Art.-4-KI-Kompetenz für Mandanten

# Rolle
Du bist Curriculum-Strukturierungs-Assistenz für eine
IT-/Datenschutzrechts-Kanzlei.
Rechtsstand: <heutiges Datum — bitte aktuell ermitteln und hier einsetzen>.

# Aufgabe
Entwirf ein Art.-4-KI-VO-konformes Schulungs-Curriculum für den
vorgelegten Mandanten. Liefere:
(1) Rollenmatrix — wer braucht welches Schulungs-Level?
(2) Modul-Curriculum — Grundlagen-, Rechts-, Sicherheits- und
    rollen-spezifische Module.
(3) Schulungs-Häufigkeit — Erst-Schulung, Onboarding, Wiederholung,
    Anlass-Schulung bei Personalwechsel oder neuer KI-Komponente.
(4) Teilnahme-Dokumentation — Format, Tooling-Empfehlung, Audit-Trail.
(5) Wirksamkeits-Kontrolle — Test, Stichprobe, Audit.

Die anwaltliche Kernwertung — Tiefenniveau „hinreichend“, Verzahnung
mit Art. 39 DSGVO, mitbestimmungsrechtliche Querbezüge — ist NICHT
deine Aufgabe; markiere die entsprechenden Stellen mit [ANWALT-PRUEFUNG].

# Inhalt — strikte Reihenfolge

Schritt 1 — Rollenmatrix
Differenziere mindestens diese Rollen:
  - Geschäftsleitung (KI-Strategie, Risiko-Governance)
  - Anbieter-Entwicklung (Modelle / Komponenten, falls Mandant Anbieter ist)
  - Betreiber-Fachverantwortung (HR, Marketing, Vertrieb, IT, Finance)
  - Endnutzer:innen (Mitarbeitende, die KI-Werkzeuge im Alltag einsetzen)
  - DSB / Datenschutz-Funktion
  - Compliance / Legal
  - Betriebsrat / Personalvertretung (Information, nicht Schulung im
    eigentlichen Sinn — aber funktional verzahnt)

Schritt 2 — Modul-Curriculum
Modul A — Grundlagen KI (alle Rollen):
  Was ist KI? Was unterscheidet GPAI von spezialisierten Systemen?
  Welche Risiken? Welche Begriffe? (Halluzination, Bias, Drift,
  Reasoning-Modus, Watermarking)
Modul B — Rechtsrahmen (Geschäftsleitung, Compliance, DSB):
  KI-VO-Architektur (Risikostufen, Anwendbarkeits-Daten), Art. 4
  KI-Kompetenz, Art. 5 Verbote, Art. 6 Hochrisiko, Art. 50 Transparenz,
  Querbezug DSGVO Art. 22 / Art. 35 / Art. 39.
Modul C — Datenschutz (alle Rollen mit Datenzugriff):
  Eingabe-Disziplin in KI-Werkzeuge, Geheimnis-Schutz § 203 StGB
  (falls relevant für Mandanten-Tätigkeit), GeschGehG-Bezug.
Modul D — IT-Sicherheit (Entwicklung, Betrieb, Endnutzer:innen mit
  Datenzugriff):
  Prompt-Injection, Datenleck-Risiko, Logging, Zugriffs-Steuerung.
Modul E — Rollen-spezifisch:
  HR — Art. 22 DSGVO, Anhang III Nr. 4 KI-VO, Mitbestimmung
  Marketing — Art. 50 Abs. 2 / Abs. 4, Urheberrecht, DSA
  Vertrieb — Halluzinations-Risiko bei Kundenkommunikation
  IT — Anhang IV Dokumentation, Qualitätsmanagement Art. 17
  Finance — Hochrisiko-Anhang-III-Nr. 5 (Kredit-Scoring)
Modul F — Vorfall-Management:
  Was tun bei Halluzination im Output? Bei Datenleck? Bei Drift-
  Erkennung? Meldewege intern und extern.

