetenz.

Was müssen die Schulungen beinhalten?

Der AI Act gibt keinen starren Lehrplan vor, sondern fordert angemessene Maßnahmen, die auf den jeweiligen Kontext abgestimmt sind. Auf Basis der Verordnung, der Empfehlungen des AI Office und bewährter Praxis sollten KI-Schulungen für Unternehmen folgende Inhalte abdecken:

1. KI-Grundlagen und Funktionsweise

• Was ist Künstliche Intelligenz? Unterschied Machine Learning, Deep Learning, Generative KI
• Wie funktionieren große Sprachmodelle (LLMs) wie ChatGPT?
• Stärken und Grenzen aktueller KI-Systeme
• Was sind Halluzinationen und warum entstehen sie?

2. Risiken und Gefahren von KI

• Bias und Diskriminierung in KI-Systemen
• Desinformation und Deepfakes
• Datenlecks durch KI-Tools (z. B. Eingabe vertraulicher Daten in ChatGPT)
• Manipulation und Social Engineering mit KI
• Übervertrauen in KI-Ergebnisse (Automation Bias)

3. Ethische Aspekte

• Verantwortungsvoller Umgang mit KI-generierten Inhalten
• Transparenz und Kennzeichnungspflichten
• Menschliche Aufsicht und Kontrolle
• Fairness und Nichtdiskriminierung

4. Datenschutz und KI

• DSGVO-Anforderungen beim Einsatz von KI-Tools
• Rechtsgrundlagen für KI-basierte Datenverarbeitung
• Keine personenbezogenen Daten in externe KI-Tools eingeben
• Datenschutz-Folgenabschätzung für KI-Systeme
• Betroffenenrechte bei automatisierter Entscheidungsfindung

5. Branchenspezifische KI-Anwendungen

• Praxisbeispiele aus der eigenen Branche
• Erlaubte und verbotene Anwendungsfälle
• Best Practices für den KI-Einsatz im Arbeitsalltag
• Unternehmensinterne KI-Richtlinie und Nutzungsbedingungen

6. Erkennung von KI-generierten Inhalten

• Wie erkennt man KI-generierte Texte, Bilder und Videos?
• Tools zur KI-Erkennung und deren Grenzen
• Umgang mit potenziell KI-generierten Bewerbungen, Referenzen oder Dokumenten

KI-Schulung und Datenschutz — Das Zusammenspiel von AI Act und DSGVO

Die KI-Schulungspflicht steht nicht isoliert, sondern ergänzt bestehende datenschutzrechtliche Anforderungen. Das Zusammenspiel von AI Act und DSGVO ist für Unternehmen besonders relevant:

Art. 22 DSGVO — Automatisierte Entscheidungen

Art. 22 DSGVO gibt betroffenen Personen das Recht, nicht einer ausschließlich auf automatisierter Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet. Wer KI-Systeme für Personalentscheidungen, Kreditvergabe oder Vertragsentscheidungen nutzt, muss sicherstellen, dass Mitarbeiter diese Anforderung kennen und umsetzen können.

Datenschutz-Folgenabschätzung (DSFA) für KI-Systeme

Der Einsatz von KI-Systemen erfordert in vielen Fällen eine DSFA nach Art. 35 DSGVO. Dies gilt insbesondere bei:

• Systematischer und vollständiger Bewertung persönlicher Aspekte (Profiling)
• Umfangreicher Verarbeitung besonderer Datenkategorien
• Systematischer Überwachung öffentlich zugänglicher Bereiche
• Einsatz neuer Technologien mit hohem Risiko für die Rechte natürlicher Personen

Rechenschaftspflicht und Dokumentation

Sowohl der AI Act als auch die DSGVO (Art. 5 Abs. 2) fordern eine vollständige Dokumentation. Unternehmen müssen nachweisen können, dass sie angemessene Schulungsmaßnahmen ergriffen haben. Diese Dokumentationspflicht wird bei einer Prüfung durch Aufsichtsbehörden relevant.

