Zuletzt aktualisiert: 9. 7. 2026 — Peter Fürsicht, zertifizierter DSB

Am 2. August 2026 beginnen nationale Marktueberwachungsbehoerden, die AI-literacy-Pflicht nach Art. 4 EU AI Act (Regulation 2024/1689) durchzusetzen. Die Pflicht selbst gilt bereits seit dem 2. Februar 2025. Wer als Anbieter oder Betreiber von KI-Systemen handelt, muss Mitarbeiter und Aufsichtspersonen schulen — unabhaengig von der Risikoklasse des Systems. Peter Fürsicht ist zertifizierter Datenschutzbeauftragter und verbindet AI-Kompetenz-Schulung nach Art. 4 mit vollstaendiger DSGVO-Compliance in einem Dienstleistungsangebot. Dieser Hub erklaert verbindlich, was die KI-Schulungspflicht fuer Unternehmen bedeutet: Wer betroffen ist, was Inhalt der Schulung sein muss, wie dokumentiert wird, welche Sanktionen drohen und warum der zertifizierte DSB der richtige Ansprechpartner ist.

Die KI-Schulungspflicht nach Art. 4 AI Act trifft Unternehmen in einem Moment, in dem der Einsatz generativer KI im Arbeitsalltag laengst Realitaet ist. ChatGPT, Copilot, Uebersetzungstools, Recruiting-Assistenten, KI-gestuetzte Bewerberfilterung, Spam-Erkennung, Bildgeneratoren — in den meisten mittelstaendischen Unternehmen laufen solche Werkzeuge bereits, oft ohne dass Geschaeftsfuehrung oder Datenschutzbeauftragter weiss, wo, von wem und wofuer sie eingesetzt werden. Genau an dieser Stelle setzt der AI Act an: Er verlangt, dass Unternehmen sicherstellen, dass Mitarbeiter, die KI bedienen oder beaufsichtigen, ueber ein ausreichendes Mass an KI-Kompetenz verfuegen. Die Pflicht ist keine Optionalitaet fuer Grossunternehmen, sondern eine horizontale Verhaltenspflicht fuer alle, die KI im beruflichen Kontext einsetzen.

Was regelt Art. 4 AI Act? (KI-Literacy-Pflicht einfach erklaert)

Art. 4 EU AI Act (Regulation 2024/1689) verpflichtet Anbieter und Betreiber, nach bestem Vermoegen einen ausreichenden Grad an KI-Kompetenz („AI literacy“) bei Mitarbeitern und beauftragten Dritten sicherzustellen. Die AI-literacy-Definition nach Art. 3(56) umfasst Faehigkeiten, Wissen und Verstaendnis, um KI-Systeme informiert einzusetzen und Chancen, Risiken und moegliche Schaedens zu erkennen. Es handelt sich um eine Verhaltenspflicht („take measures“), keine Ergebnis-Pflicht — der „best extent“-Vorbehalt gilt, aber Massnahmen muessen konkret und nachweisbar sein. Die Pflicht gilt horizontal fuer alle KI-Systeme: verbotene, Hochrisiko-, limitierte und minimale Risikoklassen. Massnahmen muessen rollen- und kontextspezifisch sein und das technische Vorwissen, den Einsatzkontext und betroffene Personengruppen beruecksichtigen.

Der Begriff der AI literacy geht ueber eine reine Technik-Schulung hinaus. Gefordert ist Kompetenz auf drei Ebenen: erstens technisches Grundverstaendnis, wie ein KI-System funktioniert, was es kann und wo seine Grenzen liegen; zweitens Risiko- und Schadensbewusstsein, also die Faehigkeit, moegliche Fehlleistungen, Bias, Halluzinationen, Datenschutz- und Urheberrechtsverletzungen zu erkennen; drittens verantwortungsvoller Einsatz im Arbeitskontext, also das Wissen, wann ein KI-System geeignet ist, wann nicht, und wann eine menschliche Kontrolle oder eine andere Methode die bessere Wahl ist. Die Schulung muss daher nicht nur theoretisches Wissen vermitteln, sondern an den konkreten Einsatzszenarien des Unternehmens anknuepfen. Eine abstrakte Einfuehrung in Machine Learning reicht ebenso wenig wie ein reiner Tools-Kurs fuer ChatGPT — gefordert ist eine Kombination aus technischem, rechtlichem und anwendungsorientiertem Wissen.

