Art. 4 AI Act: Was die KI-Kompetenz-Pflicht für den Mittelstand wirklich heißt
Art. 4 AI Act gilt seit Februar 2025, Bußgelder ab August 2026. Was die KI-Kompetenz-Pflicht für DACH-Mittelständler konkret bedeutet — pragmatisch erklärt.
Ein Gespräch im April
Vor zwei Wochen saß ich mit der Geschäftsführerin eines Maschinenbau-Mittelständlers aus dem Schwarzwald in einer Videocall-Session. 280 Mitarbeitende, sauber geführter Familienbetrieb, gute Bücher. Vor neun Monaten hat sie Microsoft 365 Copilot für die Hälfte ihrer Belegschaft eingekauft, dazu eine ChatGPT-Team-Lizenz für die Entwicklung. Läuft gut. Die Mitarbeitenden sind angetan, der Marketing-Output hat sich messbar beschleunigt.
Ihre Frage in dem Gespräch: „Mein Anwalt sagt mir, ich muss meine Leute jetzt schulen. Wegen Art. 4. Müssen wir das wirklich? Und was genau eigentlich?"
Die ehrliche Antwort lautet: Ja, müssen Sie. Seit dem 2. Februar 2025. Und die Marktüberwachungsbehörden sind seit dem 2. August 2025 benannt — in Deutschland ist es die Bundesnetzagentur. Bußgelder können ab dem 2. August 2026 verhängt werden. Was Art. 4 AI Act genau von Ihnen verlangt, ist allerdings deutlich weniger dramatisch, als es im ersten Moment klingt — und gleichzeitig konkreter, als die meisten Unternehmen es derzeit umsetzen.
Dieser Artikel ist für Geschäftsführerinnen und Geschäftsführer gedacht, die KI bereits einsetzen — typischerweise ChatGPT, Copilot oder Claude — und nun verstehen wollen, was die KI-Kompetenz-Pflicht praktisch bedeutet. Ohne Panikmache, ohne Anwalts-Floskeln, mit dem Anspruch, dass Sie nach dem Lesen wissen, was zu tun ist.
Self-Assessment in 7 Minuten: Wo steht Ihr Unternehmen bei Art. 4? Unser kostenloser KI-Check zeigt Ihnen die fünf häufigsten Lücken im DACH-Mittelstand und gibt Ihnen einen pragmatischen Fahrplan.
Was Art. 4 AI Act wirklich verlangt — und was nicht
Der Wortlaut von Art. 4 ist kurz. Sinngemäß: Anbieter und Betreiber von KI-Systemen treffen Maßnahmen, um „nach besten Kräften" ein hinreichendes Niveau an KI-Kompetenz ihres Personals und anderer Personen sicherzustellen, die in ihrem Auftrag mit KI-Systemen umgehen. Berücksichtigt werden dabei das technische Vorwissen, die Erfahrung, die Ausbildung und der Einsatzkontext der jeweiligen KI.
Drei Punkte sind in dieser Formulierung entscheidend.
Erstens: Sie sind betroffen. Sobald Ihre Mitarbeitenden im beruflichen Kontext ChatGPT, Copilot, Claude, Gemini oder ein anderes KI-System nutzen — und sei es nur, um eine Kundenmail zu formulieren — sind Sie Betreiber im Sinne des AI Act. Der Schwellenwert ist null. Es gibt keine KMU-Ausnahme bei Art. 4, anders als bei einigen anderen Pflichten des Gesetzes. Der einzige Ausschluss betrifft die rein private, nicht-berufliche Nutzung — also Mitarbeitende, die ChatGPT zu Hause benutzen, nicht im Job.
Zweitens: „nach besten Kräften" ist eine offene Norm. Die EU-Kommission hat im Mai 2025 in ihren FAQ zur KI-Kompetenz ausdrücklich klargestellt, dass es keinen vorgeschriebenen Lehrplan, keine bestimmte Zertifizierungspflicht und keine Mindeststundenzahl gibt. Was Sie tun müssen, ist kontextabhängig: Ein Industrieunternehmen, das KI nur für E-Mails einsetzt, hat eine andere Pflicht als eine Beratung, die KI für Kunden-Empfehlungen verwendet. Diese Offenheit ist gleichzeitig die Krux: Sie können die Pflicht nicht einfach durch den Kauf einer E-Learning-Lizenz erfüllen, sondern müssen bedarfsgerecht schulen.
