EU AI Act 2026: Übergangsfristen und unmittelbare Pflichten für DACH-Unternehmen

# EU AI Act 2026: Übergangsfristen und unmittelbare Pflichten für DACH-Unternehmen

Die Künstliche Intelligenz (KI) transformiert Wirtschaft und Gesellschaft in einem rasanten Tempo. Mit dieser Entwicklung gehen Chancen und Herausforderungen einher, die eine angemessene Regulierung erfordern. Der EU AI Act (Verordnung (EU) 2024/1689), das weltweit erste umfassende Gesetz zur Künstlichen Intelligenz, ist seit dem 1. August 2024 in Kraft. Er entwickelt sich zu einem der prägendsten Themen für die Arbeitswelt deutschsprachiger Unternehmen im Jahr 2026.

Aktuelle Nachrichten vom 13. Mai 2026 beleuchten insbesondere die Auswirkungen des sogenannten „Digital Omnibus“ vom 7. Mai 2026. Dieses Anpassungspaket bringt wichtige Änderungen an den gestaffelten Übergangsfristen für Unternehmen mit sich. Diese regulatorischen Neuerungen haben unmittelbare und weitreichende Konsequenzen für KI-Entwickler und -Anwender im DACH-Raum. Sie erfordern von Unternehmen eine proaktive Auseinandersetzung mit den neuen Pflichten, um rechtliche Risiken zu minimieren und Wettbewerbsvorteile zu sichern. Kapitel H beleuchtet die konkreten Auswirkungen dieser Verordnung und zeigt auf, welche Schritte Unternehmen jetzt unternehmen sollten, um handlungsfähig zu bleiben und die Potenziale der KI verantwortungsvoll zu nutzen.

Der EU AI Act: Ein risikobasierter Ansatz mit klaren Kategorien und Fristen

Das Kernstück des EU AI Act ist sein risikobasierter Ansatz. Dieser gliedert KI-Systeme in vier Kategorien, basierend auf dem potenziellen Schaden, den sie für die Gesellschaft oder Einzelpersonen anrichten können. Jede Kategorie ist mit spezifischen Anforderungen und Pflichten verbunden. Diese Struktur soll sicherstellen, dass die Regulierung proportional zu den identifizierten Risiken ist und Innovation nicht unnötig hemmt, aber gleichzeitig den Schutz der Grundrechte gewährleistet.

Inakzeptables Risiko: Klare Verbote zum Schutz der Grundrechte

KI-Systeme, die in diese Kategorie fallen, stellen eine klare Bedrohung für die Sicherheit, die Lebensgrundlagen und die Rechte der Menschen dar. Sie sind daher seit Februar 2025 verboten. Zu den verbotenen Anwendungen gehören beispielsweise Social Scoring durch Behörden, also die Bewertung oder Klassifizierung von Personen basierend auf ihrem Sozialverhalten, was zu diskriminierenden oder willkürlichen Entscheidungen führen kann. Ebenso untersagt ist die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum, mit wenigen streng definierten Ausnahmen, um die Privatsphäre der Bürger zu schützen. Ein weiteres Beispiel sind Systeme zur Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen. Solche Systeme könnten zur Überwachung oder unfairen Bewertung von Mitarbeitenden und Lernenden missbraucht werden. Für Unternehmen bedeutet dies, dass sie ihre bestehenden oder geplanten KI-Anwendungen sorgfältig prüfen müssen, um sicherzustellen, dass keine dieser verbotenen Praktiken zum Einsatz kommt. Ein Verstoß führt zu den höchsten Strafen.

