Art. 4 der EU-KI-Verordnung verpflichtet Unternehmen seit dem 2. Februar 2025, dafür zu sorgen, dass alle Personen, die KI-Systeme einsetzen, über ein angemessenes Mass an KI-Kompetenz verfuegen. Die Pflicht gilt unabhaengig von der Unternehmensgroesse. Was fehlt, ist oft nicht der Wille, sondern ein strukturierter Plan.
Diese Checkliste fuehrt Sie in 12 Schritten durch den vollstaendigen Compliance-Prozess — von der ersten Bestandsaufnahme bis zur Audit-Readiness. Jeder Schritt benennt konkrete Handlungen, Verantwortlichkeiten, realistische Zeitrahmen und die Dokumente, die entstehen muessen. Eine Einfuehrung in die rechtliche Grundlage finden Sie im Uebersichtsbeitrag zu Art. 4. Wer zuerst verstehen will, was bei fehlender Umsetzung droht, findet die Sanktionsuebersicht im Beitrag zu AI Act Bussgeldern und Strafen.
Hinweis: Diese Checkliste ersetzt keine Rechtsberatung. Sie dient als strukturierter Ausgangspunkt fuer die interne Compliance-Arbeit. Bei komplexen Sachverhalten empfehlen wir die Hinzuziehung eines auf KI-Recht spezialisierten Beraters.
Schritt 1: KI-Bestandsaufnahme
Ziel: Vollstaendiges Inventar aller im Unternehmen genutzten KI-Systeme erstellen.
Was zu tun ist: Befragen Sie alle Abteilungen schriftlich, welche KI-Tools eingesetzt werden — einschliesslich privat beschaffter Anwendungen. Gehen Sie systematisch durch bekannte Kategorien: generative KI (ChatGPT, Claude, Copilot), Microsoft 365 Copilot, CRM-Systeme mit KI-Funktionen (Salesforce Einstein, HubSpot), Recruiting-Software mit KI-Ranking (Personio, Workday), Buchhaltungs- und ERP-Automatisierung (DATEV mit KI, SAP AI), Kundenservice-Chatbots, Uebersetzungs-KI (DeepL Pro), Code-Assistenten (GitHub Copilot) sowie Analyse-Tools mit KI (Power BI Copilot). Erfassen Sie ausserdem Shadow AI — also Tools, die Mitarbeiter ohne IT-Wissen und ohne offizielle Freigabe nutzen. Pruefen Sie auch SaaS-Vertraege auf aktivierte KI-Funktionen, die oft uebersehen werden.
Wer verantwortlich ist: IT-Leitung, HR und Abteilungsleiter aller Bereiche.
Zeitrahmen: 2 bis 3 Wochen bei Unternehmen bis 250 Mitarbeiter; 4 bis 6 Wochen bei groesseren Unternehmen.
Dokumente die entstehen: KI-Inventarliste (Tabelle mit mindestens: Tool, Version, Anbieter, Nutzungsbereich, Anzahl Nutzer) sowie Befragungsprotokoll der Abteilungen.
Haeufige Fehler: Nur offiziell beschaffte IT-Tools erfassen und Shadow AI uebersehen. Microsoft 365 Copilot nicht als KI-System fuehren, weil es als "Add-on" gilt. KI-Funktionen in bestehender Software nicht bemerken.
Schritt 2: Risikoklassifizierung
Ziel: Jedes KI-System der richtigen Risikoklasse nach EU AI Act zuordnen.
