KI-Kompetenz nach Art. 4 EU AI Act: Curriculum, Stundenrahmen und Schulungsnachweis

Art. 4 des EU AI Act macht KI-Kompetenz zur regulierten Pflicht. Für Compliance-Verantwortliche im Mittelstand bedeutet das: Sie benötigen ein strukturiertes Curriculum, klare Stundenrahmen je Rolle und einen belastbaren Schulungsnachweis, der auch in drei Jahren noch prüffest ist. Dieser Beitrag zeigt, wie Sie die Schulungspflicht praxisnah umsetzen, ohne Ihr Haus in ein Schulungszentrum zu verwandeln.

Was Art. 4 EU AI Act seit Februar 2025 verlangt

Art. 4 EU AI Act verpflichtet Unternehmen, sicherzustellen, dass Mitarbeitende, die KI-Systeme nutzen, über angemessene KI-Kompetenz verfügen. Der Artikel ist seit dem 2. Februar 2025 in Kraft, die Durchsetzung beginnt am 2. August 2026. Das verschafft etwas Zeit, aber keinen Aufschub der Pflicht. Wer KI bereits produktiv nutzt, muss jetzt handeln.

Die Norm adressiert nicht nur Entwickler von Hochrisiko-Systemen, sondern ausdrücklich auch Nutzer. Damit rückt die sogenannte ai literacy Schulungspflicht in den Mittelpunkt. Gefordert werden angemessene Kenntnisse über Funktionsweise, Grenzen, Risiken und korrekte Nutzung der eingesetzten Systeme, abgestimmt auf die jeweilige Rolle und die Risikoklasse der Anwendung.

Für Hochrisiko-KI nennt der Praxisrahmen, der sich in der europäischen Diskussion etabliert, 8 bis 16 Stunden Schulung pro Jahr und Mitarbeiter. Für Standard-KI-Anwendungen liegt der Richtwert bei 2 bis 4 Stunden jährlich. Diese Bandbreiten sind kein Gesetzestext, sie werden aber von Aufsichtsbehörden als Orientierungsgröße herangezogen, wenn es um die Angemessenheit Ihres Schulungskonzepts geht.

Compliance-Abteilungen stehen damit vor drei Kernaufgaben. Erstens die Definition, welche Rollen mit welchen KI-Risikoklassen in Berührung kommen. Zweitens die Ausgestaltung eines KI-Kompetenz-Curriculums, das zu diesen Rollen passt. Drittens der Aufbau einer belastbaren ki Schulung Mitarbeiter Dokumentation, die jederzeit zeigt, wer wann welches Modul absolviert hat.

Art. 4 verlangt Struktur statt Einzelmaßnahmen

Einzelne KI-Workshops reichen für Art. 4 nicht aus. Gefordert ist ein rollenbasiertes, wiederkehrendes Curriculum mit dokumentiertem Stundenumfang und nachvollziehbaren Lernzielen.

Was Sie davon mitnehmen: Einzelne KI-Workshops reichen für Art.

Die fünf Rollen-Cluster für rollenbasierte Schulung

In der Praxis hat es sich bewährt, nicht jede Stelle einzeln zu betrachten, sondern fünf Rollen-Cluster zu bilden. So bleibt Ihr KI-Kompetenz-Curriculum im Mittelstand beherrschbar und trotzdem differenziert genug für Aufsichtsprüfungen.

Erstes Cluster sind Fachanwender, die Standard-KI-Tools nutzen, etwa für Textentwürfe, Recherche oder einfache Auswertungen. Zweites Cluster sind Fachanwender in regulierten Prozessen, zum Beispiel in Kreditvergabe, Qualitätssicherung oder regulatorischer Dokumentation. Drittes Cluster sind Führungskräfte, die KI-Einsatz genehmigen, Ergebnisse verantworten und die Einhaltung von Richtlinien überwachen.

