EU AI Act im Berufsalltag: was er verlangt
Der EU AI Act verlangt von dir als Digitalisierungsmanager vor allem drei Dinge: ein vollständiges Verzeichnis aller KI-Systeme im Unternehmen, eine saubere Risikoeinstufung jedes Systems und einen dokumentierten Nachweis, dass alle Mitarbeiter, die mit KI arbeiten, ausreichend geschult sind. Die Schulungspflicht nach Artikel 4 der KI-Verordnung gilt seit dem zweiten Februar 2025. Das wird in Beratungsgesprächen regelmäßig unterschätzt.
Viele Geschäftsführer, mit denen ich spreche, halten den EU AI Act noch für ein Zukunftsthema. Ist er nicht. Die Schulungspflicht ist bereits scharf gestellt. Die Kennzeichnungspflicht für KI-generierte Inhalte greift ab August 2026, die Pflichten für Hochrisiko-Systeme ab August 2027. Als Digitalisierungsmanager sitzt du zwischen Fachabteilung, IT und Geschäftsführung und bist der erste Ansprechpartner, wenn die Compliance-Frage kommt. Wer sauber vorbereitet ist, macht hier den Unterschied zwischen zähem Krisenmodus und geordnetem Rollout.
Konkrete Pflichten heute
Die KI-Verordnung (Verordnung EU 2024/1689) trat im August 2024 in Kraft und wird in Stufen scharf gestellt. Der entscheidende Punkt für deinen Alltag: Artikel 4 zur KI-Kompetenz gilt seit dem zweiten Februar 2025. Arbeitgeber müssen sicherstellen, dass Personen, die KI-Systeme im Auftrag des Unternehmens nutzen oder betreiben, ein ausreichendes Maß an KI-Kompetenz haben. Das ist keine Option, das ist eine Holschuld der Geschäftsführung.
Die zweite wichtige Frist ist der zweite August 2026. Ab diesem Datum greifen die Transparenz- und Kennzeichnungspflichten aus Artikel 50: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Bilder, Videos und Texte müssen als solche gekennzeichnet werden, Deepfakes brauchen einen deutlich sichtbaren Hinweis. Die dritte große Welle kommt im August 2027 mit den vollen Pflichten für Hochrisiko-KI-Systeme. Die gesetzliche Grundlage findest du direkt bei EUR-Lex.
Ein KI-Register aufbauen
Das KI-Register ist dein wichtigstes Werkzeug. Es ist im Gesetz nicht wörtlich verlangt, ergibt sich aber zwingend aus der Dokumentationspflicht für Hochrisiko-Systeme und aus der Nachweispflicht nach Artikel 4. Ohne Register kannst du weder schulen noch kennzeichnen noch prüfen.
Ein pragmatisches Register hat mindestens diese Spalten:
| Feld | Beispiel |
|---|---|
| System-Name | ChatGPT Team, interner Rechnungs-Bot, Lieferanten-Scoring |
| Anbieter | OpenAI, Eigenentwicklung, SAP |
| Einsatzbereich | Marketing-Texte, Buchhaltung, Einkauf |
| Art des Systems | General Purpose AI, spezialisiert, Hochrisiko |
| Risikoklasse nach EU AI Act | minimal, begrenzt, hoch, unannehmbar |
| Nutzer (Rollen) | Marketing-Team, Finanzbuchhaltung |
| Datenbasis | interne Kundendaten, öffentlich, anonymisiert |
| Verantwortlich | Name, Abteilung |
| Letzte Prüfung | Datum |
In meinen Kursen sehe ich oft, dass Unternehmen schon 20 bis 40 KI-Tools im Einsatz haben, ohne dass es irgendwo dokumentiert ist. Die Marketing-Abteilung hat sich einen ChatGPT-Zugang gekauft, der Vertrieb nutzt ein Scoring-Tool, die Entwicklung ein Code-Assistenzmodell. Dein erster Schritt als Digitalisierungsmanager ist meist nicht die Automatisierung, sondern die Bestandsaufnahme.
Die vier Risikoklassen
Der EU AI Act kennt vier Risikoklassen und daraus folgen unterschiedliche Pflichten. Die Einteilung ist einer der ersten Punkte, die du als Digitalisierungsmanager sauber beherrschen musst.
Minimales Risiko umfasst die große Mehrheit aller Systeme. Spam-Filter, Empfehlungssysteme im Shop, ein LLM für interne Textbausteine. Keine besonderen Pflichten aus dem EU AI Act, dein Datenschutz greift trotzdem.
