Geschäftsführer CFO / Controller Vertriebsleiter Operations IT / Digital
Sales & Pipeline Finance, Buchhaltung & Cashflow Kunden & Churn Operations, Einkauf & Supply HR & People Projekte & Delivery Backoffice, IT & Compliance
Technologie So arbeiten wir Preise Kontakt Kostenloser Maturity Check →
Ratgeber · Compliance & Governance

EU AI Act Schulung: Was Artikel 4 wirklich verlangt — und wie KMUs es ohne Excel-Listen erfüllen

Lesezeit: 12 Minuten · Aktualisiert: Mai 2026

Von Stefan Preusler, Geschäftsführer

1. Der Schock nach dem 2. Februar 2025

Seit dem 2. Februar 2025 gilt Artikel 4 des EU AI Act verbindlich. Jede Organisation, die KI-Systeme einsetzt, muss sicherstellen, dass das Personal über ausreichende KI-Kompetenz verfügt. Das klingt nach einer Schulung. Ist es aber nicht.

Eine repräsentative Umfrage des Digitalverbands Bitkom aus März 2025 zeigt: 67 % der deutschen Unternehmen haben noch keine strukturierte KI-Governance eingeführt. 43 % wissen nicht einmal, welche KI-Systeme in ihrem Unternehmen laufen. Und 89 % der Geschäftsführer geben an, dass sie den EU AI Act „nur oberflächlich" kennen.

Das Problem: Artikel 4 verlangt nicht nur Wissen. Er verlangt Inventarisierung, Dokumentation, Risikoklassifizierung und ein Nachweissystem. Eine 90-minütige Online-Schulung erfüllt das nicht. Das ist organisatorische Arbeit — und die meisten KMUs haben dafür weder Zeit noch Personal.

2. Die 5 größten Irrtümer zum EU AI Act

Bevor wir in die Details gehen, klären wir die häufigsten Missverständnisse, die wir in Gesprächen mit Geschäftsführern hören:

  • Irrtum 1: „Der AI Act betrifft nur große Konzerne." — Falsch. Artikel 4 gilt für jede Organisation ab dem ersten KI-System. Die Unternehmensgröße spielt keine Rolle.
  • Irrtum 2: „Eine Online-Schulung reicht." — Falsch. Schulung ist notwendig, aber nicht hinreichend. Sie müssen nachweisen können, wer welches System nutzt, welche Risiken bestehen und wie Sie diese kontrollieren.
  • Irrtum 3: „Wir nutzen gar keine KI." — Falsch. Wenn Ihre Mitarbeitenden Übersetzungsdienste, Schreibassistenten oder Analyse-Funktionen in freien Versionen nutzen, haben Sie Schatten-KI — und die fällt unter den AI Act.
  • Irrtum 4: „Die IT-Abteilung regelt das." — Falsch. Bei KMUs gibt es oft keine dedizierte IT-Abteilung. Und selbst wenn: KI-Governance ist eine Führungsaufgabe, keine rein technische.
  • Irrtum 5: „Wir haben noch Zeit bis 2026." — Falsch. Artikel 4 ist seit Februar 2025 in Kraft. Die ersten Kontrollen beginnen 2026. Wer jetzt nicht startet, gerät ins Hintertreffen.

3. Pflicht vs. Nicht-Pflicht: Was Artikel 4 wirklich verlangt

Artikel 4 des EU AI Act ist knapp formuliert — und gerade deshalb missverständlich. Hier die Aufschlüsselung, was verbindlich ist und was nicht:

Pflicht / Nicht-Pflicht Wer betrifft es Deadline Sanktion bei Nicht-Erfüllung
KI-Kompetenzschulung (Pflicht) Alle Mitarbeitenden, die KI-Systeme bedienen oder deren Output nutzen Ab 2. Februar 2025 Bis zu €7,5 Mio. oder 1,5 % Umsatz
Inventarisierung aller KI-Systeme (Pflicht) Jede Organisation ab dem ersten KI-System Ab 2. Februar 2025 Ordnungsgeld, Haftungsrisiko
Risikoklassifizierung (Pflicht) Alle, die Hochrisiko-KI oder KI mit Beeinflussungspotenzial nutzen Ab 2. Februar 2025 Bis zu €15 Mio. oder 3 % Umsatz
Dokumentation der Nutzung (Pflicht) Jede Organisation Ab 2. Februar 2025 Bis zu €7,5 Mio. oder 1,5 % Umsatz
Zertifizierung durch externe Prüfer (Nicht-Pflicht) Nur bei Hochrisiko-KI (Art. 43)
Eigene KI-Entwicklung melden (Nicht-Pflicht für reine Anwender) Nur KI-Entwickler und -Anbieter

