Es war bereits weit nach Einbruch der Dunkelheit in meinem Frankfurter Büro, als ich mich durch die finalen Fassungen der KI-Verordnung arbeitete. Der trockene, leicht metallische Geruch des Laserdruckers lag in der Luft, während er über hundert Seiten des Verordnungstextes ausspuckte. Ich saß dort mit einem neon-gelben Textmarker und markierte Artikel 4. Dabei fiel mir ein entscheidender Nuancen-Unterschied auf: Während die deutsche Fassung eher nüchtern von 'KI-Kompetenz' spricht, verwendet das englische Original den Begriff 'AI Literacy'. In diesem Moment wurde mir klar, dass viele Geschäftsführer im Mittelstand sehenden Auges in eine massive Haftungsfalle laufen, weil sie Schulungen als nettes 'Add-on' betrachten und nicht als gesetzliches Mandat.
Ich dachte bei mir: 'Wenn ich ihnen erzähle, dass es um Bildung geht, werden sie warten. Wenn ich ihnen sage, dass es um ihr Privatvermögen geht, werden sie zuhören.' Die Realität ist, dass der EU AI Act keine unverbindliche Empfehlung ist. Wir befinden uns in einer Phase, in der die Übergangsfristen bereits Wirkung zeigen. Besonders kritisch ist das Datum des 2. Februar 2025, an dem die Anforderungen zur KI-Kompetenz gemäß Artikel 4 der Verordnung (EU) 2024/1689 verbindlich wurden. Wer hier spart, spart am falschen Ende – nämlich direkt bei der Absicherung der eigenen Sorgfaltspflicht.
Der Paradigmenwechsel: Von Freiwilligkeit zu Artikel 4
In den letzten zwölf Monaten seit der Finalisierung des Gesetzestextes hat sich die Landschaft dramatisch gewandelt. Früher war es ein Zeichen von Innovationsgeist, wenn ein Maschinenbauer seinen Ingenieuren einen Kurs für Bilderkennung spendierte. Heute ist es eine regulatorische Notwendigkeit. Artikel 4 der KI-Verordnung schreibt vor, dass Anbieter und Betreiber von KI-Systemen Maßnahmen ergreifen müssen, um ein ausreichendes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen.
Das bedeutet konkret: Die Geschäftsführung steht persönlich in der Verantwortung. Es reicht nicht mehr aus, darauf zu vertrauen, dass die IT-Abteilung 'schon weiß, was sie tut'. Sie müssen nachweisen können, dass jeder Mitarbeiter, der mit KI-Systemen arbeitet – sei es in der Logistik-Optimierung oder im Kundensupport eines SaaS-Unternehmens –, die technischen, ethischen und rechtlichen Risiken versteht. In meinen Beratungsgesprächen im Frankfurter Raum, oft bei einem schnellen Espresso zwischen zwei Terminen, merke ich, dass diese Dringlichkeit erst langsam einsickert.
Ein Blick auf die wichtigen EU AI Act Fristen für Unternehmen zeigt, dass die Zeit des Abwartens vorbei ist. Wer die Schulungspflicht ignoriert, riskiert nicht nur organisatorische Mängel, sondern setzt sich potenziellen Bußgeldern von bis zu 35.000.000 Euro oder 7 % des weltweiten Jahresumsatzes aus, wie in Artikel 99(3) festgelegt.
Das Missverständnis der 'Pauschal-Schulung'
Ein weit verbreiteter Irrtum im Mittelstand ist die Annahme, ein ChatGPT-Login für alle und ein kurzes PDF-Handbuch im Intranet würden die Compliance-Anforderungen erfüllen. Ich habe im frühen Frühjahr während der Transitionsphase oft erlebt, wie Unternehmen versuchen, das Thema mit oberflächlichen 'Prompt-Engineering'-Kursen von der Stange abzuhaken. Diese Kurse sind oft zu teuer für das, was sie bieten, und zielen völlig an der regulatorischen Realität vorbei.
Hier kommt mein Unique Angle ins Spiel, den ich immer wieder betone: Eine pauschale KI-Schulung für alle Mitarbeiter erhöht das Haftungsrisiko der Geschäftsführung sogar eher, als es zu senken. Warum? Weil sie den Anschein einer regulatorischen Überwachung erweckt, ohne die spezifischen Sorgfaltspflichten der einzelnen Rollen tatsächlich zu erfüllen. Wenn Sie dem Buchhalter die gleiche Schulung geben wie dem Software-Entwickler, haben Sie zwar ein Häkchen gesetzt, aber im Falle eines Audits oder eines Schadens wird man Ihnen vorwerfen, dass die Schulung nicht 'angemessen' im Sinne der Verordnung war.
