Seit dem 2. Februar 2025 verlangt die EU von jedem Unternehmen, das KI einsetzt, nachweisbare KI-Kompetenz im Team - die sogenannte KI-Schulungspflicht aus Artikel 4 der KI-Verordnung. Viele KMU-Entscheider unterschätzen das Thema, weil sie “nur ChatGPT” nutzen. Genau das reicht aber schon, um unter die Pflicht zu fallen. Dieser Leitfaden zeigt dir, was Artikel 4 wirklich fordert, was bei Verstößen droht und wie du die Pflicht in fünf Schritten pragmatisch umsetzt - ohne Konzern-Bürokratie.
Das Wichtigste zur KI-Schulungspflicht in Kürze
Die KI-Schulungspflicht ergibt sich aus Artikel 4 der EU-KI-Verordnung (Verordnung 2024/1689) und gilt seit dem 2. Februar 2025. Sie gilt für jedes Unternehmen, das KI-Systeme einsetzt. Größe und Branche spielen keine Rolle, die Risikoklasse der eingesetzten Tools ebenfalls nicht. Auch die reine Nutzung von ChatGPT, Copilot oder Gemini zählt.
Einen festen Lehrplan oder ein vorgeschriebenes Zertifikat gibt es nicht. Die Pflicht verlangt, dass alle Personen, die mit KI arbeiten, über ein ausreichendes Maß an KI-Kompetenz verfügen - was das konkret heißt, hängt von Rolle und Einsatzkontext ab. Im Prüfungs- oder Schadensfall musst du belegen können, dass du diese Kompetenz sichergestellt hast. Deshalb gehört zu jeder ernsthaften Umsetzung eine Dokumentation.
Ein Hinweis vorab: Dieser Artikel ist ein praxisnaher Leitfaden, kein Ersatz für Rechtsberatung. Den vollständigen Disclaimer findest du am Ende.
Was ist die KI-Schulungspflicht? Artikel 4 KI-VO einfach erklärt

Artikel 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, nach besten Kräften sicherzustellen, dass ihr Personal und alle in ihrem Auftrag tätigen Personen über ausreichende KI-Kompetenz verfügen. Den Originaltext kannst du direkt in Art. 4 KI-VO nachlesen - er umfasst nur wenige Sätze, hat aber weitreichende Folgen.
Was “KI-Kompetenz” bedeutet, definiert die Verordnung in Artikel 3 Nr. 56: Fähigkeiten, Kenntnisse und Verständnis für den sachkundigen Einsatz von KI-Systemen - einschließlich technischer, rechtlicher und ethischer Aspekte. Konkret heißt das für dein Team:
- Technisch: Wie funktionieren Sprachmodelle grundsätzlich? Wo liegen ihre Grenzen? Warum halluzinieren sie?
- Rechtlich: Welche Daten dürfen Mitarbeitende eingeben? Was verlangen DSGVO und KI-VO parallel?
- Ethisch und organisatorisch: Wann braucht ein KI-Ergebnis menschliche Kontrolle? Wer gibt Outputs frei?
Wichtig für die Einordnung: Der Verordnungstext gibt kein konkretes Schulungsformat vor. Er fordert ausreichendes Wissen für den sicheren KI-Einsatz - abgestimmt auf technische Vorkenntnisse, Erfahrung und den konkreten Einsatzkontext der jeweiligen Person. Ein Buchhalter, der ab und zu Texte mit ChatGPT umformuliert, braucht offensichtlich weniger Tiefe als ein Entwickler, der KI-Workflows für Kundendaten baut.
Artikel 4 verlangt kein Zertifikat, sondern macht die Geschäftsführung organisatorisch verantwortlich: Du musst dafür sorgen, dass niemand in deinem Unternehmen KI blind einsetzt.
Wer ist betroffen? Auch reine ChatGPT-Nutzung zählt

Betroffen ist, wer KI-Systeme einsetzt, anbietet oder entwickelt. Auf die Unternehmensgröße kommt es dabei nicht an. Die IHK Hannover stellt klar: Die Verpflichtung trifft Anbieter, Betreiber, Händler und Importeure von KI-Systemen gleichermaßen. Die Vorgabe richtet sich an alle Organisationen, die KI entwickeln, einsetzen oder steuern. Das fängt bei ChatGPT im Tagesgeschäft an und hört bei automatisierter Kundenkommunikation oder internen Datenanalysen noch lange nicht auf.
