Im Mai 2018 trat die DSGVO in Kraft. Wer sich noch erinnert: Die letzten Wochen davor glichen einem kollektiven Aufwachschrecken. Rechtsabteilungen arbeiteten Überstunden. Berater waren ausgebucht. Mitarbeiterschulungen wurden in Massensessions abgehalten — manchmal mit Hunderten Teilnehmern in überfüllten Konferenzräumen, manchmal mit einem 20-minütigen Video, das niemand wirklich gesehen hat.
Das Ergebnis: Viele Unternehmen haben die DSGVO-Schulungspflicht formal erfüllt, aber inhaltlich nicht verinnerlicht. Die Bußgelder kamen trotzdem.
Jetzt steht der AI Act vor der nächsten Enforcement-Deadline. Die Muster wiederholen sich — wer sie kennt, kann diesmal früher handeln.
1. Der rechtliche Vergleich: Art. 39 DSGVO (implizit) vs. Art. 4 AI Act (explizit)
Die DSGVO hatte keine eigene Schulungsnorm — aber trotzdem eine Pflicht
Wer die DSGVO nach einer direkten Schulungspflicht für alle Mitarbeiter durchsucht, findet keine einzelne klare Norm. Die Pflicht ergibt sich indirekt aus mehreren Quellen: Art. 5 Abs. 2 (Rechenschaftspflicht), Art. 24 (geeignete technische und organisatorische Maßnahmen) und Art. 39 (Aufgaben des Datenschutzbeauftragten, der Mitarbeiter sensibilisieren und schulen muss). Erwägungsgrund 78 macht deutlich, dass Mitarbeiter für Datenschutzrisiken sensibilisiert werden müssen.
Rechtlich war nachgewiesene, regelmäßige Mitarbeiterschulung de facto Pflicht — auch ohne eine einzige Norm, die "Sie müssen alle schulen" sagt.
Art. 4 AI Act ist klarer — und strenger
Artikel 4 AI Act verpflichtet Anbieter und Betreiber von KI-Systemen direkt: Sie müssen sicherstellen, dass die relevanten Personen über ausreichende KI-Kompetenz verfügen. Das umfasst technisches Wissen, die Kenntnis der Eigenschaften des eingesetzten Systems und den Kontext des Einsatzes.
| Dimension | DSGVO | AI Act |
|---|---|---|
| Formulierung | Implizit (Rechenschaftspflicht) | Explizit (Art. 4 direkte Verpflichtung) |
| Adressat | Verantwortliche + DSB | Anbieter UND Betreiber — also fast alle Unternehmen |
| Inhalt der Schulung | Sensibilisierung für Datenschutz | Messbare KI-Kompetenz — nicht nur Bewusstsein |
| Rollenspezifik | DSB-Aufgabe, aber für alle | Ausdrücklich rollenspezifisch: Techniker, Nutzer, Manager |
| Sanktionsrahmen | Bis 20 Mio. EUR oder 4 % Jahresumsatz | Bis 35 Mio. EUR oder 7 % Jahresumsatz |
Der Unterschied ist wesentlich: Art. 4 AI Act fordert nicht nur, dass Schulungen stattfinden, sondern dass Mitarbeiter tatsächlich kompetent werden — in Bezug auf das spezifische KI-System, das sie nutzen. Das ist eine höhere Anforderung als das Awareness-Training, das viele DSGVO-Programme geleistet haben.
2. Die Parallel-Timeline: Wo wir heute stehen
Der AI Act folgt strukturell exakt derselben Entwicklung wie die DSGVO. Wer die Parallele kennt, kann diesmal früher handeln.
| DSGVO | AI Act (Parallel-Timeline) |
|---|---|
| 2016: Verordnung verabschiedet | August 2024: Verordnung verabschiedet |
| 2017: "Countdown" beginnt, erste Schulungen | 2025/Q1 2026: Wir sind hier |
| Mai 2018: Enforcement-Deadline | August 2026: Hochrisiko-KI-Regeln in Kraft |
| 2019: Nachzügler holen nach | 2027: Nachzügler-Welle |
| 2020+: Jährliche Schulung wird Standard | 2028+: Jährliche KI-Schulung als Norm |
Wer jetzt handelt, befindet sich ungefähr dort, wo DSGVO-First-Mover im Frühjahr 2017 standen. Das ist das richtige Timing: früh genug für eine solide Vorbereitung, nah genug an der Deadline für echte Dringlichkeit.
Die DSGVO-Early-Mover haben von diesem Vorsprung dauerhaft profitiert — nicht nur durch bessere Compliance-Strukturen, sondern auch durch günstigere Schulungsprodukte und den Aufbau einer internen Schulungskultur, bevor der Markt überhitzt war.
