
Spät abends in meinem Frankfurter Büro saß ich vor wenigen Wochen vor einem Vergleich, der mich nachdenklich stimmte. Auf meinem Breitbildmonitor leuchtete der englische Originaltext von Artikel 4 der KI-Verordnung, während daneben die bunte Powerpoint-Folie eines bekannten Schulungsanbieters für einen sogenannten 'KI-Führerschein' prangte. Die Folie war überladen mit generischen Roboter-Grafiken und versprach, Mitarbeiter in zwei Tagen zu 'KI-Experten' zu machen. Doch beim Abgleich mit den gesetzlichen Anforderungen wurde mir klar: Die Hälfte dieser Inhalte geht am Kern der regulatorischen Pflichten für den Mittelstand komplett vorbei.
Ich frage mich in solchen Momenten oft, warum in der offiziellen deutschen Übersetzung der Begriff 'AI Literacy' so schwammig als 'KI-Kompetenz' wiedergegeben wird, während der englische Text viel präzisere Anforderungen an die Fachkunde stellt. Für einen internen Auditor im Maschinenbau oder bei einem SaaS-Anbieter reicht es nicht aus, ein paar pfiffige Prompts für ChatGPT zu schreiben. Wenn Mitte Dezember die ersten Fristen näher rücken, müssen diese Personen in der Lage sein, ein Risikomanagementsystem zu prüfen, das den harten Anforderungen des EU AI Acts standhält. Ich bin kein Anwalt und kein zertifizierter Auditor — meine Aufgabe ist es, diese trockenen Texte in Schulungspläne zu übersetzen, die am Ende einer Prüfung durch die Aufsichtsbehörden standhalten.
Die Falle der 'Prompt-Artist'-Schulungen für Auditoren
In den letzten Monaten, vom späten Herbst 2025 bis zum heutigen Frühsommer 2026, habe ich über ein Dutzend Unternehmen begleitet. Ein wiederkehrendes Muster: Die Geschäftsführung bucht motiviert einen 'KI-Führerschein' für die gesamte Belegschaft. Das ist löblich, aber für die interne Revision oft wertlos. Ein interner Auditor muss nicht wissen, wie man mit Midjourney hübsche Bilder generiert. Er muss verstehen, wie die Daten-Governance nach Artikel 10 KI-VO aussieht und ob die technische Dokumentation gemäß Anhang IV vollständig ist.
Ein Mandant aus dem SaaS-Bereich zeigte mir kurz vor den Osterfeiertagen stolz seine interne Checkliste, die er nach einem solchen 2-Tages-Kurs erstellt hatte. Wir gingen sie gemeinsam durch und stellten fest: Die technischen Dokumentationspflichten fehlten fast vollständig. Er hatte gelernt, wie KI die Effizienz steigert, aber nicht, wie er prüft, ob das System diskriminierungsfreie Ergebnisse liefert oder wie die menschliche Aufsicht (Human Oversight) tatsächlich protokolliert wird. Das ist das Kernproblem vieler Standard-Schulungen: Sie sind auf 'Anwendung' getrimmt, nicht auf 'Compliance-Prüfung'.
Interne Auditoren im Mittelstand kommen oft aus der klassischen Qualitätsmanagement-Ecke oder der IT-Sicherheit. Sie beherrschen ISO 9001 oder ISO 27001. Was sie brauchen, ist eine Brücke zwischen diesen etablierten Systemen und den neuen Anforderungen der KI-Verordnung. Eine gute Schulung sollte daher weniger Zeit mit der Technik an sich verbringen und mehr mit dem prozessualen Risikomanagement der KI-Output-Validierung.
Gesetzliche Grundlagen: Artikel 4 und die Übergangsfristen
Warum ist das Thema so drängend? Artikel 4 der KI-VO verpflichtet Anbieter und Betreiber von KI-Systemen dazu, Maßnahmen zu ergreifen, um ein angemessenes Maß an KI-Kompetenz bei ihrem Personal sicherzustellen. Das ist keine bloße Empfehlung mehr. Wer KI-Systeme im Unternehmen einsetzt — und sei es nur eine zugekaufte Software für das HR-Recruiting —, muss nachweisen können, dass die verantwortlichen Personen wissen, was sie tun.
Dabei ist der Zeitplan eng gestrickt. Wir befinden uns in einer Phase, in der die Uhr tickt. Für allgemein verwendbare KI (GPAI) gilt eine Übergangsfrist von 12 Monaten nach Inkrafttreten der Verordnung (gemäß Artikel 113). Die Standard-Übergangsfrist für die meisten anderen Verpflichtungen beträgt 24 Monate. Das klingt nach viel Zeit, ist es aber für ein mittelständisches Unternehmen mit begrenzten Ressourcen nicht. Wer erst nach etwa drei Monaten Praxistest mit der Ausbildung seiner Auditoren beginnt, läuft Gefahr, die Dokumentationsberge nicht mehr rechtzeitig bewältigen zu können.
