KI-Pflichtwissen für alle? Warum sich vom kleinen Notariat bis zur Compliance-Abteilung alle vorbereiten müssen
Die EU-KI-Verordnung (KI-VO) wird in den kommenden Jahren die Art und Weise, wie Unternehmen mit KI umgehen, grundlegend verändern. Dabei betrifft sie längst nicht nur hochentwickelte Machine-Learning-Modelle, sondern auch alltägliche Tools, mit denen Unternehmen heute schon arbeiten – oft unbewusst.
KI im Alltag – und keiner merkt es?
Die KI-VO, in Kraft seit dem 1. August 2024, setzt neue Maßstäbe für den verantwortungsvollen KI-Einsatz in der EU. Während die meisten Regeln erst ab dem 2. August 2026 greifen, gilt die KI-Kompetenz nach Art. 4 KI-VO bereits seit dem 2. Februar 2025 – und betrifft alle KI-Systeme im Anwendungsbereich der Verordnung.
Was auf den ersten Blick nach einer Regelung für Tech-Unternehmen klingt, betrifft in Wirklichkeit jeden, der beruflich einen Laptop nutzt. Denn: KI-gestützte Systeme sind längst in den täglichen Arbeitsprozessen integriert – oft unbemerkt. Wer KI nutzt, muss auch wissen, wie sie funktioniert und welche Risiken sie birgt.
Kritische Aspekte der KI-Nutzung
Die Anforderungen von Art. 4 KI-VO fördern nicht nur den verantwortungsvollen Einsatz von KI, sondern verlangen auch eine kritische Auseinandersetzung mit möglichen Risiken. Einer der größten Risikofaktoren ist der Verlust der Kontrolle des geistigen Eigentums (IP). Wenn Unternehmen KI-Modelle wie ChatGPT ohne spezielle Datenschutz-Einstellungen nutzen, können eingegebene Daten zur Verbesserung des Modells verwendet werden. Das bedeutet, dass vertrauliche Informationen, einschließlich geschützter Geschäftsgeheimnisse unkontrolliert und ohne Quellenangaben verbreitet werden könnten. Unternehmen müssen daher sicherstellen, dass durch den Einsatz von KI keine sensiblen Daten ungewollt preisgegeben werden.
Auch der Datenschutz spielt eine zentrale Rolle. KI-Systeme dürfen nicht mit personenbezogenen Daten gefüttert werden – es sei denn, die Daten sind ausreichend anonymisiert oder der Einsatz erfolgt im Rahmen der DSGVO. Bei Nutzung öffentlich zugänglicher KI ist auf eine sorgfältige Anonymisierung zu achten. Zudem besteht das Risiko von Bias und Diskriminierung, da viele KI-Modelle auf Datensätzen basieren, die nicht immer repräsentativ sind. Viele Dokumentensammlungen stammen aus kleinen homogenen Autorengruppen. Dies kann ungewollt zu Verzerrungen und diskriminierenden Entscheidungen führen. Unternehmen müssen sich dieser Problematik bewusst sein und Maßnahmen ergreifen, um den Einfluss von Bias zu reduzieren.
Konkret bedeutet das: Regelmäßige Schulung der Mitarbeitenden, insbesondere jener, die KI-gestützte Tools nutzen oder mit KI-gestützten Entscheidungen arbeiten. Darüber hinaus sollten Unternehmen interne Richtlinien entwickeln, die genau festlegen, wann und wie KI eingesetzt werden darf. Ergänzend dazu besteht eine Dokumentationspflicht, um Compliance sicherzustellen und Haftungsrisiken zu minimieren. Unternehmen können sich nicht darauf berufen, dass sie „nur“ Anwender sind – sie tragen Verantwortung für den richtigen Umgang mit den Systemen.
Verordnete gesunde Skepsis – Begriffsbestimmungen
Art. 4 KI-VO verlangt den gezielten Aufbau ausreichender KI-Kompetenz für alle KI-Systeme. Hier ergeben sich direkt die ersten Fragen: Was bedeuten KI-Kompetenz und KI-Systeme?