3. Fünf Fehler aus der DSGVO-Ära, die sich beim AI Act wiederholen können
Fehler 1: Zu spät anfangen
Der größte Fehler bei der DSGVO: Warten, bis die Deadline kommt. Das führte zu Massenveranstaltungen in den Wochen vor dem 25. Mai 2018, bei denen niemand wirklich etwas gelernt hat — aber Teilnahmelisten ausgefüllt wurden.
Für den AI Act gilt: Die August-2026-Deadline für Hochrisiko-KI-Systeme ist real. Wer im Juni 2026 anfängt, hat dasselbe Problem.
Fehler 2: Box-Ticking statt echtem Verständnis
Viele DSGVO-Schulungen bestanden aus einem 20-Minuten-Video mit abschließendem Multiple-Choice-Test. Mitarbeiter klickten sich durch, ohne die Inhalte zu verstehen. Das Ergebnis: Datenschutzverstöße durch Mitarbeiter, die formal "die Schulung gemacht hatten".
Art. 4 AI Act fordert ausdrücklich Kompetenz, nicht nur Bewusstsein. Aufsichtsbehörden werden zunehmend prüfen, ob Schulungsinhalte tatsächlich angemessen und rollenspezifisch sind.
Fehler 3: Einmalige Schulung statt laufender Compliance
Viele Unternehmen behandelten DSGVO-Schulung als einmaliges Projekt: "Haben wir 2018 gemacht, fertig." Neue Mitarbeiter kamen, Guidance änderte sich, Prozesse entwickelten sich — ohne dass Schulungen nachgezogen wurden.
KI-Systeme verändern sich schneller als Datenschutzprozesse. Wer heute ChatGPT Enterprise einsetzt, setzt in zwei Jahren ein anderes System ein. Schulung muss dynamisch bleiben.
Fehler 4: Keine Rollenspezifik
"Wir haben alle 200 Mitarbeiter denselben Kurs machen lassen." Für die Buchhalterin, den Vertriebsmitarbeiter und den IT-Admin denselben 45-Minuten-Kurs. Das führt zu geringem Engagement und schlechtem Lernergebnis.
Art. 4 AI Act ist ausdrücklich rollenspezifisch formuliert. Ein Mitarbeiter, der KI-Texte liest, hat andere Schulungsbedarfe als jemand, der ein KI-Bewerbungsauswahl-System betreibt.
Fehler 5: Keine Dokumentation der Maßnahmen
"Wir haben geschult" reicht nicht. Aufsichtsbehörden wollen Nachweis: Wer wurde wann in welchem Umfang zu welchen Themen geschult? Fehlende Dokumentation war ein häufiger Grund für DSGVO-Bußgelder auch bei Unternehmen, die inhaltlich korrekt gehandelt hatten.
Automatisierte Schulungsnachweise sind kein Nice-to-have, sondern Compliance-Voraussetzung.
4. Was den AI Act strukturell anspruchsvoller macht
Die DSGVO-Analogie hat Grenzen. Drei Punkte machen den AI Act komplexer.
Explizite statt impliziter Schulungspflicht. Während die DSGVO-Schulung sich aus der allgemeinen Rechenschaftspflicht ableitet, hat der AI Act eine direkte, explizite Norm in Art. 4. Das macht Budget-Gespräche einfacher — aber auch die Anforderungen klarer und prüfbarer.
Mehr inhaltliche Tiefe erforderlich. DSGVO-Grundlagenschulung konnte mit einem allgemeinen Kurs abgedeckt werden. Art. 4 AI Act verlangt Wissen über das konkrete KI-System: Wie funktioniert es? Welche Grenzen hat es? Welche Risiken birgt es im spezifischen Einsatzkontext? Das erfordert systembezogene, rollenspezifische Schulung.
Schnellere Halbwertszeit der Inhalte. DSGVO-Schulungsinhalte von 2018 sind 2026 noch weitgehend aktuell. KI-Systeme entwickeln sich rapide. Ein Schulungsprogramm, das heute GPT-4o erklärt, muss in zwei Jahren aktualisiert werden. Das stellt Schulungsanbieter und Compliance-Abteilungen vor eine dauerhafte Aktualisierungsaufgabe.
5. Der entscheidende Unterschied bei der Förderung
Hier liegt der größte praktische Unterschied zwischen DSGVO 2018 und AI Act 2026.
DSGVO-Schulung 2018: Wenig direkte Förderung. Die Förderprogramme für digitale Weiterbildung waren damals kaum entwickelt. Unternehmen trugen die Kosten überwiegend selbst.
