EU AI Act und AI Literacy: Dringende Anforderungen für DACH-Unternehmen

Der Einsatz künstlicher Intelligenz (KI) ist längst keine Zukunftsmusik mehr. Unternehmen im gesamten DACH-Raum nutzen KI in vielfältiger Weise, sei es zur Prozessoptimierung, im Kundenservice oder zur Datenanalyse. Mit dem EU AI Act, der ersten umfassenden KI-Regulierung weltweit, treten nun verbindliche Rahmenbedingungen in Kraft, welche die Art und Weise, wie KI entwickelt und eingesetzt wird, fundamental verändern. Insbesondere die bereits seit dem 2. Februar 2025 geltende «AI Literacy» Pflicht und die ab dem 2. August 2026 relevanten Compliance-Anforderungen erfordern von Unternehmen unmittelbares Handeln. Dieser Artikel beleuchtet die Kernpunkte des EU AI Acts, seine extraterritoriale Wirkung auf Schweizer Unternehmen und gibt konkrete Handlungsempfehlungen für den Mittelstand. Das Ziel ist nicht nur die Einhaltung gesetzlicher Vorgaben, sondern die Befähigung zu einem verantwortungsvollen und zukunftsfähigen KI-Einsatz.

Der EU AI Act: Ein risikobasiertes Rahmenwerk mit klarer Zeitachse

Der EU AI Act ist ein weltweit einzigartiges Regelwerk. Er wurde konzipiert, um die Risiken von KI-Systemen für Gesundheit, Sicherheit und Grundrechte zu minimieren, ohne dabei Innovationen zu behindern. Das Herzstück der Verordnung ist ein risikobasierter Ansatz. KI-Systeme werden in vier Kategorien eingeteilt: verbotene Praktiken, Hochrisiko-KI-Systeme, KI mit begrenztem Risiko und KI mit minimalem Risiko. Jede Kategorie ist mit spezifischen Anforderungen und Pflichten verbunden. Verbotene Praktiken, wie etwa Social Scoring durch Staaten, sind grundsätzlich untersagt. Hochrisiko-KI-Systeme, beispielsweise in kritischer Infrastruktur, im Personalwesen oder im Bereich der biometrischen Identifikation, unterliegen strengen Vorgaben hinsichtlich Risikomanagement, Datenqualität, Dokumentation und menschlicher Aufsicht. Systeme mit begrenztem und minimalem Risiko unterliegen weniger strengen, aber dennoch relevanten Transparenz- und Informationspflichten.

Die Verordnung ist am 1. August 2024 offiziell in Kraft getreten. Die verschiedenen Bestimmungen entfalten ihre Wirkung jedoch gestaffelt. Eine der ersten und unmittelbar relevantesten Pflichten, die sogenannte «AI Literacy» Pflicht, ist bereits seit dem 2. Februar 2025 bindend. Zentrale Compliance-Anforderungen für Hochrisiko-KI-Systeme müssen ab dem 2. August 2026 erfüllt werden. Die vollständige Anwendbarkeit der Verordnung ist für den 2. August 2027 vorgesehen. Dieser gestaffelte Zeitplan bedeutet, dass Unternehmen nicht bis zur vollständigen Anwendbarkeit warten können. Erste Schritte und Anpassungen sind bereits jetzt notwendig. Wer diese Fristen ignoriert, riskiert nicht nur rechtliche Konsequenzen, sondern auch den Verlust von Wettbewerbsfähigkeit in einem sich rasch entwickelnden Marktumfeld.

Extraterritoriale Wirkung: Warum Schweizer Unternehmen handeln müssen

Ein häufiges Missverständnis bei Schweizer Unternehmen ist die Annahme, als Nicht-EU-Mitglied vom EU AI Act nicht betroffen zu sein. Diese Annahme ist falsch und kann ernsthafte Konsequenzen haben. Der EU AI Act besitzt eine sogenannte extraterritoriale Wirkung. Das bedeutet, seine Vorschriften gelten nicht nur für Unternehmen innerhalb der Europäischen Union, sondern auch für Unternehmen aus Drittstaaten, sobald sie KI-Systeme in der EU in Verkehr bringen, in Betrieb nehmen oder deren Ergebnisse in der EU verwendet werden. Dies ist vergleichbar mit der extraterritorialen Wirkung der EU-Datenschutz-Grundverordnung (DSGVO), welche bereits gezeigt hat, dass geografische Grenzen im digitalen Raum irrelevant werden.

