KI-Schulungspflicht im Unternehmen: Welche rechtlichen und finanziellen Risiken drohen ohne Training?

Veröffentlicht am 08.03.2026

Der Einsatz von Künstlicher Intelligenz (KI) entwickelt sich in vielen Unternehmen zu einem festen Bestandteil des Arbeitsalltags. Generative KI-Tools, automatisierte Analyseverfahren oder KI-gestützte Entscheidungsunterstützung werden zunehmend in Bereichen wie Marketing, Kundenservice, HR oder Datenanalyse eingesetzt.

Mit diesen technologischen Möglichkeiten entstehen jedoch auch neue rechtliche und organisatorische Anforderungen. Insbesondere der europäische AI Act, aber auch bestehende Regelwerke wie die DSGVO sowie allgemeine Haftungsgrundlagen des österreichischen Zivilrechts stellen Unternehmen vor neue Compliance-Fragen.

Ein zentrales Thema dabei ist die KI-Kompetenz von Mitarbeitern. Fehlende Schulungen oder unzureichendes Verständnis für die Funktionsweise und Risiken von KI-Systemen können erhebliche rechtliche und finanzielle Konsequenzen nach sich ziehen.

Warum KI-Kompetenz im Unternehmen zum rechtlichen Thema wird

KI-Systeme sind nicht nur technische Werkzeuge. Sie beeinflussen Entscheidungen, Datenverarbeitung und interne Prozesse. Mitarbeitende, die KI im Arbeitskontext einsetzen, übernehmen damit faktisch auch Verantwortung für deren Einsatz.

Fehlende KI-Kompetenz kann beispielsweise dazu führen, dass Mitarbeiter:

• vertrauliche oder personenbezogene Daten in externe KI-Systeme eingeben
• KI-Ergebnisse ungeprüft übernehmen
• diskriminierende oder fehlerhafte Outputs verwenden
• automatisierte Entscheidungen falsch interpretieren

Solche Fehlanwendungen können rechtliche Konsequenzen für das gesamte Unternehmen haben. Aus Compliance-Sicht wird deshalb zunehmend erwartet, dass Unternehmen strukturierte Maßnahmen zur KI-Kompetenzentwicklung etablieren.

Diese Entwicklung wird insbesondere durch neue regulatorische Anforderungen auf EU-Ebene verstärkt.

Der regulatorische Rahmen: EU AI Act, DSGVO und nationale Haftungsregeln

Der Einsatz von KI im Unternehmen bewegt sich in einem Zusammenspiel mehrerer Rechtsbereiche.

EU AI Act

Der EU AI Act schafft erstmals einen umfassenden Rechtsrahmen für KI-Systeme in der Europäischen Union. Die Verordnung verfolgt einen risikobasierten Ansatz und unterscheidet unter anderem zwischen:

• verbotenen KI-Praktiken
• Hochrisiko-KI-Systemen
• KI mit Transparenzpflichten
• KI mit geringem Risiko

Unternehmen, die KI-Systeme einsetzen, gelten häufig als sogenannte Deployer. Sie müssen verschiedene organisatorische und technische Anforderungen erfüllen, etwa im Bereich Risikomanagement, menschliche Aufsicht und Governance.

Datenschutzrecht (DSGVO)

Parallel dazu gilt weiterhin die Datenschutz-Grundverordnung (DSGVO) für jede KI-Anwendung, bei der personenbezogene Daten verarbeitet werden.

Typische Beispiele sind:

• KI-gestützte Bewerbungsanalyse
• Kundenanalysen
• Chatbots im Kundenservice
• generative KI mit Eingabe personenbezogener Daten

Unternehmen gelten hier regelmäßig als Verantwortliche im Sinne der DSGVO und müssen unter anderem sicherstellen:

• rechtmäßige Datenverarbeitung
• Transparenz gegenüber Betroffenen
• angemessene Datensicherheit
• Wahrung der Betroffenenrechte

Bei besonders risikoreichen Verarbeitungen kann zudem eine Datenschutz-Folgenabschätzung (DSFA) erforderlich sein.

Zivilrechtliche Haftung nach österreichischem Recht

Neben regulatorischen Vorgaben spielen auch zivilrechtliche Haftungsregeln eine Rolle.

Nach österreichischem Schadenersatzrecht kann ein Unternehmen für Schäden haften, die durch organisatorische Mängel oder Fehlverhalten von Mitarbeitern entstehen. Besonders relevant ist dabei das Konzept des Organisationsverschuldens.

Gemäß § 1298 ABGB wird Verschulden grundsätzlich vermutet. Unternehmen müssen daher im Streitfall darlegen können, dass ihre Organisation angemessen gestaltet war.

Fehlende Schulungen oder unklare interne Regeln zum KI-Einsatz können in diesem Zusammenhang problematisch sein.

