Komplettleitfaden → Den vollständigen Überblick über alle EU-AI-Act-Pflichten für KMU (Art. 4, 5, 26, 27, 50, Bußgelder, Anwendungsfahrplan) finden Sie in unserem Komplettleitfaden EU AI Act für KMU.
Am 7. Mai 2026 haben sich EU-Rat und Europäisches Parlament auf eine vorläufige politische Einigung zum Digital Omnibus geeinigt, einem gezielten Änderungspaket zur Verordnung (EU) 2024/1689 (KI-VO). Eine der wenig beachteten, für jeden Arbeitgeber aber direkt spürbaren Änderungen betrifft Art. 4 KI-VO, die seit 2. Februar 2025 geltende Vorgabe zur KI-Kompetenz. Die offizielle Pressemitteilung des Rates ist auf consilium.europa.eu verfügbar.
Was ändert sich konkret, was bleibt rechtlich verbindlich, und was sollten Unternehmen jetzt tun, um die KI-Kompetenz ihres Personals rechtssicher und ohne Überbürokratisierung nachweisen zu können?
Was Art. 4 KI-VO vor dem Omnibus sagte
Die ursprüngliche Fassung von Art. 4 KI-VO verpflichtete Anbieter und Betreiber von KI-Systemen, dafür zu sorgen, dass das Personal, das KI-Systeme bedient oder von ihnen betroffen ist, ein ausreichendes Maß an KI-Kompetenz besitzt. Die Vorschrift gilt EU-weit seit dem 2. Februar 2025, branchenübergreifend und unabhängig von der Risikoklasse des eingesetzten KI-Systems.
Die Formulierung ähnelte einer klassischen Sicherstellungs-Pflicht, wie sie aus dem deutschen Arbeitsschutz- oder Datenschutzrecht bekannt ist. In der Praxis bedeutete das: Wer interne KI-Tools, ChatGPT-Konten oder Microsoft Copilot bereitstellt, musste seinen Mitarbeitenden ein definiertes Mindestmaß an Kompetenz vermitteln und das auch belegen können. Die aktive Marktaufsicht durch die zuständigen Behörden (in Deutschland: Bundesnetzagentur, BSI, BfDI) startet planmäßig am 2. August 2026.
Was der Digital Omnibus vom 7. Mai 2026 ändert
Mit der politischen Einigung vom 7. Mai 2026 wurde Art. 4 KI-VO als Bemühens-Pflicht zur Förderung der KI-Kompetenz formuliert. Anbieter und Betreiber sollen Maßnahmen ergreifen, um die Entwicklung der KI-Kompetenz ihres Personals und der in ihrem Auftrag tätigen Personen zu fördern. Eine starre Sicherstellungs-Pflicht im strengen Sinn besteht nicht mehr. Das ist ein wesentlicher Unterschied, der drei praktische Konsequenzen hat:
- Es gibt keine fest vorgeschriebene Schulungsform, keinen vorgegebenen Mindestumfang und keine harte EU-weite Curricula-Vorgabe. Unternehmen können ihre Maßnahmen am tatsächlichen Risiko und an der konkreten KI-Nutzung ausrichten.
- Was zählt, sind dokumentierte Maßnahmen. Eine reine Mitteilung im Intranet oder eine E-Mail genügt typischerweise nicht, weil sie weder Personalisierung noch Lernerfolg belegt.
- Die aktive Marktaufsicht ab dem 2. August 2026 wurde durch den Omnibus nicht verschoben. Die Behörden werden ab diesem Stichtag prüfen, ob Unternehmen ihrer Bemühens-Pflicht nachgekommen sind.
Was rechtlich verbindlich bleibt
Der Digital Omnibus ist keine Aufhebung von Art. 4 KI-VO, sondern eine Umformulierung. Folgende Punkte bleiben uneingeschränkt verbindlich:
Geltungsbereich: Art. 4 KI-VO gilt branchenübergreifend für alle Anbieter und Betreiber. Es gibt keine Ausnahme für KMU, Handwerk oder öffentliche Verwaltung. Die in Erwägungsgrund 20 der KI-VO genannten Faktoren (Kontext der Nutzung, Risiko, Personalkonstellation) bleiben Leitlinien für die Ausgestaltung der Maßnahmen.
Sanktionsrahmen: Die KI-VO legt für Verstöße gegen Art. 4 keine eigene Geldbuße fest. Die Ausgestaltung der Sanktionen für die KI-Kompetenzpflicht überlässt der AI Act den Mitgliedstaaten; ab dem 2. August 2026 können die nationalen Behörden sie durchsetzen. Die hohen Bußgeldrahmen des Art. 99 (bis zu 35 Mio. EUR bzw. 7 %) gelten für andere Verstöße, insbesondere die verbotenen Praktiken nach Art. 5.
Nachweispflicht: Auch eine Bemühens-Pflicht setzt voraus, dass die Bemühung dokumentiert ist. Wer nichts dokumentiert, hat im Streit mit einer Aufsichtsbehörde nichts vorzuweisen, und die Beweislast liegt im deutschen Verwaltungsrecht regelmäßig beim Anbieter oder Betreiber.