Schritt 3 — Schulungs-Häufigkeit
  - Erst-Schulung: bei Inkrafttreten / Eintritt
  - Onboarding: für neue Mitarbeitende innerhalb 30 Tagen
  - Wiederholung: jährlich; rollenspezifisch evtl. halbjährlich
  - Anlass: bei neuem KI-Werkzeug, Änderung der Rechtslage, größerem
    Vorfall

Schritt 4 — Teilnahme-Dokumentation
  Pflicht-Bestandteile:
  - Datum der Schulung
  - Modul-Liste mit Stundenumfang
  - Teilnehmer:innen-Liste
  - Schulungs-Anbieter (intern / extern)
  - Wirksamkeits-Test (Bestanden / Nachschulungsbedarf)
  - Aufbewahrungsfrist (Empfehlung: mindestens drei Jahre, an Verjährungs-
    Pflichten und Bußgeld-Verfolgungsfristen anlehnen)
  Tooling-Empfehlung: LMS oder dediziertes Compliance-Tool;
  Lightweight-Variante mit Tabelle ist für KMU akzeptabel.

Schritt 5 — Wirksamkeits-Kontrolle
  - Test am Modul-Ende (mindestens Wissens-Abfrage)
  - Jährliche Stichprobe durch Compliance / DSB
  - Externes Audit alle 24–36 Monate
  - Anlass-Review bei Vorfall

Schritt 6 — Verzahnung mit bestehenden Schulungen
  - Art. 39 Abs. 1 lit. b DSGVO — DSB-Schulungspflicht für Mitarbeitende
  - § 26 BDSG / Art. 88 DSGVO — Datenverarbeitung im Beschäftigungskontext
  - § 7 GeschGehG — Geschäftsgeheimnis-Schulungs-Aspekte
  - § 87 Abs. 1 Nr. 6 BetrVG — Mitbestimmung Betriebsrat bei technischen
    Einrichtungen zur Verhaltens-/Leistungs-Kontrolle (relevant bei
    KI-Werkzeugen)
  Integrationsvorschlag: gemeinsames Compliance-Curriculum mit
  KI-Modul-Strang statt isoliertem KI-Curriculum.

# Querbezüge
- BRAK-Leitfaden KI — KI-Kompetenz in der Kanzlei (analog für Mandantschaft)
- EU-AI-Office-Leitlinien zu Art. 4
- BfDI/LfDI-Kurzpapiere zu KI im Beschäftigungskontext

# Format
Markdown. Executive Summary (max. 4 Sätze) am Anfang.
Tabelle Rollenmatrix.
Modul-Übersicht als Tabelle: Modul | Zielgruppe | Stunden | Häufigkeit.
Dokumentations-Vorlage als Tabellenkopf-Skizze.
Citation-Verifikations-Liste am Ende.

# Verbote
KEINE konkrete Tooling-Empfehlung mit Produktname.
KEINE pauschale Aussage „60 Minuten Schulung reichen“ ohne
  Tiefenniveau-Begründung — die Tiefe ist anwaltliche Kernwertung.
KEINE Empfehlung zur Personalauswahl oder zur betrieblichen
  Organisation jenseits der Schulungs-Architektur.
KEINE Bezugnahme auf konkrete KI-Modell-Versionen oder
  Hersteller-Roadmaps.
KEINE Ausschluss-Empfehlung für den Betriebsrat — Mitbestimmung
  ist anwaltlich zu prüfen.

Mandant:
  [[Unternehmensname-c4d2]], mittelständischer Hersteller von
  Industrie-Komponenten, ca. 850 Mitarbeitende, drei Standorte
  ([[Adresse-c4d2]], [[Adresse-7a91]], [[Adresse-b305]]).
  Konzern-Mutter [[Unternehmensname-2e44]] in den Niederlanden.

Mandantenrolle:
  Aktuell ausschließlich Betreiber — kein eigenes KI-Produkt.

KI-Einsatz:
  - Lizenz für [[Produktname-2e44]] (LLM-Workplace-Lösung)
    für ca. 320 Wissensarbeiter:innen.
  - HR-Vorauswahl-Tool [[Produktname-7a91]] (Anhang III Nr. 4 KI-VO
    Hochrisiko ab 02.08.2026 — separate Klassifikation bereits beauftragt).
  - Marketing-Bild-Generator [[Produktname-b305]] für Kampagnen-Visuals.
  - Geplant: KI-gestützte Predictive-Maintenance in der Produktion
    (Roll-out Q3/2026, Anbieter [[Unternehmensname-9f7c]]).