Für Schweizer Unternehmen bedeutet dies konkret: Wenn Sie digitale Produkte, Dienstleistungen oder Software-Lösungen, die KI-Komponenten enthalten, in den EU-Markt exportieren oder dort Niederlassungen unterhalten, sind Sie vom EU AI Act betroffen. Ein praktisches Beispiel ist ein KI-gestützter Chatbot auf Ihrer Unternehmenswebsite, der auch Anfragen von Kunden aus Deutschland oder Österreich bearbeitet. Ein solcher Chatbot muss die Anforderungen des EU AI Acts erfüllen. Auch KI-Modelle, die in der Schweiz trainiert werden, deren Ergebnisse aber beispielsweise zur Optimierung von Logistikprozessen einer Tochtergesellschaft in Frankreich genutzt werden, fallen unter die Verordnung.

Verstösse gegen den EU AI Act können mit hohen Geldbußen geahndet werden, deren Höhe im Ernstfall Millionen Euro erreichen kann. Obwohl der Schweizer Bundesrat einen zurückhaltenderen, technologieneutralen Ansatz für eine eigene KI-Regulierung verfolgt und bis Ende 2026 eine Vernehmlassungsvorlage erwartet wird, entbindet dies Schweizer Unternehmen nicht von den Pflichten des EU AI Acts. Die direkte Betroffenheit durch die extraterritoriale Wirkung ist für die überwiegende Mehrheit der im EU-Raum tätigen Schweizer Unternehmen eine unumgängliche Realität. Proaktives Handeln ist daher unerlässlich, um Haftungsrisiken zu minimieren und den Zugang zum europäischen Binnenmarkt zu sichern.

Die «AI Literacy»-Pflicht: Fundament für den verantwortungsvollen KI-Einsatz

Eine der ersten und bereits geltenden Pflichten des EU AI Acts ist Artikel 4, die sogenannte «AI Literacy» Pflicht. Seit dem 2. Februar 2025 müssen Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, sicherstellen, dass ihre Mitarbeitenden über ausreichende Kompetenzen im sicheren und verantwortungsvollen Umgang mit KI verfügen. Der Gesetzgeber macht dabei keine detaillierten Vorgaben zu Umfang oder Format der Schulungen. Entscheidend ist, dass Unternehmen einen strukturierten und nachweisbaren Ansatz zur KI-Kompetenzentwicklung implementieren.

Diese Pflicht geht weit über reine technische Fähigkeiten hinaus. Sie umfasst ein umfassendes Verständnis für die Funktionsweise von KI-Systemen, deren Potenziale und Grenzen. Mitarbeitende müssen in der Lage sein, KI-generierte Ergebnisse kritisch zu hinterfragen, mögliche Fehlerquellen oder Voreingenommenheiten (Bias) zu erkennen und ethische Implikationen des KI-Einsatzes zu bewerten. Dazu gehört auch das Bewusstsein für Datenschutz und IT-Sicherheit im Kontext von KI-Anwendungen.

Für Unternehmen bedeutet dies die Notwendigkeit, interne Schulungsprogramme zu entwickeln und anzubieten. Diese Programme müssen auf die spezifischen Rollen und Verantwortlichkeiten der Mitarbeitenden zugeschnitten sein. Ein Produktionsmitarbeiter, der eine KI-gesteuerte Maschine bedient, benötigt andere Kompetenzen als ein Softwareentwickler, der ein KI-Modell trainiert. Die «AI Literacy» Pflicht ist somit ein klares Signal: Der erfolgreiche und verantwortungsvolle Einsatz von KI ist eng mit der Kompetenz der Belegschaft verbunden. Unternehmen, die hier investieren, stärken nicht nur ihre Compliance, sondern auch ihre Innovationsfähigkeit und die Akzeptanz von KI-Technologien im eigenen Haus.

Konkrete Handlungsempfehlungen für DACH-Unternehmen

Die Anpassung an den EU AI Act erfordert einen strategischen und strukturierten Ansatz. Der Mittelstand im DACH-Raum sollte folgende Punkte prioritär angehen, um Compliance sicherzustellen und die Chancen der KI verantwortungsvoll zu nutzen:

1. Risikobewertung und Klassifizierung von KI-Systemen: Beginnen Sie damit, alle in Ihrem Unternehmen genutzten oder entwickelten KI-Systeme zu identifizieren. Führen Sie eine detaillierte Risikobewertung durch, um jedes System gemäss dem risikobasierten Ansatz des AI Acts zu klassifizieren, das heisst in die Kategorien minimales, begrenztes, hohes oder unannehmbares Risiko einzuteilen. Dies ist der grundlegende Schritt, um die spezifischen Compliance-Pflichten für jedes System abzuleiten. Dokumentieren Sie diesen Prozess transparent und nachvollziehbar.

