KI

Die KI-Pflicht, die fast jeder Mittelständler übersieht

Seit Februar 2025 verlangt der EU AI Act von jedem Unternehmen, das KI nutzt, ausreichende KI-Kompetenz der Mitarbeiter. Was die Pflicht bedeutet, was nicht, und warum Abwarten der falsche Reflex ist.

Die KI-Pflicht, die fast jeder Mittelständler übersieht
3 Min. Lesezeit

Die meisten Mittelständler, mit denen ich spreche, gehen davon aus, dass der EU AI Act sie nichts angeht. Das sei eine Sache für große Tech-Konzerne und KI-Hersteller. Das ist ein Irrtum, und er kann teuer werden.

Seit Februar 2025 gilt mit Artikel 4 der KI-Verordnung eine Pflicht, die praktisch jedes Unternehmen betrifft, das KI einsetzt. Nicht nur die, die KI entwickeln, sondern auch die, die sie nur nutzen. Und nutzen tun sie inzwischen fast alle, oft ohne es bewusst entschieden zu haben.

Was Artikel 4 tatsächlich verlangt

Der Kern ist schlicht: Wer KI-Systeme im Unternehmen einsetzt, muss sicherstellen, dass die Menschen, die damit arbeiten, über ausreichende KI-Kompetenz verfügen. Das gilt für die eigenen Mitarbeiter und für Personen, die in Ihrem Auftrag mit KI arbeiten. Es gilt unabhängig davon, wie risikoreich die eingesetzte KI ist. Ein Chatbot für Textentwürfe fällt genauso darunter wie eine KI, die Personalentscheidungen vorbereitet.

Wichtig ist, was die Pflicht nicht verlangt. Sie schreibt kein bestimmtes Schulungsformat vor, kein Zertifikat, keine Mindeststundenzahl. Der Gesetzgeber lässt bewusst offen, wie Sie die Kompetenz herstellen. Das schafft Freiheit und Unsicherheit zugleich.

Was bei einem Verstoß passiert, und was nicht

Hier wird es interessant, weil das verbreitete Bild falsch ist. Es gibt kein direktes Bußgeld speziell für einen Verstoß gegen Artikel 4. Wer keine KI-Kompetenz-Maßnahmen ergreift, bekommt nicht automatisch eine Strafe.

Die Kosten entstehen indirekt, und das macht sie nicht kleiner. Wenn durch mangelnde KI-Kompetenz ein Schaden entsteht, etwa ein Datenschutzvorfall oder eine fehlerhafte automatisierte Entscheidung, lässt sich die fehlende Schulung als Verletzung der Sorgfaltspflicht auslegen. Im Haftungsfall steht ein Unternehmen, das nachweislich geschult und dokumentiert hat, deutlich besser da als eines, das nichts getan hat. Dazu kommt: Unkontrollierte KI-Nutzung erzeugt eigene DSGVO-Risiken mit eigenen Bußgeldern. Die behördliche Durchsetzungs-Mechanik des AI Act greift ohnehin gestaffelt und verschärft sich über die kommenden Jahre.

Warum Abwarten der falsche Reflex ist

Viele Geschäftsführer hören kein direktes Bußgeld und legen das Thema beiseite. Das ist verständlich und kurzsichtig.

Der eigentliche Grund zu handeln ist nicht das Gesetz. Es ist die Tatsache, dass die Kompetenz wirklich fehlt. Wer seine Leute nicht schult, hat nicht nur ein Compliance-Problem, sondern verschenkt Produktivität und produziert Risiko. Das Gesetz beschreibt nur eine Lücke, die ohnehin da ist. Die Pflicht ist eher ein Anlass, etwas Überfälliges zu tun, als eine zusätzliche Bürde.

Was konkret zu tun ist

Drei Schritte genügen für den Anfang:

Bestandsaufnahme. Wer im Betrieb nutzt welche KI wofür, und wie kompetent? Das ist dieselbe Bestandsaufnahme, die auch das Schatten-KI-Problem sichtbar macht. Ein Aufwand, zwei Erkenntnisse.

Gestufte Schulung. Nicht jeder braucht dasselbe. Eine Geschäftsführerin muss strategische und rechtliche Aspekte verstehen, eine Sachbearbeiterin die sichere Bedienung im Alltag, ein Entwickler die technische Tiefe. Schulung nach Rolle, nicht nach Gießkanne.

Dokumentation. Halten Sie fest, was Sie getan haben. Im Haftungsfall zählt der Nachweis, dass Sie angemessene Maßnahmen ergriffen haben. Eine kurze Dokumentation genügt, sie muss nur existieren.

Der Kern

Der EU AI Act ist kein Bürokratie-Monster, das man fürchten muss, und auch kein Papiertiger, den man ignorieren kann. Artikel 4 zwingt Sie, etwas zu tun, das sich ohnehin lohnt: Ihre Leute kompetent und sicher mit KI arbeiten zu lassen. Wer das als reines Compliance-Häkchen abhakt, verschenkt den eigentlichen Nutzen. Wer es als Anlass nimmt, KI im Betrieb endlich zu ordnen, erfüllt die Pflicht nebenbei.

Marc Schraepler von Gerlach

Ich helfe Mittelständlern, KI praxistauglich und DSGVO-konform umzusetzen. In die bestehenden Systeme integriert, gebaut statt nur beraten.

© 2026 Marc Schraepler von Gerlach