Mitte November saß ich in meinem Frankfurter Büro und blätterte durch einen Lieferantenfragebogen eines großen Automobil-OEMs. Es war nicht die übliche Abfrage zu ISO-Zertifizierungen oder Umweltstandards. Unter Punkt 7.4 tauchte zum ersten Mal die explizite Forderung nach einem Nachweis der 'AI Literacy' für das gesamte Projektteam auf. Für viele Zulieferer im Maschinenbau oder im Software-Sektor markiert dieser Moment den Übergang von der theoretischen Beschäftigung mit der Künstlichen Intelligenz zur harten Compliance-Realität.
Die Industrie wartet nicht, bis alle Übergangsfristen der KI-Verordnung abgelaufen sind. Wer heute als Zulieferer in der Kette bleiben will, muss beweisen, dass seine Mitarbeiter verstehen, was sie da eigentlich tun. Dabei geht es nicht um Programmierkenntnisse, sondern um das Erkennen von Risiken. Ein genereller KI-Führerschein, wie er oft von großen E-Learning-Plattformen für 49 Euro angeboten wird, ist hier meist wirkungslos. Warum? Weil diese Zertifikate das unternehmensspezifische Risikoprofil ignorieren. In der Lieferkette zählt am Ende nicht das bunte PDF an der Wand, sondern die Absicherung der tatsächlichen Compliance-Haftung.
Der Weckruf aus der Industrie: Wenn der Großkunde Druck macht
Anfang Februar erhielt ich einen Anruf eines langjährigen Mandanten aus dem Sektor Sondermaschinenbau. Die Stimmung war angespannt. Einer ihrer wichtigsten Abnehmer drohte damit, laufende Verträge zu pausieren, falls nicht innerhalb von acht Wochen ein Schulungskonzept für die KI-Compliance vorläge. Der Grund: Der OEM wollte verhindern, dass durch unkontrollierte KI-Nutzung in der Zulieferkette urheberrechtliche Probleme oder Sicherheitslücken in die Endprodukte wandern.
Dieses Szenario wird in den nächsten Monaten Standard werden. Die großen Player integrieren KI-Compliance bereits jetzt in ihre 'Supplier Code of Conduct'-Rahmenwerke. Sie tun das nicht aus Schikane, sondern um das eigene Haftungsrisiko gemäß Art. 4 KI-VO zu minimieren. Dieser Artikel verpflichtet Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, die ein angemessenes Maß an 'KI-Kompetenz' beim Personal gewährleisten. Da ich kein Anwalt bin, betrachte ich das aus der Prozessbrille: Wenn Ihr Mitarbeiter nicht weiß, dass die Eingabe von Kundendaten in ein öffentliches LLM ein Compliance-Verstoß ist, haften Sie als Geschäftsführer für das Organisationsverschulden.
Es lohnt sich hier ein Blick auf die AI Literacy Anforderungen für Mitarbeiter im Mittelstand nach Artikel 4, um zu verstehen, dass die Messlatte je nach Kontext sehr unterschiedlich liegen kann. Ein reines 'Abhaken' von Online-Kursen wird der Komplexität selten gerecht.
Die Falle der Übersetzung: Warum 'AI Literacy' mehr ist als Kompetenz
Während ich die 144 Seiten des endgültigen Kompromisstextes der KI-Verordnung analysierte, fiel mir eine Nuance auf, die in der deutschen Übersetzung oft untergeht. Der trockene, leicht metallische Geschmack von lauwarmem Bürokaffee begleitete mich durch die Nacht, während ich die englische Fassung mit der deutschen 'KI-Kompetenz' verglich. Im Englischen spricht Art. 4 von 'AI Literacy'. Während 'Kompetenz' oft als rein technisches Können missverstanden wird, beinhaltet 'Literacy' die Fähigkeit, Informationen kritisch zu bewerten und ethische sowie rechtliche Implikationen im jeweiligen Kontext zu verstehen.
