Seit 2. Februar 2025 sind neue Regulierungen des AI Act in Kraft. Seitdem existiert eine faktische Schulungspflicht zu KI-Kompetenzen für alle Nutzer, die beruflich KI-Tools verwenden. Wie soll das konkret umgesetzt werden?
Konkrete Regelungen des AI Act treten in Kraft.
(Bild: KI-generiert)
Werden im Unternehmen KI-Anwendungen wie ChatGPT verwendet, müssen Arbeitnehmende zukünftig dafür geschult werden. Die Schulungen sollten technisches Wissen über die Funktionsweise von KI, regulatorische Kenntnisse zu gesetzlichen und ethischen Anforderungen sowie anwendungsspezifisches Wissen für den jeweiligen Einsatzbereich umfassen. Bei der Schulungspflicht wird nicht nach Unternehmensgröße unterschieden, sie gilt also grundsätzlich für alle – egal ob Startup oder Konzern.
Was soll die KI-Schulung beinhalten?
Obwohl der AI Act keine spezifischen Schulungsformate vorschreibt, sollten Unternehmen – allein schon in ihrem eigenem Interesse – ihren Mitarbeitern entsprechende Weiterbildungsangebote bereitstellen, um einen sicheren, verantwortungsvollen Einsatz von KI-Systemen zu gewährleisten. Dass beispielsweise eine Liste an sensiblen Kundendaten für eine Auswertung nicht nach außen gelangen darf, besagt etwa schon jetzt der Datenschutz, damit es nicht vorkommt, dass ein ausländischer Chatbot damit trainiert.
Eine Schulung, um etwa ChatGPT zu nutzen, könnte folgendermaßen aufgebaut sein:
Technisches Verständnis: Erlernen Sie die Grundlagen der Funktionsweise von KI-Systemen wie ChatGPT, einschließlich ihrer Stärken, Schwächen und Grenzen.
Regulatorisches Wissen: Machen Sie sich mit den gesetzlichen und ethischen Anforderungen im Umgang mit KI vertraut, um sicherzustellen, dass Sie die relevanten Vorschriften einhalten.
Anwendungsspezifisches Wissen: Verstehen Sie die spezifischen Anforderungen und Risiken, die mit dem Einsatz von ChatGPT in Ihrem beruflichen Kontext verbunden sind.
Kritisches Denken: Entwickeln Sie die Fähigkeit, die von ChatGPT generierten Ergebnisse zu hinterfragen und zu bewerten, um deren Genauigkeit, Richtigkeit und Relevanz sicherzustellen.
Datensensibilität: Achten Sie auf den verantwortungsvollen Umgang mit Daten, insbesondere im Hinblick auf Datenschutz und Datensicherheit, um die Privatsphäre zu schützen. Klären Sie Details im Zweifel mit dem Datenschutzbeauftragten Ihres Unternehmens.
Nochmal: Es handelt sich hierbei nur um Vorschläge einer Gliederung, anhand der Arbeitnehmenden schon jetzt im Umgang mit KI-Tools geschult werden könnten.
Was, wenn keine Schulung erfolgt?
Aktuell gibt es noch keinerlei Kontrollen oder Sanktionen. Schon allein deswegen nicht, weil auf nationaler Ebene hierzulande noch keine Behörde dafür zuständig ist – das soll erst ab 2. August 2025 geschehen. Erfolgt also kein „Dann“ auf das „Wenn“, lesen Juristen daraus, dass es folglich auch keine Pflicht gibt. Tun Sie die Vorgaben daher nicht als „zahnlosen Tiger“ ab, sondern verstehen Sie die Übergangszeit als Chance zur gewissenhaften Umsetzung. Letztlich wird eine Dokumentation über die Schulung erforderlich sein, die Ihr Handeln in einem Kontroll- oder Schadensfall belegt. Lassen Sie sich die Weiterbildung von den Mitarbeiterinnen und Mitarbeitern bestätigen. Allein dadurch minimieren Unternehmen das Risiko, dass im Falle eines Falles ein Verstoß gegen die allgemeine Sorgfaltspflicht interpretiert werden könnte.
Was außerdem jetzt gilt: Kein KI-Scoring von Menschen
Gleichzeitig mit der Schulungspflicht gilt ein Verbot für bestimmte KI-Anwendungen mit sogenanntem unannehmbaren Risiko. Dazu zählen beispielsweise Systeme zum Social Scoring oder zur biometrischen Echtzeit-Fernidentifizierung im öffentlichen Raum durch Strafverfolgungsbehörden. Unternehmen und Behörden, die solche Technologien bislang eingesetzt haben, müssen diese umgehend einstellen und alternative Lösungen suchen.
