Artikel 4 EU AI Act: Die Norm, die seit Februar 2025 jeden KI-Betreiber bindet
Artikel 4 EU AI Act ist die zentrale Rechtsgrundlage für die KI-Kompetenzpflicht in Deutschland und der gesamten EU. Er gilt seit dem 2. Februar 2025 — und ist damit die erste materiell bindende Norm des EU AI Act, die für nahezu alle Unternehmen relevant wurde, lange bevor die komplexen Hochrisiko-Regeln in Kraft traten.
Wer heute ein KI-System einsetzt — sei es Microsoft Copilot, eine KI-gestützte HR-Plattform oder eine automatisierte Kreditbeurteilung — ist als Betreiber gemäß Art. 3(4) EU AI Act gebunden. Artikel 4 ist keine Empfehlung. Er ist geltendes Recht, direkt anwendbar in Deutschland ohne weiteres Umsetzungsgesetz.
Dieser Artikel erklärt präzise und praxisnah, was Artikel 4 exakt verlangt, wen er bindet, wie er mit anderen Pflichten interagiert und welche konkreten Schritte KMU zur rechtssicheren Umsetzung gehen müssen.
Was sagt Artikel 4 EU AI Act im Wortlaut?
Artikel 4 verpflichtet Anbieter und Betreiber von KI-Systemen, nach bestem Vermögen sicherzustellen, dass ihr Personal und alle anderen Personen, die in ihrem Auftrag KI-Systeme bedienen oder nutzen, über ausreichende KI-Kompetenz verfügen — unter Berücksichtigung ihres technischen Wissens, ihrer Erfahrung, Ausbildung und Schulung sowie des Kontexts, in dem die KI-Systeme eingesetzt werden sollen, und der Personen oder Personengruppen, gegenüber denen die KI-Systeme eingesetzt werden.
Dieses ist der autorisierte Inhalt des Artikels (Verordnung (EU) 2024/1689, Art. 4). Einige Schlüsselbegriffe verdienen besondere Aufmerksamkeit:
„Nach bestem Vermögen" — proportionaler Maßstab, kein absolutes Gebot
Der Maßstab ist proportional, nicht absolut. Das bedeutet: Der Gesetzgeber erwartet keine hundertprozentige Garantie, sondern dokumentierte, ernsthafte Anstrengungen. Unternehmen müssen zeigen, dass sie die Schulungspflicht systematisch angegangen sind — nicht perfekt erfüllt haben.
Das entlastet KMU in der Praxis: Es muss kein CERN-Niveau an KI-Kompetenz nachgewiesen werden. Aber „wir haben nichts gemacht" oder „wir haben einen generischen Kurs gekauft ohne Nachweis" genügt ebenfalls nicht.
„Ausreichende KI-Kompetenz" — was das konkret bedeutet
KI-Kompetenz ist nach Art. 3(56) EU AI Act definiert als die Fähigkeiten, das Wissen und das Verständnis, das Anbietern, Betreibern und betroffenen Personen ermöglicht, KI-Systeme kompetent einzusetzen und gleichzeitig die Chancen und Risiken von KI zu erkennen.
„Ausreichend" bedeutet dabei nicht „maximal". Der Maßstab der Ausreichendheit richtet sich nach:
- Der Rolle der Person im KI-Einsatz (operative Nutzung, Entscheidung, Kontrolle)
- Dem eingesetzten KI-System — Hochrisiko-Systeme erfordern tieferes Wissen
- Den betroffenen Personengruppen — KI, die über Menschen entscheidet, erfordert höheres Kompetenzniveau bei den Bedienenden
„Personal und andere Personen" — der erweiterte Personenkreis
Artikel 4 gilt nicht nur für festangestellte Mitarbeiter. Die Pflicht erstreckt sich auf alle Personen, die im Auftrag des Unternehmens KI nutzen — also auch externe Dienstleister, Freelancer, Leiharbeiter und Berater, die Zugang zu unternehmenseigenen KI-Systemen haben oder im Unternehmensauftrag KI einsetzen.
Wen bindet Artikel 4 EU AI Act?
