AI

AI Governance Schulung

Buchen
← Zur Wissens-Übersicht
KI Schulung IT UnternehmenAI Act Provider PflichtenKI-Kompetenz Softwareentwickler

KI-Schulung für IT-Unternehmen: Provider-Pflichten nach AI Act

IT-Firmen sind oft Provider = dramatisch mehr Pflichten. go-digital 50%, BSI-Frameworks, Dev-Tabelle.

Veröffentlicht: 6. März 2026Letzte Aktualisierung: 19. März 20266 Min. Lesezeit

Für IT-Unternehmen und Tech-Startups hat der EU AI Act eine Dimension, die in anderen Branchen so nicht vorkommt: Wer eine KI-gestützte Software entwickelt und vertreibt — sei es ein Bewerbungsscreening-Tool, ein automatisierter Kreditentscheid, ein HR-Analytics-System oder ein adaptives Lernsystem — gilt als KI-Anbieter (Provider). Die Pflichten sind dramatisch umfangreicher als die eines bloßen Deployers. Und das Bewusstsein dafür ist in der Branche noch erschreckend gering.

Die entscheidende Rollendifferenz

KI-Anbieter (Provider) nach Art. 3 Abs. 3 AI Act ist, wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen auf den Markt bringt oder in Betrieb nimmt. Das trifft auf Softwareunternehmen, SaaS-Anbieter, KI-Startups und API-Anbieter zu.

KI-Betreiber (Deployer) ist, wer ein vorhandenes System im eigenen Unternehmen einsetzt — also Anwenderunternehmen aus allen anderen Branchen.

Ein IT-Unternehmen kann beide Rollen gleichzeitig tragen: als Provider für das eigene Produkt und als Deployer für intern genutzte KI-Tools (etwa ein HR-Tool mit KI-Bewerbungsscreening für die eigene Personalauswahl). Für beide Rollen gelten separate Pflichten — und bei der Provider-Rolle ist der Umfang weitaus größer.

Die praktische Konsequenz: Viele SaaS-Unternehmen haben diese Rollendifferenz noch nicht erkannt. Sie behandeln sich als reine Nutzer, obwohl sie gleichzeitig Anbieter sind — mit allen Haftungsrisiken, die das mit sich bringt.

Was Provider-Pflichten für Hochrisiko-KI konkret bedeuten

Wer ein Hochrisiko-KI-System nach Anhang III der EU KI-Verordnung vertreibt, muss folgende Anforderungen erfüllen:

| Pflicht | Betroffene Rollen | |---------|------------------| | Technische Dokumentation (Art. 11) | Entwickler, Product Manager | | Qualitätsmanagementsystem (Art. 17) | Qualitätsbeauftragte, Engineering Lead | | Konformitätsbewertung (Art. 43) | Compliance-Team, Legal | | EU-Konformitätserklärung + CE-Kennzeichnung (Art. 48) | Legal, C-Level | | Registrierung EU-Datenbank (Art. 49) | Admin, Compliance | | Post-Market-Monitoring (Art. 72) | DevOps, Product Management | | Meldung schwerer Vorfaelle (Art. 73) | Alle relevanten Teams | | KI-Kompetenz eigener Mitarbeiter (Art. 4) | HR, alle Teams |

Hinzu kommen für Anbieter von Allzweck-KI-Modellen (GPAI, Art. 51–56) — also Sprachmodelle und Foundation Models — seit August 2025 zusätzliche Anforderungen: technische Dokumentation des Trainings, Urheberrechts-Compliance-Policy, Zusammenfassung der Trainingsdaten und bei systemischem Risiko Red-Teaming sowie Cybersicherheitspflichten.

Welche SaaS-Produkte sind Hochrisiko?

Viele IT-Unternehmen unterschätzen, wie weit der Anhang III der EU KI-Verordnung reicht. Hochrisiko trifft auf folgende Produktkategorien zu:

| Kategorie | Typische SaaS-Produkte | |-----------|------------------------| | Biometrie | Gesichtserkennung, Verhaltensanalyse, Stimmanalyse | | Kritische Infrastruktur | KI fuer Energie, Wasser, Verkehr | | Bildung | KI-gestuetzte Pruefungssysteme, adaptives Lernen | | HR und Beschaeftigung | CV-Screening, Mitarbeiter-Performance-Monitoring | | Wesentliche Dienstleistungen | Kreditscoring-APIs, Versicherungspruefung | | Strafverfolgung | Risikoanalyse-Tools fuer Behoerden | | Rechtsprechung | Legal-Tech mit Entscheidungsunterstuetzung |

Wer SaaS-Produkte für HR-Tech, Fintech oder EdTech entwickelt, ist mit sehr hoher Wahrscheinlichkeit Provider von Hochrisiko-KI. Tatsächlich haben viele IT-Unternehmen noch keine systematische Risikoklassifizierung ihrer eigenen Produkte durchgeführt — das ist ein erhebliches Compliance-Versäumnis.

