Die Nachfrage nach künstlicher Intelligenz (KI) in Unternehmen wächst. KI-Anwendungen sollen Prozesse automatisieren, Effizienz steigern und Kapazitäten freisetzen – sowohl in internen Abläufen als auch im Vertrieb. Auch Beschäftigte wollen KI zunehmend für ihre Arbeit nutzen. Ein häufiger Anwendungsfall ist der Einsatz von KI-gestützten Sprachmodellen wie unternehmenseigenen Versionen von ChatGPT.
Sowohl die Entwicklung als auch die Nutzung von KI sind durch die EU-Verordnung 2024/1689 über künstliche Intelligenz (KI-VO) geregelt. Die Bestimmungen treten schrittweise in Kraft. Seit dem 2. Februar 2025 sind Unternehmen laut Artikel 4 der KI-VO verpflichtet, eine sogenannte „KI-Kompetenz“ sicherzustellen.
Unternehmen müssen KI-Kompetenz sicherstellen
Die Pflicht zur Sicherstellung der KI-Kompetenz gilt für alle Unternehmen, die KI-Systeme nutzen. Anders als viele andere Vorgaben der KI-VO ist sie nicht an die Risikoklasse eines KI-Systems gekoppelt, sondern betrifft sämtliche KI-Anwendungen gleichermaßen.
Nach Artikel 4 der KI-VO müssen Anbieter und Betreiber von KI-Systemen geeignete Maßnahmen ergreifen, „um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen“.
Diese Verpflichtung gilt auch für Unternehmen, die KI-Systeme entwickeln, aber nicht selbst nutzen. Das geht aus den Erwägungsgründen der Verordnung hervor.
Die KI-Kompetenz ist durch die Unternehmen sowohl beim eigenen Personal als auch bei anderen beauftragten Personen sicherzustellen. Zum Personal zählen die eigenen Mitarbeitenden des Unternehmens. Unter „andere beauftragte Personen“ fallen insbesondere Dienstleister. Die Pflicht zur Sicherstellung der KI-Kompetenz erstreckt sich dabei nur auf diejenigen Personen, die die KI-Systeme entwickeln, betreiben und nutzen, andere Mitarbeitende fallen nicht in den Schutzbereich.
„Ausreichendes Maß an KI-Kompetenz“
Die Anforderungen an die KI-Kompetenz hängen vom Einzelfall ab. Ziel ist es, dass Mitarbeitende KI bewusst und korrekt einsetzen – um Chancen zu nutzen und Risiken möglichst zu vermeiden. Welche Qualifikationen dafür nötig sind, richtet sich unter anderem nach dem Einsatzbereich. In Hochrisikobereichen ist ein höheres Maß an spezialisierter KI-Kompetenz erforderlich.
Generell müssen die betreffenden Personen Kenntnisse zu folgenden Bereichen haben:
- Technische Funktionsweise von KI
- Einsatzmöglichkeiten von KI und Grenzen der Nutzung
- Anwendbare Governance-Prozesse im Unternehmen wie unter anderem Freigabeprozesse, Richtlinien, Ansprechpartner
- Chancen, Risiken und mögliche Schäden beim Einsatz der KI sowie potenzielle Schwächen des zur Verfügung gestellten Systems
- Rechtliche Vorgaben und ethische Aspekte
Diese Anforderungen ergeben sich aus verschiedenen Bestimmungen der KI-VO. Artikel 4 verlangt, dass Unternehmen Maßnahmen ergreifen, um sicherzustellen, dass Mitarbeitende und beauftragte Personen über ausreichende KI-Kompetenz verfügen. Dabei sind ihre Vorbildung und der Einsatzkontext zu berücksichtigen. Wörtlich heißt es: „(…) ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind.“
Artikel 3 Nummer 56 definiert KI-Kompetenz als „die Fähigkeiten, die Kenntnisse und das Verständnis“, die es einer Person ermöglichen, „KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden“.
Letztlich dient die KI-Kompetenz einem klaren Zweck: Gemäß Erwägungsgrund 20 KI-VO soll sie den größtmöglichen Nutzen aus KI ermöglichen – und zugleich Grundrechte, Gesundheit und Sicherheit wahren. Schulungen sollen daher technisches Wissen für die Entwicklung, ein Verständnis der nötigen Schutzmaßnahmen und eine sachgerechte Einordnung der KI-Ergebnisse vermitteln.
Maßnahmen zur Sicherstellung der KI-Kompetenz
Unter Berücksichtigung dieser Erwägungen empfehlen sich die folgenden Schritte zur Sicherstellung der KI-Kompetenz:
1. Schritt: Bestandsaufnahme
2. Schritt: Erstellung eines Konzepts, Festlegung der konkreten Maßnahmen und Inhalte
3. Schritt: Durchführung der Maßnahmen und Erfolgskontrolle
4. Schritt: Einrichtung von Kontrollprozessen und (regelmäßigen) Schulungen
5. Fortlaufend: Dokumentation des Prozesses
1. Bestandsaufnahme
Zunächst muss ermittelt werden, welche Personen in welchem Kontext mit einem KI-System arbeiten und welche zusätzlichen Kenntnisse sie für einen sicheren Umgang benötigen. Je nach Ergebnis dieser Bestandsaufnahme können die Schulungsanforderungen unterschiedlich ausfallen.
Ein Praxisbeispiel verdeutlicht das: Ein unternehmenseigener Chatbot erfordert andere Qualifikationen als ein KI-System, das Bewerbungen im Personalbereich verarbeitet. Letzteres hat direkten Einfluss auf Bewerbungsverfahren und damit auf sensible Entscheidungen. Deshalb müssen Mitarbeitende hier tiefere Kenntnisse und Fähigkeiten erwerben als bei der Nutzung eines einfachen Chatbots. Entsprechend sind die Schulungsanforderungen für spezialisierte KI-Systeme höher.