Auftragsverarbeitung bei KI-Diensten

Werden externe KI-Dienste genutzt (z. B. OpenAI API, Microsoft Azure AI), handelt es sich datenschutzrechtlich häufig um eine Auftragsverarbeitung nach Art. 28 DSGVO. Mitarbeiter müssen wissen, welche Daten sie in welche Systeme eingeben dürfen — und welche nicht. Erfahren Sie mehr über das Datenschutzmanagement im Unternehmen.

Bußgelder bei Nicht-Einhaltung der KI-Schulungspflicht

Der AI Act sieht ein abgestuftes Sanktionssystem vor, das sich am Vorbild der DSGVO orientiert — jedoch teilweise noch außerdemgeht:

Sanktionsstufen des AI Act

Verstoß	Maximales Bußgeld
Verbotene KI-Praktiken (Art. 5)	35 Mio. € oder 7 % des Jahresumsatzes
Verstoß gegen sonstige Pflichten (inkl. Art. 4 KI-Kompetenz)	15 Mio. € oder 3 % des Jahresumsatzes
Falsche Angaben gegenüber Behörden	7,5 Mio. € oder 1 % des Jahresumsatzes

Die KI-Kompetenzpflicht nach Art. 4 fällt in die mittlere Sanktionsstufe: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für KMU und Start-ups sieht die Verordnung verhältnismäßige Bußgelder vor, die jedoch immer noch empfindlich sein können.

Neben den finanziellen Sanktionen drohen weitere Konsequenzen:

• Marktverbot für nicht-konforme KI-Systeme
• Reputationsschäden durch öffentliche Bekanntmachung von Verstößen
• Haftungsrisiken bei KI-bedingten Schäden gegenüber Dritten
• Kumulation mit DSGVO-Bußgeldern bei parallelen Datenschutzverstößen

Die nationalen Aufsichtsbehörden werden derzeit in den EU-Mitgliedstaaten eingerichtet bzw. bestehende Behörden mit den neuen Aufgaben betraut. In Deutschland wird die Zuständigkeit voraussichtlich bei der Bundesnetzagentur liegen, die bereits als nationale KI-Aufsicht benannt wurde.

Checkliste: KI-Schulungspflicht im Unternehmen umsetzen

Die folgende 10-Punkte-Checkliste hilft Ihnen, die AI Act Schulungspflicht systematisch in Ihrem Unternehmen umzusetzen. Arbeiten Sie die Punkte Schritt für Schritt ab und dokumentieren Sie jeden Fortschritt:

✅ 1. Bestandsaufnahme aller KI-Tools

Erfassen Sie sämtliche KI-Systeme, die in Ihrem Unternehmen eingesetzt werden — von ChatGPT über Microsoft Copilot bis hin zu KI-Funktionen in bestehender Software (CRM, HR-Tools, Marketing-Plattformen). Viele Mitarbeiter nutzen KI-Tools, ohne dass die Geschäftsleitung davon weiß (Schatten-KI).

✅ 2. Risikoklassifizierung nach AI Act

Ordnen Sie jedes KI-System einer Risikokategorie zu: verboten, Hochrisiko, begrenztes Risiko oder minimales Risiko. Die Klassifizierung bestimmt die Tiefe der erforderlichen Schulungen und die weiteren Compliance-Pflichten.

✅ 3. Schulungsbedarf ermitteln

Identifizieren Sie, welche Mitarbeiter, Abteilungen und externen Partner mit welchen KI-Systemen arbeiten. Leiten Sie daraus den individuellen Schulungsbedarf ab — Führungskräfte brauchen andere Inhalte als Sachbearbeiter.

✅ 4. KI-Richtlinie erstellen

Entwickeln Sie eine unternehmensinterne KI-Nutzungsrichtlinie, die klare Regeln aufstellt: Welche KI-Tools sind erlaubt? Welche Daten dürfen eingegeben werden? Welche Ergebnisse müssen geprüft werden? Wer ist Ansprechpartner bei Fragen?

