Dieser Artikel ist keine Rechtsberatung. Er ist die Einschätzung eines Praktikers zur aktuellen Lage, gedacht für technische Führungskräfte, die in EU-orientierten Organisationen mit KI-Systemen arbeiten.
Wenn Sie CTO oder Head of Engineering sind, gibt es einen Denkfehler, den Sie 2026 vermeiden sollten: anzunehmen, der EU AI Act betreffe Sie nur dann, wenn Sie Frontier-Modelle bauen oder ein formal als Hochrisiko eingestuftes System ausliefern.
Das greift zu kurz.
Für viele Entwicklungsorganisationen setzt der erste ernste Governance-Druck früher ein: Sobald Ihre Mitarbeitenden KI-Systeme in der täglichen Arbeit nutzen, brauchen Sie belastbare Antworten auf drei Fragen: Kompetenz, Review und operative Verantwortung.
Das Datum, das zuerst zählt
Laut der Seite „AI Literacy Questions and Answers“ der Europäischen Kommission gilt Artikel 4 des AI Act bereits seit dem 2. Februar 2025.
Das ist deshalb wichtig, weil es in Artikel 4 um KI-Kompetenz geht. Einfach gesagt: Anbieter und Betreiber von KI-Systemen müssen dafür sorgen, dass ihre Mitarbeitenden (und alle, die in ihrem Auftrag mit diesen Systemen arbeiten) über ein ausreichendes Maß an KI-Kompetenz verfügen.
Dieselbe Q&A der Kommission hält fest, dass Aufsicht und Durchsetzung im August 2026 anlaufen. Damit ist die Haltung darum kümmern wir uns später schon heute überholt.
Warum das technische Führungskräfte angeht, auch ohne eigenes KI-Produkt
Die meisten Softwareorganisationen sind keine Anbieter eigener KI-Systeme mit allgemeinem Verwendungszweck. Sie sind Betreiber fremder Tools: Coding-Copilots, Chat-Assistenten, Agenten, Tools zur Testgenerierung, Review-Helfer oder interne Wrapper um externe Modelle.
Auch das bringt Pflichten mit sich, nämlich dafür, wie diese Systeme in der Praxis eingesetzt werden.
Die Q&A der Kommission ist hier hilfreich, weil sie die Erwartung greifbar macht:
- verstehen, welche KI im Unternehmen überhaupt im Einsatz ist
- die eigene Rolle als Anbieter oder Betreiber einordnen
- das Risiko der genutzten Systeme einschätzen
- die Kompetenzmaßnahmen am technischen Hintergrund der Nutzenden und am jeweiligen Einsatzkontext ausrichten
Das ist der Realität in der Entwicklung schon deutlich näher als die vage Parole schult einfach alle in KI.
Was KI-Kompetenz in einer Entwicklungsorganisation heißen sollte
In den Entwicklungsalltag übersetzt würden wir Artikel 4 so verstehen:
| Bereich | Was die Beteiligten verstehen sollten |
|---|---|
| Tool-Bewusstsein | Welche KI-Systeme erlaubt, geduldet oder tabu sind |
| Workflow-Bewusstsein | Welche Entwicklungsaufgaben KI nutzen dürfen, und in welchen Grenzen |
| Review-Bewusstsein | Was vor Merge oder Release weiterhin von Menschen geprüft werden muss |
| Risiko-Bewusstsein | Halluzinationen, unsichere Vorschläge, Umgang mit Secrets, Datenabfluss, dünner Kontext |
| Eskalations-Bewusstsein | Wer entscheidet, wenn ein Workflow oder Tool ein Richtlinien- oder Lieferrisiko schafft |
Das ist einer der Gründe, warum wir mit rein generischen KI-Schulungen wenig anfangen können. Eine kurze Awareness-Session hilft vielleicht bei der ersten Orientierung, baut aber keine operative Kompetenz für echte Entwicklungsabläufe auf.
Die übliche schwache Antwort
Die schwache Antwort besteht darin, den Teams zuzurufen:
- nutzt euren gesunden Menschenverstand
- lest die Hersteller-Dokumentation
- haltet einen Menschen mit im Boot
Nichts davon ist wertlos. Nichts davon reicht aus.
