Zum Inhalt springen
K Krynex Labs
Praxis & Mittelstand

Mitarbeiter-Schulung zu KI — was muss rein, wer haftet?

Die ehrliche Kurzantwort

Art. 4 EU AI Act verlangt seit Februar 2025 ausreichende KI-Kompetenz im Unternehmen. Die deutsche Aufsicht (DSK, BfDI, BayLDA) erwartet, dass das durch rollenspezifische Schulung mit Nachweis umgesetzt wird.

Minimal-Inhalte 2026:

  1. AI-Act-Grundlagen — was sind verbotene, hochriskante, mittel- und niedrig-riskante KI-Systeme
  2. DSGVO-Basics im AI-Kontext — was darf rein, was nicht
  3. Firmeneigene Tool-Whitelist und Erlaubnis-Matrix
  4. Datenklassifizierung — grün/gelb/rot, was wohin
  5. Output-Verantwortung — wer prüft, was Konsequenzen
  6. Eskalationspfad — wen ich frage, wenn ich unsicher bin

Format:

  • Onboarding für neue Mitarbeitende: 30–60 Minuten
  • Refresh jährlich oder bei größeren Updates: 15–30 Minuten
  • Spezial-Schulung für Power-User (Entwicklung, Datenanalyse, Customer-Support): 4–8 Stunden

Dokumentation:

  • Wer hat wann was geschult bekommen
  • Bestätigung der Kenntnisnahme (digital signiert oder ausgedruckt)
  • Schulungsmaterial archiviert

Was die Schulung in der Praxis abdecken sollte

Modul 1: AI-Act-Grundlagen (10–15 Minuten)

  • Was der AI Act überhaupt regelt
  • Vier Risikoklassen mit Beispielen
  • Welche Systeme im eigenen Unternehmen welche Klasse haben
  • Was Mitarbeitende konkret erkennen müssen (Chatbot-Hinweise, generative Output-Kennzeichnung)

Keine juristischen Detail-Vorlesungen. Pragmatische Beispiele.

Modul 2: DSGVO im AI-Kontext (10–15 Minuten)

  • Warum Klar-PII nicht in Consumer-Tools darf
  • Was AVV bedeutet und warum er gilt
  • Schrems II / DPF in einer Folie (USA-Anbieter ja, aber mit Kautelen)
  • Pseudonymisierung als praktischer Schutz vor Klick auf “Senden”

Modul 3: Tool-Whitelist und Datenklassifizierung (15–20 Minuten)

Das ist der wichtigste Block für tägliche Praxis. Konkrete Liste:

Welche Tools sind in unserer Firma freigegeben?

  • z. B. ChatGPT Team, Claude Pro, Microsoft Copilot for M365, DeepL Pro

Welche Daten dürfen in welche Tools?

  • Grün (öffentlich): alle Tools
  • Gelb (intern): nur Tools mit AVV
  • Rot (sensibel): nur dedizierte EU- oder on-prem-Setups

Konkrete Fälle durchspielen:

  • “Darf ich diese Marketing-Idee in ChatGPT?” → ja (grün)
  • “Darf ich die Telefonliste für Kunden-Outreach reinkopieren?” → nein (gelb,
    • falsches Tool)
  • “Darf ich die Bilanz für die Steuerklärung über die KI prüfen lassen?” → nur über firmen-eigenes Setup, nicht über Privat-Tool (gelb–rot)

Modul 4: Output-Verantwortung (5–10 Minuten)

  • KI-Outputs sind kein objektiver Faktencheck — Halluzinationen passieren
  • Faktcheck vor Versand/Veröffentlichung
  • Bei rechtlichen, medizinischen, finanziellen Inhalten: Profi konsultieren
  • “Wenn ich es selbst nicht beurteilen kann, kann ich auch den KI-Output nicht beurteilen” — dann nicht raussenden

Modul 5: Eskalationspfad (5 Minuten)

  • Wen ich frage bei Unsicherheit (KI-Verantwortlicher, IT-Leitung)
  • Wie ich einen Vorfall melde (z. B. wenn ich versehentlich Klar-PII in Consumer-Tool eingegeben habe)
  • Welcher Mailverteiler oder Slack-Kanal dafür da ist

Wichtig: Vorfälle ohne Schuldzuweisung melden. Eine “Strafkultur” führt zu Schatten-AI-Nutzung. Eine “Lern-Kultur” reduziert Wiederholung.

Haftungs-Realität 2026

Wer haftet bei einem Verstoß?

Das Unternehmen (Anbieter/Betreiber) primär.

  • Geschäftsführung trägt Rechenschaftspflicht nach DSGVO Art. 5
  • Bemühenspflicht aus AI Act Art. 4 liegt auf dem Unternehmen
  • Bußgelder bei Verstößen treffen das Unternehmen

Der einzelne Mitarbeitende sekundär — und nur bei Vorsatz oder grober Fahrlässigkeit.

