Free Skill Matrix Template for Excel & Google Sheets | HR Gap Analysis Tool
Free Skill Matrix Template for Excel & Google Sheets | HR Gap Analysis Tool
Eine KI-Skill-Matrix für Legal-Teams gibt Ihrer Rechtsabteilung und Compliance eine gemeinsame, beobachtbare Sprache für sicheren KI-Einsatz. Sie zeigt pro Rolle und Level konkret, welche Kompetenzen erwartet werden — von der Verifikation KI-generierter Vertragsentwürfe bis zur Steuerung von KI-Governance auf Unternehmensebene. Das Ergebnis: faire Beförderungsentscheidungen, gezielte Weiterbildung und klare Audit-Nachweise für den EU AI Act 2026.
Warum Legal & Compliance eine eigene KI-Skill-Matrix braucht
KI-Tools halten in Rechts- und Compliance-Abteilungen schneller Einzug als die Kompetenzentwicklung nachkommt. Laut dem Future Ready Lawyer Report von Wolters Kluwer bieten 30 % der Rechtsabteilungen ihren Mitarbeitenden kein KI-Training an — obwohl 56 % bereits Generative-AI-Tools wie ChatGPT im Arbeitsalltag einsetzen.
Das Risiko liegt auf der Hand: Wer KI-Outputs nicht systematisch prüft, haftet. In den USA wurden bereits über 955 Fälle dokumentiert, in denen Anwältinnen und Anwälte wegen KI-halluzinierten Zitaten vor Gericht sanktioniert wurden. Im DACH-Kontext kommen spezifische Risiken hinzu: Mandatsgeheimnis, DSGVO-Compliance und das zwingende Mitbestimmungsrecht des Betriebsrats nach § 87 Abs. 1 Nr. 6 BetrVG.
Eine rollenspezifische KI-Skill-Matrix löst drei Probleme gleichzeitig:
- Klarheit für Mitarbeitende: Was genau wird auf meiner Karrierestufe erwartet?
- Fairness für Führungskräfte: Beförderungs- und Hiring-Entscheidungen auf Basis beobachtbarer Kriterien, nicht Bauchgefühl.
- Audit-Fähigkeit für das Unternehmen: Nachweis gegenüber Aufsichtsbehörden, dass Legal und Compliance die Anforderungen des EU AI Act und der DSGVO strukturiert adressieren.
Die 6 Kompetenz-Domänen der KI-Skill-Matrix für Legal-Teams
Aus der Analyse aktueller Anforderungen — EU AI Act, DSGVO, BetrVG, Berufsrecht sowie den Erkenntnissen aus KPMG Laws KI-Implementierungsstudie — lassen sich sechs Kerndomänen ableiten, die für Legal- und Compliance-Teams universell relevant sind:
| Domäne | Worum es geht | Typische Nachweisform |
|---|---|---|
| 1. KI-Grundlagen & Legal-Guardrails | Verständnis, wie LLMs funktionieren; welche Daten nicht eingegeben werden dürfen (Mandatsgeheimnis, personenbezogene Daten); Grenzen des zugelassenen Tool-Sets | Abzeichen aus internem Training, Policy-Unterschrift |
| 2. Verifikation & Halluzinations-Management | Systematische Prüfung von KI-Outputs: Quellen verifizieren, Widersprüche erkennen, keine unkritische Übernahme in Schriftsätze oder Verträge | Nachweis verifizierbarer Outputs im Code-Review oder Peer-Check |
| 3. Datenschutz & Informationssicherheit | DSGVO-konformer Umgang mit KI-Tools; Auftragsverarbeitungsverträge mit Anbietern prüfen; keine unkontrollierte Weitergabe von Mandantendaten an externe Modelle | DPIA-Beteiligung, AV-Vertragscheck |
| 4. EU AI Act & Regulatorik | Klassifizierung eigener KI-Systeme (Hochrisiko nach Annex III?); Dokumentationspflichten; Conformity-Assessment-Prozesse; Meldepflichten | Risk-Assessment-Dokumentation, Beteiligung an Konformitätsbewertung |
| 5. KI-Governance & Betriebsrat | Mitbestimmungspflichten nach § 87 Abs. 1 Nr. 6 BetrVG und § 95 BetrVG kennen und umsetzen; Betriebsvereinbarungen zu KI verhandeln und gestalten | Abgeschlossene Betriebsvereinbarungen, dokumentierte BR-Prozesse |
| 6. Strategische KI-Steuerung | KI-Policy für das Unternehmen entwickeln; Risikoappetit definieren; Schnittstelle zu IT, HR und C-Suite; externe Berichterstattung (Aufsichtsbehörden, Board) | Verabschiedete Policies, Board-Präsentationen, Audit-Berichte |
Die vollständige KI-Skill-Matrix: 4 Level × 6 Domänen
Die Matrix unterscheidet vier Karrierestufen, die in den meisten deutschen Rechts- und Compliance-Abteilungen vorkommen. Die Beschreibungen sind auf beobachtbare Ergebnisse ausgerichtet — keine abstrakten Fähigkeiten, sondern was die Person tatsächlich nachweisbar tut.
