KI rechtssicher nutzen KI-Verordnung: KI-Kompetenz & Digitale Souveränität

„Digitale Souveränität“ im Kontext von kleinen und mittleren Unternehmen (KMU) zielt darauf ab, KMU die Potenziale der digitalen Transformation aufzuzeigen und sie zu befähigen, selbstbestimmt digitale Technologien auszuwählen und diese zielführend in ihren eigenen Geschäftsprozessen einzusetzen. Dabei ist es wichtig, dass die KMU die volle Kontrolle über ihre digitale Infrastruktur, ihre Daten und Prozesse behalten, sie weder von Wettbewerbern noch von außereuropäischen Anbietern abhängig werden. Ferner, dass sie angriffssicher werden und in der Lage sind, ihre Compliance-Pflichten, die aus unterschiedlichen Rechtsakten folgen, zu erfüllen. Ein wesentlicher Baustein ist dabei der Aufbau von KI-Kompetenz im Unternehmen.

KI prägt und verändert den Arbeitsalltag zahlreicher Unternehmen – sie ist Bestandteil bei der effizienten Datenauswertung bis hin zur personalisierten Kundenkommunikation. Damit einhergehen sollte eine entsprechende KI-Kompetenz, also die Fähigkeit KI verantwortungsvoll einzusetzen. Allerdings gaben zuletzt 79 % befragter mittelständischer Unternehmen an, dass ihnen die notwendigen KI-Kompetenzen fehlen, was den deutschen Mittelstand erheblich ausbremsen kann [McKinsey-Studie: KI-Kompetenzlücke bremst deutschen Mittelstand aus, 2025, abrufbar unter: https://www.marktundmittelstand.de/ratgeber/ki-studie-stifterverband-mckinsey (angerufen 5.2.2026)]. Umso wichtiger ist es daher, dem Mittelstand aufzuzeigen, was man unter KI-Kompetenz versteht und wie sie sich im Unternehmen aufbauen lässt, auch, um KMU dazu zu befähigen, selbstbestimmt digitale Technologien auszuwählen und diese zielführend sowie verantwortungsvoll in die eigenen Geschäftsprozessen zu integrieren.

Einen gesetzlichen Rahmen für den verantwortungsvollen Umgang mit KI schafft die KI-Verordnung (KI-VO). Danach haben Anbieter und Betreiber von KI-Systemen Maßnahmen zu ergreifen, „um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen […] (Art. 4 KI-VO).“ Art. 3 Nr. 56 KI-VO definiert KI-Kompetenz dabei als „die Fähigkeiten, die Kenntnisse und das Verständnis, die es Anbietern, Betreibern und Betroffenen ermöglichen, KI-Systeme sachkundig einzusetzen sowie sich der Chancen und Risiken von KI und möglicher Schäden, die KI-Systeme verursachen können, bewusst zu werden“. Durch diese Regelungen in der KI-VO ist aber nicht nur der Personenkreis weit gefasst, an die Anbieter und Betreiber KI-Kompetenz vermitteln sollen (u.a. an ihre Arbeitnehmer, freie Dienstleister und Subunternehmer), sondern es bleibt weitgehend unklar, welche konkreten Fähigkeiten und Kenntnisse erforderlich sind, um von einem ausreichenden Maß an vermittelter KI-Kompetenz sprechen zu können. Es stellt sich daher die Frage: Was genau muss eigentlich vermittelt werden?

Offenlassen darf man diese Frage nicht. Vielmehr ist eine Präzisierung der Anforderungen angesichts bestehender Haftungsrisiken durchaus erforderlich. Zwar ist die Vorschrift zur KI-Kompetenz nicht als konkrete Verpflichtung formuliert und ein Bußgeld ist bei Verletzung der rechtlichen Vorgabe nicht vorgesehen. Allerdings sind Versäumnisse bezüglich dieser „Kardinalspflicht“ für die Anbieter und Betreiber von KI-Systemen auch nicht bedeutungslos –Nachlässigkeiten bei der KI-Kompetenz-Vermittlung können vielmehr als Organisations- bzw. Leistungsverschulden auf ganz unterschiedlichen Ebenen haftungsbegründend wie auch imageschädigend wirken.

Beispiele:  Mitarbeitende generieren KI-Outputs, die Urheberrechte verletzen. Für ein KI-Training werden personenbezogene Daten verarbeitet.