Für dich als KMU heißt das: Sobald dein Team ChatGPT, Copilot, Gemini oder ein KI-Feature in bestehender Software beruflich nutzt, bist du Betreiber im Sinne der KI-VO - egal, in welcher Branche du arbeitest und wie viele Leute bei dir angestellt sind.
Ein Punkt, den viele Ratgeber widersprüchlich darstellen: Du musst nicht pauschal jeden Mitarbeitenden schulen. Die Pflicht greift bei allen, die tatsächlich mit KI in Berührung kommen - vom Nutzer über denjenigen, der Ergebnisse freigibt, bis zur Person, die Tools auswählt oder den Einsatz steuert. In der Praxis bilden sich typischerweise diese Rollengruppen:
- Operative Anwender: nutzen KI-Tools im Tagesgeschäft (Marketing, Vertrieb, Backoffice)
- IT und Datenschutz: bewerten und administrieren Tools
- Geschäftsführung: verantwortet den Rahmen und trifft Freigabeentscheidungen
- QM/Compliance: verankert KI im Managementsystem, falls vorhanden
- Externe Dienstleister: arbeiten in deinem Auftrag mit deinen KI-Systemen - auch sie fallen unter deine Sicherstellungspflicht
Wer nachweislich keinerlei Berührung mit KI hat, braucht keine Schulung. Diese Abgrenzung solltest du allerdings dokumentieren, nicht nur annehmen - Schatten-KI über private Accounts kommt in der Praxis häufig vor.
Seit wann gilt die Pflicht? Die Fristen-Timeline der KI-VO
Zentrale Meilensteine der KI-VO laut Artikeltext: Inkrafttreten, Anwendbarkeit von Artikel 4 und Beginn der Marktüberwachung.
In Kraft ist die KI-Verordnung seit August 2024, ihre Pflichten greifen allerdings gestaffelt. Für die Schulungspflicht sind diese Daten entscheidend:
| Datum | Was gilt |
|---|---|
| August 2024 | KI-Verordnung tritt in Kraft |
| 2. Februar 2025 | Artikel 4 (KI-Kompetenz) verbindlich anwendbar, ebenso die Verbote unzulässiger KI-Praktiken |
| 2. August 2025 | Pflichten für Anbieter von GPAI-Modellen (General-Purpose AI) treten in Kraft |
| 3. August 2026 | Beginn der aktiven Marktüberwachung durch die zuständigen Behörden |
| danach | Weitere Übergangsfristen für einzelne Anforderungen laufen schrittweise aus |
Die wichtigste Erkenntnis für dich: Die Schulungspflicht gilt nicht “ab 2026”, wie manche Quellen suggerieren - sie gilt bereits seit dem 2. Februar 2025. Was sich 2026 ändert, ist die Durchsetzung: Ab dem 3. August 2026 beginnt die aktive Überwachung durch die Marktüberwachungsbehörden, wie CSM Consulting zusammenfasst. Falls du noch keine Struktur aufgebaut hast: Der Verzug läuft seit über einem Jahr.
Aufsicht, Bußgeld und Haftung: Was droht wirklich?

In Deutschland übernimmt die Bundesnetzagentur die Rolle der nationalen Aufsichtsbehörde für KI. Sie ist erster Ansprechpartner für Marktüberwachung und Beschwerden - Betroffene haben nach Art. 85 KI-VO ausdrücklich das Recht, sich bei einer Marktüberwachungsbehörde zu beschweren.
Jetzt die Klarstellung, die in vielen Artikeln fehlt: Ein Verstoß gegen Artikel 4 zieht derzeit kein eigenständiges Bußgeld nach sich. Kein “Schulungs-Bußgeld”, das die Behörde direkt aus Artikel 4 verhängen kann. Die hohen Bußgeldrahmen, die in vielen Beiträgen kursieren, beziehen sich auf andere Verstöße - etwa verbotene KI-Praktiken oder Pflichtverletzungen bei Hochrisiko-Systemen.