Drittens: Sie müssen nichts zertifizieren — aber Sie müssen nachweisen können. Art. 4 selbst verlangt keine Dokumentation. Aber wenn die Bundesnetzagentur ab 2026 nachfragt, was Sie unternommen haben, müssen Sie etwas vorlegen können. Mündliche Schulungen ohne jeglichen Nachweis sind faktisch nicht verteidigbar.
Was Art. 4 nicht verlangt:
- Keine externen Zertifikate für Ihre Mitarbeitenden
- Kein Datenschutzbeauftragter-Äquivalent für KI (das ist ein anderes Thema, geregelt unter Risiko-Hochstufung)
- Keine quartalsweise Wiederholungspflicht (jährliche Auffrischung gilt aber als Best Practice)
- Keine Pflicht, jedes eingesetzte KI-Tool offiziell freigeben zu lassen
Die Höhe möglicher Sanktionen ist trotzdem ernstzunehmen. Verstöße gegen die Betreiber-Pflichten — wozu Art. 4 zählt — können nach Art. 99 AI Act mit bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist. Realistisch werden die nationalen Behörden im Mittelstand zunächst nicht den Hammer ausfahren — aber dokumentierte Vorgaben werden zur Eintrittskarte bei jedem öffentlichen Vergabeverfahren, bei jeder Due Diligence im M&A-Kontext und in vielen Lieferantenfragebögen.
Die fünf typischen Lücken im DACH-Mittelstand
In den letzten Monaten habe ich mit über 30 Geschäftsführungen aus dem DACH-Mittelstand über Art. 4 gesprochen. In ungefähr vier von fünf Fällen liegen die gleichen fünf Lücken vor. Sie sind selten dramatisch, aber sie sind alle fünf vorhanden.
Lücke 1: Kein vollständiges KI-Inventar
Die Frage „Welche KI-Systeme nutzen Ihre Mitarbeitenden gerade?" beantwortet so gut wie kein Geschäftsführer korrekt. Die offizielle Antwort lautet meist „Copilot und ChatGPT", die tatsächliche Realität sieht anders aus: Marketing nutzt Midjourney, die Entwicklung nutzt Claude und Cursor, der Vertrieb hat Apollo.io mit KI-Funktionen, das Recruiting nutzt LinkedIn-KI-Features, HR experimentiert mit DeepL Write, und irgendjemand in der Buchhaltung lässt ChatGPT Spesenabrechnungen analysieren. Wir nennen dieses Phänomen Shadow AI, und es ist im DACH-Mittelstand deutlich verbreiteter, als die IT-Abteilung typischerweise weiß. Ohne Inventar können Sie nichts schulen — weil Sie nicht wissen, was zu schulen wäre.
Lücke 2: Keine schriftliche KI-Richtlinie
Acht von zehn Mittelständlern haben keine schriftliche, vom Management freigegebene KI-Nutzungsrichtlinie. Sie haben oft ein „Bauchgefühl" — keine Kundendaten in ChatGPT, kein Code mit IP-Bezug — aber das ist nicht dokumentiert, nicht kommuniziert und damit für Art. 4 nicht verwertbar. Eine taugliche Richtlinie umfasst drei bis fünf Seiten, regelt Use Cases, verbotene Eingaben, Verantwortlichkeiten und das Verhalten bei Verdacht auf Fehlausgaben.
Lücke 3: Schulungen ohne Dokumentation
Viele Unternehmen haben schon geschult — meist beim Copilot-Rollout. Das Problem: Es gibt keine Teilnehmerliste, kein Inhaltsverzeichnis, keinen Nachweis. Wenn die Bundesnetzagentur 2027 nach dem zentralen Compliance-Nachweis fragt, hilft Ihnen ein „Wir haben das im Sommer 2025 mal gemacht" gar nichts. Sie brauchen eine versionierte Schulungsunterlage, eine Anwesenheitsliste mit Datum, und idealerweise einen Lernerfolgs-Test, dessen Ergebnisse archiviert werden.
Lücke 4: Keine systematische Auseinandersetzung mit Halluzinationen
Die Wahrscheinlichkeit, dass ein Mitarbeiter eine sachlich falsche KI-Ausgabe ungeprüft an einen Kunden weiterleitet, korreliert eng mit dem Reifegrad seiner Aus- und Weiterbildung in genau diesem Punkt. In der Praxis findet das Thema entweder gar nicht statt oder es wird in einer Folie abgefrühstückt („KI kann auch falsch liegen"). Was fehlt, sind konkrete Übungen: Mitarbeitende sollten lernen, plausible KI-Antworten auf Korrektheit zu prüfen, Quellen rückzuverfolgen und Grenzfälle zu erkennen. Das ist die einzige Schulungskomponente, die im Schadensfall einen echten Unterschied macht.
