Art. 4 der EU-KI-Verordnung verpflichtet Unternehmen seit dem 2. Februar 2025, dafür zu sorgen, dass alle Personen, die KI-Systeme einsetzen, über ein angemessenes Mass an KI-Kompetenz verfügen. Die Pflicht gilt unabhängig von der Unternehmensgröße. Was fehlt, ist oft nicht der Wille, sondern ein strukturierter Plan.
Diese Checkliste führt Sie in 12 Schritten durch den vollständigen Compliance-Prozess — von der ersten Bestandsaufnahme bis zur Audit-Readiness. Jeder Schritt benennt konkrete Handlungen, Verantwortlichkeiten, realistische Zeitrahmen und die Dokumente, die entstehen müssen. Eine Einführung in die rechtliche Grundlage finden Sie im Übersichtsbeitrag zu Art. 4. Wer zuerst verstehen will, was bei fehlender Umsetzung droht, findet die Sanktionsübersicht im Beitrag zu AI Act Bußgeldern und Strafen.
Hinweis: Diese Checkliste ersetzt keine Rechtsberatung. Sie dient als strukturierter Ausgangspunkt für die interne Compliance-Arbeit. Bei komplexen Sachverhalten empfehlen wir die Hinzuziehung eines auf KI-Recht spezialisierten Beraters.
Schritt 1: KI-Bestandsaufnahme
Ziel: Vollständiges Inventar aller im Unternehmen genutzten KI-Systeme erstellen.
Was zu tun ist: Befragen Sie alle Abteilungen schriftlich, welche KI-Tools eingesetzt werden — einschließlich privat beschaffter Anwendungen. Gehen Sie systematisch durch bekannte Kategorien: generative KI (ChatGPT, Claude, Copilot), Microsoft 365 Copilot, CRM-Systeme mit KI-Funktionen (Salesforce Einstein, HubSpot), Recruiting-Software mit KI-Ranking (Personio, Workday), Buchhaltungs- und ERP-Automatisierung (DATEV mit KI, SAP AI), Kundenservice-Chatbots, Übersetzungs-KI (DeepL Pro), Code-Assistenten (GitHub Copilot) sowie Analyse-Tools mit KI (Power BI Copilot). Erfassen Sie außerdem Shadow AI — also Tools, die Mitarbeiter ohne IT-Wissen und ohne offizielle Freigabe nutzen. Prüfen Sie auch SaaS-Verträge auf aktivierte KI-Funktionen, die oft übersehen werden.
Wer verantwortlich ist: IT-Leitung, HR und Abteilungsleiter aller Bereiche.
Zeitrahmen: 2 bis 3 Wochen bei Unternehmen bis 250 Mitarbeiter; 4 bis 6 Wochen bei größeren Unternehmen.
Dokumente die entstehen: KI-Inventarliste (Tabelle mit mindestens: Tool, Version, Anbieter, Nutzungsbereich, Anzahl Nutzer) sowie Befragungsprotokoll der Abteilungen.
Häufige Fehler: Nur offiziell beschaffte IT-Tools erfassen und Shadow AI übersehen. Microsoft 365 Copilot nicht als KI-System führen, weil es als "Add-on" gilt. KI-Funktionen in bestehender Software nicht bemerken.
Schritt 2: Risikoklassifizierung
Ziel: Jedes KI-System der richtigen Risikoklasse nach EU AI Act zuordnen.