Hohes Risiko: Umfangreiche Pflichten mit gestaffelten Übergangsfristen

Diese Kategorie umfasst KI-Anwendungen, die schwerwiegende Risiken für Gesundheit, Sicherheit oder Grundrechte bergen können. Hierunter fallen Systeme, die in kritischen Infrastrukturen wie Energie oder Verkehr eingesetzt werden, sowie Anwendungen in der Bildung, Beschäftigung, Migration, bei der Strafverfolgung oder im Gesundheitswesen. Die Umsetzung der vollen Hochrisiko-Anforderungen war ursprünglich für einen früheren Zeitpunkt vorgesehen. Der "Digital Omnibus" vom 7. Mai 2026 hat jedoch Anpassungen vorgenommen, um Unternehmen mehr Zeit zur Implementierung zu gewähren. Für Systeme, die in Anhang III des Gesetzes aufgeführt sind, wie beispielsweise Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrollen, gelten die Vorschriften nun ab dem 2. Dezember 2027. Dies gibt Unternehmen zusätzliche 18 Monate Zeit gegenüber dem ursprünglichen Plan. Für KI-Systeme, die als Sicherheitskomponente in Produkten eingesetzt werden, wie beispielsweise in Aufzügen, medizinischen Geräten oder Spielzeug, erstreckt sich die Frist sogar bis zum 2. August 2028. Diese Verlängerungen sind eine wichtige Erleichterung für viele Unternehmen im DACH-Raum, die komplexe Implementierungen vornehmen müssen. Sie dürfen jedoch nicht als Aufschub der Planung missverstanden werden, sondern als Chance zur gründlichen Vorbereitung.

Begrenztes Risiko: Transparenzpflichten ab August 2026

Für KI-Systeme mit begrenztem Risiko sind primär Transparenzpflichten vorgesehen. Ab dem 2. August 2026 ist EU-weit verbindlich, dass Chatbots und ähnliche Konversationssysteme offenlegen müssen, dass es sich um eine KI handelt und nicht um einen menschlichen Interaktionspartner. Diese Kennzeichnungspflicht schafft Vertrauen und verhindert, dass Nutzer getäuscht werden. Des Weiteren müssen alle KI-generierten Inhalte, seien es Texte, Bilder, Audios oder Videos, als solche gekennzeichnet werden. Sogenannte Deepfakes, also manipulierte Medien, sind verpflichtend als solche zu markieren. Diese Vorschriften sind insbesondere für Unternehmen relevant, die generative KI-Tools wie ChatGPT, Gemini oder andere für Marketing, Kundenservice, Content-Erstellung oder interne Kommunikation nutzen. Die Einhaltung dieser Pflichten ist verhältnismäßig einfach umzusetzen, erfordert jedoch eine klare interne Richtlinie und die Schulung der Mitarbeitenden, die mit diesen Tools arbeiten.

Minimales oder kein Risiko: Fokus auf bestehende Gesetze

Die meisten KI-Systeme, die in diese Kategorie fallen, unterliegen derzeit keinen spezifischen regulatorischen Pflichten, die über bestehende Gesetze hinausgehen. Hierzu gehören beispielsweise Spam-Filter oder KI-gestützte Videospiele. Unternehmen können diese Systeme weiterhin entwickeln und einsetzen, müssen aber selbstverständlich alle allgemeinen rechtlichen Bestimmungen, etwa zum Datenschutz oder Produkthaftung, beachten. Der AI Act schafft hier keine neuen Hürden, sondern bestätigt die grundsätzliche Freiheit bei Anwendungen mit geringem Risiko.

Unmittelbare Pflichten und Handlungsbedarf für DACH-Unternehmen in 2026

Trotz der verschobenen Fristen für Hochrisiko-Systeme gibt es bereits jetzt und ab dem 2. August 2026 zentrale Pflichten, die DACH-Unternehmen unmittelbar betreffen. Ein proaktives Vorgehen ist hier entscheidend, um Bußgelder zu vermeiden und die Vorteile der KI sicher nutzen zu können.

1. KI-Kompetenzpflicht seit Februar 2025: Der Grundstein für verantwortungsvolle KI

Unternehmen sind bereits seit Februar 2025 dazu angehalten, die KI-Kompetenz ihrer Mitarbeitenden sicherzustellen, wenn diese mit Künstlicher Intelligenz arbeiten. Dies bedeutet einen erheblichen Schulungs- und Weiterbildungsbedarf. Mitarbeitende müssen die Funktionsweise, die potenziellen Risiken und den verantwortungsvollen Umgang mit KI-Systemen verstehen. Es geht dabei nicht nur um technische Kenntnisse, sondern auch um ethische Aspekte, den Umgang mit Datenvoreingenommenheit (Bias) und die Fähigkeit, KI-Entscheidungen zu interpretieren und gegebenenfalls zu korrigieren. Ohne diese Kompetenz können KI-Projekte nicht nur scheitern, sondern auch erhebliche rechtliche und reputative Risiken bergen. Investitionen in interne Schulungsprogramme, externe Weiterbildungen und die Entwicklung klarer Leitlinien für den KI-Einsatz sind somit keine Option, sondern eine zwingende Notwendigkeit.

