Am 2. August 2026 beginnt die Bundesnetzagentur (BNetzA) als deutsche Marktüberwachungsbehörde, den EU AI Act durchzusetzen. Pflichtgrundlage: Art. 4 EU AI Act, in Kraft seit dem 2. Februar 2025. Heißt im Klartext: Du nutzt ChatGPT, Copilot, Claude oder ein anderes KI-Tool im Job? Dann musst du nachweisen können, dass du weißt, was du da tust.
Tja, und genau da fängt das Problem an. Die meisten, mit denen ich rede — Geschäftsführer, HR-Leute, auch viele Soloselbstständige — haben halt von der ganzen Sache noch nie gehört. Oder denken: „Das ist ein DAX-Konzern-Thema." Ist es nicht. Art. 4 hat keine Mindestgröße. Vom Solo mit ChatGPT-Abo bis zum 50.000-Mann-Konzern gilt dieselbe Pflicht.
Berater @jeanhinz_io postete im April 2026 das, was die Bitkom-Zahlen bestätigen: „78% der Unternehmen sind auf den EU AI Act nicht vorbereitet. 83% haben kein KI-Inventar. August 2026 kommt trotzdem." 43% der deutschen Mittelständler haben laut Bitkom keine KI-Strategie, 69% sagen, sie brauchen bei Compliance Unterstützung.
In diesem Artikel beantworte ich die Fragen, die mir in den letzten Wochen wirklich gestellt wurden: Bin ich betroffen? Was muss ich konkret nachweisen? Was passiert, wenn ich nichts tue? Und: Wie sieht ein gültiger Schulungsnachweis aus? Recherchebasis: EU AI Office Q&A, Wendt-Whitepaper TU Darmstadt, deutsche AI-Recht-Forschung (Wendehorst, Möller-Klapperich), Bitkom 2026, plus Praktikerstimmen von DACH-Beratern auf X (Stand Mai 2026).
Was steht eigentlich in Art. 4?
Der Originaltext ist auf Englisch und lautet im Kern:
„Providers and deployers of AI systems shall take measures to ensure, to their best extent, a sufficient level of AI literacy of their staff and other persons dealing with the operation and use of AI systems on their behalf."
Auf Deutsch und in einem Satz: Wer KI im Job einsetzt oder einsetzen lässt, muss sicherstellen, dass die Beteiligten „ein ausreichendes Maß an KI-Kompetenz" haben.
Das wars eigentlich schon. Eine Norm, ein Satz. Klingt machbar. Wo der Teufel sitzt: Was heißt „ausreichend"? Wer muss es prüfen? Und was passiert, wenn nicht?
Die offizielle Definition steht in Art. 3 Abs. 56 AI Act: KI-Kompetenz = Fähigkeiten + Kenntnisse + Verständnis. Drei Säulen, die laut Wendt-Whitepaper (TU Darmstadt / Frankfurt UAS, September 2025) aufeinander aufbauen: ohne Kenntnis keine Fähigkeit, ohne Fähigkeit kein Verständnis.
Drei Begriffe musst du dir merken:
- Provider: Wer KI entwickelt oder unter eigenem Namen vertreibt. OpenAI, Anthropic, Google.
- Deployer: Wer KI in eigener Verantwortung einsetzt. Das bist du, sobald du ChatGPT für eine Kunden-E-Mail nutzt. Wirklich. Der Begriff ist absurd weit gefasst.
- KI-Kompetenz (englisch: AI Literacy): Mindestens — Verständnis, was KI kann und nicht kann; Erkennen von Halluzinationen; Datenschutz-Grundlagen; Grenzen der Nutzung.
Wer eigene RAG-Systeme oder LLM-Wrapper entwickelt — selbst ein interner Chatbot mit OpenAI-API — gilt zusätzlich als Provider und unterliegt dann nicht nur Art. 4, sondern auch den deutlich strengeren Anbieter-Pflichten aus Art. 16 ff.
📋 Was das EU AI Office offiziell empfiehlt (digital-strategy.europa.eu Q&A): Vier Schritte sind Pflichtprogramm:
- Allgemeines KI-Verständnis sicherstellen — Was ist KI? Wie funktioniert sie? Welche KI nutzen wir konkret?
