Der Mensch als Kontrollinstanz: Schulungspflicht und persönliche Haftung unter dem EU AI Act

In einem Bürogebäude in Stuttgart-Vaihingen sitzt eine Compliance-Beauftragte vor ihrem Bildschirm und studiert zum dritten Mal die Dokumentationsanforderungen für das neue KI-gestützte Bewerbermanagementsystem ihrer Firma. Es ist Januar 2026, und die Frist für die vollständige Konformität mit dem EU AI Act rückt unaufhaltsam näher. Bis August dieses Jahres müssen alle Hochrisiko-KI-Systeme den Anforderungen der europäischen KI-Verordnung entsprechen – und erstmals steht dabei nicht nur das Unternehmen in der Haftung, sondern auch sie persönlich als verantwortliche Führungskraft. Die Frage, die sie beschäftigt, ist nicht mehr, ob ihre Firma compliant werden muss, sondern wie sie in den verbleibenden Monaten eine Schulungsarchitektur aufbauen kann, die sowohl den regulatorischen Anforderungen genügt als auch die tatsächliche Kompetenz der Mitarbeiter im Umgang mit algorithmischen Entscheidungssystemen gewährleistet.

Diese Szene spielt sich derzeit in tausenden deutschen Unternehmen ab. Mit der Veröffentlichung der finalen Durchführungsbestimmungen und dem nahenden Ende der Übergangsfrist für Hochrisiko-KI-Systeme hat sich der regulatorische Druck dramatisch verschärft. Der EU AI Act, der im August 2024 in Kraft trat, entfaltet nun seine volle Wirkung. Artikel 4 der Verordnung verlangt seit Februar 2025 eine allgemeine KI-Kompetenzpflicht für alle Beschäftigten, die mit KI-Systemen arbeiten. Doch die eigentliche Herausforderung liegt in den spezifischen Schulungsanforderungen für Hochrisiko-Systeme nach Artikel 14, die eine detaillierte Unterweisung auf Basis der Herstellerdokumentation verlangen. Die Bundesnetzagentur als zentrale Marktüberwachungsbehörde in Deutschland hat klargestellt, dass sie bei Prüfungen einen lückenlosen, prüffähigen Nachweis der Schulungsmaßnahmen erwartet – die Phase der Schonfrist ist endgültig vorbei.

Die zweistufige Struktur der Schulungspflichten reflektiert einen grundlegenden Wandel im europäischen Regulierungsansatz. Auf der ersten Ebene steht das Grundverständnis: Jeder Mitarbeiter, der mit KI-Systemen interagiert, muss die Funktionsweise dieser Systeme verstehen, potenzielle Verzerrungen (Bias) erkennen können und sich der Datenschutzrisiken bewusst sein. Diese allgemeine KI-Kompetenz ist keine technische Spielerei, sondern eine demokratische Notwendigkeit in einer Welt, in der algorithmische Systeme zunehmend Entscheidungen treffen, die das Leben von Menschen betreffen. Die zweite Ebene betrifft die spezifische Unterweisung für Hochrisiko-Systeme – jene KI-Anwendungen, die in besonders sensiblen Bereichen wie Personalwesen, Kreditvergabe, Strafverfolgung oder kritischer Infrastruktur eingesetzt werden. Hier verlangt die Verordnung, dass Anwender detailliert geschult werden, basierend auf den verpflichtenden Herstellerangaben zu Fähigkeiten, Grenzen und Genauigkeit der Systeme. Die Verantwortung der Unternehmen besteht darin, aus diesen oft technischen Informationen eine praxistaugliche Schulung zu entwickeln, die tatsächlich befähigt statt nur dokumentiert.