✅ 5. Schulungskonzept entwickeln

Erstellen Sie ein mehrstufiges Schulungskonzept: Basis-Schulung für alle Mitarbeiter, vertiefende Schulungen für KI-intensive Abteilungen, Spezialschulungen für IT und Datenschutzbeauftragte. Planen Sie sowohl Präsenz- als auch Online-Formate ein.

✅ 6. Schulungen durchführen

Setzen Sie das Schulungskonzept um. Achten Sie auf praxisnahe Inhalte mit konkreten Beispielen aus dem Arbeitsalltag. Rein theoretische Vorträge bleiben wirkungslos. Binden Sie interaktive Elemente und Übungen ein.

✅ 7. Verständnis überprüfen

Stellen Sie sicher, dass die Schulungsinhalte verstanden wurden — etwa durch kurze Tests, Fallbeispiele oder Zertifikate. Dies ist auch für die Dokumentation gegenüber Aufsichtsbehörden wichtig.

✅ 8. Dokumentation sicherstellen

Dokumentieren Sie alle Schulungsmaßnahmen lückenlos: Teilnehmerlisten, Schulungsinhalte, Datum, Dauer, Trainer, Testergebnisse. Diese Dokumentation ist Ihr Nachweis bei Aufsichtsprüfungen.

✅ 9. Regelmäßige Updates einplanen

Die KI-Landschaft entwickelt sich rasant. Planen Sie mindestens jährliche Auffrischungsschulungen und anlassbezogene Updates ein — etwa bei Einführung neuer KI-Tools, bei regulatorischen Änderungen oder nach KI-bezogenen Vorfällen.

✅ 10. KI-Verantwortlichen benennen

Bestimmen Sie eine Person oder Stelle, die für die KI-Governance in Ihrem Unternehmen verantwortlich ist. Diese koordiniert Schulungen, pflegt das KI-Verzeichnis und ist Anlaufstelle bei Fragen. Idealerweise arbeitet diese Person eng mit dem Datenschutzbeauftragten zusammen.

DATUREX KI-Schulungen — Praxisnah, zertifiziert, datenschutzkonform

Die DATUREX GmbH bietet speziell auf den AI Act abgestimmte KI-Schulungen für Unternehmen an. Unsere Trainer sind TÜV-, BSI- und IHK-zertifizierte Datenschutzexperten mit über 20 Jahren IT-Erfahrung und fundiertem KI-Know-how.

Unsere Schulungsangebote

🎯 KI-Grundlagen für Führungskräfte

Kompakte Einführung in Künstliche Intelligenz, den AI Act und die unternehmerischen Pflichten. Dauer: 3 Stunden. Zielgruppe: Geschäftsleitung, Abteilungsleiter, Compliance-Verantwortliche. Inhalte: KI-Basics, Risikoklassifizierung, Haftung, Governance-Strukturen.

🔒 KI & Datenschutz Workshop

Vertiefender Workshop zum Zusammenspiel von AI Act und DSGVO. Dauer: 4 Stunden. Zielgruppe: Datenschutzbeauftragte, IT-Leiter, Compliance-Manager. Inhalte: DSFA für KI, Art. 22 DSGVO, Auftragsverarbeitung bei KI-Diensten, Dokumentationspflichten, Betroffenenrechte.

💻 Praxisworkshop: ChatGPT & Copilot datenschutzkonform nutzen

Hands-on-Workshop für den sicheren und produktiven Einsatz von generativer KI im Arbeitsalltag. Dauer: 4 Stunden. Zielgruppe: Alle Mitarbeiter, die KI-Tools nutzen. Inhalte: Sichere Prompting-Techniken, Datenschutz-Dos und -Don’ts, unternehmensinterne Richtlinien, praktische Übungen.

⚠️ KI-Risikoanalyse für Ihr Unternehmen

Individuelle Analyse Ihrer KI-Systemlandschaft mit Risikoklassifizierung nach AI Act, Gap-Analyse und konkretem Maßnahmenplan. Dauer: nach Umfang. Ergebnis: Dokumentierter Compliance-Status, priorisierte Handlungsempfehlungen, Schulungsfahrplan.