- Eigene Rolle klären — Sind wir Anbieter, Betreiber oder beides?
- Risiko der eingesetzten Systeme berücksichtigen — Was müssen Mitarbeitende zu Risiken wissen?
- Maßnahmen zuschneiden auf Vorkenntnisse und Einsatzkontext
Das AI Office betont ausdrücklich: „Es gibt keinen Einheitsansatz." Keine vorgeschriebenen Standardschulungen. Keine Pflichtzertifikate.
Das wars in der Theorie. Jetzt zur Praxis.
Bin ich betroffen?
Kurze Antwort: Wahrscheinlich ja. Lange Antwort:
| Du bist… | Betroffen? |
|---|---|
| Festangestellt und nutzt KI im Job (E-Mail, Recherche, Code, Texte) | ✅ Ja |
| Festangestellt, aber nutzt selbst keine KI | ⚠️ Indirekt (dein Arbeitgeber muss dich aufklären, falls KI im Unternehmen läuft) |
| Solo-Selbstständiger mit KI-Tools für Kunden-Aufgaben | ✅ Ja (du bist gleichzeitig Deployer und „Mitarbeiter") |
| Solo-Selbstständiger ohne KI-Tools | ❌ Aktuell nein |
| Praktikant oder Werkstudent mit KI-Berührung | ✅ Ja |
| Geschäftsführer, dessen Team KI nutzt | ✅ Ja (du bist verantwortlich) |
| Beamter | ⚠️ Differenziert nach Behörde — meist ja |
| Auszubildender mit KI-Anwendung | ✅ Ja (mit angepasster Tiefe) |
Wenn du in der Tabelle ein „Ja" siehst, lies weiter. Wenn nicht — Glückwunsch, du kannst diesen Artikel überspringen.
💡 Hand aufs Herz: Hast du in den letzten 30 Tagen ChatGPT, Copilot oder Claude im Job genutzt? Dann fällst du unter die Pflicht. Auch wenn dein Chef das nie ausgesprochen hat.
Was muss ich konkret nachweisen?
Hier wird’s spannend, weil das Gesetz kein Format vorschreibt. Aber es gibt eine Praxis, an der sich die ersten Aufseher orientieren werden — und die hat sechs Bausteine:
1. Curriculum
Ein dokumentiertes Schulungsthema. Nicht „mein Mitarbeiter hat halt mal ChatGPT geöffnet", sondern: ein konkreter Lernpfad mit Inhalten. Das kann ein 1-Stunden-Onboarding sein, ein 4-Stunden-Modul oder ein 200-Stunden-Lehrgang — je nach Rolle.
2. Scope: Wer wurde geschult?
Liste mit Namen, Rollen, Schulungsdatum. Bei BNetzA-Prüfung wird das verlangt. Eine handgeschriebene Anwesenheitsliste reicht nicht — es muss zuordenbar bleiben.
3. Rollen-Mapping (zwei-Ebenen-Logik nach Wendt-Whitepaper)
Hier liegt der größte Verständnisfehler. KI-Kompetenz ist rollenabhängig. Das Whitepaper der Frankfurt UAS / TU Darmstadt (Wendt et al., September 2025) — die umfassendste deutschsprachige Operationalisierung von Art. 4 — unterscheidet zwei Kompetenzebenen:
Allgemeine KI-Kompetenz (für ALLE, inkl. Praktikant):
- Fähigkeit, ein KI-System im Sinne des AI Acts zu identifizieren
- Grundlegendes Verständnis von KI-Input, Verarbeitung, Output
- Kenntnis der eigenen Rolle (Anbieter vs. Betreiber)
- Bewusstsein für Risiken — insbesondere Halluzinationen und Bias
Spezifische KI-Kompetenz (für komplexe / Hochrisiko-Systeme):
- Je komplexer und risikoreicher das System, desto höher der Anspruch
- HR-Manager, die HireVue/myInterview/HelloHire-Systeme nutzen → Hochrisiko nach Anhang III Nr. 4 + zusätzliche Pflichten aus Art. 26 (menschliche Aufsicht) und Art. 13 (Transparenz)
- Geschäftsführer müssen die KI-Governance-Strategie der Organisation verantworten
Praktisch übersetzt sind drei Tiefen sinnvoll:
- Basis (1-2 Stunden): Was ist KI? Wo halluziniert sie? Was darf ich nicht eingeben? Für alle Mitarbeiter mit gelegentlicher KI-Berührung.
