Guide · Art. 4 AI-Literacy

KI-Kompetenz ist Pflicht — seit 2. Februar 2025.

Art. 4 EU AI Act verpflichtet Arbeitgeber zur KI-Kompetenz aller Personen, die KI in ihrem Auftrag bedienen oder betreiben. Was das konkret heißt — und wie Sie es nachweisen.

Kurz vorweg

Drei Sätze, die Sie nach diesem Guide kennen.

1. Art. 4 ist bereits in Kraft — seit 2. Februar 2025, ohne Übergangsfrist, unabhängig vom Digital-Omnibus-Paket.

2. Pflichtadressat ist der Betreiber: jeder Arbeitgeber, dessen Mitarbeitende KI-Systeme nutzen — auch ChatGPT, Copilot oder branchenspezifische Tools.

3. Keine Behörde zertifiziert die Schulung. Der Nachweis liegt beim Unternehmen — ohne Schulungsregister fehlt der Beleg gegenüber Aufsicht und Gerichten.

Rechtsgrundlage

Was Art. 4 wörtlich verlangt — und was das im Alltag heißt.

„Die Anbieter und Betreiber von KI-Systemen ergreifen Maßnahmen, um nach besten Kräften sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen, wobei ihre technischen Kenntnisse, ihre Erfahrung, ihre Ausbildung und Schulung und der Kontext, in dem die KI-Systeme eingesetzt werden sollen, sowie die Personen oder Personengruppen, bei denen die KI-Systeme eingesetzt werden sollen, zu berücksichtigen sind."

Art. 4 Verordnung (EU) 2024/1689

„Ausreichendes Maß"

Kein fester Stundenumfang, kein vorgeschriebener Lehrplan. Maßstab ist der konkrete Einsatz: ein automatisiertes Entscheidungs-System verlangt mehr als ein Spam-Filter.

„Nach besten Kräften"

Erwartet wird systematisches Handeln — Inventar, Rollen, Schulungsplan, Dokumentation. Ein „Wir machen das schon irgendwie" trägt die Pflicht nicht.

„Personen im Auftrag"

Mitarbeitende, freie Mitarbeitende, Werkstudenten, externe Dienstleister mit Zugriff — alle, die KI-Systeme im Namen der Organisation bedienen.

Rollenmatrix

Schulung ist nicht gleich Schulung — Rolle entscheidet Tiefe.

Art. 4 verlangt rollen­angemessene Maßnahmen. Eine Geschäftsleitung braucht andere Inhalte als ein Fachanwender mit Kundenkontakt. Die folgende Matrix ist ein praxis­erprobter Ausgangspunkt — sie ersetzt nicht die eigene Organisations­analyse.

RolleKompetenzzielFormat & Tiefe
Geschäftsleitung / PartnerRegulatorischer Rahmen, Risiko- & Sanktionslogik, Verantwortlichkeiten, Budgetentscheidungen.Awareness-Briefing 60–90 Min., einmal jährlich.
FachanwenderSichere Nutzung im Arbeits- und Mandatskontext, Datenschutz, Prompt-Hygiene, Output-Validierung, Meldewege.Grundlagen 2 h + Rollen-Workshop 2 h, Auffrischung jährlich.
KI-Beauftragte/rRisikoklassen sicher einstufen, KI-Inventar pflegen, Konformitätsbewertung anstoßen, Aufsichtsanfragen beantworten.Vertiefungs-Curriculum 1–2 Tage, Quartals-Update.
IT & DatenschutzTool-Onboarding, technische Schutzmaßnahmen, Logging (Art. 12), Schnittstelle zur DSGVO.Technisches Modul 3 h, Versions-Trigger bei Tool-Wechsel.
Betriebsrat / MAVMitbestimmung (§ 87 BetrVG), Bewertung sensibler KI-Einsätze, Schulung der Belegschaft.Gemeinsames Modul 2 h, bei Tool-Einführung erweitert.
Pflichtinhalte

Was in jede KI-Schulung gehört.

Diese neun Bausteine bilden den fachlichen Kern. Reihenfolge, Tiefe und Beispiele richten sich nach Rolle und Tool-Stack — die Bausteine selbst sind nicht verhandelbar.

Faustregel: Grundlagen für alle, Rollen-Vertiefung für Risiko-Nutzende, mindestens jährliche Auffrischung.