Artikel 4 bindet zwei Kategorien von Rechtspersonen, die im EU AI Act klar definiert sind:
Anbieter (Art. 3(3)) — oft nicht KMU, aber relevant für die Kette
Ein Anbieter ist eine natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder eigener Marke auf den Markt bringt oder in Betrieb nimmt — gegen Entgelt oder kostenlos.
Für die meisten deutschen KMU trifft diese Rolle nicht zu: Sie entwickeln in der Regel keine eigenen KI-Systeme, sondern kaufen oder lizenzieren fertige Systeme. Wer jedoch eigene KI-Anwendungen entwickelt — auch intern, für den eigenen Betrieb — wird zum Anbieter und hat weitreichendere Pflichten.
Betreiber (Art. 3(4)) — das ist die Rolle der meisten deutschen KMU
Ein Betreiber ist jede natürliche oder juristische Person, die ein KI-System unter ihrer Aufsicht nutzt, außer im Rahmen einer rein persönlichen, nicht beruflichen Tätigkeit.
Die praktische Konsequenz: Nahezu jedes Unternehmen, das heute Software mit KI-Funktionen einsetzt, ist ein Betreiber nach EU AI Act — und damit unmittelbar an Artikel 4 gebunden. Das gilt für:
- Unternehmen, die ChatGPT Enterprise oder Microsoft Copilot im Betrieb einsetzen
- Unternehmen, die HR-Software mit KI-gestützter Bewerberanalyse nutzen
- Unternehmen, die KI-basierte Kreditscoring- oder Bonitätsprüfungs-Tools verwenden
- Unternehmen, die CRM-Systeme mit KI-Verkaufsprognosen einsetzen
- Unternehmen, die Chatbots auf ihrer Unternehmenswebsite betreiben
Die Frage „Gilt das auch für uns?" beantwortet sich damit fast immer mit: Ja.
Seit wann gilt Artikel 4 — und was ändert der Digital Omnibus?
Artikel 4 EU AI Act gilt seit dem 2. Februar 2025. Das ist die durch Art. 113(a) der Verordnung (EU) 2024/1689 festgesetzte Frist — und sie gilt unverändert. Der Digital Omnibus (politische Einigung vom 7. Mai 2026, Stand: noch nicht in Kraft getreten/im Amtsblatt veröffentlicht) hat die Fristen für Hochrisiko-KI-Systeme (Annex III und Annex I) verschoben, aber Artikel 4 ausdrücklich nicht berührt.
Das bedeutet: Wer noch keine Maßnahmen ergriffen hat, ist seit Februar 2025 im Verzug — nicht seit einem zukünftigen Datum.
Die vollständige Fristenübersicht im Kontext
| Datum | Was gilt |
|---|---|
| 1. August 2024 | EU AI Act tritt in Kraft (Verordnung (EU) 2024/1689) |
| 2. Februar 2025 | Artikel 4 (KI-Kompetenzpflicht) und Artikel 5 (Verbotene Praktiken) in Kraft |
| 2. August 2025 | GPAI-Kapitel und Governance-Kapitel in Kraft; Sanktionsrahmen Art. 99 wirksam |
| 2. August 2026 | Hochrisiko-KI nach Annex III (z. B. HR-KI, Kreditscoring) — ursprünglicher Termin |
| 2. August 2027 | Hochrisiko-KI nach Annex I — ursprünglicher Termin |
Für eine vollständige Übersicht aller Fristen — inklusive der vorgeschlagenen Verschiebungen durch den Digital Omnibus — empfehlen wir unseren Artikel EU AI Act Fristen 2025–2027: Der vollständige Compliance-Zeitplan.
Was verlangt Artikel 4 konkret von KMU? Fünf operative Anforderungen
Die Norm ist bewusst offen formuliert, aber aus der Kombination von Gesetzestext, BNetzA-Guidance und Compliance-Best-Practices lassen sich fünf operative Anforderungen ableiten:
1. KI-Inventar: Wissen, welche Systeme überhaupt genutzt werden
Bevor KI-Kompetenz sichergestellt werden kann, muss klar sein, welche KI-Systeme das Unternehmen überhaupt einsetzt. Ein KI-Inventar ist die unabdingbare Grundlage. Es erfasst alle Systeme — inklusive sogenannter Schatten-KI (Tools, die Mitarbeiter eigenständig ohne formale Genehmigung nutzen).