Die Q&A der Kommission sagt ausdrücklich, dass es in vielen Fällen wirkungslos oder unzureichend sein kann, sich allein auf die Betriebsanleitung zu verlassen. Und sie koppelt Kompetenz an Kontext und Risiko des eingesetzten Systems.
Wenn Ihre Teams KI also zur Implementierungshilfe, für Testgenerierung, Migrationen oder Dokumentation in Produktiv-Repositories einsetzen, muss das Kompetenzmodell konkreter sein als bitte seid vorsichtig.
Der Bezug zur menschlichen Aufsicht
Die Q&A der Kommission verbindet Artikel 4 außerdem mit den Transparenz- und Aufsichtspflichten des AI Act.
Aus Sicht einer technischen Führungskraft ist das relevant, weil menschliche Aufsicht eben nicht nur eine juristische Floskel ist. Sie hat ganz praktische Folgen:
- Reviewer müssen wissen, was genau sie prüfen sollen
- Führungskräfte müssen wissen, wo die Grenze des Workflows verläuft
- Entwickler müssen verstehen, wann eine Modell-Ausgabe nur Orientierung gibt und wann sie eine Entscheidung trägt
- Kontrollfunktionen müssen verstehen, wie der Workflow tatsächlich genutzt wird
Kann eine Organisation das alles nicht beschreiben, dann bleibt menschliche Aufsicht wohl eine Abstraktion statt einer wirksamen Kontrolle.
Eine praktische Checkliste für CTOs
Würden wir eine Entwicklungsorganisation auf 2026 vorbereiten, hätten wir gern eine kurze Checkliste wie diese auf dem Tisch.
| Frage | Warum sie zählt |
|---|---|
| Wissen wir, welche KI-Tools in der Entwicklung tatsächlich genutzt werden? | Steuern lässt sich nur, was man auch erfasst hat |
| Haben wir konkrete Workflows benannt, die in den Anwendungsbereich fallen? | Kompetenz lebt vom Kontext, nicht von Slogans |
| Wissen die Reviewer, worauf sie achten müssen? | Menschliche Aufsicht scheitert, wenn das Review vage bleibt |
| Wissen Führungskräfte, wie sie das Modell im Alltag verankern? | Ohne lokale Verantwortung verläuft jede Einführung im Sande |
| Gilt dieselbe Logik auch für Auftragnehmer und Dienstleister? | Die Q&A der Kommission zieht den Kreis ausdrücklich weiter |
| Halten wir intern fest, wer geschult oder eingewiesen wurde? | Zertifikate verlangt die Kommission nicht, Aufzeichnungen sind trotzdem sinnvoll |
Das ist noch kein vollständiges KI-Governance-Programm. Aber ein realistischer Anfang.
Was das nicht bedeutet
Es heißt nicht, dass jedes Unternehmen eine eigene große KI-Abteilung braucht.
Dieselbe Q&A der Kommission stellt klar, dass es kein Schulungsmodell von der Stange gibt und allein für die Einhaltung von Artikel 4 keine bestimmte Governance-Struktur vorgeschrieben ist.
Das ist eine gute Nachricht für kleinere Entwicklungsorganisationen. Der Maßstab lautet nicht baut eine Bürokratie auf.
Er lautet eher handelt im Verhältnis zu den Systemen, die ihr nutzt, den beteiligten Rollen und den Risiken, die ihr erzeugt.
Warum das nicht nur rechtlich, sondern wirtschaftlich zählt
Selbst wenn Sie die Regulierung komplett ausblenden würden: Die betriebswirtschaftliche Logik bliebe genauso stichhaltig.
Eine Entwicklungsorganisation, die sagen kann,
- welche Workflows freigegeben sind
- welche Tools erlaubt sind
- welche Review-Standards gelten
- wer für die Einführung verantwortlich ist
- wie die Mitarbeitenden auf den Umgang mit den Systemen vorbereitet werden,
lässt sich leichter skalieren als eine, die auf das verstreute Bauchgefühl Einzelner setzt.