Was zu tun ist: Prüfe zuerst, ob verbotene KI-Praktiken nach Art. 5 vorliegen — Sozial-Scoring, manipulative Techniken zur Umgehung des freien Willens oder biometrische Echtzeit-Fernidentifikation in öffentlichen Räumen. Diese Systeme müssen sofort außer Betrieb genommen werden. Dann erfolgt die Einordnung nach den vier Klassen:
| Risikoklasse | Rechtsgrundlage | Beispiele | Konsequenz |
|---|---|---|---|
| Verboten | Art. 5 EU AI Act | Sozial-Scoring, manipulative KI, biometrische Echtzeit-Erfassung öffentlich | Sofortiger Einsatzstopp, kein Ausweg |
| Hochrisiko | Anhang III EU AI Act | CV-Screening, Bewerberranking, Mitarbeiter-Performance-Monitoring, Kreditwürdigkeitsprüfung, medizinische Diagnose-KI, KI in kritischer Infrastruktur | Strenge Pflichten: Dokumentation, menschliche Aufsicht, Konformitätserklärung |
| Begrenztes Risiko | Art. 50 EU AI Act | Chatbots mit Kundenkontakt, KI-generierte Bilder/Videos für externe Kommunikation, Deepfakes | Transparenzpflicht: Kennzeichnung und Offenlegungspflicht |
| Minimales Risiko | kein spezifischer Artikel | Spam-Filter, interne Empfehlungssysteme, KI-Textvervollständigung | Keine spezifischen Pflichten, Art. 4 KI-Kompetenz gilt trotzdem |
Tragen Sie die Klassifizierung in die KI-Inventarliste ein. Bei Hochrisiko-Systemen ist juristische Beratung empfohlen. Die eigene Einordnung hat Vorrang — Anbieterangaben dürfen nicht unkritisch übernommen werden.
Wer verantwortlich ist: Compliance oder Rechtsabteilung, IT, externe Beratung bei Hochrisiko.
Zeitrahmen: 1 bis 2 Wochen nach Abschluss von Schritt 1.
Dokumente die entstehen: Aktualisierte KI-Inventarliste mit Risikoklasse, Begründungsdokumentation für Klassifizierungsentscheidungen, Eskalationsprotokoll für Grenzfälle.
Häufige Fehler: CV-Ranking-Funktionen als "minimal" einstufen — das ist Hochrisiko. Mitarbeiter-Performance-Monitoring-Software nicht als KI klassifizieren.
Schritt 3: Betroffene Mitarbeiter identifizieren
Ziel: Vollständige Liste aller Mitarbeiter erstellen, die KI-Systeme nutzen oder von KI-Entscheidungen betroffen sind.
Was zu tun ist: Definieren Sie für jedes KI-System aus dem Inventar zwei Gruppen: direkte Nutzer, die das System aktiv bedienen, und indirekt Betroffene, über die KI-Entscheidungen getroffen werden (z. B. Bewerber, Kunden). Gliedern Sie die Mitarbeiterliste nach Rollen: Geschäftsführung und Vorstand, HR und Recruiting, Vertrieb und Marketing, IT und Entwicklung, Kundenservice, Finanz und Controlling, Produktion und Operations sowie alle weiteren Nutzer von ChatGPT, Copilot und vergleichbaren Tools. Beachten Sie: Auch externe Mitarbeiter, Freelancer und Zeitarbeitskräfte fallen unter Art. 4, wenn sie als Anwender agieren.
Wer verantwortlich ist: HR-Leitung, IT, Abteilungsleiter.
Zeitrahmen: 1 Woche, parallel zu Schritt 2.
Dokumente die entstehen: Schulungspflichtige Mitarbeiterliste (nach Rolle, KI-System, Risikoklasse), Organigramm-Annotation.
Häufige Fehler: Nur technische Mitarbeiter erfassen. Führungskräfte auslassen. Externe Dienstleister vergessen.
Schritt 4: Schulungsbedarf ermitteln
Ziel: Rollenspezifischen Schulungsbedarf definieren, der Art. 4 EU AI Act erfüllt.