  1. 01Funktionsweise & Grenzen von KI (LLMs, generative Modelle, klassisches ML)
  2. 02Risikoklassen des EU AI Act und Einstufungs-Logik (Art. 5, Art. 6/Anhang III, Art. 50)
  3. 03Datenschutz & Berufsgeheimnis (DSGVO, § 203 StGB, § 57 StBerG, Mandantendaten)
  4. 04Bias, Halluzinationen, Diskriminierungsrisiken — und wie man sie erkennt
  5. 05Prompt-Hygiene: was gehört nicht in den Prompt, wie strukturiert man Eingaben
  6. 06Output-Validierung: Vier-Augen-Prinzip, Quellenprüfung, Dokumentation
  7. 07Transparenzpflichten nach Art. 50 gegenüber betroffenen Personen
  8. 08Meldewege bei Vorfällen, Halluzinationen mit Schaden, Datenschutz-Verstößen
  9. 09Dokumentation: Schulungsregister, Tool-Inventar, Nachweis gegenüber Aufsicht
Branchen­logik

Schulungsinhalte, die in Ihrer Branche tatsächlich tragen.

Steuerkanzleien

Der härteste Hebel ist nicht Art. 4, sondern § 203 StGB und § 57 StBerG. Mandanten­daten dürfen nicht in unkontrollierte Cloud-LLMs gelangen. Schulung verzahnt Berufs­geheimnis und KI-Nutzung.

  • · DATEV-/Copilot-Szenarien mit echten Mandats­fällen
  • · BStBK-Hinweise zur KI-Nutzung als Schulungs­anker
  • · Konkrete Do-/Don't-Liste für Mandats­daten in Prompts
  • · Eskalation bei Bonitäts-/Scoring-Modellen (Hochrisiko, Anhang III Nr. 5b)

Ergebnis: kanzlei­interne KI-Richtlinie + Schulungs­register, das einer Anfrage der zuständigen Steuerberater­kammer standhält.

Hochrisiko-Einsätze (Anhang III)

Wo KI in Beschäftigtenkontexten, Kreditscoring, Bildung oder kritischer Infrastruktur mitwirkt, gilt Anhang III. Art. 4 ist dort die Eingangs­hürde — ohne dokumentierte Kompetenz fehlt die Basis für jede Hochrisiko-Pflicht.

  • · Risikobewertung der eingesetzten KI-Funktionen
  • · Transparenz gegenüber betroffenen Personen (Art. 50)
  • · Vertiefte Schulung für Anwender und Entscheider
  • · Schnittstelle § 87 Abs. 1 Nr. 6 BetrVG mit Betriebsrat

Ergebnis: belastbare Nachweis-Mappe für Hochrisiko-Tools — Schulung, Tool-Einstufung, menschliche Aufsicht (Art. 14).

Nachweis

Ohne Schulungsregister kein Nachweis.

Aufsichten und Gerichte beurteilen Art. 4 nach dem, was dokumentiert ist. „Wir haben darüber gesprochen“ zählt nicht. Vier Artefakte halten die Pflicht zusammen.

Schulungsregister

Person, Rolle, Modul, Datum, Ergebnis, nächste Wiedervorlage.

Teilnahmenachweis

Pro Person und Modul, signiert oder per Lernplattform protokolliert.

KI-Richtlinie

Verbindliche Spielregeln, Tool-Whitelist, Meldewege — von Geschäftsleitung gezeichnet.

Wiederholungsplan

Mindestens jährlich, zusätzlich bei Tool- oder Versions­wechsel.

Sanktionen & Aufsicht

Was passiert, wenn Art. 4 ignoriert wird.

Bußgeldrahmen (Art. 99): Verstöße gegen Hochrisiko-Pflichten bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes. Art. 4 selbst ist nicht direkt bebußt, aber regelmäßig mittelbar relevant — etwa als Verschulden bei DSGVO- oder arbeitsrechtlichen Verfahren.

Aufsicht in Deutschland: nationale Marktüberwachung bei der Bundesnetzagentur (BNetzA), sektoral u. a. BaFin und Datenschutz­aufsichten. Auskunfts- und Vorlage­rechte bestehen.

Mittelbare Wirkung: AGG-Klagen, Betriebsrats-Beschluss­verfahren, Mandantenhaftung. Fehlende Schulung wird im Streitfall als Organisations­verschulden gewertet.

Fahrplan

Art. 4 in 90 Tagen umgesetzt.