2. Transparenzpflichten ab 2. August 2026: Vertrauen durch Klarheit schaffen

Wie oben bereits ausgeführt, müssen ab diesem Datum KI-generierte Inhalte und Chatbot-Interaktionen klar als solche gekennzeichnet werden. Für Unternehmen im Marketing, Kundenservice und der Content-Erstellung, die generative KI-Tools wie ChatGPT, Gemini oder andere einsetzen, bedeutet dies eine sofortige Anpassung der Arbeitsprozesse. Beispielsweise muss ein KI-generierter Blogbeitrag einen Hinweis tragen, dass er mit Unterstützung von KI erstellt wurde. Ein Chatbot im Kundenservice muss sich als KI zu erkennen geben. Die Kennzeichnungspflicht soll Vertrauen schaffen und Nutzer vor Täuschung schützen. Unternehmen sollten bis August 2026 interne Richtlinien etablieren und technische Lösungen implementieren, um diese Kennzeichnungen automatisiert und konsistent vorzunehmen. Dies erfordert eine enge Zusammenarbeit zwischen Marketing, IT und Rechtsabteilung.

3. Vorbereitung auf Hochrisiko-Anforderungen: Den späteren Pflichten heute begegnen

Auch wenn die vollen Pflichten für Hochrisiko-KI-Systeme erst später greifen, müssen sich Unternehmen, die solche Systeme entwickeln oder einsetzen, bereits jetzt intensiv mit den bevorstehenden Anforderungen auseinandersetzen. Dazu gehören Konformitätsbewertungen, die Erstellung umfassender technischer Dokumentationen, der Aufbau robuster Risikomanagementsysteme, eine präzise Daten-Governance und ein stringentes Qualitätsmanagement. Ein Beispiel hierfür sind HR-Abteilungen, die KI-Systeme für die Bewerberauswahl nutzen, das Gesundheitswesen für Diagnosen oder die Produktion für autonome Steuerung. Die Zeit bis Ende 2027 oder gar 2028 mag lang erscheinen, die Komplexität der Anforderungen erfordert jedoch eine frühzeitige Planung und Ressourcenallokation. Aktuelle Studien belegen den Handlungsbedarf: Laut Bitkom geben 69 Prozent der deutschen Unternehmen an, Unterstützung bei der Umsetzung des EU AI Act zu benötigen, während sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Dies verdeutlicht eine erhebliche Lücke zwischen der Notwendigkeit und der tatsächlichen Vorbereitung.

Konsequenzen von Non-Compliance: Sanktionen und Durchsetzung

Die EU nimmt die Einhaltung des AI Act sehr ernst. Verstöße gegen die strengsten Pflichten können erhebliche Bußgelder nach sich ziehen. Diese können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Betrag höher ist. Für den Mittelstand bedeutet dies eine existenzielle Bedrohung, die nicht unterschätzt werden darf. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) voraussichtlich eine der zentralen Behörden für die Überwachung und Durchsetzung des AI Act. Die Europäische Kommission bereitet zudem weitere Unterstützungsinstrumente und Leitlinien vor, die im zweiten Quartal 2026 veröffentlicht werden sollen, um Unternehmen bei der Umsetzung zu helfen. Es ist ratsam, diese Leitfäden genau zu studieren und in die eigene Compliance-Strategie zu integrieren.

Strategische und organisatorische Implikationen für den Mittelstand im DACH-Raum

Die Umsetzung des EU AI Act ist nicht nur eine rechtliche, sondern auch eine strategische und organisatorische Herausforderung für DACH-Unternehmen, insbesondere für den Mittelstand. Die Anforderungen an Governance, Prozesse und Fachwissen sind umfassend und erfordern eine ganzheitliche Betrachtung.