Was zu tun ist: Art. 4 fordert ein "angemessenes Mass an KI-Kompetenz" je nach Rolle, Kontext und Risikoniveau — eine einheitliche Schulung für alle genügt nicht. Erstellen Sie eine Schulungsmatrix:
| Rolle | Grundlagen KI | Risikoklassen | Rechtspflichten | Tool-spezifisch | Hochrisiko-Handling |
|---|---|---|---|---|---|
| GF / Vorstand | ja | ja | vertieft | nein | ja |
| HR / Recruiting | ja | vertieft | vertieft | ja (ATS) | vertieft |
| IT / Entwicklung | vertieft | vertieft | ja | vertieft | ja |
| Vertrieb | ja | ja | ja | ja (CRM) | nein |
| Kundenservice | ja | ja | ja | ja (Chatbot) | nein |
| Alle weiteren Nutzer | ja | Basis | Basis | ja | nein |
Mindestinhalte für alle Mitarbeiter: Was ist KI, was ist keine KI; wie erkenne ich KI-generierte Inhalte; grundlegende Risiken beim KI-Einsatz; wann ist menschliche Prüfung erforderlich; Meldepflichten im Unternehmen bei KI-Problemen. Zusätzliche Inhalte für Hochrisiko-Nutzer: Hochrisiko-KI-Pflichten, menschliche Aufsicht, Dokumentationspflichten, Diskriminierungsrisiken im Recruiting. Treffen Sie außerdem eine Make-or-Buy-Entscheidung: eigene Schulung entwickeln oder Anbieter beauftragen.
Wer verantwortlich ist: HR, Compliance, Abteilungsleiter, ggf. externer Schulungsberater.
Zeitrahmen: 1 bis 2 Wochen.
Dokumente die entstehen: Schulungsbedarfsanalyse, Schulungsmatrix, Stundenschätzung je Rolle, Make-or-Buy-Entscheidung mit Begründung.
Schritt 5: Anbieter auswählen
Ziel: Einen Schulungsanbieter wählen, der Art. 4 EU AI Act-konform schult.
Was zu tun ist: Prüfen Sie zuerst die Must-Have-Kriterien: Inhalt explizit auf Art. 4 ausgerichtet, Aktualität (Inhalte nach Februar 2025), rollenspezifische Module verfügbar, Deutschsprachigkeit, Schulungszertifikat nach Abschluss für die Dokumentation, DSGVO-konforme Datenverarbeitung mit EU-Hosting und Auftragsverarbeitungsvertrag. Holen Sie mindestens drei Angebote ein, fordern Sie ein Testmodul an und prüfen Sie Referenzen.
| Anbietertyp | Beispiele | Vorteil | Nachteil |
|---|---|---|---|
| Online-Spezialist | ai-governance-schulung.de | Günstig, skalierbar, sofort verfügbar | Keine Individualberatung |
| IHK / DEKRA | Regional | Bekannte Marke, Präsenzmöglichkeit | Teurer, oft weniger aktuell |
| Unternehmensberatung | Big4, Boutiques | Maßgeschneidert | Sehr teuer (ab 5.000 EUR) |
| Inhouse-Entwicklung | — | Maximal individuell | Hoher Aufwand, laufender Pflegebedarf |
Klären Sie die förderungsfähigkeit des Anbieters vor der Buchung — nach Vertragsschluss ist es zu spät.
Wer verantwortlich ist: HR, Einkauf, Datenschutzbeauftragter.
Zeitrahmen: 2 bis 3 Wochen.
Dokumente die entstehen: Anbietervergleich, Entscheidungsvorlage, Angebote der geprüften Anbieter, Auftragsverarbeitungsvertrag mit dem gewählten Anbieter.
Schritt 6: Förderung prüfen
Ziel: Verfügbare Fördermittel für KI-Schulungen ausschöpfen — bis zu 80 % Kostenerstattung sind möglich.
Was zu tun ist: Prüfen Sie zuerst bundesweite Programme. Das INQA-Coaching des Bundesarbeitsministeriums fördert bis zu 11.520 EUR mit 80 % Förderquote, ist explizit für KI-Qualifizierung gedacht und gilt für Unternehmen bis 249 Mitarbeiter. Das Qualifizierungsgeld nach §82a SGB III greift, wenn mindestens 10 % der Belegschaft geschult werden sollen. WeGebAU der Bundesagentur für Arbeit richtet sich an Geringqualifizierte und KMU.