Woche 1–2

01 · Inventar

  • Alle im Haus eingesetzten KI-Tools erfassen — auch Schatten-IT
  • Pro Tool: Anbieter, Zweck, Datenkategorien, Nutzergruppe
  • Vorab-Einstufung in Risikoklasse (Art. 5 / Art. 6 / Art. 50 / minimal)

Woche 3–4

02 · Rollen

  • Rollenmatrix auf die eigene Organisation übertragen
  • Pro Rolle: Lernziele, Tiefe, Format und Wiederholungsintervall festlegen
  • KI-Beauftragte/n benennen, Verantwortlichkeiten schriftlich fixieren

Woche 5–10

03 · Schulung

  • Grundlagenmodul für alle Nutzenden ausrollen
  • Rollen-Vertiefungen mit branchen­konkreten Fallbeispielen
  • Onboarding-Pfad für neue Mitarbeitende verankern

Woche 11–12

04 · Nachweis

  • Schulungsregister anlegen (Person, Modul, Datum, Ergebnis)
  • Teilnahmenachweise archivieren, Wiedervorlagen setzen
  • KI-Richtlinie als Klammer veröffentlichen und gegenzeichnen lassen
FAQ

Häufige Fragen zu Art. 4 AI-Literacy

Gilt Art. 4 EU AI Act auch für die alltägliche ChatGPT- oder Copilot-Nutzung im Büro?

Ja. Art. 4 verpflichtet jeden Betreiber, ein „ausreichendes Maß an KI-Kompetenz“ der Personen sicherzustellen, die KI-Systeme „in seinem Auftrag bedienen und betreiben“. Das umfasst ChatGPT, Microsoft Copilot, Google Gemini, DATEV-KI-Funktionen, HR-Tools — unabhängig davon, ob die KI selbst gekauft, gemietet oder kostenlos genutzt wird.

Reicht ein einmaliges E-Learning-Modul zur Erfüllung?

Nein, in der Regel nicht. Art. 4 verlangt Maßnahmen, die zu „Vorkenntnissen, Erfahrung, Ausbildung und Schulung“ sowie zum „Kontext“ der Nutzung passen. Ein generisches Video reicht für einen Fachanwender mit Mandatsdaten oder Bewerberentscheidungen nicht aus. Üblich ist eine Kombination aus Grundlagenmodul, rollenbezogener Vertiefung und mindestens jährlicher Auffrischung.

Muss wirklich jede Mitarbeiterin und jeder Mitarbeiter geschult werden?

Geschult werden müssen alle Personen, die KI-Systeme im Auftrag des Betreibers bedienen oder betreiben — auch indirekt, etwa durch Prompten, Reviewen oder Freigeben von KI-Output. Wer nachweislich keinen Zugriff auf KI-Tools hat, ist nicht von Art. 4 erfasst. Tiefe und Inhalte richten sich nach der Rolle.

Wer kontrolliert die Einhaltung von Art. 4 in Deutschland?

Die nationale Marktüberwachungsbehörde ist in Deutschland seit 2025 bei der Bundesnetzagentur (BNetzA) angesiedelt; sektorale Aufgaben verbleiben u. a. bei BaFin und Datenschutzaufsichten. Aufsichten dürfen Nachweise zur AI-Literacy anfordern — ohne Schulungsregister fehlt der Sachvortrag.

Welche Bußgelder drohen bei Verstoß gegen Art. 4?

Art. 4 ist nicht direkt im Bußgeldkatalog des Art. 99 gelistet. Verstöße werden aber regelmäßig im Rahmen anderer Pflichten geahndet (etwa Art. 26 Betreiberpflichten bei Hochrisiko-KI: bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes). Mittelbar wirkt Art. 4 außerdem in DSGVO-Verfahren und arbeitsrechtlichen Auseinandersetzungen.

Verschiebt das Digital-Omnibus-Paket auch Art. 4?

Nein. Der Omnibus-Vorschlag der EU-Kommission (November 2025) betrifft die Hochrisiko-Fristen ab 2. August 2026. Art. 4 ist bereits seit 2. Februar 2025 in Kraft und gilt unverändert. Eine Verschiebung ist Stand Juni 2026 nicht im Gesetzgebungsverfahren.

Schulungsregister, das einer Aufsichts­frage standhält.

Wir liefern Curriculum, Rollen­matrix und Nachweis-Mappe — für Unternehmen, die KI einsetzen.