Lücke 5: Externe Dienstleister außerhalb des Geltungsbereichs
Art. 4 gilt für „andere Personen, die im Auftrag" mit KI-Systemen umgehen. Das sind Ihre Freelancer, Ihre IT-Dienstleister, Ihre Marketing-Agentur — und die müssen Sie genauso wie eigene Mitarbeitende in Ihre KI-Kompetenz-Maßnahmen einbeziehen. In Verträgen mit externen Dienstleistern fehlt das fast immer. Eine kurze KI-Klausel im Beauftragungsschreiben (zwei Sätze reichen) schließt die Lücke und verlagert die Beweislast.
Wo stehen Sie bei diesen fünf Lücken? Unser 7-Minuten-KI-Check prüft anhand konkreter Fragen, wie weit Sie für die Marktüberwachung ab August 2026 aufgestellt sind — inklusive personalisiertem Maßnahmen-Fahrplan.
Pflichtkonforme Umsetzung in vier bis sechs Wochen
Die gute Nachricht: Der Aufwand für ein mittelständisches Unternehmen mit 50 bis 500 Mitarbeitenden ist überschaubar. Eine realistische Zeitachse für eine pflichtkonforme Erstumsetzung sieht so aus.
Woche 1 — Inventur und Risiko-Sortierung. Versenden Sie an alle Abteilungsleitungen eine kurze Erhebung: Welche KI-Tools werden in Ihrem Bereich faktisch verwendet, mit welcher Lizenz, durch wen, und für welche Daten? Konsolidieren Sie das in einer einseitigen Tabelle. Sortieren Sie die Tools danach, ob sie nur mit nicht-sensiblen Daten arbeiten (geringes Risiko) oder Kunden-, Mitarbeiter- oder IP-Daten verarbeiten könnten (erhöhtes Risiko).
Woche 2 — Richtlinie verfassen und intern freigeben. Eine taugliche KI-Nutzungsrichtlinie lässt sich in drei bis fünf Seiten halten. Sie regelt: erlaubte Use Cases, verbotene Eingaben (Kundendaten, Bewerberdaten, IP, vertragliche Geheimnisse), Genehmigungsprozess für neue Tools, Verantwortlichkeiten (z. B. ein KI-Beauftragter pro Abteilung), Verhalten bei Halluzinations-Verdacht. Die Richtlinie wird vom Management gegengezeichnet und im Intranet hinterlegt. Wichtig: Sie zählt erst, wenn alle Mitarbeitenden den Erhalt schriftlich quittiert haben.
Woche 3 und 4 — Basis-Schulung für alle. Alle Mitarbeitenden, die KI im Job nutzen oder nutzen könnten, durchlaufen eine 60- bis 90-minütige Basis-Schulung. Inhalte: Was ist generative KI technisch (10 min), welche rechtlichen Rahmen gelten (10 min), was Sie tun dürfen und was nicht (15 min), Halluzinationen-Erkennung mit drei konkreten Beispielen aus Ihrem Geschäft (20 min), Quiz mit Nachweis (10 min). Die Schulung kann als Live-Webinar (skaliert besser bei größeren Belegschaften), als Präsenz-Workshop (besser für Risiko-Funktionen wie Vertrieb und HR) oder als hochwertiges E-Learning durchgeführt werden. Wir empfehlen einen Mix: E-Learning für die Grundlagen, Präsenz für die Halluzinationen-Übung.
Woche 5 — Vertieftes Modul für Risiko-Funktionen. Mitarbeitende in Vertrieb, HR, Recht, Compliance, Finance und Produktentwicklung erhalten zusätzlich ein zweistündiges Aufbau-Modul mit funktionsspezifischen Use Cases. Hier lohnt sich der konkrete Branchenbezug — und genau hier hilft externe Begleitung, weil interne Trainer typischerweise nicht den nötigen Marktüberblick haben, um etwa Bewerber-Screening rechtssauber von Bewerber-Vorsortierung zu trennen.
Woche 6 — Verträge und Dokumentation finalisieren. Ergänzen Sie Ihre Standardverträge mit Dienstleistern um eine kurze KI-Kompetenz-Klausel. Legen Sie für jeden Schulungsdurchgang eine Akte an: Datum, Teilnehmerliste, Lehrunterlage in der finalen Version, Quiz-Ergebnisse. Setzen Sie eine Wiedervorlage für die jährliche Auffrischung. Fertig.
