Die KI-Kompetenzpflicht aus dem EU AI Act gehört jetzt in den IT- und Servicebetrieb

Viele IT-Organisationen haben den Einsatz von KI im letzten Jahr stark ausgeweitet, oft zuerst sehr pragmatisch. Ticket-Zusammenfassungen im Service Desk, Antwortvorschläge für Agents, Wissenssuche über Chat, Change-Bewertungen, Meeting-Notizen oder interne Copiloten sind in vielen Teams längst Teil des Tagesgeschäfts. Genau an diesem Punkt wird ein kurzer Satz aus dem EU AI Act operativ relevant, den viele Verantwortliche noch unterschätzen: Anbieter und Betreiber von KI-Systemen müssen für ein ausreichendes Maß an KI-Kompetenz sorgen. Diese Pflicht aus Artikel 4 gilt bereits seit dem 2. Februar 2025 und greift damit deutlich früher als viele andere operative AI-Act-Regeln, die erst 2026 oder 2027 voll wirksam werden.

Für IT- und Service-Teams ist das keine akademische Nebenpflicht. Wer KI im Betrieb nutzt, muss erklären können, dass Mitarbeitende die Systeme nicht nur bedienen, sondern deren Grenzen, Risiken, Freigaben und Eskalationswege verstehen. Die Europäische Kommission beschreibt AI Literacy ausdrücklich als Teil des verantwortlichen KI-Einsatzes. Das EU AI Office verweist in seiner Living Repository zudem darauf, dass es gerade nicht um ein einzelnes Standardtraining geht, sondern um Maßnahmen, die Wissen, Erfahrung, Nutzungskontext und betroffene Personengruppen berücksichtigen. Genau dort sind viele Häuser 2026 noch erstaunlich dünn aufgestellt.

Fünf Betriebsbausteine sollten deshalb jetzt verbindlich sitzen.

1. Alle produktiven KI-Anwendungsfälle im Servicebetrieb sichtbar machen

Der größte Fehler ist nicht ein schlechtes Training, sondern fehlende Transparenz. In vielen Organisationen weiß die IT-Leitung nur grob, dass irgendein Copilot lizenziert wurde. Im Tagesbetrieb existieren dann aber zehn verschiedene KI-Nutzungen: automatische Ticketklassifikation, Antwortentwürfe, Suchfunktionen im Wissensportal, Chatbots für Self-Service, Meeting-Zusammenfassungen, Code-Assistenten in Automationsskripten oder KI-Features in SaaS-Werkzeugen, die still per Update aktiviert wurden.

Bevor überhaupt über Kompetenz gesprochen wird, braucht jede Organisation ein schlankes Register aller produktiv oder pilotiert genutzten KI-Funktionen im IT- und Servicekontext. Für jeden Use Case sollten mindestens Zweck, betroffene Rolle, Anbieter, Eingabedaten, mögliche Auswirkungen bei Fehlverhalten und vorgesehene menschliche Kontrolle festgehalten werden. Das klingt banal, ist aber die operative Grundlage für alles Weitere. Ohne diese Sicht bleibt KI-Kompetenz ein abstrakter Compliance-Begriff. Mit ihr wird daraus ein steuerbares Betriebsobjekt.

Gerade Service Desks profitieren davon doppelt. Erstens erkennt man, welche Teams überhaupt mit KI arbeiten. Zweitens lassen sich Anwendungsfälle mit erhöhtem Risiko sofort markieren, etwa wenn KI in Antworttexte für Kunden, in Priorisierung oder in Entscheidungsunterstützung eingreift. Spätestens an dieser Stelle wird auch klar, ob einzelne Nutzungen überhaupt in problematische oder verbotene Muster laufen könnten. Die Kommission hat für die verbotenen Praktiken eigene Leitlinien veröffentlicht. Wer die eigenen KI-Funktionen nicht einmal vollständig kennt, kann diese Einordnung schlicht nicht sauber leisten.

2. Rollenbasierte KI-Kompetenz statt Einheits-Schulung aufbauen

Artikel 4 verlangt kein Zertifikat von der Stange. Er verlangt Maßnahmen, die zur jeweiligen Tätigkeit passen. Ein Service-Desk-Agent braucht andere Fähigkeiten als ein Plattform-Engineer, ein Service Owner, ein Teamlead oder ein Knowledge Manager. Genau deshalb sind pauschale E-Learnings mit 20 Folien operativ zu schwach. Sie erzeugen im Zweifel Häkchen, aber keine belastbare Kompetenz.

