Art. 4 der KI-Verordnung verpflichtet Anbieter und Betreiber von KI-Systemen, ein ausreichendes Maß an KI-Kompetenz bei ihren Mitarbeitenden sicherzustellen — unter Berücksichtigung ihrer technischen Kenntnisse, Erfahrung, Ausbildung und Schulung sowie des Kontextes, in dem die KI-Systeme eingesetzt werden sollen.
Diese Pflicht greift seit dem 2. Februar 2025, der zweiten Stufe der KI-Verordnung nach dem Verbot bestimmter Praktiken. Im Lauf von 2026 wächst der Audit-Druck, weil nationale KI-Aufsichtsbehörden (in Deutschland: BNetzA als Koordinierungsstelle, gemeinsam mit dem BfDI und der Bundesnetzagentur) die formale Aufsicht aufnehmen — und weil Prüferinnen jetzt aktiv Teilnahme-Nachweise einsehen wollen.
Der Grund, warum die meisten Unternehmen hinterherhinken, ist immer derselbe: Sie haben angenommen, ihre bestehende Cybersicherheits- oder Compliance-Schulung decke das Thema mit ab. Tut sie nicht. Cybersicherheits-Schulung erklärt, wie du Phishing-Mails erkennst. KI-Kompetenz-Schulung erklärt, wie ein KI-System Entscheidungen trifft, wann du dem Output trauen darfst, wann du eine menschliche Prüfung verlangen musst, und welche Rechte die Betroffenen nach Art. 22 DSGVO und Art. 86 KI-Verordnung haben. Die Zielgruppen überschneiden sich — die Inhalte unterscheiden sich grundlegend.
Der zweite Grund: Es gibt kein vorgeschriebenes Curriculum. Jede Organisation muss ihres selbst entwerfen. Bitkom, IAPP und BSI haben Rahmenwerke veröffentlicht, aber keines ist verbindlich. Das Ergebnis ist eine breite Streuung dessen, was als ausreichendes Maß
durchgeht — und Auditoren weisen Schulungen zunehmend zurück, wenn sie zu dünn oder zu generisch sind.
Dieser Leitfaden erklärt dir, was KI-Kompetenz nach Art. 4 konkret bedeutet, welche vier Mitarbeiter-Stufen unterschiedlich tiefe Schulung brauchen (allgemeine Nutzer, Entscheider, technische Teams, Datenschutzbeauftragte und Compliance), wie du jede Stufe gestaltest, wie du die Teilnahme so dokumentierst, dass Auditoren sie akzeptieren — und welche fünf Compliance-Lücken am häufigsten auffallen. Geschrieben für HR Business Partner, Learning-and-Development-Verantwortliche und Compliance-Verantwortliche, die KI-Kompetenz in der gesamten Organisation aufbauen müssen.
Für den breiteren Rahmen der KI-Compliance in der EU siehe unseren Pillar zu KI-Governance und Compliance in der EU. Für das Hochrisiko-Regime nach Anhang III, das die Anforderungen an HR-KI-Schulung deutlich erhöht, siehe Anhang III der KI-Verordnung für HR.
Was Art. 4 wirklich verlangt
Der Wortlaut von Art. 4 ist kurz: Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften ein ausreichendes Maß an KI-Kompetenz ihres Personals und sonstiger Personen sicherzustellen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, wobei die technischen Kenntnisse, die Erfahrung, die Ausbildung und Schulung dieser Personen sowie der Kontext, in dem die KI-Systeme eingesetzt werden sollen, und die Personen oder Personengruppen, bei denen die KI-Systeme zum Einsatz kommen sollen, zu berücksichtigen sind.
Vier Formulierungen tragen den Paragrafen: ausreichendes Maß (der Maßstab ist kontextabhängig, nicht absolut), KI-Kompetenz (an anderer Stelle der Verordnung definiert als das Verständnis dafür, was KI ist, wie sie funktioniert, welche Fähigkeiten und Grenzen sie hat und welche Auswirkungen sie hat
), Personal und sonstige Personen, die mit Betrieb und Nutzung befasst sind (Mitarbeitende, externe Dienstleister, Integrationspartner) und Kontext, in dem die KI-Systeme eingesetzt werden sollen (eine KI-Kompetenz-Schulung für HR-Recruiting sieht anders aus als eine für den Kundenservice).
In der Praxis heißt das: Es gibt kein Standard-Curriculum für alle, und ob die Schulung ausreicht
, beurteilt die Auditorin anhand der tatsächlichen Interaktion der Mitarbeitenden mit dem KI-System und der Risikoklasse des Systems. Eine Sachbearbeiterin, die gelegentlich einen Copilot-Assistenten nutzt, braucht weniger Tiefe als eine Recruiterin, die ein HR-Screening-Werkzeug einsetzt (Hochrisiko nach Anhang III), oder eine Entwicklerin, die KI in kundenseitige Systeme integriert. Die Auditfrage lautet nicht: Haben alle dieselbe Schulung erhalten?
