Zum Inhalt springen
11.3Fortgeschritten7 min

Artikel 4 EU AI Act: Die KI-Kompetenz-Pflicht (AI Literacy) verständlich erklärt

Blck Alpaca·
Definition

Artikel 4 EU AI Act (KI-Kompetenz) verpflichtet Anbieter und Betreiber von KI-Systemen, ein ausreichendes Maß an KI-Kompetenz ihres Personals sicherzustellen. Die Pflicht gilt seit 2. Februar 2025, betrifft alle Risikostufen und wird über dokumentierte, rollenbasierte Schulungen erfüllt. Verstöße bedrohen mit bis zu 7,5 Mio. Euro oder 1,5 % des weltweiten Jahresumsatzes.

Auf einen Blick

  • Artikel 4 gilt seit 2. Februar 2025 und wurde vom Digital Omnibus (politische Einigung 7. Mai 2026) NICHT verschoben - er ist bereits voll anwendbar.
  • Die Pflicht trifft Anbieter UND Betreiber gleichermaßen, über alle vier Risikostufen hinweg - auch bei Minimal-Risiko-Anwendungen wie internen RAG-Agenten.
  • Es ist kein Zertifikat vorgeschrieben, aber eine dokumentierte Schulungsmaßnahme wird erwartet und ist die Grundlage, auf der eine Behörde die Compliance prüft.
  • Der richtige Ansatz ist rollenbasiert und risikoproportional: ein 200-Personen-Mittelstand fährt typisch mit 3 bis 5 Modulen, Großkonzerne mit 5.000+ Mitarbeitenden mit 10+ Modulen.
  • Verstöße fallen in die niedrigste Bußgeldstufe (Art. 99(4)): bis zu 7,5 Mio. Euro oder 1,5 % des weltweiten Jahresumsatzes - aber es ist der am leichtesten feststellbare Verstoß in einer Routineprüfung.
  • Bei Arbeitsplatz-Einsatz ist die KI-Kompetenz mit der Betriebsrats- bzw. Personalvertretungs-Konsultation zu verzahnen.

Artikel 4 EU AI Act (KI-Kompetenz) verpflichtet Anbieter und Betreiber von KI-Systemen, ein ausreichendes Maß an KI-Kompetenz ihres Personals sicherzustellen. Die Pflicht gilt seit 2. Februar 2025, betrifft alle Risikostufen und wird über dokumentierte, rollenbasierte Schulungen erfüllt. Verstöße bedrohen mit bis zu 7,5 Mio. Euro oder 1,5 % des weltweiten Jahresumsatzes.

Die KI-Kompetenz-Pflicht ist die am häufigsten unterschätzte Vorschrift der gesamten KI-Verordnung. Sie ist keine Hochrisiko-Sondernorm, sondern eine Basispflicht, die jedes Unternehmen trifft, das KI im Betrieb einsetzt - vom Marketing-Copilot bis zum agentischen Recherche-Tool.

  • Wer? Anbieter (Provider) UND Betreiber (Deployer) - für fast jedes DACH-Unternehmen greift die Deployer-Rolle.
  • Seit wann? 2. Februar 2025, voll anwendbar. Vom Digital Omnibus nicht verschoben (Stand 2026, vorbehaltlich formaler Annahme).
  • Wie erfüllen? Dokumentiertes, rollenbasiertes Schulungskonzept - kein Zertifikat nötig, aber Nachweise erwartet.

Was Artikel 4 konkret verlangt

Anbieter und Betreiber müssen Maßnahmen ergreifen, um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz ihres Personals und sonstiger Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind. Drei Faktoren sind dabei zu berücksichtigen:

  • die technischen Kenntnisse, die Erfahrung, die Ausbildung und Schulung der betreffenden Personen;
  • den Kontext, in dem die KI-Systeme eingesetzt werden sollen;
  • die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen.

Wichtig: Die Vorschrift schreibt kein Zertifikat und keine externe Zertifizierung vor. Erwartet wird jedoch die Dokumentation des Kompetenzprogramms - und genau diese Dokumentation ist die Grundlage, auf der eine zuständige Behörde die Einhaltung beurteilt. Wer keine nachweisbare Maßnahme vorlegen kann, hat im Prüfungsfall ein Problem, selbst wenn das Personal faktisch geschult ist.