- Fach (4-8 Stunden): Prompt Engineering, Tool-Auswahl, Bias-Erkennung. Für Mitarbeiter, die KI regelmäßig im operativen Tagesgeschäft nutzen.
- Führung (16-40 Stunden): Risikoklassen nach Annex III, Hochrisiko-KI, DSGVO Art. 22, Compliance-Verantwortung. Für Führungskräfte, KI-Beauftragte und Hochrisiko-Anwender (z.B. HR mit Recruiting-KI).
Du musst dokumentieren: Welche Rolle bekommt welche Tiefe? Das wird BNetzA bei Audits prüfen.
⚠️ Wichtig zur Realität: Ein offizieller BNetzA- oder BMJ/BMAS-Leitfaden mit expliziter Rollenmatrix (Praktikant vs. HR-Manager vs. GF) wurde Stand Mai 2026 NICHT öffentlich veröffentlicht. Das BNetzA-Hinweispaper aus 2025 existiert (zitiert im Wendt-Whitepaper als „Bundesnetzagentur 2025"), ist aber nicht frei zugänglich. Die hier genannten Tiefen sind Best-Practice aus der deutschen AI-Recht-Forschung, nicht behördliche Vorgabe.
4. Completion Records
Bestätigung, dass die Schulung absolviert wurde. Zertifikat, Test, Anwesenheitsbestätigung mit Unterschrift. Bei externen Anbietern liefern die das mit. Bei internen Workshops musst du es selbst dokumentieren.
5. Assessment
Lernkontrolle — irgendeine Form. Ein 10-Fragen-Quiz reicht. „Hat verstanden" alleine reicht nicht. Es muss eine objektive Kontrolle geben.
6. Change Log
Wann hat sich die Schulung geändert? Welche neuen Tools sind dazugekommen? Wann wurden Mitarbeiter nachgeschult? Pflicht, weil der EU AI Act laufende Aktualisierung verlangt.
💡 Was du NICHT brauchst: ein TÜV-Siegel, eine IHK-Prüfung, eine staatliche Akkreditierung. Das Gesetz schreibt nichts dergleichen vor. Auch ein interner Workshop mit Eigen-Doku ist gültig — solange die sechs Bausteine sauber sind.
Was passiert, wenn ich nichts tue?
Drei reale Risiken, in der Reihenfolge ihrer Wahrscheinlichkeit:
Risiko 1: Bußgeld — wichtig richtig zu verstehen
Hier muss ich eine wichtige Klarstellung liefern, weil viele Compliance-Posts derzeit Falsches behaupten:
Art. 4 ist im direkten EU-Bußgeldkatalog (Art. 99 AI Act) NICHT aufgeführt. Die drei dort genannten Tiers sind:
| Verstoß | Bußgeld-Obergrenze |
|---|---|
| Art. 5 (verbotene Praktiken: Social Scoring, Emotion-Erkennung am Arbeitsplatz, etc.) | bis 35 Mio EUR / 7 % Weltjahresumsatz |
| Art. 16, 26 etc. (Hochrisiko-Anbieter-/Betreiberpflichten) | bis 15 Mio EUR / 3 % Weltjahresumsatz |
| Falsche Informationen an Behörden | bis 7,5 Mio EUR / 1,5 % |
Art. 4 ist in keinem dieser Tiers explizit genannt. Stattdessen verlangt Art. 99 Abs. 1, dass die Mitgliedstaaten „wirksame, verhältnismäßige und abschreckende Sanktionen" für Art.-4-Verstöße auf nationaler Ebene festlegen.