Viertes Cluster sind technische Rollen, die KI-Lösungen konfigurieren, integrieren oder weiterentwickeln. Fünftes Cluster sind Governance- und Compliance-Funktionen, die Richtlinien definieren, Risiken bewerten und interne Kontrollen auslegen. Für jedes Cluster definieren Sie, mit welchen KI-Risikoklassen die Rollen arbeiten und welche inhaltlichen Schwerpunkte die Schulung benötigt.

Besonders wichtig ist eine eigene ki Schulung Führungskräfte. Führungskräfte entscheiden über Budgets, genehmigen Schatten-KI oder stoppen sie, und Sie tragen Verantwortung für die Einhaltung von BAIT, MaRisk, GxP, TISAX® oder internen Richtlinien. Ohne spezifische Schulung in diesen Rollen bleibt jede Policy ein Papiertiger.

Was Sie davon mitnehmen: Besonders wichtig ist eine eigene ki Schulung Führungskräfte.

Stundenrahmen pro Rolle und KI-Risikoklasse

Art. 4 nennt keinen exakten Stundenplan, aber der europäische Praxisrahmen gibt klare Größenordnungen vor. Für Standard-KI-Anwendungen, etwa generative Assistenten ohne Hochrisiko-Einstufung, gelten 2 bis 4 Stunden Schulung pro Jahr und Mitarbeiter als angemessen. Für Hochrisiko-Systeme liegt der empfohlene Rahmen bei 8 bis 16 Stunden jährlich.

Diese Bandbreiten lassen sich gut mit Ihren Rollen-Clustern verbinden. Fachanwender in unkritischen Prozessen liegen eher am unteren Ende, Governance- und Technikrollen in Hochrisiko-Kontexten eher am oberen. Wichtig ist, dass Sie Ihre Entscheidung begründen und konsistent dokumentieren. Ein sauberer ki Kompetenz Nachweis mit klaren Stundenangaben ist in einer Prüfung oft überzeugender als ein besonders umfangreiches, aber unstrukturiertes Schulungsprogramm.

Die folgende Übersicht zeigt einen typischen Zuschnitt für ein mittelständisches Unternehmen mit gemischten KI-Anwendungen:

Für die Praxis bedeutet das: Sie müssen nicht jede Stunde auf die Minute genau nachweisen, aber Sie sollten für jede Rolle nachvollziehbar erklären können, warum Sie sich für einen bestimmten Rahmen entschieden haben. Ein sauber dokumentierter art 4 KI Act Umsetzungspfad mit Rollen, Modulen und Stundenumfang ist hier der beste Schutz vor Diskussionen mit Prüfern.

Was Sie davon mitnehmen: Für die Praxis bedeutet das: Sie müssen nicht jede Stunde auf die Minute genau nachweisen, aber Sie sollten für jede Rolle nachvollziehbar erklären können, warum Sie sich für einen bestimmten Rahmen entschieden haben.

Praxisbeispiel: Banking

In einer regionalen Volksbank mit 380 Mitarbeitenden nutzten Vertriebs- und Kreditteams bereits diverse KI-Tools für Textentwürfe, Marktanalysen und erste Kreditwürdigkeitsprüfungen. Die Nutzung war ad hoc, oft über Schatten-KI, und die Schulungspflicht aus Art. 4 war weder konzeptionell noch dokumentatorisch abgedeckt. Die Compliance-Abteilung sah das Risiko, dass BAIT- und MaRisk-Prüfungen genau hier ansetzen würden.

Gemeinsam mit sensified wurde ein KI-Projekt aufgesetzt, das sich ausschließlich auf die KI-Kompetenz konzentrierte. In acht Wochen entstand ein rollenbasiertes Curriculum für Vertrieb, Kredit, Marktfolge, IT und Compliance. Parallel wurde eine einfache, aber revisionssichere ki Schulungsnachweis Vorlage entwickelt, die sich in das bestehende Schulungssystem der Bank integrieren ließ. EU AI Act Art. 4, BAIT und MaRisk wurden dabei explizit als Anforderungskatalog hinterlegt, sodass jede Schulungseinheit auf konkrete regulatorische Erwartungen referenzierte.