Entwarnung ist das trotzdem nicht. Das reale Risiko liegt woanders: Behörden können fehlende Ausbildung im Umgang mit KI bei Schäden, Beschwerden oder Prüfungen als Organisationsmangel werten. Ein Beispiel: Gibt ein Mitarbeitender Kundendaten in ein ungesichertes Tool ein, verschärft die fehlende Schulung deine Haftungsposition erheblich. Dasselbe gilt, wenn dein Unternehmen eine halluzinierte KI-Aussage veröffentlicht. Du kannst dann nicht belegen, dass du deiner Sorgfaltspflicht nachgekommen bist.
Einordnen lässt sich das so: Bußgeld-Panik ist unbegründet, ignorieren solltest du die Sorgfalts- und Haftungsdimension aber auch nicht. Wer dir mit der Schulungspflicht Angst macht, will dir meistens etwas verkaufen.
DSGVO vs. KI-VO: Wo liegt der Unterschied?
Kurz gesagt schützt die DSGVO personenbezogene Daten, während die KI-VO den Einsatz von KI-Systemen regelt. Keine löst die andere ab, beide gelten nebeneinander. Für die Praxis hilft diese Gegenüberstellung:
| DSGVO | KI-VO (Art. 4) | |
|---|---|---|
| Schutzgut | Personenbezogene Daten | Sicherer, kompetenter KI-Einsatz |
| Aufsicht | Datenschutzbehörden der Länder | Marktüberwachung, in Deutschland Bundesnetzagentur |
| Anlass | Verarbeitung personenbezogener Daten | Einsatz von KI-Systemen, egal mit welchen Daten |
| Kernpflicht | Rechtsgrundlage, AVV, TOMs, Betroffenenrechte | KI-Kompetenz sicherstellen, rollenbezogen |
| Sanktion | Direkte Bußgelder möglich | Art. 4 löst kein direktes Bußgeld aus, birgt aber Haftungsrisiko |
Bei der ChatGPT-Nutzung überschneiden sich beide Regelwerke: Die DSGVO regelt, welche Daten dein Team eingeben darf und ob du einen Auftragsverarbeitungsvertrag brauchst - wie du das sauber löst, zeigt unser Leitfaden ChatGPT DSGVO-konform nutzen. Die KI-VO verlangt zusätzlich, dass die Menschen am Tool verstehen, was sie tun: Grenzen des Modells kennen, Outputs prüfen, Freigabeprozesse einhalten.
Hast du deine DSGVO-Hausaufgaben schon gemacht, bist du hier klar im Vorteil. Mit der KI-VO kommen vor allem nachweisbare KI-Kompetenz, eine Tool-Governance (wer darf welches Tool wofür nutzen) und Transparenzpflichten beim KI-Einsatz neu dazu.
KI-Schulungspflicht im KMU umsetzen: Der 5-Schritte-Fahrplan
Du brauchst dafür kein Compliance-Projekt mit externem Beraterstab. Bei 10-50 Mitarbeitenden reicht ein Fahrplan, der sich an deinem tatsächlichen KI-Einsatz orientiert. Der Aufwand für die Erstumsetzung bleibt in der Regel überschaubar und lässt sich mit begrenzter interner Kapazität stemmen, ergänzt um eine regelmäßige Auffrischung. So gehst du vor:
Schritt 1: Tool-Inventar erstellen
Erfasse in einer einfachen Tabelle alle KI-Tools im Unternehmen - auch die inoffiziellen. Bewährte Spalten:
| Spalte | Beispiel |
|---|---|
| Tool | ChatGPT Team |
| Zweck | Textentwürfe Marketing |
| Risikoeinstufung | Minimales/begrenztes Risiko |
| Nutzergruppe | Marketing, Vertrieb |
| Datenschutzstatus | AVV vorhanden, keine Kundendaten erlaubt |
Frage aktiv im Team nach, welche Tools tatsächlich im Einsatz sind. Eine Orientierung, welche Lösungen sich für KMU eignen, gibt dir unser Überblick KI-Tools für Unternehmen im Vergleich.
Schritt 2: Rollen und Betroffene festlegen
Ordne jedem Tool die Nutzergruppen zu und lege fest, wie tief das Wissen jeweils gehen muss. Gelegentliche Anwender kommen mit Grundlagen aus; wer mit sensiblen Daten arbeitet oder KI-Outputs nach außen freigibt, braucht mehr. Vergiss externe Dienstleister nicht, die in deinem Auftrag mit deinen Systemen arbeiten.