  • Wenn der Mitarbeitende ordentlich geschult war und die Policy klar ignoriert hat, kommen arbeitsrechtliche Konsequenzen in Betracht (Abmahnung, in schweren Fällen Kündigung)
  • Zivilrechtliche Haftung des Einzelnen ist selten — Arbeitgeber haftet außenrechtlich, kann innen aber gegen Mitarbeitenden Rückgriff nehmen bei grober Fahrlässigkeit

Spezialfall: Datenschutzbeauftragter (DSB).

  • DSB haftet nur, wenn er seine Aufgaben nach Art. 39 DSGVO grob verletzt hat
  • Faktische Haftung in der Praxis selten, aber Standes-/Reputations-Risiken hoch

Was das für die Schulung bedeutet: Unternehmen hat das Hauptinteresse, Mitarbeitende ordentlich zu schulen, weil es selbst haftet. Mitarbeitende profitieren von guter Schulung, weil sie dann nicht persönlich in den Eskalationen stehen.

Praktische Formate

Pflicht-Onboarding für alle Neuen (30 Minuten)

  • Selbst-geführtes E-Learning oder kurzes Präsenz-Modul
  • Mit Test am Ende (10 Fragen, 70 % Bestehensquote, sonst Wiederholung)
  • Abgezeichnete Bestätigung in Personalakte

Refresher jährlich (15 Minuten)

  • Update auf Recht-Änderungen und Tool-Änderungen
  • Kurzes E-Learning oder Newsletter mit Test
  • Dokumentation der Teilnahme

Power-User-Schulung (4–8 Stunden)

Für Mitarbeitende, die täglich mit KI arbeiten:

  • Prompt-Engineering-Grundlagen
  • RAG-Konzepte (für Wissensarbeiter)
  • Eval und Output-Qualität
  • Datenpannenschutz und Logging-Disziplin
  • Bias- und Halluzinationserkennung

In Form von Workshop oder mehrteiligem E-Learning.

Führungskräfte-Briefing (90 Minuten)

Geschäftsführung, Abteilungsleitungen:

  • AI-Act-Pflichten
  • Haftungs-Realität
  • Risiko-Klassifizierung der eigenen Use-Cases
  • Steuerungs-Werkzeuge (KPIs, Audit-Reports)

Was Schulungs-Kosten realistisch sind

Selbst aufgesetzt:

  • Inhalte erstellen: 80–120 Stunden Eigenleistung
  • E-Learning-Plattform (Moodle, internes LMS, oder einfache Forms-Lösung): bestehend nutzen
  • Pflege: 8–16 Stunden pro Jahr

Mit externer Begleitung:

  • Pflicht-Onboarding-Modul professionell produziert: 4.000–8.000 €
  • Power-User-Workshop: 1.500–3.000 € pro Tag
  • Führungskräfte-Briefing: 2.000–4.000 € einmalig
  • Jährlicher Refresh: 1.500–3.000 € (Update + Webinar)

Tools dafür:

  • 360Learning, LearnUpon, Moodle — klassische LMS
  • Loom, Articulate Rise — für selbst-produzierte Module
  • Webinar-Software (Zoom, Teams) — für Live-Sessions

Was bei Schulungen typisch schiefgeht

“Wir machen das beim nächsten Sicherheitsbriefing mit”. KI-Themen sind komplex genug, um eigene Aufmerksamkeit zu rechtfertigen. In einem 5-Minuten-Anhang an die jährliche Brandschutzunterweisung gehen sie unter.

“Eine Schulung für alle, gleicher Inhalt”. Backoffice-Mitarbeitende, Entwickler und Vertrieb haben unterschiedliche AI-Berührungspunkte. Mindestens 2–3 Varianten machen.

“Schulung, aber keine Bestätigung dokumentiert”. Im Audit zählt nicht, ob die Schulung stattgefunden hat, sondern ob sie nachweisbar ist. Teilnehmer-Liste mit Datum, Unterschrift oder digitales Häkchen ist Pflicht.

“Einmal geschult, nie wieder”. KI-Recht und KI-Tools ändern sich. Wer 2024 geschult hat und 2026 nicht refresht, hat eine veraltete Compliance-Basis.

“Schulung ohne Praxis-Bezug”. Folien mit “Was ist KI?” sind nutzlos. Konkrete Fälle aus dem eigenen Unternehmen sind das, was hängen bleibt.

Was du heute nicht tun solltest

Keine “Lese das Policy-PDF und unterschreib”-Schulung. Keine Schulung ohne Test oder Dokumentation. Und keine “machen wir nächstes Jahr”-Verschiebung — Art. 4 gilt seit Februar 2025, jeder Monat ohne Schulung ist ein Compliance-Defizit.

Pragmatischer Einstieg: ein 30-Minuten-Pflicht-Modul fürs Onboarding, ein 60-Minuten-Modul für Power-User, ein 90-Minuten-Briefing für Führungskräfte. Daraus ist eine belastbare Schulungs-Architektur — die in der Pflege überschaubar ist.

Konkrete Frage zu eurem Setup?

Ein 30-Minuten-Erstgespräch klärt meistens schon, ob euer aktueller AI-Stack hält oder wo nachzuarbeiten ist. Kostenlos, ohne Verkaufsdruck.

Erstgespräch buchen