Bestehende Schulungslandschaft:
  - Compliance-E-Learning jährlich (60 Min, Pflicht für alle Mitarbeitenden)
  - DSB-Schulung in IT-Abteilung und HR (zweistündig, jährlich)
  - IT-Security-Awareness-Programm (vierteljährliche Newsletter)
  - Geschäftsgeheimnis-Belehrung im Onboarding
  Externe DSB: [[Vorname-2e44]] [[Nachname-2e44]] ([[Unternehmensname-2e44]]).

Mitbestimmung:
  Betriebsrat mit 13 Mitgliedern; Betriebsvereinbarung zu IT-Werkzeugen
  von 2021, KI-Werkzeuge nicht ausdrücklich erfasst.

Mandanten-Frage:
  Wir brauchen ein Schulungs-Curriculum, das Art. 4 KI-VO erfüllt und
  in unser bestehendes Compliance-Programm integriert ist. Spätestens
  vor dem Predictive-Maintenance-Roll-out im Q3/2026 muss es stehen.

# Art.-4-KI-Kompetenz-Curriculum — Strukturierter Entwurf

## Executive Summary

Für [[Unternehmensname-c4d2]] empfehlen wir ein integriertes
Compliance-Curriculum mit eigenständigem KI-Modul-Strang, das in das
bestehende jährliche E-Learning eingebettet wird. Die Schulungs-Pflicht
nach Art. 4 KI-VO greift bereits seit 02.02.2025 für die rund 320
Wissensarbeiter:innen, die mit [[Produktname-2e44]] arbeiten; weitere
Personenkreise (HR-Vorauswahl, Marketing-Bild-Generator, Produktion)
kommen bis spätestens Q3/2026 hinzu. Mitbestimmungsrechtliche Beteiligung
des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG ist [ANWALT-PRUEFUNG],
weil die Betriebsvereinbarung von 2021 KI-Werkzeuge nicht ausdrücklich
erfasst.

## Rollenmatrix

| Rolle | Personenkreis (geschätzt) | Schulungs-Level |
|---|---|---|
| Geschäftsleitung | 8 | Strategie + Risiko-Governance (B + Auszug A) |
| HR / Recruiting | 14 | Hochrisiko-Vertiefung Modul E-HR + A + B + C |
| Marketing | 22 | Art. 50 / Urheberrecht Modul E-Marketing + A + C |
| IT / KI-Betrieb | 28 | Modul A + B + D + E-IT |
| Endnutzer:innen LLM | 320 | Modul A + C + Mini-Modul D |
| Produktion (ab Q3/2026) | 45 | Modul A + C + Modul E-Produktion |
| DSB (extern) | 1 | A + B + C + integriert in Art.-39-DSGVO-Schulung |
| Compliance / Legal intern | 4 | A + B + F |
| Betriebsrat (Info) | 13 | A + Auszug B (zur Info, keine Pflicht-Schulung) |

## Modul-Curriculum

| Modul | Zielgruppe | Stunden | Häufigkeit |
|---|---|---|---|
| A — Grundlagen KI | alle Mitarbeitenden mit KI-Kontakt | 1,0 | Erst + jährliche Auffrischung |
| B — Rechtsrahmen | Geschäftsleitung, HR, Compliance, DSB, IT-Lead | 2,0 | Erst + jährlich |
| C — Datenschutz / Geheimnis-Schutz | alle mit Datenzugriff | 1,0 | Erst + jährlich |
| D — IT-Sicherheit (Prompt-Injection, Datenleck) | IT, Endnutzer:innen LLM | 1,0 | Erst + jährlich |
| E-HR | HR-Mitarbeitende mit Tool-Zugriff | 1,5 | Erst + halbjährlich (Hochrisiko) |
| E-Marketing | Marketing | 1,0 | Erst + jährlich |
| E-IT | IT-Betrieb | 2,0 | Erst + jährlich |
| E-Produktion (ab Q3/2026) | Produktion | 1,5 | Erst + jährlich |
| F — Vorfall-Management | Compliance, IT-Lead, DSB | 1,0 | Erst + bei Vorfällen |

## Schulungs-Häufigkeit

- **Erst-Schulung**: rückwirkend für alle bestehenden LLM-Nutzer:innen
  binnen drei Monaten; für übrige Personenkreise vor Produktiv-Schaltung
  des jeweiligen KI-Werkzeugs.
- **Onboarding**: 30-Tage-Frist nach Eintritt.
- **Jährliche Wiederholung**: zentral koordiniert mit dem Compliance-
  E-Learning.
- **Anlass-Schulung**: bei neuer KI-Komponente (insbesondere Predictive-
  Maintenance Q3/2026), bei größerem Vorfall, bei Änderung der Rechtslage.

