Zum Inhalt springen
Jetzt starten

EU AI Act · Praxis-Leitfaden · Stand Juni 2026

Erfüllen Sie Art. 4 EU AI Act bereits?

Seit dem 2. Februar 2025 verpflichtet Art. 4 jedes Unternehmen, Maßnahmen für die KI-Kompetenz seiner Mitarbeitenden zu ergreifen — auch für Freelancer und Agenturen, die in Ihrem Auftrag mit KI arbeiten. Ohne dokumentierte Schulung fehlt im Audit- und Haftungsfall der Beleg. Der AI Act sieht zudem empfindliche Bußgelder vor: bis 15 Mio € oder 3 % des Weltumsatzes für Verstöße gegen Betreiberpflichten, bis 35 Mio € oder 7 % für verbotene Praktiken. Dieses Dossier zeigt, was Sie jetzt tun müssen — und wie Sie den Nachweis in 60 Minuten rechtssicher bekommen.

  • 149 € inkl. MwSt.
  • 60 Min Lernzeit
  • ZFU-Nr. 7566226 staatlich zugelassen
  • Anwaltlich geprüft (IT- und Datenschutzrecht)
  • Personalisiertes Zertifikat
Art. 4 abgehakt — 149 € 7 Fragen Schnelltest Erst Dossier lesen
02.02.2025Art. 4 verbindlich seit
15 Mio €Bußgeld bei Betreiber-Verstoß
3 %Weltumsatz-Risiko
02.08.2026Hochrisiko-Pflichten greifen

Kurzfassung

Art. 4 EU AI Act ist seit 2. Februar 2025 verbindlich. Jedes Unternehmen, das KI einsetzt oder einsetzen lässt, muss Maßnahmen für die KI-Kompetenz ergreifen — inklusive Freelancer und Agenturen — und sollte sie dokumentieren. Der schnellste Weg zum audit-tauglichen Nachweis: ein staatlich zugelassener, anwaltlich geprüfter Kurs (ZFU-Nr. 7566226) mit personalisiertem Zertifikat, 60 Minuten Lernzeit.

Vollständiges Dossier unten: 20 Abschnitte, 52 Primärquellen, ca. 15 Minuten Lesezeit.

Art. 4 abgehakt — 149 € Team-Lizenz anfragen 7 Fragen Schnelltest

EU AI Act Art. 4 in 60 Sekunden

Der EU AI Act (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz und gilt unmittelbar in allen EU-Mitgliedstaaten. Für Unternehmen in Deutschland sind seit dem 2. Februar 2025 bereits das Verbot bestimmter KI-Praktiken nach Artikel 5 sowie die Pflicht zur KI-Kompetenz nach Artikel 4 verbindlich; ab dem 2. August 2026 greifen zusätzlich die breiten Anforderungen für Hochrisiko-KI-Systeme und Transparenzpflichten für bestimmte KI-Anwendungen.12345

Für die Unternehmenspraxis ist besonders wichtig, dass Artikel 4 keine formale Zertifizierungs- oder Nachweispflicht enthält, aber sehr wohl eine materielle Pflicht begründet, KI-Kompetenz nach besten Kräften sicherzustellen. Im eigenen Interesse sollten Unternehmen deshalb nicht nur schulen, sondern auch dokumentieren, welche Personen mit welchen KI-Systemen arbeiten, welches Risikoprofil diese Nutzung hat und wie die Angemessenheit der Qualifizierung sichergestellt wird — denn im Audit- oder Haftungsfall zählt allein, was belegbar ist.6789

EU AI Act erklärt: Rechtsrahmen und Grundlogik

Der AI Act folgt einem risikobasierten Ansatz: Je höher das Grundrechts-, Sicherheits- oder Diskriminierungsrisiko eines KI-Systems, desto strenger die regulatorischen Anforderungen. Die Verordnung unterscheidet im Kern zwischen verbotener KI, Hochrisiko-KI, KI mit Transparenzpflichten und KI mit minimalem Risiko.1021112

Für Unternehmen bedeutet das: Nicht jede KI ist gleich reguliert. Ein einfacher interner Textassistent ist anders zu behandeln als ein KI-System zur Bewerbervorauswahl oder Kreditwürdigkeitsprüfung. Gerade diese Differenzierung ist in der Praxis entscheidend, weil sich daraus Schulungs-, Dokumentations-, Governance- und gegebenenfalls CE- und Registrierungsanforderungen ergeben.13141516

EU AI Act Fristen 2026: Zeitplan und Meilensteine

Die Verordnung trat am 1. August 2024 in Kraft, wird aber stufenweise wirksam. Für Unternehmen sind die folgenden Fristen besonders relevant:17

DatumRechtsfolge
1. August 2024Inkrafttreten des AI Act
2. Februar 2025Verbotene KI-Praktiken nach Art. 5 gelten; KI-Kompetenzpflicht nach Art. 4 gilt34
2. August 2025Pflichten für Anbieter von GPAI-Modellen gelten1819
2. August 2026Hochrisiko-Pflichten und Transparenzpflichten greifen breit175
2. August 2027Verlängerte Fristen für bestimmte eingebettete Hochrisiko-Systeme20