Mit diesem Vorgehen sind Sie bis August 2026 nicht nur formal pflichtkonform, sondern haben gleichzeitig die typischen Folgeprobleme (Datenlecks, Compliance-Risiken bei Vergaben, M&A-Findings) substantiell reduziert. Der Gesamtaufwand bei einem 200-Personen-Unternehmen: 25 bis 40 Personentage über sechs Wochen verteilt. Bei den meisten Mandanten liegt das deutlich unter dem, was eine einzige falsch beantwortete Kundenanfrage durch eine ChatGPT-Halluzination an Folgekosten produziert.
Was Sie diese Woche tun sollten
Drei Schritte, die heute realistisch sind.
Erstens: Lassen Sie sich von den drei wichtigsten Abteilungen (IT, Marketing, Vertrieb) bis Ende der Woche eine handschriftliche Liste geben, welche KI-Tools dort genutzt werden. Sie werden überrascht sein.
Zweitens: Prüfen Sie, ob es eine schriftliche KI-Richtlinie gibt. Wenn ja, ist sie aktuell? Wenn nein: setzen Sie diesen Punkt auf die Agenda der nächsten Geschäftsführungsrunde.
Drittens: Klären Sie mit Ihrem Anwalt oder Compliance-Verantwortlichen, ob Sie als Hochrisiko-Anwender im Sinne des AI Act gelten — bestimmte Branchen (Medizin, Bewerber-Screening, Bonitäts-Bewertung) haben über Art. 4 hinaus deutlich strengere Pflichten. Eine breitere Einordnung der regulatorischen Landschaft finden Sie in unserer EU-AI-Act-Roadmap für C-Level.
Wenn diese drei Punkte abgehakt sind, ist der Rest mechanisch. Die Pflicht ist ernst, aber sie ist erfüllbar — und sie ist erfüllbar in normalen Geschäftszeiten, ohne dass Sie ein Compliance-Großprojekt aufsetzen müssen.
Pragmatischer Einstieg: Wenn Sie sehen wollen, wo Ihr Unternehmen konkret steht, machen Sie unseren KI-Check. Konkrete Fragen, sieben Minuten Zeitaufwand, am Ende ein personalisierter Maßnahmen-Fahrplan mit Priorisierung — kostenlos und ohne Anmeldung. Wenn Sie die Umsetzung lieber begleiten lassen, finden Sie unter KI-Training unsere Schulungspakete für DACH-Mittelständler.
Art. 4 ist die einfachste Pflicht des EU AI Act. Sie ist gleichzeitig die, an der die meisten Unternehmen scheitern werden, weil sie zu beiläufig wirkt. Das müssen Sie nicht.
Quellen
Häufig gestellte Fragen
Gilt Art. 4 AI Act auch für kleine Unternehmen?
Ja, ohne KMU-Ausnahme. Sobald Mitarbeitende KI-Systeme wie ChatGPT, Copilot oder Claude im beruflichen Kontext nutzen, ist Ihr Unternehmen Betreiber im Sinne des EU AI Act. Der Schwellenwert ist null. Ausgenommen ist nur die rein private, nicht-berufliche Nutzung.
Welche Bußgelder drohen bei Verstößen gegen Art. 4 AI Act?
Verstöße gegen Betreiber-Pflichten — wozu Art. 4 zählt — können nach Art. 99 EU AI Act mit bis zu 15 Millionen Euro oder 3 Prozent des globalen Jahresumsatzes geahndet werden, je nachdem welcher Betrag höher ist. Verhängbar sind diese Sanktionen durch die nationalen Marktüberwachungsbehörden ab dem 2. August 2026, in Deutschland durch die Bundesnetzagentur.
Reicht eine einmalige ChatGPT-Schulung für die KI-Kompetenz-Pflicht?
Nein. Eine pflichtkonforme Umsetzung umfasst vier Elemente: ein KI-Inventar aller eingesetzten Tools, eine schriftliche KI-Nutzungsrichtlinie, eine dokumentierte rollenbasierte Schulung mit Anwesenheitsnachweis und eine jährliche Auffrischung. Externe Dienstleister müssen vertraglich eingebunden werden. Eine einmalige Schulung ohne Dokumentation ist nicht durchsetzbar verteidigbar.
