AI Literacy: Welche KI-Kompetenz Unternehmen nachweisen sollten
AI Literacy ist die Fähigkeit von Mitarbeitenden, KI-Systeme informiert einzusetzen und ihre Chancen sowie Risiken realistisch einzuschätzen. Nach Art. 4 der EU-KI-Verordnung müssen Unternehmen, die KI-Systeme betreiben, seit dem 2. Februar 2025 für ein angemessenes Kompetenzniveau bei allen Personen sorgen, die mit diesen Systemen arbeiten. Angemessen heißt: passend zu Rolle, Vorwissen und Risiko der jeweiligen Nutzung – kein Zertifikatszwang, aber auch keine bloße Absichtserklärung ohne Umsetzung.
Stand: Juli 2026. Dieser Artikel ist keine Rechtsberatung – bei konkreten AI-Act- oder Datenschutzfragen gehören Fachanwält:innen oder Datenschutzbeauftragte an den Tisch. Er ist Teil unseres Clusters KI-Governance, Datenschutz und Sicherheit.
Problem und Zielgruppe: Kompetenz ist keine Kür mehr
Die meisten Unternehmen haben KI-Nutzung im Haus, bevor sie eine KI-Strategie haben. Mitarbeitende probieren Tools aus, Fachbereiche integrieren KI-Funktionen in bestehende Software, und irgendwann stellt sich die Frage: Wissen die Leute eigentlich, was sie da tun? Genau diese Frage hat die EU mit Art. 4 der KI-Verordnung zu einer Pflicht gemacht – nicht zu einer freiwilligen Zusatzleistung.
Das betrifft nicht nur Konzerne mit eigener KI-Abteilung. Jedes Unternehmen, das KI-Systeme betreibt oder einsetzt, muss dafür sorgen, dass die Menschen, die damit arbeiten, ein angemessenes Kompetenzniveau haben. Für KMU heißt das konkret: Geschäftsführung, Operations, IT und Fachbereich müssen gemeinsam klären, wer welche KI wofür nutzt – und ob das Wissen dazu vorhanden ist.
Dieser Artikel richtet sich an genau diese Zielgruppe. Er beantwortet, was AI Literacy bedeutet, seit wann die Pflicht gilt, wer betroffen ist, wie sich Inhalte nach Rolle unterscheiden und wie du Maßnahmen so dokumentierst, dass sie im Zweifel auch Bestand haben. Er ersetzt keine Rechtsberatung, gibt dir aber die Grundlage, um mit deinem Team oder deiner Rechtsberatung zielgerichtet weiterzuarbeiten. Wichtig vorab: Auch wenn dieser Artikel eng mit den Themen EU AI Act und Shadow AI zusammenhängt, behandelt er speziell die Kompetenzpflicht – nicht die vollständige AI-Act-Compliance.
Begriffe und Abgrenzung
- AI Literacy ist laut EU-Definition (Art. 3 Nr. 56 KI-Verordnung) die Gesamtheit von Fähigkeiten, Wissen und Verständnis, die Anbieter, Betreiber und betroffene Personen befähigt, KI-Systeme informiert einzusetzen und sich der Chancen, Risiken und möglichen Schäden bewusst zu werden.
- Art. 4 KI-Verordnung ist die konkrete Rechtsnorm, aus der die Pflicht folgt. Sie verlangt von Anbietern und Betreibern, ein angemessenes Maß an KI-Kompetenz bei Personal und sonstigen Personen sicherzustellen, die mit dem Betrieb und der Nutzung von KI-Systemen in ihrem Auftrag befasst sind.
- Betreiber (Deployer) ist in der Praxis der relevante Begriff für die meisten KMU: Wer ein KI-System im eigenen Unternehmen einsetzt – egal ob selbst entwickelt oder von einem Anbieter bezogen –, ist Betreiber und damit an Art. 4 gebunden.
- Abgrenzung zu Schulung im Allgemeinen: AI Literacy ist keine allgemeine Digitalkompetenz und kein IT-Sicherheitstraining, auch wenn es Überschneidungen gibt. Der Fokus liegt auf dem Verständnis der konkret genutzten KI-Systeme, ihrer Funktionsweise, Grenzen und Risiken im jeweiligen Einsatzkontext – nicht auf technischem Detailwissen über Modellarchitekturen.
