77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung77 Beauftragten-Rollen, alle abgedecktArt. 33 DSGVO, 72 Stunden zur Meldung einer Datenpanne93 Controls nach ISO/IEC 27001:2022905 einsatzbereite Audit-Vorlagen im Workspace§ 130 OWiG, Aufsichtspflicht der GeschäftsleitungBestellurkunde, unterschrieben, abgelegt, belegbarEin Workspace für Aufgaben, Schulungen, Audits, DokumentationDIN 14095 Feuerwehrpläne, standardisiertEU AI Act, weltweit erste horizontale KI-Verordnung
KI-Schulung rollenbasiert erstellen: AI-Act, DSGVO und Nachweispflicht
Plattform & Strategie

KI-Schulung rollenbasiert erstellen: AI-Act, DSGVO und Nachweispflicht

13. Juli 202613 Min. LesezeitVon Dr. Henrik Bauer
CIVAC

Seit 2. Februar 2025 verlangt Art. 4 AI Act ausreichende KI-Kompetenz von Betreibern und Anbietern. Wer Schulungen nicht rollenbasiert, nicht dokumentiert und nicht DSGVO-konform aufbaut, riskiert Bußgelder und Aufsichtsanordnungen. Dieser Leitfaden zeigt den Aufbau.

Seit dem 2. Februar 2025 verpflichtet Art. 4 der Verordnung (EU) 2024/1689 (AI Act) Anbieter und Betreiber von KI-Systemen zur Sicherstellung eines ausreichenden Maßes an KI-Kompetenz bei ihrem Personal und sonstigen Personen, die in ihrem Auftrag KI-Systeme bedienen oder nutzen. Diese Pflicht trifft jedes Unternehmen, das ChatGPT, Microsoft Copilot, Google Gemini, Claude oder spezialisierte KI-Software einsetzt, unabhängig von Branche und Größe. Bußgelder reichen nach Art. 99 AI Act bis 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Dieser Leitfaden zeigt, wie eine rollenbasierte KI-Schulung nach AI Act und DSGVO konkret aufgebaut wird: Welche Rollen welche Inhalte brauchen, wie Nachweise prüffähig dokumentiert werden, welche Verzahnung mit Art. 30 DSGVO und Art. 32 DSGVO erforderlich ist und wie Bestellurkunde, Berichtslinie und Audit-Vorlagen das Ganze auditfest machen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Der Beitrag adressiert Verantwortliche aus IT, Datenschutz, Compliance und Personal, die einen prüffähigen Schulungspfad in vier bis sechs Wochen aufsetzen wollen, ohne in jedem Schritt das Rad neu zu erfinden. Der praktische Aufbau folgt der CIVAC-Methodik mit Workspace, 490 Audit-Vorlagen und definierter Berichtslinie an die Geschäftsführung.

Auf einen Blick

  • Art. 4 AI Act verlangt seit 2. Februar 2025 dokumentierte KI-Kompetenz bei allen Personen, die KI-Systeme im Auftrag des Unternehmens nutzen.
  • Eine rollenbasierte KI-Schulung trennt Anbieter, Betreiber, Anwender und Datenschutz-Beauftragte mit unterschiedlichen Pflichtinhalten und Tiefen.
  • Nachweisführung über Teilnehmerliste, Schulungsfolien-Version, Test und Bestellurkunde der KI-Verantwortlichen ist im Audit unverzichtbar.

Rechtsrahmen: Art. 4 AI Act und Schnittstelle zur DSGVO

Art. 4 AI Act verpflichtet Anbieter und Betreiber von KI-Systemen, Maßnahmen zu ergreifen, um ein ausreichendes Maß an KI-Kompetenz ihres Personals und sonstiger in ihrem Auftrag mit KI-Systemen befasster Personen sicherzustellen, wobei deren technische Kenntnisse, Erfahrung, Ausbildung und Schulung sowie der Anwendungskontext und die Betroffenen zu berücksichtigen sind. Diese Vorschrift gilt seit dem 2. Februar 2025 unmittelbar. Anders als Art. 39 DSGVO benennt der AI Act keine konkrete Rolle wie den DSB, sondern fordert eine organisationsweite Kompetenzbasis. Die Verzahnung zur DSGVO ergibt sich über Art. 32 DSGVO (technische und organisatorische Maßnahmen) und Art. 35 DSGVO (Datenschutz-Folgenabschätzung bei voraussichtlich hohem Risiko).