Der häufigste Praxisfehler besteht darin, den AI Act ausschließlich mit August 2026 zu verbinden. Tatsächlich laufen zentrale Pflichten — insbesondere Art. 4 — bereits seit Februar 2025.421

Update Juni 2026 — Digital Omnibus: EU-Parlament und Rat haben sich am 7. Mai 2026 politisch geeinigt, die Hochrisiko-Fristen zu verschieben (Anhang III auf den 2. Dezember 2027, eingebettete Systeme auf den 2. August 2028). Rechtsverbindlich wird das erst mit Veröffentlichung im EU-Amtsblatt (erwartet Sommer 2026) — bis dahin gelten die Daten der Tabelle oben. Wichtig: Die KI-Kompetenzpflicht nach Art. 4 bleibt unberührt — sie gilt unverändert seit Februar 2025 und wird durch den Omnibus nicht abgeschafft.

EU AI Act Risikostufen: Verboten, Hochrisiko, Transparenz, Minimal

Verbotene KI-Systeme nach EU AI Act

Artikel 5 untersagt bestimmte KI-Praktiken vollständig, etwa manipulative Systeme, die die Entscheidungsfreiheit einer Person wesentlich beeinträchtigen, oder Systeme, die Schwächen schutzbedürftiger Personen ausnutzen. Ebenfalls verboten sind bestimmte Formen biometrischer Kategorisierung, Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen sowie bestimmte Formen des Social Scoring.112223

Hochrisiko-KI nach EU AI Act

Hochrisiko-KI umfasst insbesondere Anwendungen in sensiblen Bereichen wie Personal, Bildung, Kreditwesen, kritischer Infrastruktur, Strafverfolgung oder Medizinproduktumfeldern. Diese Systeme unterliegen umfangreichen Anforderungen an Risikomanagement, Daten-Governance, technische Dokumentation, Logging, menschliche Aufsicht, Robustheit, Konformitätsbewertung und Registrierung.14241613

KI mit Transparenzpflichten (Art. 50 EU AI Act)

Bestimmte Anwendungen — insbesondere Chatbots, Deepfakes sowie manche Systeme zur Emotionserkennung oder biometrischen Kategorisierung — sind nicht per se verboten, aber kennzeichnungs- bzw. informationspflichtig. Unternehmen müssen betroffene Personen darüber informieren, dass sie mit KI interagieren oder KI-generierte Inhalte wahrnehmen.25125

Minimales Risiko: KI ohne spezielle Auflagen

Viele alltägliche KI-Anwendungen fallen in den Bereich minimalen Risikos, etwa Spam-Filter oder interne Effizienztools. Auch wenn hier meist keine spezifischen AI-Act-Pflichten greifen, bleibt Art. 4 relevant, sobald Beschäftigte oder beauftragte Dritte KI tatsächlich einsetzen.264

Artikel 4 EU AI Act: Die KI-Kompetenzpflicht im Detail

Artikel 4 ist die praktisch breiteste Pflicht des AI Act, weil sie grundsätzlich alle Unternehmen betrifft, die KI-Systeme einsetzen oder in ihrem Auftrag einsetzen lassen. Die Norm verpflichtet Anbieter und Betreiber, nach besten Kräften sicherzustellen, dass ihr Personal und andere in ihrem Auftrag tätige Personen über ein ausreichendes Maß an KI-Kompetenz verfügen.7266

Die EU-Kommission stellt klar, dass KI-Kompetenz nicht bloß technisches Fachwissen meint, sondern das Vermögen, Chancen, Risiken und mögliche Schäden von KI zu verstehen, Outputs kritisch einzuordnen und KI verantwortlich zu nutzen. Der Maßstab ist kontextbezogen: Entscheidend sind Vorwissen, Funktion, Einsatzumfeld, Risikograd und die möglicherweise betroffenen Personen.277

Kompetenzpflicht erfüllen — ohne eigenen Curriculumsaufbau: der ZFU-zugelassene, anwaltlich geprüfte Fernlehrgang „rechtssicher KI" deckt Basisausbildung + Prüfungsnachweis in 60 Minuten ab.

Art. 4 abgehakt — 149 € Team-Lizenz anfragen

Was Art. 4 EU AI Act nicht verlangt: 5 Missverständnisse

Artikel 4 verlangt kein EU-weit standardisiertes Zertifikat, keine gesetzliche Mindeststundenzahl und keinen fixen Lehrplan. Diese Offenheit wird oft missverstanden: Es handelt sich nicht um eine bloße „Good-Practice-Empfehlung", sondern um eine rechtlich bindende Pflicht mit flexiblem Umsetzungsrahmen.9674

Genau darin liegt ein wesentliches Risiko. Weil keine Standardform vorgegeben ist, müssen Unternehmen selbst ein plausibles, risikoadäquates Schulungs- und Nachweissystem entwickeln. Wer nur auf pauschale E-Learnings setzt, ohne den konkreten betrieblichen KI-Einsatz abzubilden, dürfte die Anforderung regelmäßig nicht vollständig erfüllen.2189