- Abgrenzung zu Zertifizierung: Die EU-Kommission verlangt ausdrücklich keine Zertifikate oder eine vorgeschriebene Trainingsform. Angemessenheit ist das Kriterium, nicht Formalität.
- Anbieter (Provider): Wer ein KI-System entwickelt oder unter eigenem Namen in Verkehr bringt, gilt als Anbieter. Für Anbieter gelten zusätzlich zur AI-Literacy-Pflicht weitergehende Anforderungen, etwa zur technischen Dokumentation – relevant vor allem für Unternehmen, die eigene KI-Produkte entwickeln, weniger für den typischen KMU-Fall der reinen Tool-Nutzung.
Was bedeutet AI Literacy?
AI Literacy bezeichnet die Fähigkeit, KI-Systeme informiert zu nutzen: zu wissen, was ein System grundsätzlich leisten kann, wo typische Fehlerquellen liegen – etwa Halluzinationen oder verzerrte Ergebnisse – und wie sich diese Risiken auf die eigene Aufgabe auswirken. Die EU-Kommission benennt in ihren FAQ zur AI Literacy fünf Bausteine, die eine Organisation bei der Umsetzung berücksichtigen sollte: ein allgemeines Verständnis von KI (was sie ist, wie sie funktioniert, wofür sie im Unternehmen eingesetzt wird), die eigene Rolle als Anbieter oder Betreiber, eine Einschätzung der Risiken der konkret genutzten Systeme, darauf zugeschnittene Kompetenzmaßnahmen, die Wissenslücken, Branchenkontext und Systemzweck adressieren, sowie rechtliche und ethische Aspekte.
Wichtig ist die Unterscheidung zu einem verbreiteten Missverständnis: AI Literacy heißt nicht, dass jede Person im Unternehmen KI-Expertin oder -Experte werden muss. Die Kommission stellt klar, dass das geforderte Kompetenzniveau vom technischen Wissen, der Erfahrung, der Ausbildung und dem Einsatzkontext der jeweiligen Person abhängt – eine Person, die gelegentlich einen freigegebenen Chatbot für Textentwürfe nutzt, braucht ein anderes Kompetenzniveau als jemand, der KI-gestützte Entscheidungen im Kundengeschäft trifft.
Seit wann gilt die Pflicht?
Die KI-Verordnung (Verordnung (EU) 2024/1689) wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und trat am 1. August 2024 in Kraft. Die Anwendung erfolgt gestaffelt nach Themenbereichen. Für AI Literacy ist ein Datum entscheidend: Art. 4 gilt seit dem 2. Februar 2025 – zusammen mit den Verboten für KI-Praktiken mit unannehmbarem Risiko. Die Pflicht besteht damit bereits seit über einem Jahr, unabhängig davon, ob sie im Unternehmen schon umgesetzt wurde.
Ein zweites Datum ist für die Praxis relevant: Die EU-Kommission gibt in ihren FAQ an, dass die Aufsicht und Durchsetzung durch die nationalen Marktüberwachungsbehörden ab dem 2. August 2026 beginnt. Das bedeutet nicht, dass die Pflicht bis dahin folgenlos ist – es bedeutet, dass ab diesem Zeitpunkt mit aktiver behördlicher Kontrolle zu rechnen ist. Wer jetzt beginnt, hat bis dahin Zeit, ein belastbares Vorgehen aufzubauen, statt es unter Zeitdruck nachzuholen.
Zur Einordnung im Gesamtzeitplan der KI-Verordnung: Am 2. August 2025 folgten die Governance-Regeln und Pflichten für KI-Modelle mit allgemeinem Verwendungszweck, am 2. Dezember 2027 folgen die Regeln für Hochrisiko-Bereiche wie Biometrie, kritische Infrastruktur, Bildung, Beschäftigung sowie Migration und Grenzkontrolle. AI Literacy ist damit eine der am frühesten wirksamen Pflichten der gesamten Verordnung – nicht, weil sie technisch am dringendsten wäre, sondern weil der Gesetzgeber Kompetenzaufbau als Voraussetzung für alles Weitere sieht.