Sondern: Hat jede Rolle eine Schulung erhalten, die zur Tiefe ihrer Interaktion mit dem KI-System passt?
Die vier Mitarbeiter-Stufen und ihre Schulungs-Tiefe
| Stufe | Wer | Inhaltliche Tiefe | Typischer Umfang |
|---|---|---|---|
| 1. Allgemeine Nutzer | Sachbearbeitung, Kundenservice, alle Mitarbeitenden mit gelegentlichem KI-Einsatz | Grundlagen: Was ist KI, Fähigkeiten und Grenzen, wann dem Output nicht zu trauen ist, sicherer Umgang mit Prompts und vertraulichen Daten | 1–2 Stunden pro Jahr, Online-Modul mit Lernerfolgskontrolle |
| 2. Entscheidungsträger / Power-Anwender | Führungskräfte, HR Business Partner, Recruiterinnen mit KI-Einsatz für Einstellung, Leistungsbeurteilung oder Coaching | Inhalte aus Stufe 1 plus: Sensibilisierung für Hochrisiko nach Anhang III, Rolle und Pflichten bei der menschlichen Aufsicht, Rechte der Betroffenen nach Art. 22 DSGVO und Art. 86 KI-Verordnung, Umgang mit Diskriminierungs- und Bias-Risiken | 4 Stunden Erstschulung + 2 Stunden jährliche Auffrischung, Mischung aus Präsenz und E-Learning |
| 3. Technische Teams | Entwicklerinnen, Integrationspartner, ML-Engineers, die KI-Systeme bauen oder betreiben | Inhalte aus Stufe 2 plus: Berechtigungs-Architektur, Abwehr von Modell-Drift, Aufbau von Audit-Protokollen, Schutz gegen Prompt Injection, Observability, Anforderungen an die Technische Dokumentation nach Anhang IV | 8 Stunden Erstschulung + 4 Stunden quartalsweise Auffrischung, oft als Hands-on-Workshop |
| 4. Datenschutz / Compliance / KI-Governance | Datenschutzbeauftragte, KI-Governance-Verantwortliche, interne Revision | Inhalte aus Stufe 3 plus: vollständige KI-Verordnung, Zusammenspiel mit DSGVO, NIS2-Anforderungen, Technische Dokumentation nach Anhang IV, DSFA-Vorlage des EDPB, AIBOM und Lieferkettenrisiken | 16+ Stunden Erstschulung + 8 Stunden quartalsweise Auffrischung + jährliche Fachkonferenz (z. B. BfDI-Symposium, Bitkom KI-Konferenz) |
Prüfe deine KI-Kompetenz-Abdeckung
Die kostenlose KI-Governance-Bewertung (rund 8 Minuten) ordnet deine Mitarbeitenden den vier Stufen zu und zeigt dir, wer Schulung braucht, wer aktuell ist und wo Lücken bleiben. Du bekommst einen strukturierten Auswertungsbericht.
Die 5 häufigsten Compliance-Lücken nach Art. 4
Konforme Praxis nach Art. 4
Stufen-basierte Schulung, abgestimmt auf Rolle und Risikoklasse des jeweiligen KI-Systems
Lückenlose Teilnahme-Nachweise pro Person mit Datum, Modul und Versionsstand
Mindestens jährliche Auffrischung für alle, quartalsweise für technische Teams
Curriculum versioniert und bei jeder regulatorischen Änderung angepasst (Stufen der KI-Verordnung, neue EDPB-Leitlinien)
Schulungsinhalte decken die Rechte der Betroffenen nach Art. 22 DSGVO und Art. 86 KI-Verordnung ab
Gestaltung gemeinsam mit dem Betriebsrat nach BetrVG § 87, sofern anwendbar
Typische Audit-Befunde
Wir haben eine jährliche Cybersicherheits-Schulung — die deckt KI mit ab
Generisches KI-Kompetenz-Modul für alle, ohne Differenzierung nach Rolle
Teilnahme wird in einer Excel-Liste geführt, die seit 2024 nicht mehr aktualisiert wurde
Curriculum von 2023, nie an die Stufen 1, 2 und 3 der KI-Verordnung angepasst
Keinerlei Inhalte zu den Rechten der Betroffenen nach Art. 22 DSGVO oder Art. 86 KI-Verordnung
Betriebsrat nicht zur Gestaltung der Schulung beteiligt, obwohl § 87 BetrVG einschlägig ist
So dokumentierst du die Teilnahme audit-fest
Führe ein personenbezogenes Schulungs-Register
Pro Person: Name, Rolle, KI-Systeme im Arbeitsalltag, Stufe (1–4), absolvierte Module mit Version und Datum, nächster Auffrischungs-Termin. Auditoren erwarten einen abfragbaren Datensatz, keine Excel-Datei. Die gängigen LMS-Systeme (Moodle, Cornerstone, SAP Litmos, aber auch deutsche Anbieter wie reteach oder LearnChamp) können das standardmäßig auswerten.