Recherchieren Sie anschließend Landesförderungen — ESF+ Programme laufen bis 2027 und können oft mit Bundesförderung kombiniert werden. Ihre Unternehmensgröße bestimmt die Förderhöhe: Kleinstunternehmen (unter 10 MA, unter 2 Mio. EUR Umsatz) erhalten die höchste Förderquote; Kleinunternehmen (unter 50 MA) und mittlere Unternehmen (unter 250 MA) erhalten abgestufte Quoten; Großunternehmen haben geringere Quoten, aber ESF+ ist möglich.
Eine Regel ist absolut: Der Förderantrag muss vor der Beauftragung gestellt werden. Kein vorzeitiger Maßnahmenbeginn — sonst verfällt die Förderung. Eine Übersicht der Förderprogramme nach Bundesland finden Sie in unserem Ratgeber zur KI-Schulungspflicht nach Artikel 4.
Wer verantwortlich ist: Geschäftsführung, HR, ggf. Steuerberater oder Förderberater.
Zeitrahmen: 2 bis 4 Wochen Antragsbearbeitung je nach Programm.
Dokumente die entstehen: Förderantraege, Förderbescheide (Aufbewahrungspflicht mindestens 10 Jahre), Verwendungsnachweis nach Schulungsabschluss.
Häufige Fehler: Mit der Schulung beginnen bevor der Antrag gestellt oder bewilligt ist. Nur ein Programm prüfen, obwohl Kumulierung möglich ist. Schulungsanbieter buchen, der nicht förderungsfähig ist.
Schritt 7: Betriebsrat einbinden
Ziel: Betriebsrat rechtzeitig und korrekt einbinden, Mitbestimmungsrechte beachten.
Was zu tun ist: Stellen Sie zuerst fest, ob ein Betriebsrat besteht (Pflicht ab 5 wahlberechtigten Arbeitnehmern). Falls ja, gelten alle folgenden Punkte. Falls nein, informieren Sie Mitarbeiter trotzdem transparent.
Das Mitbestimmungsrecht nach §87 Abs. 1 Nr. 6 BetrVG greift, wenn KI-Systeme das Verhalten oder die Leistung von Mitarbeitern überwachen. In diesem Fall ist eine Betriebsvereinbarung zwingend erforderlich — es gibt kein einseitiges Direktionsrecht der Geschäftsführung. Typische Fälle: KI-Performance-Monitoring, KI-gestützte Zeiterfassung, Call-Center-KI mit Qualitätsmessung.
Das Unterrichtungs- und Beratungsrecht nach §90 BetrVG verlangt, den Betriebsrat rechtzeitig über geplante KI-Einführungen zu informieren — das bedeutet: bevor die Entscheidung gefallen ist, nicht danach. Der Betriebsrat hat das Recht, auf Kosten des Arbeitgebers Sachverständige hinzuzuziehen.
Die §§96-98 BetrVG regeln die Mitbestimmung bei Schulungen: §96 verpflichtet zur gemeinsamen Beratung des Qualifizierungsbedarfs; §97 gibt dem Betriebsrat das Recht, Schulungsmaßnahmen zu verlangen, wenn sich Tätigkeiten durch KI ändern; §98 schützt die Mitbestimmung bei Auswahl der Teilnehmer und des Anbieters.
Empfehlung: Schließen Sie proaktiv eine Betriebsvereinbarung KI-Einsatz ab. Mustervorlagen bietet die Hans-Boeckler-Stiftung unter boeckler.de.
Wer verantwortlich ist: Geschäftsführung, HR, ggf. Arbeitsrechtler.
Zeitrahmen: Parallel zu den Schritten 4 bis 6 starten — der Betriebsrat braucht ausreichend Vorlaufzeit.
Dokumente die entstehen: Einladungsschreiben an den Betriebsrat, Besprechungsprotokolle, Betriebsvereinbarung KI (falls §87 greift), Zustimmungserklärung zu Schulungsmaßnahmen.