Besonders brisant wird die Situation in den Personalabteilungen deutscher Unternehmen. KI-gestützte Tools für Bewerberauswahl, Leistungsbewertung oder Aufgabenverteilung fallen fast ausnahmslos in die Kategorie der Hochrisiko-Systeme nach Anhang III der Verordnung. Der Grund liegt auf der Hand: Diese Systeme treffen oder beeinflussen Entscheidungen, die unmittelbar die Lebenschancen von Menschen betreffen – wer eingestellt wird, wer befördert wird, wessen Leistung als unzureichend bewertet wird. Die Diskriminierungsrisiken sind enorm und gut dokumentiert. Studien haben wiederholt gezeigt, dass KI-Systeme historische Vorurteile perpetuieren können, etwa wenn ein Bewerbungsalgorithmus gelernt hat, dass erfolgreiche Mitarbeiter in der Vergangenheit überwiegend männlich waren, und deshalb weibliche Bewerberinnen systematisch benachteiligt. Die präzise Schulung der HR-Mitarbeiter soll sicherstellen, dass die menschliche Kontrolle über diese Systeme wirksam bleibt und Entscheidungen nachvollziehbar sind. In Deutschland kommt hier ein weiterer Akteur ins Spiel: der Betriebsrat. Bei der Einführung von KI-Systemen im Personalbereich und bei der Gestaltung der entsprechenden Schulungen hat er umfassende Mitbestimmungsrechte nach dem Betriebsverfassungsgesetz. Eine frühe und transparente Einbindung ist für Unternehmen daher nicht nur rechtlich geboten, sondern auch praktisch unverzichtbar, um Konflikte zu vermeiden und das Vertrauen der Belegschaft zu gewinnen.

Die Sanktionsarchitektur des EU AI Act verleiht den Schulungspflichten erhebliches Gewicht. Bei Verstößen gegen die Anforderungen für Hochrisiko-Systeme drohen Bußgelder von bis zu 15 Millionen Euro oder drei Prozent des weltweiten Jahresumsatzes – je nachdem, welcher Betrag höher ist. Doch die eigentliche Neuerung, die Führungskräfte in deutschen Vorstandsetagen aufhorchen lässt, ist die persönliche Haftung. Anders als bei vielen früheren Regulierungen kann nicht mehr ausschließlich das Unternehmen als juristische Person zur Verantwortung gezogen werden; auch natürliche Personen in Leitungspositionen können haftbar gemacht werden, wenn sie ihre Aufsichtspflichten vernachlässigt haben. Diese Entwicklung folgt einem breiteren Trend im europäischen Wirtschaftsrecht, der persönliche Verantwortlichkeit als Instrument effektiver Governance etabliert – von der DSGVO über die Nachhaltigkeitsberichterstattung bis hin zur neuen KI-Regulierung. Die Botschaft ist klar: Compliance ist Chefsache, und wer algorithmische Systeme einsetzt, die Menschen betreffen, trägt persönliche Verantwortung für deren ordnungsgemäßen Betrieb. Die Dokumentation wird damit zur Existenzfrage. Unternehmen müssen robuste Systeme etablieren, die Schulungsteilnahme, Inhalte und vermitteltes Wissen in Echtzeit erfassen und prüffähig dokumentieren. Die bloße Teilnahme an einer Schulung reicht nicht aus – es muss nachweisbar sein, dass die Inhalte verstanden wurden und in der Praxis anwendbar sind.

Die unterschiedlichen Implementierungskapazitäten der EU-Mitgliedstaaten stellen eine zusätzliche Herausforderung dar. Während Deutschland mit der Bundesnetzagentur eine ressourcenstarke zentrale Marktüberwachungsbehörde etabliert hat, variieren die Umsetzungsstrukturen in anderen Ländern erheblich. Österreich hat die Aufgaben auf mehrere Behörden verteilt, was Koordinationsfragen aufwirft. Die Schweiz, als Nicht-EU-Mitglied, befindet sich in einer besonderen Situation: Einerseits ist sie nicht direkt an den EU AI Act gebunden, andererseits sind Schweizer Unternehmen, die im EU-Binnenmarkt tätig sind, vollumfänglich den Anforderungen unterworfen. Die Zürcher Innovation-Sandbox für KI bietet zwar interessante Experimentierräume, doch für Unternehmen mit EU-Geschäft führt kein Weg an der vollständigen Compliance vorbei. Die DACH-Region steht damit vor der Aufgabe, trotz unterschiedlicher nationaler Strukturen eine kohärente Umsetzungspraxis zu entwickeln, die Rechtssicherheit für grenzüberschreitend tätige Unternehmen schafft.

