Free Skill Matrix Template for Excel & Google Sheets | HR Gap Analysis Tool
Free Skill Matrix Template for Excel & Google Sheets | HR Gap Analysis Tool
KI-Befähigung im Personal heißt: Mitarbeitende mit Skills, klaren Regeln und freigegebenen Tools auszustatten, damit sie KI sicher nutzen. Der härteste Teil ist nicht das Training, sondern die Governance — wer welche Tools freigibt, was Mitarbeitende dürfen und wie Sie EU AI Act und Betriebsrat einhalten. Dieser Leitfaden liefert das Betriebsmodell dafür.
Die Lücke ist real, nicht theoretisch. Laut SHRM 2025 ist der KI-Einsatz in HR-Aufgaben auf 43 % gestiegen (von 26 % im Vorjahr) — aber 67 % der Befragten sagen, ihre Organisation schult Mitarbeitende nicht proaktiv für die KI-Nutzung. Gleichzeitig wollen laut einer Gartner-Befragung vom Juli 2025 (2.986 Teilnehmende) 65 % der Mitarbeitenden KI bei der Arbeit nutzen, und 77 % nehmen Training an, wenn es angeboten wird. Das Problem ist also nicht Widerstand, sondern fehlende Struktur.
Genau in diese Lücke stoßen Mitarbeitende mit eigenen Tools vor — ohne Freigabe, ohne Regeln. Dieser Leitfaden konzentriert sich deshalb auf das, was die meisten HR-Teams unterschätzen: das Governance- und Betriebsmodell hinter der KI-Befähigung.
In diesem Guide erfahren Sie:
- Was KI-Befähigung wirklich bedeutet — und warum HR sie führen muss
- Was der EU AI Act Art. 4 seit Februar 2025 konkret von Ihnen verlangt
- Warum Shadow AI das eigentliche Governance-Problem ist — und wie Sie es entschärfen
- Ein 3-Stufen-Modell für die Tool-Freigabe, das in DACH funktioniert
- Welche Governance-Rollen Sie besetzen müssen (AI Officer, Model Owner, Committee)
- Was Mitarbeitende dürfen, müssen und nicht dürfen — als klare Policy-Architektur
- Welche Betriebsrats-Rechte (§ 87, § 90, § 95 BetrVG) wann greifen
Für Programm-Design, Lernpfade und die 6–12-monatige Einführungs-Roadmap finden Sie die Details im Pillar-Leitfaden zum KI-Training für Unternehmen. Dieser Beitrag setzt eine Ebene tiefer an: bei den Leitplanken, ohne die jedes Training ins Leere läuft.
1. Was KI-Befähigung bedeutet – und warum HR führen muss
KI-Befähigung heißt: Sie statten Mitarbeitende mit den Skills, den freigegebenen Tools und klaren Regeln aus, um KI sicher und wirksam im Arbeitsalltag zu nutzen. Es geht nicht um einen IT-Rollout oder einen Chatbot-Piloten, sondern um eine dauerhafte Veränderung von Kompetenzen, Prozessen und Kultur.
HR muss das gemeinsam mit IT führen, nicht IT allein. KI verändert Rollen, Skills und Mitbestimmungspflichten — alles HR-Kernthemen. Gartner warnt, dass KI-Initiativen an Akzeptanz verlieren, wenn sie am CHRO vorbeilaufen (Gartner). In der DACH-Region ist die Rolle von HR noch zentraler, weil DSGVO, Betriebsratsrechte und Mitbestimmung jede KI-Einführung mit Personalbezug direkt berühren.
Ein typisches Muster aus der Arbeit mit HR-Teams in DACH: Ein mittelständischer Hersteller wollte ein KI-gestütztes Recruiting-Tool allein über die IT ausrollen. Recruiter waren unsicher, welche Daten sie hochladen durften. Der Betriebsrat legte Einspruch ein, weil Transparenz und Scoring-Logik nicht erklärt waren. Die Nutzung blieb gering. Erst als HR die Federführung übernahm — Leitlinien mit Datenschutzbeauftragtem und Betriebsrat, rollenbasiertes Training, geklärte Human-in-the-loop-Logik — stieg die Nutzung deutlich und Beschwerden gingen zurück.