| Kompetenz-Domäne | Junior Legal/Compliance Analyst | Legal Counsel / Compliance Officer | Senior Counsel / Senior Compliance Manager | Head of Legal / Chief Compliance Officer / DPO |
|---|---|---|---|---|
| 1. KI-Grundlagen & Legal-Guardrails | Nutzt ausschließlich freigegebene Tools; hält Data-Entry-Regeln ein und eskaliert Unsicherheiten sofort. | Wendet Guardrails im Tagesgeschäft konsistent an; dokumentiert KI-Nutzung entsprechend interner Policy. | Erstellt und pflegt Team-Playbooks für sicheres Arbeiten mit KI; schult Kolleginnen und Kollegen zu typischen Fehlerquellen. | Legt Risikoappetit und Mindestkontrollen fest; koordiniert Legal, Compliance, IT und Betriebsrat. |
| 2. Verifikation & Halluzinations-Management | Prüft jeden KI-Output manuell gegen Primärquellen, bevor dieser in Dokumente eingeht. | Erkennt typische Halluzinationsmuster (Falschzitate, falsche Paragrafennummern) und korrigiert sie eigenständig. | Entwickelt Prüf-Checklisten und trainiert das Team; identifiziert Schwachstellen in bestehenden Verifikationsprozessen. | Setzt unternehmensweite Verifikationsstandards; verantwortet Eskalationspfade bei KI-Fehlern mit rechtlicher Außenwirkung. |
| 3. Datenschutz & Informationssicherheit | Anonymisiert Daten vor KI-Eingabe; meldet potenzielle Datenschutzvorfälle unverzüglich. | Prüft AV-Verträge mit KI-Anbietern auf DSGVO-Konformität; beteiligt sich an DPIAs. | Koordiniert DPIAs für neue KI-Anwendungsfälle; bewertet Drittanbieter-Risiken eigenständig. | Trägt Gesamtverantwortung für DSGVO-konformen KI-Betrieb; berichtet an Aufsichtsbehörden. |
| 4. EU AI Act & Regulatorik | Kennt die Risikokategorien des EU AI Act (Art. 6, Annex III); weiß, an wen intern eskaliert wird. | Klassifiziert interne KI-Systeme korrekt; pflegt die erforderliche technische Dokumentation nach Art. 11. | Leitet Conformity-Assessments; berät Fachabteilungen bei der Klassifizierung neuer KI-Projekte. | Verantwortet das unternehmensweite AI-Act-Compliance-Programm; stellt CE-Kennzeichnung und EU-Datenbank-Registrierung sicher. |
| 5. KI-Governance & Betriebsrat | Kennt den Anwendungsbereich von § 87 Abs. 1 Nr. 6 BetrVG; beteiligt sich an betriebsratsrelevanten Prozessen auf Anweisung. | Bereitet Betriebsratsbeteiligungen für KI-Einführungen vor; gestaltet erste Betriebsvereinbarungsentwürfe mit. | Verhandelt eigenständig Betriebsvereinbarungen zu KI; berät Führungskräfte zur Mitbestimmungsstrategie. | Entwickelt unternehmensweite Governance-Architektur für KI; verhandelt strategische Betriebsvereinbarungen auf C-Level. |
| 6. Strategische KI-Steuerung | Liest und versteht KI-Policies; meldet Verbesserungsvorschläge über definierte Kanäle. | Setzt Policies operativ um; eskaliert Zielkonflikte zwischen KI-Effizienz und rechtlichen Anforderungen frühzeitig. | Gestaltet bereichsbezogene KI-Strategie mit; schreibt Policy-Dokumente und Entscheidungsgrundlagen. | Definiert Risikoappetit und KI-Strategie für Legal & Compliance; präsentiert vor Board und Aufsichtsrat. |