KI-Kompetenznachweis: Was er praktisch enthalten muss

In der Praxis sollte ein belastbarer Kompetenznachweis mindestens folgende Bausteine enthalten:89

BausteinInhalt
KI-InventarWelche KI-Systeme werden wo und zu welchem Zweck genutzt?
RollenmatrixWer nutzt welche Systeme in welcher Rolle?
RisikobewertungWelche Nutzungen sind minimal riskant, transparent, hochriskant oder potenziell unzulässig?
SchulungskonzeptWelche Zielgruppen erhalten welche Inhalte in welcher Tiefe?
Teilnahme- und AktualisierungsnachweiseWer wurde wann geschult oder aufgefrischt?
LernkontrolleQuiz, Fallbeispiel, Test, Freigabe oder dokumentierte Praxisübung
Richtlinien und ProzesseInterne Regeln zur Nutzung, Freigabe, Eskalation und Vorfallsmeldung

Besonders wichtig ist die Lernkontrolle. Reine Anwesenheit belegt noch nicht, dass ausreichende Kompetenz besteht; ein Mindestmaß an inhaltlicher Überprüfung ist deshalb sachlich geboten. Ebenso zentral ist die Aktualisierung: Weil sich KI-Modelle, regulatorische Leitlinien und betriebliche Einsatzszenarien schnell verändern, genügt eine einmalige Schulung regelmäßig nicht.28278

Für wen gilt die KI-Kompetenzpflicht?

Ein besonders häufig übersehener Punkt ist der persönliche Anwendungsbereich. Artikel 4 erfasst nicht nur klassische Arbeitnehmer, sondern auch „andere Personen, die in ihrem Auftrag" mit dem Betrieb oder der Nutzung von KI-Systemen befasst sind. Dazu können — je nach Einsatzmodell — Freelancer, Agenturen, IT-Dienstleister, Werkstudierende, Praktikanten und externe Projektkräfte gehören.2629628

Für Unternehmer bedeutet das: Die Pflicht endet nicht an der Grenze des Arbeitsvertrags. Wenn eine externe Marketingagentur mit generativer KI im Namen des Unternehmens Inhalte erstellt oder ein externer IT-Dienstleister KI-Tools produktiv einführt, muss das Unternehmen die Kompetenzfrage mitdenken und vertraglich wie organisatorisch adressieren.2928

EU AI Act Fallstricke: Was Unternehmen häufig übersehen

Der erste große blinde Fleck ist die Annahme, Art. 4 sei erst ab August 2026 relevant. Tatsächlich gilt die Kompetenzpflicht bereits seit dem 2. Februar 2025. Viele Unternehmen priorisieren daher die falsche Frist und übersehen eine bereits laufende Pflicht.421

Der zweite häufige Fehler ist die Annahme, eine allgemeine externe Schulung genüge immer. Offizielle Hinweise betonen jedoch, dass der konkrete organisatorische Nutzungskontext maßgeblich ist. Eine allgemeine Einführung in KI oder den AI Act ist daher allenfalls ein Grundbaustein, ersetzt aber keine betriebsbezogene Unterweisung zu den konkret eingesetzten Tools, Risiken und Prozessen.7219

Der dritte übersehene Punkt betrifft Hochrisiko-KI: Hier kommt zu Art. 4 regelmäßig eine spezifischere Pflicht zur qualifizierten menschlichen Aufsicht hinzu. Personen, die Hochrisiko-Systeme überwachen oder finale Entscheidungen absichern, benötigen nicht nur allgemeine KI-Kompetenz, sondern rollenspezifische Eignung im Sinne der Aufsichtsanforderungen.2426

Tipp: Bevor Sie eine Schulung einkaufen, prüfen Sie mit unserem Anbietercheck für KI-Schulungen, ob der Anbieter die Art.-4-Anforderungen wirklich abbildet — oder nur eine generische KI-Einführung verkauft.

Ist der KI-Kompetenznachweis audit-tauglich?

Drei Fragen, die sich jeder Entscheider vor einer Kursbuchung stellt — beantwortet:

Deckt die KI-Schulung Art. 4 EU AI Act vollständig ab?

Der Kurs ist von der Zentralstelle für Fernunterricht unter Nr. 7566226 staatlich zugelassen — strengste Qualitätsprüfung für E-Learning in Deutschland. 7 Kapitel zu allen Art.-4-relevanten Themen, 10 Prüfungsfragen, personalisiertes Zertifikat mit eindeutiger Nummer. Der Nachweis ist für Aufsichtsbehörden dokumentierbar.

Reicht eine KI-Schulung als Kompetenznachweis aus?

Der AI Act gibt keine Standardform vor — das macht die Eigen-Recherche zermürbend. Nach 60 Minuten Lernzeit haben Sie den Nachweis und können das Thema vom Tisch haben. Updates bei wesentlichen Gesetzesänderungen innerhalb der 12-monatigen Zugriffsdauer sind inklusive.