Die Aufgabenteilung sollte vor dem ersten Tool stehen, nicht danach:
| Stakeholder | Verantwortung | Typische Anliegen |
|---|---|---|
| HR (Lead) | Skills, Policies, Change, Betriebsrat-Dialog | Fairness, Akzeptanz, Kultur |
| IT | Tool-Auswahl, Sicherheit, Integration | Security, Support, Datenflüsse |
| Legal / DPO | Compliance, Verträge, DPIA | DSGVO, EU AI Act, Haftung |
| Betriebsrat | Interessenvertretung, Mitbestimmung | Überwachung, Transparenz, Umfang |
Sobald die Rollen klar sind, brauchen Sie eine rechtliche Grundlage. Genau die liefert seit 2025 der EU AI Act.
2. EU AI Act Art. 4: Was die KI-Kompetenz-Pflicht von Ihnen verlangt
Seit dem 2. Februar 2025 ist Artikel 4 des EU AI Act (Verordnung 2024/1689) in Kraft. Er verpflichtet alle Anbieter und „Deployer" von KI-Systemen, ein ausreichendes Niveau an KI-Kompetenz ihres Personals sicherzustellen — passend zu deren Vorwissen, Aufgabe und Einsatzkontext. Das gilt für jede Unternehmensgröße und auch für Dienstleister, die in Ihrem Auftrag KI nutzen.
Wichtig für die Risikoeinschätzung: Für reine Art.-4-Verstöße gibt es keine direkten Bußgelder. Aber bei nachgewiesener Fahrlässigkeit entsteht ein Haftungsrisiko, und die Aufsichtsbehörden setzen die Regeln ab dem 2. August 2026 durch (Haufe zur Arbeitgeberpflicht). KI-Kompetenz ist damit keine Kür mehr, sondern eine dokumentierbare Pflicht.
Drei Punkte sind in der Umsetzung entscheidend:
- Kein Einheitsformat. Der Gesetzgeber schreibt kein bestimmtes Training vor. Die Maßnahmen müssen rollenspezifisch sein und technische, ethische und rechtliche Aspekte abdecken.
- HR braucht mehr. Wer KI in Personalentscheidungen einsetzt, bewegt sich im Hochrisiko-Bereich und benötigt entsprechend tiefere Schulung.
- Dokumentation zählt. Sie müssen belegen können, dass Sie Kompetenz „nach bestem Vermögen" sichergestellt haben — also wer wann was geschult hat.
Hochrisiko-HR-Anwendungen nach Anhang III des EU AI Act (Durchsetzung ab August 2026) umfassen CV-Screening, Einstellungs-, Beförderungs- und Kündigungsentscheidungen sowie Performance-Monitoring. Diese erfordern zusätzlich Human-in-the-Loop, Transparenz gegenüber Betroffenen und eine Datenschutz-Folgenabschätzung (Grant Thornton zu KI im HR-Bereich). Wer das früh klärt, baut das Training direkt richtig auf — Details zum Programm-Aufbau im Pillar-Leitfaden.
3. Shadow AI: das eigentliche Governance-Problem
Während HR-Teams noch Policies entwerfen, nutzen Mitarbeitende längst KI — nur unkontrolliert. Schätzungen aus dem Enterprise-AI-Governance-Report 2026 (auf Basis von IBM- und Netskope-Daten) zeigen: 40–65 % der Mitarbeitenden in größeren Unternehmen verwenden KI-Tools, die nicht von der IT freigegeben sind. Rund 47 % davon laufen über private, nicht verwaltete Accounts — und über die Hälfte der Nutzenden gibt dabei sensible Unternehmensdaten ein.