KI-Kompetenz, Art. 3 Nr. 56 KI-VO
„..„KI-Kompetenz“ [meint] die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen unter Berücksichtigung ihrer jeweiligen Rechte und Pflichten im Rahmen dieser Verordnung ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die sie verursachen kann, bewusst zu werden.“
KI-System, Art. 3 Nr. 1 KI-VO
Als KI-System gilt demnach „ein maschinengestütztes System, das für einen in unterschiedlichem Grade autonomen Betrieb ausgelegt ist und das nach seiner Betriebsaufnahme anpassungsfähig sein kann und das aus den erhaltenen Eingaben für explizite oder implizite Ziele ableitet, wie Ausgaben wie etwa Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erstellt werden, die physische oder virtuelle Umgebungen beeinflussen können.“
Damit sind nicht nur große Sprachmodelle wie ChatGPT gemeint. Auch alltägliche Tools wie automatische Spamfilter oder Übersetzungssoftware können unter diesen Begriff fallen – jede Software also, die Entscheidungen trifft oder Entscheidungsprozesse beeinflusst.
Wer muss geschult werden?
Die KI-VO gibt keine explizite Definition darüber, welche Personengruppen geschult werden müssen. In der Praxis sind jedoch alle Mitarbeitenden betroffen, die mit KI-Systemen arbeiten, einschließlich festangestellter Beschäftigter sowie Leiharbeitnehmer, die in die Unternehmensorganisation integriert sind. Ebenso müssen auch externe Dienstleister und Subunternehmer, die im Auftrag, aber nicht direkt unternehmensintern agieren, ausreichende KI-Kompetenz nachweisen.
Großkonzerne vs. Mittelstand – gleiche Pflichten, unterschiedliche Herausforderungen
Die KI-VO gilt für alle Unternehmen – unabhängig von Größe oder Ressourcen. Während Großunternehmen in der Regel über eigene Compliance-Abteilungen und Schulungsprogramme verfügen, die sicherstellen, dass Mitarbeitende entsprechend geschult werden, stehen kleine und mittelständische Unternehmen (KMU) oft vor größeren Herausforderungen. Ihnen fehlen häufig die notwendigen Strukturen und Ressourcen. Doch auch sie müssen Verantwortung übernehmen. Eine Möglichkeit für KMU, die Anforderungen zu erfüllen, ist die Inanspruchnahme externer Beratung oder die Nutzung standardisierter Online-Trainings.
Praxisbeispiel: Ein Notariat nutzt DeepL zur Übersetzung internationaler Verträge. Die KI-VO verlangt, dass Mitarbeitende verstehen, wie die KI funktioniert und wo Risiken liegen – etwa bei ungenauen oder verzerrten Übersetzungen. Die Schulung sollte die Funktionsweise, typische Fehlerquellen und Datenschutzrisiken abdecken.
Fehlende Bußgelder – und warum Unternehmen trotzdem handeln müssen
Anders als viele andere Vorschriften der KI-VO ist Art. 4 nicht mit Bußgeldern oder direkten Sanktionen verbunden. Das bedeutet jedoch nicht, dass Unternehmen die Schulungsanforderung ignorieren können. Ein Verstoß gegen diese Verpflichtung zieht zwar keine unmittelbaren Strafen nach sich, doch es bestehen erhebliche Haftungsrisiken, insbesondere wenn durch fehlerhafte Nutzung eines KI-Systems Schäden entstehen. In solchen Fällen kann dies als Organisationsverschulden gewertet werden. Zudem kann das Vertrauen von Kunden, Geschäftspartnern und Aufsichtsbehörden nachhaltig geschädigt werden. Wer die Schulungspflichten vernachlässigt, riskiert zudem langfristige Compliance-Probleme, da spätere Anpassungen aufwendiger werden, wenn die Regulierung weiter verschärft wird. Unternehmen sollten Art. 4 KI-VO daher nicht als bloße Empfehlung verstehen, sondern als strategische Leitlinie für eine zukunftssichere KI-Nutzung.