4. Schatten-KI: Die 8 Verstecke, die niemand findet

Der gefährlichste Aspekt des AI Act ist nicht das, was Sie wissen. Es ist das, was Sie nicht wissen. Schatten-KI — Systeme, die ohne IT-Genehmigung genutzt werden — ist in fast jedem Unternehmen vorhanden. Hier die acht häufigsten Verstecke:

Bereich Was läuft im Verborgenen Risiko Check
Marketing KI-Schreibassistenten für Texte, Bildgenerierung für Social Media Urheberrechtsverletzung, nicht dokumentierte Nutzung Browser-History, Abo-Listen prüfen
Vertrieb KI-gestützte E-Mail-Assistenten, Lead-Scoring-Tools in Freemium-Versionen DSGVO-Konflikt, fehlende Einwilligungsnachweise CRM-Integrationen, Browser-Extensions prüfen
Personal KI-gestützte Bewerbungs-Screening-Tools, Textgenerierung für Stellenanzeigen Diskriminierungsrisiko, AGG-Verstoß Recruiting-Workflow, eingesetzte Plattformen erfassen
Buchhaltung Automatisierte Buchungsvorschläge, KI-gestützte Forecast-Tools GoBD-Konflikt, nicht nachvollziehbare Entscheidungen DATEV-Add-ons, Excel-Add-ins prüfen
IT / Support KI-Chatbots für internen Support, Code-Generierungswerkzeuge Sicherheitslücken, Datenlecks API-Schlüssel, SaaS-Abos inventarisieren
Produktion Maschinen mit eingebetteter KI, Qualitätsprüfung via Cloud-Diensten Produzentenhaftung, fehlende Zertifizierung Maschinen-Dokumentation, Cloud-Verträge prüfen
Einkauf Preisvergleichs-KI, automatisierte Lieferantenbewertung Kartellrecht, nicht transparente Kriterien Einkaufstools, Beschaffungsplattformen erfassen
Geschäftsführung KI-gestützte Dashboards, Entscheidungsunterstützung via externer Analyse Geschäftsführerhaftung, fehlende Nachvollziehbarkeit Genutzte Analyse-Tools, Datenquellen dokumentieren

5. KI-Inventar-Checkliste: 15 Punkte für den ersten Überblick

Bevor Sie Schulungen planen, müssen Sie wissen, wofür Sie schulen. Diese Checkliste gibt Ihnen den ersten strukturierten Überblick:

KI-Inventar-Checkliste

1. Alle KI-Systeme mit Namen erfasst
2. Anbieter und Vertragspartner dokumentiert
3. Nutzungszweck pro System beschrieben
4. Verantwortliche Person benannt
5. Risikostufe (mindest/unbegrenzt/hoch) eingestuft
6. Datenquellen und Datenflüsse erfasst
7. DSGVO-Einwilligungen geprüft
8. SaaS-Abos und API-Schlüssel inventarisiert
9. Freemium-Tools identifiziert
10. Browser-Extensions der Mitarbeitenden erfasst
11. KI in Kundenschnittstellen markiert
12. Entscheidungsbefugnis (Mensch vs. System) definiert
12a. Rules Engine für automatisierte Prüfungen konfiguriert
13. Schulungsstand jedes Nutzers dokumentiert
14. Dokumentationspfade (wer darf was sehen) festgelegt
15. Wiederholungsprüfung quartalsweise terminiert

6. Rollen-Matrix: Wer braucht welche KI-Kompetenz?

Artikel 4 verlangt „ausreichende KI-Kompetenz". Das bedeutet nicht, dass jeder Programmieren lernen muss. Die Kompetenzanforderung ist rollenbasiert:

Rolle Fachwissen Governance Dokumentation Kaskadenerkennung
Geschäftsführung Grundverständnis KI-Risiken, Haftungsfallen, regulatorische Lage Verantwortlich für Governance-Rahmen Genehmigt Inventar und Richtlinien Erkennt systemische Risiken früh
IT-Leiter / Digital Technische Funktionsweise, Schnittstellen, Datensicherheit Implementiert Kontrollen, verwaltet Zugänge Technische Dokumentation, API-Logs Erkennt technische Abhängigkeiten
Fachabteilung (z. B. Vertrieb, HR) Anwendungswissen, Limitationen des Tools, Qualitätsprüfung Meldet Fehlfunktionen, prüft Output Nutzungsprotokolle, Fehlerberichte Erkennt fachliche Kaskaden (z. B. falscher Lead → falscher Angebot)
Compliance / Qualität Rechtliche Anforderungen, Prüfrhythmen, Sanktionsrahmen Auditiert, erstellt Richtlinien Prüfberichte, Nachweismappe Erkennt regulatorische Kaskaden