Das ist kein Randthema. Laut IBM war Shadow AI 2025 ein Faktor in etwa jeder fünften Datenpanne und verursachte im Schnitt rund 670.000 USD Mehrkosten pro Vorfall. Die Diskrepanz zur Policy-Lage ist deutlich: Zwar haben laut SHRM State of AI in HR 2026 49 % der Unternehmen eine KI-Nutzungsrichtlinie — aber nur 25 % der Policy-Inhaber halten sie für klar und zukunftsfähig.
Der entscheidende Punkt: Shadow AI entsteht nicht aus bösem Willen, sondern aus fehlenden freigegebenen Alternativen. Mitarbeitende, die keinen klaren, schnellen Weg zu erlaubten Tools haben, greifen zum nächstbesten. Governance heißt deshalb zuerst: einen leichten, legalen Pfad bauen — nicht nur verbieten.
Drei Hebel reduzieren Shadow AI nachweislich:
- Sichtbare freigegebene Tools. Mitarbeitende müssen ohne Nachfragen wissen, welche KI-Lösung für welche Aufgabe erlaubt ist.
- Klarer Unterschied öffentlich vs. enterprise. Bei öffentlichen Tools können Prompts ins Training fließen; lizenzierte Enterprise-Tools bieten vertraglichen Datenschutz. Mitarbeitende müssen den Unterschied kennen.
- Niedrigschwellige Freigabe. Wer ein neues Tool braucht, muss schnell eine Antwort bekommen — sonst entsteht die nächste Schatten-Lösung.
4. Das 3-Stufen-Modell für die Tool-Freigabe
Die Frage „Darf ich dieses Tool nutzen?" lässt sich nicht mit einer Ja/Nein-Liste beantworten. Bewährt hat sich in DACH ein risikobasiertes Drei-Stufen-Modell, das die Freigabe an den Datenbezug koppelt (srd Rechtsanwälte zur KI-Nutzungsrichtlinie). Es trennt unkritische Alltagsnutzung von echtem Risiko und hält den Prozess für Mitarbeitende leicht.
| Stufe | Anwendung | Freigabe durch | Auflagen |
|---|---|---|---|
| 1 — Frei | Unkritisch, kein Personen- oder Unternehmensdatenbezug (z. B. Textideen, allgemeine Recherche) | Keine Einzelfreigabe nach Grundtraining | Grundtraining absolviert, keine sensiblen Eingaben |
| 2 — Geprüft | Interne Daten ohne Hochrisiko (z. B. Entwürfe mit Firmenkontext) | AI Officer + DPO | AVV/DPA, EU-Hosting, Tool im Register |
| 3 — Genehmigt | Hochrisiko: HR-Entscheidungen, Monitoring, Personenbewertung | Formaler Prozess + Betriebsrat | DPIA, Human-in-the-Loop, Betriebsvereinbarung |
Basis jeder Stufe ist eine KI-Tool-Registry: ein zentrales Verzeichnis jedes eingesetzten Tools mit Zweck, verarbeiteten Datenkategorien, Anbieter, Verantwortlichem und Risikoeinstufung (caralegal zur KI-Richtlinie). Ohne dieses Register lässt sich weder Stufe 2 noch Stufe 3 sauber steuern — und Sie können gegenüber Aufsicht und Betriebsrat nicht belegen, was im Einsatz ist.
Die Faustregel dahinter ist einfach: Je näher ein Tool an Personendaten und Entscheidungen rückt, desto formaler der Pfad. Stufe 1 muss reibungslos sein, sonst wächst Shadow AI. Stufe 3 muss formal sein, sonst riskieren Sie Compliance-Verstöße.
