EU AI Act Artikel 4: was Mittelstand wirklich tun muss

Seit dem 2. Februar 2025 gilt Artikel 4 der EU-KI-Verordnung. Wer KI-Systeme im Unternehmen einsetzt, ist verpflichtet, ausreichende KI-Kompetenz im Team aufzubauen. Punkt. Keine Übergangsfrist mehr, keine Ausnahme für „wir nutzen ChatGPT nur ab und zu”.

In den ersten Monaten habe ich in fünf Beratungen mit Mittelstandsgeschäftsführern den gleichen Satz gehört: „Das wird schon nicht so heiß gegessen wie gekocht.” Es lohnt sich, das nüchtern zu sortieren.

Was Artikel 4 wirklich sagt

Der Wortlaut, übersetzt aus Brüsseler Juristen-Englisch: Anbieter und Betreiber von KI-Systemen ergreifen die für ihren Anwendungsfall angemessenen Maßnahmen, um sicherzustellen, dass ihr Personal mit ausreichender KI-Kompetenz ausgestattet ist.

Drei Stichworte sind hier entscheidend.

Betreiber, nicht nur Anbieter. Sie sind Betreiber, sobald Sie Claude, ChatGPT, Copilot oder irgendein anderes System in Ihrem Büro produktiv einsetzen. Auch wenn der Anbieter Anthropic, OpenAI oder Microsoft heißt.

Angemessen für den Anwendungsfall. Eine Hausverwaltung, deren Mitarbeitende KI für E-Mail-Triage nutzen, braucht eine andere Schulung als eine Kanzlei, die KI für Vertragsanalyse einsetzt. Der Gesetzgeber verlangt nicht eine pauschale Schulung, sondern eine, die zu Ihrem Risiko-Profil passt.

Ausreichend, nicht „erschöpfend”. Sie müssen nicht jeden Mitarbeitenden zum KI-Forscher machen. Aber Sie müssen nachweisen können, dass Ihre Belegschaft die Werkzeuge versteht, die sie täglich nutzt.

Was kein Nachweis ist

Ein paar Punkte aus der Beratungspraxis, an denen Geschäftsführer in eine falsche Sicherheit verfallen.

Eine zehnminütige Tool-Demo in der Mitarbeiterversammlung. Reicht nicht. Es gibt keine Dokumentation, keine Inhaltskontrolle, keine Teilnahmebestätigung.

Ein YouTube-Tutorial, das jeder „mal anschauen soll”. Reicht nicht. Es gibt keinen Nachweis, dass es angeschaut wurde, und keine Anpassung an Ihre Branche.

Ein gekaufter Online-Kurs ohne Branchenbezug. Grenzwertig. Erfüllt formal die Schulungspflicht, aber die ist „angemessen für den Anwendungsfall” zu interpretieren. Eine generische KI-Grundlagen-Lerneinheit deckt das nicht ab, wenn Sie KI für Mandantengeheimnisse oder Eigentümerdaten einsetzen.

Eine schriftliche Anweisung, „KI nicht für sensible Daten zu nutzen”. Reicht nicht. Anweisungen sind keine Schulung. Die Mitarbeitenden müssen verstehen, warum, was sensible Daten sind und wie sie konkret damit umgehen.

Was wirklich nachweisfähig ist

Eine strukturierte Schulung, die folgende Elemente dokumentiert.

Datum, Dauer und Teilnehmerliste mit Unterschrift oder digitalem Acknowledgement. Themenliste mit klar erkennbarem Branchenbezug. Materialien, die Teilnehmenden mitgegeben werden. Verständnisprüfung am Ende, kurz, aber dokumentiert. Aktualisierungs-Mechanismus, wenn die Werkzeuge oder Vorschriften sich ändern.

Klingt nach Bürokratie. Ist es aber nicht. Ein gut aufgesetztes Schulungsprotokoll umfasst zwei Seiten und nimmt Ihnen im nächsten Audit wertvolle Wochen Stress ab.

Wann die Aufsicht zuschlägt

Die wahre Frage ist nicht „darf ich”? Sondern „wann werde ich konkret kontrolliert”? Die Antwort ist nüchtern.

Aktiv und proaktiv kontrollieren die deutschen Aufsichtsbehörden den KMU-Bereich heute kaum. Die personellen Ressourcen reichen schlicht nicht aus.

Reaktiv aber wird kontrolliert. Drei typische Auslöser.

Ein Mitarbeiter beschwert sich bei der Datenschutzbehörde, weil sensible Daten an ChatGPT geschickt wurden. Die Behörde fragt die Schulungs-Nachweise an. Sie haben drei Wochen Zeit.

Ein Versicherer fordert im Rahmen einer D&O- oder Cyber-Versicherung den KI-Schulungs-Nachweis nach einem Schadensfall. Keine Doku, keine Deckung.

Eine Berufskammer (Anwaltskammer, Steuerberaterkammer, Wirtschaftsprüferkammer) ergänzt KI-Pflichtfortbildungen im Rahmen der CPD-Stunden. Spätestens dann wird der Nachweis Standard.

Wie ich es in der Beratung mache

Wenn ich eine Schulung einsetze, sind das immer zwei Module.

Modul 1, halbtags, für Geschäftsführung und Beirat. Was KI heute kann, was nicht. EU AI Act Pflichten in einem Atemzug erklärt. Investitions-Entscheidungs-Framework. Welche Fragen Sie Ihrem KI-Berater stellen sollten, bevor Sie unterschreiben.

Modul 2, ganztags, für Mitarbeitende und IT-Verantwortliche. Hands-on Claude im Tagesgeschäft. Was darf in die KI rein, was nicht. Prompt Injection erkennen. Datenschutz, AVV, EU-Hosting. Audit-Spur dokumentieren. Teilnahme wird mit Datum, Themen und Stunden in einem Schulungs-Protokoll erfasst, das für jede Aufsicht tragfähig ist.

Das Ergebnis: Sie haben einen Stempel, den Sie der Anwaltskammer, der Berufshaftpflicht oder im Worst Case der Aufsicht hinlegen können.

Was kostet das Nicht-Tun?

Rein rechtlich: bis zu fünfzehn Millionen Euro oder drei Prozent vom weltweiten Jahresumsatz für Verstöße. Praktisch werden solche Summen im KMU-Bereich nicht ausgerufen. Aber zwanzigtausend bis hunderttausend Euro sind in Diskussion, wenn ein Datenschutzvorfall zum Beweis fehlender KI-Kompetenz-Schulung führt.

Reputationell: Eine Hausverwaltung, die mit der Eigentümergemeinschaft erklären muss, warum sensible WEG-Daten in einem amerikanischen Sprachmodell verarbeitet wurden, ohne dass die Mitarbeitenden darauf geschult waren, hat ein anderes Vertrauens-Problem als Bußgelder.

Operativ am teuersten: Wenn der Datenschutzbeauftragte oder der Beirat KI im Haus blockiert, weil keine Schulung vorliegt. Aus der Pflicht-Schulung wird so eine Verhinderungs-Schulung.

Konkret heute

Wenn Sie heute KI-Werkzeuge produktiv im Büro nutzen und keinen Schulungs-Nachweis haben, ist Ihre nächste konkrete Maßnahme: einen Termin mit jemandem machen, der Sie schulungstauglich aufstellt.

Im Gespräch klären wir gemeinsam, ob Ihre aktuelle Praxis tragfähig ist, was nachgeholt werden muss und in welcher Reihenfolge.