Für Deutschland: Am 11. Februar 2026 hat das Bundeskabinett das Gesetz zur Durchführung der Verordnung über künstliche Intelligenz (KI-Durchführungsgesetz) beschlossen. Konkrete Bußgeldhöhen speziell für Art.-4-Verstöße aus diesem Durchführungsgesetz sind Stand Mai 2026 noch nicht breit publiziert worden.
Heißt für die Praxis: Direkte BNetzA-Bußgelder „wegen Art. 4 nicht erfüllt" sind aktuell rechtlich noch nicht voll konturiert. Wer dir 15 Mio EUR auf Art.-4-Verstöße verspricht, hat das Gesetz nicht gelesen.
Was aber sehr wohl real ist — und das ist der Punkt, den deutsche Rechtsforscher (Wendehorst, Wendt et al., Spindler) übereinstimmend betonen:
Risiko 2: Zivilrechtliche Schadenshaftung (das eigentliche Hauptrisiko)
Das Wendt-Whitepaper (TU Darmstadt / Frankfurt UAS, September 2025) ist hier deutlich: Wenn ein KI-bedingter Schaden nachweislich durch ausreichende Schulung hätte verhindert werden können, droht zivilrechtliche Haftung nach nationalem Recht — auch ohne direktes EU-Bußgeld für Art. 4.
Wird durch dein KI-System jemand geschädigt — Bewerber falsch abgelehnt, Kunde falsch beraten, Patient falsch diagnostiziert — und du kannst nicht zeigen, dass du KI-Kompetenz sichergestellt hast, dann trägst du die Beweislast, dass dich keine Schuld trifft. Ohne Doku: Du verlierst.
Das ist BGB §§ 280, 823 in Verbindung mit der KI-VO. Versicherer haben das schon verstanden — etliche Cyber- und D&O-Versicherer fragen ab 2026 nach KI-Compliance-Doku, bevor sie einspringen.
Das ist die eigentliche Gefahr für KMU, nicht die EU-Bußgelder. Der deutsche Rechtsforschungs-Konsens (Wendt et al., Wendehorst, Möller-Klapperich): Hauptrisiko = nationale Schadenshaftung + persönliche GF-Verantwortung.
Risiko 3: Reputationsschaden + Auftragsverlust
Bei größeren B2B-Audits (Bankensektor, Kritis-Unternehmen, öffentliche Aufträge) wird die KI-Kompetenz-Doku Teil der Lieferanten-Prüfung. Wer sie nicht hat, fliegt aus dem Vergabe-Verfahren. Das ist nicht in 2 Jahren — das passiert ab Sommer 2026.
⚠️ Wichtig zusammengefasst: Direkte EU-Bußgelder NUR für Art.-4-Verstöße existieren aktuell nicht — Art. 4 ist nicht im Art. 99 Bußgeldkatalog. Aber: Art. 4 ist Multiplikator für andere Vergehen. Ein DSGVO-Bußgeld + Art.-4-Verstoß = aggregierte Sanktion. Ein KI-Schaden + fehlende Schulungs-Doku = Beweislast-Verlust. Das ist die wirkliche Gefahr — plus die noch ausstehenden nationalen Sanktionen aus dem deutschen KI-Durchführungsgesetz vom 11.2.2026.
Was zählt als gültiger Schulungsnachweis?
Hier liegt der Markt aktuell zwischen zwei Extremen:
Extrem 1: „Reicht doch ein YouTube-Tutorial."
Nein. Reicht nicht. Du brauchst die sechs Bausteine oben. Ein YouTube-Video ist kein Curriculum, es gibt keinen Scope, kein Rollen-Mapping, kein Assessment, keinen Change Log.
Extrem 2: „Ich brauche ein 5.000-Euro-AZAV-Zertifikat."
Auch nein. Das EU AI Office hat das offiziell klargestellt (digital-strategy.europa.eu Q&A): „Ein Zertifikat ist nicht erforderlich." Organisationen können interne Aufzeichnungen über Schulungen und Maßnahmen führen. AZAV-Zertifizierung ist nur dann nötig, wenn du staatliche Förderung (z.B. Qualifizierungschancengesetz) bekommen willst. Für die reine Art.-4-Pflicht brauchst du keine externe Zertifizierung.