Begrenztes Risiko betrifft Chatbots, KI-generierte Inhalte, Emotionserkennung im Kontext Werbung. Transparenzpflichten ab August 2026: Der Nutzer muss wissen, dass er mit einer KI spricht und dass Inhalte von einer KI erzeugt wurden.
Hohes Risiko bezieht sich auf Systeme in Bereichen wie kritische Infrastruktur, Bildung, Personalauswahl, Kreditentscheidung, Strafverfolgung. Diese Systeme unterliegen ab August 2027 umfangreichen Pflichten: Risikomanagement, Datenqualität, Logging, menschliche Aufsicht, CE-Kennzeichnung.
Unannehmbares Risiko ist verboten. Social Scoring durch Behörden, Echtzeit-Gesichtserkennung im öffentlichen Raum mit wenigen Ausnahmen, manipulative Systeme. Seit Februar 2025 nicht mehr erlaubt.
Für dich im Alltag heißt das: Die allermeisten Systeme, mit denen du zu tun hast, liegen in den Klassen minimal und begrenzt. Die echte Arbeit ist das saubere Einsortieren, nicht das Erfinden neuer Pflichten.
Mitarbeiter-Schulung nach Artikel 4
Artikel 4 KI-VO verlangt ausreichende KI-Kompetenz. Was ausreichend heißt, definiert das Gesetz bewusst nicht starr. Die Pflichten richten sich nach dem Einsatzkontext, dem Vorwissen und dem Risikoprofil des jeweiligen Systems. Genau deswegen brauchst du als Digitalisierungsmanager ein Konzept, das nachweisbar ist.
Ein tragfähiges Schulungskonzept hat drei Ebenen: eine Grundschulung für alle, die KI-Tools nutzen, eine vertiefende Einweisung für Power-User und Administratoren und eine gesonderte Einweisung für die Geschäftsführung zur Compliance-Verantwortung. Dokumentiere Teilnahme, Inhalt und Datum jeder Schulung. Im Ernstfall musst du das der Aufsichtsbehörde vorlegen können.
Aus der Beratungspraxis: Viele Unternehmen setzen auf ein einstündiges Pflicht-Webinar und glauben, damit sei die Pflicht erfüllt. Für einfache Textgeneratoren im Marketing mag das reichen. Für Systeme, die Personalentscheidungen vorbereiten oder Kundendaten auswerten, ist das deutlich zu wenig. Der richtige Maßstab ist nicht “haben wir einmal gemacht”, sondern “könnte der Mitarbeiter in einer Prüfung konkret erklären, wie das System funktioniert, welche Fehler es macht und wann er eskalieren muss”.
Details zum Rechtsrahmen findest du im Begleittext zum Sachkundenachweis im Artikel EU AI Act Sachkundenachweis.
Die Kennzeichnungspflicht ab August 2026
Artikel 50 der KI-Verordnung schreibt ab dem zweiten August 2026 Transparenzpflichten vor, die praktisch jedes Unternehmen treffen, das KI einsetzt. Die wichtigsten Fälle:
- Chatbots und Sprachassistenten: Der Nutzer muss zu Beginn der Interaktion wissen, dass er mit einer KI kommuniziert. Ausnahme: wenn es aus dem Kontext ohne weiteres erkennbar ist.
- KI-generierte Texte, Bilder, Audio, Video: müssen maschinenlesbar als KI-erzeugt markiert werden, zum Beispiel über Wasserzeichen oder Metadaten.
- Deepfakes: Bilder, Videos oder Audios, die real wirken, aber manipuliert sind, brauchen einen sichtbaren Hinweis. Ausnahme im Kunst-, Satire- und Journalismus-Kontext, aber auch dort mit Einschränkungen.
- Biometrische Kategorisierung und Emotionserkennung: Die betroffene Person muss informiert werden.
Als Digitalisierungsmanager bist du oft der Übersetzer dieser Pflichten in konkrete Umsetzung. Das heißt: Welcher Text auf der Website, welcher Satz im Chatbot-Opener, welches Symbol unter dem Bild. Technisch ist das selten kompliziert, organisatorisch schon: Du musst wissen, wer im Unternehmen welche Inhalte freigibt und wer in welchem Prozess eingebaut werden muss.
Tägliche Dokumentationsroutine
Die tägliche Dokumentationsarbeit im Rahmen des EU AI Act ist überschaubar, wenn du das Register sauber führst. Die wichtigsten Routinen:
- Neue KI-Tools erfassen. Sobald eine Abteilung ein neues Tool einführt, kommt es ins Register und wird eingestuft.
- Änderungen prüfen. Wenn ein Anbieter sein System wesentlich ändert, zum Beispiel ein größeres Modell unterlegt, prüfst du, ob sich die Risikoklasse ändert.