Konkret bedeutet das: Wer eine GenAI-Anwendung mit personenbezogenen Daten trainiert oder befüllt, löst zwei Pflichtpfade aus. Erstens die KI-Kompetenz nach Art. 4 AI Act, zweitens die datenschutzrechtliche Risikobewertung samt Schulung nach Art. 39 DSGVO. Die EU-Kommission hat in den Leitlinien vom 5. Mai 2025 klargestellt, dass beide Pflichten kumulativ wirken. Wer einen externen Datenschutzbeauftragten bestellt hat, koppelt die KI-Schulung sinnvoll an die jährliche DSGVO-Schulung, ergänzt sie aber um eigenständige rollenbasierte Module. Ohne diese Doppelverankerung entsteht eine prüffähige Lücke, die Aufsichtsbehörden seit Anfang 2026 explizit adressieren. Der EU AI Act überlagert die DSGVO nicht, er ergänzt sie um eine eigene Kompetenz- und Dokumentationspflicht entlang des KI-Lebenszyklus. Wer beide Regime in einer einheitlichen Schulungsarchitektur abbildet, vermeidet Doppelarbeit und schafft den durchgängigen Nachweispfad, den Aufsichtsbehörden zunehmend einfordern. Frist läuft ab Kenntnis. Die Schulungspflicht ist organisatorisch und nicht delegierbar, auch wenn die operative Durchführung durch externe Anbieter erfolgt.

Rollen definieren: Anbieter, Betreiber, Anwender, Beauftragte

Eine rollenbasierte KI-Schulung beginnt mit der sauberen Rollendefinition nach AI Act und Organisation. Art. 3 AI Act unterscheidet zwischen Anbieter (provider) und Betreiber (deployer) sowie weiteren Akteuren entlang der Lieferkette. Unternehmen, die GenAI-Tools nur einsetzen, sind in der Regel Betreiber. Wer eigene Modelle entwickelt oder substanziell anpasst, wird zum Anbieter. Innerhalb des Unternehmens kommen vier Schulungsgruppen hinzu: erstens Endanwender (z. B. Vertrieb, Marketing, Service), zweitens KI-Power-User (z. B. Datenanalyse, IT-Architektur), drittens KI-Verantwortliche oder KI-Beauftragte (Steuerung, Risikobewertung), viertens Geschäftsführung und Aufsichtsfunktionen wie DSB, ISB und Compliance.

Jede Gruppe braucht eigene Schulungsinhalte, eigene Schulungstiefen und eigene Prüffragen. Ein Endanwender muss verstehen, welche Daten in welches Tool dürfen, welche Hallucination-Risiken bestehen und wann eine menschliche Letztkontrolle nach Art. 14 AI Act zwingend ist. Ein KI-Verantwortlicher muss Risikoklassen nach Art. 6, 7 und Anhang III AI Act beurteilen, Datenschutz-Folgenabschätzungen koordinieren und Pflichten an die Aufsicht melden können. CIVAC liefert für jede Rolle eine dedizierte Vorlage im Workspace, sodass die Schulung in vier Wochen statt vier Monaten aufgebaut ist. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Die Plattform verwaltet Teilnehmerlisten, Versionsstände der Schulungsfolien und automatische Erinnerungen für Folgeschulungen. Hinzu kommt eine Rollenmatrix, die Personalstamm, Funktion, Schulungstiefe und Wiedervorlagedatum verbindet und damit den Aufsichtsnachweis auf Knopfdruck erzeugt. Die Trennung von Anbieter- und Betreiber-Rolle ist im Audit prüfungsrelevant, weil die Pflichtenkataloge stark divergieren und Falschzuordnungen zu Bußgeldern führen können. Wer eigene Modelle baut oder substanziell anpasst, fällt automatisch in die Anbieterrolle mit zusätzlicher Konformitätsbewertungspflicht nach Art. 43 AI Act.