Wird das ZFU-zertifizierte KI-Zertifikat anerkannt?

Doppelte Absicherung: Der Kurs ist staatlich zugelassen durch die Zentralstelle für Fernunterricht (Nr. 7566226) und anwaltlich geprüft durch eine Partnerkanzlei mit spezialisierten Fachanwälten für IT- und Datenschutzrecht. Bei einer Prüfung durch Datenschutzbeauftragte oder Aufsichtsbehörden liefert das personalisierte Zertifikat nachvollziehbare Beweiskraft.

Ihre Absicherung: 14 Tage gesetzliches Widerrufsrecht nach Fernunterrichtsschutzgesetz. Prüfung nicht bestanden? Beliebig oft kostenlos wiederholen. Updates bei wesentlichen Gesetzesänderungen innerhalb der 12-monatigen Zugriffsdauer sind inklusive.

Bereit, das Thema vom Tisch zu haben? 60 Minuten, 149 €, personalisiertes Zertifikat mit ZFU-Siegel.

Art. 4 abgehakt — 149 € Team-Lizenz anfragen

EU AI Act für KMU, Konzerne und Solo-Selbstständige

Der AI Act unterscheidet beim Bestehen von Art. 4 grundsätzlich nicht zwischen Soloselbstständigen, KMU und Konzernen: Die Pflicht gilt für alle, die KI nutzen oder nutzen lassen. Unterschiede bestehen jedoch bei Umfang, Tiefe und Formalisierungsgrad des Nachweissystems.3031

EU AI Act für Kleinstunternehmen und Solo-Selbstständige

Bei kleineren Betrieben genügt meist ein pragmatischer, aber sauber dokumentierter Ansatz: ein überschaubares KI-Inventar, kurze rollenbezogene Einweisungen, klare Nutzungsregeln und ein dokumentierter Lernnachweis. Wer etwa nur generative KI für Angebotsentwürfe, Recherchen oder Marketingtexte nutzt, braucht kein Konzernprogramm, aber sehr wohl nachvollziehbare Regeln zu Datenschutz, Vertraulichkeit, Qualitätskontrolle und Kennzeichnung.312894

EU AI Act für KMU (10–250 Mitarbeiter)

KMU sollten regelmäßig eine rollenbasierte Struktur aufbauen: Basisschulung für allgemeine Nutzer, Vertiefung für Fachbereiche wie HR, Vertrieb oder Compliance und Sondermodule für technische oder governance-nahe Rollen. Gerade im Mittelstand wird häufig übersehen, dass externe Dienstleister und dezentrale Pilotprojekte mit KI ebenfalls in das Kompetenz- und Nachweissystem einbezogen werden müssen.3228

EU AI Act für Großunternehmen und Konzerne

Bei größeren Organisationen sind formalisierte Governance-Strukturen angezeigt: AI-Governance-Owner, standardisierte Policies, abgestufte Freigaben, zentrale Dokumentation, Re-Trainingszyklen und Anbindung an Datenschutz-, Informationssicherheits- und Compliance-Management-Systeme. Die Herausforderung liegt hier weniger in der Grundpflicht als in der konzernweiten Konsistenz und Auditierbarkeit.333427

EU AI Act nach Rechtsform: GmbH, AG, Verein, Behörde

Für die KI-Kompetenzpflicht ist grundsätzlich nicht entscheidend, ob ein Unternehmen als Einzelunternehmen, GmbH, UG, OHG oder AG organisiert ist; maßgeblich ist der tatsächliche KI-Einsatz. Unterschiede ergeben sich allerdings bei Verantwortung, Delegation und Governance.6

In kleinen inhabergeführten Unternehmen liegt die Verantwortung oft direkt bei der Geschäftsleitung. Dort ist besonders wichtig, dass die Inhaber selbst geschult sind und Nutzungsvorgaben aktiv steuern. Bei Kapitalgesellschaften mit mehreren Hierarchieebenen kommt es stärker auf dokumentierte Zuständigkeiten, Richtlinien und Freigabestrukturen an. In Gruppenstrukturen oder Franchise-Modellen ist zusätzlich zu klären, welche Einheit Anbieter, Betreiber oder bloßer Nutzer ist und wer Schulungen zentral oder lokal verantwortet.35362833

EU AI Act nach Branche: HR, Finanzen, Gesundheit, Industrie

KI-Kompetenz im HR und Recruiting

KI in der Bewerbervorauswahl, Interviewanalyse oder Personalbewertung zählt regelmäßig zum Hochrisikobereich. HR-Teams benötigen daher nicht nur allgemeine Literacy, sondern vertiefte Kenntnisse zu Bias, Transparenz, menschlicher Kontrolle, Dokumentation und Rechtsbehelfen.371314

KI-Kompetenz in Finanzdienstleistungen

Im Kredit- und Scoring-Bereich ist das Risiko besonders hoch, weil KI unmittelbare Auswirkungen auf Zugang zu Finanzierung, Konditionen und Gleichbehandlung haben kann. Hier müssen Fachbereiche neben AI-Act-Themen auch eng mit Datenschutz, Modellrisiko-Management und sektoraler Regulierung verzahnt arbeiten.3814