Wer muss geschult werden?
Art. 4 richtet sich an Anbieter und Betreiber von KI-Systemen. Für die allermeisten KMU ist die Betreiber-Rolle relevant: Wer ein KI-System im eigenen Betrieb einsetzt – ob selbst entwickelt, eingekauft oder als eingebettete Funktion in bestehender Software genutzt –, ist Betreiber. Die Pflicht erstreckt sich laut EU-Kommission auf das eigene Personal sowie auf sonstige Personen, die mit dem Betrieb und der Nutzung der KI-Systeme im Auftrag des Unternehmens befasst sind – also auch auf Dienstleister, Auftragnehmer und in bestimmten Konstellationen auf Kund:innen, die im Auftrag des Betreibers handeln.
Praktisch heißt das für die Zielgruppenbestimmung: Nicht nur die IT-Abteilung oder eine benannte KI-Verantwortliche zählt. Jede Person, die ein KI-System für berufliche Aufgaben nutzt – vom öffentlichen Chatbot für Textentwürfe bis zur Fachanwendung mit KI-Funktion –, fällt unter die Kompetenzpflicht. Das schließt nach unserer Einschätzung ausdrücklich Shadow-AI-Nutzung ein: Wenn Mitarbeitende KI-Tools ohne Freigabe des Unternehmens einsetzen, entbindet das das Unternehmen nicht von der Pflicht, für ein angemessenes Kompetenzniveau zu sorgen – im Gegenteil, es zeigt, wie eng die Bestandsaufnahme informeller KI-Nutzung und die Kompetenzpflicht zusammenhängen.
Ein Punkt wird in der Praxis oft übersehen: Auch externe Dienstleister und Auftragnehmer können in den Anwendungsbereich fallen, wenn sie im Auftrag des Unternehmens mit dessen KI-Systemen arbeiten – etwa eine externe Marketingagentur, die Zugriff auf ein firmeneigenes KI-Tool erhält. Für solche Konstellationen lohnt sich eine kurze vertragliche Klärung, wer für die Kompetenzvermittlung zuständig ist, statt die Frage offenzulassen, bis sie im Streitfall relevant wird.
Welche Inhalte sind rollenabhängig?
Hier liegt der praktische Kern der Pflicht, und hier lohnt sich eine eigene Struktur, weil die EU-Kommission bewusst kein Format vorgibt. Aus meiner Beratungspraxis hat sich eine einfache Drei-Stufen-Logik bewährt, die sich am Risiko der jeweiligen Nutzung orientiert – nicht an Hierarchie oder Abteilung. Das ist mein eigenes Einordnungsmodell, keine amtliche Klassifikation, aber es lässt sich direkt als Ausgangspunkt für einen Schulungsplan nutzen.
Rollenbasierte AI-Literacy-Matrix
| Nutzungsstufe | Typisches Beispiel | Kompetenzfokus | Empfohlener Umfang |
|---|---|---|---|
| Stufe 1 – Gelegentliche Nutzung | Chatbot für Textentwürfe, Übersetzung, Recherche-Unterstützung | Grundverständnis: Was ist KI, was leistet sie nicht, warum Ausgaben immer prüfen (Halluzinationsrisiko) | Kurzformat, 1–2 Stunden, Auffrischung jährlich |
| Stufe 2 – Regelmäßige Fachnutzung | KI-Funktionen in CRM, Auswertungstools, Kundenkommunikation mit KI-Unterstützung | Zusätzlich: Datenklassen und was in welches Tool darf, Umgang mit personenbezogenen Daten, Vier-Augen-Prinzip bei externer Kommunikation | Vertiefendes Format, 3–4 Stunden, Auffrischung halbjährlich |
| Stufe 3 – Konfiguration und Entscheidung | Auswahl und Freigabe von KI-Tools, Aufsetzen von KI-gestützten Prozessen, Risikobewertung | Zusätzlich: rechtliche Grundlagen (AI Act, DSGVO-Bezug), Anbieterprüfung, Dokumentationspflichten, Grenzfälle erkennen | Vertiefte Schulung plus laufende Information, quartalsweise Review |
Die Matrix ist bewusst schlank gehalten, weil komplexe Rollenmodelle in der Praxis selten gepflegt werden. Entscheidend ist, dass die Zuordnung nachvollziehbar begründet ist: Eine Person landet auf Stufe 2 oder 3, weil sie tatsächlich in dieser Tiefe mit KI arbeitet – nicht wegen ihrer Position im Organigramm. Das deckt sich mit der Vorgabe der Kommission, Maßnahmen am technischen Vorwissen, an der Erfahrung und am Einsatzkontext auszurichten, nicht an formalen Kriterien.