5. Governance-Rollen: Wer verantwortet KI im Unternehmen?
Eine Policy ohne Verantwortliche bleibt ein PDF. KI-Governance braucht benannte Rollen — sonst fällt jede Tool-Freigabe und jeder Vorfall zwischen die Stühle. Die folgenden Rollen haben sich in DACH-Betriebsmodellen bewährt; in kleineren Unternehmen kann eine Person mehrere übernehmen.
| Rolle | Was sie konkret tut |
|---|---|
| AI Governance Committee | Exec-Ebene, tagt quartalsweise: beschließt Policies, gibt Hochrisiko-Use-Cases frei, prüft KPIs und Vorfälle |
| AI Officer / CAIO | Operative Steuerung: pflegt die Tool-Registry, erteilt Stufe-2-Freigaben, koordiniert DPO und Betriebsrat, Anlaufstelle für Mitarbeitende |
| Model Owner | Verantwortlich für ein konkretes System: dessen Performance, Datenqualität und laufende Compliance |
| AI Champions | In den Fachbereichen: betten Regeln in den Alltag ein, geben Frontline-Support, melden Bedarf zurück |
| Datenschutzbeauftragter | DSGVO-Compliance, DPIA, Bewertung von Datenflüssen bei Stufe 2 und 3 |
| Betriebsrat (DE/AT) | Mitbestimmung früh einbinden, nicht als letzten Schritt vor Go-live |
Der AI Officer (in größeren Häusern als Chief AI Officer) ist dabei das operative Herzstück: Er ist die Person, an die sich Mitarbeitende mit „Darf ich dieses Tool?" wenden, und er hält Registry und Freigaben aktuell. Daten von Kienbaum zeigen, dass Unternehmen mit etablierter KI-Governance deutlich weniger Compliance-Verstöße verzeichnen. Welches Modell — zentral, hybrid oder dezentral — passt, hängt von Größe und Kultur ab; ein zentraler AI Officer plus Champions in den Bereichen ist für den Mittelstand meist der pragmatischste Start.
6. Was dürfen Mitarbeitende? Die Policy-Architektur
Die häufigste Frage aus der Belegschaft ist nicht „Wie funktioniert das Modell?", sondern „Was darf ich konkret?". Eine gute KI-Richtlinie beantwortet das in einer Sprache, die jeder versteht — und trennt klar zwischen Erlaubt, Pflicht und Verboten.
| Erlaubt | Pflicht | Verboten |
|---|---|---|
| Freigegebene Tools für Entwürfe, Recherche, Zusammenfassungen nutzen | Ergebnisse selbst prüfen — Sie bleiben verantwortlich für Ihr Arbeitsergebnis | Personenbezogene oder vertrauliche Daten in nicht freigegebene/öffentliche Tools eingeben |
| Eigene Arbeit mit KI schneller und besser machen | Neue Tools über die Freigabe (Stufe 2/3) beantragen, nicht heimlich nutzen | KI-Ausgaben ungeprüft als Entscheidung übernehmen (kein „die KI hat entschieden") |
| Bei Unsicherheit den AI Officer fragen | KI-Nutzung kennzeichnen, wo Transparenz gefordert ist | KI zur verdeckten Überwachung von Kolleg:innen einsetzen |
Das tragende Prinzip steht über allem: KI ist ein Werkzeug, kein Entscheider. Mitarbeitende bleiben voll verantwortlich für ihr Arbeitsergebnis — unabhängig davon, ob KI beteiligt war. Wer das verinnerlicht hat, braucht weniger Detailregeln, weil die Haltung die Lücken schließt.
Eine wirksame Acceptable-Use-Policy (AUP) bleibt deshalb kurz, konkret und mit Beispielen versehen. Für die Anbindung an Kompetenzrahmen und Rollenprofile — also wie „KI-Kompetenz" als messbare Anforderung in Stellen verankert wird — nutzen Sie den Leitfaden zum Skill Management.