⚠️ Vorsicht vor 5-Wochen-Schmierentheater. Die FAZ hat im Februar 2026 berichtet, dass viele kurze AZAV-Programme „KI-Experten"-Status versprechen, aber den Markt vor allem zum Geldscheffen nutzen — Vergleich mit „Coronatestzentren 2.0". Faustregel: Wenn ein Kurs unter 4 Monaten verspricht, dich zum „KI-Experten" zu machen, ist das ein Warnsignal — egal ob AZAV oder nicht.
Was wirklich gilt: Ein dokumentierter Lernpfad mit den sechs Bausteinen. Ob Inhouse, Online-Kurs, externer Lehrgang oder Mix — egal. Hauptsache, die Doku ist sauber. Das AI Office betont: „Es gibt keinen Einheitsansatz." — Maßnahmen müssen anlassbezogen, dokumentiert und auf die konkrete KI-Nutzung zugeschnitten sein.
Der EU AI Act Art. 4 Schulungsnachweis Kurs zeigt dir genau das in 8 Lektionen: Vorlage für den Schulungsnachweis, Rollen-Mapping-Tabelle, Audit-Doku, was BNetzA wirklich prüft. Plus: Du absolvierst ihn selbst und hast damit gleichzeitig deinen eigenen Art.-4-Nachweis in der Hand. Effizient.
Was darf ich machen, was nicht?
Das wird mir am häufigsten gefragt, also klar:
| Anwendungsfall | Erlaubt? | Was du beachten musst |
|---|---|---|
| ChatGPT für E-Mail-Entwürfe (ohne Kundendaten) | ✅ Ja | Inhalt prüfen, Halluzinationen erkennen |
| ChatGPT mit echten Kundendaten | ⚠️ Nur mit AVV (Auftragsverarbeitungs-Vertrag) und ChatGPT Enterprise/Team | DSGVO-Konformität sicherstellen |
| Claude für Programmcode-Reviews | ✅ Ja | Bei sicherheitskritischem Code: Mensch prüft final |
| Copilot in Microsoft 365 | ✅ Ja | Datenschutz mit Microsoft-AVV gedeckt |
| KI für Bewerber-Vorauswahl | ⚠️ HOCHRISIKO (Annex III) | Pflicht: Datenschutz-Folgenabschätzung, Diskriminierungs-Audit, Mensch-trifft-Entscheidung |
| KI für Kreditscoring | ⚠️ HOCHRISIKO (Annex III) | Bei Privatkunden: zusätzliche Pflichten nach DSGVO Art. 22 |
| KI für medizinische Diagnostik | ⚠️ HOCHRISIKO + MDR-Pflichten | Spezialgenehmigung, CE-Kennzeichnung |
| Emotion-Erkennung am Arbeitsplatz | ❌ VERBOTEN nach Art. 5 | Nicht erlaubt, egal mit welcher Doku |
| Social Scoring | ❌ VERBOTEN nach Art. 5 | Nicht erlaubt |
💡 Faustregel: Wenn der Output deiner KI über Menschen oder ihren Lebensraum entscheidet (Job, Kredit, Bildungsplatz, Gesundheit, Strafverfolgung), bist du in Hochrisiko-Territorium. Schulungs-Tiefe: Führungs-Niveau, plus zusätzliche Compliance-Pflichten.
Häufige Sorgen — und ehrliche Antworten
„Ich bin Solo-Selbstständige mit drei Kunden. Bin ich wirklich betroffen?"
Ja, leider. Das Gesetz hat keine Mindestgröße — Art. 4 gilt für alle Betreiber, unabhängig von Unternehmensgröße. Die gute Nachricht: Das „nach besten Kräften"-Kriterium (best efforts) wirkt für Solos als Zumutbarkeitsmaßstab — Maßnahmen müssen verhältnismäßig zu deinen Ressourcen sein. Bei Solo bist du gleichzeitig Deployer und einziger Mitarbeiter. Du musst also „dich selbst schulen" und das dokumentieren — ein abgeschlossener Online-Kurs reicht. Niemand wird dich aktiv prüfen, aber bei einem Schaden zählt die Doku.