Datenschutzrecht: Wer KI-Schulungen mit personenbezogenen Daten der Mitarbeitenden durchführt (Name, E-Mail, Abteilung, Lernergebnis), unterliegt weiterhin der DSGVO und dem BDSG. Die Mitbestimmungsrechte des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG bei der Einführung technischer Einrichtungen zur Verhaltens- oder Leistungskontrolle bleiben unberührt.
Warum eine dokumentierte Basisschulung dringend empfohlen bleibt
Aus juristischer und betrieblicher Sicht spricht trotz der Lockerung sehr viel dafür, jedem Mitarbeitenden mit KI-Berührung eine dokumentierte Basisschulung anzubieten. Drei Gründe, die unabhängig von der KI-VO greifen:
Erstens, Haftungsrisiken aus Fehlnutzung. Wer ohne Schulung einem Vertriebsmitarbeiter ChatGPT zur Vertragsanbahnung freigibt und dabei Kundendaten in eine US-Cloud kopiert, riskiert nicht nur DSGVO-Bußgelder, sondern auch zivilrechtliche Schadensersatzansprüche und Haftungsrisiken aus § 280 BGB. Eine dokumentierte Schulung über erlaubte Nutzung, Datenklassifizierung und Shadow-AI-Risiken senkt dieses Risiko messbar.
Zweitens, Beweisführung gegenüber der Marktaufsicht. Die Aufsichtsbehörden werden ab August 2026 typischerweise stichprobenartig prüfen und konkrete Nachweise verlangen. Ein signiertes Audit-Dossier pro Mitarbeitenden ist der schnellste und sauberste Weg, die Bemühens-Pflicht zu belegen, ohne lange Vor-Ort-Termine oder umfangreiche schriftliche Stellungnahmen.
Drittens, operative Sicherheit. Eine kurze, praxisnahe Basisschulung reduziert nachweisbar die Häufigkeit von Datenschutzvorfällen, Vertraulichkeitsverletzungen und Shadow-AI-Nutzung. Das zahlt sich unabhängig von der KI-VO aus.
Praktischer Mindeststandard für die Bemühens-Pflicht
Aus unserer Beratungspraxis und der Lektüre der Erwägungsgründe 20 und 165 der KI-VO leiten wir folgenden Mindeststandard ab, der die Bemühens-Pflicht in der Fassung des Omnibus pragmatisch abdeckt:
- Inventar der genutzten KI-Systeme. Welche cloud-basierten Tools (ChatGPT, Copilot, Gemini, Claude) und welche internen oder lokalen KI-Systeme werden eingesetzt? Wer hat Zugang?
- Risikoklassifizierung der Nutzung. Wird KI für Personalentscheidungen, Bonitätsprüfungen, Gesundheitskontexte oder andere Hochrisiko-Bereiche eingesetzt, oder rein unterstützend mit menschlicher Letztentscheidung?
- Schulungsangebot mit Lernerfolgskontrolle. Eine asynchrone Online-Schulung von 60 bis 120 Minuten Dauer, mit einer kleinen Prüfung (5 bis 6 Fragen, 80 % Bestehensgrenze) und einem namentlichen Zertifikat pro Person.
- Audit-Dossier am Ende der Kampagne. Ein kryptographisch signiertes Bündel aller Nachweise (Einladung, Lesezeit, Prüfungsversuche, Zertifikate). Ed25519-Signaturen halten 10 bis 20 Jahre und sind auch unabhängig vom Anbieter verifizierbar.
- Jährliche Aktualisierung. Die KI-Landschaft entwickelt sich schnell. Eine jährliche Wiederholung mit aktualisiertem Inhalt zeigt der Aufsicht, dass die Bemühens-Pflicht als laufender Prozess ernst genommen wird.
Wer diese fünf Schritte einmal sauber implementiert, hat einen Aufwand von typischerweise zwei bis vier Stunden pro Jahr für die laufende Pflege und liegt rechtssicher auf Kurs.
Fazit
Der Digital Omnibus vom 7. Mai 2026 macht die Art.-4-Pflicht milder formuliert, aber er macht sie nicht weniger relevant. Die aktive Aufsicht ab 2. August 2026 wird kommen, und die Behörden werden konkrete Nachweise sehen wollen. Wer jetzt eine dokumentierte Basisschulung etabliert, ist bereit, ohne unter Zeitdruck zu geraten.
Unsere schlüsselfertige Schulung nach Art. 4 KI-VO ist genau für diesen pragmatischen Anwendungsfall konzipiert: 20 € pro Teilnehmer, ohne Mindestlaufzeit, mit signiertem Audit-Dossier am Kampagnenende. Bei Fragen zur konkreten Ausgestaltung im eigenen Unternehmen sind wir gern Sparringspartner, unverbindlich und ohne Verpflichtung.