2. Rollenanalyse: Wer nutzt welche KI in welchem Kontext?
Nicht jede Person, die gelegentlich auf eine KI-Funktion klickt, braucht dieselbe Schulungstiefe wie jemand, der täglich KI-gestützte Personalentscheidungen trifft. Artikel 4 verlangt explizit, den Kontext und die Rolle zu berücksichtigen. Eine kurze Analyse — wer nutzt was, wie oft und mit welchen Konsequenzen — ist Pflicht.
3. Schulungsmaßnahme: Strukturiert, inhaltsreich, dokumentiert
Die eigentliche Schulung muss inhaltlich geeignet sein, die laut Analyse identifizierten Kompetenzlücken zu schließen. Empfohlen werden drei Kompetenzstufen:
- Grundstufe für alle KI-Nutzenden: Was ist KI? Wie funktioniert sie? Welche Risiken gibt es? Welche KI-Praktiken sind nach Art. 5 verboten?
- Mittelstufe für operative KI-Entscheider (IT, HR, Einkauf): Risikoklassifizierung, Betreiberpflichten, Bias, menschliche Aufsicht
- Vertiefungsstufe für Compliance, GF und KI-Admins: Hochrisiko-Pflichten, Artikel 26, Governance, Haftung
4. Leistungsnachweis und Zertifizierung
Die Bundesnetzagentur schreibt kein Zertifikat vor — aber im Audit-Fall brauchen Sie einen Nachweis, der mehr belegt als eine Anmeldung. Ein bestandener Test mit personalisiertem, verifizierbarem Zertifikat ist die stärkste Nachweisform. Warum das entscheidend ist und was ein gutes Zertifikat ausmacht, erklärt unser Artikel EU AI Act Zertifizierung: Warum ein zertifizierter Nachweis jetzt zählt.
5. Aktualisierung: KI-Kompetenz ist kein einmaliger Akt
KI-Systeme und Rechtsrahmen entwickeln sich. Eine Schulung aus 2025 kann 2027, wenn neue Hochrisiko-Anforderungen vollständig in Kraft sind, veraltet sein. Das Schulungskonzept muss regelmäßige Aktualisierungszyklen vorsehen — und diese müssen ebenfalls dokumentiert werden.
Wie interagiert Artikel 4 mit anderen Pflichten des EU AI Act?
Artikel 4 ist die Basisnorm, auf der alle anderen Betreiberpflichten aufbauen. Es gibt keine Compliance mit Artikel 26, wenn das Personal nicht die Kompetenz hat, die dort geforderte menschliche Aufsicht tatsächlich wahrzunehmen.
Artikel 4 und Artikel 26 (Betreiberpflichten für Hochrisiko-KI)
Wer ein Hochrisiko-KI-System betreibt — z. B. eine KI-gestützte Bewerberauswahl nach Annex III, Nr. 4 — hat nach Artikel 26 EU AI Act weitreichende Zusatzpflichten: Einhaltung der Anbieteranweisungen, Benennung kompetenter Aufsichtspersonen, Aufbewahrung von Logs mindestens sechs Monate, Meldung von Vorfällen, Information der betroffenen Mitarbeiter vor Inbetriebnahme (Art. 26(7)).
Artikel 4 und Artikel 26 greifen ineinander: Ohne ausreichende KI-Kompetenz der Aufsichtsperson nach Art. 4 ist die menschliche Aufsicht nach Art. 26 faktisch leer.
Artikel 4 und Artikel 5 (Verbotene Praktiken)
Artikel 5 EU AI Act verbietet seit dem 2. Februar 2025 acht absolute Praktiken, darunter die Erkennung von Emotionen am Arbeitsplatz (Art. 5(1)(f)), Social Scoring (Art. 5(1)(c)) und manipulative KI-Systeme (Art. 5(1)(a)). Ein Mitarbeiter, der die verbotenen Praktiken nicht kennt, kann nicht sicherstellen, dass das Unternehmen keine verbotenen KI-Systeme einsetzt oder nutzt. Artikel 4 ist also auch der Schlüssel zur Einhaltung von Artikel 5. Zu den verbotenen Praktiken im Detail: Verbotene KI-Praktiken: Die 8 Verbote nach Artikel 5.
