Künstliche Intelligenz ist in der IT längst Alltag. Sie steckt in Security-Lösungen, unterstützt Analyse- und Automatisierungsprozesse, bewertet sicherheitsrelevante Meldungen und hilft im Support. Für viele IT-Dienstleister ist KI kein eigenständiges Projekt mehr, sondern eine Funktion innerhalb bestehender Services.
Der EU AI Act gilt direkt in der EU und greift bei Schweizer Firmen, sobald KI-Outputs Kunden in der DACH-Region erreichen. Während die Schweiz über keinen eigenen AI Act verfügt, fördert der Bundesrat EU-kompatible Standards über die Datenschutz-Grundverordnung (DSG) und die Europarats-Konvention. KI-Awareness ist hier Best Practice, besonders für Systemhäuser mit grenzüberschreitenden Projekten.
Mit dem EU AI Act schafft die Europäische Union erstmals einen verbindlichen Rahmen für den Einsatz von KI. Die Verordnung richtet sich nicht nur an Hersteller, sondern auch an Organisationen, die KI einsetzen oder betreiben. Damit betrifft sie auch Unternehmen, deren Mitarbeitende KI-Tools im Arbeitsalltag nutzen – ebenso wie IT-Dienstleister, die KI in Kundenumgebungen integrieren, betreiben oder empfehlen.
Der EU AI Act: Regulierung mit Blick auf den Menschen
Der EU AI Act folgt einem risikobasierten Ansatz. Reguliert wird nicht KI als Technologie, sondern ihren Einsatz – dort, wo Entscheidungen Auswirkungen auf Menschen, Daten oder grundlegende Rechte haben können. Ziel ist es, Innovation zu ermöglichen und gleichzeitig Verantwortung klar zu verorten. Auch alltägliche KI-Szenarien können relevant sein, wenn Outputs Entscheidungen beeinflussen. Artikel 4 EU AI Act verpflichtet Organisationen, für KI-Kompetenz der Mitarbeitenden zu sorgen. Das gilt auch für Schweizer Firmen, sobald ihre KI-Lösungen Kunden in der EU erreichen.
Dabei ist entscheidend: Der Anwendungsbereich beschränkt sich nicht auf hochkomplexe KI-Systeme.
Auch alltägliche Nutzungsszenarien können relevant sein, etwa wenn KI Ergebnisse für Entscheidungen liefert – zum Beispiel bei der Einschätzung von Risiken, der Priorisierung von Support-Anfragen oder der inhaltlichen Unterstützung bei Analysen und Texten.
Eine zentrale Rolle spielt dabei Artikel 4. Er verpflichtet Organisationen dazu, sicherzustellen, dass Personen, die KI-Systeme einsetzen oder betreiben, über ein angemessenes Mass an KI-Kompetenz verfügen.
Was Artikel 4 konkret verlangt
Der EU AI Act macht bewusst keine Vorgaben zu festen Schulungsformaten, Zertifikaten oder Mindeststunden. Stattdessen liegt die Verantwortung bei den Organisationen selbst. Sie müssen bewerten,
- welche Rollen mit KI arbeiten,
- welche Risiken daraus entstehen und
- welches Mass an Wissen sowie Awareness erforderlich ist.
Das gilt sowohl für IT-Dienstleister als auch für deren Kunden. KI-Kompetenz ist dabei kein einmaliges Training, sondern bildet einen fortlaufenden Prozess, der sich an Einsatzszenarien, Kundenkontexten und Verantwortlichkeiten orientiert. Der Gesetzgeber adressiert damit weniger Technik, sondern das Risiko menschlicher Fehlentscheidungen im Umgang mit KI.
KI-Kompetenz als Human Risk-Thema
Im IT-Service-Alltag – wie auch im Arbeitsalltag vieler Unternehmen – bedeutet KI-Kompetenz nicht, selbst KI-Modelle entwickeln zu können. Entscheidend ist, KI-Ergebnisse richtig einzuordnen, ihre Grenzen zu erkennen und verantwortungsvoll damit umzugehen.
Eine vergleichbare Entwicklung war in den letzten Jahren im Security-Umfeld zu beobachten: weg von rein technischen Massnahmen, hin zu Awareness, Verhalten und bewussten Entscheidungen im Alltag. Diese Denkweise lässt sich direkt auf den Umgang mit KI übertragen.
Auch unser Security Awareness-Hersteller KnowBe4 greift diese Perspektive in einem Beitrag zum EU AI Act auf und betont, dass KI-Kompetenz nicht pauschal vermittelt werden kann, sondern sich an Rolle und Nutzungskontext orientieren sollte.
Rollenabhängige KI-Kompetenz in der Praxis
Da der EU AI Act keine festen Schulungsmodelle vorgibt, müssen Organisationen selbst bewerten, wer mit KI arbeitet und welches Mass an Verständnis dafür erforderlich ist. In der Praxis hat sich dabei eine rollenbezogene Betrachtung bewährt:
- Technische Teams benötigen ein tieferes Verständnis für Sicherheit, Datenverarbeitung und ethische Aspekte von KI.
- Nicht-technische Mitarbeitende müssen lernen, KI-Ergebnisse kritisch einzuordnen und ihre Grenzen zu erkennen.
- Führungskräfte bewerten KI im Hinblick auf Governance, Risiken und geschäftliche Auswirkungen.
Diese Einordnung ist keine formale Vorgabe, erleichtert aber den gezielten Aufbau von KI-Kompetenz – sowohl bei IT-Dienstleistern als auch ihren Kunden.
Security Awareness als praktischer Hebel
KnowBe4 ist vor allem für seine Security Awareness-Trainings bekannt. Diese helfen dabei, menschliche Risiken im IT-Alltag nachhaltig zu reduzieren – etwa im Umgang mit Phishing, Social Engineering oder sensiblen Daten.
Diese Trainingslogik ist auch im KI-Kontext relevant. Mitarbeitende lernen, Ergebnisse zu hinterfragen, Risiken zu erkennen und Verantwortung für automatisierte Empfehlungen zu übernehmen.
Für IT-Dienstleister bieten Security Awareness-Programme von KnowBe4 damit einen praxisnahen Ansatz, um KI-Kompetenz im Sinne des EU AI Act aufzubauen – eingebettet in bestehende Human Risk-Management-Strukturen.
Fazit
Der EU AI Act ist kein klassisches Technologiegesetz. Er adressiert vielmehr menschliches Verhalten im Umgang mit KI – unabhängig davon, ob KI in IT-Services oder im Büroalltag eingesetzt wird. Das gilt auch für Schweizer Firmen, sobald ihre KI-Lösungen Kunden in der EU erreichen.
Für IT-Dienstleister bedeutet das eine doppelte Verantwortung: KI-Kompetenz im eigenen Unternehmen aufbauen und Kunden dabei unterstützen, KI verantwortungsvoll zu nutzen. Wer KI-Kompetenz als Human Risk-Thema versteht und an bestehende Awareness-Ansätze anknüpft, schafft Orientierung, reduziert Risiken und stärkt Vertrauen – intern wie extern.