Schritt 3: KI-Richtlinie aufsetzen
Halte auf 2-4 Seiten verbindlich fest: welche Tools freigegeben sind, welche Eingaben erlaubt und verboten sind (insbesondere Kunden- und Personaldaten), wer neue Tools freigibt und wie die Output-Kontrolle läuft. Die Verordnung schreibt keine Richtlinie wörtlich vor - sie ist aber das effektivste Instrument, um Kompetenz verbindlich zu machen und deinen Nachweis zu stützen.
Schritt 4: Rollenbezogene Schulung durchführen
Für die Breite reicht ein kompaktes Format: Grundlagen der Funktionsweise, typische Fehlerquellen wie Halluzinationen, die Regeln deiner KI-Richtlinie. Für sensible Rollen - etwa alle, die mit Kundendaten oder Automatisierungen arbeiten - ergänzt du einen vertiefenden Workshop mit euren konkreten Anwendungsfällen. Ob E-Learning, interne Session oder externer Anbieter, entscheidet ihr selbst: Die Verordnung schreibt kein Format vor, nur das Ergebnis zählt.
Schritt 5: Nachweis dokumentieren und aktuell halten
Dokumentiere jede Maßnahme (Details im nächsten Abschnitt) und lege feste Rhythmen fest: das Tool-Inventar etwa quartalsweise prüfen, die Schulung jährlich auffrischen und die Richtlinie immer dann anfassen, wenn ein neues Tool dazukommt. KI-Compliance hört nicht auf, wenn die Erstschulung durch ist.
So sieht ein prüffester Schulungsnachweis konkret aus
Die Verordnung selbst enthält keine formalen Anforderungen an Dokumentation oder Nachweisführung der Kompetenzvermittlung - darauf weist die IHK Hannover ausdrücklich hin. Trotzdem führt kein Weg an der Dokumentation vorbei. Im Schadens- oder Prüfungsfall trägst du die Argumentationslast, dass du KI-Kompetenz “nach besten Kräften” sichergestellt hast. Ohne Unterlagen gelingt das nicht.
Ein prüffester Nachweis enthält mindestens:
- Teilnehmerliste mit Namen und Rollen
- Datum und Dauer der Maßnahme
- Vermittelte Inhalte in Stichpunkten (Agenda genügt)
- Referent oder Quelle (intern, externer Trainer, E-Learning-Anbieter)
- Bestätigung der Teilnahme - Unterschrift oder digitale Bestätigung
- Zuordnung zur Rolle: warum diese Inhalte für diese Gruppe passen
Stärker wird der Nachweis mit einer kurzen Lernerfolgskontrolle - ein Quiz mit fünf Fragen reicht im KMU-Kontext. Bewahre die Unterlagen dauerhaft auf und aktualisiere sie, sobald sich Tools oder Einsatzzwecke ändern.
Damit klärt sich auch die häufige Frage nach dem Selbststudium: Ja, selbst organisiertes Lernen kann genügen - wenn es rollenpassend ist und du es dokumentierst (wer hat wann welche Inhalte bearbeitet, mit welcher Bestätigung). Reiner YouTube-Konsum ohne jede Aufzeichnung bringt im Prüfungsfall dagegen nichts. Wer bereits ein Managementsystem betreibt, kann die KI-Kompetenz optional in Strukturen wie ISO 42001 verankern - Pflicht ist das nicht.
Typische Fehler bei der KI-Schulungspflicht vermeiden
In Compliance- und KMU-Communities tauchen bestimmte Fragen und Fehler immer wieder auf. Diese solltest du vermeiden:
- Selbststudium ohne Nachweis: Das Team “kennt sich schon aus” - nur belegen kann es niemand. Ohne Dokumentation existiert die Maßnahme rechtlich nicht.
- One-size-fits-all-Schulung: Ein generisches Webinar für alle ignoriert die Kernanforderung von Artikel 4 - Kompetenz muss zu Rolle und Einsatzkontext passen.
