EU AI Act 2026: Strategische Weichenstellungen für DACH-Unternehmen

Die deutschsprachige Unternehmenslandschaft steht im Jahr 2026 vor einer entscheidenden Phase in der Integration und Regulierung Künstlicher Intelligenz (KI). Mit der schrittweisen Inkraftsetzung des EU Artificial Intelligence Acts, kurz EU AI Act, und den nationalen Umsetzungsgesetzen in Deutschland sowie den angekündigten Anpassungen in der Schweiz, rückt die Notwendigkeit einer strategischen, complianten und verantwortungsvollen KI-Nutzung verstärkt in den Fokus. Unternehmen, die bisher in der Experimentierphase verharrten, müssen nun konkrete Schritte unternehmen. Ziel ist es, rechtliche Risiken zu minimieren und gleichzeitig das volle Potenzial von KI auszuschöpfen. Dies erfordert eine proaktive Herangehensweise und eine fundierte Kenntnis der kommenden Vorschriften.

Der EU AI Act ist das weltweit erste umfassende Regelwerk für KI-Systeme. Er wurde konzipiert, um vertrauenswürdige KI in Europa zu fördern und gleichzeitig Innovationen zu ermöglichen. Für DACH-Unternehmen bedeutet dies nicht nur eine Herausforderung, sondern auch eine Chance, Vertrauen bei Kunden und Partnern aufzubauen. Kapitel H, als Ihr Partner für pragmatische KI-Strategien, beleuchtet in diesem Artikel die aktuellen Entwicklungen, die konkreten Anforderungen und die notwendigen strategischen Schritte, um Ihr Unternehmen zukunftssicher aufzustellen.

Der Zeitplan wird ernst: Nationale Umsetzung und Schweizer Besonderheiten

Der EU AI Act trat bereits im August 2024 in Kraft. Die meisten Bestimmungen für Hochrisiko-KI-Systeme greifen jedoch erst ab dem 2. August 2026. Bestimmte allgemeine Bestimmungen und Verbote sind bereits im Februar 2025 wirksam geworden, gefolgt von weiteren Regeln für Hochrisiko-KI-Systeme bis August 2027. Dieser gestaffelte Zeitplan erfordert eine präzise Planung und schrittweise Anpassung der internen Prozesse.

Für Deutschland wurde der Ernst der Lage durch den Beschluss der Bundesregierung am 11. Februar 2026 verdeutlicht. Sie legte einen Gesetzentwurf zur Durchführung der europäischen KI-Verordnung vor. Dieser Entwurf, bekannt als das „KI-Marktüberwachungs-und-Innovationsförderungs-Gesetz“, wurde am 20. März 2026 erstmals im Bundestag beraten und zur weiteren Abstimmung an den federführenden Digitalausschuss überwiesen. Das Ziel dieses deutschen Umsetzungsgesetzes ist es, klare Zuständigkeiten für die Überwachung und Durchsetzung des AI Acts zu schaffen. Die Bundesnetzagentur (BNetzA) soll dabei eine Schlüsselrolle als zentrale Anlaufstelle und Marktüberwachungsbehörde erhalten. Sie wird auch Informationsangebote und Beratungsleistungen für Unternehmen sowie sogenannte KI-Reallabore zum Testen innovativer Systeme bereitstellen. Diese Maßnahmen unterstreichen die Entschlossenheit der deutschen Regierung, einen robusten Rahmen für KI-Anwendungen zu schaffen.

Auch die Schweiz, obwohl kein EU-Mitgliedstaat, ist von den Regelungen des AI Acts erheblich betroffen. Insbesondere Unternehmen, die in den EU-Markt liefern oder dort Dienstleistungen anbieten, müssen die EU-Vorgaben beachten. Darüber hinaus hat die Schweiz im März 2025 die Konvention des Europarats über Künstliche Intelligenz unterzeichnet. Der Bundesrat hat angekündigt, die erforderlichen Anpassungen im Schweizer Recht vorzunehmen, wobei erste Vernehmlassungsvorschläge bis Ende 2026 erwartet werden. Das bereits revidierte Schweizer Datenschutzgesetz (DSG), seit dem 1. September 2023 in Kraft, ist technologieneutral formuliert und gilt direkt für jede KI-gestützte Datenbearbeitung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in seinem aktualisierten Leitfaden vom 8. Mai 2025 klargestellt, dass das DSG vollumfänglich anwendbar ist. Dies umfasst Transparenzpflichten und das Recht auf menschliche Überprüfung bei automatisierten Einzelentscheidungen. Die Schweiz verfolgt somit einen eigenständigen, aber koordinierten Ansatz zur KI-Regulierung, der die Bedeutung von Datenschutz und ethischen Prinzipien hervorhebt.