Ergebnis: Innerhalb von 90 Tagen war der Schulungsstand für alle relevanten Rollen dokumentiert. Die Bank konnte gegenüber interner Revision und Aufsicht klar zeigen, welche Mitarbeitenden welche Module absolviert hatten, inklusive Stundenumfang und Lernzielen. Die Aufsichts- und Prüfungsfähigkeit war damit hergestellt, ohne dass der operative Betrieb überlastet wurde.

Was Sie davon mitnehmen: Ergebnis: Innerhalb von 90 Tagen war der Schulungsstand für alle relevanten Rollen dokumentiert.

Praxisbeispiel: Pharma

Ein Pharma-Mittelständler mit 240 Mitarbeitenden in Hessen setzte KI bereits in Qualitätssicherung und Regulatory Affairs ein, vor allem für Literaturrecherchen, Dossiererstellung und Auswertung von Stabilitätsdaten. QA und Regulatory nutzten die Systeme intensiv, aber ohne formalisiertes Curriculum. Die Validierung der KI-Anwendungen war damit angreifbar, weil die Qualifikation der Nutzer nicht systematisch nachgewiesen werden konnte.

sensified implementierte hier eine Kombination aus KI-Projekt und KI-Result. Im Projektteil wurde ein GxP-konformes Curriculum für QA, Regulatory Affairs, IT und Qualified Persons entwickelt. Module zu KI-Grundlagen, Risikoklassen, Prompt-Design, Datenintegrität und GxP-spezifischen Anforderungen wurden definiert und mit klaren Lernzielen versehen. Parallel wurde ein Output-as-a-Service-Ansatz etabliert, bei dem sensified geprüfte Schulungsreports als KI-Result liefert, die direkt in die GxP-Dokumentation einfließen.

Der Audit-Trail für KI-Schulungen wurde so in die bestehende GxP-Dokumentation integriert. Jede Schulung erzeugt automatisch einen validierungsfähigen Nachweis mit Datum, Umfang, Referenz auf Art. 4 EU AI Act und die relevanten GxP-Passagen. Für externe Audits liegt damit eine durchgängige Kette von Curriculum, Durchführung und Nachweis vor, ohne dass das interne Team zusätzliche Dokumentationsinseln pflegen muss.

Was Sie davon mitnehmen: Der Audit-Trail für KI-Schulungen wurde so in die bestehende GxP-Dokumentation integriert.

Praxisbeispiel: Maschinenbau

Bei einem Sondermaschinenbauer mit 320 Mitarbeitenden nutzten Konstruktion und Service bereits Chat-Tools für technische Recherche, Fehlersuche und Übersetzung von Dokumentation. Die Nutzung war produktiv, aber informell. Die Geschäftsführung erkannte, dass die Schulungspflicht aus Art. 4 nicht erfüllt war und dass TISAX-Anforderungen an Informationssicherheit und Datenvertraulichkeit im KI-Kontext nicht ausreichend adressiert wurden.

In einem sensified-Projekt wurden zunächst die relevanten Rollen identifiziert: Konstruktion, Service, Vertrieb, IT und Management. Auf dieser Basis entstand ein Curriculum in vier Rollenstufen, ergänzt um ein Management-Modul zu Governance, Haftung und TISAX-Bezug. Die Inhalte reichten von Grundlagen der KI-Risikoklassen über sichere Nutzung von generativen Assistenten bis hin zu konkreten Anwendungsfällen in Konstruktion und Service. Die technische Umsetzung lief auf einer EU-gehosteten KI-Plattform von sensified, die unter Kontrolle des Kunden betrieben wird.

Innerhalb weniger Monate war das Curriculum ausgerollt, inklusive jährlichem Refresher als Standardprozess. Die Schulungen wurden automatisiert in einem zentralen Register dokumentiert, sodass der Maschinenbauer gegenüber Kunden und Auditoren jederzeit nachweisen kann, dass Mitarbeitende in sicherheitskritischen Rollen regelmäßig zu KI und TISAX-relevanten Themen geschult werden. Das stärkt nicht nur die Compliance, sondern auch die Verhandlungsposition in Ausschreibungen.

