FAQ

Ja. Sobald Mitarbeitende KI-Systeme beruflich nutzen oder mit ihren Ergebnissen arbeiten, müssen Unternehmen gemäß Art. 4 EU-VO 2024/1689 seit dem 2. Februar 2025 ein angemessenes Maß an KI-Kompetenz sicherstellen. In der Praxis heißt das: relevante Rollen schulen, Inhalte dokumentieren und einen belastbaren Nachweis vorhalten.

Nur wenn Mitarbeitende tatsächlich keinen beruflichen KI-Bezug haben, greift Art. 4 praktisch nicht. Diese Annahme hält heute aber selten: KI-Funktionen stecken in Microsoft 365, CRM-, Such- und Assistenztools oft unsichtbar im Alltag. Deshalb prüfen viele Unternehmen den echten Tool-Stack und schulen anschließend lieber breit statt zu eng.

Ja, sehr wahrscheinlich. Der Sitz des Mutterkonzerns ist nicht entscheidend; maßgeblich ist, ob KI-Systeme in der EU eingesetzt werden oder ihre Ergebnisse hier wirksam werden. Auch interne Software kann betroffen sein, sobald darin KI steckt oder Teams mit KI-Outputs arbeiten. Eine interne Bestandsaufnahme ist deshalb der richtige erste Schritt.

Fehlende Maßnahmen erhöhen vor allem Haftungs-, Governance- und Prüfungsrisiken. Art. 4 hat kein eigenes Bußgeld, aber schlechte Schulung und fehlende Dokumentation verschlechtern Ihre Position bei Vorfällen, Datenschutzproblemen oder aufsichtsnahen Prüfungen deutlich. Für andere AI-Act-Verstöße drohen je nach Fall Bußgelder bis 35 Mio. EUR oder 7 % des Jahresumsatzes.

Die Schulung ist gezielt auf Artikel 4 der EU-VO 2024/1689 und den beruflichen Einsatz von KI im Unternehmen ausgerichtet. Sie behandelt Funktionsweise, Risiken, Grenzen, Transparenz, Dokumentation und rollenspezifische Anwendung. Ob sie in Ihrem Einzelfall allein ausreicht, hängt zusätzlich vom Tool, Einsatzkontext und möglichen Hochrisiko-Anwendungen ab.

Das Schulungszertifikat dokumentiert in der Regel Teilnehmer, Kursbezug, Datum und den erfolgreichen Abschluss der Lernkontrolle. Damit haben Sie einen strukturierten Nachweis, dass die Person die Schulung absolviert hat. Wichtig ist: Die EU-Kommission verlangt kein bestimmtes Zertifikatsformat, sondern nachvollziehbare interne Nachweise über Schulung und andere Maßnahmen zur KI-Kompetenz.

Es gibt für Art.-4-Schulungen keine gesetzlich vorgegebene Standardurkunde und auch keine Pflicht zu einem Zertifikat. Entscheidend ist deshalb nicht ein Label, sondern ob Ihr Nachweis nachvollziehbar zeigt, wer wann welche Inhalte absolviert hat. Ein Schulungszertifikat mit Abschlusslogik ist dafür sinnvoll, ersetzt aber keine saubere interne Dokumentation.

Ja. Eine Lernkontrolle erhöht die Aussagekraft des Nachweises deutlich, weil nicht nur Teilnahme, sondern ein nachvollziehbarer Abschluss dokumentiert wird. Wird die Prüfung nicht bestanden, sollte eine Wiederholung möglich sein, bevor ein Zertifikat ausgestellt wird. Das stärkt Ihre Dokumentation gegenüber Audits, Kundenfragen und internen Prüfungen.

Ein guter Rollout folgt meist vier Schritten: Zugänge vergeben, Prioritätsgruppen festlegen, Abschlussquoten verfolgen und Nachweise zentral ablegen. Für Unternehmen ist entscheidend, dass die Schulung planbar bleibt und nicht an Terminabstimmung oder IT-Projekten scheitert. Zusätzlich sollten Sie Erinnerungen, Eskalationen und Ablageorte vorab klar festlegen.