Sinnvoll ist eine kleine Kompetenzmatrix pro Rolle. Für Agents kann sie zum Beispiel vier Pflichtfelder enthalten: Was darf in Prompts und Anhängen landen, welche Antworten müssen fachlich geprüft werden, wann ist eine Eskalation Pflicht und wie werden Halluzinationen oder unsichere Aussagen erkannt. Für Service Owner kommen andere Felder hinzu, etwa Folgen für Kundenerlebnis, Transparenz gegenüber Nutzern, Qualitätskennzahlen und Grenzen automatisierter Empfehlungen. Für Plattform- oder Automations-Teams gehören Modellgrenzen, Protokollierung, Berechtigungen, Datenflüsse und Fallback-Betrieb dazu.

Genau diese Rollenlogik passt auch zur NIST AI RMF. Der Rahmen betont, dass Risiken entlang realer Nutzungskontexte bewertet und gesteuert werden müssen, nicht abstrakt pro Technologieetikett. Für den Betrieb heißt das: Schulung nicht als einmaliges Awareness-Event behandeln, sondern als Teil von Rollenbefähigung, Onboarding und Betriebsfreigabe.

3. Verbindliche Leitplanken für Nutzung, Freigabe und Eskalation in Prozesse einbauen

Kompetenz wird erst dann belastbar, wenn sie im Ablauf verankert ist. Es reicht nicht, Mitarbeitenden allgemein zu sagen, dass sie KI kritisch nutzen sollen. In Support- und Betriebsprozessen braucht es klare Leitplanken, die auch unter Zeitdruck funktionieren.

Praktisch bedeutet das zum Beispiel: KI-generierte Kundenantworten dürfen nicht ungeprüft versendet werden. Ticket-Priorisierungen mit KI bleiben eine Empfehlung und keine automatische Entscheidung. Wissensartikel, die aus generativen Systemen entstehen, brauchen eine fachliche Freigabe. Sensible Daten, Zugangsinformationen oder personenbezogene Inhalte dürfen nur in freigegebene Werkzeuge und definierte Mandanten. Und sobald ein KI-System in einem Incident-, Change- oder Problemprozess eine sichtbare Rolle spielt, muss klar sein, wann ein Mensch die Entscheidung übernimmt.

Genau dieser Zusammenhang zwischen Kompetenz und Kontrolle ist in vielen Unternehmen noch unterentwickelt. Teams lernen ein Tool kennen, aber nicht die organisatorischen Grenzen seiner Nutzung. Deshalb sollten KI-Leitplanken direkt in bestehende Betriebsartefakte eingebaut werden: Arbeitsanweisungen im Service Desk, Runbooks, Knowledge-Management-Regeln, Change-Templates, Prompt-Guides und Freigabekataloge. Erst wenn diese Leitplanken im Tagesbetrieb auffindbar sind, wird aus AI Literacy mehr als ein gutes Vorhaben.

4. Nachweise so führen, dass sie im Alltag und nicht nur im Audit tragen

Die KI-Kompetenzpflicht ist praktisch wertlos, wenn sie nur in PowerPoint existiert. Wer 2026 belastbar aufgestellt sein will, braucht wenige, aber prüfbare Nachweise. Dazu gehören das Use-Case-Register, die Rollenmatrix, Schulungsstände, Freigaberegeln, dokumentierte Leitplanken und eine nachvollziehbare Zuweisung von Verantwortlichkeiten. Wichtig ist außerdem, dass eingekaufte KI-Funktionen nicht blind als Herstellerproblem behandelt werden. Sobald das eigene Team ein System betreibt oder nutzt, entsteht auch eigener Organisationsaufwand.

Gerade bei SaaS- und Copilot-Funktionen sollte deshalb pro Lösung festgehalten werden, welche Hinweise der Anbieter zur Nutzung, zu Grenzen, zu Datenverarbeitung und zu menschlicher Aufsicht liefert. Das ersetzt die eigene Kompetenz nicht, hilft aber bei der sauberen Einordnung. Die Living Repository des EU AI Office ist hier nützlich, weil sie zeigt, dass andere Organisationen AI Literacy häufig mit internen Guidelines, abgestuften Trainingsformaten, Communities of Practice und dokumentierten Rollenmodellen verbinden. Zugleich betont die Kommission ausdrücklich, dass diese Beispiele keine automatische Vermutung der Compliance erzeugen. Genau deshalb sollten Unternehmen nicht Vorlagen kopieren, sondern den eigenen Betriebsfall dokumentieren.