7. Risikoklassifizierung: Was ist in Ihrem Unternehmen wirklich kritisch?

Der EU AI Act unterscheidet vier Risikostufen. Für KMUs ist die Unterscheidung zwischen „begrenztem Risiko" und „hohem Risiko" entscheidend — denn Hochrisiko-KI unterliegt strengeren Pflichten:

Risikostufe Beispiele in KMUs Pflichten
Minimales Risiko Spam-Filter, einfache Empfehlungssysteme (z. B. „Kunden kauften auch") Keine spezifischen Pflichten, aber Transparenz empfohlen
Begrenztes Risiko KI-Chatbots im Kundenservice, automatisierte E-Mail-Vorschläge, Textgenerierung für interne Berichte Transparenzpflicht: Nutzer müssen wissen, dass sie mit KI interagieren
Hohes Risiko KI in Personalauswahl, Kreditwürdigkeitsprüfung, medizinische Diagnoseunterstützung, Zugriffskontrolle Konformitätsbewertung, Risikomanagement, Datenqualität, menschliche Aufsicht, Robustheit, Transparenz
Unannehmbares Risiko Sozial Scoring, subliminale Manipulation, biometrische Echtzeit-Überwachung Verboten. Einsatz ist nicht zulässig.

8. Vergleich: Manuell, Kurs oder Intelligenz-Schicht

Es gibt drei Wege, Artikel 4 zu erfüllen. Der Unterschied liegt nicht im Wissen, sondern in der Nachhaltigkeit:

Kriterium Manuell (Excel/Papier) Kurs / Workshop Intelligenz-Schicht
Zeit bis erster Nutzen Sofort, aber fehleranfällig und unvollständig 1–3 Tage Wissen, aber keine Umsetzung 30 Tage bis vollständige Inventarisierung
Aktualisierung Manuell, veraltet nach Wochen Keine, einmaliger Wissenstransfer Automatisch, kontinuierliches Monitoring
Schatten-KI-Erkennung Nur durch Befragung, unzuverlässig Keine Erkennung Automatisch über Netzwerk- und Nutzungsanalyse
Dokumentation Excel-Listen, Versionskonflikte Teilnahmezertifikate, keine Systemdoku Zentrale Wissensbasis, revisionssicher
Audit-Fähigkeit Fraglich, Lücken wahrscheinlich Nicht gegeben Vollständig, mit Nachweiskette
Kosten (erstes Jahr) €0–500 (interne Arbeitszeit) €200–2.000 pro Person €2.000–8.000 Einrichtung + €290–2.490 monatlich

9. Die 30-Tage-Roadmap: Von null auf auditfähig

Hier der konkrete Plan für KMUs, die jetzt starten wollen:

Woche 1: Inventarisierung

  • Tag 1–2: Befragung aller Abteilungen nach genutzten KI-Systemen
  • Tag 3–4: Prüfung von SaaS-Abos, API-Schlüsseln, Browser-Extensions
  • Tag 5: Erste Risikoeinstufung jedes gefundenen Systems

Woche 2: Dokumentation & Richtlinien

  • Tag 6–7: Erstellung der KI-Nutzungsrichtlinie (Wer darf was mit welchem System?)
  • Tag 8–9: Dokumentation aller Datenflüsse und Entscheidungswege
  • Tag 10: Freigabe durch Geschäftsführung

Woche 3: Schulung & Rollenklärung

  • Tag 11–12: Schulung der Geschäftsführung zu Haftung und Governance
  • Tag 13–14: Schulung der Fachabteilungen zu Anwendung und Limitationen
  • Tag 15: Benennung der verantwortlichen Personen pro System

Woche 4: Monitoring & Kontrolle

  • Tag 16–18: Einrichtung des Monitoring-Systems (manuell oder automatisch)
  • Tag 19–20: Erster Testlauf: Simulierter Audit
  • Tag 21–22: Korrektur von Lücken, Finalisierung der Dokumentation

Nach 30 Tagen sind Sie nicht perfekt. Aber Sie sind auditfähig. Und das ist der Unterschied zwischen „wir arbeiten daran" und „wir können es nachweisen".