Häufige Fehler: Betriebsrat erst informieren, wenn die Entscheidung bereits gefallen ist. §87 nicht prüfen, obwohl KI-Überwachung stattfindet. Betriebsrat bei der Anbieterauswahl nicht einbinden.
Schritt 8: Schulung durchführen
Ziel: Schulung effektiv, nachweisbar und ressourcenschonend durchführen.
Was zu tun ist: Wählen Sie das Schulungsformat anhand der Zielgruppe. Für Grundlagenschulungen aller Mitarbeiter eignet sich asynchrones E-Learning am besten: skalierbar, zeitflexibel und kostengünstig. Führungskräfte und HR-Teams profitieren von synchronen Live-Sessions, in denen Diskussion möglich ist. Hochrisiko-Teams können Präsenzformate rechtfertigen. Blended Learning — eine Kombination aus Online-Modulen und Live-Elementen — erzielt erfahrungsgemäß die nachhaltigsten Ergebnisse.
Erstellen Sie einen Schulungsplan mit festem Starttermin, Abschlussfristen je Rolle (Priorität: HR und Führungskräfte zuerst) und definierten Wiederholungszyklen. Kommunizieren Sie die Schulungspflicht an alle Mitarbeiter mit dem rechtlichen Hintergrund — Mitarbeiter, die verstehen warum etwas Pflicht ist, nehmen es ernster. Richten Sie ein Monitoring ein: Wer hat abgeschlossen, wer ist überfällig?
Wer verantwortlich ist: HR (Koordination), IT (Technik), Führungskräfte (Freistellung der Mitarbeiter).
Zeitrahmen: 4 bis 8 Wochen Durchlaufzeit je nach Unternehmensgröße.
Dokumente die entstehen: Schulungsplan mit Terminen und Fristen, Kommunikations-E-Mails, Teilnahmebestätigungen und Schulungszertifikate je Mitarbeiter, Abschlussquoten-Report.
Häufige Fehler: Schulung ohne Fristen ankündigen ("irgendwann machen"). Führungskräfte Mitarbeiter nicht freistellen. Kein Monitoring einrichten und im Audit feststellen, dass 40 % nicht abgeschlossen haben.
Schritt 9: Dokumentation anlegen
Ziel: Audit-faehige Dokumentation der gesamten KI-Compliance-Aktivitäten erstellen.
Was zu tun ist: Das zentrale Kerndokument ist das Schulungskonzept — es hält fest, welche KI-Systeme inventarisiert wurden, welche Risikoklassifizierung vorgenommen wurde, welche Schulungsinhalte für welche Rollen gewählt wurden, warum dieser Anbieter gewählt wurde und wie Regelmäßigkeit sichergestellt wird.
Für jeden Schulungsdurchlauf brauchen Sie eine Teilnehmerliste mit Name, Funktion, Abteilung, Datum, Abschlussstatus und Zertifikatsnummer. Zertifikate aller Teilnehmer werden digital in der HR-Akte abgelegt; jeder Mitarbeiter erhält eine eigene Kopie. Aufbewahrungsfrist: mindestens so lange wie das Beschäftigungsverhältnis plus drei Jahre.
Legen Sie folgende Ordnerstruktur als Compliance-Akte an:
/KI-Compliance/
├── KI-Inventarliste_v[Datum].xlsx
├── Risikoklassifizierung_[Datum].pdf
├── Schulungskonzept_[Datum].pdf
├── Anbietervertrag_[Anbieter].pdf
├── Teilnehmerlisten/
│ ├── Schulung_Grundlagen_[Datum].pdf
│ └── Schulung_HR_[Datum].pdf
├── Zertifikate/
│ ├── [Nachname_Vorname]_Zertifikat.pdf
│ └── ...