Die Perspektive der betroffenen Akteure ist keineswegs einheitlich. Unternehmensverbände wie der BDI (Bundesverband der Deutschen Industrie) betonen die Herausforderungen der praktischen Umsetzung, insbesondere für den Mittelstand, der oft nicht über spezialisierte Compliance-Abteilungen verfügt. Die Fraunhofer-Gesellschaft und andere Forschungseinrichtungen arbeiten an praxisnahen Leitfäden und Schulungskonzepten, um die Lücke zwischen regulatorischen Anforderungen und betrieblicher Realität zu schließen. Gewerkschaften und Betriebsräte hingegen begrüßen grundsätzlich die Stärkung der menschlichen Kontrolle, mahnen aber gleichzeitig eine echte Beteiligung der Arbeitnehmervertretungen an der Gestaltung der KI-Governance an. Die Aufsichtsbehörden selbst stehen vor der Aufgabe, Durchsetzungskapazitäten aufzubauen, ohne durch übermäßige Bürokratie Innovationen zu ersticken. Die Europäische Kommission hat mit dem AI Office in Brüssel eine Koordinierungsstelle geschaffen, die harmonisierte Leitlinien entwickeln soll – doch die konkrete Prüfpraxis wird auf nationaler Ebene entstehen, mit allen damit verbundenen Unterschieden. Zivilgesellschaftliche Organisationen wie AlgorithmWatch oder die Stiftung Neue Verantwortung beobachten die Entwicklung kritisch und mahnen an, dass Compliance-Dokumentation nicht mit tatsächlichem Schutz der Betroffenen verwechselt werden dürfe.

Aus der Perspektive der Menschenwürde betrachtet, markiert die Schulungspflicht des EU AI Act einen bedeutsamen Paradigmenwechsel. Das Grundgesetz schützt in Artikel 1 die Würde des Menschen als unantastbar – und diese Würde umfasst das Recht, nicht zum bloßen Objekt algorithmischer Entscheidungen degradiert zu werden. Die europäische Regulierungsphilosophie, verankert im Konzept der Rechtsstaatlichkeit, verlangt, dass Macht – auch technologische Macht – durch Recht, Verfahren und Verantwortlichkeit gebunden wird. Die Schulungspflicht ist der institutionelle Ausdruck dieser Überzeugung: Sie soll sicherstellen, dass zwischen dem algorithmischen System und dem betroffenen Menschen immer ein kompetenter menschlicher Akteur steht, der die Ergebnisse kritisch hinterfragen, kontextualisieren und gegebenenfalls korrigieren kann. Es geht nicht darum, KI-Systeme zu verhindern, sondern darum, sie in einen Rahmen demokratischer Kontrolle einzubetten. Die persönliche Haftung von Führungskräften ist dabei kein Selbstzweck, sondern Ausdruck des Verantwortungsprinzips: Wer Systeme einsetzt, die Menschen betreffen, muss dafür geradestehen. Deutschlands historische Erfahrung mit technologisch ermächtigter Überwachung und Entmenschlichung – von der NS-Zeit bis zur Stasi – hat diese Sensibilität für die Würdedimension technologischer Systeme besonders geschärft. Der EU AI Act steht in dieser Tradition einer Technikphilosophie, die Innovation nicht ablehnt, aber darauf besteht, dass der Mensch Subjekt und nicht Objekt des technologischen Wandels bleibt.

Die verbleibenden Monate bis August 2026 sind für Unternehmen in der DACH-Region keine Zeit des Abwartens, sondern des konsequenten Handelns. Die Herausforderung besteht nicht nur darin, Schulungsprogramme zu entwickeln, die den formalen Anforderungen genügen, sondern solche, die tatsächlich eine Kultur der KI-Kompetenz etablieren. Eine kritische Bestandsaufnahme aller eingesetzten KI-Systeme und ihrer Risikoklassifizierung steht am Anfang. Darauf folgt die Überprüfung und Anpassung bestehender Schulungskonzepte an die spezifischen AI-Act-Vorgaben, einschließlich der Integration der Herstellerdokumentation in praxistaugliche Trainingsmaterialien. Schließlich müssen robuste Dokumentationsprozesse etabliert werden, die einer behördlichen Prüfung standhalten. Doch über die reine Compliance hinaus geht es um etwas Grundlegenderes: Werden die Unternehmen, die jetzt proaktiv handeln und eine echte Kultur der KI-Kompetenz verankern, nicht nur Strafen vermeiden, sondern auch das Vertrauen ihrer Mitarbeiter und Kunden in den Einsatz von Zukunftstechnologien nachhaltig stärken? Die Antwort auf diese Frage wird zeigen, ob die europäische KI-Regulierung ihr Ziel erreicht – nicht nur technische Sicherheit zu gewährleisten, sondern den Menschen als entscheidende Kontrollinstanz im Zeitalter der Algorithmen zu bewahren.