Seit wann gilt die Pflicht - und warum der Digital Omnibus nichts daran ändert

Artikel 4 ist seit dem 2. Februar 2025 in Kraft, gemeinsam mit dem Verbotskatalog des Artikel 5. Damit gehört die KI-Kompetenz zu den allerersten anwendbaren Pflichten der KI-Verordnung.

Auf den Digital Omnibus, der den Großteil der Hochrisiko-Pflichten verschiebt, haben sich Europäisches Parlament und Rat am 7. Mai 2026 politisch geeinigt. Dieser Aufschub betrifft die substanziellen Hochrisiko-Pflichten - Annex III nun ab 2. Dezember 2027, Annex I ab 2. August 2028 (Stand 2026, vorbehaltlich formaler Annahme vor dem 2. August 2026). Artikel 4 (KI-Kompetenz), Artikel 5 (Verbote), die GPAI-Regeln und das Bußgeldgerüst sind davon ausdrücklich ausgenommen. Der Aufschub darf nicht als Einladung verstanden werden, die Governance-Arbeit zu pausieren - bis zur formalen Annahme bleiben ohnehin die ursprünglichen Daten der rechtliche Default.

Für die KI-Kompetenz heißt das unmissverständlich: Die Pflicht ist heute scharfgestellt. Es gibt keine Übergangsfrist mehr.

Wen die Pflicht trifft - Anbieter und Betreiber

Anders als die meisten Pflichten der KI-Verordnung unterscheidet Artikel 4 nicht nach Risikostufe. Er gilt über alle vier Tiers hinweg - auch für Minimal-Risiko-Anwendungen wie interne RAG-Agenten über nicht-sensible Dokumente oder Code-Generierungs-Copilots für den internen Gebrauch.

Die zentrale Einordnung für den DACH-Mittelstand: Fast jedes Unternehmen ist Deployer, nicht Provider. Wer Microsoft 365 Copilot, Google Gemini for Workspace, OpenAI Enterprise, Anthropic Claude for Work oder spezialisierte Vendor-Tools nutzt, ist Betreiber und damit nach Artikel 4 verpflichtet. Ein weit verbreiteter Trugschluss lautet: "Wir nutzen nur Microsoft 365 Copilot, also sind wir nicht im Anwendungsbereich." Falsch - der Mittelstands-Deployer ist der verantwortliche Operator, und die KI-Kompetenz-Pflicht trifft ihn unabhängig vom Tool.

Wie man die Pflicht praktisch erfüllt: das Schulungskonzept

Das Q&A der EU-Kommission (veröffentlicht Mai 2025) betont einen rollenbasierten und risikoproportionalen Ansatz. Ein praxistaugliches Programm deckt mindestens die folgenden Inhalte ab:

  • Bewusstsein dafür, was KI ist und wie sie sich von konventioneller Software unterscheidet (gemäß den Definitions-Leitlinien vom 6. Februar 2025).
  • Die vier Risikostufen und die für die konkreten Anwendungen des Unternehmens geltenden Grundpflichten.
  • Wie man eine verbotene Praktik nach Artikel 5 erkennt.
  • Erkennen von Transparenz-Auslösern nach Artikel 50 (Chatbots, synthetische Inhalte, Deepfakes).
  • Für Personal mit operativer Verantwortung für Hochrisiko-Systeme: Human-Oversight-Erwartungen (Art. 14, Art. 26(2)), Meldepflichten bei Vorfällen (Art. 26(5), Art. 73), Konsultationspflichten gegenüber Betriebsrat/Personalvertretung (Art. 26(7)).
  • Für Entwickler und Einkauf: Vendor-Due-Diligence, Bewusstsein für die Art. 25 Substantial-Modification-Falle.
  • Für Führungskräfte: Bußgeldrisiko (Art. 99) und Governance-Verantwortung.

Rollen auf Kompetenzstufen abbilden

Die praktische Umsetzung beginnt mit einer Rollen-Matrix. Empfohlen wird eine Abbildung auf die Stufen Führungsebene, Management, operativ, technisch und Endnutzer. Ein 200-Personen-Mittelstand kommt typischerweise mit 3 bis 5 unterschiedlichen Kompetenzmodulen aus; ein DAX-/ATX-/SMI-Konzern mit 5.000+ Mitarbeitenden benötigt eher 10+ Module.