Was zu tun ist: Pruefe zuerst, ob verbotene KI-Praktiken nach Art. 5 vorliegen — Sozial-Scoring, manipulative Techniken zur Umgehung des freien Willens oder biometrische Echtzeit-Fernidentifikation in oeffentlichen Raeumen. Diese Systeme muessen sofort ausser Betrieb genommen werden. Dann erfolgt die Einordnung nach den vier Klassen:
| Risikoklasse | Rechtsgrundlage | Beispiele | Konsequenz |
|---|---|---|---|
| Verboten | Art. 5 EU AI Act | Sozial-Scoring, manipulative KI, biometrische Echtzeit-Erfassung oeffentlich | Sofortiger Einsatzstopp, kein Ausweg |
| Hochrisiko | Anhang III EU AI Act | CV-Screening, Bewerberranking, Mitarbeiter-Performance-Monitoring, Kreditwuerdigkeitspruefung, medizinische Diagnose-KI, KI in kritischer Infrastruktur | Strenge Pflichten: Dokumentation, menschliche Aufsicht, Konformitaetserklaerung |
| Begrenztes Risiko | Art. 50 EU AI Act | Chatbots mit Kundenkontakt, KI-generierte Bilder/Videos fuer externe Kommunikation, Deepfakes | Transparenzpflicht: Kennzeichnung und Offenlegungspflicht |
| Minimales Risiko | kein spezifischer Artikel | Spam-Filter, interne Empfehlungssysteme, KI-Textvervollstaendigung | Keine spezifischen Pflichten, Art. 4 KI-Kompetenz gilt trotzdem |
Tragen Sie die Klassifizierung in die KI-Inventarliste ein. Bei Hochrisiko-Systemen ist juristische Beratung empfohlen. Die eigene Einordnung hat Vorrang — Anbieterangaben duerfen nicht unkritisch uebernommen werden.
Wer verantwortlich ist: Compliance oder Rechtsabteilung, IT, externe Beratung bei Hochrisiko.
Zeitrahmen: 1 bis 2 Wochen nach Abschluss von Schritt 1.
Dokumente die entstehen: Aktualisierte KI-Inventarliste mit Risikoklasse, Begruendungsdokumentation fuer Klassifizierungsentscheidungen, Eskalationsprotokoll fuer Grenzfaelle.
Haeufige Fehler: CV-Ranking-Funktionen als "minimal" einstufen — das ist Hochrisiko. Mitarbeiter-Performance-Monitoring-Software nicht als KI klassifizieren.
Schritt 3: Betroffene Mitarbeiter identifizieren
Ziel: Vollstaendige Liste aller Mitarbeiter erstellen, die KI-Systeme nutzen oder von KI-Entscheidungen betroffen sind.
Was zu tun ist: Definieren Sie fuer jedes KI-System aus dem Inventar zwei Gruppen: direkte Nutzer, die das System aktiv bedienen, und indirekt Betroffene, ueber die KI-Entscheidungen getroffen werden (z. B. Bewerber, Kunden). Gliedern Sie die Mitarbeiterliste nach Rollen: Geschaeftsfuehrung und Vorstand, HR und Recruiting, Vertrieb und Marketing, IT und Entwicklung, Kundenservice, Finanz und Controlling, Produktion und Operations sowie alle weiteren Nutzer von ChatGPT, Copilot und vergleichbaren Tools. Beachten Sie: Auch externe Mitarbeiter, Freelancer und Zeitarbeitskraefte fallen unter Art. 4, wenn sie als Anwender agieren.
Wer verantwortlich ist: HR-Leitung, IT, Abteilungsleiter.
Zeitrahmen: 1 Woche, parallel zu Schritt 2.
Dokumente die entstehen: Schulungspflichtige Mitarbeiterliste (nach Rolle, KI-System, Risikoklasse), Organigramm-Annotation.
Haeufige Fehler: Nur technische Mitarbeiter erfassen. Fuehrungskraefte auslassen. Externe Dienstleister vergessen.
Schritt 4: Schulungsbedarf ermitteln
Ziel: Rollenspezifischen Schulungsbedarf definieren, der Art. 4 EU AI Act erfuellt.