KI-Kompetenz in Gesundheit und Medizintechnik

In medizinischen Umfeldern überschneiden sich AI Act, Produktsicherheitsrecht und patientensicherheitsrelevante Anforderungen. Schulungen müssen daher nicht nur KI-Kompetenz, sondern auch klinische Verantwortlichkeiten, Validierungsgrenzen und Eskalationsregeln erfassen.3938

KI-Kompetenz in Industrie, Energie und Infrastruktur

In industriellen oder energiewirtschaftlichen Anwendungen können KI-Systeme Betriebsstabilität, Sicherheit oder Verfügbarkeit kritischer Prozesse beeinflussen. Das verlangt eine engere Verbindung zwischen technischer Fachkompetenz, IT-/OT-Sicherheit und menschlicher Aufsicht.1424

KI-Kompetenz in Marketing, Medien und Kommunikation

Viele Marketing-Anwendungen fallen nicht in den Hochrisikobereich, lösen aber Transparenzpflichten und Qualitätsrisiken aus. Zentral sind hier Kennzeichnung, Urheberrechtsbewusstsein, Qualitätsprüfung und der Umgang mit Halluzinationen oder irreführenden Aussagen.1854025

KI-Kompetenz in Steuerberatung und Kanzleien

Gerade in beratenden oder rechtlich sensiblen Berufen wird oft unterschätzt, dass schon die alltägliche Nutzung generativer KI — etwa zur Recherche oder Entwurfserstellung — Art. 4 auslöst. Wegen Vertraulichkeit, Berufsrecht, Haftung und Ergebnisqualität müssen diese Branchen besonders sorgfältige interne Nutzungsregeln und Prüfprozesse etablieren.219

KI-Schulung: Die drei typischen Stufen in der Praxis

Ein sinnvolles Modell ist ein gestuftes Schulungssystem:4128

StufeZielgruppeTypische Inhalte
BasisAlle Nutzer von KI-ToolsGrundverständnis von KI, Grenzen, Halluzinationen, Datenschutz, Vertraulichkeit, interne Regeln
VertiefungFachbereiche mit höherem Risiko (HR, Recht, Compliance, Vertrieb)Risikoklassifikation, Transparenzpflichten, Prüfprozesse, Eskalation, Dokumentation
SpezialisiertEntwickler, Produktverantwortliche, Governance-Owner, AufsichtspersonenHochrisiko-Pflichten, technische Dokumentation, Logging, Risikomanagement, menschliche Aufsicht

Dieses Stufenmodell hilft, Über- und Unterregulierung zu vermeiden. Nicht jede Person braucht dieselbe Tiefe, aber jede relevante Person braucht eine dem Risiko angemessene Befähigung.277

EU AI Act Rollen: Anbieter, Betreiber, Importeur, Händler

Der AI Act knüpft Pflichten stark an Rollen an. Anbieter entwickeln oder vermarkten KI-Systeme unter eigenem Namen; Betreiber setzen KI-Systeme für eigene Zwecke ein; Importeure bringen Systeme aus Drittstaaten in den EU-Markt; Händler vertreiben Systeme weiter.3635

Für die Praxis ist entscheidend, dass ein Unternehmen mehrere Rollen gleichzeitig innehaben kann. Wer etwa ein Basismodell oder ein Drittanbieter-Tool stark anpasst, neu verpackt oder unter eigener Marke anbietet, kann aus der reinen Nutzerrolle in die Anbieterrolle hineinrutschen. Dadurch steigen die Pflichten erheblich — insbesondere bei Dokumentation, Konformitätsbewertung und Marktüberwachung.163536

EU AI Act: Pflichten für Hochrisiko-KI-Systeme

Die Pflichten für Hochrisiko-KI sind umfassend und technisch wie organisatorisch anspruchsvoll. Unternehmen müssen insbesondere ein Risikomanagementsystem betreiben, Datenqualität und Daten-Governance sicherstellen, technische Dokumentation vorhalten, Logging implementieren, Menschen in wirksame Aufsicht versetzen und Robustheit sowie Cybersicherheit gewährleisten.422416

Hinzu kommen je nach Rolle Anforderungen wie Konformitätsbewertung, CE-Kennzeichnung und Registrierung in der EU-Datenbank. Für Betreiber bedeutet das in der Regel zusätzlich: geschulte Aufsichtspersonen, dokumentierte Prozesse, Nutzung nur im vorgesehenen Rahmen und Vorfallshandhabung.152426

EU AI Act für GPAI-Modelle und generative KI

Seit dem 2. August 2025 gelten spezifische Regeln für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI). Dazu gehören Dokumentationspflichten, Vorgaben zum Umgang mit urheberrechtlich geschützten Trainingsdaten und — bei systemischen GPAI-Modellen — weitergehende Anforderungen wie Risikobewertung, Red-Teaming und Incident Reporting.431918