AI Act-Schulung 2026: Deutlich bessere Förderlage. Was für DSGVO kaum gefördert wurde, kann heute zu 50–80 % durch öffentliche Mittel finanziert werden:
- INQA-Coaching (bundesweit): Bis zu 11.520 EUR Förderung, 80 % Bundesanteil, KI-Einführung explizit als Fördertatbestand, für Unternehmen bis 249 Mitarbeiter, verfügbar bis 2027
- ESF-Landesförderungen (8+ Bundesländer): Online-Schulungen direkt förderfähig in Bayern, NRW, Baden-Württemberg; 50–80 % der Schulungskosten, kein Beratungszwang
- Österreich (AWS KI-Wissen): Bis 30.000 EUR explizit für KI-Compliance-Ausbildung
Das ist ein Argument, das in jedes Budget-Gespräch gehört. Eine Übersicht der relevanten Programme finden Sie unter KI-Schulungsförderung 2026.
6. Für Unternehmen mit bestehender DSGVO-Infrastruktur: Ihr Vorsprung
Wer DSGVO-Schulungen professionell aufgesetzt hat — mit ordentlicher Dokumentation, rollenspezifischen Inhalten und jährlichen Auffrischungen — hat beim AI Act einen echten Vorsprung.
Was Sie bereits haben: Eine LMS-Plattform mit Completion-Tracking und Zertifikatsvergabe, einen internen Compliance-Rhythmus, den Ihre Mitarbeiter kennen, Dokumentationsprozesse, die auf AI-Act-Anforderungen direkt anwendbar sind, und einen Datenschutzbeauftragten, der das Compliance-Modell versteht und als natürlicher interner Champion für Art. 4 fungieren kann.
Was Sie ergänzen müssen: Ein KI-Inventar (welche Systeme sind im Einsatz, welche Risikokategorie), rollenspezifische AI-Act-Inhalte (Art. 4 verlangt systemspezifische Kompetenz, nicht nur allgemeines Bewusstsein) und einen Aktualisierungsprozess mit klarem Update-Trigger bei neuem System oder neuer EU-Guidance.
Die thematischen Überschneidungen zwischen DSGVO und AI Act sind dabei ein Effizienzgewinn: Transparenzpflichten, automatisierte Entscheidungen (Art. 22 DSGVO und AI Act adressieren ähnliche Nutzerrechte), Datenschutz-Folgenabschätzung und Konformitätsbewertung folgen ähnlicher Logik. Ein kombiniertes jährliches Schulungspaket "Datenschutz + KI-Compliance" spart Zeit und nutzt die Überschneidungen.
Was Unternehmen jetzt konkret tun
Für die nächsten Monate empfiehlt sich folgende Reihenfolge:
Sofort (Q1/Q2 2026): KI-Inventar aufbauen (welche Systeme sind im Einsatz?), Risikokategorien klären (verboten / Hochrisiko / begrenzt / minimal), Schulungsbedarf nach Rolle definieren.
Vor August 2026: Schulungsprogramm aufsetzen, mindestens eine allgemeine KI-Literacy-Schulung für alle betroffenen Mitarbeiter. Rollenspezifische Vertiefung für KI-Betreiber bei Hochrisiko-Systemen. Dokumentation einrichten: Wer wurde wann geschult, mit welchen Inhalten?
Laufend ab August 2026: Jährliche Auffrischungsschulungen, Onboarding neuer Mitarbeiter, Inhalte bei neuer EU-Guidance aktualisieren.
Den Einstieg in die Schulung bietet unser EU AI Act Online-Kurs, der alle Mindestanforderungen nach Art. 4 abdeckt — mit Abschlusstest und Schulungszertifikat.
FAQ
Ist Art. 4 AI Act eine direkte Bußgeldpflicht?
Art. 4 selbst enthält keinen eigenen Bußgeldtatbestand. Aber fehlende KI-Kompetenz kann bei anderen AI-Act-Verstößen — etwa bei Hochrisiko-Systemen — die Haftungsposition verschlechtern und als eigenständiger Nachweis-Mangel bei Behördenprüfungen wirken. Das Risiko entsteht mittelbar, nicht direkt.
Müssen alle Mitarbeiter geschult werden?
Art. 4 gilt für "relevante Personen" — alle, die mit KI-Systemen in Berührung kommen. Für Mitarbeiter ohne KI-Kontakt ist keine Schulung erforderlich. In Unternehmen, die Office-KI wie Microsoft Copilot flächendeckend einsetzen, betrifft das schnell einen sehr großen Personenkreis.
Können wir DSGVO- und AI-Act-Schulung kombinieren?
Ja — und das wird von Experten empfohlen. Thematische Überschneidungen wie Datenschutz bei KI, automatisierte Entscheidungen und Transparenzpflichten lassen sich in einem integrierten Modul effizienter behandeln als in zwei separaten Kursen.
Ab wann gilt der AI Act vollständig?
Gestaffelte Timelines: Verbotene Praktiken gelten seit Februar 2025, Hochrisiko-KI-Systeme ab August 2026, vollständige Anwendung bis August 2027. Art. 4 zur KI-Kompetenz gilt seit Februar 2025.
Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung. Für unternehmensspezifische Schulungsbedarfsanalysen empfehlen wir eine professionelle Einschätzung. Rechtsstand: März 2026.