Was zu tun ist: Art. 4 fordert ein "angemessenes Mass an KI-Kompetenz" je nach Rolle, Kontext und Risikoniveau — eine einheitliche Schulung fuer alle genuegt nicht. Erstellen Sie eine Schulungsmatrix:
| Rolle | Grundlagen KI | Risikoklassen | Rechtspflichten | Tool-spezifisch | Hochrisiko-Handling |
|---|---|---|---|---|---|
| GF / Vorstand | ja | ja | vertieft | nein | ja |
| HR / Recruiting | ja | vertieft | vertieft | ja (ATS) | vertieft |
| IT / Entwicklung | vertieft | vertieft | ja | vertieft | ja |
| Vertrieb | ja | ja | ja | ja (CRM) | nein |
| Kundenservice | ja | ja | ja | ja (Chatbot) | nein |
| Alle weiteren Nutzer | ja | Basis | Basis | ja | nein |
Mindestinhalte fuer alle Mitarbeiter: Was ist KI, was ist keine KI; wie erkenne ich KI-generierte Inhalte; grundlegende Risiken beim KI-Einsatz; wann ist menschliche Pruefung erforderlich; Meldepflichten im Unternehmen bei KI-Problemen. Zusaetzliche Inhalte fuer Hochrisiko-Nutzer: Hochrisiko-KI-Pflichten, menschliche Aufsicht, Dokumentationspflichten, Diskriminierungsrisiken im Recruiting. Treffen Sie ausserdem eine Make-or-Buy-Entscheidung: eigene Schulung entwickeln oder Anbieter beauftragen.
Wer verantwortlich ist: HR, Compliance, Abteilungsleiter, ggf. externer Schulungsberater.
Zeitrahmen: 1 bis 2 Wochen.
Dokumente die entstehen: Schulungsbedarfsanalyse, Schulungsmatrix, Stundenschaetzung je Rolle, Make-or-Buy-Entscheidung mit Begruendung.
Schritt 5: Anbieter auswaehlen
Ziel: Einen Schulungsanbieter waehlen, der Art. 4 EU AI Act-konform schult.
Was zu tun ist: Pruefen Sie zuerst die Must-Have-Kriterien: Inhalt explizit auf Art. 4 ausgerichtet, Aktualitaet (Inhalte nach Februar 2025), rollenspezifische Module verfuegbar, Deutschsprachigkeit, Schulungszertifikat nach Abschluss fuer die Dokumentation, DSGVO-konforme Datenverarbeitung mit EU-Hosting und Auftragsverarbeitungsvertrag. Holen Sie mindestens drei Angebote ein, fordern Sie ein Testmodul an und pruefen Sie Referenzen.
| Anbietertyp | Beispiele | Vorteil | Nachteil |
|---|---|---|---|
| Online-Spezialist | ai-governance-schulung.de | Guenstig, skalierbar, sofort verfuegbar | Keine Individualberatung |
| IHK / DEKRA | Regional | Bekannte Marke, Praesenzmoeglichkeit | Teurer, oft weniger aktuell |
| Unternehmensberatung | Big4, Boutiques | Massgeschneidert | Sehr teuer (ab 5.000 EUR) |
| Inhouse-Entwicklung | — | Maximal individuell | Hoher Aufwand, laufender Pflegebedarf |
Klaeren Sie die Foerderungsfaehigkeit des Anbieters vor der Buchung — nach Vertragsschluss ist es zu spaet.
Wer verantwortlich ist: HR, Einkauf, Datenschutzbeauftragter.
Zeitrahmen: 2 bis 3 Wochen.
Dokumente die entstehen: Anbietervergleich, Entscheidungsvorlage, Angebote der geprueften Anbieter, Auftragsverarbeitungsvertrag mit dem gewahlten Anbieter.
Schritt 6: Foerderung pruefen
Ziel: Verfuegbare Foerdermittel fuer KI-Schulungen ausschoepfen — bis zu 80 % Kostenerstattung sind moeglich.
Was zu tun ist: Pruefen Sie zuerst bundesweite Programme. Das INQA-Coaching des Bundesarbeitsministeriums foerdert bis zu 11.520 EUR mit 80 % Foerderquote, ist explizit fuer KI-Qualifizierung gedacht und gilt fuer Unternehmen bis 249 Mitarbeiter. Das Qualifizierungsgeld nach §82a SGB III greift, wenn mindestens 10 % der Belegschaft geschult werden sollen. WeGebAU der Bundesagentur fuer Arbeit richtet sich an Geringqualifizierte und KMU.