Für gewöhnliche Unternehmen ist wichtig: Auch wenn sie nicht selbst GPAI-Anbieter sind, setzen sie oft GPAI-basierte Tools ein. Damit entstehen zumindest Betreiberpflichten, interne Kontrollanforderungen und häufig Schulungsbedarf zu Modellgrenzen, Prompting, Vertraulichkeit und Output-Prüfung.4445

EU AI Act Art. 50: Transparenzpflichten für KI

Wer Chatbots oder vergleichbare Systeme gegenüber Kunden, Bewerbern oder anderen Dritten einsetzt, muss transparent machen, dass es sich um KI handelt. Gleiches gilt grundsätzlich für KI-generierte oder manipulierte Inhalte, wenn deren künstlicher Charakter offengelegt werden muss, um Irreführung zu vermeiden.12525

Das wird oft unterschätzt, weil viele Unternehmen generative KI zunächst als internes Effizienztool einführen und erst später in Kundenkommunikation, Marketing oder Support ausrollen. Spätestens dann müssen Kennzeichnung, Freigabe und inhaltliche Qualitätssicherung mitgedacht werden.4025

EU AI Act Bußgelder: bis 35 Mio. € oder 7 % Umsatz

Der AI Act sieht empfindliche Bußgelder vor. Verstöße gegen verbotene Praktiken können mit bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes sanktioniert werden; andere schwerwiegende Verstöße können bis zu 15 Mio. Euro oder 3 % des Umsatzes kosten. Für falsche Angaben gegenüber Behörden sind niedrigere, aber immer noch erhebliche Sanktionsrahmen vorgesehen.4647

In Deutschland ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde vorgesehen; flankierend werden sektorale Zuständigkeiten und Koordinierungsmechanismen aufgebaut. Für Unternehmen steigt damit die Bedeutung auditierbarer Dokumentation — nicht nur materiell, sondern auch verfahrensmäßig.4849509

EU AI Act für Unternehmer: 4 typische Stolperfallen

Für einen „gewöhnlichen" Unternehmer, der weder KI-Anbieter noch Berater ist, liegt das Hauptrisiko selten in exotischen Hochrisiko-Szenarien, sondern in banalen Alltagsnutzungen, die regulatorisch unterschätzt werden. Schon die Nutzung von ChatGPT, Copilot oder vergleichbaren Tools für Angebote, E-Mails, Marketing, Kundenservice oder interne Recherchen kann Art. 4 auslösen.459421

Leicht übersehen werden vor allem vier Punkte: Erstens gilt Art. 4 schon heute und nicht erst 2026. Zweitens reicht eine generische Schulung nicht aus, wenn die betriebliche Nutzung spezifische Risiken birgt. Drittens fallen auch Externe in den Pflichtenkreis, wenn sie im Auftrag des Unternehmens mit KI arbeiten. Viertens erzeugen vermeintlich harmlose Tools schnell Transparenz-, Datenschutz-, Vertraulichkeits- und Haftungsfragen, wenn Ergebnisse ungeprüft in Prozesse oder Kommunikation übernommen werden.518262994

Konkret: Ein klassisches Alltags-Risiko ist Schatten-KI — Mitarbeitende nutzen KI-Tools, ohne dass die Geschäftsleitung davon weiß. Das macht Art. 4 unmöglich zu erfüllen.

EU AI Act umsetzen: 7 Schritte für Unternehmen

Ein pragmatischer und belastbarer Umsetzungsansatz besteht aus sieben Schritten:5115

  1. Vollständiges KI-Inventar aufbauen. Welche Tools, Modelle, Integrationen und Agenturen nutzen KI im Unternehmen?15
  2. Rollen und Verantwortlichkeiten klären. Wer ist Nutzer, Freigeber, Aufsichtsperson, Governance-Owner oder potenziell Anbieter?35
  3. Risikoklassifikation vornehmen. Welche Anwendungsfälle sind harmlos, transparent, hochriskant oder potenziell unzulässig?5211
  4. Schulungssystem staffeln. Basis-, Vertiefungs- und Spezialmodule nach Rolle und Risiko definieren.2841
  5. Lern- und Nachweissystem etablieren. Teilnahme, Inhalte, Lernkontrolle und Refresh-Zyklen sauber dokumentieren.89
  6. Interne Policies und Freigaben regeln. Datenschutz, Vertraulichkeit, Kennzeichnung, Output-Prüfung, Eskalation und Incident Handling verankern.59
  7. Regelmäßig aktualisieren. Neue Tools, neue regulatorische Leitlinien und neue Einsatzzwecke fortlaufend nachziehen.727

Fazit: EU AI Act Art. 4 sicher umsetzen

Der EU AI Act ist für Unternehmen kein Zukunftsthema mehr, sondern operative Compliance-Realität. Die wichtigste Sofortpflicht ist Artikel 4: Unternehmen müssen nicht bloß irgendeine KI-Schulung anbieten, sondern ein nachvollziehbares, risikoadäquates Kompetenzsystem für alle relevanten internen und externen Personen aufbauen.34896

Wer das Thema auf Zertifikate oder Standardseminare verkürzt, übersieht den eigentlichen Kern der Regulierung: Entscheidend ist die organisatorische Fähigkeit, KI-Einsatz kontrolliert, verantwortungsvoll und dokumentiert zu steuern. Gerade deshalb ist ein gutes KI-Inventar, eine differenzierte Rollenlogik und ein belastbarer Kompetenznachweis oft wichtiger als ein teures Einzelseminar.92187

Häufige Fragen zum EU AI Act

Seit wann gilt Artikel 4 EU AI Act?