Umsetzung: ein realistischer Fahrplan
Als Orientierung für ein KMU mit 20 bis 200 Beschäftigten, unter der Annahme, dass eine Person das Thema verantwortlich vorantreibt:
- Woche 1–2: KI-Inventar und Rollenzuordnung. Erfasse, welche KI-Systeme im Unternehmen genutzt werden – das BSI nennt das in seinem Management Blitzlicht zu generativer KI ausdrücklich als ersten Schritt: Ist-Stand erfassen, Übersicht der aktuell verwendeten KI-Systeme erstellen. Ordne anschließend Personen den drei Nutzungsstufen der Matrix zu.
- Woche 2–4: Rechtliche Bedingungen klären. Das BSI empfiehlt, die für das Unternehmen geltenden rechtlichen Bedingungen zu ermitteln. Für AI Literacy heißt das konkret: Rolle als Betreiber bestätigen, betroffene Systeme und Personenkreise abgrenzen, bei Unsicherheit Rechtsberatung einbeziehen.
- Woche 4–8: Inhalte und Format festlegen. Für jede Stufe Inhalte definieren (siehe Matrix), Format wählen – Kurzpräsenz, E-Learning oder moderierter Workshop –, Termine planen. Stakeholder frühzeitig einbinden, wie es auch das BSI für die Akzeptanz von KI-Maßnahmen empfiehlt.
- Ab Woche 8: Durchführung und Dokumentation. Erste Schulungsrunde durchführen, Teilnahme dokumentieren, KI-Inventar und Rollenzuordnung als lebende Dokumente pflegen. Review-Rhythmus festlegen – halbjährlich ist für die meisten KMU praktikabel.
Diese Zeiten sind Erfahrungswerte, keine Garantie. Sie verlängern sich, wenn Mitbestimmungsverfahren nötig sind, die Tool-Landschaft unübersichtlich ist oder externe Rechtsprüfung eingeplant wird. Wenn du Unterstützung bei Bestandsaufnahme und Schulungsplanung suchst, ist das Teil unserer KI-Beratung; für die konkrete Durchführung rollenbezogener Schulungen bieten wir praxisorientierte KI-Schulungen an. Ein unverbindliches Erstgespräch reicht, um den Umfang für dein Unternehmen einzuschätzen.
Zum Aufwand, damit du grob planen kannst: Für ein KMU mit 20 bis 50 Beschäftigten liegt der interne Zeitaufwand für Bestandsaufnahme, Rollenzuordnung und Erstellung eines schlanken Schulungsplans erfahrungsgemäß bei zwei bis vier Personentagen, verteilt auf die verantwortliche Person und kurze Abstimmungen mit Fachbereichen. Die eigentliche Durchführung der Schulungen kommt hinzu und hängt stark davon ab, ob du sie intern moderierst oder extern einkaufst. Das ist eine Bandbreite aus Beratungserfahrung, keine feste Kalkulation – dein tatsächlicher Aufwand hängt von der Zahl der Systeme, der Rollenstreuung und dem Vorwissen im Team ab.
Wie dokumentiert man Maßnahmen?