Genau hier liegt der Fehler vieler Standard-Schulungen. Sie erklären, wie ein Prompt funktioniert oder was ein Algorithmus ist. Aber sie erklären nicht, wie man ein Hochrisiko-System nach Anhang III identifiziert. Bei dem Mandanten im Februar kam der Schockmoment bei der Analyse eines 'einfachen' Predictive-Maintenance-Tools, das sie für ihre Kunden entwickelt hatten. Ein plötzliches Engegefühl in der Brust überkam den technischen Leiter, als wir realisierten: Da dieses System zur Steuerung kritischer Infrastrukturen eingesetzt werden könnte, qualifiziert es sich potenziell als Hochrisiko-KI. Plötzlich war die Schulung der Ingenieure keine Formsache mehr, sondern eine Überlebensfrage für das Produkt.
Modularer KI-Führerschein: Risikoprofile statt Gießkanne
Nach etwa sechs Wochen der Implementierung bei diesem Mandanten wurde klar: Wir müssen den KI-Führerschein modular aufbauen. Ein Einkäufer braucht anderes Wissen als ein Software-Entwickler oder ein Qualitätsmanager. Für Zulieferer ist es entscheidend, die Schulung an den realen Einsatzszenarien auszurichten. Ein Mitarbeiter in der Logistik muss wissen, wie er mit KI-gestützten Routenplanern umgeht, ohne gegen Datenschutzrichtlinien zu verstoßen, während die Rechtsabteilung die Feinheiten von Art. 113 KI-VO verstehen muss.
Die KI-Verordnung sieht eine gestaffelte Einführung vor. Während für verbotene KI-Praktiken eine kurze Frist von nur 6 Monaten nach Inkrafttreten gilt (Art. 113 Abs. 2 Buchst. a), haben Unternehmen für die meisten anderen Bestimmungen eine Umsetzungsfrist von 24 Monaten. Doch Vorsicht: Wer als Zulieferer erst in zwei Jahren mit der Schulung beginnt, wird von den Einkaufsabteilungen der Industrie längst aussortiert worden sein. Die Industrie fordert die Compliance *jetzt*, um ihre eigenen 24-Monate-Ziele zu erreichen.
Besonders wichtig ist dabei die Haftung der Geschäftsführung zu vermeiden, indem die Pflicht zur KI-Schulung nachweisbar erfüllt wird. Ich empfehle Mandanten immer, die Schulungsergebnisse nicht nur als Teilnahmebestätigung zu dokumentieren, sondern als Teil des Qualitätsmanagements zu begreifen. Ein guter KI-Führerschein für Zulieferer sollte daher immer eine Prüfung der individuellen Risikomatrix des Unternehmens beinhalten.
Fazit: Prozesssicherheit schlägt Python-Kenntnisse
An einem verregneten Nachmittag im April saßen wir zur Abschlussbesprechung der ersten Schulungsstaffel zusammen. Der Produktionsleiter, der anfangs extrem skeptisch war, wirkte sichtlich erleichtert. Sein entscheidender Satz war: 'Ich dachte, meine Leute müssten jetzt alle Python lernen. Aber eigentlich geht es ja darum, dass wir unsere bestehenden Sicherheitsstandards auf die KI übertragen.' Das ist der Kern der Sache. KI-Compliance im Mittelstand ist kein IT-Projekt, sondern eine Erweiterung der Betriebssicherheit.
Oft werde ich gefragt, ob ein Standard KI-Führerschein oder eine Individualschulung die bessere Wahl ist. Meine Erfahrung zeigt: Ein Standard-Zertifikat kann ein guter Einstieg sein, um die allgemeine 'AI Literacy' zu fördern. Aber für die rechtssichere Einbindung in die Lieferkette der Industrie kommen Sie um eine Anpassung an Ihre spezifischen Prozesse nicht herum. Wer Hochrisiko-Systeme fertigt oder als SaaS-Anbieter sensible Daten verarbeitet, braucht mehr als nur ein allgemeines Zertifikat.
Bitte beachten Sie: Ich bin kein Anwalt und kein Auditor. Meine Beratung dient der praktischen Umsetzung von Compliance-Anforderungen in Arbeitsabläufe. Für eine abschließende rechtliche Bewertung Ihrer Verträge oder Systeme sollten Sie unbedingt eine spezialisierte Kanzlei konsultieren. Aber warten Sie nicht auf das perfekte Gutachten, bevor Sie mit der Sensibilisierung Ihrer Mitarbeiter beginnen — die Fristen laufen bereits.