EU AI Act 2026: Was Legal-Teams jetzt beherrschen müssen
Der EU AI Act ist seit dem 2. August 2026 vollständig anwendbar. Für Rechtsabteilungen und Compliance-Teams bedeutet das konkret:
Klassifizierung eigener KI-Systeme: Setzt Ihr Unternehmen KI-Systeme ein, die unter Annex III fallen — etwa bei der Personalentscheidung, Kreditwürdigkeitsbewertung oder im HR-Screening —, greifen die strengen Anforderungen für Hochrisiko-Systeme. Legal muss diese Klassifizierungsentscheidung dokumentieren und verteidigen können.
Dokumentationspflichten nach Art. 11: Für Hochrisiko-Systeme ist eine technische Dokumentation vorgeschrieben, die Trainingsdaten, Testverfahren, Leistungskennzahlen und Kontrollmechanismen beschreibt. Legal und Compliance verantworten die Vollständigkeit dieser Unterlagen für Behördenprüfungen.
Meldepflichten bei schwerwiegenden Vorfällen: Schwere Schäden durch KI-Systeme müssen unverzüglich der zuständigen Marktüberwachungsbehörde gemeldet werden. Hierfür brauchen Legal-Teams klare Eskalationspfade und Kenntnisse des Meldeprozesses.
Sanktionen: Bei Verstößen drohen laut Art. 99 EU AI Act Bußgelder bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — ein Risiko, das klare Kompetenz in der Rechtsabteilung erfordert, nicht nur in IT oder Datenschutz.
DACH-Spezifika: BetrVG, DSGVO und Mandatsgeheimnis
Im deutschsprachigen Raum kommen drei Regelungsbereiche hinzu, die international oft übersehen werden:
§ 87 BetrVG: Mitbestimmung bei KI-Tools
Nach § 87 Abs. 1 Nr. 6 BetrVG hat der Betriebsrat ein erzwingbares Mitbestimmungsrecht bei der Einführung und Anwendung technischer Einrichtungen, die dazu geeignet sind, das Verhalten oder die Leistung von Arbeitnehmerinnen und Arbeitnehmern zu überwachen. Da fast alle KI-Systeme Nutzungsprotokolle oder Log-Daten erzeugen, ist dieses Mitbestimmungsrecht bei KI-Einführungen nach ständiger Rechtsprechung des BAG nahezu ausnahmslos eröffnet. Ohne Betriebsvereinbarung: kein Rollout.
Zusätzlich regelt § 95 Abs. 2a BetrVG (Änderung 2021) ausdrücklich die Mitbestimmung, wenn KI-Systeme Auswahlkriterien für Einstellungen, Versetzungen oder Leistungsbewertungen aufstellen. Legal-Teams müssen beide Dimensionen in ihrer Governance-Architektur berücksichtigen.
DSGVO und Mandatsgeheimnis
Mandantendaten, personenbezogene Verfahrensdaten und interne Compliance-Informationen dürfen nicht unkontrolliert in externe KI-Modelle eingegeben werden. Legal-Teams benötigen klare Regeln: Welche Daten dürfen in welche Systeme? Wo ist ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO zwingend? Für externe Kanzleien kommt das anwaltliche Verschwiegenheitsgebot nach § 43a BRAO hinzu.