Recherchieren Sie anschliessend Landesfoerderungen — ESF+ Programme laufen bis 2027 und koennen oft mit Bundesfoerderung kombiniert werden. Ihre Unternehmensgroesse bestimmt die Foerderhoehe: Kleinstunternehmen (unter 10 MA, unter 2 Mio. EUR Umsatz) erhalten die hoechste Foerderquote; Kleinunternehmen (unter 50 MA) und mittlere Unternehmen (unter 250 MA) erhalten abgestufte Quoten; Grossunternehmen haben geringere Quoten, aber ESF+ ist moeglich.
Eine Regel ist absolut: Der Foerderantrag muss vor der Beauftragung gestellt werden. Kein vorzeitiger Massnahmenbeginn — sonst verfaellt die Foerderung. Eine Uebersicht der Foerderprogramme nach Bundesland finden Sie in unserem Ratgeber zur KI-Schulungspflicht nach Artikel 4.
Wer verantwortlich ist: Geschaeftsfuehrung, HR, ggf. Steuerberater oder Foerderberater.
Zeitrahmen: 2 bis 4 Wochen Antragsbearbeitung je nach Programm.
Dokumente die entstehen: Foerderantraege, Foerderbescheide (Aufbewahrungspflicht mindestens 10 Jahre), Verwendungsnachweis nach Schulungsabschluss.
Haeufige Fehler: Mit der Schulung beginnen bevor der Antrag gestellt oder bewilligt ist. Nur ein Programm pruefen, obwohl Kumulierung moeglich ist. Schulungsanbieter buchen, der nicht foerderungsfaehig ist.
Schritt 7: Betriebsrat einbinden
Ziel: Betriebsrat rechtzeitig und korrekt einbinden, Mitbestimmungsrechte beachten.
Was zu tun ist: Stellen Sie zuerst fest, ob ein Betriebsrat besteht (Pflicht ab 5 wahlberechtigten Arbeitnehmern). Falls ja, gelten alle folgenden Punkte. Falls nein, informieren Sie Mitarbeiter trotzdem transparent.
Das Mitbestimmungsrecht nach §87 Abs. 1 Nr. 6 BetrVG greift, wenn KI-Systeme das Verhalten oder die Leistung von Mitarbeitern ueberwachen. In diesem Fall ist eine Betriebsvereinbarung zwingend erforderlich — es gibt kein einseitiges Direktionsrecht der Geschaeftsfuehrung. Typische Faelle: KI-Performance-Monitoring, KI-gestuetzte Zeiterfassung, Call-Center-KI mit Qualitaetsmessung.
Das Unterrichtungs- und Beratungsrecht nach §90 BetrVG verlangt, den Betriebsrat rechtzeitig ueber geplante KI-Einfuehrungen zu informieren — das bedeutet: bevor die Entscheidung gefallen ist, nicht danach. Der Betriebsrat hat das Recht, auf Kosten des Arbeitgebers Sachverstaendige hinzuzuziehen.
Die §§96-98 BetrVG regeln die Mitbestimmung bei Schulungen: §96 verpflichtet zur gemeinsamen Beratung des Qualifizierungsbedarfs; §97 gibt dem Betriebsrat das Recht, Schulungsmassnahmen zu verlangen, wenn sich Taetigkeiten durch KI aendern; §98 schuetzt die Mitbestimmung bei Auswahl der Teilnehmer und des Anbieters.
Empfehlung: Schliessen Sie proaktiv eine Betriebsvereinbarung KI-Einsatz ab. Mustervorlagen bietet die Hans-Boeckler-Stiftung unter boeckler.de.
Wer verantwortlich ist: Geschaeftsfuehrung, HR, ggf. Arbeitsrechtler.
Zeitrahmen: Parallel zu den Schritten 4 bis 6 starten — der Betriebsrat braucht ausreichend Vorlaufzeit.
Dokumente die entstehen: Einladungsschreiben an den Betriebsrat, Besprechungsprotokolle, Betriebsvereinbarung KI (falls §87 greift), Zustimmungserklaerung zu Schulungsmassnahmen.