├── Betriebsrat/
│ ├── Einladung_[Datum].pdf
│ └── Protokoll_[Datum].pdf
└── Förderung/
├── Antrag_[Programm].pdf
└── Bescheid_[Programm].pdf
Beachten Sie den Datenschutz: Teilnahmedaten sind Mitarbeiterdaten, die DSGVO gilt. Regeln Sie Zugriffsberechtigungen auf HR und Compliance. Keine Schulungsdaten ohne Rechtsgrundlage an Dritte.
Wer verantwortlich ist: HR, Compliance, Datenschutzbeauftragter.
Zeitrahmen: Laufend ab Schritt 1.
Häufige Fehler: Zertifikate nur beim Mitarbeiter belassen, kein zentrales Archiv führen. Schulungskonzept nie schriftlich festhalten. Dokumentation nach Schritt 9 nicht weiterführen — veraltete Listen helfen im Audit nicht.
Schritt 10: Regelmäßige Auffrischung sicherstellen
Ziel: KI-Kompetenz aktuell halten und neue Entwicklungen abdecken.
Was zu tun ist: Legen Sie Auffrischungsintervalle verbindlich fest. Die Grundregel: jährliche Auffrischung für alle Mitarbeiter, weil sich sowohl der EU AI Act als auch die KI-Technologie laufend weiterentwickeln. Darüber hinaus gibt es ereignisbasierte Trigger, bei denen sofort nachgeschult werden muss: Einführung eines neuen KI-Tools (Schulung vor dem ersten Einsatz), wesentliches Update eines bestehenden Systems, Wechsel eines Mitarbeiters in eine neue Rolle mit anderen KI-Systemen, Sicherheitsvorfall oder entdeckter Bias sowie neue gesetzliche Anforderungen durch delegierte Rechtsakte.
Neue Mitarbeiter sollen die KI-Grundlagenschulung als Pflichtmodul im Onboarding absolvieren — spätestens 30 Tage nach Eintritt, rollenspezifische Inhalte innerhalb der Probezeit.
Empfohlener Jahresplan: Q1 Grundlagenauffrischung für alle, Q2 Review der KI-Inventarliste und Nachschulung neuer Tools, Q3 Führungskräfte-Update zu Compliance und neuen Anforderungen, Q4 Dokumentationscheck und Audit-Vorbereitung.
Wer verantwortlich ist: HR (Jahresplan), IT (neue Systeme melden), Führungskräfte (Personalbewegungen kommunizieren).
Zeitrahmen: Laufend; Jahresplan im Q4 für das Folgejahr erstellen.
Dokumente die entstehen: Schulungskalender, Trigger-Liste mit Verantwortlichkeiten, aktualisierte Onboarding-Checkliste.
Häufige Fehler: "Einmalig und fertig" denken — KI-Compliance ist ein fortlaufender Prozess. Neue Mitarbeiter erst Monate nach Start schulen. Neue KI-Tools ohne vorherige Schulung der Nutzer einführen.
Schritt 11: Neue Mitarbeiter onboarden und Monitoring betreiben
Ziel: Lückenlose Übersicht über den Schulungsstand aller Mitarbeiter in Echtzeit.
Was zu tun ist: Richten Sie ein Tracking-System ein — entweder im HR-System oder im LMS des Schulungsanbieters. Schlüsselkennzahlen sind: Abschlussquote gesamt, je Abteilung, je Risikogruppe. Ein Ampelsystem hilft bei der Übersicht: Grün bedeutet geschult, Gelb bedeutet Frist läuft, Rot bedeutet überfällig.
Definieren Sie Eskalationsregeln: Nach zwei Wochen Verzug erhält der Mitarbeiter eine automatische Erinnerung; nach vier Wochen wird die Führungskraft informiert; nach sechs Wochen folgt ein HR-Gespräch mit Dokumentation. Empfohlene Mindestquote intern: 95 % Abschluss für alle Mitarbeiter, 100 % für Hochrisiko-KI-Nutzer (HR, Recruiting, Führungskräfte).
Stellen Sie sicher, dass der Onboarding-Prozess die KI-Schulung als automatischen Schritt auslöst — neue Mitarbeiter werden sofort in das Tracking aufgenommen. Ausgeschiedene Mitarbeiter werden nicht aus der Dokumentation geloescht; die Aufbewahrungspflicht gilt auch nach Austritt.
