Der Einsatz künstlicher Intelligenz ist längst kein Randthema der Digitalisierung mehr, sondern Teil unternehmerischer Steuerung und Haftungsverantwortung. Mit dem europäischen Artificial Intelligence Act (AI Act) sind erstmals verbindliche Vorgaben in Kraft getreten, die den Umgang mit KI-Systemen unmittelbar in die Verantwortung der Unternehmensführung rücken. Kern der Verordnung ist die Pflicht, als Unternehmen sicherzustellen, dass Beschäftigte, die mit KI arbeiten, über ausreichende Kenntnisse und Kompetenzen verfügen. Diese Verpflichtung ist nicht nur technisch motiviert, sondern Ausdruck regulatorischer Sorgfalt – und damit ein Compliance-Thema mit potenziellen Haftungsfolgen.

Die Schulungspflicht betrifft sämtliche Unternehmen – unabhängig von Größe oder Branche. Erfasst sind sowohl Anbieter, die KI-Systeme entwickeln oder vertreiben, als auch solche, die ein System „betreiben“. Betreiber ist bereits, wer im Rahmen einer beruflichen Tätigkeit ein KI-System eigenverantwortlich nutzt. Damit fallen praktisch alle Arbeitgeber, die KI in ihre Arbeitsabläufe integrieren, in den Anwendungsbereich. Entscheidend ist die Fähigkeit des Systems, aus Daten zu lernen oder selbstständig Entscheidungen vorzubereiten. Ein Verstoß gegen die Schulungspflicht ist zwar nicht unmittelbar bußgeldbewehrt, kann aber erhebliche haftungsrechtliche Konsequenzen nach sich ziehen.

Kommt es infolge unsachgemäßer Nutzung zu Schäden bei Kunden, Lieferanten oder Beschäftigten, dürfte es schwerfallen, sich auf mangelnde Verantwortlichkeit zu berufen, wenn keine dokumentierte Schulung erfolgt ist. Der Schulungsnachweis wird damit zu einem Bestandteil unternehmerischer Compliance – und zu einem zentralen Element des Haftungsmanagements.

Die Verordnung gibt keine einheitliche Schulungsform vor, verlangt aber einen risikobasierten Ansatz. Der Umfang der Qualifizierung richtet sich nach Art, Einsatzkontext und Gefährdungspotenzial des jeweiligen KI-Systems. Je höher das Risiko, desto umfassender muss die Schulung sein. Ziel ist, dass Beschäftigte Funktionsweise, Grenzen und mögliche Fehlanwendungen verstehen. Unternehmen müssen daher ihre Systeme zunächst klassifizieren und auf dieser Basis geeignete Schulungskonzepte definieren.

Besondere Sorgfalt gilt Anwendungen, die personenbezogene oder sensible Daten verarbeiten. Im Personalwesen zählen etwa Programme zur Analyse von Bewerbungen, zur Leistungsbewertung oder zur Verhaltensanalyse zu Hochrisiko-Systemen. Ihr Einsatz erfordert vertiefte Kenntnisse über Datengrundlagen, Entscheidungslogiken und mögliche Diskriminierungseffekte. Eine Standardschulung reicht hier nicht aus.

Der EU AI Act verpflichtet Unternehmen zudem, sicherzustellen, dass Mitarbeitende, die mit Hochrisiko-KI arbeiten, über Zweck und Funktionsweise der Systeme informiert sind. Dies gilt auch der Sicherstellung des Grundsatzes, dass KI zwar Teil von Entscheidungsprozessen sein darf, die Letztentscheidung aber dem Menschen vorbehalten sein muss. All dies dient dem Schutz der von Entscheidungen Betroffener und soll zugleich sicherstellen, dass Unternehmensentscheidung nachvollziehbar Ergebnis von Abwägung, Integrität und Wertung sind und nicht nur eines Algorithmus. In der Praxis wird die Schulungspflicht zu einem Bestandteil der Corporate Governance.

Unternehmen sollten Verantwortlichkeiten klar definieren, interne Leitlinien zum KI-Einsatz formulieren und Schulungsmaßnahmen dokumentieren. Damit lassen sich sowohl regulatorische Erwartungen erfüllen als auch Haftungsrisiken begrenzen. KI-Kompetenz ist mithin relevanter Indikator für unternehmerische Sorgfalt und hochgradig haftungsrelevant. Kann das Unternehmen ausreichende Schulungen und die fortdauernde Überwachung und Sicherstellung relevanten Wissens nicht nachweisen, ist es angreifbar für den Vorwurf des Organisationsverschuldens. Damit setzt es sich (teuren) Haftungsansprüchen Dritter aus, die Kosten und Aufwand für eine sachgerechte Compliance regelmäßig um ein Vielfaches überschreiten.

Mit der neuen europäischen Regulierung entstehen neben Schulungs- und Dokumentationspflichten auch neue Haftungsrisiken. Unternehmen müssen nicht nur organisatorisch, sondern auch versicherungsrechtlich sicherstellen, dass der Einsatz von KI-Systemen rechtlich abgesichert ist.

Fehlerhafte Entscheidungen, Datenverluste oder Diskriminierungseffekte können schnell zu Schadensersatzforderungen führen – von Kunden, Lieferanten oder Beschäftigten. Die Bandbreite möglicher Haftungstatbestände reicht von vertraglichen Ansprüchen über deliktische Verantwortung bis hin zu Verstößen gegen gesetzliche Vorgaben des Datenschutz- oder Arbeitsrechts.

Bedenkenswert ist zudem, dass klassische Versicherungslösungen nur begrenzt helfen. Zwar können Betriebs- oder Produkthaftpflicht-, D&O-, Cyber- oder IT-Haftpflichtversicherungen bestimmte KI-Risiken abdecken – häufig aber nur, wenn sie ausdrücklich in den Versicherungsbedingungen genannt sind. Viele Policen stammen aus einer Zeit, in der KI-Anwendungen noch kein integraler Bestandteil betrieblicher Abläufe waren. Deshalb sollten Unternehmen bestehende Verträge überprüfen und mit ihrem Versicherer konkret klären, ob KI-bezogene Risiken ein- oder ausgeschlossen sind. Besonders relevant ist dies bei Systemen, die auf personenbezogene Daten zugreifen oder operative Entscheidungen vorbereiten.

Eine pauschale Versicherung „gegen KI“ existiert bislang nicht. Meist erfordert ein tragfähiges Schutzkonzept eine Kombination mehrerer Policen – abgestimmt auf Branche, Risikoprofil und Nutzungstiefe. Auch das beste Compliance-System ersetzt daher keine integrierte Risikostrategie, die technische, organisatorische und versicherungstechnische Aspekte verbindet.

Im Ergebnis gilt: Die Absicherung von KI-Risiken ist Teil moderner Unternehmensführung. Wer die regulatorischen Pflichten des AI Act ernst nimmt, muss die eigene Haftungssituation und Versicherungsstruktur neu bewerten – bevor ein Schadenfall den Ernstfall definiert.

KI-Compliance wird damit zum Gradmesser moderner Unternehmensführung – dort, wo Regulierung, Verantwortung und Risikovorsorge ineinandergreifen. Sie markiert den Übergang von der reinen Regelbefolgung zu einer Kultur bewusster technischer Verantwortung.