10. Förderung: Wie der Staat Ihnen hilft

Die Umsetzung des EU AI Act kostet Geld — aber es gibt Hilfe. Die wichtigsten Förderprogramme für deutsche KMUs:

  • QCG — Qualifizierungschancengesetz: Bis zu 100 % Förderung für Weiterbildungsmaßnahmen. Anerkannt durch die Bundesagentur für Arbeit. Voraussetzung: Betrieb mit mindestens einem sozialversicherungspflichtigen Beschäftigten. Die Förderung deckt auch digitale Kompetenzschulungen ab, die direkt mit der KI-Nutzung verbunden sind.
  • Go-Digital: Förderung für digitale Beratung und Umsetzung. Bis zu 50 % der Beratungskosten, maximal €16.500 für kleine Unternehmen (bis 10 MA) und €33.000 für mittlere Unternehmen (bis 500 MA). Der Schwerpunkt liegt auf Prozessdigitalisierung — KI-Governance fällt darunter, wenn sie als Teil der digitalen Transformation positioniert wird.
  • Digitaljetzt: Förderung für digitale Transformation im Mittelstand. Bis zu 50 % der förderfähigen Kosten. Antragsfristen sind begrenzt, die aktuelle Förderperiode läuft bis Mitte 2026.
  • Investitionszulage: 25 % Zulage für Investitionen in KI und Digitalisierung. Gilt für Unternehmen in Ostdeutschland und strukturschwachen Regionen in Westdeutschland.

Wichtig: Die Förderprogramme decken in der Regel die organisatorische Umsetzung ab — also Beratung, Prozessgestaltung und Systemeinführung. Reine Schulungskosten werden über das QCG gefördert. Kombinieren Sie beide, reduzieren Sie Ihre Eigenkosten erheblich.

11. Was das kostet — und was es wert ist

Die Kosten für die EU AI Act-Umsetzung variieren stark. Hier eine realistische Einschätzung für ein KMU mit 20–500 Mitarbeitenden:

  • Manueller Ansatz: €0 direkte Kosten, aber 80–120 Stunden interne Arbeitszeit (geschätzt €6.000–10.000 Personalkosten). Risiko: Lückenhaftigkeit, keine Aktualisierung.
  • Kurse und Workshops: €200–2.000 pro Teilnehmer. Bei 10 Teilnehmern: €2.000–20.000. Ohne organisatorische Umsetzung bleibt der Erfolg fraglich.
  • Intelligenz-Schicht (NaveSight): Einmalige Einrichtung €2.000–8.000. Monatlich ab €290 (Starter) bis €990 (Business) oder €2.490 (Business+) für KI-Governance inklusive Inventarisierung, Dokumentation und Monitoring.

Rechnen Sie gegen: Ein Bußgeld nach Artikel 4 beginnt bei €7,5 Mio. oder 1,5 % des weltweiten Umsatzes. Selbst ein „kleiner" Verstoß bei einem KMU mit €10 Mio. Umsatz kann €150.000 kosten. Die Investition in eine ordentliche Governance amortisiert sich beim ersten vermiedenen Verstoß.

12. Fallstudie: Wie ein Maschinenbau-KMU in 30 Tagen auditfähig wurde

Unternehmen: Mittelständischer Maschinenbauer, 80 Mitarbeitende, €18 Mio. Jahresumsatz.
Ausgangssituation: Die Geschäftsführung wusste, dass KI-Systeme im Einsatz waren — aber nicht welche und wo. Der Einkauf nutzte einen Preisvergleichsdienst. Der Vertrieb arbeitete mit einem KI-gestützten CRM-Add-on. Die Produktion hatte zwei Maschinen mit eingebetteter Qualitätsprüfung. Die Buchhaltung nutzte automatische Buchungsvorschläge. Nichts war dokumentiert.

Ansatz: Einführung der Intelligenz-Schicht als Middleware. Verbindung mit bestehenden Systemen über Connectoren. Aufbau einer zentralen Wissensbasis mit allen KI-Systemen, Datenflüssen und Verantwortlichkeiten.

Ergebnis nach 30 Tagen:

  • 14 KI-Systeme inventarisiert (davon 3 als Schatten-KI entdeckt)
  • 2 Systeme als hochriskant eingestuft (Personalauswahl-Unterstützung, Kreditprüfung)
  • Vollständige Dokumentation der Datenflüsse und Entscheidungswege
  • Schulung von 23 Mitarbeitenden in rollenspezifischen Modulen
  • Erste erfolgreiche Simulation eines regulatorischen Audits

Kosten: €4.500 Einrichtung, €790 monatlich. Gefördert über QCG und Go-Digital: Effektive Eigenkosten im ersten Jahr unter €3.000.