Change Management als zentraler Erfolgsfaktor

Die Einführung von KI-Systemen unter den strengen Vorgaben des AI Act erfordert ein durchdachtes Change Management. Es geht darum, Ängste bei Mitarbeitenden abzubauen, Akzeptanz zu schaffen und neue Rollen und Prozesse zu definieren, in denen Mensch und KI effektiv zusammenarbeiten. Viele Mitarbeitende sind möglicherweise skeptisch gegenüber KI oder fürchten um ihren Arbeitsplatz. Eine offene Kommunikation, transparente Prozessgestaltung und die Einbindung der Belegschaft in die Gestaltung der KI-Einführung sind essenziell. Experten betonen, dass der Erfolg von KI-Projekten weniger von der Technologie selbst abhängt, sondern davon, wie der Wandel aktiv gestaltet wird. Unternehmen sollten hier frühzeitig investieren, um nicht nur Compliance zu gewährleisten, sondern auch das volle Potenzial der KI durch engagierte Mitarbeitende zu heben.

Datensouveränität und -sicherheit als Priorität

Der AI Act verstärkt die Notwendigkeit für Unternehmen, höchste Standards bei Datensicherheit und Datenschutz einzuhalten, insbesondere im Hinblick auf die bereits geltende DSGVO. Für KI-Systeme, die auf umfangreichen Datenmengen trainiert und betrieben werden, ist dies von kritischer Bedeutung. Dies beinhaltet die Überlegung, Daten und Workloads in souveräne oder regionale Clouds zu verlagern, um Datensouveränität zu gewährleisten und Compliance-Risiken zu minimieren. Die Entscheidung für einen bestimmten Cloud-Anbieter oder eine On-Premise-Lösung muss unter Berücksichtigung der regulatorischen Anforderungen des AI Act getroffen werden. Die Herkunft, Qualität und Sicherheit der Daten sind dabei ebenso wichtig wie die Architektur der KI-Systeme selbst.

Investitionen in Governance und Infrastruktur: Die Basis für nachhaltige KI

Viele Unternehmen experimentieren noch mit KI, wobei ein Großteil der Pilotprojekte scheitert. Der AI Act zwingt Unternehmen dazu, umfassende Strategien für generative KI und Daten, robuste Governance-Strukturen und eine lückenlose Infrastruktur für den regelkonformen Betrieb von KI-Systemen zu etablieren. Dies schließt auch die Entwicklung von Mechanismen zur Messung von Datenvoreingenommenheit (Bias) und zur Erkennung von Sicherheitsbedrohungen ein. Eine gute Daten-Governance stellt sicher, dass Daten sauber, relevant und nicht diskriminierend sind. Eine geeignete Infrastruktur ermöglicht die Nachvollziehbarkeit von KI-Entscheidungen und die Auditierbarkeit von Systemen. Diese Investitionen sind nicht optional, sondern bilden die Basis für den nachhaltigen und vertrauenswürdigen Einsatz von KI im Unternehmen.

Mittelstand im Fokus: Kosten als relevante Größe

Für den Mittelstand sind die Kosten für die Implementierung von KI-Lösungen und die Einhaltung der Vorschriften eine relevante Größe. Ein produktiver Pilot kann zwischen 30.000 und 90.000 Euro kosten, während ein Rollout über mehrere Bereiche 100.000 bis 350.000 Euro erreichen kann. Der AI Act bedeutet hier zusätzliche Investitionen in Beratung, interne Prozesse, Schulungen und die notwendige Technologieinfrastruktur. Es ist entscheidend, diese Kosten nicht nur als Belastung, sondern als Investition in die Zukunftsfähigkeit und Wettbewerbsfähigkeit des Unternehmens zu verstehen. Mittelständische Unternehmen, die frühzeitig und strategisch handeln, können einen Wettbewerbsvorteil erzielen, indem sie Vertrauen bei Kunden und Partnern aufbauen.

