EU AI Act zwischen Rechtstext und Leitlinien: Artikel 4 operativ greifen

Zwischen dem verbindlichen Verordnungstext des EU AI Act und den oft praktischen, aber unverbindlichen Kommissionsleitlinien klafft in vielen Projekten eine Lücke. Teams lesen Q&A, Service-Seiten oder maschinell übersetzte Hinweise – und suchen darin die Sicherheit, die am Ende nur der Gesetzestext bietet. Besonders bei Artikel 4 (KI‑Kompetenz) wird das sichtbar: Die Norm ist offen, die Erwartung an Organisationen hoch. Dieser Beitrag ordnet die Rechtslage ein, erläutert den Nutzen von Guidance ohne sie aufzuwerten – und zeigt, wie Projektleitungen und IT die Vorgaben operativ umsetzen können. Das ist eine praxisorientierte Einordnung, keine Rechtsberatung.

Rechtslage kompakt: Was bindet wirklich

Die KI‑Verordnung gilt unmittelbar in allen EU‑Staaten. Maßgeblich sind die im Amtsblatt veröffentlichten und auf EUR‑Lex abrufbaren Bestimmungen, inklusive Erwägungsgründen. Demgegenüber sind Kommissionsmaterialien – AI Act Service Desk, Q&A, Präsentationen – hilfreiche Erläuterungen, jedoch rechtlich nicht verbindlich. Gleiches gilt für maschinelle Übersetzungen: Sie dienen dem Verständnis, ersetzen aber keine authentische Sprachfassung. Nationale Flankierungen (z. B. Aufsicht, sektorale Details) können folgen, ändern jedoch nichts an der Rangfolge: Für Pflichten und Sanktionsrahmen zählt der Verordnungstext.

Artikel 4 im Alltag: offene Norm, klare Pflicht

Artikel 4 verpflichtet Anbieter und Betreiber von KI‑Systemen, „nach besten Kräften“ sicherzustellen, dass Personal und beauftragte Dritte über ausreichende KI‑Kompetenz verfügen. Der Begriff ist legal definiert und umfasst mehr als Technik: Verständnis von Chancen, Risiken, möglichen Schäden und Einsatzkontext. Vorgeschrieben sind keine festen Zertifikate oder Stundenkontingente – die Norm ist bewusst technologie- und formatsouverän. Sie gilt breit, nicht nur bei Hochrisiko‑Systemen. Auch wenn Artikel 4 nicht als eigener Bußgeldtatbestand ausgestaltet ist, wird seine Umsetzung in Aufsichtspraxis, Haftung und Reputation eine Rolle spielen: Dokumentierte Sorgfalt ist hier die Währung.

So wird Art. 4 operativ: Schritte für Projekt- und IT‑Teams

Operativ überzeugt, wer strukturiert vorgeht und Belege schafft. Die folgenden Schritte lassen sich auf Verwaltung, Gesundheitswesen oder Mittelstand übertragen und an Risikolage und Größe anpassen:

• Bestandsaufnahme: KI‑Use Cases, Systeme, Datenflüsse und Betroffenheit (z. B. Bürger, Patientinnen, Mitarbeitende) erfassen.
• Rollen klären: Wer entwickelt, betreibt, überwacht, entscheidet? Fachbereiche, Compliance, Beschaffung, IT, externe Dienstleister.
• Kompetenzprofile je Rolle definieren: Technikgrundlagen, Datenschutz-/Sicherheitsaspekte, Bias/Non‑Discrimination, Domänenwissen, Eskalationspfade.
• Gap‑Analyse: bestehende Fähigkeiten vs. Soll‑Profil; Priorisierung nach Risiko und Nähe zur Entscheidung.
• Maßnahmen planen: modulare Formate (Onboarding, Playbooks, Szenario‑Übungen, Lessons Learned), Verantwortlichkeiten und Budgets festlegen.
• Durchführung und Nachweise: Schulungspläne, Teilnahmeprotokolle, Materialien, Kompetenzchecks, Change‑Logs dokumentieren.
• Regelmäßige Reviews: Ereignisse und Vorfälle auswerten, Profile und Maßnahmen aktualisieren, Guidance spiegeln – stets am Verordnungstext.

Für projektseitige Struktur und Governance bieten sich praxiserprobte Checklisten an, etwa unter Praxis für Projektleitungen: KI-Projekte rechtssicher strukturieren. Technische Umsetzung, Evidenzen und Audit‑Trail vertieft der Blick aus IT‑Perspektive: IT-Teams: Technische Umsetzung und Dokumentation nach EU AI Act.

Häufige Fehlannahmen – und wie man sie vermeidet

Erstens: „EU‑Q&A genügen als Rechtsgrundlage.“ Nein – sie sind Hilfsmittel, der Verordnungstext ist bindend. Zweitens: „Eine einmalige Schulung reicht.“ Artikel 4 verlangt einen laufenden Organisationsprozess mit Updates. Drittens: „Das betrifft nur Hochrisiko.“ Falsch – die Pflicht adressiert Anbieter und Betreiber generell. Viertens: „Pilotprojekte sind ausgenommen.“ Auch Experimente erzeugen Pflichten, wenn reale Daten, Personen oder Entscheidungen betroffen sind. Fünftens: „Die deutsche Maschinenübersetzung passt schon.“ Nuancen zählen; im Zweifel mehrere Sprachfassungen prüfen und bei Grenzfällen rechtlich klären.

Beim Einordnen hilft die Formulierung des Beitragsziels: EU AI Act: Verordnungstext vs Kommissionsleitlinien ist kein Entweder-oder. Guidance erklärt Intentionen und verweist oft auf relevante Erwägungsgründe – sie ersetzt aber nie die Prüfung am Rechtstext. Wo Einstufungen (z. B. Hochrisiko) oder sektorale Spezialfragen berührt sind, ist eine juristische Bewertung angezeigt.

Fazit: Entscheidungen immer am Verordnungstext ausrichten, Guidance bewusst nutzen, KI‑Kompetenz als kontinuierlichen Prozess etablieren und Nachweise systematisch führen. Für eine vertiefte Einordnung von Rechtstext und Umsetzungsfragen lohnt die sachliche Lektüre begleitender Materialien, etwa EU AI Act Schulung – Vertiefung Verordnungstext & Umsetzungsfragen.