Ein Ratgeber für Unternehmen zwischen Hype, Gesetz und gesundem Menschenverstand
In letzter Zeit vergeht kaum ein Tag, an dem nicht irgendwo das Wort „KI-Kompetenz“ ins Auge fällt. Ob auf Konferenzen, in LinkedIn-Posts oder in Newslettern: Wer mit Künstlicher Intelligenz arbeitet, so heißt es häufig, braucht jetzt angeblich ein Zertifikat. Idealerweise für viel Geld und möglichst schnell. Doch was ist dran an diesem „neuen Muss“?
Muss jetzt wirklich jede und jeder, die oder der im Unternehmen irgendwie mit KI zu tun, zum 3-tägigen Lehrgang? Als Datenschutzbeauftragte wird mir diese Frage regelmäßig von meinen Kunden gestellt. Ich schätze die Sache weniger dramatisch ein, als viele Anbieter von Zertifikaten es glauben machen wollen. Dennoch sollten Unternehmen, die KI einsetzen, sich und ihre betroffenen Beschäftigten KI-fit aufstellen. Hier ein komprimierter Überblick – pragmatisch, praxisnah und mit einem Augenzwinkern.
Was genau meint „KI-Kompetenz“?
Laut Artikel 3 Nr. 56 der KI-Verordnung (KI-VO) ist KI-Kompetenz die Kombination aus Fähigkeiten, Wissen und Verständnis, die nötig sind, um KI-Systeme verantwortungsvoll zu nutzen und um Risiken und Chancen zu erkennen. Sie richtet sich an:
-
- Anbieter (die KI entwickeln)
- Betreiber (die KI verwenden)
- und- mit einem kleinen Interpretationsspielraum, auch an Betroffene.
Nicht jeder muss alles können. Artikel 4 der KI-VO verlangt lediglich, dass Anbieter und Betreiber sicherstellen, dass das eingesetzte Personal über ein ausreichendes Maß an KI-Kompetenz verfügt – und das bitte im jeweiligen Kontext und entsprechend ihrer Rolle. Aus dem Grund macht es mehr Sinn, eine rollenbasierte Verteilung der Kompetenzen einzurichten.
Zertifikatspflicht? Von wegen!
Das ist jetzt vielleicht etwas gemein, aber tatsächlich rechtfertigt nicht jede PowerPoint-Präsentation mit KI-Bezug und – nach Demonstration von Durchhaltevermögen, einem schmucken Zertifikat, gleich eine vierstellige Schulungsrechnung. Weder die KI-VO noch die ISO 42001, eine internationale Norm für KI-Managementsysteme, verlangen explizit ein Zertifikat. Entscheidend ist, dass Kompetenz nachweisbar ist. Das kann durch Erfahrung, Ausbildung, Schulung oder Weiterbildung erfolgen. Die ISO empfiehlt zwar Dokumentation, aber sie schreibt nicht vor, dass das mit teuren Kursen und Zertifikaten geschehen muss. Es gibt keinen gesetzlich vorgeschriebenen Zwang, sich zertifizieren zu lassen.
Wer muss KI-kompetent sein?
Die KI-Kompetenzpflicht gilt nicht für Endnutzer oder Mitarbeitende ohne direkten Bezug zur Entwicklung oder Anwendung von KI-Systemen.
Gefordert sind:
-
- Anbieter von KI-Systemen (z. B. ein Unternehmen, das eine eigene KI-Software entwickelt)
- Betreiber, also Unternehmen oder Organisationen, die KI einsetzen (z. B. für Bewerberauswahl oder Kundenanalyse)
In Erwägungsgrund 20 (nicht bindend, aber auslegungsrelevant) wird auch die Kompetenz von Betroffenen erwähnt, also zum Beispiel Menschen, deren Daten verarbeitet oder deren Verhalten bewertet wird. Das bedeutet: Wer KI einsetzt, sollte auch für verständliche Aufklärung über die Auswirkungen sorgen.
Was heißt das konkret für Unternehmen?
-
- Kompetenz aufbauen, aber gezielt: Nicht alle Mitarbeitenden brauchen Schulungen, sondern nur jene mit KI-Bezug (z. B. Datenanalysten, Entwickler, Datenschutzkoordinatoren).