Der AI Act nennt keine starre jährliche Pflicht. In der Praxis ist eine Auffrischung sinnvoll, wenn sich Ihre KI-Nutzung erweitert, neue Rollen dazukommen oder sich Rechtslage, Leitlinien und interne Governance sichtbar verändern. Ein regelmäßiger Review-Rhythmus hilft, Nachweise aktuell zu halten und veraltete Schulungsstände zu vermeiden.

Ja. Neue Mitarbeitende sollten die Schulung möglichst früh im Onboarding erhalten, sobald sie Zugriff auf KI-Tools oder KI-gestützte Prozesse haben. So bleibt Ihr Nachweisstand aktuell und nicht nur punktuell für das Bestandsteam sauber. Gerade bei Personalwechseln vermeiden Sie damit erkennbare Lücken in Ihrer Art.-4-Dokumentation.

Nein. Viele Unternehmen starten sinnvollerweise mit einer gehosteten Lernplattform, weil das deutlich schneller ist als eine technische Integration. Wenn Sie später ein LMS anbinden möchten, sollte zuerst geklärt werden, ob der zusätzliche Aufwand für Ihre Organisation überhaupt notwendig ist. Wichtig ist vor allem, dass Abschlüsse, Zertifikate und Teilnehmerdaten konsistent dokumentiert werden.

Paket 01 stellt die Preislogik auf 49 EUR pro Person um. Für die interne Argumentation zählt vor allem, dass Sie damit eine konkrete Compliance-Maßnahme, ein skalierbares Rollout-Format und belastbare Nachweise deutlich günstiger und organisatorisch einfacher abbilden als mit Präsenzseminaren oder Einzelberatung.

Ja, Förderung kann je nach Bundesland, Programm und Leistungsumfang möglich sein. Reine Online-Schulung, Beratung und kombinierte Transformationsprojekte werden unterschiedlich behandelt. Förderregeln hängen oft von Unternehmensgröße, Antragstermin und Anbieterform ab. Deshalb sollten Sie vor der Buchung prüfen, ob Ihr konkreter Fall tatsächlich förderfähig ist.

Die aktive Preislogik basiert jetzt auf 49 EUR pro Person und variabler Menge statt auf getrennten Paketstufen. Für größere Teams sollten Sie daher nicht nur den Einzelpreis, sondern auch Freischaltung, Erinnerungslogik, Reporting, Nachweisablage und den späteren realistischen operativen Rollout vergleichen.

Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen seit dem 2. Februar 2025 dazu, Maßnahmen für ein ausreichendes Maß an KI-Kompetenz im Personal sicherzustellen. Maßstab sind nicht nur Kursstunden, sondern technische Kenntnisse, Erfahrung, Ausbildung und der konkrete Einsatzkontext. Die Norm verlangt also eine passend ausgestaltete Qualifizierung statt einer bloßen Symbolmaßnahme.

Anbieter entwickeln oder bringen KI-Systeme unter eigenem Namen in Verkehr. Betreiber setzen ein KI-System im eigenen Unternehmen ein. Für die meisten Mittelständler, die ChatGPT, Copilot oder branchenspezifische KI-Software nutzen, ist die Betreiberrolle gemäß Artikel 3 der relevante Ausgangspunkt. Daraus folgen eigene Pflichten bei Schulung, Aufsicht und Dokumentation.

Die DSGVO und der AI Act gelten parallel. Die DSGVO regelt vor allem personenbezogene Daten und deren Verarbeitung, der AI Act adressiert darüber hinaus Sicherheit, Transparenz, Governance und KI-Kompetenz. Wenn ein KI-System personenbezogene Daten verarbeitet, müssen Sie daher beide Regelwerke gemeinsam prüfen. Datenschutz-Compliance allein erfüllt Artikel 4 nicht.