Haeufige Fehler: Betriebsrat erst informieren, wenn die Entscheidung bereits gefallen ist. §87 nicht pruefen, obwohl KI-Ueberwachung stattfindet. Betriebsrat bei der Anbieterauswahl nicht einbinden.
Schritt 8: Schulung durchfuehren
Ziel: Schulung effektiv, nachweisbar und ressourcenschonend durchfuehren.
Was zu tun ist: Waehlen Sie das Schulungsformat anhand der Zielgruppe. Fuer Grundlagenschulungen aller Mitarbeiter eignet sich asynchrones E-Learning am besten: skalierbar, zeitflexibel und kostenguenstig. Fuehrungskraefte und HR-Teams profitieren von synchronen Live-Sessions, in denen Diskussion moeglich ist. Hochrisiko-Teams koennen Praesenzformate rechtfertigen. Blended Learning — eine Kombination aus Online-Modulen und Live-Elementen — erzielt erfahrungsgemaess die nachhaltigsten Ergebnisse.
Erstellen Sie einen Schulungsplan mit festem Starttermin, Abschlussfristen je Rolle (Prioritaet: HR und Fuehrungskraefte zuerst) und definierten Wiederholungszyklen. Kommunizieren Sie die Schulungspflicht an alle Mitarbeiter mit dem rechtlichen Hintergrund — Mitarbeiter, die verstehen warum etwas Pflicht ist, nehmen es ernster. Richten Sie ein Monitoring ein: Wer hat abgeschlossen, wer ist ueberfaellig?
Wer verantwortlich ist: HR (Koordination), IT (Technik), Fuehrungskraefte (Freistellung der Mitarbeiter).
Zeitrahmen: 4 bis 8 Wochen Durchlaufzeit je nach Unternehmensgroesse.
Dokumente die entstehen: Schulungsplan mit Terminen und Fristen, Kommunikations-E-Mails, Teilnahmebestaetigungen und Schulungszertifikate je Mitarbeiter, Abschlussquoten-Report.
Haeufige Fehler: Schulung ohne Fristen ankuendigen ("irgendwann machen"). Fuehrungskraefte Mitarbeiter nicht freistellen. Kein Monitoring einrichten und im Audit feststellen, dass 40 % nicht abgeschlossen haben.
Schritt 9: Dokumentation anlegen
Ziel: Audit-faehige Dokumentation der gesamten KI-Compliance-Aktivitaeten erstellen.
Was zu tun ist: Das zentrale Kerndokument ist das Schulungskonzept — es haelt fest, welche KI-Systeme inventarisiert wurden, welche Risikoklassifizierung vorgenommen wurde, welche Schulungsinhalte fuer welche Rollen gewaehlt wurden, warum dieser Anbieter gewaehlt wurde und wie Regelmaessigkeit sichergestellt wird.
Fuer jeden Schulungsdurchlauf brauchen Sie eine Teilnehmerliste mit Name, Funktion, Abteilung, Datum, Abschlussstatus und Zertifikatsnummer. Zertifikate aller Teilnehmer werden digital in der HR-Akte abgelegt; jeder Mitarbeiter erhaelt eine eigene Kopie. Aufbewahrungsfrist: mindestens so lange wie das Beschaeftigungsverhaeltnis plus drei Jahre.
Legen Sie folgende Ordnerstruktur als Compliance-Akte an:
/KI-Compliance/
├── KI-Inventarliste_v[Datum].xlsx
├── Risikoklassifizierung_[Datum].pdf
├── Schulungskonzept_[Datum].pdf
├── Anbietervertrag_[Anbieter].pdf
├── Teilnehmerlisten/
│ ├── Schulung_Grundlagen_[Datum].pdf
│ └── Schulung_HR_[Datum].pdf
├── Zertifikate/
│ ├── [Nachname_Vorname]_Zertifikat.pdf
│ └── ...