- Schatten-KI: Mitarbeitende nutzen private ChatGPT-Accounts, weil es keine freigegebenen Alternativen gibt. Das umgeht jede Governance und schafft DSGVO-Risiken obendrauf. Gerade Marketing-Teams greifen schnell zu ungeprüften Tools - eine Übersicht geprüfter Optionen findest du im Beitrag KI Marketing Tools im DSGVO-Test.
- Totes Tool-Inventar: Einmal erstellt, nie aktualisiert. KI-Features tauchen inzwischen in fast jeder Standardsoftware auf - dein Inventar muss mitwachsen.
- Papier-Richtlinie: Eine KI-Richtlinie, die niemand kennt, schützt niemanden. Kommuniziere sie aktiv, verankere sie im Onboarding und lebe sie in der Geschäftsführung vor.
- Bußgeld-Panik statt Risikoeinordnung: Wer aus Angst vor Millionenbußgeldern handelt, kauft überteuerte Compliance-Pakete. Wer die tatsächliche Rechtslage kennt, setzt gezielt und ressourcenschonend um.
Rechtlicher Hinweis (Disclaimer)
Dieser Artikel ist ein praxisorientierter Leitfaden und ersetzt keine individuelle Rechtsberatung. Rechtslage, nationale Durchführungsgesetzgebung und Behördenpraxis entwickeln sich 2026 weiter - prüfe den aktuellen Stand, bevor du weitreichende Entscheidungen triffst. Bei Hochrisiko-KI, unklaren Betreiber-Konstellationen oder branchenspezifischen Anforderungen empfehlen wir eine fachanwaltliche Prüfung.
FAQ zur KI-Schulungspflicht
Müssen wirklich alle Mitarbeitenden geschult werden?
Nein. Die Pflicht knüpft am tatsächlichen Umgang mit KI an, nicht an der reinen Zugehörigkeit zum Team. Wer nie mit KI-Tools arbeitet, braucht keine Schulung - diese Ausnahme solltest du aber schriftlich festhalten, statt sie nur anzunehmen. Neu eingestellte Personen und externe Dienstleister nimmst du in die Betrachtung mit auf, sobald sie Zugriff auf deine KI-Systeme bekommen.
Ist eine KI-Richtlinie Pflicht?
Nein, Artikel 4 verlangt keine formale KI-Richtlinie, sondern KI-Kompetenz. In der Praxis ist die Richtlinie aber das effektivste Mittel, um Regeln verbindlich zu machen, Schatten-KI einzudämmen und deinen Nachweis zu stützen. Faktisch führt kaum ein Weg daran vorbei.
Welche Bußgelder drohen aus der KI-Schulungspflicht?
Aus Artikel 4 selbst drohen derzeit keine direkten Bußgelder - die Vorschrift löst kein eigenständiges Bußgeld aus. Fehlende Kompetenz kann jedoch bei Schäden, Beschwerden oder Behördenprüfungen als Organisationsmangel gelten und deine Haftungsposition deutlich verschlechtern.
Reicht ein kostenloses Online-Seminar als Nachweis?
Grundsätzlich ja - wenn die Inhalte zur Rolle der Teilnehmenden passen und du Teilnehmer, Datum, Inhalte und idealerweise eine Lernerfolgskontrolle dokumentierst. Reiner Videokonsum ohne jede Aufzeichnung genügt im Prüfungsfall nicht.
Was ist der Unterschied zwischen DSGVO und KI-VO bei der ChatGPT-Nutzung?
Die DSGVO regelt den Schutz personenbezogener Daten - also welche Eingaben erlaubt sind und ob du einen AVV brauchst. Die KI-VO verlangt zusätzlich KI-Kompetenz und eine Tool-Governance. Beide Regelwerke gelten parallel; wer nur die DSGVO abdeckt, erfüllt die KI-VO noch nicht.
Gilt die KI-Schulungspflicht erst ab 2026?
Nein, das ist ein verbreitetes Missverständnis. Verbindlich gilt die Pflicht bereits seit dem 2. Februar 2025. Ab dem 3. August 2026 ändert sich nur die Durchsetzung: Dann startet die aktive Marktüberwachung, in Deutschland durch die Bundesnetzagentur. Wer erst 2026 beginnt, holt also eine über ein Jahr offene Lücke nach.