Risikoklassen verstehen: vom verbotenen System bis zum GPAI

Der AI Act stuft KI-Systeme in vier Risikoklassen ein: verbotene Praktiken (Art. 5), Hochrisiko-Systeme (Art. 6 und Anhang III), Systeme mit Transparenzpflichten (Art. 50) und Systeme mit minimalem Risiko. Eine fünfte Kategorie umfasst Modelle mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) nach Art. 51 und 52, mit eigenständigen Pflichten für Anbieter ab Schwellwerten von 10^25 FLOPs. Wer im Unternehmen eine KI-Schulung aufsetzt, muss diese Klassifikation operationalisieren. Mitarbeitende müssen erkennen können, dass beispielsweise ein KI-System zur Mitarbeiterauswahl im Recruiting nach Anhang III Nr. 4 als Hochrisiko-System einzustufen ist und damit zusätzliche Pflichten zur Konformitätsbewertung, Logging-Pflichten nach Art. 12 und Folgenabschätzung nach Art. 27 auslöst.

Die Schulung muss diese Logik nicht juristisch perfekt vermitteln, aber operationalisierbar machen: Welches Tool darf wofür eingesetzt werden, welche Eingaben sind tabu, wer trifft welche Entscheidung, wo wird sie dokumentiert. Eine pragmatische Schulung arbeitet mit konkreten Beispielen aus dem Unternehmensalltag, einer Klassifikationsmatrix und einer eindeutigen Eskalationsregel an den Compliance-Beauftragten oder die KI-Verantwortliche. CIVAC liefert die Klassifikationsmatrix als Audit-Vorlage, vorausgefüllt für 22 typische Anwendungsfälle aus Vertrieb, HR, IT, Marketing und Service. Damit reduziert sich der unternehmensspezifische Anpassungsaufwand auf etwa zwei Werktage statt der üblichen drei bis vier Wochen Eigenrecherche. Wer im Schulungskonzept die Klassifikationslogik mit konkreten Tool-Beispielen verbindet, erzielt eine deutlich höhere Behaltensquote in der Lernzielkontrolle. Audit-fest, dokumentiert, § 6-fest. Ergänzend hilft eine kurze Negativliste mit Tools und Use-Cases, die im Unternehmen ausdrücklich verboten sind, um Schulungsinhalt mit operativem Verbot zu verbinden. Diese Negativliste ist im Workspace versioniert hinterlegt und wird bei jeder neuen Tool-Freigabe automatisch geprüft.

Schulungsinhalte je Rolle: was wirklich vermittelt werden muss

Endanwender brauchen drei Kernthemen. Erstens: Datenschutz beim Prompten. Niemals personenbezogene Daten von Patienten, Kunden, Bewerbern oder Mitarbeitenden in nicht freigegebene Tools eingeben, da diese Daten meist außerhalb des EU-Datenraums verarbeitet werden und Art. 44 DSGVO ausgelöst wird. Zweitens: Halluzinationen erkennen. KI-Systeme generieren plausible, aber falsche Aussagen, weshalb jede sicherheits- oder rechtsrelevante Aussage gegen eine verlässliche Quelle geprüft werden muss. Drittens: Transparenzpflichten nach Art. 50 AI Act, insbesondere wenn Kunden mit Chatbots oder KI-generierten Inhalten konfrontiert werden.