2. Erstellung eines Konzepts, Festlegung der konkreten Maßnahmen und Inhalte
Im nächsten Schritt müssen konkrete Maßnahmen festgelegt werden. Betrifft die Pflicht zur Sicherstellung der KI-Kompetenz auch beauftragte Dienstleister, sollte vertraglich geregelt werden, dass diese die erforderlichen Qualifikationen bei ihrem Personal und Subunternehmen gewährleisten. Sie sollten zudem verpflichtet sein, entsprechende Nachweise vorzulegen.
Für die eigenen Mitarbeitenden ist ein Schulungskonzept erforderlich, das klare Projektplanungs-Elemente enthält. Dazu gehören interne Zuständigkeiten, Zeitplan, Meilensteine und Budget. Im Rahmen dieser Planung müssen auch geeignete Schulungsformate und -Inhalte festgelegt werden.
Angesichts der schnellen Entwicklungen im KI-Bereich sind verpflichtende und regelmäßige Schulungen sinnvoll. Unternehmen können zudem Fragebögen oder Tests vor der Freischaltung eines KI-Systems einsetzen, um sicherzustellen, dass Mitarbeitende die Inhalte verstanden haben. Falls es einen Betriebsrat gibt, muss geprüft werden, ob und inwieweit er bei der Planung mitbestimmungsberechtigt ist.
Zudem sollte eine interne Anlaufstelle mit KI-Expertinnen und -Experten eingerichtet werden. Diese sollte bei Fragen zur Beschaffung und Nutzung von KI-Tools unterstützen sowie Auffälligkeiten oder Verstöße entgegennehmen.
Die Schulungsinhalte müssen individuell festgelegt werden und können je nach Einsatzbereich ergänzende Weiterbildungen umfassen. Ziel ist es, den Mitarbeitenden das nötige Wissen für einen sicheren und eigenständigen Umgang mit KI zu vermitteln.
Wie das in der Praxis aussehen kann, zeigen die folgenden Beispiele:
- Für einen unternehmenseigenen Chatbot reicht eine allgemeine Pflichtschulung zur technischen Funktionsweise und zu den Einsatzmöglichkeiten. Ein Test vor der Freischaltung stellt sicher, dass alle Mitarbeitenden die Grundlagen verstanden haben.
- Beim Einsatz einer spezialisierten KI im Personalbereich sind umfangreichere Schulungen erforderlich. Neben den rechtlichen Vorgaben für Hochrisiko-KI (Artikel 6 Absatz 2 KI-VO in Verbindung mit Anhang III Nummer 4a KI-VO) sollten auch besondere Risiken und Maßnahmen zur menschlichen Aufsicht behandelt werden.
3.–5. Durchführung der Maßnahmen, Kontrollprozesse und Dokumentation
Die ausgearbeiteten Maßnahmen müssen anschließend umgesetzt werden. Dazu gehören interne KI-Richtlinien, etwa in Form von „Acceptable Use Policies“, sowie Handouts für die Mitarbeitenden. Diese sollten allgemeine Regeln zur Nutzung von KI im Unternehmen sowie spezifische Vorgaben für bestimmte KI-Systeme enthalten. Die Einhaltung der Richtlinien kann regelmäßig durch Testfragen überprüft werden.
Der gesamte Prozess – von der Bestandsaufnahme bis zur Umsetzung – sollte fortlaufend dokumentiert werden. So lässt sich im Falle einer behördlichen Prüfung nachweisen, dass die Vorgaben aus Artikel 4 der KI-VO erfüllt wurden.
Mögliche Konsequenzen bei Verletzung der Pflicht
Unter Haftungsgesichtspunkten sind zwei Aspekte relevant: die Arbeitnehmerhaftung im Innenverhältnis und mögliche behördliche Sanktionen.
Fehlende Schulungen können dazu führen, dass Unternehmen für Schäden haften, die durch ihre Mitarbeitenden verursacht werden. Nach den Regeln des innerbetrieblichen Schadensausgleichs verschiebt sich die Haftungsquote zulasten des Arbeitgebers, wenn dieser gegen gesetzliche Vorgaben verstößt – etwa gegen die Verpflichtung aus Artikel 4 der KI-VO. In diesem Fall kann ein Rückgriff auf die Beschäftigten ausgeschlossen sein.
Zusätzlich drohen bei Verstößen gegen Artikel 4 KI-VO Sanktionen. Allerdings sind diese nach aktueller Rechtslage nur im Hochrisikobereich vorgesehen. Artikel 99 der KI-VO listet einzelne Verstöße auf, nennt die KI-Kompetenz aber nicht ausdrücklich. Ein Verstoß könnte jedoch mittelbar unter Artikel 26 Absatz 1 fallen, der Betreiber verpflichtet, technische und organisatorische Maßnahmen (TOMs) zu ergreifen. Da die Sicherstellung der KI-Kompetenz als solche Maßnahme gelten kann, könnte dies eine Sanktionierung im Hochrisikobereich nach sich ziehen. Für andere KI-Systeme gibt es derzeit keine entsprechenden Bußgeldregelungen, allerdings können nationale Vorschriften folgen. Artikel 99 Absatz 1 KI-VO eröffnet ab dem 2. August 2025 die Möglichkeit dazu.
Unternehmen sollten die verbleibende Zeit nutzen, um ein Konzept zur Schulung der KI-Kompetenz zu entwickeln. Das beugt nicht nur möglichen Sanktionen vor, sondern verbessert auch den effektiven Einsatz von KI.
Dieser Beitrag erschien zuerst in der gedruckten Ausgabe Künstliche Intelligenz & Legal Tech. Das Heft können Sie hier bestellen.