├── Betriebsrat/
│ ├── Einladung_[Datum].pdf
│ └── Protokoll_[Datum].pdf
└── Foerderung/
├── Antrag_[Programm].pdf
└── Bescheid_[Programm].pdf
Beachten Sie den Datenschutz: Teilnahmedaten sind Mitarbeiterdaten, die DSGVO gilt. Regeln Sie Zugriffsberechtigungen auf HR und Compliance. Keine Schulungsdaten ohne Rechtsgrundlage an Dritte.
Wer verantwortlich ist: HR, Compliance, Datenschutzbeauftragter.
Zeitrahmen: Laufend ab Schritt 1.
Haeufige Fehler: Zertifikate nur beim Mitarbeiter belassen, kein zentrales Archiv fuehren. Schulungskonzept nie schriftlich festhalten. Dokumentation nach Schritt 9 nicht weiterfuehren — veraltete Listen helfen im Audit nicht.
Schritt 10: Regelmaessige Auffrischung sicherstellen
Ziel: KI-Kompetenz aktuell halten und neue Entwicklungen abdecken.
Was zu tun ist: Legen Sie Auffrischungsintervalle verbindlich fest. Die Grundregel: jaehrliche Auffrischung fuer alle Mitarbeiter, weil sich sowohl der EU AI Act als auch die KI-Technologie laufend weiterentwickeln. Darueber hinaus gibt es ereignisbasierte Trigger, bei denen sofort nachgeschult werden muss: Einfuehrung eines neuen KI-Tools (Schulung vor dem ersten Einsatz), wesentliches Update eines bestehenden Systems, Wechsel eines Mitarbeiters in eine neue Rolle mit anderen KI-Systemen, Sicherheitsvorfall oder entdeckter Bias sowie neue gesetzliche Anforderungen durch delegierte Rechtsakte.
Neue Mitarbeiter sollen die KI-Grundlagenschulung als Pflichtmodul im Onboarding absolvieren — spaetestens 30 Tage nach Eintritt, rollenspezifische Inhalte innerhalb der Probezeit.
Empfohlener Jahresplan: Q1 Grundlagenauffrischung fuer alle, Q2 Review der KI-Inventarliste und Nachschulung neuer Tools, Q3 Fuehrungskraefte-Update zu Compliance und neuen Anforderungen, Q4 Dokumentationscheck und Audit-Vorbereitung.
Wer verantwortlich ist: HR (Jahresplan), IT (neue Systeme melden), Fuehrungskraefte (Personalbewegungen kommunizieren).
Zeitrahmen: Laufend; Jahresplan im Q4 fuer das Folgejahr erstellen.
Dokumente die entstehen: Schulungskalender, Trigger-Liste mit Verantwortlichkeiten, aktualisierte Onboarding-Checkliste.
Haeufige Fehler: "Einmalig und fertig" denken — KI-Compliance ist ein fortlaufender Prozess. Neue Mitarbeiter erst Monate nach Start schulen. Neue KI-Tools ohne vorherige Schulung der Nutzer einfuehren.
Schritt 11: Neue Mitarbeiter onboarden und Monitoring betreiben
Ziel: Lueckenlose Uebersicht ueber den Schulungsstand aller Mitarbeiter in Echtzeit.
Was zu tun ist: Richten Sie ein Tracking-System ein — entweder im HR-System oder im LMS des Schulungsanbieters. Schluesselkennzahlen sind: Abschlussquote gesamt, je Abteilung, je Risikogruppe. Ein Ampelsystem hilft bei der Uebersicht: Gruen bedeutet geschult, Gelb bedeutet Frist laeuft, Rot bedeutet ueberfaellig.
Definieren Sie Eskalationsregeln: Nach zwei Wochen Verzug erhaelt der Mitarbeiter eine automatische Erinnerung; nach vier Wochen wird die Fuehrungskraft informiert; nach sechs Wochen folgt ein HR-Gespraech mit Dokumentation. Empfohlene Mindestquote intern: 95 % Abschluss fuer alle Mitarbeiter, 100 % fuer Hochrisiko-KI-Nutzer (HR, Recruiting, Fuehrungskraefte).
Stellen Sie sicher, dass der Onboarding-Prozess die KI-Schulung als automatischen Schritt ausloest — neue Mitarbeiter werden sofort in das Tracking aufgenommen. Ausgeschiedene Mitarbeiter werden nicht aus der Dokumentation geloescht; die Aufbewahrungspflicht gilt auch nach Austritt.
