Praxisleitfaden: Kompetenz-Governance und Trainingspraxis nach Art. 4 EU AI Act

Art. 4 des EU AI Act stellt die Weichen für die tägliche Praxis: Nicht jede Person braucht denselben Deep‑Dive, aber jede Organisation braucht eine nachvollziehbare Kompetenz-Governance. Dieser Leitfaden zeigt, wie Sie die Mindestfragen klären, Trainingsinhalte an Risikoklassen koppeln und Teams befähigen, verbotene Konstellationen nach Art. 5 zu erkennen. Für vertiefende Module und Rollenprofile siehe EU AI Act: Schulungen und Trainings.

Was Art. 4 praktisch verlangt

Art. 4 verpflichtet Anbieter und Betreiber, „nach besten Kräften“ ein ausreichendes Maß an KI‑Kompetenz sicherzustellen – kontextbezogen, rollenbasiert und entlang der Wertschöpfungskette. Daraus folgt: Die Schulungstiefe variiert, die Begründung nicht. Eine tragfähige Kompetenz-Governance nach EU AI Act beantwortet mindestens:

• Wer berührt welches KI‑System – in welcher Rolle und mit welcher Entscheidungsbefugnis?
• Welche potenziellen Auswirkungen auf Betroffene bestehen (Reichweite, Schwere, Umkehrbarkeit)?
• Welche Inhalte aus Herstellerdokumentation, Risikomanagement, menschlicher Aufsicht und Incident‑Prozessen müssen verstanden und angewandt werden?
• Welche Transparenz- und Kennzeichnungspflichten greifen (z. B. Interaktionshinweise, synthetische Inhalte)?
• Wie wird Wirksamkeit der Schulung belegt und aktualisiert (Evaluation, Refresh‑Zyklen)?

Rollen, Matrix, Dokumentation: vom Systeminventar zum Lernplan

Startpunkt ist ein vollständiges Inventar der KI‑Anwendungen und Use Cases. Danach werden Systeme risikobasiert eingeordnet: verbotene Praktiken (Art. 5), Hochrisiko (Art. 6, Anhänge), Transparenzpflichten (Art. 50) und GPAI‑Modelle (Art. 51–56). Darauf aufbauend definiert die Organisation eine Rollenmatrix: Projektleitung, Fachbereiche, Entwicklung/Integration, Datenrollen, Front‑Office/Redaktion, Compliance/Datenschutz, Governance‑Funktionen. Für die Abstimmung von Entscheidungsbefugnissen und Freigaben hilft die Rolle der Projektleitung als Dreh‑ und Angelpunkt. Dokumentieren Sie Begründungen für Schulungstiefen, Teilnehmerkreise, Inhalte und Evaluationsschritte – nicht, weil Art. 4 ein Format vorschreibt, sondern um die „nach besten Kräften“-Anforderung belastbar nachzuweisen.

Trainingsarchitektur nach Risikoklassen: vier Kernmodule

Ein modularer Aufbau verbindet Recht und Praxis:

• Modul A – Verbotene Praktiken (Art. 5): Erkennen und sofortiges Stoppen manipulativer Anwendungen, unzulässiger Ausnutzung von Vulnerabilitäten, Social‑Scoring sowie bestimmter biometrischer Verfahren. Trainingsbotschaft: „Stop use case immediately“.
• Modul B – Hochrisiko‑Systeme (Art. 6, 8–15, 16–27): Pflichten zu Risikomanagement, Daten‑/Modellqualität, Dokumentation, Logging, menschlicher Aufsicht und Konformität. Botschaft: „Use case needs formal control system“. Für technische Rollen und Schnittstellen lohnt ein Blick in die Praxis für IT‑Teams.
• Modul C – Transparenzpflichtige KI (Art. 50): Kennzeichnung von KI‑Interaktion, synthetischen Inhalten und Deepfakes; redaktionelle Absicherung in Kundenkommunikation und Content‑Prozessen.
• Modul D – GPAI‑Modelle (Art. 51–56): Trennung von Modell‑ und Systemebene, Verständnis der Herstellerpflichten, Copyright‑Beachtung und ggf. systemische Risiken.

Die Module werden je Rolle und Exposition kombiniert: Front‑Office braucht z. B. C plus Grundlagen, Entwickler und Integratoren B plus D, Governance‑Funktionen A bis D in geeigneter Tiefe.

Verdeckte Art‑5‑Konstellationen im Alltag identifizieren

Die größte Praxisgefahr liegt selten im exotischen Sonderfall, sondern in „Alltagsmustern“: personalisierte Ansprache, die durch Dark Patterns in manipulative Steuerung kippt; Emotionserkennung in Bewerbungsprozessen; Sicherheits‑ oder Bonitätslogik, die faktisch ein soziales Scoring ergibt; das massenhafte Auslesen von Gesichtsbildern zur Datenbankbildung. Trainings sollten rote Linien und Graubereiche scharf trennen, typische Indikatoren vermitteln (z. B. erhebliche Beeinträchtigung fundierter Entscheidungen, Ausnutzung von Vulnerabilitäten) und klare Eskalationspfade in Incident‑ und Freigabeprozesse einüben. Entscheidend ist das Zusammenspiel aus Frühwarnkompetenz im Team, dokumentierten Entscheidungswegen und rascher Stop‑Fähigkeit.

Schlussfolgerung: Wer seine Trainings entlang der Risikoklassen modular aufbaut, Entscheidungen über Tiefe und Teilnahme sauber begründet und eine lebende Rollenmatrix pflegt, erfüllt nicht nur Art. 4 – er stärkt die operative Sicherheit. Kompetenz-Governance nach EU AI Act ist damit weniger Pflichtübung als Hebel, um KI‑Projekte robust, erklärbar und überprüfbar zu machen.