Was Entwickler konkret wissen müssen

Eine AI-Act-Schulung für IT-Teams muss über allgemeine Grundlagen hinausgehen. Entwickler, Data Scientists und Product Manager brauchen spezifisches technisches Wissen:

Klassifizierung: Wie erkenne ich, ob mein System Hochrisiko nach Anhang III ist? Was ist verbotene KI nach Art. 5 (Social Scoring, manipulative Systeme, biometrische Echtzeit-ID im öffentlichen Raum)? Fällt mein Sprachmodell unter GPAI?

Technische Umsetzung: Welche Datenqualitätsanforderungen gelten nach Art. 10? Wie implementiere ich "Human Oversight" in der Softwarearchitektur (Art. 14)? Welche Logging-Anforderungen gelten für Hochrisiko-Systeme? Wie implementiere ich Erklärbarkeit und Transparenz nach Art. 13?

Vertragsrecht: Welche Klauseln brauche ich in SaaS-Verträgen mit Betreibern? Wie ist die Haftungsverteilung, wenn der Betreiber meinen Nutzungsanweisungen nicht folgt?

go-digital: 50 % Förderung für KI-Compliance-Beratung

Das Programm go-digital des BMWK fördert externe Beratungsleistungen für KMU bis 100 Mitarbeitende und 20 Mio. EUR Jahresumsatz mit 50 %. IT-Unternehmen selbst sind antragsberechtigt — das wird oft übersehen. Förderfähig sind bis zu 30 Beratungstage à 1.100 EUR/Tag, also maximal 16.500 EUR Gesamtberatungswert mit 8.250 EUR Zuschuss.

Über zugelassene go-digital-Beratungsunternehmen lassen sich AI-Act-Compliance-Themen explizit abrechnen: Risikoklassifizierung eigener Produkte, Gap-Analyse gegen technische Anforderungen, Aufbau der technischen Dokumentation nach Anhang IV.

Wichtig für die Planung: Das Programm Digital Jetzt des BMWK ist eingestellt. Wer es noch auf Beratungswebsites gelistet findet, sollte die Aktualität der Information hinterfragen. Die KfW ERP-Programme wurden zum 30. Juni 2025 neustrukturiert — die neuen ERP-Förderkredite (511/512, 513/514) eignen sich jedoch für Digitalisierungsinvestitionen, nicht für Schulungskosten als Betriebsausgabe.

INQA-Coaching und BSI-Frameworks

INQA-Coaching funktioniert auch für IT-KMU bis 249 Mitarbeitende: 80 % Förderung, bis 11.520 EUR Zuschuss. Ein zehnköpfiges SaaS-Unternehmen könnte damit Compliance-Strategie für eigene Produkte, Team-Schulungen und den Aufbau technischer Dokumentation kombinieren. Gesamtleistung 14.400 EUR, Eigenanteil 2.880 EUR. Der Coach-Pool wurde März 2026 neu geöffnet — gute Verfügbarkeit.

Für technische Teams ist die BSI-Schnittstelle besonders relevant. Das BSI-Kompetenzzentrum KI entwickelt seit 2019 Bewertungskriterien und Testmethoden, die direkt mit AI-Act-Anforderungen verknüpft sind:

| BSI-Framework | AI-Act-Artikel | Praktische Bedeutung | |---------------|----------------|----------------------| | AIC4 (AI Cloud Service Compliance Criteria Catalogue) | Art. 9, 11, 17 | Sicherheitsanforderungen fuer Cloud-KI | | QUAIDAL (Qualitaetskriterien Trainingsdaten) | Art. 10 | 143 Metriken fuer Datenqualitaet | | ISO/IEC 27001 (BSI IT-Grundschutz) | Art. 9, 15 | Cybersicherheit fuer KI-Systeme |

Entwickler, die Hochrisiko-KI bauen, brauchen sowohl AI-Act-Grundlagenwissen als auch die BSI-Sicherheitskonzepte — Robustheitstests, Erklärbarkeitsanforderungen, Schutz vor Prompt Injection und Model Poisoning.

Schulungsbedarf je Rolle im IT-Unternehmen

Eine pauschale Schulung für alle Mitarbeitenden verfehlt den Bedarf. Der AI Act verlangt proportionale Kompetenz — was für einen Data Scientist relevant ist, unterscheidet sich erheblich von dem, was Sales oder HR brauchen:

| Rolle | Kernthemen | |-------|------------| | C-Level / Geschaeftsfuehrung | Haftung, Strategie, Provider-Pflichten, Business Impact | | Product Manager | Risikoklassifizierung, Feature-Entscheidungen, Hochrisiko-Check fuer neue Produkte | | Entwickler / Engineers | Technische Anforderungen Art. 9–15, Logging, Erklaerbarkeit, Adversarial Attacks | | Data Scientists | Datensatzanforderungen Art. 10, Bias-Erkennung, QUAIDAL-Metriken | | Legal / Compliance | Provider-Pflichten, Konformitaetserklaerung, SaaS-Vertragsklauseln | | Sales / Marketing | KI-Kennzeichnung, Transparenzpflichten, keine Irreführung zu Compliance-Status | | HR | Art.-4-Pflicht dokumentieren, Schulungsnachweis verwalten |

Besonders Product Manager und Entwickler sind in der Praxis unterversorgt: Sie treffen täglich Entscheidungen über Features und Systemarchitektur, die AI-Act-Implikationen haben — aber ohne das nötige regulatorische Wissen.