Fazit: Der Geschäftsführer sagte: „Vorher hatte ich ein ungutes Gefühl. Jetzt habe ich eine Excel-Tabelle, die ich jedem Auditor zeigen kann."

13. Verwandte Artikel

Der EU AI Act ist ein Teil des großen Bildes. Hier finden Sie vertiefende Informationen zu verwandten Themen:

Häufig gestellte Fragen

Ab wann gilt Artikel 4 des EU AI Act für mein Unternehmen?
Seit dem 2. Februar 2025. Jede Organisation, die KI-Systeme einsetzt, muss sicherstellen, dass das Personal über KI-Kompetenz verfügt. Das betrifft auch KMUs ab dem ersten eingesetzten KI-System — unabhängig von der Unternehmensgröße. Eine Übergangsfrist gibt es nicht.
Brauche ich eine neue Stelle für KI-Governance?
Nein. Bei Unternehmen bis 500 Mitarbeitende übernimmt typischerweise die Geschäftsführung, der Qualitätsbeauftragte oder der IT-Leiter die Governance-Rolle. Die Intelligenz-Schicht übernimmt Dokumentation, Inventarisierung und Monitoring. Keine neue Stelle nötig, keine langwierige Einstellung. Mehr zu KI-Governance für KMUs.
Was ist Schatten-KI und warum ist sie gefährlich?
Schatten-KI sind KI-Systeme, die ohne IT-Genehmigung in der Organisation genutzt werden — zum Beispiel freie Online-Übersetzer, KI-Schreibassistenten oder Analyse-Tools in freien Versionen. Sie erzeugen Compliance-Risiken, weil sie nicht inventarisiert, nicht dokumentiert und nicht kontrolliert sind. Im Audit zählt: Was Sie nicht kennen, können Sie nicht kontrollieren. Mehr zur KI-Governance.
Reicht eine Online-Schulung für die EU AI Act Compliance?
Nein. Eine Schulung allein reicht nicht. Artikel 4 verlangt nachweisbare KI-Kompetenz, Inventarisierung aller KI-Systeme, Dokumentation der Nutzung und ein Governance-System. Das ist organisatorische Arbeit, die über reine Weiterbildung hinausgeht. Schulungen sind notwendig, aber nicht hinreichend. Mehr zum EU AI Act.
Was kostet eine EU AI Act Schulung bzw. Einführung?
Kostenfreie Online-Schulungen decken den Wissenstransfer ab. Für die organisatorische Umsetzung inklusive Inventarisierung, Dokumentation und fortlaufendem Monitoring starten Dienstleistungen ab €290 monatlich. Einmalige Einrichtung liegt zwischen €2.000 und €8.000 je nach Systemlandschaft. Mit Förderung über QCG und Go-Digital reduzieren sich die effektiven Kosten erheblich. Preise bei NaveSight.
Was passiert bei Nicht-Erfüllung des Artikels 4?
Verstöße gegen Artikel 4 können mit Bußgeldern von bis zu €7,5 Mio. oder 1,5 % des weltweiten Jahresumsatzes geahndet werden. Darüber hinaus besteht das Risiko von Haftungsansprüchen bei Schäden durch unzureichend geschultes Personal. Die ersten Kontrollen beginnen 2026 — wer jetzt nicht startet, riskiert nicht nur Geld, sondern auch Reputationsschäden.
Kann NaveSight den EU AI Act für uns umsetzen?
Ja. NaveSight bietet als Intelligenz-Schicht Inventarisierung, Dokumentation, Muster-Erkennung und Governance-Monitoring. Die Middleware verbindet sich mit bestehenden Systemen, baut eine Wissensbasis auf und warnt bei Compliance-Lücken. Technische Einrichtung: 3 bis 7 Tage. Auditfähigkeit nach 30 Tagen. Kostenlosen Maturity Check starten.
Kostenloser Maturity Check

Wissen Sie, welche KI-Systeme in Ihrem Unternehmen laufen? Wir finden es in 30 Minuten heraus.

Der Maturity Check zeigt Ihre KI-Landschaft, identifiziert Schatten-KI und erstellt einen konkreten Aktionsplan für Artikel 4.

Kostenlosen Maturity Check starten

Unsere Garantie: ein konkreter Aktionsplan — ob mit NaveSight oder ohne.

Wir führen 10 Maturity Checks pro Monat durch. Priorisierte Bearbeitung: 48 Stunden.