Von Führerscheinen zu Algorithmen – und wieder zurück.
Im Februar 2025 trat eine weitere wichtige Verpflichtung in Kraft, die sich aus der Verordnung 2024/1689 des Europäischen Parlaments und des Rates der EU ergibt, mit der harmonisierte Vorschriften im Bereich der künstlichen Intelligenz, bekannt als KI-Gesetz, festgelegt wurden.
Während sich die meiste Aufmerksamkeit bisher auf verbotene Systeme (Artikel 5) und hochriskante KI (Artikel 6 ff.) konzentriert hat, kommt auch der weniger diskutierte, aber für die Einhaltung der Vorschriften entscheidende Artikel 4 über die Verpflichtung zur Gewährleistung eines angemessenen Niveaus an KI-Kenntnissen in die Praxis.
Dieser Artikel wurde als parlamentarisches „Addendum“ verfasst, d.h. er stammt nicht aus dem ursprünglichen Vorschlag der Europäischen Kommission. Deshalb fehlte lange Zeit jede Erklärung, wie seine Forderung erfüllt werden soll. Erst als das Europäische Amt für künstliche Intelligenz eingerichtet wurde, begann es, ein lebendes Repository zu veröffentlichen – eine offene Datenbank mit Beispielen aus der Praxis.
Was steht eigentlich in Artikel 4?
Um es kurz zu machen: Artikel 4 verlangt, dass alle Personen, die an der Konzeption, Entwicklung, Implementierung oder Nutzung von KI-Systemen beteiligt sind, über ein angemessenes Maß an KI-Kenntnissen und -Fähigkeiten verfügen – und zwar in einem Umfang, der ihrer Rolle und dem Kontext des Systemeinsatzes angemessen ist. Mit anderen Worten: Der Entwickler sollte mehr wissen als der durchschnittliche Mitarbeiter, aber auch die Marketingabteilung sollte nicht völlig im Dunkeln gelassen werden.
Die Verpflichtung ist relativ formuliert: „Maßnahmen ergreifen, um so weit wie möglich ein ausreichendes Niveau an KI-Kenntnissen bei ihren Mitarbeitern und anderen Personen zu gewährleisten“, was die Bedeutung einer transparenten Dokumentation und der Fähigkeit, die Angemessenheit des Kontrollprozesses nachzuweisen, erhöht.
Obwohl es in der Slowakei bis heute keine offiziell benannte Aufsichtsbehörde für diesen Bereich gibt (14.5.2025), ist Artikel 4 voll gültig und wirksam. Das bedeutet, dass die Aufsichtsbehörde in Zukunft auch (natürlich innerhalb der gesetzlichen Grenzen) rückwirkend die Erfüllung dieser Verpflichtung ab dem Datum ihres Inkrafttretens kontrollieren kann.
Daraus folgt, dass es sich möglicherweise nicht lohnt, die in Artikel 4 des AI-Gesetzes auferlegte Verpflichtung zu ignorieren. Und vielleicht noch wichtiger als das Bußgeld selbst ist die Möglichkeit, Ihre Fähigkeit zur Zusammenarbeit auf dem Markt und zum Schutz Ihres Geschäftsmodells nachzuweisen. Schließlich stellt die künstliche Intelligenz eine Reihe von Herausforderungen in Bezug auf den Urheberrechtsschutz dar – und Sie könnten am Ende einen Kunden haben, der Ihnen zwar für die von Ihnen gelieferte Arbeit dankt, sich aber weigert, Lizenzgebühren zu zahlen, wenn nicht hinreichend klar ist, dass überhaupt eine Lizenz hätte geschaffen werden können.
Mit anderen Worten, es handelt sich um ein zweischneidiges Schwert – es reicht nicht aus, KI zu entwickeln, man muss sie auch legal und verantwortungsbewusst einsetzen, denn im Falle eines Ausfalls von KI-Systemen kann es nicht nur zu Reputationsverlusten kommen, sondern auch zu Rechtsstreitigkeiten über die Gültigkeit des Lizenzverhältnisses oder zu Schadensersatzansprüchen.
Führerschein für KI?
Wenn Sie nach einer Metapher suchen, um diese Verpflichtung zu beschreiben, ist der häufigste Vergleich im akademischen Diskurs der eines Führerscheins. So wie ein Autofahrer wissen muss:
- Wie ein Auto funktioniert (grundlegende Mechanik) – in der KI-Äquivalenz ist dies ein grundlegendes Verständnis von Algorithmen, Inputs und Outputs;
- Er kennt die Schilder und Verkehrsregeln – in AI wiederum die Unterscheidung von Risikostufen, Pflichten und Verboten;
- Es weiß, wie man fährt, d.h. wie man das KI-System entsprechend dem Zweck und der Vorschrift richtig einsetzt.
Ebenso muss der „KI-Benutzer“ in der Lage sein, die Grenzen eines sicheren und rechtmäßigen Systemverhaltens abzuschätzen. Artikel 4 gilt nicht nur für Entwickler, sondern auch für Projektmanager, Tester, Rechtsanwälte, Verkäufer und, ja, auch für Personalabteilungen und andere.