Praktische Implikation für die Skill-Matrix
Diese Anforderungen erklären, warum DACH-Rechtsabteilungen eine spezifischere Kompetenzmatrix brauchen als internationale Templates: Governance-Wissen über Betriebsrat und DSGVO muss bereits auf Junior- und Counsel-Ebene verankert sein, nicht erst beim Head of Legal.
Wie Sie die KI-Skill-Matrix in Ihrer Rechtsabteilung einführen
Aus der Erfahrung mit HR-Teams, die Kompetenzmatrizen in Legal- und Compliance-Abteilungen eingeführt haben, empfehlen sich fünf Schritte:
| Schritt | Aufgabe | Verantwortung | Zeitrahmen |
|---|---|---|---|
| 1. Scope klären | Welche Rollen, welche KI-Tools sind im Fokus? Nicht alle 6 Domänen sind für alle Teams gleich relevant. | Head of Legal + HR | 1 Woche |
| 2. Selbsteinschätzung erheben | Mitarbeitende bewerten sich pro Domäne selbst; Führungskräfte tun dasselbe in einer Fremdeinschätzung. | HR + Teamleads | 2 Wochen |
| 3. Lücken analysieren | Delta zwischen Selbst- und Fremdeinschätzung sichtbar machen; kritische Lücken priorisieren (z. B. Verifikation, AI Act). | HR + Head of Legal | 1 Woche |
| 4. Maßnahmen ableiten | Gezielte Trainings (intern + extern), Zertifizierungen (z. B. IAPP AI Governance Professional), Mentoring. | L&D + HR | 4–6 Wochen |
| 5. Regelmäßig aktualisieren | Regulatorischer Wandel (AI Act, DSGVO-Guidance) erfordert mindestens jährliche Matrix-Revision. | Head of Legal | jährlich |
Ein praktischer Einstiegspunkt für Schritt 1 und 2: Nutzen Sie die Matrix oben als Skill-Matrix-Vorlage und passen Sie sie auf Ihre Rollenbezeichnungen an. Für den systematischen HR-Rahmen empfiehlt sich der Blick auf übergreifende KI-Enablement-Strategien für HR in DACH.
Skill-Levels im Detail: Was bedeutet „gut" auf jeder Stufe?
Ein häufiger Fehler bei Kompetenzmatrizen ist die unklare Definition der Levels. Für KI-Kompetenzen in Legal & Compliance empfehlen sich diese konkreten Beschreibungen:
| Level | Kernmerkmal | Typischer Nachweis |
|---|---|---|
| 1 — Grundlagenkenntnis | Kennt Regeln, folgt Anweisungen, eskaliert bei Unsicherheit. Kein eigenständiges Urteil erwartet. | Abschluss Pflichttraining, Policy-Bestätigung |
| 2 — Sichere Anwendung | Setzt Regeln in der eigenen Arbeit eigenständig um. Erkennt Standardprobleme und löst sie ohne Rückfrage. | Korrekte Verifikation von KI-Outputs im Tagesgeschäft |
| 3 — Expertise & Coaching | Entwickelt Methoden und Playbooks. Schult andere. Identifiziert Systemschwächen bevor sie Schaden anrichten. | Dokumentierte Playbooks, interne Schulungen, Peer-Reviews |
| 4 — Strategische Verantwortung | Entscheidet über Risikoappetit und Governance-Architektur. Verantwortet extern (Behörden, Board). | Verabschiedete Policies, Audit-Berichte, Board-Präsentationen |
Häufig gestellte Fragen (FAQ)
Welche KI-Kompetenzen sind für Legal-Teams in DACH am wichtigsten?