Wer die Pflicht ignoriert, riskiert nicht nur Sanktionen, sondern auch einen systemischen Vertrauensverlust: Mitarbeiter, die ohne Kompetenz mit KI arbeiten, treffen Entscheidungen auf Basis fehlerhafter, halluzinierter oder verzerrter Ergebnisse. Die Kosten daraus — falsche Auskuenge, fehlerhafte Vertragsentuerfe, diskriminierende Auswahlverfahren, Datenschutzvorfaelle — sind in der Praxis hoeher als jede Bussgeldgefahr. AI-literacy ist deshalb kein reines Compliance-Thema, sondern eine betriebliche Vorsorgepflicht, die eng mit Qualitaetssicherung, Informationssicherheit und Datenschutz zusammenhaengt.

Wer muss schulen? (Anbieter und Betreiber)

Anbieter (providers) sind Entwickler oder Inverkehrbringer von KI-Systemen unter eigenem Namen oder Markenzeichen. Sie muessen Entwicklungs-, Test- und Integrations-Teams schulen. Betreiber (deployers) sind Unternehmen, die ein KI-System unter ihrer Autoritaet nutzen — ausgenommen ist rein private, nicht-berufliche Nutzung. Betreiber muessen Anwender, Betreiber und Aufsichtspersonen schulen. Die Pflicht gilt fuer alle Unternehmensgroessen; die „to best extent“-Formel macht sie nicht optional fuer KMU. Externe Auftragnehmer und Dienstleister, die KI im Auftrag des Unternehmens bedienen, fallen ebenfalls unter die Pflicht. Bei Hochrisiko-KI bestehen zusaetzliche Schulungspflichten nach Art. 26 (Deployer-Obliegenheiten, Human Oversight) — Art. 4 ist die Basis-Pflicht fuer alle.

Fuer den Mittelstand ist vor allem die Betreiber-Rolle relevant. Wer ChatGPT Team-Lizenzen kauft, ein KI-gestuetztes Recruiting-Tool einfuehrt, einen Chatbot auf der Website betreibt oder einen Uebersetzungsdienst einsetzt, wird zum Betreiber und muss die Mitarbeiter schulen, die das System bedienen oder beaufsichtigen. Die Abgrenzung zur privaten Nutzung ist im Einzelfall nicht immer eindeutig: Nutzt ein Mitarbeiter ChatGPT mit privatem Account fuer eine berufliche Aufgabe, bleibt das Unternehmen trotzdem Betreiber, wenn die Nutzung im Rahmen der Arbeitsaufgabe erfolgt. Eine klare KI-Nutzungsrichtlinie (AI-Policy) schafft hier Transparenz und ist zugleich ein zentrales Dokumentationsinstrument fuer die AI-literacy-Pflicht.

Ab wann gilt die Pflicht? (Zwei Daten: Pflicht vs. Durchsetzung)

Das 2. Februar 2025 ist das rechtliche Anwendungsdatum der AI-literacy-Pflicht (Art. 113(a), Chapter I und II zusammen mit Verbotsregelungen). Das 2. August 2026 ist der Stichtag, ab dem nationale Marktueberwachungsbehoerden mit Durchsetzung und Sanktionierung beginnen. Mitgliedsstaaten mussten bis zum 2. August 2025 nationale Bussgeldregime schaffen. Praktische Folge: Unternehmen, die seit Februar 2025 keine Massnahmen ergriffen haben, sind ab August 2026 exponiert. Der 2. August 2026 ist auch das Datum, ab dem die Verbotsregelungen (Art. 5) und die Transparenzpflichten fuer KI-generierte Inhalte (Art. 50) voll durchsetzbar sind.

Zwischen dem rechtlichen Anwendungsdatum und dem Durchsetzungsstichtag liegt bewusst eine Uebergangszeit. Sie ist keine Schonfrist, sondern ein Zeitfenster, in dem Unternehmen Compliance aufbauen sollen, ohne dass sofort Sanktionen drohen. Wer dieses Fenster verstreichen laesst, geht ein kalkulierbares Risiko ein: Ab August 2026 koennen Behoerden bei Kontrollen, Beschwerden oder Vorfassen die AI-literacy-Massnahmen anfordern. Fehlen Nachweise, ist der Verstoess dokumentiert. Unternehmen sollten daher jetzt, nicht erst im Sommer 2026, handeln — nicht aus Angst vor Bussgeldern, sondern weil eine dokumentierte Schulung auch im eigenen Interesse ist: Sie reduziert Fehler, Reputationsrisiken und Datenschutzvorfaelle, die aus unsachgemaessem KI-Einsatz entstehen.

