Der Rat hat den Digital Omnibus am 29. Juni 2026 final angenommen und entschärft damit die KI-Kompetenzpflicht aus Art. 4 KI-VO spürbar. Dieser Beitrag zeigt, warum Abwarten trotzdem der falsche Schluss ist und welches schlanke Setup für KMU im Audit standhält.

Eure Leute nutzen KI längst. ChatGPT für den Angebotstext, Copilot in der Tabelle, ein Bildtool fürs nächste Social-Posting. Eine Regel dazu gibt es in den seltensten Fällen. Am 29. Juni 2026 hat der Rat der EU den Digital Omnibus final angenommen. Er entschärft die KI-Kompetenzpflicht aus Art. 4 der KI-Verordnung deutlich: Aus „ein ausreichendes Kompetenzniveau sicherstellen“ wird „die Entwicklung von KI-Kompetenz unterstützen“. Das ist eine echte Erleichterung. Eine Entwarnung ist es nicht.
Drei Fragen ordnen das Thema: Was ändert sich, was bleibt, was solltet ihr jetzt tun.
Art. 4 der KI-Verordnung gilt seit dem 2. Februar 2025. In der bisherigen Fassung mussten Anbieter und Betreiber von KI-Systemen nach besten Kräften sicherstellen, dass ihr Personal ein ausreichendes Maß an KI-Kompetenz besitzt. Für ein kleines Unternehmen war das schwer greifbar. Was heißt „ausreichend“? Woran misst man das?
Die neue Fassung verpflichtet Anbieter und Betreiber nur noch, geeignete Maßnahmen zu treffen, um die Entwicklung der KI-Kompetenz ihrer Leute zu unterstützen. Ausdrücklich ergänzt wird: Diese Pflicht verlangt keine Garantie für ein bestimmtes Kompetenzniveau einzelner Personen. Aus einer Ergebnispflicht wird eine Bemühenspflicht. Das ist schwächer, flexibler und für KMU besser handhabbar.
Ein Punkt zum Timing, der oft untergeht. Der Omnibus ist beschlossen, aber noch nicht in Kraft. Er wird erst wirksam, sobald er im Amtsblatt der EU veröffentlicht ist, und tritt am dritten Tag danach in Kraft. Ein exaktes Datum lässt sich heute noch nicht seriös nennen. Bis dahin gilt formal die alte, strengere Fassung von Art. 4. Wer „entschärft“ mit „erledigt“ verwechselt, liegt also gleich doppelt daneben.
Im Markt kursiert viel Angst, und ein Teil davon war schon vor dem Omnibus unbegründet. Die EU-Kommission stellt in ihren Q&A zur KI-Kompetenz mehrere Dinge klar.
Es gibt keine Pflicht zu einem bestimmten Zertifikat. Interne Nachweise über Trainings oder Leitlinien können genügen. Es gibt keine vorgeschriebene Governance-Struktur, also keinen Pflicht-„AI Officer“ analog zum Datenschutzbeauftragten. Und es gibt kein vorgegebenes Pflicht-Schulungsformat. Die Anforderungen hängen vom Kontext ab, von der Rolle, vom Risiko der eingesetzten Systeme. Wer „jedes Unternehmen braucht sofort zertifizierte KI-Schulungen, sonst drohen Millionenbußgelder“ verkauft, argumentiert zu grob.
Auch die Bußgeld-Keule ist differenzierter, als es Schlagzeilen nahelegen. Die höchste Stufe von bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes betrifft verbotene KI-Praktiken nach Art. 5. Die Stufe von bis zu 15 Mio. Euro oder 3 Prozent gilt für bestimmte ausdrücklich genannte Pflichten. Art. 4 steht dort nicht. Eine automatische Strafe nur wegen fehlender KI-Schulung gibt es nicht.
Zahnlos ist Art. 4 trotzdem nicht. Die Kommission weist darauf hin, dass nationale Marktüberwachungsbehörden bei Verstößen, verhältnismäßig und im Einzelfall, Maßnahmen verhängen können. Besonders relevant wird fehlende Sensibilisierung dann, wenn es einen Vorfall gibt, der sich auf mangelnde KI-Kompetenz zurückführen lässt.
Unsere Lesart aus der Beratungspraxis: Das realistische Risiko ist nicht „Bußgeld wegen fehlender Schulung“. Das realistische Risiko ist, dass bei einem KI-Vorfall die fehlende Sensibilisierung als Organisationsversagen gewertet wird. Das kennst du aus Datenschutz, Informationssicherheit und Arbeitsschutz. Mitarbeitende, die vertrauliche Kundendaten in ein öffentliches KI-Tool kippen, sind kein theoretisches Szenario. Die Berliner Datenschutzaufsicht hat 2025 bei Vor-Ort-Prüfungen mehrere Unternehmen gefunden, die KI-Systeme mit Kunden- und Betroffenendaten trainiert haben, ohne darüber zu informieren.
Deshalb ist Abwarten der falsche Schluss. Nicht wegen einer Frist, sondern weil das Risiko real ist und die Maßnahmen ohnehin schlank sein dürfen.