7. Betriebsrat und Mitbestimmung: Welche Paragrafen wann greifen
In Deutschland und Österreich ist der Betriebsrat kein Hindernis, sondern ein Pflicht-Partner — und zwar früher, als viele denken. Drei BetrVG-Normen sind für die KI-Einführung zentral.
| Norm | Was sie auslöst | Wann relevant |
|---|---|---|
| § 90 Abs. 1 Nr. 3 BetrVG | Informationspflicht bei geplanten technischen Anlagen — frühzeitig, nicht erst bei Go-live | Planungsphase jedes KI-Systems mit Personalbezug |
| § 87 Abs. 1 Nr. 6 BetrVG | Echtes Mitbestimmungsrecht bei Einrichtungen, die Verhalten oder Leistung überwachen — keine einseitige Einführung | Fast jede KI mit Performance- oder Verhaltensdaten |
| § 95 Abs. 2a BetrVG | Mitwirkung bei KI-gestützten Auswahlrichtlinien (Einstellung, Versetzung, Kündigung) | Unternehmen über 500 Mitarbeitende |
Der Volltext der zentralen Norm steht in § 87 BetrVG bei gesetze-im-internet.de; § 95 Abs. 2a wurde durch das Betriebsrätemodernisierungsgesetz ergänzt und greift speziell bei KI-gestützten Personalauswahl-Richtlinien in größeren Betrieben. Ergänzend darf der Betriebsrat nach § 80 Abs. 3 BetrVG Sachverständige zur Beurteilung von KI-Systemen auf Kosten des Arbeitgebers hinzuziehen.
Praktisch heißt das: Sobald der Arbeitgeber ein Tool bereitstellt oder steuert, greift die Mitbestimmung. Nutzen Mitarbeitende dagegen freiwillig private Accounts ohne Arbeitgeberzugang, ist die Lage anders gelagert — was zugleich zeigt, warum unkontrollierte Shadow AI auch arbeitsrechtlich heikel ist. Der saubere Weg ist immer: Betriebsrat in der Planungsphase informieren, gemeinsam eine Betriebsvereinbarung erarbeiten, Logging- und Monitoring-Grenzen festschreiben.
8. KI-Befähigung messen: Adoption, Wirkung, Risiko
Ein Governance-Programm ohne Kennzahlen verliert nach dem Kickoff an Zugkraft. Messen Sie auf drei Achsen, damit Sie nicht nur Aktivität, sondern Wirkung und Risiko im Blick behalten.
| Achse | Beispiel-Kennzahlen |
|---|---|
| Adoption | Anteil aktiver Nutzer freigegebener Tools, Trainings-Abschlussquote, Anteil Tools in der Registry vs. geschätzte Realität |
| Wirkung | Zeitersparnis bei Kernaufgaben, Qualität (weniger Korrekturen, schnellere Time-to-Hire) |
| Risiko | Shadow-AI-Vorfälle, Beschwerden beim Betriebsrat, offene DPIAs bei Stufe-3-Use-Cases |
Besonders die Risiko-Achse ist der Frühindikator: Sinkende Shadow-AI-Vorfälle bei steigender Adoption freigegebener Tools sind das beste Zeichen, dass Governance und Befähigung zusammenwirken. Verankern Sie KI-Kompetenz zusätzlich in Rollenprofilen und Reviews, damit sie nicht als Sonderthema, sondern als normaler Teil der Entwicklung erlebt wird.
Fazit
KI-Befähigung im Personal scheitert selten am Training und fast immer an der Governance. Wer den EU AI Act Art. 4 ernst nimmt, Shadow AI mit freigegebenen Alternativen entschärft, ein klares 3-Stufen-Freigabemodell mit benannten Rollen aufsetzt und den Betriebsrat früh einbindet, schafft die Leitplanken, in denen Training überhaupt erst wirkt. Das Betriebsmodell ist die Voraussetzung — das Programm-Design bauen Sie darauf im Pillar-Leitfaden auf.
Häufige Fragen (FAQ)
Was ist KI-Befähigung im HR-Bereich?