AI Literacy nach dem EU AI Act: Welche Pflichten Unternehmen treffen

Der EU AI Act enthält mit Art. 4 eine ausdrückliche Pflicht zur Sicherstellung eines ausreichenden Niveaus an AI Literacy (KI-Kompetenz).

Adressaten dieser Pflicht sind sowohl Anbieter als auch Nutzer von KI-Systemen. Dazu gehören auch Unternehmen, deren Mitarbeiter KI-Tools im Arbeitsalltag verwenden.

AI Literacy umfasst insbesondere Kenntnisse über:

• Funktionsweise und Grenzen von KI-Systemen
• mögliche Fehlerquellen und Bias
• Risiken automatisierter Entscheidungen
• verantwortungsvolle Nutzung von KI
• rechtliche Rahmenbedingungen

Die Verordnung schreibt keine konkrete Schulungsform vor. Unternehmen müssen jedoch geeignete Maßnahmen treffen, um ein angemessenes Kompetenzniveau sicherzustellen.

Dabei können unter anderem eine Rolle spielen:

• Schulungen oder Trainingsprogramme
• interne Richtlinien zur KI-Nutzung
• E-Learning-Angebote für Mitarbeiter
• Dokumentation von Qualifizierungsmaßnahmen

Die Pflicht wird in der Fachliteratur häufig als Querschnittspflicht verstanden, da ausreichende KI-Kompetenz Voraussetzung für viele andere Compliance-Anforderungen ist.

Datenschutzrisiken durch ungeschulte KI-Nutzung im Unternehmen

Ein besonders relevantes Risiko entsteht im Zusammenhang mit der DSGVO.

Ungeschulte Mitarbeiter können unbeabsichtigt datenschutzrechtliche Verstöße verursachen, etwa durch:

• Eingabe personenbezogener Daten in öffentliche KI-Tools
• Nutzung von KI-Systemen ohne ausreichende Rechtsgrundlage
• Weitergabe sensibler Informationen an externe Dienste
• automatisierte Auswertung personenbezogener Daten ohne Risikoanalyse

Gerade generative KI-Systeme speichern oder verarbeiten Eingaben häufig auf externen Servern. Werden dort personenbezogene Daten eingegeben, kann dies zu einer unzulässigen Datenübermittlung führen.

Datenschutzbehörden können in solchen Fällen Maßnahmen verhängen, etwa:

• Einschränkungen der Datenverarbeitung
• Löschungsanordnungen
• Nutzungsverbote bestimmter Systeme
• Bußgelder

Die DSGVO sieht Geldbußen von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes vor.

Haftungsrisiken nach österreichischem Recht: Organisationsverschulden und Schadenersatz

Neben aufsichtsrechtlichen Sanktionen können auch zivilrechtliche Haftungsrisiken entstehen.

Wenn durch fehlerhafte KI-Nutzung Schäden entstehen – beispielsweise falsche Entscheidungen, Datenlecks oder Vertragsverletzungen – kann sich die Frage stellen, ob das Unternehmen seine Organisationspflichten ausreichend erfüllt hat.

Typische Haftungsszenarien können sein:

• fehlerhafte automatisierte Entscheidungen gegenüber Kunden
• Datenschutzverletzungen durch KI-Tools
• falsche Vertragsanalysen durch KI-Systeme
• diskriminierende Entscheidungen im HR-Bereich

In solchen Fällen kann geprüft werden, ob das Unternehmen:

• geeignete Prozesse eingerichtet hat
• Mitarbeiter ausreichend geschult hat
• klare Nutzungsrichtlinien definiert hat
• eine angemessene Kontrolle der KI-Nutzung sicherstellt

Fehlende KI-Schulungen können dabei als Hinweis auf Selektions-, Anweisungs- oder Überwachungsverschulden gewertet werden.

Finanzielle und betriebliche Folgen fehlender KI-Schulungen

Neben rechtlichen Risiken können auch erhebliche wirtschaftliche Folgen entstehen.

Mögliche Auswirkungen sind unter anderem:

• Bußgelder durch Aufsichtsbehörden
• Schadenersatzforderungen
• Kosten durch Datenpannen
• Betriebsunterbrechungen
• Reputationsschäden

Auch Vertragsrisiken können entstehen, wenn KI-basierte Prozesse fehlerhafte Ergebnisse liefern oder regulatorische Anforderungen verletzt werden.

Für viele Unternehmen wird daher deutlich, dass KI-Governance und Mitarbeiterqualifizierung zunehmend Teil der allgemeinen Compliance-Struktur werden.

Typische Risikoszenarien im Unternehmensalltag

In der Praxis entstehen Risiken häufig nicht durch komplexe KI-Systeme, sondern durch alltägliche Nutzungssituationen.

Beispiele sind:

Nutzung generativer KI im Büroalltag

Mitarbeiter geben interne Dokumente, Kundeninformationen oder vertrauliche Inhalte in KI-Tools ein, um Texte oder Analysen zu erstellen.