Wer heute schon auf ISO-orientierte Steuerung setzt, kann diese Nachweise elegant andocken, etwa an bestehende Schulungsregister, Kontrollnachweise, Lieferantenbewertung und Prozessdokumentation. Dann wird aus der neuen Pflicht kein Paralleluniversum, sondern ein zusätzlicher Kontrollstrang im bestehenden Managementsystem.

5. KI-Kompetenz regelmäßig an Vorfälle, Qualitätsdaten und neue Use Cases zurückspiegeln

Der reife Betriebsansatz endet nicht beim Training. Entscheidend ist, ob Teams im Alltag mit KI sauber arbeiten. Deshalb sollten IT- und Service-Verantwortliche wenige Kennzahlen definieren, die wirklich etwas über Kompetenz aussagen. Dazu zählen etwa die Quote fachlich korrigierter KI-Antworten, dokumentierte Fehlklassifikationen, Eskalationen wegen unsicherer Outputs, Verstöße gegen Nutzungsregeln oder Beschwerden aus Fachbereichen und Kundenkontakt.

Besonders wertvoll ist eine enge Verbindung zu Incident-, Problem- und Qualitätsmanagement. Wenn ein Chatbot falsche Informationen verteilt, ein Agent Antwortvorschläge ungeprüft übernimmt oder ein Copilot in einem Change-Kontext riskante Schritte empfiehlt, ist das kein bloßes Toolproblem. Es ist zugleich ein Signal für Kompetenzlücken, schwache Leitplanken oder unzureichende Freigaben. Genau hier hilft die Logik der NIST AI RMF und ihres GenAI-Profils: Risiken müssen fortlaufend beobachtet, bewertet und mit dem tatsächlichen Einsatz abgeglichen werden.

Für die Praxis genügt oft schon ein quartalsweiser Review. Welche KI-Use-Cases sind neu hinzugekommen. Welche Rollen arbeiten inzwischen anders mit den Systemen. Wo gab es Fehlanwendungen. Welche Trainingsinhalte müssen nachgeschärft werden. Welche Prozesse brauchen stärkere menschliche Kontrolle. Wer diese Schleife sauber fährt, kann nicht nur auf Nachfragen besser antworten, sondern reduziert ganz konkret Betriebsrisiken.

Was IT- und Service-Verantwortliche in den nächsten 90 Tagen anstoßen sollten

• Ein KI-Register aufbauen: alle produktiven und pilotierten KI-Funktionen im IT- und Servicekontext sichtbar machen.
• Drei bis fünf Rollenprofile definieren: zum Beispiel Service Desk, Service Owner, Plattformbetrieb, Führung und Knowledge Management.
• Leitplanken in bestehende Prozesse schreiben: nicht als Extra-Dokument, sondern in Runbooks, Work Instructions und Freigabekataloge.
• Nachweise pragmatisch bündeln: Schulungsstand, Freigaben, Nutzungsgrenzen und Verantwortliche an einer prüfbaren Stelle zusammenziehen.
• Einen Quartalsreview fest verankern: Vorfälle, Qualitätsdaten und neue Use Cases gegen die vorhandene Kompetenzmatrix spiegeln.

Fazit

Die KI-Kompetenzpflicht aus dem EU AI Act ist 2026 kein Zukunftsthema mehr, sondern eine operative Hausaufgabe für jede Organisation, die KI im IT- und Servicebetrieb einsetzt. Wer Use Cases sichtbar macht, Rollen sauber qualifiziert, Leitplanken in Prozesse einzieht, Nachweise führt und Qualitätsdaten auswertet, baut daraus ein belastbares Betriebsmodell. Genau das wird in vielen Häusern wichtiger sein als die nächste spektakuläre Demo. Denn im Alltag entscheidet nicht das beeindruckendste Modell, sondern die Frage, ob Menschen KI in einem kontrollierten Servicekontext verlässlich einsetzen können.

Quellen

• EU Artificial Intelligence Act, Artikel 4: AI literacy
• EU Artificial Intelligence Act, Artikel 113: Entry into Force and Application
• European Commission: AI Act
• European Commission: AI talent, skills and literacy
• EU AI Office: Living repository to foster learning and exchange on AI literacy
• European Commission: Guidelines on prohibited AI practices
• NIST: AI Risk Management Framework