Wie können Sie in Ihrem Unternehmen ein KI-Kenntnisprogramm aufbauen?
- Der erste Schritt besteht darin, die Schlüsselrollen und deren Interaktion mit der KI festzulegen. Nicht jede Rolle braucht einen tiefen technischen Hintergrund. Aber jeder braucht ein Grundgerüst: Was bedeuten die Risikostufen (verboten, hoch, begrenzt, minimal)? Wie sieht ein rechtlich brauchbares KI-System aus? Wann ist eine Dokumentation, Prüfung oder Meldung an eine Aufsichtsbehörde erforderlich?
- Der zweite Schritt besteht darin, den Mindestumfang an Wissen für jede Rolle zu definieren. Wir erwarten von Entwicklern ein Verständnis der Designprinzipien von KI-Systemen, die Fähigkeit, ethische Anforderungen in das Design einzubinden (z.B. gemäß IEEE 7000) und ein Verständnis von Standards wie ISO/IEC 42001 oder NIST AI RMF. Marketing-, Vertriebs- oder Rechtsabteilungen müssen jedoch riskante Anwendungsfälle erkennen, verbotene Praktiken von legalen unterscheiden können und wissen, wann sie das KI/Rechtsteam kontaktieren müssen.
- Der dritte Schritt besteht darin, einen Zyklus von Schulungen und Überprüfungen einzurichten. Halten Sie die Schulungen kurz, prägnant und an eine bestimmte Aufgabe gebunden. Verwenden Sie Microlearning oder Online-Module. Überprüfen Sie die Inhalte einmal im Jahr entsprechend der Entwicklung der Standards und des KI-Marktes.
Das Living Repository ist eine offene Datenbank mit Best Practices, die vom Europäischen Büro für Künstliche Intelligenz gepflegt wird, um die Lehre und den Wissensaustausch im Bereich der KI-Kompetenz zu unterstützen.
Er enthält konkrete Beispiele dafür, wie verschiedene Organisationen in der EU die Anforderungen von Artikel 4 des AI-Gesetzes angehen – d.h. Sensibilisierung, Schulung, interne Richtlinien und Bewertung der Bereitschaft der Mitarbeiter.
Obwohl es sich nicht um eine rechtsverbindliche Auslegung handelt, ist das Repository eine von der EU-Institution anerkannte Referenzquelle und kann als solche eine wichtige Hilfe bei der Verteidigung eines gewählten Compliance-Ansatzes sein. Seine Verwendung wird als Teil eines modernen Ansatzes zur Implementierung von KI-Kenntnissen empfohlen. https://digital-strategy.ec.europa.eu/en/library/living-repository-foster-learning-and-exchange-ai-literacy
Befolgen Sie Standards statt „Stempel“
Es gibt noch keine offizielle Zertifizierung von KI-Kenntnissen gemäß Artikel 4 des KI-Gesetzes. Alles basiert auf dem „Stand der Technik“, der sich am besten durch die Anpassung der Ausbildung an internationale Rahmenwerke darstellen lässt: das ISO/IEC 42001 Managementsystem für KI, ideal für größere Unternehmen. IEEE 7000-2021 – Leitfaden für die Entwicklung von Systemen unter Berücksichtigung ethischer Risiken. NIST AI RMF 1.0 – eine systematische Übersicht über die Risiken und wie man sie abschwächt. Die Anpassung von Inhalten an diese Standards ist nicht nur eine Frage der „Compliance“, sondern auch der Kontrollierbarkeit.
Dies ist jedoch nicht der einzige Weg, um die Anforderungen von Artikel 4 zu erfüllen. In vielen Fällen ist es auch sinnvoll, sektoralen Initiativen zu folgen, die geeignete Bedingungen schaffen und die Weitergabe von Schulungen nicht nur an interne Mitarbeiter, sondern auch an externe Mitarbeiter oder Zulieferer gewährleisten können.
Aber auch hier müssen wir uns vor den so genannten „Stempelmagiern“ in Acht nehmen – jenen, die noch gestern Cybersicherheit mit nicht existierenden Tools „zertifizierten“ oder Ergebnisse versprachen, die unser Rechtssystem nicht einmal anerkennt. Die freiwillige Teilnahme an professionellen Initiativen oder die Einführung von Schulungen durch einen externen Partner ist nur dann sinnvoll, wenn es sich um angesehene Berufsverbände handelt.
Wir empfehlen daher, sich entweder an etablierte Berufsverbände, seriöse Unternehmen oder Anwaltskanzleien zu wenden, die sich auf professioneller Ebene mit der Regulierung von KI und dem verantwortungsvollen Einsatz von Systemen befassen. Die Garantie ist kein Stempel, sondern die Expertise der Anwaltskanzlei oder Kanzleien, die tatsächlich an der Ausarbeitung der Schulungsrahmen beteiligt waren – idealerweise in Übereinstimmung mit dem aktuellen Rechtsstand und internationalen Standards.