KI im Personalbereich

Automatisierte Tools zur Bewerberanalyse können diskriminierende oder fehlerhafte Entscheidungen erzeugen.

Automatisierte Kundenkommunikation

Chatbots oder generative Systeme geben falsche oder rechtlich problematische Informationen an Kunden weiter.

KI-gestützte Datenanalyse

Analysewerkzeuge verarbeiten personenbezogene Daten ohne ausreichende rechtliche Grundlage oder Risikobewertung.

Solche Szenarien zeigen, dass Risiken häufig durch fehlendes Verständnis der Mitarbeiter für Funktionsweise und Grenzen von KI-Systemen entstehen.

Wie Unternehmen KI-Schulungen und KI-Governance praktisch umsetzen können

Um rechtliche Risiken zu reduzieren, setzen viele Unternehmen auf strukturierte KI-Governance-Modelle.

Typische Elemente sind:

KI-Richtlinien im Unternehmen

Klare Regeln zur Nutzung von KI-Systemen, insbesondere für:

• Umgang mit Daten
• zulässige Tools
• Dokumentationspflichten

Strukturierte KI-Schulungen

Mitarbeiter sollten grundlegende Kenntnisse über KI-Systeme, Risiken und rechtliche Rahmenbedingungen erhalten. Schulungen können beispielsweise als:

• interne Trainings
• E-Learning-Kurse
• verpflichtende Onboarding-Module

umgesetzt werden.

Rollen und Verantwortlichkeiten

Geschäftsführung, Compliance, IT und HR sollten klare Zuständigkeiten für KI-Governance definieren.

Dokumentation und Nachweisbarkeit

Dokumentierte Schulungen, Richtlinien und Kontrollmechanismen können im Ernstfall helfen, Organisationspflichten nachweisbar zu erfüllen.

Fazit

Der Einsatz von KI im Unternehmen bringt erhebliche Chancen, aber auch neue regulatorische und organisatorische Herausforderungen mit sich.

Mit dem EU AI Act rückt die KI-Kompetenz von Mitarbeitern stärker in den Fokus. Unternehmen sind verpflichtet, Maßnahmen zu ergreifen, um ein ausreichendes Niveau an AI Literacy sicherzustellen.

Fehlende KI-Schulungen können zu Datenschutzverstößen, Haftungsrisiken und erheblichen finanziellen Folgen führen. Vor diesem Hintergrund gewinnen strukturierte Schulungsprogramme, klare Governance-Strukturen und dokumentierte Compliance-Maßnahmen zunehmend an Bedeutung.

Für Unternehmen wird es daher immer wichtiger, den Einsatz von KI nicht nur technisch, sondern auch organisatorisch und rechtlich professionell zu gestalten.

FAQ

Gibt es eine gesetzliche KI-Schulungspflicht für Unternehmen nach dem EU AI Act?

Der EU AI Act enthält in Art. 4 eine Pflicht zur Sicherstellung eines ausreichenden Niveaus an KI-Kompetenz (AI Literacy). Unternehmen müssen geeignete Maßnahmen treffen, damit Personen, die KI-Systeme nutzen oder betreiben, über ausreichendes Verständnis der Funktionsweise, Risiken und Grenzen von KI verfügen.

Welche Risiken entstehen, wenn Mitarbeiter KI-Tools ohne Schulung nutzen?

Ungeschulte Mitarbeiter können KI-Systeme falsch verwenden, etwa durch Eingabe sensibler Daten in externe Tools, durch ungeprüfte Nutzung von KI-Ergebnissen oder durch falsche Interpretation automatisierter Entscheidungen. Dies kann Datenschutzverstöße, Fehlentscheidungen oder Haftungsrisiken für das Unternehmen verursachen.

Kann ein Unternehmen für Fehler von Mitarbeitern bei der Nutzung von KI haften?

Ja. Nach österreichischem Schadenersatzrecht kann ein Unternehmen für Schäden haften, wenn organisatorische Pflichten verletzt wurden. Fehlende Schulungen, unklare Richtlinien oder mangelnde Kontrolle der KI-Nutzung können als Organisationsverschulden gewertet werden.

Welche DSGVO-Probleme können durch KI-Nutzung im Unternehmen entstehen?

Typische Probleme sind unzulässige Verarbeitung personenbezogener Daten, fehlende Rechtsgrundlagen, unzureichende Transparenz gegenüber Betroffenen oder unsichere Datenübermittlung an externe KI-Dienste. In solchen Fällen können Aufsichtsbehörden Bußgelder oder andere Maßnahmen verhängen.

Wie können Unternehmen ihre Mitarbeiter rechtssicher im Umgang mit KI schulen?

Unternehmen können strukturierte Schulungsprogramme einführen, etwa über E-Learning-Plattformen, interne Trainings oder verpflichtende Kurse. Ergänzend sind klare KI-Richtlinien, dokumentierte Schulungen und definierte Verantwortlichkeiten wichtige Bestandteile einer wirksamen KI-Governance.