- Zwischenfälle dokumentieren. Falsche Antworten, Datenschutzverletzungen, Beschwerden von Nutzern. Alles in ein einfaches Incident-Log.
- Schulungen nachweisen. Teilnehmerlisten, Inhalte, Datum. Für jede Grundschulung und jede Power-User-Einweisung.
- Aufsichtsstelle kennen. In Deutschland wird die Marktüberwachung nach dem Bundes-KI-Gesetz aufgeteilt. Halte dich auf dem Laufenden, wer für deine Branche zuständig ist. Eine aktuelle Übersicht bietet das BMWK.
Die komplette Weiterbildung zum Digitalisierungsmanager deckt den EU AI Act im Modul 12 systematisch ab. Einen breiteren Überblick zur Rolle findest du in der Pillar-Seite zum Berufsbild, ein tieferer Einstieg in das Zertifikate-Thema steht im Beitrag zu den Zertifikaten im Digitalisierungsmanager-Kurs.
Häufige Fragen zum EU AI Act im Berufsalltag
Muss ich als kleiner Mittelständler auch den EU AI Act erfüllen? Ja. Die Verordnung gilt für jedes Unternehmen, das KI-Systeme im Sinne der Definition einsetzt, unabhängig von der Größe. Kleine Betriebe profitieren aber von abgestuften Pflichten, vor allem bei Hochrisiko-Systemen gibt es Erleichterungen für kleine und mittlere Unternehmen.
Reicht ein Hinweis in der Datenschutzerklärung für die Transparenzpflicht? Nein. Artikel 50 verlangt, dass der Hinweis im Moment der Interaktion beim Nutzer ankommt. Eine Datenschutzerklärung im Footer reicht für Chatbot-Gespräche oder Deepfake-Kennzeichnung nicht aus.
Gilt der EU AI Act auch, wenn ich nur fertige Tools wie ChatGPT nutze? Ja. Du bist dann Betreiber im Sinne der Verordnung. Deine Pflichten sind geringer als die des Anbieters, aber Schulungspflicht nach Art. 4 und Transparenzpflicht nach Art. 50 treffen auch dich. Siehe dazu auch den Überblick EU AI Act Sachkundenachweis.
Was passiert bei Verstößen gegen Artikel 4? Artikel 4 selbst ist nicht direkt mit einem Bußgeld belegt. Aber bei KI-Schäden haftet das Unternehmen, und ohne Schulungsnachweis ist die Verteidigung gegen Sorgfaltspflichtverletzungen kaum möglich. Wer seine Mitarbeiter nicht schult, macht sich angreifbar.
Brauche ich als Digitalisierungsmanager eine juristische Ausbildung? Nein. Du musst das Gesetz verstehen und umsetzen können, nicht auslegen. Die schwierigen Grenzfälle gehen an die Rechtsabteilung oder an externe Berater. Dein Job ist, das System aufzusetzen und es im Betrieb zu halten.
Über den Autor
Dr. Jens Aichinger ist Gründer von SkillSprinters, einem DEKRA-zertifizierten Bildungsträger für KI- und Digitalisierungs-Weiterbildungen. Promovierter Naturwissenschaftler, seit über zehn Jahren in Bildung und Digitalisierung, aktiver Kursleiter und Berater für Quereinsteiger. Er berät wöchentlich Arbeitssuchende und Beschäftigte, die den Sprung in die Digitalisierung machen wollen. Mehr über den Autor.
Zuletzt geprüft am 14. April 2026 von Dr. Jens Aichinger.
Bereit für den nächsten Schritt?
Du willst rausfinden, ob die Weiterbildung zum Digitalisierungsmanager für dich passt? Buch dir 10 Minuten mit Jens. Wir klären deine Situation, welche Rolle der EU AI Act in deinem Zielberuf spielt und welchen Förderweg du gehst. Wenn es nicht passt, sagen wir das.
Weiterlesen
Agile Methoden: welches Level wird erwartet?
Scrum, Kanban, Retro: Welches agile Wissen brauchst du als Digitalisierungsmanager wirklich? Kein Scrum Master nötig, aber das solltest du kennen.
9 Min. Lesezeit
AI-900 Prüfung auf Deutsch: Ablauf und Schwierigkeit
AI-900 auf Deutsch: Ablauf bei Pearson VUE, 40-60 Fragen in 45 Minuten, 700/1000 Punkte. Was dich erwartet und wie du dich vorbereitest.
9 Min. Lesezeit
BPMN verstehen: wann brauchst du es wirklich?
BPMN verstehen als Digitalisierungsmanager: Wann du die Prozessnotation ernsthaft brauchst und wann ein einfacher Flowchart reicht.
7 Min. Lesezeit