Für die meisten KMU reicht ein pragmatisches Setup aus vier Bausteinen. Leichtgewichtig, risikobasiert, dokumentiert. Womit du anfängst, hängt davon ab, wo bei euch die größte Lücke klafft.
Verschaff dir einen Überblick, welche KI-Tools bei euch im Einsatz sind, offiziell und inoffiziell. Ohne dieses Verzeichnis kannst du weder Risiken einschätzen noch eine Pflicht erfüllen. Genau hier sitzt bei vielen die größte Lücke, weil Schatten-KI selten zentral erfasst ist.
{{check-ki-reifegrad-kicompliance="/system/components"}}
Eine klare Richtlinie regelt, was erlaubt ist und was nicht. Welche Tools sind freigegeben, welche Daten dürfen rein, wer prüft Ergebnisse, wie geht ihr mit personenbezogenen Daten und Geschäftsgeheimnissen um. Das ist der Kern eurer KI-Governance und gleichzeitig der Teil, der sich am schnellsten umsetzen lässt.
{{template-ki-nutzung-magazin="/system/components"}}
Die größte Schwachstelle sind Daten, die unbedacht in ein KI-Tool wandern. Eine rollenspezifische Sensibilisierung deckt die typischen Risiken ab: Halluzinationen, Datenschutz, Geschäftsgeheimnisse, Urheberrecht, Transparenzpflichten und die Grenzen der Ergebnisse. Geschäftsführung, Marketing, HR und Support brauchen dabei nicht denselben Tiefgang.
Haltet fest, was ihr tut. Ein Verzeichnis eurer KI-Systeme, eine versionierte Richtlinie, Teilnahmenachweise zu Schulungen. Das ist der Nachweis, der im Audit und gegenüber Kunden standhält. Diese Dokumentation macht aus „Wir machen schon was mit KI“ ein belastbares „Wir haben es im Griff“.
Beim dritten Baustein bekommen wir oft die Frage, wie eine Schulung konkret aussieht, ohne dass jemand drei Tage im Seminarraum sitzt. Bei Digimojo gibt es dafür zwei Wege.
Unsere Kunden mit DigimojoSECURE sind hier schon weit. KI ist bei SECURE seit Langem fester Bestandteil der Awareness-Inhalte und wird laufend erweitert, weil sich die Risiken schnell verschieben. Wer die Plattform nutzt, verteilt KI-Sensibilisierung im selben Rhythmus wie Phishing- und Datenschutz-Awareness.
Für die Grundlagen bieten wir jetzt zusätzlich KI-Kompetenz-Lernmodule direkt in DigimojoCOMPLY an. Der Kurs „KI-Kompetenz für Mitarbeitende“ deckt in rund 25 Minuten die wichtigsten sieben Themen ab, von „Was ist KI“ über die KI-Verordnung im Überblick bis zu den Do's und Don'ts im Arbeitsalltag. Ein Aufbaukurs vertieft Prompting, Urheberrecht und das Erkennen von KI-gestützten Betrugsmaschen. Am Ende steht ein Wissenstest mit Teilnahmebestätigung als PDF, also genau der Nachweis, den Baustein 4 verlangt. Verteilen und Dokumentieren läuft über das in COMPLY integrierte Lernsystem, ohne separates Tool.
Eine Schulung ist nach der entschärften Fassung von Art. 4 keine Pflicht, die euch jemand aufzwingt. Sinnvoll ist sie trotzdem, denn sie senkt euer Risiko und liefert nebenbei den Nachweis aus Baustein 4.
Eine Einschränkung gehört dazu. Was hier beschrieben ist, gilt für die normale Büronutzung von generativer KI. Bei Hochrisiko-KI sieht es anders aus. Setzt ihr KI etwa im Recruiting, in der Bonitätsbewertung oder in sicherheitsrelevanten Produkten ein, bleibt die Pflicht bestehen, das Personal so zu schulen, dass die menschliche Aufsicht gewährleistet ist. Diese Schulungspflicht entschärft der Omnibus nicht. Wer in diese Kategorie fällt, braucht mehr als eine Awareness-Mail. Den Detailfall behandeln wir in einem eigenen Wissens-Artikel.
Der Digital-Omnibus nimmt Druck aus der KI-Kompetenzpflicht. Die Pflicht garantiert kein Kompetenzniveau einzelner Personen mehr, sie verlangt nur noch unterstützende Maßnahmen. Weg ist sie damit nicht, und in Kraft ist die neue Fassung auch noch nicht. Wer jetzt die vier Bausteine aufsetzt, KI-Inventar, Richtlinie, Sensibilisierung, Dokumentation, ist auf beiden Seiten der Veröffentlichung im Amtsblatt sauber aufgestellt. Das ist kein Bürokratiemonster, sondern gute Unternehmensführung. Der nächste sinnvolle Schritt ist meist der billigste: herausfinden, welcher der vier Bausteine bei euch fehlt.
Wenn du das für dein Unternehmen einordnen lassen willst, schauen wir in einem Strategiegespräch gemeinsam, wo ihr steht. Das lohnt sich jetzt, weil ihr ohne Frist im Nacken in Ruhe das Richtige aufbauen könnt, statt es später unter Zeitdruck nachzuholen. Den größeren Rahmen dazu findest du auf unserer Seite zur KI-Compliance-Beratung.