Eine Kompetenzpflicht ohne Nachweis ist im Streitfall wertlos. Aus der Kombination von EU-Vorgaben und BSI-Empfehlungen lassen sich drei Dokumentationsbestandteile ableiten, die für die meisten KMU ausreichen:
- KI-Inventar: Welche Systeme werden von wem, wofür und mit welchen Daten genutzt. Grundlage ist das Demand Management, das das BSI empfiehlt – ohne aktuelle Übersicht lässt sich weder die Rollenzuordnung noch die Angemessenheit der Maßnahmen begründen.
- Schulungsplan mit Rollenbezug: Wer wurde wann zu welchen Inhalten geschult, auf welcher Stufe der Matrix, mit welchem Format. Das macht sichtbar, dass die Kompetenzmaßnahmen – wie von der Kommission verlangt – auf den jeweiligen Einsatzkontext zugeschnitten sind, statt ein einheitliches Pflichtprogramm für alle zu sein.
- Teilnahmenachweise und Review-Datum: Einfache Nachweise (Teilnahmeliste, Datum, Inhalt) plus ein festes Datum für die nächste Aktualisierung. Das BSI betont in seinem Leitfaden, KI-Leitlinien und Maßnahmen mit Stakeholdern gemeinsam zu erarbeiten und deren Akzeptanz sicherzustellen – das gilt auch für die Dokumentation: Sie sollte nicht nur für eine Prüfung entstehen, sondern intern nachvollziehbar und nutzbar sein.
Kein Formatzwang bedeutet nicht kein Nachweis. Die Kommission verlangt zwar keine Zertifikate, aber angemessene Maßnahmen müssen im Zweifel belegbar sein – und ohne Dokumentation gibt es keinen Beleg, egal wie gut die Schulung inhaltlich war.
Risiken und Grenzen
- Rechtsunsicherheit bleibt. Was „angemessen” im Einzelfall genau bedeutet, ist nicht abschließend definiert und wird sich erst mit Aufsichtspraxis und möglicherweise Gerichtsentscheidungen konkretisieren. Die Aufsicht startet laut EU-Kommission zum 2. August 2026 – bis dahin fehlt Präzedenzfällen die Grundlage.
- Eine einmalige Schulung reicht nicht. KI-Tools und ihre Risiken verändern sich schneller als klassische Compliance-Themen. Ohne Review-Rhythmus veraltet ein Schulungsplan innerhalb weniger Monate, besonders wenn neue KI-Funktionen per Update in bestehende Software gelangen.
- AI Literacy ersetzt keine weiteren AI-Act-Pflichten. Die Kompetenzpflicht ist eine von mehreren Anforderungen der Verordnung, insbesondere für höherer Risikoklassen. Wer nur Art. 4 umsetzt, ist nicht automatisch AI-Act-konform – ein vollständiger Überblick über die weiteren Pflichten der Verordnung gehört in eine eigene, umfassendere Betrachtung des EU AI Act.
- Dokumentation ist kein Selbstzweck, aber auch kein Freibrief. Ein sauber geführtes Inventar und ein Schulungsplan senken das Risiko erheblich, garantieren aber nicht automatisch rechtliche Konformität im Einzelfall. Bei sensiblen Anwendungsfällen bleibt eine eigene rechtliche Bewertung notwendig.
- Schulung ersetzt keine technischen und organisatorischen Maßnahmen. Auch mit gut geschulten Mitarbeitenden bleiben Fragen wie Zugriffsrechte, Vertragsgestaltung mit KI-Anbietern oder Löschfristen offen. AI Literacy ist eine notwendige, aber keine hinreichende Bedingung für einen sicheren KI-Einsatz – sie gehört zu einem größeren Bündel an Maßnahmen, wie es auch das BSI in seinem Management Blitzlicht als Gesamtpaket beschreibt: Anbieterauswahl, Firmenaccounts, Leitlinien und Stakeholder-Einbindung gemeinsam.