Rolle

Kompetenzfokus

Schlüsselartikel

Führungsebene

Bußgeldrisiko, Governance-Verantwortung, Rollenklärung Provider/Deployer

Art. 99, Art. 4

Management

Vier Risikostufen, betriebliche Pflichten, Betriebsrats-Konsultation

Art. 26, Art. 26(7)

Operativ

Human Oversight, Vorfall-Eskalation, Erkennen von Risiken im Betrieb

Art. 14, Art. 26(2), Art. 73

Technik/Entwicklung

Vendor-Due-Diligence, Substantial-Modification-Falle

Art. 25

Endnutzer

KI vs. Software, Transparenz-Auslöser, Erkennen verbotener Praktiken

Art. 5, Art. 50

Dokumentation, Lokalisierung und Verzahnung

Für die belastbare Erfüllung gelten vier praktische Leitplanken:

  • Schulungen dokumentieren - Teilnahmenachweise, Versionierung der Inhalte, periodische Auffrischung.
  • Inhalte lokalisieren - Deutsch für DE/AT, Deutsch/Französisch/Italienisch für die CH, unter Berücksichtigung der jeweils geltenden Antidiskriminierungs- und Datenschutzrahmen.
  • Mit der Betriebsrats-Konsultation verzahnen - KI-Kompetenz ist oft selbst ein Thema, an dem Betriebsräte ein Konsultationsinteresse haben.
  • Auf autoritative Quellen verweisen - den KI-Service Desk der BNetzA (Bonn), die KI-Servicestelle der RTR (Wien) sowie die Risk-Monitor-Materialien der FINMA (für Beschäftigte im Finanzsektor).

Das Bußgeldrisiko

Verstöße gegen Artikel 4 fallen in die allgemeine Verstoß-Stufe nach Artikel 99(4): bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Das ist zwar die niedrigste der drei Bußgeldstufen - die Verbots-Verstöße nach Artikel 5 liegen bei bis zu 35 Mio. Euro oder 7 %, die Deployer- und Transparenz-Verstöße bei bis zu 15 Mio. Euro oder 3 %. Es ist jedoch der am leichtesten feststellbare Verstoß in einer Routineprüfung: Fehlt das dokumentierte Programm, ist der Befund offenkundig.

Für KMU und Start-ups gilt nach Artikel 99(6) der jeweils niedrigere der beiden Werte (absoluter Betrag oder Prozentsatz), nicht der höhere. Die politische Einigung zum Digital Omnibus vom 7. Mai 2026 weitet diesen Schutz auf kleine Mid-Cap-Unternehmen (SMCs) aus.

Rechenbeispiel mit Zahlen

Ein DACH-Industrie-Mittelstand mit 180 Mitarbeitenden und 40 Mio. Euro Jahresumsatz setzt einen agentischen Recherche- und Angebots-Copilot ein (Minimal-Risiko). Die Geschäftsführung hält die KI-Kompetenz für "nicht relevant, weil kein Hochrisiko-System".

Rechtlich ist das ein Fehlschluss: Artikel 4 gilt risikostufenübergreifend. Da das Unternehmen mit weniger als 250 Beschäftigten und unter dem Umsatzschwellenwert klar als KMU einzustufen ist, gilt nach Artikel 99(6) der niedrigere Wert - hier die 1,5 % von 40 Mio. Euro = 600.000 Euro statt der absoluten 7,5 Mio. Euro. Dem gegenüber steht ein konformes Schulungskonzept: 4 Module für rund 180 Personen, jährliche Auffrischung, dokumentierte Teilnahme im LMS - ein Aufwand im niedrigen vier- bis fünfstelligen Eurobereich. Das Verhältnis von Umsetzungsaufwand zu Risikoexposition macht die Priorisierung eindeutig.