KI-Power-User benötigen darüber hinaus Wissen zu Trainingsdaten-Hygiene, Bias-Risiken, Logging-Anforderungen, Datenschutz-Folgenabschätzung und Sicherheitsmaßnahmen nach Art. 15 AI Act. KI-Verantwortliche müssen zusätzlich die Pflichten als Betreiber nach Art. 26 AI Act kennen: menschliche Aufsicht, Datenqualität, Logging, Konformitätsprüfung und Meldepflichten bei schwerwiegenden Vorfällen nach Art. 73 AI Act binnen 15 Tagen. Geschäftsführung und Aufsichtsorgane brauchen weniger Detail, aber Klarheit über Haftung, Bußgeldrisiken und Entscheidungsbefugnis. Eine Compliance-Plattform und Officer-as-a-Service bündelt diese Inhalte als modulares Curriculum mit klar definierten Lernzielen, Tests und Versionsständen, sodass die jährliche Wiederholung nicht als Beschäftigungstherapie wirkt, sondern als Eskalationstraining nach AI Act und DSGVO. Audit-fest, dokumentiert, § 4-fest. Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. CIVAC stellt für jede der vier Rollen ein einsatzbereites Modul bereit, samt Folien, E-Learning-Variante, Test, Antwortbogen und Vorlage für die Bescheinigung gegenüber der Aufsicht. Wer Schulungen ohne Test betreibt, dokumentiert Teilnahme, nicht Kompetenz. Die Aufsicht prüft genau diesen Unterschied seit 2026 verstärkt und akzeptiert reine Anwesenheitsbestätigungen nicht mehr als ausreichenden Nachweis. Die Tests werden je Rolle versioniert geführt, sodass im Audit der Inhalt zum Schulungsdatum belegbar bleibt.

Nachweisführung: Teilnehmerlisten, Tests, Versionsstände

Die häufigste Aufsichtsfrage bei KI-Schulungen lautet nicht ob, sondern wie nachgewiesen wird. Drei Artefakte sind unverzichtbar. Erstens eine Teilnehmerliste mit Name, Funktion, Schulungsdatum, Schulungsdauer und Unterzeichnung. Zweitens ein Versionsstand der Schulungsfolien oder des E-Learning-Moduls mit Datum, Quellenverzeichnis und Verantwortlichem für die Aktualisierung. Drittens ein Test oder Lernzielkontrolle, die den Nachweis erbringt, dass das Schulungsergebnis tatsächlich beim Teilnehmer angekommen ist. Eine reine Anwesenheitsliste reicht nicht, da sie nichts über die vermittelte Kompetenz aussagt.

Im CIVAC-Workspace werden diese drei Artefakte verknüpft mit der jeweiligen Rolle, dem Verarbeitungsverzeichnis nach Art. 30 DSGVO und der Risikoklassifikation der eingesetzten KI-Systeme. Das ergibt eine prüffähige Spur vom konkreten Schulungstag bis zur konkreten Verarbeitungstätigkeit. Der Prüfer ruft an, der Nachweis liegt bereit. Wer einen Compliance-Beauftragten bestellt, koppelt das KI-Schulungsregister an die jährliche Compliance-Berichterstattung an die Geschäftsführung. Ergänzend speichert das System Lernerfolgsquoten je Rolle, sodass die KI-Verantwortliche im Folgejahr gezielt Schwächen adressieren kann. Diese Aufbereitung schließt die häufigste Aufsichtslücke bei KI-Schulungen bereits in der Designphase und macht den Schulungsweg auf Knopfdruck reproduzierbar. Die Plattform unterscheidet zwischen Pflichtschulung, freiwilliger Vertiefung und ereignisbedingter Nachschulung, sodass im Audit klar wird, welche Maßnahme welchem Rechtsrahmen zugeordnet ist. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Diese Strukturqualität entscheidet im Prüfungsfall mehr als die schiere Menge an Schulungsstunden, weil sie Zweck, Inhalt und Zielerreichung sauber trennt und prüfbar miteinander verbindet. Eine schriftliche Begründung der Schulungsentscheidung je Rolle ergänzt die Dokumentation und verkürzt Rückfragen der Aufsicht erheblich.

Verzahnung mit DSGVO-Pflichten und Verarbeitungsverzeichnis

KI-Systeme verarbeiten regelmäßig personenbezogene Daten, weshalb das Verarbeitungsverzeichnis nach Art. 30 DSGVO um KI-spezifische Felder ergänzt werden muss. Konkret: Rechtsgrundlage der Datenverarbeitung im Modell, Datenkategorien, Empfänger (insbesondere bei Drittlandstransfer nach Art. 44 ff. DSGVO), Aufbewahrungsfristen, eingesetzte Sicherheitsmaßnahmen, Verweis auf die zugehörige Datenschutz-Folgenabschätzung und auf die Risikoklassifikation nach AI Act. Eine KI-Schulung muss diese Felder den Anwendern bekannt machen, damit ein neuer KI-Use-Case nicht ohne Eintrag ins Verzeichnis startet.