Checkliste: AI Literacy nachweisbar umsetzen
- KI-Inventar erstellt: welche Systeme, welche Nutzer:innen, welche Daten
- Betreiber- oder Anbieterrolle für das Unternehmen geklärt
- Personen den drei Nutzungsstufen der Matrix zugeordnet (gelegentlich / regelmäßig fachlich / konfigurierend-entscheidend)
- Rechtliche Rahmenbedingungen mit Rechtsberatung oder Datenschutzbeauftragten abgestimmt
- Inhalte und Format je Stufe festgelegt und Termine geplant
- Erste Schulungsrunde durchgeführt und Teilnahme dokumentiert
- Schulungsplan mit Rollenbezug schriftlich hinterlegt
- Review-Rhythmus festgelegt (mindestens halbjährlich)
- Neue KI-Tools und Funktionen laufend ins Inventar und die Rollenzuordnung aufgenommen
- Bezug zu Shadow-AI-Nutzung geprüft: informelle KI-Nutzung erfasst und in die Kompetenzmaßnahmen einbezogen
AI Literacy ist kein einmaliges Projekt, sondern ein laufender Prozess – genauso wie die KI-Nutzung selbst sich laufend verändert. Wer jetzt mit einem schlanken, rollenbasierten Ansatz beginnt, ist nicht nur näher an der Rechtspflicht, sondern hat auch eine bessere Grundlage für jede weitere KI-Entscheidung im Unternehmen.
Häufige Fragen
Was bedeutet AI Literacy?
AI Literacy ist die Fähigkeit von Mitarbeitenden, KI-Systeme informiert einzusetzen – also zu verstehen, was ein System kann, wo seine Grenzen liegen und welche Risiken es für die eigene Aufgabe bedeutet. Nach EU-Definition zählen dazu Fähigkeiten, Wissen und Verständnis, die eine sachgerechte Nutzung und die Einschätzung von Chancen und Schäden ermöglichen. Es geht nicht um technisches Expertenwissen, sondern um kontextangemessene Urteilsfähigkeit.
Seit wann gilt die Pflicht?
Art. 4 der EU-KI-Verordnung gilt seit dem 2. Februar 2025 unmittelbar in allen Mitgliedstaaten. Die Aufsicht durch nationale Marktüberwachungsbehörden beginnt laut EU-Kommission ab dem 2. August 2026 – die Pflicht selbst besteht aber bereits jetzt, unabhängig vom Start der Kontrollen.
Wer muss geschult werden?
Betroffen sind Anbieter und Betreiber von KI-Systemen sowie alle Personen, die in ihrem Auftrag mit diesen Systemen arbeiten – Beschäftigte ebenso wie Dienstleister und Auftragnehmer mit KI-Berührung. Praktisch heißt das: jede Person im Unternehmen, die KI-Tools für berufliche Aufgaben einsetzt, unabhängig davon, ob es sich um eine Fachanwendung oder einen öffentlichen Chatbot handelt.
Welche Inhalte sind rollenabhängig?
Die EU-Kommission verlangt ausdrücklich kein einheitliches Trainingsformat, sondern Maßnahmen, die zu technischem Vorwissen, Erfahrung, Ausbildung und Einsatzkontext der jeweiligen Personen passen. Wer nur gelegentlich einen Chatbot für Textentwürfe nutzt, braucht andere Inhalte als jemand, der KI-Ausgaben in Kundenentscheidungen einbindet oder KI-Systeme selbst konfiguriert.
Wie dokumentiert man Maßnahmen?
Ein Nachweis besteht aus mindestens drei Teilen: einem KI-Inventar (welche Systeme werden von wem genutzt), einem Schulungsplan mit Rollen, Inhalten und Terminen sowie Teilnahmenachweisen. Ein fester Review-Rhythmus, etwa halbjährlich, hält die Dokumentation aktuell, wenn neue Tools oder Rollen hinzukommen.
Quellen
- Europäische Kommission (2025): AI literacy – Questions & Answers — Definition, Art. 4 AI Act, Adressatenkreis, empfohlene Maßnahmen, Aufsichtsbeginn 2. August 2026
- Europäische Kommission (2025): Regulatory framework for AI — Zeitplan der AI-Act-Phasen, Risikoklassen, Inkrafttreten 1. August 2024
- BSI (2024): Management Blitzlicht #4 „Sichere generative KI in Organisationen und Unternehmen“ — Demand Management, KI-Leitlinien, Stakeholder-Einbindung, Dokumentation