Artikel 4 und die Risikoklassifizierung
Um die nach Artikel 4 erforderliche, rollenproportionale Schulungstiefe zu bestimmen, muss jedes KI-System im Inventar klassifiziert sein. Die Risikoklassifizierung von KI-Systemen nach der EU-Risikopyramide (minimales Risiko, begrenztes Risiko, Hochrisiko, unannehmbares Risiko) ist die Vorarbeit, die Artikel 4 erst operationalisierbar macht.
Typische Fehler bei der Umsetzung von Artikel 4
In der Praxis begegnen uns immer wieder dieselben Fehler:
Fehler 1: „Wir haben keine KI" Viele Unternehmen unterschätzen, wie viele ihrer alltäglichen Software-Tools als KI-Systeme nach Art. 3(1) qualifizieren. CRM mit Kaufprognose, HR-Software mit CV-Screening, ERP mit Bedarfsprognose — all das fällt unter den EU AI Act.
Fehler 2: „Wir sind zu klein für den EU AI Act" Es gibt keine KMU-Ausnahme für Artikel 4. Der Proportionalitätsgrundsatz beeinflusst die Tiefe der Maßnahmen, nicht das Ob.
Fehler 3: Schulung ohne Dokumentation Eine Schulung, die nicht dokumentiert ist, ist juristisch nicht existent. Wer in einem Audit keinen Nachweis vorlegen kann, gilt als nicht compliant — unabhängig davon, ob die Schulung stattgefunden hat.
Fehler 4: Einheitliches Schulungsformat für alle Artikel 4 verlangt ausdrücklich rollenproportionale Maßnahmen. Ein einziger generischer Kurs ohne Differenzierung nach Rolle und System entspricht dem Geist des Artikels nicht.
Fehler 5: Schulung als einmaliges Ereignis KI und Recht entwickeln sich. Was 2025 ausreichend war, muss 2027 aktualisiert werden. Fehlende Aktualisierungszyklen sind ein typischer Compliance-Gap.
Artikel 4 EU AI Act und die Schulungspflicht: Das Pillar-Post-Fundament
Dieser Artikel ist als präziser Rechts-Explainer gedacht. Wer einen umfassenderen Überblick über die gesamte Schulungspflicht — einschließlich des strategischen Rahmens, Checklisten und konkreter Handlungsempfehlungen — sucht, findet diesen in unserem Pillar-Post EU AI Act 2025: Die Schulungspflicht nach Artikel 4 einfach erklärt.
Für die operative Frage, wie man KI-Kompetenz strukturiert nachweist und dokumentiert, empfehlen wir KI-Kompetenz nachweisen: Der vollständige Leitfaden für KMU.
Jetzt handeln — Artikel 4 EU AI Act ist kein Zukunftsszenario
Artikel 4 gilt. Seit dem 2. Februar 2025. Jedes Unternehmen, das KI-Systeme betreibt und keine dokumentierte Schulungsmaßnahme nachweisen kann, ist bereits im Verzug. Die gute Nachricht: Eine rechtssichere Umsetzung ist mit dem richtigen Kursrahmen effizient und überschaubar — auch für KMU ohne eigene Compliance-Abteilung.
Forefront AI hat den einzigen auf den EU AI Act und deutsche KMU spezialisierten 5-Modul-Online-Kurs entwickelt, der aus Artikel 4 eine konkrete, dokumentierte Schulungsrealität macht: rollenspezifisch, szenariobasiert, mit bestandenem Abschlusstest und QR-verifizierbarem Zertifikat. Alle Nachweise werden zentral dokumentiert — revisionsfähig und auf Anfrage der Bundesnetzagentur sofort vorlegbar.
Erfahren Sie mehr auf unserer Leistungsseite oder nehmen Sie direkt Kontakt auf. Wir analysieren gemeinsam, welche Mitarbeiter welche Schulungsstufe benötigen — und wie Ihr Compliance-Nachweis in vier Wochen steht.