Im Workspace sind die KI-Felder als Erweiterung des DSGVO-Verarbeitungsverzeichnisses bereits angelegt. Jeder neue KI-Use-Case erhält automatisch eine Pflichtprüfung gegen Art. 4 AI Act (Kompetenz), Art. 5 (verbotene Praktiken), Art. 6 und Anhang III (Hochrisiko), Art. 27 (Folgenabschätzung) sowie Art. 35 DSGVO (Datenschutz-Folgenabschätzung). Erst nach positiver Prüfung wird der Use-Case in das produktive Verzeichnis übernommen. Diese Verzahnung ist nicht optional, sie ist die Substanz dessen, was die Aufsicht als gelebte KI-Governance bewertet. Andere führen Compliance wie einen Aktenschrank. Wir führen sie wie Software. Der Schulungspfad mündet damit direkt in den operativen Freigabeprozess für neue KI-Anwendungen und schließt den Kreis zwischen Lernen, Handeln und Nachweisen. Ergänzend wird die Datenschutz-Folgenabschätzung nach Art. 35 DSGVO mit der Folgenabschätzung nach Art. 27 AI Act in einer gemeinsamen Vorlage geführt, sodass redundante Bewertungen entfallen. Wer das Verarbeitungsverzeichnis bisher als Excel pflegt, ersetzt es in der Migration durch ein strukturiertes System mit Versionierung, Verantwortlichen und Wiedervorlagen, ohne den Bestand zu verlieren. Die Migration dauert typischerweise zwei Werktage und ist im SLA enthalten.

Bestellurkunde KI-Beauftragter und Berichtslinie

Der AI Act selbst kennt keine zwingende Pflicht zur Bestellung eines KI-Beauftragten wie Art. 37 DSGVO den DSB. Wohl aber verlangt Art. 26 AI Act für Betreiber von Hochrisiko-Systemen die Sicherstellung menschlicher Aufsicht, die Pflege von Logs, die Konformitätskontrolle und die Meldung schwerwiegender Vorfälle. Diese Pflichten lassen sich operativ nicht ohne benannte Verantwortliche erfüllen. In der Praxis bestellen größere Unternehmen daher freiwillig einen KI-Beauftragten, häufig mit dualer Berichtslinie an Geschäftsführung und Compliance, ergänzend an den Datenschutzbeauftragten. Die Bestellurkunde regelt Aufgabenkreis, Eskalationswege, Vertretung, Vergütung und Verschwiegenheit.

CIVAC stellt diese Bestellurkunde als Audit-Vorlage bereit, einsatzbereit für GmbH, AG, KGaA und öffentliche Träger. Die Berichtslinie wird im Workspace dokumentiert, ergänzt um Vertretungsregelung, Reaktionszeit-SLA und jährlichen Tätigkeitsbericht. Wer den Informationssicherheitsbeauftragten bereits bestellt hat, koppelt die KI-Beauftragtenrolle inhaltlich an das ISMS nach ISO/IEC 27001:2022, da viele Pflichten aus Art. 15 und 26 AI Act sich technisch über die 93 Controls des ISMS abbilden lassen. So entsteht eine konsolidierte Governance-Struktur, in der KI, Datenschutz und IT-Sicherheit eine gemeinsame Berichtslinie zur Geschäftsführung haben, statt nebeneinander zu existieren und Doppelarbeit zu erzeugen. Bestellurkunde, unterschrieben, abgelegt, belegbar. Die Plattform speichert Bestellurkunde, Tätigkeitsbericht und Eskalationsweg revisionssicher und macht den Status für die Geschäftsführung auf einer einzigen Übersichtsseite sichtbar. Damit gewinnt die Leitungsebene jederzeit den vollständigen Compliance-Überblick, ohne Zwischenfragen oder verteilte Aktenrecherche. Wer die KI-Beauftragtenrolle mit ISB und DSB in einer einheitlichen Plattform führt, vermeidet Reibungsverluste und Schnittstellenfehler bereits in der Designphase, lange vor der ersten Aufsichtsanfrage.