Wer verantwortlich ist: HR operativ, Compliance fuer Reporting, IT fuer technisches Tracking.
Zeitrahmen: Laufend.
Dokumente die entstehen: Monatliche Schulungsquoten-Reports, Eskalationsprotokolle, jaehrlicher KI-Compliance-Statusbericht.
Haeufige Fehler: Tracking nur beim Kursanbieter fuehren, kein eigenes HR-seitiges Monitoring. Keine Konsequenzen bei Nicht-Abschluss — die Quote bleibt dann dauerhaft niedrig.
Schritt 12: Audit-Readiness sicherstellen
Ziel: Jederzeit innerhalb von 48 Stunden einen vollstaendigen Compliance-Nachweis vorlegen koennen.
Was zu tun ist: Legen Sie eine Compliance-Akte an (physisch oder digital, verschluesselt), die alle Dokumente aus den vorherigen Schritten enthaelt: KI-Inventarliste, Risikoklassifizierungsdokumentation, Schulungskonzept, alle Teilnehmerlisten, alle Zertifikate, Betriebsratsunterlagen, Foerderbescheide, Anbietervertraege und Auftragsverarbeitungsvertraege. Erstellen Sie ein Inhaltsverzeichnis und benennen Sie einen Verantwortlichen fuer die laufende Pflege.
Fuehren Sie jaehrlich einen internen Compliance-Check durch: Ist die KI-Inventarliste aktuell? Sind alle Mitarbeiter mit KI-Zugang geschult? Stimmen die Schulungsinhalte noch mit dem aktuellen EU AI Act ueberein? Sind neue delegierte Rechtsakte entstanden? Ist der Betriebsrat auf dem neuesten Stand?
Simulieren Sie das Worst-Case-Szenario als Tabletop-Uebung: "Die Marktaufsichtsbehoerde fragt morgen nach unserer KI-Compliance — was legen wir vor?" Identifizieren und schliessen Sie dabei entdeckte Luecken.
Benennen Sie intern, wer bei einer Behoerdenanfrage den Kontakt aufnimmt, wer die Dokumentenlieferung koordiniert und wer die Geschaeftsfuehrung sofort informiert. Halten Sie den Kontakt zu einem auf KI-Recht spezialisierten Anwalt bereit — nicht erst im Krisenfall suchen.
Zur Einordnung der Bussgelder, die bei Verstoessen drohen: Verstaesse gegen Art. 4 haben kein eigenes unionsweites Bussgeld, erhoehen aber das Risiko fuer Verstaesse gegen andere Pflichten, die bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes kosten koennen. Hochrisiko-Verstaesse koennen bis zu 30 Mio. EUR oder 6 % erreichen, Verstaesse gegen verbotene Praktiken bis zu 35 Mio. EUR oder 7 %. Die vollstaendige Uebersicht finden Sie im Beitrag zu AI Act Bussgeldern und Strafen.
Wer verantwortlich ist: Compliance, Datenschutzbeauftragter, Geschaeftsfuehrung, HR.
Zeitrahmen: Einmalig aufbauen in rund 4 Wochen, danach jaehrliche Pflege.
Dokumente die entstehen: Vollstaendige Compliance-Akte, jaehrlicher interner Compliance-Check-Bericht, Kontaktliste fuer Behoerden, Anwalt und interne Ansprechpartner, Ergebnisprotokoll der Tabletop-Uebung.