Deshalb ist die beste Antwort auf den AI Act aus unserer Sicht keine rechtliche Panik. Sie liegt in mehr operativer Klarheit.
Der Zeitplan zum Merken
Stand 27. Mai 2026:
- Die KI-Kompetenzpflichten aus Artikel 4 gelten bereits seit dem 2. Februar 2025
- die Q&A der Kommission nennt für Aufsicht und Durchsetzung den August 2026
- die Pflicht trifft nicht nur KI-Anbieter, sondern auch Betreiber
Wenn Sie Entwicklung in der EU verantworten oder vom Ausland aus EU-Nutzer bedienen, ist das längst ein aktuelles Governance-Thema.
Unsere Sicht
Die gesündeste Lesart des AI Act für Entwicklungsteams lautet nicht wie billig kommen wir davon.
Sie lautet welches Maß an operativer Klarheit hätten wir ohnehin haben sollen, wenn wir die Einführung von KI in die echte Entwicklungsarbeit ernst nehmen.
Genau hier werden aus unserer Sicht die besten Organisationen vorn liegen.
Sie werden ihre Leute nicht bloß im besseren Prompten schulen. Sie machen den KI-Einsatz innerhalb des Entwicklungssystems nachvollziehbar: freigegeben, überprüfbar und an klare Verantwortung gebunden.
Das ist gute Governance. Und es ist gutes Management.
Quellen
- European Commission,
AI Literacy - Questions & Answers, abgerufen am 2026-05-27 - EUR-Lex, Verordnung (EU) 2024/1689, Artikel 4
Häufige Fragen
- Ab wann gilt die KI-Kompetenzpflicht aus dem EU AI Act wirklich?
- Artikel 4 der KI-Verordnung, der KI-Kompetenz regelt, gilt bereits seit dem 2. Februar 2025. Aufsicht und Durchsetzung starten laut der Q&A der Europäischen Kommission im August 2026. Die Zeit, die Pflichten zu erfüllen, läuft also nicht erst an — sie läuft bereits ab.
- Betrifft uns der EU AI Act auch, wenn wir kein eigenes KI-Produkt entwickeln, sondern nur Coding-Copilots und externe Tools einsetzen?
- Ja. Organisationen, die fremde KI-Systeme einsetzen — Coding-Copilots, Chat-Assistenten, Tools zur Testgenerierung, Agenten oder interne Wrapper um externe Modelle — gelten als Betreiber und unterliegen damit ebenfalls den Pflichten aus Artikel 4. Die relevante Unterscheidung ist Anbieter versus Betreiber, nicht KI-Hersteller versus alle anderen. Auch Betreiber müssen dafür sorgen, dass ihre Mitarbeitenden über ausreichende KI-Kompetenz verfügen.
- Was bedeutet 'KI-Kompetenz' nach Artikel 4 konkret für ein Entwicklungsteam?
- Die Q&A der Kommission stellt klar, dass Kompetenzmaßnahmen auf den technischen Hintergrund der Beteiligten und den konkreten Einsatzkontext zugeschnitten sein müssen. Für Entwicklungsteams heißt das: Es braucht klare Antworten darauf, welche Tools und Workflows freigegeben sind, was Reviewer vor einem Merge oder Release prüfen müssen, wie mit Halluzinationen und unsicheren Vorschlägen umzugehen ist und wer eskaliert, wenn ein Workflow ein Liefer- oder Richtlinienrisiko erzeugt. Eine generische Awareness-Schulung erfüllt diesen Anspruch nicht.
- Verlangt Artikel 4 eine eigene KI-Governance-Abteilung oder ein formales Zertifizierungsprogramm?
- Nein. Die Kommission betont ausdrücklich, dass es kein Schulungsmodell von der Stange gibt und allein für die Einhaltung von Artikel 4 keine bestimmte Governance-Struktur vorgeschrieben ist. Zertifikate sind nicht erforderlich, interne Aufzeichnungen über Schulungen und Einweisungen sind aber sinnvoll. Der Maßstab ist Verhältnismäßigkeit: Die Maßnahmen sollen im Verhältnis zu den eingesetzten Systemen, den beteiligten Rollen und den entstehenden Risiken stehen.