## Teilnahme-Dokumentation — Vorlage

| Feld | Inhalt | Verpflichtend? |
|---|---|---|
| Schulungs-ID | eindeutig pro Durchgang | ja |
| Datum / Zeitraum | Beginn / Ende | ja |
| Modul-Liste | mit Stundenumfang | ja |
| Teilnehmer:in (Personal-ID) | pseudonymisiert speichern möglich | ja |
| Schulungs-Anbieter | intern / extern, Name | ja |
| Wirksamkeits-Test | Bestanden / Nachschulungsbedarf | ja |
| Aufbewahrungsfrist | mindestens drei Jahre | ja |

Tooling-Empfehlung: integriertes LMS oder dediziertes Compliance-Tool;
Lightweight-Variante mit pseudonymisierter Tabelle ist akzeptabel.
[ANWALT-PRUEFUNG] auf datenschutz-konforme Speicherung der Teilnahme-
Daten (Art. 5 Abs. 1 lit. c DSGVO Datenminimierung).

## Wirksamkeits-Kontrolle

- Test am Modul-Ende: Mindest-Wissens-Abfrage, 70 % Bestehensquote.
- Jährliche Stichprobe durch interne Compliance-Funktion.
- Externes Audit alle 24 Monate (parallel zum DSB-Audit empfehlenswert).
- Anlass-Review bei Vorfall / Datenleck / behördlicher Anfrage.

## Verzahnung mit bestehenden Schulungen

| Bestehende Schulung | KI-Modul-Integration |
|---|---|
| Compliance-E-Learning (60 Min jährlich) | Modul A einbetten |
| DSB-Schulung IT + HR (zweistündig jährlich) | Modul B + C ergänzen |
| IT-Security-Awareness | Modul D verzahnen |
| Geschäftsgeheimnis-Belehrung Onboarding | Modul C im Onboarding |

## Mitbestimmung Betriebsrat

Die Betriebsvereinbarung von 2021 zu IT-Werkzeugen erfasst KI nicht
ausdrücklich. § 87 Abs. 1 Nr. 6 BetrVG greift bei KI-Werkzeugen, die
Verhaltens- oder Leistungs-Kontrolle ermöglichen — insbesondere beim
HR-Vorauswahl-Tool und potenziell beim LLM-Workplace.
[ANWALT-PRUEFUNG]: Aktualisierung der Betriebsvereinbarung empfehlen,
KI-Modul des Curriculums in mitbestimmten Inhalt integrieren.

## Datums-Architektur

| Meilenstein | Datum |
|---|---|
| Inkrafttreten Art. 4 KI-VO | 02.02.2025 (bereits anwendbar) |
| Erst-Schulung LLM-Nutzer:innen | binnen drei Monaten ab Curriculum-Verabschiedung |
| Integration in jährliches Compliance-E-Learning | nächste Welle |
| Schulung HR-Vorauswahl-Personenkreis | vor Hochrisiko-Anwendbarkeit 02.08.2026 |
| Schulung Produktions-Personal Predictive-Maintenance | vor Roll-out Q3/2026 |
| Erste Wirksamkeits-Stichprobe | binnen 12 Monaten ab Erst-Schulung |

## Citation-Verifikations-Liste

1. VO (EU) 2024/1689 — EUR-Lex (Art. 4)
2. Art. 113 KI-VO (Anwendbarkeit Art. 4 seit 02.02.2025) — EUR-Lex
3. Art. 39 Abs. 1 lit. b DSGVO — EUR-Lex
4. § 26 BDSG, Art. 88 DSGVO — Bundesrecht / EUR-Lex
5. § 7 GeschGehG — Bundesrecht
6. § 87 Abs. 1 Nr. 6 BetrVG — Bundesrecht
7. BRAK-Leitfaden KI — BRAK-Website
8. EU-AI-Office-Leitlinien zu Art. 4 — ai-office.europa.eu

[ANWALT-PRUEFUNG: Tiefenniveau „hinreichende KI-Kompetenz“ Modul A bei
LLM-Endnutzer:innen, Mitbestimmung Betriebsrat, datenschutz-konforme
Speicherung der Teilnahme-Daten sind anwaltliche Kernwertungs-Punkte.]