Artikel 4 EU AI Act gilt verbindlich seit dem 2. Februar 2025. Unternehmen müssen bereits heute sicherstellen, dass Mitarbeitende und Auftragnehmer, die KI-Systeme nutzen, über ausreichende KI-Kompetenz verfügen.

Gilt Artikel 4 auch für kleine Unternehmen und Solo-Selbstständige?

Ja. Der AI Act unterscheidet beim Geltungsbereich von Art. 4 nicht nach Unternehmensgröße. Maßgeblich ist, ob KI-Systeme eingesetzt werden oder im Auftrag eingesetzt werden. Bei Kleinstunternehmen genügt ein schlanker, aber dokumentierter Ansatz.

Reicht eine allgemeine externe KI-Schulung als Nachweis?

Als Grundbaustein ja, als alleiniger Nachweis regelmäßig nicht. Der konkrete betriebliche Nutzungskontext muss abgebildet sein — einschließlich der tatsächlich eingesetzten Tools, Risiken und internen Freigabeprozesse.

Müssen externe Dienstleister und Freelancer ebenfalls geschult werden?

Ja, sofern sie im Auftrag des Unternehmens KI-Systeme nutzen. Art. 4 erfasst ausdrücklich „andere Personen, die in ihrem Auftrag" tätig sind. Das muss vertraglich und organisatorisch adressiert werden.

Wie hoch sind Bußgelder bei Verstößen?

Bei Verstößen gegen verbotene Praktiken bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes. Bei anderen schwerwiegenden Verstößen bis zu 15 Mio. Euro oder 3 % des Umsatzes. Art. 4 selbst ist in keiner Bußgeldstufe direkt genannt — das Risiko liegt in Haftung, DSGVO-Sanktionen und behördlichen Anordnungen. In Deutschland ist die Bundesnetzagentur als zentrale Marktüberwachungsbehörde vorgesehen (Durchführungsgesetz in parlamentarischer Beratung).

Gibt es ein EU-weit standardisiertes Zertifikat für Art. 4?

Nein. Art. 4 verlangt kein standardisiertes Zertifikat und keine Mindeststundenzahl. Unternehmen müssen ein plausibles, risikoadäquates Kompetenzsystem selbst aufbauen — inklusive Nachweisen. ZFU-Zulassungen oder Prüfungen mit personalisierten Zertifikaten erhöhen die Beweiskraft erheblich.

Was ist ein belastbarer Kompetenznachweis?

Er umfasst mindestens: KI-Inventar, Rollenmatrix, Risikobewertung, Schulungskonzept mit Lernkontrolle, Teilnahme- und Aktualisierungsnachweise sowie interne Richtlinien zu Nutzung, Freigabe und Eskalation.

Sind Hochrisiko-Pflichten für mein Unternehmen relevant?

Nur wenn Sie KI in sensiblen Bereichen wie Personal, Bildung, Kreditwesen, kritischer Infrastruktur, Strafverfolgung oder Medizin einsetzen. Dann kommen zu Art. 4 umfangreiche Anforderungen an Risikomanagement, Dokumentation, menschliche Aufsicht und Konformitätsbewertung hinzu.

Was ändert sich am 2. August 2026?

Nach geltendem Recht werden die breiten Pflichten für Hochrisiko-KI-Systeme (Kapitel III Abschnitt 2) und die Transparenzpflichten nach Art. 50 wirksam. Nach der politischen Einigung zum Digital Omnibus (Mai 2026) sollen die Hochrisiko-Fristen jedoch auf den 2. Dezember 2027 bzw. 2. August 2028 verschoben werden — rechtsverbindlich erst nach Veröffentlichung im EU-Amtsblatt. Art. 4 und Art. 5 gelten unabhängig davon bereits seit Februar 2025.

Welche Pflichten habe ich, wenn ich ChatGPT oder Copilot im Unternehmen nutze?

Sie sind mindestens Betreiber. Daraus folgen: Art.-4-Kompetenzmaßnahmen für alle Nutzer (mit dokumentiertem Schulungsnachweis), interne Nutzungsregeln (Datenschutz, Vertraulichkeit, Output-Prüfung), Kennzeichnungspflichten bei Kundenkommunikation sowie Dokumentation der Tool-Nutzung.

Was ist Schatten-KI und wie relevant ist sie für Art. 4?

Schatten-KI ist die nicht dokumentierte Nutzung von KI-Tools durch Mitarbeitende ohne Wissen der Geschäftsleitung. Sie macht Art. 4 praktisch unerfüllbar, weil weder Inventar, Rollenmatrix noch Schulungsnachweise möglich sind. Aufklärung und klare Policies sind der erste Schritt.