Fristen, Bußgelder, Aufsichtspraxis 2026

Die wichtigsten Fristen des AI Act gelten gestaffelt. Verbotene Praktiken nach Art. 5 sowie die Pflicht zur KI-Kompetenz nach Art. 4 sind seit dem 2. Februar 2025 anwendbar. Pflichten für Anbieter von GPAI nach Art. 51 ff. greifen seit dem 2. August 2025. Hochrisiko-Pflichten aus Anhang III gelten ab 2. August 2026, Hochrisiko-Pflichten aus Anhang I ab 2. August 2027. Für jede Frist gilt: Wer den Stichtag verpasst, riskiert nach Art. 99 AI Act Bußgelder bis 35 Mio. Euro oder 7 % Konzernumsatz bei verbotenen Praktiken, bis 15 Mio. Euro oder 3 % bei Verstößen gegen andere Pflichten und bis 7,5 Mio. Euro oder 1 % bei unrichtigen Angaben gegenüber Behörden.

Die nationale Aufsicht in Deutschland liegt nach derzeitigem Stand bei der Bundesnetzagentur als zentraler KI-Aufsicht, ergänzt durch sektorale Behörden wie BaFin, BfDI und die Landesdatenschutzbehörden. Eine erste Welle behördlicher Anfragen zur KI-Kompetenz ist seit Anfang 2026 dokumentiert, insbesondere in Branchen mit hohem GenAI-Einsatz wie Versicherungen, Banken, Pharma und Personaldienstleistung. Wer in diesen Branchen ohne Schulungsnachweis arbeitet, riskiert nicht nur das Bußgeld, sondern auch Auflagen, die den Betrieb der KI-Systeme bis zur Nachschulung untersagen. Frist läuft ab Kenntnis. Eine konsequente Schulungsdokumentation reduziert dieses Eskalationsrisiko erheblich und verkürzt im Audit die Klärungszeit von Tagen auf Stunden. Wer die Schulungspflicht aus Art. 4 mit der Bestellurkunden-Logik der KI-Verantwortlichen kombiniert, baut den Nachweispfad einmal und nutzt ihn jährlich. Diese Vorlaufzeit ist im Jahr 2026 vor der Hochrisiko-Frist 2. August 2026 entscheidend.

Aus dem Lesen einen Auftrag machen

Eine rollenbasierte KI-Schulung ist kein PowerPoint-Termin im Frühjahr, sondern ein dauerhafter Governance-Pfad. Sie beginnt mit einer Rollenmatrix, führt über Risikoklassifikation, Schulungsmodule und Tests bis hin zur Verzahnung mit Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung und KI-Use-Case-Freigabe. Wer diesen Pfad ohne Plattform aufbaut, bindet Monate interner Ressourcen. Wer ihn mit Plattform aufbaut, ist in vier bis sechs Wochen prüffähig und reduziert die jährliche Pflegezeit drastisch. Entscheidend ist die Wahl zwischen Selbstbau auf der CIVAC-Plattform und Officer-as-a-Service mit bestellter KI-Beauftragter durch CIVAC.

Lizenzieren Sie den Workspace für Ihre internen Beauftragten oder lassen Sie unsere Beauftragten bestellen. Beide Modelle liefern dieselbe Audit-fest, dokumentiert, § 4-feste Nachweisspur. CIVAC ist eine Compliance-Plattform und Officer-as-a-Service mit EU-Datenresidenz, ISO/IEC 27001:2022-ISMS, 490 Audit-Vorlagen, 25 Beauftragten-Rollen und definiertem 2-Werktage-SLA. Aus dem Lesen einen Auftrag machen. Schreiben Sie an info@civac.de oder nutzen Sie das Kontaktformular auf civac.de. Sie erhalten innerhalb von zwei Werktagen eine Rollenmatrix, ein modulares Schulungs-Curriculum und eine Bestellurkunde-Vorlage für die KI-Verantwortliche. Damit ist der Einstieg in die AI-Act-Compliance konkret, terminierbar und nachweisbar geplant. Wer den Start jetzt anstößt, hat innerhalb von vier bis sechs Wochen eine vollständige Rollenmatrix, dokumentierte Schulungen mit Tests, eine bestellte KI-Verantwortliche und ein verknüpftes Verarbeitungsverzeichnis. Der Prüfer ruft an, der Nachweis liegt bereit. Genau diese Geschwindigkeit unterscheidet eine prüffähige Compliance von einer formalen Schulungsmappe.