Was muss Inhalt der Schulung sein? (AI-Literacy-Curriculum)

Der AI Act schreibt kein festes Curriculum oder keine Mindeststundenzahl vor, fordert aber angemessene, konkrete Massnahmen proportional zu Rolle und Kontext. Mindest-Inhalte ergeben sich aus der Art. 3(56)-Definition: erstens technisches Grundverstaendnis (Funktionsweise, Faehigkeiten, Grenzen), zweitens Risiko- und Schadensbewusstsein (Bias, Halluzinationen, Datenschutz, Urheberrecht), drittens verantwortungsvoller Einsatz im Arbeitskontext (wann KI, wann nicht, menschliche Kontrolle). Bei Hochrisiko-KI kommen spezifische Inhalte nach Art. 26 und 27 hinzu (Human Oversight, Automonitoring, Input-Validierung). Massnahmen muessen dokumentiert sein — reine „Wir haben sensibilisiert“-Aussagen genuegen nicht ohne Nachweis.

Eine praxisfaehige AI-literacy-Schulung deckt mindestens diese Bausteine ab: Grundkonzepte generativer KI und ihrer Grenzen (inklusive Halluzinationen und nicht-deterministischer Antworten); Datenschutz- und Vertraulichkeitsregeln beim Eingeben von Daten in KI-Systeme, insbesondere das Verbot, personenbezogene oder geschaeftsvertrauliche Daten in nicht freigegebene Tools einzuspeisen; Urheberrechtsfragen bei KI-generierten Inhalten; Erkennen von Bias und unfairen Auswirkungen, besonders bei Recruiting- und HR-Tools; Dokumentations- und Freigabeprozesse fuer KI-generierte Ergebnisse; Verantwortlichkeiten und Eskalationspfade bei vermuteten Fehlern. Rollenspezifisch geht es tiefer: Entwickler brauchen technischere Inhalte als Anwender; Aufsichtspersonen brauchen Kompetenz zur Bewertung von KI-Ergebnissen; Geschaeftsfuehrung braucht Governance- und Risiko-Wissen.

Besonders wichtig ist die Abgrenzung zwischen generativer und klassischer KI. Generative Systeme wie ChatGPT produzieren nicht-deterministische Ausgaben, die glaubwuerdig klingen, aber faktisch falsch sein koennen (Halluzinationen). Mitarbeiter muessen lernen, diese Ausgaben zu verifizieren und nicht als autoritativ zu behandeln. Klassische, deterministische Systeme wie Spam-Filter oder Bilderkennung stellen andere Anforderungen an die Schulung, da ihre Grenzen woanders liegen. Eine gute AI-literacy-Schulung nimmt diese Unterschiede auf und vermittelt Rollen-spezifische Kriterien, ab wann ein Ergebnis als vertrauenswuerdig eingestuft werden darf.

Dokumentation und Nachweis (Audit-Proof)

Die AI-literacy-Pflicht ist eine Verhaltenspflicht mit Nachweispflicht. Bei einer Behoerden-Anfrage oder einem Audit muss das Unternehmen nachweisen koennen, dass es konkrete, angemessene Massnahmen ergriffen hat. Das erfordert schriftliche Unterlagen: eine KI-Nutzungsrichtlinie mit Freigabeprozessen, ein KI-Inventar, Schulungsunterlagen, Teilnehmerlisten, Bescheinigungen und einen Auffrischungszyklus. Eine reine mündliche Sensibilisierung ohne Aufzeichnung ist schwer nachzuweisen und sollte vermieden werden. Eine DSB-bescheinigte Schulung mit Teilnahmebescheinigung ist ein audit-fester Nachweis.

Sanktionen — was droht bei Nichterfuellung?

Art. 4 hat keinen eigenen EU-weiten Bussgeldrahmen. Die Mitgliedsstaaten legen eigene Strafen fest, die effektiv, verhaeltnismaessig und abschreckend sein muessen. In Deutschland ist das digitale Bussgeld-Regime im KI-Gesetz (KIG) geregelt. Fehlende AI-Kompetenz kann bei anderen AI-Act-Verstoessen als erschwerender Faktor gewertet werden, fuer die bis zu 7 Prozent des weltweiten Jahresumsatzes oder 35 Millionen Euro drohen. Praktisch riskanter als die Bussgeld-Ebene ist der Reputations- und Haftungsschaden, wenn Mitarbeiter durch unsachgemaessen KI-Einsatz Dritte schaedigen und die Schulung fehlte — dann kann der Geschaeftsfuehrer persoenlich haften.

AI Act Art. 4 und DSGVO (Verhaeltnis, Schnittstellen)

AI Act und DSGVO sind getrennte, aber komplementaere Regime. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Verordnungen parallel. Die AI-literacy-Schulung nach Art. 4 sollte daher Datenschutz-Aspekte einschliessen. Ein zertifizierter Datenschutzbeauftragter kann beide Pflichten in einer integrierten Schulung erfuellen. Schnittstellen bestehen ausserdem zur DSFA (Datenschutz-Folgenabschaetzung, Art. 35 DSGVO), zur AVV (Auftragsverarbeitungsvertrag, Art. 28 DSGVO) bei externen KI-Dienstleistern und zu den Informationspflichten gegenueber Betroffenen, wenn KI sie beeinflusst.