Im DACH-Kontext sind drei Bereiche besonders kritisch: Verifikation von KI-Outputs (Halluzinationsrisiko), DSGVO-konformer Dateneinsatz sowie Kenntnisse zu § 87 BetrVG und der Mitbestimmungspflicht bei KI-Tools. Diese Kompetenzen müssen bereits auf Junior- und Counsel-Ebene vorhanden sein, nicht erst beim Head of Legal.
Was regelt der EU AI Act für Rechtsabteilungen?
Der EU AI Act (Art. 6 i.V.m. Annex III) stuft bestimmte KI-Anwendungen als hochriskant ein — unter anderem solche, die bei HR-Entscheidungen, Kreditwürdigkeit oder Strafverfolgung eingesetzt werden. Für diese Systeme sind Risikomanagementsystem, technische Dokumentation, Konformitätsbewertung und Registrierung im EU-Datenbankpflicht. Legal verantwortet häufig die Klassifizierung und Dokumentation.
Muss der Betriebsrat bei jedem KI-Tool eingebunden werden?
Nach ständiger Rechtsprechung des BAG zu § 87 Abs. 1 Nr. 6 BetrVG ist die objektive Eignung eines Systems zur Verhaltens- oder Leistungsüberwachung entscheidend — nicht die tatsächliche Nutzungsabsicht. Da fast alle KI-Tools Protokolldaten erzeugen, ist eine Mitbestimmungspflicht die Regel, nicht die Ausnahme. Ohne Betriebsvereinbarung darf das Tool nicht eingesetzt werden.
Was kostet es, wenn KI-Governance in der Rechtsabteilung fehlt?
Die Risiken sind mehrschichtig: Verlust des Mandats- oder Berufsgeheimnisses, DSGVO-Bußgelder, Sanktionen nach EU AI Act (bis 35 Mio. EUR), arbeitsrechtliche Konsequenzen bei fehlender Betriebsratsbeteiligung und — im schlimmsten Fall — Haftung durch fehlerhafte KI-Outputs in Gerichtsverfahren.
Wie oft sollte die KI-Skill-Matrix aktualisiert werden?
Mindestens jährlich — angesichts des regulatorischen Wandels durch EU AI Act, DSGVO-Guidance und neue BAG-Entscheidungen. Bei größeren KI-Einführungen oder wesentlichen gesetzlichen Änderungen auch anlassbezogen. Die Matrixpflege sollte fest im Jahresplan von L&D und Head of Legal verankert sein.
Braucht auch die Compliance-Abteilung eine eigene Skill-Matrix?
Ja — obwohl Legal und Compliance viele Kompetenzdomänen teilen, unterscheiden sich die Schwerpunkte. Compliance fokussiert stärker auf laufende Kontrolle, Whistleblowing-Prozesse und regulatorisches Monitoring. Eine eigene Matrix stellt sicher, dass diese Besonderheiten sichtbar bleiben. Als Ausgangspunkt eignet sich dieselbe Grundstruktur wie oben, ergänzt um compliance-spezifische Verhaltensanker.
Fazit: Strukturierte Kompetenzentwicklung schützt vor rechtlichem Risiko
KI in Legal & Compliance ist kein Nice-to-have mehr, sondern regulatorische Realität. Mit dem EU AI Act, DSGVO, BetrVG und dem berufsrechtlichen Verifikationsgebot steigt die Komplexität — und damit der Wert einer klaren, rollenspezifischen Skill-Matrix.
Der praktische Schritt: Nehmen Sie die Matrix oben, passen Sie die Rollenbezeichnungen auf Ihre Struktur an, und starten Sie mit einer Selbsteinschätzungsrunde. So identifizieren Sie die größten Lücken in wenigen Wochen — und legen den Grundstein für nachhaltige KI-Governance in Ihrer Rechtsabteilung. Für das übergreifende Skill-Management-System empfiehlt sich eine Kompetenzmatrix-Vorlage als strukturellen Rahmen.
Jürgen Ulbrich
Jürgen Ulbrich has more than a decade of experience in developing and leading high-performing teams and companies. As an expert in employee referral programs as well as feedback and performance processes, Jürgen has helped over 100 organizations optimize their talent acquisition and development strategies.