Alle Schulungen sind verfügbar als Präsenzveranstaltung (Dresden, Leipzig, Chemnitz, sachsenweit), als Online-Live-Schulung oder als Inhouse-Training in Ihrem Unternehmen. Auf Wunsch erstellen wir auch individuelle E-Learning-Module für Ihre Mitarbeiter.

Außerdem unterstützt unser Partnerunternehmen App & Web Entwicklung bei der technischen Implementierung datenschutzkonformer KI-Lösungen — von der lokalen KI-Installation bis zur Enterprise-Integration.

Häufig gestellte Fragen (FAQ) zur KI-Schulungspflicht

Gilt die Schulungspflicht auch für die Nutzung von ChatGPT?

Ja, die KI-Kompetenzpflicht nach Art. 4 AI Act gilt für alle KI-Systeme — unabhängig von der Risikoklasse. ChatGPT, Microsoft Copilot, Google Gemini, Midjourney und andere generative KI-Tools fallen eindeutig unter den Begriff „KI-System“ im Sinne der Verordnung. Sobald Mitarbeiter solche Tools dienstlich nutzen, muss der Arbeitgeber für ausreichende Schulung sorgen.

Welche Strafen drohen bei fehlender KI-Schulung?

Verstöße gegen die Schulungspflicht können mit Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes geahndet werden — je nachdem, welcher Betrag höher ist. Die nationalen Aufsichtsbehörden haben dabei einen Ermessensspielraum und berücksichtigen Faktoren wie Unternehmensgröße, Art des Verstoßes und ergriffene Gegenmaßnahmen.

Reicht eine einmalige KI-Schulung aus?

Nein, eine einmalige Schulung genügt den Anforderungen des AI Act in der Regel nicht. Die Verordnung verlangt ein „ausreichendes Maß“ an KI-Kompetenz, was eine kontinuierliche Anpassung an neue Entwicklungen voraussetzt. Angesichts der rasanten Weiterentwicklung von KI-Technologien empfehlen wir mindestens jährliche Auffrischungsschulungen sowie anlassbezogene Updates bei der Einführung neuer KI-Tools.

Muss ich die KI-Nutzung im Unternehmen dokumentieren?

Die Dokumentation der KI-Nutzung ist auf mehreren Ebenen empfehlenswert und teilweise vorgeschrieben. Erstens verlangt der AI Act die Dokumentation von KI-Systemen (insbesondere bei Hochrisiko-KI). Zweitens erfordert die DSGVO die Aufnahme KI-basierter Verarbeitungen in das Verarbeitungsverzeichnis. Drittens müssen Schulungsmaßnahmen dokumentiert werden, um die Einhaltung der KI-Kompetenzpflicht nachweisen zu können.

Was ist mit Open-Source-KI — gilt die Pflicht auch hier?

Ja, die KI-Schulungspflicht gilt unabhängig davon, ob kommerzielle oder Open-Source-KI-Systeme eingesetzt werden. Ob Sie LLaMA, Mistral, Stable Diffusion oder andere Open-Source-Modelle nutzen — Ihre Mitarbeiter müssen dennoch geschult werden. Bei selbst gehosteten Open-Source-Modellen kommen zusätzlich Betreiberpflichten nach dem AI Act hinzu.

Brauche ich einen KI-Beauftragten?

Der AI Act schreibt — anders als die DSGVO beim Datenschutzbeauftragten — keinen eigenen „KI-Beauftragten“ vor. Dennoch empfehlen wir dringend, eine verantwortliche Person oder Stelle für die KI-Governance zu benennen. In vielen Unternehmen bietet es sich an, diese Aufgabe dem Datenschutzbeauftragten oder einem Compliance-Beauftragten zu übertragen, da sich die Themengebiete stark überschneiden. Die DATUREX GmbH übernimmt diese Aufgabe gerne im Rahmen einer externen Beratung.