Für Agenturen und B2B-Entscheider

Marketing-Agenturen sind doppelt betroffen: als Betreiber eigener KI-Tools (Copywriting-Agenten, Bild- und Videogeneratoren) und als Berater ihrer Kundschaft, die selbst KI-Kompetenz nachweisen muss. Wer ein dokumentiertes, rollenbasiertes Kompetenzprogramm aufsetzt, deckt nicht nur die eigene Artikel-4-Pflicht ab, sondern schafft ein verkaufbares Beratungsmodul - inklusive Verzahnung mit Transparenz-Pflichten (Art. 50) und Betriebsrats-Konsultation (Art. 26(7)). Für B2B-Entscheider ist die KI-Kompetenz der pragmatische Einstieg in die gesamte AI-Act-Compliance: Sie ist verpflichtend, sofort fällig und mit überschaubarem Aufwand belastbar erfüllbar.

Wir unterstützen DACH-Unternehmen und Agenturen beim Aufbau eines prüfungsfesten KI-Kompetenz-Programms - von der Rollen-Matrix über lokalisierte Module bis zur Dokumentationsstruktur.

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Für die verbindliche Bewertung Ihres konkreten Einzelfalls ziehen Sie bitte qualifizierten Rechtsrat hinzu.

Häufig gestellte Fragen

Seit wann gilt Artikel 4 EU AI Act?
Die KI-Kompetenz-Pflicht nach Artikel 4 ist seit dem 2. Februar 2025 in Kraft - gemeinsam mit dem Verbotskatalog des Artikel 5. Der Digital Omnibus, auf den sich Europäisches Parlament und Rat am 7. Mai 2026 politisch geeinigt haben und der den Großteil der Hochrisiko-Pflichten verschiebt, lässt Artikel 4 ausdrücklich unberührt. Die Pflicht ist also bereits heute voll anwendbar und nicht aufschiebbar (Stand 2026, vorbehaltlich formaler Annahme).
Wen trifft die KI-Kompetenz-Pflicht?
Artikel 4 verpflichtet Anbieter (Provider) und Betreiber (Deployer) von KI-Systemen gleichermaßen. Für nahezu jedes DACH-Unternehmen, das KI-Tools nutzt - etwa Microsoft 365 Copilot, ChatGPT Enterprise oder Claude for Work - greift die Deployer-Rolle. Die Pflicht erstreckt sich auf eigenes Personal und auf andere Personen, die in deren Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind. Sie gilt über alle vier Risikostufen, einschließlich Minimal-Risiko.
Welches Bußgeld droht bei Verstoß gegen Artikel 4?
Verstöße gegen die KI-Kompetenz-Pflicht fallen in die allgemeine Verstoß-Stufe nach Artikel 99(4): bis zu 7,5 Millionen Euro oder 1,5 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Für KMU und Start-ups gilt nach Artikel 99(6) der jeweils niedrigere der beiden Werte; der Digital Omnibus weitet diesen Schutz auf kleine Mid-Cap-Unternehmen (SMCs) aus. Obwohl es die niedrigste Stufe ist, ist es der am einfachsten feststellbare Verstoß.
Brauche ich ein Zertifikat, um Artikel 4 zu erfüllen?
Nein. Der EU AI Act verlangt kein Zertifikat und keine externe Prüfung. Erforderlich ist ein ausreichendes Maß an KI-Kompetenz, das die Maßnahme nach besten Kräften sicherstellt. Erwartet wird jedoch die Dokumentation des Schulungsprogramms - Inhalte, Versionierung, Teilnahmenachweise und regelmäßige Auffrischung. Diese Dokumentation ist die Grundlage, auf der eine zuständige Behörde die Einhaltung beurteilt.
Was muss ein KI-Kompetenz-Schulungskonzept inhaltlich abdecken?
Das Programm sollte rollenbasiert und risikoproportional aufgebaut sein. Mindestinhalte laut Commission-Q&A (Mai 2025): Was KI ist und wie sie sich von konventioneller Software unterscheidet, die vier Risikostufen mit den für das Unternehmen relevanten Pflichten, das Erkennen verbotener Praktiken (Art. 5), Transparenz-Auslöser (Art. 50), für operative Rollen die Human-Oversight- und Meldepflichten (Art. 14, Art. 26(2), Art. 26(5), Art. 73), für Einkauf/Entwicklung die Art. 25 Modifikations-Falle und für die Führungsebene das Bußgeldrisiko (Art. 99).

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerRisikoklassen des EU AI Act einfach erklärt: Die 4 Stufen mit BeispielenNächsterArtikel 50 EU AI Act: Transparenzpflichten im Überblick