AI Act als Wettbewerbsvorteil und Retention-Instrument

Enterprise-Kunden fragen zunehmend nach Compliance-Nachweisen ihrer Software-Lieferanten. Wer als IT-Unternehmen früh eine dokumentierte AI-Act-Compliance aufgebaut hat — geschulte Teams, technische Dokumentation, klare Prozesse — gewinnt einen Vertriebsvorteil, der in der Praxis bereits spürbar ist. Die Alternative: Der Enterprise-Kunde fordert den Nachweis an, und das Unternehmen stellt fest, dass es ihn nicht liefern kann.

Gleichzeitig ist AI-Act-Schulung ein Retention-Instrument. Entwickler fragen aktiv nach Weiterbildung im regulatorischen Bereich. KI-Kenntnisse kombiniert mit Compliance-Wissen sind auf dem deutschen Arbeitsmarkt stark nachgefragt. Unternehmen, die diese Schulung anbieten, senden ein klares Signal. Steuerlich gilt: AI-Act-Schulungskosten sind als Betriebsausgaben vollständig absetzbar; effektiver Kostenrabatt rund 25–30 %.

FAQ

Woran erkenne ich, ob mein Produkt Hochrisiko ist? Der zentrale Prüfschritt ist der Abgleich mit Anhang III der EU KI-Verordnung. Wenn ein Produkt in den Bereichen HR, Finanzdienstleistungen, Bildung, biometrische Identifikation oder kritische Infrastruktur eingesetzt wird, ist eine genaue Einzelfallprüfung nötig. Viele SaaS-Produkte für HR-Tech und Fintech sind betroffen — häufig ohne dass das Entwicklungsteam es weiß.

Reicht eine Selbstbewertung für die Konformitätsbewertung? Für die meisten Hochrisiko-KI-Systeme ist eine Selbstbewertung durch den Anbieter zulässig — kein externer Prüfer ist zwingend, sofern harmonisierte Normen eingehalten werden. Bei biometrischen Systemen und KI für Sicherheitsbehörden sind externe Notified Bodies vorgeschrieben.

Was kostet die vollständige Compliance für ein kleines IT-Unternehmen? TÜV-Rheinland und TÜV SÜD schätzen den Aufwand für einen vollständigen Konformitätsprozess bei komplexen Hochrisiko-Systemen auf 10.000–50.000 EUR. Mit go-digital (50 % Förderung) und INQA-Coaching (80 % Förderung) lässt sich ein erheblicher Teil davon abfedern.

Gilt die Schulungspflicht nach Art. 4 auch für ein Fünf-Personen-Startup? Ja. Art. 4 gilt für alle Anbieter und Betreiber ohne Größenschwelle. Für Startups unter zehn Mitarbeitenden bietet die Bundesagentur für Arbeit im Rahmen des Qualifizierungschancengesetzes bis zu 100 % Förderung für Schulungsmaßnahmen — sofern weitere Voraussetzungen (AZAV-Zertifizierung, Mindestumfang) erfüllt sind.

Förderoptionen für KI-Schulungen nach Unternehmenstyp und -größe sind in der KI-Schulung Förderung Übersicht 2026 zusammengefasst. Wie eine skalierbare Team-Schulung mit Abschlusstest und Schulungszertifikat aufgebaut ist, erklärt der EU AI Act Kurs.

Hinweis: Dieser Artikel dient der allgemeinen Information und ersetzt keine Rechtsberatung im Einzelfall. Förderbedingungen können sich ändern; aktuelle Konditionen bitte direkt beim jeweiligen Fördergeber prüfen.

Nächster Schritt

KI-Kompetenz sauber dokumentieren, statt die Pflicht nur zu diskutieren.

Wenn Sie für Ihr Team einen belastbaren Schulungsnachweis aufsetzen wollen, starten Sie mit der Kursübersicht, klären offene Fragen in der FAQ und buchen danach das passende Erstgespräch.

Kursübersicht ansehen

Prüfen Sie Inhalte, Lernzeit, Preise und den passenden Rollout für Ihr Team.

FAQ aufrufen

Klären Sie typische Fragen zu Schulungspflicht, Zertifikat und Rollout im Unternehmen.

Erstgespräch buchenZur Startseite

Autor und fachlich verantwortlich

Steven Leutritz

Geschäftsführer & KI-Compliance-Experte

Steven Leutritz begleitet Unternehmen bei der Umsetzung des EU AI Act und übersetzt Regulierung in klare Handlungslogik für Geschäftsführung, HR und Compliance.