Rollenbasierte Curricula schaffen Prüfungsruhe

Wer KI-Schulungen konsequent nach Rollen und Risikoklassen strukturiert, reduziert Diskussionen mit Prüfern und verschiebt den Fokus von Formalien auf die tatsächliche Wirksamkeit der Kontrollen.

Was Sie davon mitnehmen: Wer KI-Schulungen konsequent nach Rollen und Risikoklassen strukturiert, reduziert Diskussionen mit Prüfern und verschiebt den Fokus von Formalien auf die tatsächliche Wirksamkeit der Kontrollen.

Curriculum-Module: vom Kick-off bis zum Refresher

Ein wirksames Curriculum besteht nicht aus einem einmaligen Großseminar, sondern aus klar abgegrenzten Modulen, die sich kombinieren und jährlich auffrischen lassen. Typischerweise beginnt es mit einem Kick-off-Modul, das Grundlagen von KI, die Einordnung des EU AI Act und die internen Richtlinien vermittelt. Dieses Modul richtet sich an alle Rollen und legt die gemeinsame Sprache fest.

Darauf folgen vertiefende Module je Rollen-Cluster. Für Fachanwender in Standard-KI-Szenarien stehen praktische Übungen im Vordergrund, etwa der sichere Umgang mit generativen Assistenten, der Schutz vertraulicher Informationen und die Erkennung von Halluzinationen. In regulierten Prozessen kommen Inhalte zu Dokumentationspflichten, Vier-Augen-Prinzip und Freigabeworkflows hinzu.

Für technische Rollen und Governance-Funktionen enthält das Curriculum Module zu Modellrisiken, Monitoring, Incident-Handling und Schnittstellen zu bestehenden Kontrollsystemen. Führungskräfte erhalten eigene Einheiten zu Haftungsfragen, strategischer Einordnung von KI und der Rolle von Schulungen im internen Kontrollsystem. Ein jährlicher Refresher aktualisiert Inhalte, greift neue regulatorische Entwicklungen auf und stellt sicher, dass der Praxisrahmen von 2 bis 4 Stunden beziehungsweise 8 bis 16 Stunden pro Jahr tatsächlich erreicht wird.

sensified setzt in KI-Projekten auf modulare Curricula, die sich in bestehende Lernplattformen integrieren lassen. Alternativ können Unternehmen über KI-Result fertige Schulungsinhalte und geprüfte Wissenschecks als Service beziehen, ohne eigene Content-Teams aufzubauen. In beiden Fällen bleibt die Verantwortung beim Unternehmen, während sensified die technische und didaktische Umsetzung liefert.

Was Sie davon mitnehmen: sensified setzt in KI-Projekten auf modulare Curricula, die sich in bestehende Lernplattformen integrieren lassen.

Lückenlose Dokumentation und Schulungsnachweis

Ohne belastbare Dokumentation bleibt jede Schulung im Zweifel wirkungslos. Prüfer interessieren sich weniger für die Folien als für den Nachweis, dass relevante Mitarbeitende zur richtigen Zeit die richtigen Inhalte erhalten haben. Eine praxistaugliche ki Schulungsnachweis Vorlage enthält daher mindestens Rolle, Modul, Datum, Dauer, Trainer oder Format, Lernziele und Ergebnis eines kurzen Wissenschecks.