Wer verantwortlich ist: HR operativ, Compliance für Reporting, IT für technisches Tracking.
Zeitrahmen: Laufend.
Dokumente die entstehen: Monatliche Schulungsquoten-Reports, Eskalationsprotokolle, jährlicher KI-Compliance-Statusbericht.
Häufige Fehler: Tracking nur beim Kursanbieter führen, kein eigenes HR-seitiges Monitoring. Keine Konsequenzen bei Nicht-Abschluss — die Quote bleibt dann dauerhaft niedrig.
Schritt 12: Audit-Readiness sicherstellen
Ziel: Jederzeit innerhalb von 48 Stunden einen vollständigen Compliance-Nachweis vorlegen können.
Was zu tun ist: Legen Sie eine Compliance-Akte an (physisch oder digital, verschlüsselt), die alle Dokumente aus den vorherigen Schritten enthält: KI-Inventarliste, Risikoklassifizierungsdokumentation, Schulungskonzept, alle Teilnehmerlisten, alle Zertifikate, Betriebsratsunterlagen, Förderbescheide, Anbieterverträge und Auftragsverarbeitungsverträge. Erstellen Sie ein Inhaltsverzeichnis und benennen Sie einen Verantwortlichen für die laufende Pflege.
Fuehren Sie jährlich einen internen Compliance-Check durch: Ist die KI-Inventarliste aktuell? Sind alle Mitarbeiter mit KI-Zugang geschult? Stimmen die Schulungsinhalte noch mit dem aktuellen EU AI Act überein? Sind neue delegierte Rechtsakte entstanden? Ist der Betriebsrat auf dem neuesten Stand?
Simulieren Sie das Worst-Case-Szenario als Tabletop-Uebung: "Die Marktaufsichtsbehörde fragt morgen nach unserer KI-Compliance — was legen wir vor?" Identifizieren und schließen Sie dabei entdeckte Lücken.
Benennen Sie intern, wer bei einer Behördenanfrage den Kontakt aufnimmt, wer die Dokumentenlieferung koordiniert und wer die Geschäftsführung sofort informiert. Halten Sie den Kontakt zu einem auf KI-Recht spezialisierten Anwalt bereit — nicht erst im Krisenfall suchen.
Zur Einordnung der Bußgelder, die bei Verstoessen drohen: Verstöße gegen Art. 4 haben kein eigenes unionsweites Bußgeld, erhöhen aber das Risiko für Verstöße gegen andere Pflichten, die bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes kosten können. Hochrisiko-Verstöße können bis zu 30 Mio. EUR oder 6 % erreichen, Verstöße gegen verbotene Praktiken bis zu 35 Mio. EUR oder 7 %. Die vollständige Übersicht finden Sie im Beitrag zu AI Act Bußgeldern und Strafen.
Wer verantwortlich ist: Compliance, Datenschutzbeauftragter, Geschäftsführung, HR.
Zeitrahmen: Einmalig aufbauen in rund 4 Wochen, danach jährliche Pflege.
Dokumente die entstehen: Vollständige Compliance-Akte, jährlicher interner Compliance-Check-Bericht, Kontaktliste für Behörden, Anwalt und interne Ansprechpartner, Ergebnisprotokoll der Tabletop-Uebung.