Das KI-MIG ist das nationale Umsetzungsgesetz für den Vollzug der Verordnung in Deutschland. Es regelt insbesondere Zuständigkeiten, Aufsicht und Verfahren. Für Unternehmen ist wichtig: Die europäische Pflicht aus Artikel 4 gilt unabhängig davon bereits seit dem 2. Februar 2025. Relevant ist das Gesetz vor allem für Zuständigkeiten und spätere Durchsetzung.

Ja. Fehlende Schulung kann Ihre zivilrechtliche Position verschlechtern, wenn ein Schaden mit KI-Bezug entsteht und vermeidbare Organisationsmängel erkennbar werden. Zusätzlich nennt die Kommissions-Q&A ausdrücklich, dass nationale Marktüberwachungsbehörden Verstöße gegen Artikel 4 mit Sanktionen und anderen Durchsetzungsmaßnahmen ahnden können. Dokumentierte Schulung ist deshalb nicht nur Haftungsvorsorge, sondern auch ein regulatorischer Nachweis.

Die Europäische Kommission hat am 19. November 2025 im Digital Omnibus vorgeschlagen, Artikel 4 anzupassen. Stand März 2026 ist das aber nur ein Vorschlag und keine geltende Änderung des AI Act. Für Unternehmen bleibt der praktische Handlungsbedarf deshalb bestehen. Bei Hochrisiko-KI bleibt die Schulung für menschliche Aufsicht nach der Kommissions-Q&A ausdrücklich relevant.

Sobald es um innerbetriebliche Fortbildungsmaßnahmen, Auswahl, Umfang oder Einbindung in Prozesse geht, sollten Sie den Betriebsrat frühzeitig einbeziehen. Gerade bei KI-Nutzung im Arbeitsalltag ist Mitbestimmung oft ein praktischer Erfolgsfaktor für einen reibungslosen Rollout. Das gilt besonders, wenn Tracking, Leistungsbezug oder personenbezogene Daten berührt werden können.

Der AI Act schreibt keinen formalen KI-Beauftragten für jedes Unternehmen vor. In der Praxis ist aber sinnvoll, eine verantwortliche Person oder Funktion zu benennen, damit Schulung, Richtlinien, Freigaben und Eskalationen nicht zwischen HR, IT und Compliance hängen bleiben. Je sensibler Ihr KI-Einsatz ist, desto wichtiger wird diese klare interne Zuständigkeit.

Verboten sind insbesondere bestimmte manipulative Praktiken, Social Scoring sowie einzelne besonders eingriffsintensive biometrische oder emotionserkennende Anwendungen gemäß Artikel 5. Diese Verbote gelten seit dem 2. Februar 2025 und sind von normaler Office-KI klar zu unterscheiden. Gerade deshalb sollten verbotene Praktiken in jeder Basisschulung ausdrücklich behandelt werden.

Bei Hochrisiko-KI reicht eine allgemeine Grundschulung nicht aus. Dann kommen zusätzliche Pflichten wie menschliche Aufsicht, Risikomanagement, Dokumentation, Transparenz und rollenspezifische Qualifikation der verantwortlichen Personen hinzu. Für viele dieser Pflichten rund um Annex III und Artikel 26 ist der 2. August 2026 der entscheidende Stichtag.

Im Gesundheitswesen steigen die regulatorischen Anforderungen schnell, sobald KI in Diagnostik, Medizinprodukten oder patientennahen Entscheidungen eingesetzt wird. Dann müssen Schulung, menschliche Aufsicht, Dokumentation und die Verzahnung mit bestehenden Medizinprodukte-Prozessen sauber zusammenpassen. Gerade bei sensiblen Gesundheitsdaten reicht eine allgemeine Tool-Einweisung regelmäßig nicht aus.