Angesichts dieser Beispiele besteht ein hohes Interesse – insbesondere in mittelständischen Unternehmen – wann und gegenüber wem ein ausreichendes Maß an KI-Kompetenz zu vermitteln ist bzw. als vermittelt gilt.

Im Rahmen des Tracks wurde – ausgehend von den dargestellten Situationen – aufgezeigt, wie sich KI-Kompetenz im Unternehmen aufbauen lässt, beginnend bei der Bestandsanalyse, über das Installieren konkreter Maßnahmen sowie einer fortlaufenden Evaluation dieser Maßnahmen bis hin zur Dokumentation der Vorgänge zur Nachweisführung und Enthaftung. 

Warum KI-Kompetenz?

Ausgangspunkt sind einige Beispiele, die aufzeigen, wie wichtig es für Unternehmen ist, KI-Kompetenz im Unternehmen herzustellen und damit auch einen wichtigen Beitrag für die eigene digitale Souveränität zu leisten. KI-Kompetenz befähigt Adressaten, wie etwa die Beschäftigten u.a. dazu, unternehmensschädigende „Schnüffel- und Schatten-KI“ und „Fake-KI“ zu erkennen und abzuwenden wie auch eigens veranlasste „KI-Halluzinationen“ zu vermeiden.

Schnüffel- und Schatten-KI schleichen sich in den Unternehmensalltag ein, weil Beschäftigte eigenständig nicht genehmigte oder nicht beaufsichtigte KI-Tools wie Text- und Bildgeneratoren oder Chatbots verwenden, die ihrerseits das Unternehmen ausspähen oder eingegebene Prompts zu eigenen Trainingszwecken nutzen. Die Gefahr ist durchaus real; schnell werden private und nicht autorisierte KI-Tools wie ChatGPT & Co genutzt, um eine Mail-Antwort zu formulieren, ein langes Dokument zusammenzufassen oder ein passendes Bild für einen Social Media-Post zu generieren. Sammeln diese KI-Tools dann verdeckt und unbemerkt Unternehmensdaten, ist der für das Unternehmen entstehende Schaden vorprogrammiert.

Fake-KI sind täuschend echte KI-generierte Texte, Bilder oder Videokonferenzen, die von ihren Absendern mit Betrugsabsicht eingesetzt werden. So erhielt bspw. ein Finanzangestellter in der chinesischen Finanzmetropole Hongkong per E-Mail eine Einladung zu einer Videokonferenz. Als Absender war der Finanzvorstand einer multinationalen Firma aus dem Vereinigten Königreich benannt. Dem Mitarbeiter wurde aufgetragen, mehrere Transaktionen in Millionenhöhe abzuwickeln. Zunächst war der Mitarbeiter misstrauisch und hatte an eine Phishing-Mail gedacht. Doch als er die Videokonferenz betrat, erkannte er seine Kollegen an ihrem Aussehen und ihren Stimmen. Seine anfänglichen Zweifel waren verflogen. Der Mitarbeiter folgte den Anweisungen und tätigte in der Folge 15 Transaktionen über insgesamt 200 Millionen Hongkong-Dollar (umgerechnet rund 24 Millionen Euro) an verschiedene Bankkonten. Wie sich später herausstellen sollte, waren die Kollegen im Video-Call nicht echt, es handelte sich um gefakte KI-generierte Avatare.

KI-Halluzinationen sind falsche oder irreführende Antworten, die eine KI generiert, welche zwar zunächst überzeugend, aber (ggf. auch unbeabsichtigt) sachlich falsch sind. Sie entstehen, weil die KI darauf trainiert ist, nach statistischen Daten Muster bzw. Korrelationen in Daten zu erkennen und darauf basierend Antworten zu formulieren, anstatt Fakten oder Wirkzusammenhänge widerzugeben. Ursachen können unzureichende Trainingsdaten, fehlerhafte Annahmen des Modells oder Verzerrungen (Bias) in den Daten sein. Führt die von Beschäftigten eingesetzte halluzinierende KI beim Kunden zu Irritationen, sind Geschäftsbeziehungen ernsthaft betroffen – das Unternehmen nimmt Schaden.

