Von allen Pflichten der KI-Verordnung ist die in Art. 4 die am meisten unterschätzte. Sie gilt seit dem 2. Februar 2025. Keine Übergangsfrist, keine Ausnahme für KMU, keine Ausnahme nach Risikoklasse. Und sie betrifft nicht nur die, die KI-Systeme entwickeln – sondern auch jeden, der sie einsetzt.
Was steht drin?
Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ein „ausreichendes Maß an KI-Kompetenz“ verfügt. Das klingt weich. Ist es auch – absichtlich. Es gibt keinen vorgeschriebenen Schulungsstandard, kein Pflicht-Zertifikat, keine Mindestprüfung.
Was „ausreichend“ ist, bemisst sich nach dem Kontext: Was macht das KI-System ?, wer bedient es ?, was kann schiefgehen? Die KI-VO definiert KI-Kompetenz in Art. 3 Nr. 56 als „Fähigkeiten, Kenntnisse und Verständnis“ für den sachkundigen Einsatz von KI-Systemen – einschließlich des Bewusstseins für Chancen, Risiken und mögliche Schäden.
Was heißt das konkret für ein IT-Unternehmen?
Die meisten IT-Dienstleister nutzen KI inzwischen in praktisch jedem Unternehmensbereich. Und genau da wird es interessant – denn die rechtlichen Probleme sind je nach Einsatzbereich völlig unterschiedlich. Wir haben das für unsere Mandanten einmal systematisch aufgearbeitet. Hier ein Ausschnitt:
Entwicklung / Software-Bearbeitung
Ihr Entwickler nutzt GitHub Copilot oder ChatGPT zur Code-Entwicklung. Das ist Alltag. Aber: Was passiert, wenn Kundencode in den Prompt fließt? Der ist urheberrechtlich geschützt (§ 69a UrhG), wahrscheinlich ein Geschäftsgeheimnis, und das NDA mit dem Kunden verbietet die Weitergabe an Dritte. Dazu kommt: Mitarbeiternamen in Code-Kommentaren sind personenbezogene Daten. Und wem gehört der Output – Ihnen, dem Kunden oder niemandem?
Dasselbe gilt für Code-Review, Testdatengenerierung aus Echtdaten, Bug-Analyse mit Logfiles. Überall stecken Datenschutz, Urheberrecht und Geheimhaltung drin – nur denkt im Arbeitsalltag niemand daran.
Support
Der KI-Chatbot für Endkunden klingt harmlos. Ist er auch – bis auf die Kennzeichnungspflicht nach Art. 50 KI-VO (der Nutzer muss wissen, dass er mit einer KI spricht) und die Frage, ob das Produktwissen in den Trainingsdaten ein Geschäftsgeheimnis ist. Und wenn Sie Anruf- oder Video-Transkription einsetzen: § 201 StGB verlangt die Einwilligung aller Beteiligten. Das wird regelmäßig vergessen.
Kommunikation / Vertrieb
KI-gestützte Angebotserstellung? Preise und Konditionen sind Geschäftsgeheimnisse – die sollten nicht in einem externen KI-System landen. Lead-Scoring mit KI? Das kann eine automatisierte Einzelentscheidung im Sinne von Art. 22 DSGVO sein. Und je nach Ausgestaltung sogar in den Hochrisikobereich nach Anhang III der KI-VO fallen.
Interne Prozesse
Zeiterfassung mit KI ist unproblematisch. KI-gestütztes Recruiting ist nicht unproblematisch – Bewerbermanagement gehört zu den Hochrisiko-Anwendungen nach Anhang III Nr. 4 der KI-VO. Wenn Sie hier KI einsetzen, gelten ab August 2026 die vollen Hochrisiko-Pflichten.
Das Problem mit der „einen Schulung für alle“
Was aus dieser Übersicht deutlich wird: Eine pauschale KI-Schulung für das ganze Unternehmen reicht nicht. Der Entwickler, der Copilot nutzt, braucht andere Kompetenz als die Vertriebsmitarbeiterin, die mit ChatGPT Angebote formuliert. Art. 4 verlangt ausdrücklich, dass die technischen Kenntnisse, die Erfahrung und der Kontext der jeweiligen Person berücksichtigt werden.
In der Praxis bedeutet das: Sie müssen differenzieren. Welche Mitarbeitergruppen nutzen welche KI-Systeme? Welche rechtlichen Risiken sind jeweils relevant? Welche Kompetenz muss vorhanden sein?
Und ja – Sie müssen das „natürlich auch“ dokumentieren. Hier ist sie wieder, die Accountability (wer meinen Blog zu den Sanktionen gelesen hat, kennt meine Meinung dazu und das Beispiel mit dem Linksabbiegen). Aber es ist, wie es ist: Wenn die Aufsichtsbehörde fragt „Zeigen Sie mir Ihre KI-Kompetenz-Dokumentation“, muss etwas kommen.
Was sollten Sie tun?
Erstens: „KI-Inventur“: Welche Systeme, welche Bereiche, welche Mitarbeiter. Zweitens: Risiken pro Use Case identifizieren – Datenschutz, Urheberrecht, Geschäftsgeheimnisse, KI-VO-Risikoklasse. Drittens: Rollenspezifische Schulungen durchführen und dokumentieren (!).
Das muss kein Mammutprojekt sein. Aber „Wir haben da mal drüber geredet“ reicht eben auch nicht.
Wir können Sie dabei unterstützen
Wir haben die oben skizzierte Use-Case-Matrix vollständig ausgearbeitet – für alle typischen Einsatzbereiche eines IT-Dienstleisters, mit den jeweiligen rechtlichen Dimensionen. Auf dieser Basis bieten wir ein kompaktes Seminar an, das sich an die Entscheider in IT-Unternehmen richtet: Wo setzen Sie KI ein ?, welche Risiken bestehen ?, welche organisatorischen Maßnahmen müssen Sie ergreifen ? – und wo gibt es Problemfelder, die im Moment noch nicht abschließend geklärt sind ? (auch das sagen wir Ihnen ehrlich). Die rollenspezifischen Mitarbeiterschulungen – Entwickler/ Techniker einerseits, Vertrieb/ Interne andererseits – bieten wir als zweite Stufe an.
Sprechen Sie uns an, wenn Sie das Thema KI-Kompetenz für Ihr Unternehmen systematisch angehen wollen, statt auf den ersten Prüfbesuch zu warten.