- Rollen definieren und Kompetenzen zuordnen: Wer macht was mit KI und welches Know-how ist dafür erforderlich?
- Schulungen dokumentieren: Damit im Ernstfall (z. B. bei einer Datenschutzprüfung) der Nachweis gelingt.
- Ethik und Verantwortung mitdenken: Transparenz, Fairness und Datenschutz sind keine Buzzwords, sondern klare Anforderungen (Art. 4 KI-VO, ISO 42001).
Gibt’s Bußgelder?
Ja. Die KI-Verordnung enthält ähnliche Sanktionsrahmen wie die DSGVO. Bei besonders schweren Verstößen (z. B. gegen Vorschriften zu Hochrisiko-KI-Systemen) drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes.
Je nach Kontext kann fehlende KI-Kompetenz also durchaus Konsequenzen haben, vor allem, wenn dadurch Grundrechte oder der Datenschutz verletzt werden.
Was hat das alles mit dem Datenschutz zu tun?
Abhängig vom Einsatzszenario verarbeitet KI nicht automatisch personenbezogene Daten. Wenn bei LLMs wie ChatGPT zum Beispiel neutraler Inhalt abgefragt wird („Erkläre, wie Käse hergestellt wird“) hat das keine DSGVO Relevanz. Anderes sieht es aus, wenn ein Chatbot Kundennamen, Kontodaten verarbeitet oder wenn CRM Systeme automatisch Kundenanfragen kategorisieren und automatisiert Antwort-Mails schreiben. Dann ist auch immer die DSGVO im Spiel. Das Gleiche gilt bei Tools zur automatischen Bewerbervorsortierung, Videoanalysen oder Leistungsbewertung, wie sie in vielen Personalabteilungen eingesetzt werden: Hier verarbeiten KI-Systeme personenbezogene Daten – und zwar automatisiert und potenziell diskriminierend. Die DSGVO verlangt, dass Betroffene über automatisierte Entscheidungen informiert werden (Art. 13, 14, 22 DSGVO), und dass Unternehmen Maßnahmen treffen, um Risiken zu minimieren. Ein KI-System ohne datenschutzrechtliche Absicherung ist wie ein Rennwagen ohne Bremsen – beeindruckend, aber gefährlich.
Und was ist mit dem Barrierefreiheitsgesetz?
Auch zum ab dem 28. Juni 2025 in Kraft tretenden Barrierefreiheitsstärkungsgesetz (BFSG) gibt es Schnittstellen. Das BFSG verpflichtet unter anderem Betreiber von Websites und Apps, ihre digitalen Angebote barrierefrei zu gestalten – und zwar überall dort, wo diese Produkte oder Dienstleistungen für Verbraucherinnen und Verbraucher angeboten werden. Das betrifft z. B. Online-Shops, Banken, Ticketportale oder Mobilitätsanbieter. Unternehmen müssen sicherstellen, dass auch Menschen mit Einschränkungen Zugang zu den angebotenen digitalen Services haben.
Auch hier kann KI eine Rolle spielen – etwa bei der automatisierten Sprachausgabe oder Bildbeschreibung. Aber: Auch diese Systeme müssen verständlich und diskriminierungsfrei arbeiten – und damit wird KI-Kompetenz erneut zum Thema.
KI-Kompetenz ja, aber bitte mit Augenmaß
Wer mit KI arbeitet, für den ist KI-Kompetenz wichtig – keine Frage. Aber das bedeutet nicht, dass nun halb Deutschland auf Zertifikatsjagd gehen muss. Unternehmen sollten sich lieber folgende Fragen stellen:
-
- Wer arbeitet bei uns mit KI – und in welcher Form?
- Haben diese Personen das nötige Wissen, um verantwortungsvoll damit umzugehen?
- Können wir das belegen – auch ohne offizielle Urkunde?
Denn wie so oft gilt: Nicht der Schein zählt, sondern das Tun. Manchmal ist gesunder Menschenverstand eben der beste Kompetenznachweis.
Noch Fragen oder Unsicherheiten?
Gern berate ich Sie individuell – pragmatisch, unabhängig und datenschutzrechtlich auf dem neuesten Stand.