Banken und Finanzdienstleister müssen KI immer zusammen mit bestehender Regulierung wie DORA, Datenschutz, Auslagerungssteuerung und branchenspezifischen Governance-Vorgaben betrachten. Wenn KI in Kreditvergabe oder Risikobewertung eingreift, kann zudem Hochrisiko-Recht relevant werden. Schulung ist hier daher nicht nur Pflichtbaustein, sondern Teil eines belastbaren Kontrollrahmens.

Recruiting mit KI ist besonders sensibel. Sobald Systeme Bewerber vorsortieren, bewerten oder Empfehlungen mit erheblicher Wirkung abgeben, bewegen Sie sich regelmäßig im Hochrisiko-Bereich nach Annex III. HR-Teams brauchen hier deshalb meist mehr als nur eine allgemeine Basisschulung. Wichtig sind zusätzlich Transparenz, menschliche Endkontrolle und saubere Dokumentation.

Ja. Standardanwendungen wie allgemeine Produktempfehlungen sind anders zu bewerten als manipulative oder intransparente KI-Nutzung gegenüber Kunden. Gerade Chatbots, personalisierte Kommunikation und dynamische Preislogiken sollten deshalb rechtlich und operativ bewusst geführt werden. Teams müssen verstehen, wann Transparenz, Datenhygiene und menschliche Prüfung erforderlich sind.

Für Kanzleien gilt mindestens dieselbe Grundpflicht zur KI-Kompetenz wie für andere Unternehmen. Zusätzlich ist entscheidend, dass KI-Ausgaben fachlich geprüft, vertrauliche Informationen geschützt und sensible rechtliche Bewertungen nie unkontrolliert automatisiert übernommen werden. Schulung sollte daher Quellenprüfung, Halluzinationen, Dokumentation und menschliche Freigabe ausdrücklich adressieren.

Ja. Vor einer Teamentscheidung zeigen wir Ihnen im Erstgespräch Aufbau, Inhalte und Einsatzlogik des Kurses. Zusätzlich können Sie sich über die Kursübersicht bereits vorab ein Bild vom Format und den Einsatzfällen machen. Für die Auswahl ist vor allem wichtig, ob Inhalt, Rollout und Nachweislogik zu Ihrem Einsatz passen.

Der Kurs ist auf Deutsch für deutschsprachige Unternehmen und Teams aufgebaut. Wenn Sie internationale Standorte einbinden möchten, sollte früh geklärt werden, welche Sprach- und Rollenkonzepte dafür wirklich benötigt werden. Gerade bei mehreren Ländern sollten Sie vor dem Rollout abstimmen, welche Sprachversionen und Nachweisformate intern akzeptiert werden.

Der Zugang soll ohne langen Freigabeprozess funktionieren, damit Sie nicht erst interne Projektlogik aufbauen müssen. Für Unternehmen ist genau diese schnelle Verfügbarkeit oft entscheidend, wenn mehrere Teams kurzfristig geschult werden sollen. Typischerweise folgen nach der Buchung Freischaltung, Teilnehmerzuordnung und der Start des Rollouts mit zentraler Nachweisablage.

Ja. Die Schulung ist so angelegt, dass sie auf Desktop, Tablet und Smartphone nutzbar bleibt. Das erleichtert Rollouts in Teams, in denen nicht alle Mitarbeitenden einen festen Büroarbeitsplatz haben. Gerade bei Außendienst, Schichtarbeit oder dezentralen Teams reduziert mobile Nutzbarkeit organisatorische Hürden deutlich.

Die Inhalte werden fortlaufend an die Rechtslage und die operative Praxis angepasst. Sichtbarer Stand dieser FAQ-Seite ist März 2026. Für Unternehmen zählt dabei vor allem, dass Schulung und Nachweis nicht auf einem veralteten Regelstand stehen bleiben. Wichtig ist auch, dass später nachvollziehbar bleibt, welche Kursversion absolviert wurde.