Für Unternehmen von Hochrisiko-KI-Systemen bedeutet dies, dass sie bereits jetzt Maßnahmen ergreifen mussten, um den zukünftigen Anforderungen gerecht zu werden. Dazu gehört die Implementierung von Qualitäts- und Risikomanagementsystemen, die Sicherstellung der Datenqualität sowie die Etablierung von Prozessen zur kontinuierlichen Überwachung und menschlichen Kontrolle der KI-Systeme. Zudem sollten sie sich auf die kommende Konformitätsbewertung vorbereiten und entsprechende Dokumentationen erstellen.
Der aktuelle „Fahrplan“ des AI Act
Der AI Act der Europäischen Union ist bereits seit dem 1. August 2024 in Kraft und führt schrittweise verschiedene Regelungen ein, die Unternehmen und andere Organisationen betreffen. Einige dieser Regelungen sind bereits aktiv, während andere in den kommenden Jahren wirksam werden:
Verhaltenskodizes (bis 2. Mai 2025): Die Europäische Kommission wird Verhaltenskodizes für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck veröffentlichen. Die Einhaltung dieser Kodizes dient als Nachweis für die Konformität mit den Anforderungen des AI Act.
Governance-Regeln und Verpflichtungen für General Purpose AI (ab 2. August 2025): Spezifische Vorschriften für KI-Systeme mit allgemeinem Verwendungszweck treten in Kraft. Dies umfasst unter anderem Transparenz- und Dokumentationspflichten.
Anforderungen für Hochrisiko-KI-Systeme (ab 2. August 2026): Für als hochriskant eingestufte KI-Systeme gelten zusätzliche Anforderungen, einschließlich strengerer Konformitätsbewertungsverfahren und kontinuierlicher Überwachung.
Weitere Verpflichtungen für Hochrisiko-KI-Systeme (ab 2. August 2027): Zusätzliche Verpflichtungen für Hochrisiko-KI-Systeme gemäß Anhang II des AI Act treten in Kraft.
KI-Regulierung? Eigentlich selbstverständlich
Manch ein Verband kritisiert die KI-Regulierung als Gängelei der Wirtschaft. Aber das große Regulierungskonstrukt der EU beinhaltet viele Regelungen, die ohnehin selbstverständlich sind oder sein sollten. Noch eine teure Schulung der Belegschaft? Damit etwa eine Kundenliste mit personenbezogenen Daten nicht in eine amerikanische oder chinesische KI wandert, die diese dann womöglich irgendwann woanders „aus Versehen“ ausspuckt, sollte wie beim Datenschutz auch seitens KI eine gewisse Sensibilität geschaffen werden.
Ja, die Regelungen sind noch schwammig, unklar und alles andere als konsequent. Aber eben genau das ist aktuell die Chance: Niemand wird mit plötzlichen starren Regeln oder gar Verboten überrumpelt. Die Kennzeichnung synthetischer Inhalte ist bei der schnellen Entwicklung eine notwendige Transparenz für den Verbraucher. Hier sind Branchenverbände, also Lobbyorganisationen, in der Pflicht, konkrete und praxistaugliche Regeln zur KI-Nutzung mitzugestalten, indem entsprechendes Feedback aus der unternehmerischen Praxis zur Politik fließt.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Dieser Artikel stammt von unserem Partnerportal Elektronikpraxis.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/93/dd/93dda8df29e7c5144c811b11baa2161c/0128951438v1.jpeg "Die Zero-Day-Schwachstelle entwickelte sich zu einer globalen Exploit-Welle und verdeutlicht die Gefahr automatisierter Angriffe auf ERP-Systeme. (Bild: © Zamrznuti tonovi - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/45/f1/45f15040a97ad08135d7c7635f737ea7/0128764776v2.jpeg "In Veeam Backup & Replication fand der Hersteller bei internen Testings vier Sicherheitslücken, die mit der Version 13.0.1.1071 behoben wurden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/4b/66/4b66437c281843d7f2c99a1757c8dfa4/0128929211v2.jpeg "Der Cybercrime-Dienst RedVDS bot kriminellen Nutzern Zugang zu virtuellen Wegwerfcomputern, die für 24 Dollar im Monat gemietet werden konnten. Diese Computer ermöglichten anonyme Straftaten und konnten nach der Nutzung schnell abgeschaltet werden, um die Strafverfolgung zu erschweren. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bc/89/bc89161c8e1c7eaf788bb4afd3240f39/0128948228v1.jpeg "Der Einsatz generativer KI in Fachabteilungen entzieht sich häufig der klassischen IT-Governance und erfordert neue Steuerungsmodelle. (Bild: © sdecoret - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/07/49/074944ad2373c2201387e957d6aaf1e8/0127500269v1.jpeg "Daniel Meyer, CTO von Camunda, sieht in Prozessorchestrierung den Schlüssel, um KI-gestützte Automatisierung sicher zu skalieren. (Bild: Camunda)")