Kernpflichten des AI Act: Risiken verstehen, Compliance umsetzen

Der AI Act verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien unterteilt: unannehmbares, hohes, begrenztes und minimales Risiko. Diese Kategorisierung ist entscheidend, da sie den Umfang der Compliance-Pflichten direkt beeinflusst. Für Systeme mit unannehmbarem Risiko, wie etwa Social Scoring durch Staaten, gilt ein striktes Verbot. Glücklicherweise betrifft diese Kategorie die wenigsten Unternehmensanwendungen direkt.

Die umfangreichsten Pflichten betreffen Hochrisiko-KI-Systeme. Diese werden in Bereichen eingesetzt, in denen ein hohes Potenzial für negative Auswirkungen auf die Grundrechte, die Sicherheit oder die Gesundheit von Personen besteht. Beispiele hierfür sind KI in kritischen Infrastrukturen, bei Bildungszugang und Notenvergabe, in der Beschäftigung und bei der Personalauswahl, bei der Kreditwürdigkeitsprüfung, in der Strafverfolgung oder im Bereich Migration und Grenzmanagement. Für Anbieter und Betreiber solcher Systeme gelten strenge Anforderungen, die eine sorgfältige Planung und Implementierung erfordern:

* Risikomanagementsysteme: Unternehmen müssen robuste Systeme zur Identifizierung, Analyse und Minimierung von Risiken während des gesamten Lebenszyklus der KI-Systeme etablieren. Dies ist ein fortlaufender Prozess, der regelmässige Überprüfungen und Anpassungen erfordert. * Daten-Governance: Es muss die Qualität, Relevanz und Repräsentativität der Trainingsdaten sichergestellt werden. Ziel ist es, Diskriminierung und Voreingenommenheit, den sogenannten KI Bias, zu vermeiden. Eine saubere Datenbasis ist fundamental für vertrauenswürdige KI. * Technische Dokumentation: Eine umfassende Dokumentation über die Funktionsweise des Systems, seine Architektur und seine Konformität mit den Anforderungen ist obligatorisch. Dies dient der Nachvollziehbarkeit und der Überprüfbarkeit durch Behörden. * Menschliche Aufsicht: Die effektive menschliche Aufsicht über das KI-System muss gewährleistet sein, um Fehlentscheidungen zu korrigieren oder zu verhindern. KI-Systeme sollen unterstützen, nicht ersetzen. Eine Letztentscheidung bei Hochrisiko-KI-Anwendungen muss durch einen Menschen getroffen werden können. * Genauigkeit, Robustheit und Cybersicherheit: Systeme müssen hohe Standards in diesen Bereichen erfüllen, um zuverlässige Ergebnisse zu liefern und vor Manipulation geschützt zu sein. * Konformitätsbewertung: Vor dem Inverkehrbringen oder der Inbetriebnahme von Hochrisiko-KI ist eine Konformitätsbewertung obligatorisch. Dies kann eine interne Bewertung oder die Einbindung einer benannten Stelle erfordern. * Transparenz und Informationspflichten: Nutzer müssen klar über die Interaktion mit einer KI und die Funktionsweise von Systemen informiert werden. Diese Transparenz schafft Vertrauen und ermöglicht informierte Entscheidungen.

Verstösse gegen den AI Act können mit empfindlichen Geldbussen geahndet werden, die bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können. Diese Zahlen unterstreichen die Notwendigkeit einer frühzeitigen und gründlichen Auseinandersetzung mit den komplexen Anforderungen. Untätigkeit ist keine Option, der finanzielle und reputative Schaden kann existenzbedrohend sein.