„Mein Arbeitgeber tut nichts. Wer haftet?"
Primär haftet der Arbeitgeber (er ist Deployer). Aber: Bei Vorsatz oder grober Fahrlässigkeit kannst du als Mitarbeiter mithaften — z.B. wenn du Kundendaten in ChatGPT pumpst und Schaden entsteht. Praktischer Tipp: Schreib deinen Chef per E-Mail an, frag nach der KI-Schulung. Das ist deine eigene Beweissicherung.
„Ich habe einen ChatGPT-Abo, aber kein Unternehmen. Bin ich Deployer?"
Wenn du KI privat nutzt (z.B. für deine Steuererklärung als Privatperson): nein. Sobald du KI im beruflichen Kontext nutzt — auch ohne eigene Firma, z.B. als Angestellter, Werkstudent, Beamter — bist du betroffen. Es geht um den Job-Bezug, nicht um die Rechtsform.
„Wir haben einen Betriebsrat. Hat der Mitspracherecht?"
Ja, sogar massiv. KI-Einführung löst nach BetrVG § 87 Abs. 1 Nr. 6 ein Mitbestimmungsrecht aus. Plus: Gesundheits- und Persönlichkeitsschutz (§ 87 Abs. 1 Nr. 7) bei mitarbeiterbezogener KI. Praxistipp: Den BR früh einbinden — nicht erst bei Streit.
„Reicht mir nicht, wenn ich ein DSGVO-Zertifikat habe?"
Nein. DSGVO und Art. 4 EU AI Act sind verschiedene Pflichten. DSGVO regelt personenbezogene Daten. Art. 4 regelt KI-Kompetenz. Ein Datenschutzbeauftragter ersetzt keinen Schulungsnachweis. Für das volle Compliance-Bild brauchst du beide — der Kurs KI und Datenschutz (DSGVO) zeigt die Schnittstelle.
„Ich nutze KI nur für mein Hobby. Privat. Bin ich auch betroffen?"
Nein. Privater Einsatz ist explizit aus Art. 4 ausgenommen. Sobald du aber freiberuflich, im Verein (mit Anstellungsverhältnis) oder im Job KI nutzt — wieder drin.
„Was, wenn ich KI in einem ehrenamtlichen Verein nutze?"
Grauzone. Wenn der Verein als Arbeitgeber agiert (mit Sozialversicherung, Vergütung), gilt Art. 4. Bei reinem Ehrenamt ohne Beschäftigungsverhältnis: nicht direkt. Aber: Datenschutz-Pflichten (DSGVO) gelten weiterhin.
Konkrete nächste Schritte
Wenn du nach dem Artikel weißt: „Okay, ich bin betroffen, was tu ich jetzt?" — hier dein 3-Schritte-Plan:
Schritt 1: KI-Tool-Inventur (1 Stunde)
Liste alle KI-Tools auf, die du oder dein Team aktuell im Job nutzt. ChatGPT, Copilot, Claude, Gemini, Midjourney, Notion AI, Grammarly, DeepL — alles, was Output generiert. Pro Tool:
- Wer nutzt es?
- Wofür?
- Welche Daten gehen rein?
- DSGVO-AVV vorhanden?
Das ist die Grundlage für alles Weitere.
Schritt 2: Rollen-Mapping (30 Minuten)
Pro Mitarbeiter (oder dich selbst): Welche Tiefe der KI-Kompetenz brauchst du?
- Basis: Du nutzt KI gelegentlich für E-Mail-Drafts. → 1-2 Stunden.
- Fach: Du nutzt KI regelmäßig, kennst Prompts, brauchst Tool-Auswahl-Kompetenz. → 4-8 Stunden.
- Führung: Du verantwortest KI-Einsatz, nutzt Hochrisiko-KI (HR, Recruiting, Bonität), bist KI-Beauftragter. → 16-40 Stunden.
Das in einer Tabelle — mit Namen, Rolle, geplanter Tiefe.