:quality(80)/p7i.vogel.de/wcms/46/65/466530a22b95665e42a29262f8888b64/0128942978v2.jpeg "Der Einsatz von KI-Bots birgt Risiken für Unternehmen, da sie Serverressourcen überlasten, personenbezogene Daten missbrauchen und Umsatzverluste verursachen können. Daher sollten Unternehmen Zugriffskontrollen implementieren und geeignete Schutzmaßnahmen ergreifen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/23/30/2330669e6dcfe8562f7ff8e2b2b7e4b8/0128873273v1.jpeg "Wenngleich Quantencomputer aktuell noch sehr teuer sind und deren allgemeine Verfügbarkeit derzeit noch Zukunftsmusik ist, wappnet sich das BSI bereits jetzt gegen die Cyberangriffe von morgen. (ec0de - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/51/91/5191e57580adf858d831f07713d9b93c/0127671074v1.jpeg "Microsoft konsolidiert mit der Windows Update Orchestration Platform die Update-Prozesse für Betriebssystem, Treiber und Anwendungen. Erfahren Sie, wie die neue Plattform mit Azure Update Management zusammenspielt und IT-Administratoren bei Compliance, Rollout und Fehlerdiagnose unterstützt. (Bild: Joos | Microsoft)")
:quality(80)/p7i.vogel.de/wcms/b2/d0/b2d0d2ae93fd30ca5959bcf82b4d5bb3/0128930398v1.jpeg "Deepfakes und KI-gestützter Betrug stellen Unternehmen, Behörden und Gesellschaft vor neue Herausforderungen. Technische Erkennung, organisatorische Maßnahmen und Forschungspartnerschaften gelten als zentrale Gegenpole. (Bild: © JovialFox - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2d/a4/2da4b696d03840fc37a3f5e234c9835e/0128976696v2.jpeg "User and Entity Behavior Analytics erkennt Angriffe, bei denen Kriminell legitime Nutzerkonten missbrauchen, in Echtzeit, indem es Verhalten analysiert und relevante Ereignisse kontextuell korreliert, um interne Bedrohungen effizient zu identifizieren. (Bild: ImageFlow - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/94/d1/94d1da55da4af6da014a7d9d42576ca8/0128830479v2.jpeg "Crowdstrike übernimmt den Identitätsspezialisten SGNL. Diese Akquisition zielt darauf ab, die Next-Gen Identity Security auszubauen und Zugriffe von menschliche sowie nicht-menschliche Identitäten sicherer zu verwalten. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/08/55/0855bf8e2dad6b6523d30edcbbf5adf4/0124411560v1.jpeg "Cloudflare meldet weltweit zahlreiche Internetunterbrechungen im Q3 2025 – ausgelöst durch Regierungsmaßnahmen, Kabelbrüche, Stromausfälle und technische Fehler. (Bild: Cloudfare)")
:quality(80)/p7i.vogel.de/wcms/13/01/1301d39b914ab1dc9ffa517f98f26840/0126593157v1.jpeg "Prompt Injection ist eine auf Sprachmodelle abzielende Form von Cyberangriff durch einschleusen manipulativer KI-Anweisungen. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/ab/f9/abf9df1f15ee1b1e9920eec42f491548/0126593157v1.jpeg "Eine Zero-Click-Schwachstelle ist eine ohne Benutzerinteraktion ausnutzbare Sicherheitslücke, ein Zero-Click-Angriff ist damit ein Cyberangriff ohne bewusste Interaktion eines Anwenders. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/e9/e4/e9e46cb902bc964811a46b3dc1b6645e/0128371921v1.jpeg "Unter Post-Quanten-Kryptographie (PQC) versteht man eine auf klassischen Computern einsetzbare, von Quantencomputern nicht zu brechende Verschlüsselung. (Bild: agsandrew via Getty Images)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/cd/ac/cdac1328cfee52c80f43df46997a2c48/0125459108v1.jpeg "Anwendungen mit Künstlicher Intelligenz müssen hohen Qualitätsanforderungen entsprechen, damit sie vertrauenswürdig sind, meint BSI-Präsidentin Claudia Plattner. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3c/7d/3c7d32c3ecae35d58b3e0720d9291959/0122847679v5.jpeg "Die EU will mit dem AI Act „unannehmbare Risiken“ für die Sicherheit, Gesundheit oder Grundrechte vermeiden, aus der Wirtschaft hagelt es indes Kritik. (Bild: Dall-E / KI-generiert)")