Die strategische Lücke: Warum DACH-Unternehmen handeln müssen

Trotz der bevorstehenden Regulierung und des offensichtlichen Potenzials der KI zeigt sich in vielen DACH-Unternehmen noch eine zögerliche Haltung oder ein Mangel an einer kohärenten KI-Strategie. Eine Umfrage des BME und der ERA Group unter 155 Unternehmen im DACH-Raum Ende 2024 ergab, dass KI in Kernbereichen wie Einkauf (23 Prozent), Supply Chain (15 Prozent), Produktion (9 Prozent) und Finanzen (7 Prozent) noch gering genutzt wird. Bereiche wie Marketing (83 Prozent) und HR (41 Prozent) weisen zwar höhere Quoten auf, dies deutet jedoch darauf hin, dass KI-Initiativen oft noch von unten getrieben werden, während es an Unterstützung und einer Gesamtstrategie vom Top-Management fehlt.

Experten wie Achim B.C. Karpf von AIStrategyConsult betonen, dass viele DACH-Unternehmen die Experimentierphase hinter sich haben. Eine belastbare KI-Strategie, die Geschäftswert, regulatorische Anforderungen und technische Skalierbarkeit systematisch zusammenführt, fehlt jedoch oft noch. Eine wirksame KI-Strategie muss wertorientiert, compliant und skalierbar sein. Es geht nicht darum, möglichst viele KI-Initiativen zu starten, sondern die richtigen Anwendungsfälle unter einem belastbaren Governance-Rahmen umzusetzen. Der Fokus sollte auf der Schaffung von messbarem Mehrwert liegen, nicht auf der blossen Technologie-Einführung.

KPMG weist im Februar 2026 darauf hin, dass eine unternehmensweite KI-Strategie, die Ambitionen, Anwendungsfelder und Responsible-AI-Prinzipien klar beschreibt, unerlässlich ist, um eine effektive KI-Governance zu etablieren. Dies beinhaltet auch die Betrachtung von KI-Systemen mit allgemeinem Verwendungszweck (GPAI) wie unternehmenseigenen GPT-Modellen. Hierbei sind Datenschutz und Daten-Governance besonders kritisch. Die Nutzung solcher generativen KI-Modelle erfordert klare Richtlinien für den Umgang mit sensiblen Informationen und die Sicherstellung der Datenhoheit. Ohne eine solche Strategie laufen Unternehmen Gefahr, punktuelle Erfolge zu erzielen, aber das volle Potenzial der KI für das gesamte Unternehmen nicht auszuschöpfen und gleichzeitig neue Risiken zu schaffen.

Fachkräftemangel begegnen: KI als Enabler und die Notwendigkeit der Weiterbildung

Ein zentraler Aspekt im Kontext der KI-Einführung und -Regulierung ist der anhaltende Fachkräftemangel und die Notwendigkeit zur Weiterbildung. Studien prognostizieren, dass KI bis 2030 in Deutschland bis zu 3 Millionen Jobs verändern wird, wobei etwa 800.000 Arbeitsplätze wegfallen und gleichzeitig 800.000 neue entstehen könnten. Der Arbeitsmarkt sucht händeringend nach Fachkräften, die klassische Berufserfahrung mit modernen KI-Skills verbinden. Dies erfordert eine massive Investition in die Anpassung der Fähigkeiten der aktuellen Belegschaft.

Unternehmen im DACH-Raum erkennen zunehmend, dass KI nicht nur Effizienz steigert, sondern auch zur Bewältigung des Fachkräftemangels beitragen kann. Dies geschieht nicht durch Ersetzung, sondern durch gezielte Unterstützung von Mitarbeitern. Repetitive oder administrative Aufgaben können automatisiert werden, wodurch wertvolle Kapazitäten für komplexere und strategischere Tätigkeiten frei werden. Allerdings stagniert die Nachfrage nach KI-Experten in Deutschland trotz technologischem Fortschritt. Laut Bertelsmann Stiftung könnte dies zu Produktivitätsverlusten von bis zu 16 Prozent führen. Ein Mangel an qualifizierten Kräften bremst nicht nur die Implementierung neuer Technologien, sondern gefährdet auch die Wettbewerbsfähigkeit auf internationaler Ebene.