KI-Befähigung im HR-Bereich heißt, Mitarbeitende, Führungskräfte und HR-Teams so auszustatten, dass sie KI sicher und wirksam im Arbeitsalltag nutzen. Dazu gehören rollenbasiertes Training, klare Governance mit Tool-Freigaben und Rollen, eine verständliche Nutzungsrichtlinie sowie KI-Funktionen in den Tools, die ohnehin genutzt werden. Ziel ist bessere, schnellere Arbeit, ohne Regulierung zu verletzen oder Mitarbeiterrechte zu untergraben.
Welche Pflichten hat der Arbeitgeber zur KI-Kompetenz nach EU AI Act Art. 4?
Seit dem 2. Februar 2025 müssen Anbieter und Betreiber von KI-Systemen ein ausreichendes Niveau an KI-Kompetenz ihres Personals sicherstellen — rollenspezifisch und passend zum Einsatzkontext. Es gibt kein vorgeschriebenes Format, aber eine Dokumentationspflicht: Sie müssen belegen können, dass Sie Kompetenz nach bestem Vermögen sichergestellt haben. Direkte Bußgelder für Art.-4-Verstöße gibt es nicht, aber ein Haftungsrisiko bei Fahrlässigkeit.
Wann muss der Betriebsrat bei KI-Einführung beteiligt werden?
Früh. Nach § 90 BetrVG besteht bereits in der Planungsphase eine Informationspflicht. Sobald ein KI-System Verhalten oder Leistung überwachen kann, greift das echte Mitbestimmungsrecht nach § 87 Abs. 1 Nr. 6 BetrVG — eine einseitige Einführung ist dann nicht möglich. Bei KI-gestützten Auswahlrichtlinien in Unternehmen über 500 Mitarbeitende kommt § 95 Abs. 2a BetrVG hinzu. Der saubere Weg ist eine Betriebsvereinbarung vor dem Go-live.
Was gehört in eine KI-Richtlinie für Mitarbeitende?
Eine wirksame Richtlinie beantwortet konkret: Welche Tools sind erlaubt (Freigabe-Stufen)? Welche Daten dürfen eingegeben werden und welche nicht? Was ist Pflicht (Ergebnisse prüfen, neue Tools beantragen, Transparenz)? Was ist verboten (sensible Daten in öffentliche Tools, ungeprüfte KI-Entscheidungen, verdeckte Überwachung)? Das tragende Prinzip: KI ist ein Werkzeug, kein Entscheider — Mitarbeitende bleiben verantwortlich.
Wie verhindert man Shadow AI im Unternehmen?
Nicht primär durch Verbote, sondern durch einen leichten, legalen Pfad. Mitarbeitende greifen zu nicht freigegebenen Tools, wenn es keine schnelle, klare Alternative gibt. Wirksam sind: sichtbar freigegebene Tools je Aufgabe, ein klarer Unterschied zwischen öffentlichen und enterprise-lizenzierten Tools, eine niedrigschwellige Freigabe über den AI Officer und eine zentrale Tool-Registry, die zeigt, was tatsächlich im Einsatz ist.
Wer ist für KI-Governance verantwortlich — HR, IT oder ein KI-Beauftragter?
HR sollte führen, weil KI Skills, Rollen und Mitbestimmung berührt; IT unterstützt bei Tools und Sicherheit. Operativ braucht es einen AI Officer (in größeren Häusern Chief AI Officer), der die Tool-Registry pflegt, Freigaben erteilt und DPO sowie Betriebsrat koordiniert. Ergänzend: ein AI Governance Committee auf Exec-Ebene, Model Owners pro System und AI Champions in den Fachbereichen.
Jürgen Ulbrich
Jürgen Ulbrich verfügt über mehr als ein Jahrzehnt Erfahrung in der Entwicklung und Führung leistungsstarker Teams und Unternehmen. Als Experte für Mitarbeiterempfehlungsprogramme sowie Feedback- und Performance-Prozesse hat Jürgen über 100 Organisationen dabei unterstützt, ihre Talent Acquisition und Devlopment Strategie zu optimieren.