Ein echtes KI-Risikomanagement erfordert eine Differenzierung. Ein 'KI-Führerschein' muss modular aufgebaut sein. Der Vertrieb braucht ein anderes Verständnis von Bias und Diskriminierung als die Produktion im Maschinenbau, wo es eher um funktionale Sicherheit und Datenintegrität geht. Ohne diese Differenzierung riskieren Sie ein Organisationsverschulden.
Ein Wendepunkt: Der skeptische CEO und § 43 GmbHG
An einem regnerischen Nachmittag in Frankfurt saß ich einem CEO eines mittelständischen Versicherungsdienstleisters gegenüber. Er war skeptisch, hielt den AI Act für 'EU-Bürokratie-Monster' und wollte die Schulungen auf das absolute Minimum begrenzen. Ich verzichtete auf die üblichen Marketing-Phrasen und legte ihm stattdessen eine Kopie des § 43 GmbHG auf den Tisch.
Ich erklärte ihm, dass die Nichtbeachtung der Schulungsmandate aus dem AI Act direkt als Verletzung der Sorgfaltspflicht eines ordentlichen Geschäftsmannes ausgelegt werden kann. Wenn ein Mitarbeiter durch Fehlbedienung einer KI – etwa durch die Eingabe sensibler Kundendaten in ein offenes Modell – einen massiven Datenschutzverstoß oder einen finanziellen Schaden verursacht, wird die Frage gestellt: Wurde dieser Mitarbeiter ausreichend geschult? Wenn die Antwort eine generische 15-Minuten-PowerPoint ist, greift die Durchgriffshaftung. In diesem Moment veränderte sich sein Blick. Die Erkenntnis, dass es hier um sein Privatvermögen gehen könnte, war der Wendepunkt.
Wir entwickelten daraufhin einen Plan, der nicht nur die gesetzlichen Mindestanforderungen erfüllte, sondern ein echtes Schutzschild für das Management bildete. Dabei ist es oft gar nicht so kompliziert, wie es auf den ersten Blick scheint. Es geht darum, die trockenen Rechtstexte in konkrete Verhaltensanweisungen zu übersetzen. Ich bin kein Anwalt und kein Auditor – meine Aufgabe ist es, genau diese Brücke zu schlagen.
Warum der 'KI-Führerschein' Ihr Schutzschild ist
Was macht eine gute Compliance-Schulung aus? Nach etwa sechs Wochen intensiver Beratungstätigkeit in einem neuen Projekt kristallisiert sich meist ein Muster heraus. Ein effektiver Schulungsplan muss dokumentierbar sein. Das ist das A und O für die Haftungsvermeidung. Sie brauchen einen Nachweis, dass:
- Die Inhalte auf die spezifischen Risiken des Unternehmens (z.B. Hochrisiko-Systeme nach Anhang III) zugeschnitten waren.
- Der Lernerfolg kontrolliert wurde (kein reines 'Berieseln-Lassen').
- Die Schulung regelmäßig aktualisiert wird, da sich die Technik schneller entwickelt als die Gesetzgebung.
Ein qualifizierter Kurs sollte preislich im Rahmen bleiben, aber tief genug gehen, um die Haftungsrelevanz abzudecken. Ich habe oft beobachtet, dass Unternehmen unsicher sind, was eine KI Schulung für Unternehmen kosten darf, und sich dann für entweder völlig überteuerte Agentur-Pakete oder wertlose Billig-Zertifikate entscheiden. Beides hilft Ihnen im Ernstfall vor Gericht oder gegenüber der Aufsichtsbehörde wenig.
Die Umsetzung von Artikel 4 ist kein Projekt, das man einmal abschließt, sondern ein fortlaufender Prozess. Aber der erste Schritt – die Etablierung eines soliden Grundwissens, das über das bloße Bedienen von KI-Tools hinausgeht – ist die wichtigste Versicherungspolice, die Sie als Geschäftsführer heute abschließen können. Es geht darum, die Kontrolle zu behalten in einer Zeit, in der die technologische Entwicklung die regulatorische oft überholt.
Abschließend mein Rat aus der Praxis: Lesen Sie die Texte im Zweifel selbst oder lassen Sie sie sich von jemandem erklären, der nicht nur die deutsche Übersetzung kennt. Die Nuancen zwischen 'KI-Kompetenz' und 'AI Literacy' sind der Raum, in dem sich Ihre Haftung entscheidet. Ich biete hierzu regelmäßig Webinare an oder gehe in die 1:1 Beratung, um diese oft verwirrenden Anforderungen in greifbare Pläne zu verwandeln. Es ist machbar, man muss nur den Fokus von der reinen Technik weg hin zur rechtlichen Absicherung verschieben. Denken Sie daran: Compliance ist kein Selbstzweck, sondern der Schutz Ihres Unternehmens und Ihrer persönlichen Integrität. Ich bin natürlich kein Rechtsberater, daher sollten Sie spezifische Haftungsfragen immer auch mit Ihrem Justiziar klären, aber die organisatorischen Weichen müssen Sie jetzt stellen.