In vielen mittelständischen Unternehmen existieren bereits Systeme für Pflichtschulungen, etwa zu Informationssicherheit oder Arbeitsschutz. Diese lassen sich in der Regel für KI-Themen erweitern. Wichtig ist, dass KI-Module als eigene Kategorie geführt werden und dass Art. 4 EU AI Act in den Metadaten referenziert wird. So können Sie gegenüber Aufsicht und interner Revision gezielt ausweisen, wie Sie die ai literacy Schulungspflicht erfüllen.

sensified unterstützt Unternehmen dabei, diese Dokumentation zu automatisieren. In einer gemanagten KI-Plattform können Schulungen, Wissenschecks und Praxisübungen direkt mit der Nutzung der KI-Systeme verknüpft werden. Auswertungen zeigen, welche Rollen welche Module absolviert haben und wo Auffrischungen notwendig sind. Für Unternehmen, die keine eigene Plattform betreiben möchten, liefert sensified über KI-Result fertige Reports, die sich in bestehende Compliance- und Audit-Systeme einbinden lassen.

Was Sie davon mitnehmen: sensified unterstützt Unternehmen dabei, diese Dokumentation zu automatisieren.

Sanktionen und Prüfszenarien der Aufsichtsbehörden

Der EU AI Act sieht bei Verstößen gegen Vorgaben zu Hochrisiko-KI Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes vor. Auch wenn Art. 4 nicht in jedem Fall direkt in diese höchste Sanktionsstufe fällt, ist klar, dass fehlende KI-Kompetenz als wesentlicher Risikofaktor gewertet wird. Wer Hochrisiko-Systeme ohne nachweislich geschulte Nutzer betreibt, hat im Ernstfall eine schwache Verteidigungslinie.

In der Praxis werden Aufsichtsbehörden und interne Revisionen typische Prüfszenarien nutzen. Dazu gehören Stichproben in Hochrisiko-Prozessen, Abgleich von Rollenprofilen mit Schulungsregistern, Interviews mit Mitarbeitenden zu Verständnis und Anwendung der Richtlinien sowie die Prüfung, ob der definierte Stundenrahmen pro Rolle und Risikoklasse plausibel ist. Auch der Abgleich von KI-Nutzungsdaten mit Schulungsständen wird an Bedeutung gewinnen.

Unternehmen, die sich frühzeitig mit der art 4 KI Act Umsetzung befassen, können diese Prüfungen aktiv gestalten. Wer ein klares Rollenmodell, ein dokumentiertes Curriculum und einen aktuellen Schulungsstand vorweisen kann, verschiebt die Diskussion von Grundsatzfragen hin zu Detailthemen. Das reduziert nicht nur das Sanktionsrisiko, sondern schafft auch intern Vertrauen in den geregelten KI-Einsatz.

sensified unterscheidet sich hier von klassischen KI-Beratungen, die häufig Strategiepapiere liefern und die Umsetzung dann dem Kunden überlassen. Mit den drei Modellen KI-Projekt, KI-Plattform und KI-Result deckt sensified den gesamten Weg von der Konzeption über die technische Umsetzung bis zum laufenden Betrieb ab. Alle Lösungen werden EU-gehostet und unter Kontrolle des Kunden betrieben, inklusive vollständiger Code-Übergabe bei Projektabschluss.

Was Sie davon mitnehmen: sensified unterscheidet sich hier von klassischen KI-Beratungen, die häufig Strategiepapiere liefern und die Umsetzung dann dem Kunden überlassen.

Nächste Schritte

Wenn Sie Art. 4 EU AI Act strukturiert umsetzen möchten, ist der erste Schritt eine klare Rollen- und Risikoklassenanalyse, gefolgt von einem schlanken, aber prüffesten Curriculum. sensified unterstützt Sie dabei im Rahmen eines KI-Projekts mit klar definierten Phasen und Festpreis. Im Strategiegespräch klären wir, welche Rollen in Ihrem Haus betroffen sind, wie sich der Stundenrahmen pragmatisch zuschneiden lässt und ob eher ein Projekt, eine Plattform oder KI-Result für Sie passend ist.

Auf dieser Basis können Sie innerhalb weniger Wochen von verstreuten KI-Initiativen zu einem belastbaren Schulungskonzept mit lückenlosem Nachweis wechseln. So erfüllen Sie nicht nur die formalen Anforderungen von Art. 4, sondern schaffen auch intern Sicherheit im Umgang mit KI.