Schritt 3: Schulung absolvieren + dokumentieren (variabel)
Drei realistische Wege:
- Selbststudium online — z.B. der Kurs EU AI Act Art. 4 Schulungsnachweis (8 Lektionen, ~2 Stunden, mit Vorlage und Zertifikat) für die Basis-Tiefe. Plus weiterführende Compliance-Kurse für Fach/Führung.
- Inhouse-Workshop — Externer Trainer kommt für 1-2 Tage. Kosten: 1.500-5.000 € pro Tag. Vorteil: maßgeschneidert auf dein Unternehmen.
- AZAV-Lehrgang — wenn du die Schulung staatlich finanzieren lassen willst (Qualifizierungschancengesetz QCG: bis zu 100 % Lehrgangskosten + 75 % Lohnzuschuss bei kleinen Unternehmen). Dann brauchst du AZAV-zertifizierten Anbieter — siehe QCG-Förderung für KI-Weiterbildung für den Antragsweg.
Welcher Weg richtig ist, hängt von Unternehmensgröße, Budget und Zielen ab. Für die meisten KMU mit 5-50 Mitarbeitern: Eigenstudium für Basis + AZAV-Lehrgang für 1-2 Schlüsselrollen, finanziert über QCG. Das ist der Standard-Move 2026.
Wie wird BNetzA tatsächlich vorgehen?
Hier ist eine wichtige Realitätsabgleichung, die in den meisten Compliance-Posts fehlt: Das EU AI Office bestätigt, dass die Durchsetzung verhältnismäßig sein wird. Sanktionen müssen auf Einzelfall, Schwere, Vorsatz und Fahrlässigkeit abgestimmt sein. Wörtlich aus dem AI-Office-Q&A:
„Dies könnte jedoch wahrscheinlicher sein, wenn es Beweise für einen Vorfall gibt, der auf mangelnde angemessene Schulung und Anleitung zurückzuführen ist."
Übersetzt: Erstmal reaktive Aufsicht — keine flächendeckenden Stichprobenprüfungen ab Tag 1. Audits werden primär durch Vorfälle und Beschwerden ausgelöst. Aber: Wenn etwas passiert (Bewerber-Diskriminierung, KI-Fehlentscheidung, Datenschutzvorfall mit KI-Bezug), wird die fehlende Schulungs-Doku als Beweismittel gegen dich verwendet.
Prioritäre Branchen für BNetzA-Aufmerksamkeit (Hochrisiko nach Anhang III):
- HR / Personalrekrutierung (Bewerber-Screening, Leistungsbewertung)
- Bildung (Prüfungsbewertung, Zulassungssysteme)
- Kritische Infrastruktur (Energie, Wasser, Transport)
- Strafverfolgung (biometrische Identifikation, Risikobewertung)
- Finanzdienstleistungen (Kreditwürdigkeitsprüfung)
In diesen Sektoren steigt das Audit-Risiko deutlich — und dort ist die Schulungstiefe „Führung" für die Hochrisiko-Anwender Pflicht.
Stimmungsbild aus dem deutschen Mittelstand
Was deutsche Berater Anfang 2026 öffentlich auf X und LinkedIn diskutieren:
„Ab August 2026 gilt der EU AI Act für KI im HR als Hochrisiko. Artikel 4 (Schulungspflicht) gilt bereits seit Februar 2025. Kennt ihr euren Compliance-Status?" — @kiimberuf, 11. März 2026
„Erster Schritt: Schreib auf, welche KI-Tools ihr nutzt. 78% der Unternehmen nicht vorbereitet, 83% haben kein KI-Inventar. Noch 4 Monate bis 2. August 2026." — @jeanhinz_io, April 2026
„AI Act als Weckruf — und Wettbewerbsvorteil für den Mittelstand. 69% brauchen laut Bitkom Unterstützung." — @Gerald_Lembke, 20. April 2026
Auffällig: Echte Frust-Posts von HR-Managern oder GFs sind in den letzten 90 Tagen rar. Stattdessen dominieren Berater-Töne und Aufrufe zur Vorbereitung. Konkrete „BNetzA hat uns geprüft"-Stories oder „Praktikant hat Halluzination verursacht"-Fälle existieren öffentlich noch nicht. Die Stimmung ist halt: niedriges Bewusstsein + zögerliche Vorbereitung — nicht Panik.