Was passiert, wenn Sie es treiben lassen?
Im Falle eines Verstoßes gegen Artikel 4 des AI-Gesetzes drohen Unternehmen Geldbußen von bis zu 7 % ihres gesamten Jahresumsatzes auf globaler Basis – das ist höher als unter der DSGVO. Eine noch schwerwiegendere Folge kann jedoch der Reputationsverlust für das Unternehmen sein. Wer nicht nachweisen kann, dass seine Teams über KI-Kenntnisse verfügen, riskiert, von Ausschreibungen/öffentlichen Aufträgen ausgeschlossen zu werden, das Vertrauen von Partnern zu verlieren und seine Position auf dem Markt zu schwächen.
Gleichzeitig steigt das Risiko interner Fehler – Missbrauch des KI-Systems, Verstoß gegen ein Verbot, diskriminierendes Verhalten oder ein Sicherheitsvorfall -, was zu Vertragsstreitigkeiten, Vertragsstrafen oder dem Verlust von Kunden führen kann. Letztendlich kann das Ignorieren dieser Verpflichtung deutlich teurer sein als die Investition in verantwortungsvolle Schulungen und Dokumentation.
Drei Schritte, die Sie morgen unternehmen können
Beginnen Sie mit einer schnellen internen Lückenanalyse: Stellen Sie fest, welche Teams und Funktionen in Ihrem Unternehmen mit KI-Systemen in Berührung kommen, und bewerten Sie, wie es um deren Bewusstsein und Bereitschaft in Bezug auf Artikel 4 des KI-Gesetzes bestellt ist. Denken Sie daran, dass die Verpflichtung nicht nur für technisches Personal gilt. KI hat jetzt auch Auswirkungen auf die Abteilungen Recht, Personal, Vertrieb, Marketing und Projektmanagement.
In einem zweiten Schritt wählen Sie einen glaubwürdigen Referenzrahmen, der als Grundlage für die Schulung dient – idealerweise einen, der auf international anerkannten Standards basiert. ISO/IEC 42001, NIST AI RMF oder IEEE 7000 sind bewährte Instrumente, die es Ihnen ermöglichen, Schulungen gemäß den Anforderungen des „Stands der Technik“ zu gestalten. So vermeiden Sie falsche Gewissheiten, die auf zweifelhaften „Zertifizierungen“ oder Marketingversprechen beruhen.
Der dritte Schritt ist die Festlegung eines internen Zeitrahmens: Legen Sie fest, bis wann jeder Mitarbeiter in der entsprechenden Rolle die Erstschulung absolviert haben sollte. Wenn Sie erwägen, einen externen Partner zu engagieren, empfehlen wir Ihnen, etablierte Berufsverbände, seriöse Unternehmen oder Anwaltskanzleien zu wählen, die über ein professionelles Niveau an Fachwissen im Bereich der KI-Regulierung und -Governance verfügen. Vermeiden Sie die so genannten „Stempelmagier“ – Unternehmen, die bis vor kurzem Cybersecurity-„Zertifizierungen“ mit nicht existierenden Tools versprachen und jetzt „garantierte KI-Compliance-Crashkurse“ anbieten, die keine rechtliche Grundlage haben. In diesem Bereich gibt es keine schnelle Lösung – nur das Fachwissen und die nachweisliche Erfahrung des betreffenden Partners sind eine Garantie.
Fazit (und offenes Angebot)
Das KI-Gesetz hat uns zwar keine detaillierte, schlüsselfertige Anleitung gegeben, aber es hat uns etwas Wertvolleres gegeben – einen klar definierten Rahmen der Verantwortlichkeit. Abschnitt 4 verlangt keine formale Zertifizierung, aber er erwartet von jeder Organisation, dass sie nachweisen kann, dass sie die von KI ausgehenden Risiken versteht und dass ihre Mitarbeiter wissen, wie man legal, sicher und verantwortungsvoll mit KI-Systemen umgeht.
Wenn Sie diese Verpflichtung ignorieren, setzen Sie Ihr Unternehmen rechtlichen, rufschädigenden und geschäftlichen Risiken aus, die langfristige Folgen haben können. Umgekehrt bauen Unternehmen, die heute in Schulungen investieren – klug, zielgerichtet und mit Schwerpunkt auf den relevanten Rollen – nicht nur Compliance-Kapazitäten auf, sondern auch Wettbewerbsvorteile.
Wenn Sie eine Schulung konzipieren, ein internes System zur Überprüfung von KI-Kenntnissen einrichten oder einfach nur eine zweite Meinung darüber einholen möchten, ob das, was Sie haben, den Erwartungen des Marktes und der Behörden entspricht, nehmen Sie Kontakt mit uns auf. Es gibt eine Lösung – wichtig ist nur, dass Sie nicht zu spät damit anfangen. Denn in der Ära der KI werden nicht nur die Innovativsten überleben, sondern auch die am besten Vorbereiteten.