Die Reaktion darauf ist ein wachsender Fokus auf KI-Weiterbildung. Anbieter wie das Institut Digitale Kompetenz oder Scaly GmbH bieten staatlich geförderte Programme an. Diese bilden Mitarbeiter zu zertifizierten KI-Experten aus und vermitteln praxisnahes Wissen. Diese Initiativen sind entscheidend, um die Belegschaften zukunftsfähig zu machen und die digitale Transformation erfolgreich zu gestalten. Unternehmen, die jetzt in die Kompetenzen ihrer Mitarbeiter investieren, sichern sich einen entscheidenden Vorteil. Sie stellen nicht nur die Compliance mit den neuen Regularien sicher, sondern schaffen auch eine innovationsfähige und adaptive Unternehmenskultur. Die Entwicklung interner KI-Kompetenzen reduziert zudem die Abhängigkeit von externen Dienstleistern und ermöglicht eine tiefere Integration der KI in die Geschäftsprozesse.

Praktische Handlungsempfehlungen für Unternehmen

Um den Anforderungen des EU AI Acts und den nationalen Umsetzungsgesetzen gerecht zu werden und gleichzeitig strategische Vorteile zu erzielen, sollten DACH-Unternehmen jetzt handeln:

1. Inventarisierung und Risikobewertung: Identifizieren Sie alle KI-Systeme, die in Ihrem Unternehmen eingesetzt werden oder geplant sind. Ordnen Sie diese präzise den Risikokategorien des AI Acts zu. Beginnen Sie mit einem Audit Ihrer aktuellen und zukünftigen KI-Anwendungen, um den Handlungsbedarf zu definieren.

2. Governance-Strukturen etablieren: Definieren Sie klare interne Richtlinien, Zuständigkeiten und Prozesse für den verantwortungsvollen Einsatz von KI. Benennen Sie gegebenenfalls einen KI-Verantwortlichen oder ein Compliance-Team, das die Einhaltung der Vorschriften überwacht und fördert.

3. Daten-Governance stärken: Überprüfen und verbessern Sie Ihre Prozesse für die Datenerfassung, -qualität, -herkunft und -pflege. Insbesondere bei Hochrisiko-KI-Systemen ist eine lückenlose Daten-Governance unerlässlich, um Fairness und Genauigkeit sicherzustellen.

4. Mitarbeiter schulen und weiterbilden: Sensibilisieren und schulen Sie alle relevanten Abteilungen, von der IT über die Rechtsabteilung bis zu den Fachbereichen, im Hinblick auf die Anforderungen des AI Acts und die Potenziale verantwortungsvoller KI. Fördern Sie aktiv den Aufbau von KI-Kompetenzen innerhalb Ihrer Belegschaft.

5. Pilotprojekte für Hochrisiko-KI starten: Beginnen Sie frühzeitig mit Konformitätsbewertungen für potenzielle Hochrisiko-KI-Anwendungen. Nutzen Sie hierfür kleinere Pilotprojekte, um Erfahrungen zu sammeln und Prozesse zu optimieren, bevor Sie umfassende Systeme einführen.

6. Externe Expertise nutzen: Zögern Sie nicht, rechtliche und technische Beratung in Anspruch zu nehmen, insbesondere bei der Interpretation komplexer Anforderungen und der Implementierung von Risikomanagementsystemen. Spezialisierte Beratungsunternehmen wie Kapitel H können Sie dabei unterstützen, pragmatische und effektive Lösungen zu finden.

7. Eine umfassende KI-Strategie entwickeln: Verankern Sie den Einsatz von KI fest in Ihrer Unternehmensstrategie. Diese Strategie sollte nicht nur die Einhaltung der Regularien sicherstellen, sondern vor allem die Wertschöpfung und die Wettbewerbsfähigkeit Ihres Unternehmens durch den gezielten Einsatz von KI stärken.

Kritische Einordnung aus Kapitel-H-Sicht

Die Einführung des EU AI Acts ist ein komplexer, aber notwendiger Schritt. Aus unserer Sicht bei Kapitel H bietet die Regulierung eine entscheidende Orientierung, die dem Mittelstand im DACH-Raum zugutekommt. Es ist keine weitere bürokratische Hürde, sondern eine Chance, Vertrauen in eine Technologie zu schaffen, deren Potenzial enorm ist. Die bisherige