Ja. Für Dokumentation, Audits oder Rückfragen ist wichtig, dass Nachweise nicht nur einmalig verschickt, sondern später erneut verfügbar gemacht werden können. Genau diese Wiederauffindbarkeit spart im Alltag viel Aufwand. Klären Sie vor dem Rollout daher auch Wiederabruf, Export und Ihre interne Ablagestruktur für Zertifikate und Abschlussdaten.

Ein kompakter Online-Kurs ist asynchron, schneller skalierbar und für große Teams deutlich leichter auszurollen. IHK-Seminare können für einzelne Verantwortliche sinnvoll sein, sind aber meist zeitintensiver, teurer und weniger auf einen breiten Pflicht-Rollout im Unternehmen ausgelegt. Für Artikel 4 zählt vor allem die passende, dokumentierte Maßnahme.

Die AIGP richtet sich an spezialisierte AI-Governance- oder Compliance-Profile. Eine Art.-4-Schulung dient dagegen als breite Pflichtmaßnahme für Mitarbeitende, die KI beruflich einsetzen. Für die meisten Teams sind das zwei unterschiedliche Anwendungsfälle und keine direkten Ersatzprodukte. Meist braucht das Unternehmen einen Grundlagenkurs, kein persönliches Expertenzertifikat.

Für Unternehmen ist entscheidend, dass Plattform, Datenverarbeitung und Vertragsunterlagen DSGVO-tauglich aufgesetzt sind. Ein Auftragsverarbeitungsvertrag sollte bei Bedarf bereitgestellt werden können. Diese Punkte gehören vor der Buchung immer in die kaufmännische und rechtliche Prüfung. Zusätzlich sollten Sie klären, welche Teilnehmerdaten verarbeitet werden und wer Zugriff erhält.

In der Regel reichen ein aktueller Browser und Internetzugang. Gerade für schnelle Rollouts ist wichtig, dass keine lokale Software installiert werden muss und die Schulung ohne zusätzliche IT-Projekte starten kann. Zusätzlich sollten Sie prüfen, wie Zugänge verteilt, Abschlussdaten erfasst und mobile oder eingeschränkte Arbeitsplätze berücksichtigt werden.

Ja. ChatGPT ist ein KI-System im Sinne des AI Act. Wenn Ihr Unternehmen es beruflich einsetzt, brauchen Mitarbeitende mindestens die KI-Kompetenz, die Artikel 4 seit dem 2. Februar 2025 verlangt. Es geht also nicht nur um Tool-Freigabe, sondern um den sicheren und nachvollziehbaren Einsatz.

Für Copilot gilt im Grundsatz dasselbe wie für andere produktiv genutzte KI-Systeme. Ihr Unternehmen braucht klare Leitplanken, Schulung zur richtigen Nutzung und dokumentierte Verantwortlichkeiten nach Artikel 4, insbesondere wenn personenbezogene oder vertrauliche Daten betroffen sind. Weil Copilot tief in Arbeitsabläufe integriert ist, sollten Datenhygiene und Quellenprüfung klar geregelt sein.

Ja. Sobald Nutzer mit einem KI-System interagieren, kommen insbesondere Transparenzpflichten nach Artikel 50 in den Blick. Ab dem 2. August 2026 wird die Kennzeichnung solcher Interaktionen für viele Unternehmen operativ noch wichtiger. Zusätzlich sollten Sie Inhalte, Eskalationen, Datenschutz und die Grenzen automatisierter Antworten sauber steuern.

Nicht jede Automatisierung ist automatisch KI im Sinne des AI Act. Klassische regelbasierte Logik ohne lernende oder generative Komponenten fällt regelmäßig anders aus als ein System, das im Sinne der Definition aus Artikel 3 eigenständig Muster ableitet oder Inhalte generiert.