AI Act Art. 4 und ISO/IEC 42001 (KI-Management-System)

ISO/IEC 42001 ist der internationale Standard fuer KI-Managementsysteme (AIMS). Er gibt Unternehmen einen strukturierten Rahmen fuer KI-Governance, Risikomanagement und Schulung. Eine ISO-42001-Zertifizierung ist nicht verpflichtend fuer Art. 4, aber der Standard bietet den operationalen Rahmen, um AI-literacy-Massnahmen systematisch aufzubauen und zu dokumentieren. Art. 4 AI Act verlangt Massnahmen, ISO 42001 liefert den Best-Practice-Rahmen dafuer — beides ergaenzt sich. ISO 42001 ist nicht explizit im AI Act referenziert, der Harmonised-Standards-Prozess laeuft, aber faktisch ist ISO 42001 der Best-Practice-Rahmen.

Checkliste — was Unternehmen jetzt tun muessen

1. KI-Inventar erstellen: Welche KI-Systeme werden eingesetzt, einschliesslich ChatGPT, Copilot, Uebersetzern, Recruiting-Tools?
2. Risikoklassifizierung nach AI Act (verboten, Hochrisiko, limitiert, minimal) pro System.
3. Zielgruppen-Definition: Wer bedient, wer beaufsichtigt, wer entwickelt?
4. Schulungsbedarf pro Rolle ableiten (technisch, Oversight, Governance).
5. Schulungs-Curriculum auswaehlen oder erstellen — DSB-bescheinigt fuer Audit-Festigkeit.
6. Erst-Schulung durchfuehren und dokumentieren (Teilnehmer, Inhalte, Datum).
7. Auffrischungszyklus festlegen (jaehrlich empfohlen; bei Systemwechsel sofort).
8. DSFA pruefen oder aktualisieren, wenn KI personenbezogene Daten verarbeitet.
9. AVV mit externen AI-Dienstleistern pruefen (Art. 28 DSGVO).
10. Spaetestens zum 2. August 2026: vollstaendige Dokumentation bereit Fuer Behoerden-Audit.

Haeufige Fragen (FAQ)

Wir setzen nur ChatGPT fuer Textproduktion ein — gilt das?

Ja, ChatGPT ist ein KI-System; die Betreiber-Pflicht greift. Ausgenommen ist nur rein private Nutzung.

Sind wir als KMU ausgenommen?

Nein, die „to best extent“-Formel gilt fuer alle Groessen. Bei den Massnahmen gilt jedoch Proportionalitaet — der Aufwand darf Ressourcen beruecksichtigen.

Muessen wir externe Dienstleister schulen?

Ja, „other persons dealing with operation and use on their behalf“ umfasst beauftragte Dritte. Ggf. ueber AVV und Schulungsnachweis des Dienstleisters absichern.

Was kostet eine DSB-bescheinigte AI-literacy-Schulung?

Peter Fürsicht bietet drei SKUs an: Tier 1 Self-Study, Tier 2 Inhouse-Workshop, Tier 3 Individual/Executive. Preise auf Anfrage.

Reicht eine einmalige Schulung?

Nein, AI-literacy ist fortlaufend. Auffrischung bei Systemwechsel, neuen Risiken oder neuen Mitarbeitern.

Warum der zertifizierte DSB der richtige Ansprechpartner ist

AI-literacy-Schulung ohne DSGVO-Bezug ist unvollstaendig — fast jedes KI-System verarbeitet personenbezogene Daten. Peter Fürsicht ist zertifizierter Datenschutzbeauftragter und vereinbart AI-Act-Art. 4 und DSGVO in einer Schulung. Eine DSB-Bescheinigung ueber Schulungsteilnahme ist ein audit-fester Nachweis mit DSB-Unterschrift — staerker als eine reine Inhouse-Dokumentation. Praktische Vorteile: ein Ansprechpartner fuer AI Act und DSGVO, keine Silo-Kommunikation zwischen AI-Beauftragtem und DSB. Die Dienstleistung kann mit DSFA, AVV-Update und Datenschutz-Folgenabschaetzung gebuendelt werden — ein Komplett-Paket fuer die KI-Einfuehrung im Unternehmen. Jetzt KI-Schulung nach AI Act Art. 4 anfragen.

Weiterfuehrende Artikel: ChatGPT und Datenschutz, Warum ein DSB zertifiziert sein muss, Aufgaben eines DSB, DSGVO-Bussgelder, AVV 2026.