Wie schnell kann ich den Art.-4-Nachweis erbringen?

Für Einzelpersonen in 60 Minuten mit einem ZFU-zugelassenen Kurs wie „rechtssicher KI". Für Teams benötigt es zusätzlich Admin-Struktur und Abschluss-Tracking — Team-Lizenzen liefern das inklusive zentraler Rechnungsstellung und personalisierten Zertifikaten pro Teilnehmer.

Nachweis in 60 Minuten

Kein eigener Curriculumsaufbau. Staatlich zugelassen unter ZFU-Nr. 7566226 und anwaltlich geprüft durch eine Partnerkanzlei mit Fachanwälten für IT- und Datenschutzrecht. 7 Kapitel, 10 Prüfungsfragen, personalisiertes Zertifikat mit eindeutiger Nummer. 14 Tage Widerrufsrecht, Prüfung beliebig wiederholbar.

Art. 4 abgehakt — 149 € Team-Lizenz anfragen 7 Fragen Schnelltest

Quellen & Referenzen

Alle in diesem Dossier verwendeten Belege, nach Erscheinen geordnet. Externe Links sind mit rel="nofollow noopener" ausgezeichnet — sie stehen nicht in redaktioneller Empfehlung, sondern als Primärquelle zur Prüfung.

  1. PromptLoop — EU AI Act: Ab August 2026 gelten…
  2. Digitalzentrum Berlin — EU AI Act: Diese Pflichten gelten jetzt
  3. Alexander Thamm — Der Fahrplan zum EU AI Act
  4. IHK Schleswig-Holstein — AI-Act: Was Unternehmen jetzt wissen müssen
  5. TÜV Rheinland — Transparenzpflichten im EU AI Act
  6. AI Act Website — Artikel 4: KI-Kompetenz
  7. EU-Kommission — KI-Kompetenz Fragen & Antworten
  8. Skill Sprinters — KI-Schulungsstunden dokumentieren
  9. Bundesnetzagentur — Hinweispapier KI-Kompetenzen (PDF)
  10. SpecterLaw — EU-KI-Verordnung 2025: Pflichten & Compliance
  11. EU-DSGVO — Artikel 5: Verbotene Praktiken
  12. caralegal — Transparenzpflichten nach Art. 50
  13. HR-On — EU AI Act im HR: Hochrisiko-KI
  14. AI Governance Schulung — EU AI Act für HR-Abteilungen
  15. TÜV Rheinland — Checkliste zur EU AI Act Compliance
  16. ai-act.io — Anforderungen an Hochrisiko-KI-Systeme
  17. aiacto — AI Act Zeitplan 2025–2027
  18. EU-Kommission — General-Purpose AI Obligations
  19. hey-i — EU AI Act 2025: GPAI-Regeln
  20. startbrain.ai — Zeitplan des AI Act 2024–2027
  21. visionarydata — EU AI Act Steuerberater: Art. 4
  22. bitkom — Verbotene KI-Anwendungen
  23. ai-act-law.eu — Art. 5 KI-VO
  24. EU-DSGVO — Art. 9: Risikomanagementsystem
  25. Certurio — Art. 50 AI Act: Kennzeichnung KI
  26. Arbeitswissenschaft — Art. 4 für Unternehmen
  27. BMDS — Kompetenzaufbau gemäß Art. 4 AI Act (PDF)
  28. Skill Sprinters — AI Literacy Pflicht erklärt
  29. SVG Akademie — EU AI Act Schulung Online
  30. Haufe Akademie — KI Schulungspflicht in der Personalentwicklung
  31. Skill Sprinters — EU AI Act Art. 4
  32. Haufe x360 — EU AI Act für KMU
  33. Thetis — EU AI Act Artikel 4 für Unternehmen
  34. SECJUR — EU AI Act: QMS aufbauen
  35. AIAct-Akademie — Wer ist in der Pflicht
  36. AIAct-Akademie — Anbieter, Nutzer & Co.
  37. TÜV Rheinland — KI im Recruiting & HR
  38. Bertelsmann Stiftung — AI Act & sektorale Regulierung (PDF)
  39. Sepp.Med — Der EU AI Act im Jahr 2026
  40. Medien Bayern — EU-KI-Verordnung: Mythen
  41. Haufe Akademie — KI-Schulungspflicht
  42. EU-Kommission — Art. 9: Risk Management System
  43. AI Act Website — Leitlinien für GPAI-Modelle
  44. SECJUR — GPAI Risikoklassifizierung
  45. AIAct-Akademie — ChatGPT im Unternehmen
  46. EU-Kommission — Art. 99: Sanktionen
  47. unternehmensstrafrecht.de — Sanktionsregime der KI-VO
  48. AIAct-Akademie — AI Act Durchführungsgesetz
  49. WBS — Bundesregierung zu AI Act
  50. Bundesnetzagentur — Marktüberwachung unter dem AI Act (PDF)
  51. SimpleAct — EU AI Act Checkliste: 7 Schritte
  52. Peter Krause — EU AI Act Compliance Checkliste 2025