Strategische Frage: Wie baue ich für mein Unternehmen KI-Kompetenz auf?
Die Umsetzung der Schulungsanforderung aus Art. 4 KI-VO sollte strukturiert erfolgen. Unternehmen haben dabei folgende Maßnahmen im eigenen Interesse zu ergreifen, um im Haftungsfall lückenlos Nachweis erbringen zu können:
1. Bedarfsermittlung: Welche KI-gestützten Tools werden bereits genutzt? Wer arbeitet mit diesen Systemen und welche spezifischen Kompetenzen sind erforderlich?
2. Schulungskonzept entwickeln: Ein modulares Schulungsprogramm aufbauen, das technische, ethische und rechtliche Aspekte der KI-Nutzung umfasst. Dies kann gestaffelt in verschiedene Kompetenzstufen erfolgen.
3. Praxisnahe Schulungsangebote schaffen: Neben theoretischem Wissen sollten praxisorientierte Formate wie Workshops, Fallstudien und Simulationen genutzt werden.
4. Zertifizierung und Nachweisbarkeit: Schulungen sind zu dokumentieren, um den Kompetenzaufbau nachweisen zu können.
5. Regelmäßige Updates und Weiterbildung: KI-Technologie entwickelt sich rasant weiter. Unternehmen haben daher kontinuierliche Fortbildungen anzubieten.
6. Integration in bestehende Compliance-Strukturen: KI-Kompetenz sollte Teil der unternehmensweiten Compliance- und Schulungsstrategie sein.
7. Expertise einholen: Interne und externe Fachleute einbinden.
Unternehmen sollten dabei auf eine Mischung aus selbstgesteuertem Lernen, interaktiven Formaten und praxisnahen Anwendungen setzen: Workshops (mit Experten), praxisnahe Übungen, Onlinekurse.
Nachhaltige Verankerung von KI-Kompetenz im Unternehmen
Dazu gehört die Entwicklung interner Richtlinien und Standards, die klare Vorgaben für den Umgang mit KI enthalten. Zudem kann die Ernennung eines KI-Beauftragten sinnvoll sein, der als zentrale Ansprechperson für Fragen rund um das Thema KI fungiert und Schulungen organisiert.
Ein einzelnes PDF-Dokument zum Selbststudium oder eine einmalige Schulung reicht nicht aus, um den Anforderungen der KI-VO gerecht zu werden. Vielmehr geht es darum, ein tiefgehendes, praxisnahes Verständnis für den sicheren Einsatz von KI-Systemen zu entwickeln.
Fazit: KI-Kompetenz als strategischer Vorteil
Die KI-VO bietet Unternehmen die Chance, sich frühzeitig auf die neuen Anforderungen einzustellen und KI-Kompetenz gezielt aufzubauen. Wer jetzt handelt, stärkt nicht nur seine Compliance und Risikominimierung, sondern positioniert sich auch als verantwortungsbewusster Marktteilnehmer. Eine fundierte Schulungsstrategie ist daher keine Formalität – sie bildet die Grundlage für den sicheren und nachhaltigen KI-Einsatz im Unternehmen. Die Zukunft gehört denen, die KI nicht nur nutzen, sondern verstehen.
Autorin: Ramiza Schöne ist Notar- und Managementberaterin und Inhaberin von Notartec. Als 1. Vorsitzende des Verbandes „Digitale Epoche in Recht und Wirtschaft e.V. (i.Gr.)“ setzt sie sich für digitale Kompetenz im Rechtsbereich ein. Sie teilt ihr Wissen regelmäßig über LinkedIn und ihren Podcast Digital im Notariat.
Autorin: Katharina Bultmann ist GF der KB Büroservice UG haftb., Dozentin der Rechtswissenschaften an der FH Macromedia und 2. Vorsitzende der „Digitalen Epoche“.