Vorteile von KI-Kompetenz

Losgelöst von den vorangegangenen Beispielen ist der Aufbau von KI-Kompetenz mit zahlreichen weiteren Vorteilen verbunden – zum Beispiel:

• Reduzieren von Widerständen und Schaffen von Vertrauen
  Der Aufbau von KI-Kompetenz ermöglicht es, Mitarbeitende im digitalen Transformationsprozess aktiv mitzunehmen. Wenn Mitarbeitende verstehen, was KI leisten kann und wo ihre Grenzen liegen, wächst deren Bereitschaft, Veränderungen aktiv zu gestalten. KI-Kompetenz fördert daher Offenheit, Lernbereitschaft und stärkt das Selbstvertrauen im Umgang mit neuen Technologien.

• Maximale Wertschöpfung durch Mensch-Maschine-Kooperation
  Darüber hinaus entsteht der ​größte Mehrwert durch KI dort, wo Technologie und menschliches Urteilsvermögen zusammenwirken. Während die KI zahlreiche Routineaufgaben automatisiert und Prozesse effizienter gestalten kann, schafft sie den Mitarbeitenden Zeit für kreative und wertschöpfende Aufgaben. Das volle Potenzial von KI kommt aber erst zum Tragen, wenn Mitarbeitende ihre Erfahrung, Kreativität und Intuition in den Dialog mit der KI einbringen; letzteres erfordert KI-Kompetenz.

• Steigern von Wettbewerbsfähigkeit
  Ein grundlegendes Verständnis dafür, an welchen Stellen KI wirkungsvoll unterstützen kann, aber auch wo ihre Grenzen liegen, ist essenziell, um die Technologie verantwortungsvoll und innovationsverstärkend zu nutzen. Unternehmen, die frühzeitig in die Befähigung ihrer Mitarbeitenden durch das Vermitteln von KI-Kompetenz investieren, verschaffen sich einen ​entscheidenden Vorsprung in einem sich rasant verändernden Marktumfeld.

• Reduzieren von Haftungsrisiken
  KI-Kompetenz der Mitarbeitenden trägt schließlich dazu bei, Haftungsrisiken für Unternehmen zu minimieren. Wer versteht, wie KI-Systeme arbeiten und welche rechtlichen Rahmenbedingungen gelten, kann potenzielle Risiken und Fehlerquellen rechtzeitig erkennen und vermeiden. Fehlt die notwendige KI-Kompetenz bei den Mitarbeitenden im Unternehmen, kann dies eine haftungsbegründende Sorgfaltspflichtverletzung darstellen (s. ​Hinweispapier zur KI-Kompetenz der Bundesnetzagentur, S. 3). Wird z. B. in der Personalabteilung KI eingesetzt, hilft KI-Kompetenz, diskriminierende Entscheidungen durch KI-unterstützte Prozesse zu erkennen und zu verhindern. Beim Einsatz von Chatbots ist es wichtig, die generierten Inhalte regelmäßig zu kontrollieren, um unwahre oder sensible Aussagen zu verhindern oder zu löschen und so rechtliche Vorgaben einzuhalten. Hierdurch wird das Risiko rechtlicher Konsequenzen reduziert und die verantwortungsvolle Nutzung von KI sichergestellt.

• Bewusstsein für europäische Lösungen schärfen
  Die Erkenntnis, dass einige außereuropäische KI-Tools Gefahren in sich tragen – etwa, weil sie Daten ausspähen oder durch die Verarbeitung personenbezogener Daten Persönlichkeitsrechte verletzen – schärft das Bewusstsein innerhalb des Unternehmens nach europäischen wertordnungskonformen Lösungen zu suchen.

Aufbau von KI-Kompetenz

Für den Aufbau von KI-Kompetenz gibt es keine rechtlichen oder standardisierten Vorgaben. Der europäische Gesetzgeber wollte dies bewusst offenlassen, um Unternehmen eine individuelle Herangehensweise zu ermöglichen.  Insofern werden sich KMU – auch wenn dies aus den oben genannten Gründen eher unbefriedigend ist - an „Leitlinien“ oder „Best Practices“ orientieren müssen. Vorschläge ergeben sich aus dem ​Hinweispapier der Bundesnetzagentur. Ferner bietet das ​Mittelstand-Digital Zentrums Chemnitz anbieterneutral und kostenfrei diverse Angebote, um KI-Kompetenz im Unternehmen aufzubauen. Eine Übersicht über die Unterstützungsangebote finden Sie weiter unten auf der Seite.