Praktische Handlungsempfehlungen für DACH-Unternehmen

Um den Anforderungen des EU AI Act proaktiv zu begegnen, empfehlen wir folgende konkrete Schritte:

1. Risikobewertung durchführen: Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen und ordnen Sie diese den Risikokategorien des AI Act zu. Dies ist der erste Schritt zur Priorisierung der Maßnahmen. 2. Interne Kompetenzen aufbauen: Investieren Sie in die Aus- und Weiterbildung Ihrer Mitarbeitenden. Schaffen Sie ein Verständnis für KI-Technologien, deren Chancen und Risiken sowie die rechtlichen Rahmenbedingungen. Etablieren Sie interne Richtlinien für den verantwortungsvollen KI-Einsatz. 3. Transparenzpflichten umsetzen: Implementieren Sie ab sofort klare Kennzeichnungspflichten für alle KI-generierten Inhalte und Chatbot-Interaktionen, um die Vorschriften ab dem 2. August 2026 zu erfüllen. Prüfen Sie, welche Tools Sie nutzen und wie diese angepasst werden müssen. 4. Roadmap für Hochrisiko-Systeme entwickeln: Beginnen Sie umgehend mit der Planung für die Umsetzung der Hochrisiko-Anforderungen, auch wenn die Fristen verschoben wurden. Dazu gehören die Entwicklung von Konformitätsbewertungsverfahren, die Dokumentation von Risikomanagementsystemen und die Etablierung von Qualitätsmanagementprozessen. Holen Sie sich bei Bedarf externe Expertise. 5. Daten-Governance und Infrastruktur prüfen: Überprüfen Sie Ihre aktuellen Strategien zur Datensouveränität und -sicherheit. Bewerten Sie Ihre Cloud-Strategie und die Robustheit Ihrer Infrastruktur im Hinblick auf die Anforderungen des AI Act und der DSGVO. 6. Change Management initiieren: Kommunizieren Sie transparent mit Ihren Mitarbeitenden über die Einführung und den Einsatz von KI. Binden Sie sie in den Prozess ein und schaffen Sie Akzeptanz für neue Arbeitsweisen.

Kritische Einordnung aus Kapitel-H-Sicht

Der EU AI Act ist ein wegweisendes Gesetz, das in seiner Komplexität und Reichweite bisher einzigartig ist. Aus unserer Sicht bei Kapitel H ist es entscheidend, eine pragmatische Perspektive einzunehmen. Während die verschobenen Fristen für Hochrisiko-Systeme eine willkommene Atempause darstellen, dürfen sie nicht zu einer falschen Sorglosigkeit führen. Die Anforderungen an KI-Kompetenz und Transparenz sind unmittelbar wirksam und erfordern jetzt konkrete Maßnahmen. Der Hype um generative KI darf nicht dazu führen, dass Unternehmen die rechtlichen Realitäten ignorieren. Eine frühzeitige Auseinandersetzung mit dem AI Act ist nicht nur eine Pflichtübung, sondern eine strategische Chance. Unternehmen, die jetzt in eine robuste KI-Governance, fundierte Mitarbeiterschulungen und eine sichere Infrastruktur investieren, werden sich als vertrauenswürdige und innovative Akteure im Markt positionieren. Dies ist ein entscheidender Schritt weg von einer Abhängigkeit von externen KI-Anbietern hin zur Befähigung der eigenen Organisation, KI souverän und sicher einzusetzen.

Fazit: Jetzt handeln, um die Zukunft der KI im Unternehmen zu gestalten

Die jüngsten Anpassungen des EU AI Act durch den "Digital Omnibus" im Mai 2026 sind eine entscheidende Nachricht für den DACH-Arbeitsmarkt. Sie geben Unternehmen zwar etwas mehr Zeit für die Umsetzung der komplexesten Hochrisiko-Anforderungen, setzen aber gleichzeitig ab August 2026 klare Transparenzpflichten und verlangen weiterhin die Sicherstellung der KI-Kompetenz der Mitarbeitenden. Der AI Act zwingt Unternehmen, ihre KI-Strategien kritisch zu hinterfragen, in Governance und Infrastruktur zu investieren und den Wandel menschenzentriert zu gestalten. Die Zeit der reinen Experimente ist vorbei. 2026 wird das Jahr, in dem KI-Anwendungen im DACH-Raum unter einem strengen, aber auch vertrauensbildenden regulatorischen Rahmen nachhaltig in die Unternehmensprozesse integriert werden müssen. Wer jetzt proaktiv handelt und die Empfehlungen umsetzt, sichert nicht nur die Compliance, sondern auch die eigene Zukunftsfähigkeit im Zeitalter der Künstlichen Intelligenz.