Heißt für dich: Du bist nicht zu spät. Aber du bist auch nicht der Einzige, der sich noch vorbereiten muss.
Fazit: Pflicht erfüllen, nicht überfüllen
Art. 4 ist real. Die BNetzA prüft ab August 2026. Bußgelder existieren. Aber: Niemand erwartet von dir ein Compliance-System wie bei einem DAX-Konzern. Was du brauchst, ist ein dokumentierter Schulungsnachweis mit den sechs Bausteinen — Curriculum, Scope, Rollen-Mapping, Completion Records, Assessment, Change Log. Punkt.
Wenn du diesen Nachweis hast, bist du auf der sicheren Seite. Auch wenn dein Curriculum nicht perfekt ist, dein Assessment nicht raffiniert, deine Doku nicht TÜV-konform — solange die Bausteine da sind und die Schulung sinnvoll war, hältst du jeder Prüfung stand.
Nicht das Compliance-Theater ist gefragt. Sondern dass du wirklich verstehst, was du da tust, wenn du KI im Job einsetzt. Das ist der eigentliche Punkt.
Quellen
Offizielle EU-Quellen:
- Article 4 EU Artificial Intelligence Act — Volltext
- EU AI Office Q&A zu Art. 4 KI-Kompetenz
- Article 99 EU AI Act (Bußgeldkatalog)
Akademische / Forschungsquellen:
- Wendt-Whitepaper (TU Darmstadt / Frankfurt UAS, Sept 2025): Operationalisierung von Art. 4 — die umfassendste deutschsprachige Analyse der KI-Kompetenzpflicht (zitiert via fim-rc Forschungsnetzwerk)
- Wendehorst (Universität Wien) zur Kompetenzanforderung unabhängig vom Systemrisiko
- Möller-Klapperich (2025), Rappenglück/Vonthien (2025), Fleck (2024) zum Zumutbarkeitsmaßstab
Industrie / Praxisleitfäden:
- EU AI Act 2026 Zwischenstand — TÜV Rheinland
- Arbeitgeberpflicht zur KI-Kompetenz — Haufe
- KI-MIG: Deutsches AI-Act-Durchführungsgesetz
- AI Literacy Pflicht — Skill-Sprinters
- TÜV Akademie: EU AI Act Artikel 4
- IHK Schleswig-Holstein: AI Act Schulungspflicht
Bitkom-Statistiken 2026 (zitiert via Branchenanalysen): 41% deutsche KI-Adoption (2024: 17%), 53% nennen fehlende KI-Kompetenz als Hauptbremse, 43% Mittelstand ohne KI-Strategie, 69% brauchen Compliance-Unterstützung.
Praxis-X-Posts (Mai 2026): @kiimberuf, @jeanhinz_io, @Gerald_Lembke, @SteffenZw1, @ariwhatelse — gefunden über Grok-Recherche.
Recherchemethodik: Perplexity Pro (Web + Academic + Wiley + Social) für offizielle und wissenschaftliche Quellen, Grok für X/LinkedIn-Praktikerstimmen Stand Mai 2026. Forschungsnotizen unter research/perplexity-pro-research.json und research/grok-research.json im Blog-Ordner verfügbar.
Mehr Tiefe gefällig? Der Praxiskurs EU AI Act Art. 4 Schulungsnachweis zeigt dir Schritt für Schritt: vollständige Schulungsnachweis-Vorlage, Rollen-Mapping, Annex-III-Risikoklassifizierung, Audit-Vorbereitung. 8 Lektionen, ~2 Stunden, mit verifizierbarem Zertifikat — das gleichzeitig dein eigener Art.-4-Nachweis ist. Die ersten zwei Lektionen sind kostenlos.
Wer staatliche Förderung für die KI-Weiterbildung will — bis zu 100 % Lehrgangskosten + 75 % Lohnzuschuss: QCG-Förderung beantragen zeigt das Antragsverfahren.