An einem grauen Dienstagabend im Mai diskutierte ich mit einem IT-Leiter eines Logistikunternehmens darüber, ob ein einfacher Online-Kurs ausreicht. Meine Antwort ist immer dieselbe: Es kommt darauf an, wen Sie schulen. Für den Sachbearbeiter mag ein Basis-Kurs genügen. Der Auditor jedoch braucht 'Deep Dives' in die Annex-Strukturen der Verordnung. Ein KI-Führerschein für den Mittelstand kann hier eine gute Basis sein, sofern er die gesetzlichen Schulungspflichten wirklich adressiert und nicht nur Software-Funktionen erklärt.
Auswahlkriterien: Worauf es bei Auditoren-Schulungen ankommt
Wenn Sie Schulungsanbieter vergleichen, achten Sie auf die Verzahnung mit bestehenden Strukturen. Ein Auditor muss lernen, wie er KI-Risiken in den bestehenden Audit-Plan integriert. Es ist wenig sinnvoll, ein isoliertes 'KI-Audit' aufzubauen. Vielmehr geht es darum, die bestehende ISO-Matrix zu erweitern. Hier ist meine Erfahrung aus der Zeit als Datenschutzkoordinator hilfreich: Compliance funktioniert nur, wenn sie nicht als Fremdkörper wahrgenommen wird.
Eine passende Schulung sollte folgende Module enthalten:
- Abgrenzung der Rollen: Ist das Unternehmen Anbieter, Betreiber oder Importeur? (Dies entscheidet über den Umfang der Pflichten).
- Risikoklassifizierung: Wie identifiziert man Hochrisiko-Systeme nach Anhang III zuverlässig?
- Prüfung der Datenqualität: Was bedeutet 'Repräsentativität' und 'Freiheit von Fehlern' in der Praxis?
- Validierung der menschlichen Aufsicht: Wie wird sichergestellt, dass der Mensch nicht nur 'Abnicker' der KI-Entscheidung ist?
Praxisbeispiel: Maschinenbau und die technische Dokumentation
Nehmen wir einen mittelständischen Maschinenbauer. Hier ist die KI oft Teil eines größeren Produkts. Der interne Auditor steht vor der Herausforderung, dass er plötzlich Software-Zyklen prüfen muss, die viel schneller ablaufen als der klassische Maschinenzyklus. In einer Beratungssitzung stellten wir fest, dass der Auditor zwar wusste, wie man eine Schweißnaht prüft, aber keine Ahnung hatte, wie er die Versionierung eines KI-Modells in der technischen Dokumentation verifiziert.
Wir haben daraufhin den Schulungsplan radikal umgestellt. Weg von allgemeinen Webinaren, hin zu einer 1:1 Begleitung bei der Erstellung der ersten Konformitätsbewertung. Das ist oft effektiver als jeder Massenkurs. Falls Sie Zertifikate benötigen, achten Sie darauf, welche Nachweise der Kurs liefert. In meinem Artikel über zertifizierte KI Schulung für KMU habe ich detailliert aufgeschlüsselt, welche Nachweise vor Prüfungen durch Behörden wirklich schützen. Ein schönes PDF-Zertifikat mit dem Titel 'KI-Experte' beeindruckt niemanden, wenn die Inhalte nicht zur KI-VO passen.
Fazit: Qualität vor Quantität
Ich bin kein Arzt und gebe keine medizinischen Ratschläge, und ebenso wenig bin ich ein Rechtsanwalt. Meine Perspektive ist die des Praktikers, der sieht, wie Unternehmen an der Komplexität der EU-Regulierung verzweifeln können. Bevor Sie das Budget für die nächste Schulungswelle freigeben, prüfen Sie kritisch: Lernt mein Auditor hier gerade, wie man Bilder generiert, oder lernt er, wie er mein Unternehmen vor Bußgeldern schützt, die bis zu 7 % des weltweiten Jahresumsatzes betragen können?
Die Auswahl der richtigen Schulung ist eine strategische Entscheidung. Der Mittelstand braucht keine KI-Philosophen, sondern Fachleute, die die Brücke zwischen Technik und Recht schlagen können. Das erfordert Mut zur Lücke bei den technischen Spielereien und eine unerbittliche Genauigkeit bei den regulatorischen Prozessen. Sprechen Sie mit Ihren Fachleuten, bevor Sie buchen — oft wissen die IT-Verantwortlichen sehr genau, wo die Wissenslücken in der Revision wirklich klaffen.