Timeline-Übersicht
| Zeitraum | Aktivitäten | Ergebnis |
|---|---|---|
| Woche 1–3 | Schritt 1: KI-Inventar erstellen | Vollständige KI-Inventarliste |
| Woche 3–4 | Schritt 2: Risikoklassifizierung + Schritt 3: Nutzer identifizieren | Inventarliste mit Risikoklassen, Schulungspflichtige Mitarbeiterliste |
| Woche 4–5 | Schritt 4: Schulungsbedarf ermitteln + Schritt 7: Betriebsrat informieren (Beginn) | Schulungsmatrix, Betriebsrat im Prozess |
| Woche 5–7 | Schritt 5: Anbieter auswählen + Schritt 6: Förderung beantragen | Anbietervertrag, Förderantrag gestellt |
| Woche 7–8 | Förderbescheid abwarten, Betriebsratsverhandlung abschließen | Förderbescheid, Betriebsvereinbarung ggf. unterzeichnet |
| Woche 8–16 | Schritt 8: Schulung durchführen | Teilnahmebestätigungen, Zertifikate, Abschlussquoten-Report |
| Laufend ab Woche 1 | Schritte 9–12: Dokumentation, Auffrischung, Monitoring, Audit-Readiness | Vollständige Compliance-Akte, jährlicher Statusbericht |
Empfohlener Gesamtrahmen: 3 bis 4 Monate bis zur ersten vollständigen Compliance-Runde.
Häufig gestellte Fragen
Gilt Art. 4 auch für kleine Unternehmen unter 10 Mitarbeitern?
Ja. Art. 4 differenziert nicht nach Unternehmensgröße. Der Umfang der erforderlichen Maßnahmen ist jedoch verhältnismäßig. Ein fünfkoepfiger Betrieb, der ChatGPT nutzt, muss nicht dasselbe umsetzen wie ein Konzern mit Hochrisiko-KI im Recruiting. Maßstab ist immer das "angemessene Mass" je nach Rolle, Kontext und Risikoniveau des konkret eingesetzten Systems.
Reicht es, wenn Mitarbeiter selbst einen Online-Kurs machen?
Nein. Das Unternehmen trägt die Pflicht und muss nachweisen, dass es angemessene Maßnahmen ergriffen hat. Selbst gewählte Kurse ohne Dokumentation, ohne Teilnahmebestätigung und ohne Schulungszertifikat genügen nicht. Die Pflicht liegt beim Anbieter oder Betreiber des KI-Systems — nicht beim einzelnen Mitarbeiter.
Welche Behörde kontrolliert in Deutschland?
Primär die Bundesnetzagentur als nationale Marktaufsichtsbehörde. Zusätzlich können Datenschutzbehörden der Länder bei DSGVO-relevanten KI-Einsätzen tätig werden. Weitere Informationen zur Aufsichtsstruktur finden Sie im Beitrag zur KI-Schulungspflicht nach Artikel 4.
Was passiert, wenn das Unternehmen gar nichts tut?
Fehlende KI-Kompetenz hat kein isoliertes Art.-4-Bußgeld, erhöhen aber das Risiko für Verstöße gegen andere Pflichten erheblich. Wer KI ohne nachweisbare Kompetenz der Nutzer einsetzt, schwächt seine Sorgfaltsposition, erhöht das Risiko von Folgeverstoessen und steht im Streitfall ohne Dokumentation da. Bei Verstößen gegen Hochrisiko-Pflichten können Bußgelder bis zu 30 Mio. EUR oder 6 % des weltweiten Jahresumsatzes fällig werden. Die vollständige Sanktionsübersicht finden Sie im Artikel zu AI Act Bußgeldern und Strafen.
Rechtlicher Hinweis: Diese Checkliste wurde nach bestem Wissen erstellt und dient als strukturierter Ausgangspunkt für die interne Compliance-Arbeit. Sie ersetzt keine individuelle Rechtsberatung. Bei komplexen Sachverhalten oder Hochrisiko-KI-Einsatz empfehlen wir die Hinzuziehung eines auf KI-Recht spezialisierten Beraters. Stand: März 2026. Änderungen durch delegierte Rechtsakte vorbehalten.
Wenn Sie die 12 Schritte nicht von Grund auf intern aufbauen wollen, ist unsere EU AI Act Schulung der schnellste Weg zu einer belastbaren Mindestlinie: rollenspezifische Module, Abschlusstest und Schulungszertifikat für die Compliance-Akte — alles in einem Paket, das direkt förderungsfähig ist.