FAQ

Ab wann gilt die Pflicht zur KI-Kompetenz nach Art. 4 AI Act?

Die Pflicht zur Sicherstellung ausreichender KI-Kompetenz ist seit dem 2. Februar 2025 unmittelbar anwendbar. Sie betrifft jeden Anbieter und Betreiber, der KI-Systeme im Unternehmen einsetzt, unabhängig von Branche, Größe oder Risikoklasse des eingesetzten Systems. Die Pflicht ist organisationsweit zu erfüllen, nicht delegierbar an externe Tool-Anbieter und mit dokumentiertem Nachweis je Person zu belegen.

Welche Bußgelder drohen bei fehlender KI-Schulung?

Nach Art. 99 AI Act drohen Bußgelder bis 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes bei Verstößen gegen die Betreiberpflichten, bis 35 Mio. Euro oder 7 % bei Verstößen gegen Art. 5 (verbotene Praktiken). Aufsichtsbehörden können zusätzlich Anordnungen zur Aussetzung des KI-Betriebs verhängen, bis Schulungsnachweise vollständig erbracht sind.

Müssen wir einen KI-Beauftragten formal bestellen?

Der AI Act verlangt keine formale Bestellung wie Art. 37 DSGVO. In der Praxis ist eine Bestellurkunde aber sinnvoll, um Verantwortlichkeiten zu klären, eine Berichtslinie zur Geschäftsführung zu etablieren und im Audit die Wahrnehmung der Pflichten aus Art. 26 AI Act nachzuweisen. CIVAC stellt eine geprüfte Bestellurkunden-Vorlage bereit, einsatzbereit für GmbH, AG und öffentliche Träger.

Wie verzahnen wir KI-Schulung mit unserer bestehenden DSGVO-Schulung?

Eine kombinierte jährliche Schulung mit zwei eigenständigen Modulen ist üblich. Modul A deckt DSGVO-Pflichten ab, Modul B die AI-Act-spezifischen Inhalte. Teilnehmerliste, Test und Versionsstand werden gemeinsam dokumentiert, aber inhaltlich getrennt nachgewiesen, damit beide Aufsichtsregime den jeweiligen Nachweis sauber finden können. CIVAC liefert vorgefertigte verzahnte Module mit identischer Logik.

Welche Rollen brauchen welche Schulungstiefe?

Endanwender benötigen 60 bis 90 Minuten Basisschulung pro Jahr. KI-Power-User brauchen drei bis vier Stunden mit technischen Inhalten. KI-Verantwortliche und Beauftragte benötigen acht bis sechzehn Stunden Vertiefung mit Risikoklassifikation, DSFA und Meldepflichten. Geschäftsführung erhält ein zweistündiges Briefing zu Haftung, Bußgeldern und Eskalationswegen, ergänzt um eine schriftliche Kurzbescheinigung.

Wie lange ist eine KI-Schulung gültig?

Es gibt keine gesetzliche Höchstdauer, aber gute Praxis ist eine jährliche Wiederholung mit Anpassung an neue Tools, Use-Cases und Aufsichtspraxis. Bei wesentlichen Änderungen wie Einführung eines Hochrisiko-Systems oder neuer GenAI-Plattform ist eine ad-hoc-Nachschulung mit dokumentiertem Anlass und Teilnehmernachweis erforderlich. Die Wiedervorlage wird im Workspace automatisch geplant.

Unverbindlich

Klingt nach viel Arbeit?

Beauftragten-Pflichten, Fristen, Nachweise — genau das nehmen wir dir ab. Sag kurz Hallo, wir zeigen dir wie.

Aus dem Beitrag ein Mandat machen.

Wir übernehmen die operative Last: externer Beauftragter, Vorlagen und Dokumentation in einem Workspace. Unverbindlich.

Weitere Beiträge