KI im Recruiting ist besonders sensibel und fällt häufig in den Hochrisiko-Bereich nach Annex III. Dann brauchen Sie neben der Grundschulung typischerweise vertiefte Schulung für HR-Verantwortliche, klare menschliche Aufsicht, saubere Dokumentation und nachvollziehbare Information der Betroffenen. Eine allgemeine Tool-Einweisung reicht für solche Anwendungsfälle regelmäßig nicht aus.

Nicht pauschal. Open-Source-Modelle bieten mehr Transparenz, weil Gewichtungen und Code einsehbar sind. Self-Hosting hält Daten im Unternehmen, was DSGVO-Vorteile bringt. Aber: Ohne Guardrails und regelmäßige Updates können Sicherheitslücken schneller ausgenutzt werden als bei verwalteten Cloud-Diensten. Die Schulungspflicht nach Artikel 4 gilt in beiden Fällen.

Modelle unter Apache 2.0 (Mistral, Qwen) oder MIT-Lizenz (DeepSeek) sind kommerziell uneingeschränkt nutzbar. Meta Llama hingegen hat eine eigene Community License mit Einschränkungen ab 700 Millionen monatlichen Nutzern und ist laut Open Source Initiative kein echtes Open Source. Prüfen Sie immer die Lizenz, bevor Sie ein Modell produktiv einsetzen.

Ja. Die Schulungspflicht nach Artikel 4 der EU-Verordnung 2024/1689 gilt für alle Unternehmen, die KI-Systeme beruflich einsetzen — unabhängig davon, ob das Modell Open Source oder proprietär ist. Entscheidend ist die Nutzung im Unternehmen, nicht die Lizenz des Modells oder die Hosting-Form.

Open Weight bedeutet, dass die Modellgewichtungen öffentlich verfügbar sind, aber Trainingsdaten und Code proprietär bleiben können. Echtes Open Source umfasst Gewichtungen, Code, Dokumentation und eine freie Lizenz wie Apache 2.0. Für den EU AI Act ist die Unterscheidung relevant, weil nur echtes Open Source unter die Ausnahme in Artikel 2 Absatz 12 fallen kann.

Die API-Nutzung von DeepSeek ist problematisch, weil Daten nach China übertragen werden und kein Angemessenheitsbeschluss existiert. Mehrere deutsche Datenschutzbehörden führen Prüfverfahren. Self-Hosting von DeepSeek-Modellen auf eigenen Servern in Deutschland ist dagegen DSGVO-konform, weil keine Daten das Unternehmen verlassen und keine Drittlandübermittlung stattfindet.

Ein Mistral-7B-Modell läuft auf Consumer-Hardware ab etwa 1.500 EUR einmalig. Managed GPU-Server bei Hetzner kosten ab 500 EUR pro Monat. Im Vergleich: ChatGPT Enterprise kostet für 100 Nutzer rund 8.000 EUR monatlich. Der Break-Even liegt je nach Nutzungsintensität bei drei bis acht Monaten. Dazu entfallen AVV-Kosten für Drittanbieter.

Wenn Ihr Fine-Tuning mehr als ein Drittel des ursprünglichen Trainingsaufwands nutzt, gelten Sie als Anbieter mit erweiterten Pflichten nach Artikel 16. RAG und Prompt Engineering ändern Ihren Status nicht. LoRA-Adapter mit fünf bis fünfzehn Prozent des Compute bleiben ebenfalls im Deployer-Bereich. Entscheidend ist die Compute-Schwelle, nicht die Methode.

Die Ausnahme in Artikel 2 Absatz 12 befreit nur den Modellentwickler von bestimmten Pflichten — nicht das Unternehmen, das ein Open-Source-Modell einsetzt. Als Betreiber gelten für Sie weiterhin Artikel 4 zur KI-Kompetenz, Artikel 50 zur Transparenz und bei Hochrisiko-Anwendungen die vollständigen Pflichten aus Artikel 26. Open Source bedeutet nicht automatisch weniger Compliance.