Timeline-Uebersicht
| Zeitraum | Aktivitaeten | Ergebnis |
|---|---|---|
| Woche 1–3 | Schritt 1: KI-Inventar erstellen | Vollstaendige KI-Inventarliste |
| Woche 3–4 | Schritt 2: Risikoklassifizierung + Schritt 3: Nutzer identifizieren | Inventarliste mit Risikoklassen, Schulungspflichtige Mitarbeiterliste |
| Woche 4–5 | Schritt 4: Schulungsbedarf ermitteln + Schritt 7: Betriebsrat informieren (Beginn) | Schulungsmatrix, Betriebsrat im Prozess |
| Woche 5–7 | Schritt 5: Anbieter auswaehlen + Schritt 6: Foerderung beantragen | Anbietervertrag, Foerderantrag gestellt |
| Woche 7–8 | Foerderbescheid abwarten, Betriebsratsverhandlung abschliessen | Foerderbescheid, Betriebsvereinbarung ggf. unterzeichnet |
| Woche 8–16 | Schritt 8: Schulung durchfuehren | Teilnahmebestaetigungen, Zertifikate, Abschlussquoten-Report |
| Laufend ab Woche 1 | Schritte 9–12: Dokumentation, Auffrischung, Monitoring, Audit-Readiness | Vollstaendige Compliance-Akte, jaehrlicher Statusbericht |
Empfohlener Gesamtrahmen: 3 bis 4 Monate bis zur ersten vollstaendigen Compliance-Runde.
Haeufig gestellte Fragen
Gilt Art. 4 auch fuer kleine Unternehmen unter 10 Mitarbeitern?
Ja. Art. 4 differenziert nicht nach Unternehmensgroesse. Der Umfang der erforderlichen Massnahmen ist jedoch verhaeltnismaessig. Ein fuenfkoepfiger Betrieb, der ChatGPT nutzt, muss nicht dasselbe umsetzen wie ein Konzern mit Hochrisiko-KI im Recruiting. Massstab ist immer das "angemessene Mass" je nach Rolle, Kontext und Risikoniveau des konkret eingesetzten Systems.
Reicht es, wenn Mitarbeiter selbst einen Online-Kurs machen?
Nein. Das Unternehmen traegt die Pflicht und muss nachweisen, dass es angemessene Massnahmen ergriffen hat. Selbst gewahlte Kurse ohne Dokumentation, ohne Teilnahmebestaetigung und ohne Schulungszertifikat genuegen nicht. Die Pflicht liegt beim Anbieter oder Betreiber des KI-Systems — nicht beim einzelnen Mitarbeiter.
Welche Behoerde kontrolliert in Deutschland?
Primaer die Bundesnetzagentur als nationale Marktaufsichtsbehoerde. Zusaetzlich koennen Datenschutzbehoerden der Laender bei DSGVO-relevanten KI-Einsaetzen taetig werden. Weitere Informationen zur Aufsichtsstruktur finden Sie im Beitrag zur KI-Schulungspflicht nach Artikel 4.
Was passiert, wenn das Unternehmen gar nichts tut?
Fehlende KI-Kompetenz hat kein isoliertes Art.-4-Bussgeld, erhoehen aber das Risiko fuer Verstaesse gegen andere Pflichten erheblich. Wer KI ohne nachweisbare Kompetenz der Nutzer einsetzt, schwaecht seine Sorgfaltsposition, erhoht das Risiko von Folgeverstoessen und steht im Streitfall ohne Dokumentation da. Bei Verstaessen gegen Hochrisiko-Pflichten koennen Bussgelder bis zu 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes faellig werden. Die vollstaendige Sanktionsuebersicht finden Sie im Artikel zu AI Act Bussgeldern und Strafen.
Rechtlicher Hinweis: Diese Checkliste wurde nach bestem Wissen erstellt und dient als strukturierter Ausgangspunkt fuer die interne Compliance-Arbeit. Sie ersetzt keine individuelle Rechtsberatung. Bei komplexen Sachverhalten oder Hochrisiko-KI-Einsatz empfehlen wir die Hinzuziehung eines auf KI-Recht spezialisierten Beraters. Stand: Maerz 2026. Aenderungen durch delegierte Rechtsakte vorbehalten.
Wenn Sie die 12 Schritte nicht von Grund auf intern aufbauen wollen, ist unsere EU AI Act Schulung der schnellste Weg zu einer belastbaren Mindestlinie: rollenspezifische Module, Abschlusstest und Schulungszertifikat fuer die Compliance-Akte — alles in einem Paket, das direkt foerderungsfaehig ist.