Versioniere das Curriculum
Jedes Schulungs-Modul bekommt eine Versionsnummer, gebunden an den regulatorischen Stand, den es abbildet. Wenn die KI-Verordnung in eine neue Stufe geht oder der EDPB neue Leitlinien veröffentlicht, hebst du die Version an und rollst die Inhalte neu aus. Im Schulungs-Register ist jede Teilnahme an eine konkrete Modul-Version geknüpft. Auditoren können so prüfen, ob die Mitarbeitenden zum Teilnahmezeitpunkt den aktuellen Stand gelernt haben.
Prüfe Verständnis, nicht nur Anwesenheit
Art. 4 verlangt ein ausreichendes Maß
, keine Anwesenheit. Bau am Ende jedes Moduls eine Lernerfolgskontrolle ein: 10 bis 15 Fragen zu Fähigkeiten, Grenzen, Rechten und menschlicher Aufsicht. Definiere und dokumentiere die Bestehensgrenze. Auditoren unterscheiden inzwischen klar zwischen abgeschlossen
und Verständnis nachgewiesen
.
Verknüpfe jeden Nachweis mit KI-System und Risikoklasse
Wenn eine Mitarbeiterin eine Schulung zu HR-Recruiting-KI (Hochrisiko nach Anhang III)
abschließt, wandert diese Verknüpfung mit in den Nachweis. Ändert sich der Einsatz des KI-Systems oder seine Risikoklasse, zeigt dir die Verknüpfung sofort, welche Personen eine neue Schulung brauchen. Ohne diese Verknüpfung wird das Finden der Betroffenen nach einer Systemänderung zur manuellen Suche.
Erstelle einen jährlichen Schulungs-Bericht
Einen Bericht pro Jahr mit den wichtigsten Kennzahlen: Anzahl Mitarbeitender im Geltungsbereich, Teilnahmequoten je Stufe, abgedeckte Module, ausgerollte Curriculum-Versionen, identifizierte Lücken, Maßnahmenplan. Freigabe durch die oder den KI-Governance-Verantwortlichen. Das ist genau das Dokument, das Auditoren als Erstes sehen wollen — halte es bereit, bevor es angefragt wird.
Die wirkungsvollste einzelne Verbesserung: weg von der reinen Anwesenheits-Erfassung, hin zur Lernerfolgskontrolle. Ein Quiz mit 10 bis 15 Fragen am Modulende, mit dokumentierter Bestehensgrenze, macht den Unterschied zwischen wir haben geschult
und wir haben ausreichende KI-Kompetenz nachgewiesen
. Auditoren akzeptieren zunehmend nur noch Letzteres als Beleg nach Art. 4.
Mach einen KI-Readiness-Check
Die kostenlose KI-Readiness-Bewertung (rund 8 Minuten) prüft deine Compliance nach Art. 4, die Abdeckung der vier Stufen, den Reifegrad deiner Dokumentation und deine Auffrischungs-Zyklen. Du erhältst einen strukturierten Auswertungsbericht, den du direkt an HR und Compliance weiterreichen kannst.
Kernaussagen
1. Art. 4 ist seit dem 2. Februar 2025 in Kraft. Der Audit-Druck wächst im Lauf von 2026 spürbar. Die meisten Unternehmen sind im Rückstand, weil sie davon ausgingen, die Cybersicherheits-Schulung decke das mit ab — das tut sie nicht.
2. Vier Mitarbeiter-Stufen, vier Schulungs-Tiefen. Allgemeine Nutzer (1–2 h), Entscheidungsträger (4 h Erstschulung + 2 h Auffrischung), technische Teams (8 h + quartalsweise), Datenschutz und Compliance (16+ h + quartalsweise). Die Stufe richtet sich nach Interaktionstiefe und Risikoklasse des KI-Systems.
3. Fünf häufige Lücken vermeiden. Cybersicherheits-Schulung als Ersatz; generisches Modul ohne Rollendifferenzierung; veraltetes Curriculum; fehlende Inhalte zu Art. 22 DSGVO und Art. 86 KI-Verordnung; Betriebsrat nicht eingebunden.
4. Dokumentiere mit einem personenbezogenen, versionierten Schulungs-Register. Jeder Teilnahme-Nachweis verknüpft mit Modul-Version, KI-System, Risikoklasse und Ergebnis der Lernerfolgskontrolle. Jährlicher Schulungs-Bericht mit Freigabe durch die KI-Governance-Verantwortlichen.
5. Wechsel von Anwesenheits-Erfassung zu Lernerfolgskontrolle. Ein Quiz mit 10 bis 15 Fragen am Modulende macht den Unterschied zwischen wir haben geschult
und wir haben ausreichende KI-Kompetenz nachgewiesen
.
![DSGVO & KI-Verordnung: Die Compliance-Checkliste für KI-Teamassistenten [2026]](https://www.teamazing.com/wp-content/uploads/2026/03/ai-governance-in-companies.jpg)
![KI-Vertrauen der Mitarbeitenden: Die Linie zwischen Entwicklung und Überwachung [2026]](https://www.teamazing.com/wp-content/uploads/2026/04/employee-ai-trust-confidentiality.jpg)