2. Etablierung eines KI-Governance-Frameworks: Ein robustes KI-Governance-Framework ist entscheidend. Laut KPMG ist dies ein zentraler Erfolgsfaktor. Es muss technische, organisatorische und prozessuale Aspekte umfassen. Dazu gehört die Festlegung klarer Verantwortlichkeiten für den gesamten Lebenszyklus von KI-Systemen, von der Entwicklung über den Einsatz bis zur Überwachung und Deaktivierung. Implementieren Sie Prozesse für regelmässige Konformitätsprüfungen, Risikobewertungen und die Erstellung technischer Dokumentationen. Dieses Framework muss flexibel genug sein, um sich an neue KI-Entwicklungen und regulatorische Änderungen anpassen zu können.

3. Datenschutz und IT-Sicherheit als Fundament: Unabhängig vom EU AI Act bleiben die Vorgaben der EU-DSGVO und des Schweizer Datenschutzgesetzes (DSG) relevant. Stellen Sie sicher, dass personenbezogene Daten, die in KI-Modellen verarbeitet werden, jederzeit datenschutzkonform behandelt werden. Dies umfasst klare Nutzungsrichtlinien, regelmässige Schulungen zur Sensibilisierung der Mitarbeitenden für den Umgang mit sensiblen Daten und technische Beschränkungen beim Zugriff auf und der Verarbeitung von Daten. Eine sorgfältige Auswahl von KI-Anbietern ist ebenfalls geboten. Der Vorfall in einem österreichischen Bauunternehmen, bei dem ein falsch konfigurierter KI-Agent eine gesamte Produktionsdatenbank löschte, verursachte einen sechsstelligen Schaden und drei Tage Stillstand. Dieses Beispiel verdeutlicht die kritische Bedeutung von KI-Sicherheit und verantwortungsvollem Einsatz weit über Compliance hinaus.

4. Umfassendes Change Management und Weiterbildung: Die «AI Literacy»-Pflicht ist mehr als eine formale Anforderung; sie ist eine Chance zur internen Stärkung. Investieren Sie gezielt in die Weiterbildung Ihrer Mitarbeitenden. Schaffen Sie Bewusstsein für die Chancen und Risiken von KI. Entwickeln Sie interne Richtlinien für den ethischen und sicheren Einsatz von KI-Tools. Die Förderung der Akzeptanz ist entscheidend, um Ängste vor Jobverlust, die insbesondere bei der Generation Z verbreitet sind, zu adressieren. Eine aktuelle österreichische Studie zeigt, dass generative KI im Arbeitsalltag bereits Zeitersparnisse von ein bis vier Stunden pro Woche ermöglicht. Der nächste Produktivitätsschub entsteht jedoch erst durch eine strukturierte Integration von KI in bestehende Prozesse und Teamroutinen. Hierfür sind Kompetenzaufbau und Change Management unerlässlich.

5. Anpassung von Verträgen mit Partnern: Überprüfen und passen Sie Verträge, insbesondere mit EU-Kunden, Lieferanten und Partnern, an die neuen Anforderungen des EU AI Acts an. Dies dient der Minimierung von Haftungsrisiken und der Klärung von Verantwortlichkeiten im Kontext von KI-Systemen, die gemeinsam genutzt oder in Verkehr gebracht werden. Klären Sie Fragen der Datenhoheit, der Compliance-Nachweise und der Haftung für fehlerhafte KI-Ergebnisse.

Kritische Einordnung aus Kapitel-H-Sicht

Der EU AI Act stellt eine regulatorische Realität dar, die DACH-Unternehmen nicht ignorieren können. Aus unserer Sicht bei Kapitel H ist dies keine Bürokratiehürde, die es einfach abzuarbeiten gilt. Vielmehr sehen wir darin eine notwendige Entwicklung, die einen Rahmen für den verantwortungsvollen und nachhaltigen Einsatz von KI schafft. Der Hype um KI verdeckt oft die realen Herausforderungen bei der Implementierung. Der AI Act zwingt Unternehmen nun, sich konkret mit Fragen der Governance, der Datenqualität, der Transparenz und der Rechenschaftspflicht auseinanderzusetzen. Dies ist im Kern eine Chance zur Befähigung.

Anstatt eine Abhängigkeit von undurchsichtigen KI-Systemen oder externen Anbietern zu fördern, die lediglich Compliance zusichern, ermöglicht der Act Unternehmen, interne Kompetenzen aufzubauen und eigene, fundierte Entscheidungen zu treffen. Die «AI Literacy» Pflicht ist hierbei der wichtigste Hebel. Eine rein formale Erfüllung der Schulungspflicht wird nicht ausreichen. Es geht darum, ein tiefgreifendes Verständnis und eine kritische Auseinandersetzung mit KI in der Unternehmenskultur zu verankern. Nur so können die Risiken minimiert und die Potenziale von KI voll ausgeschöpft werden, ohne sich in rechtlichen Grauzonen zu bewegen oder unkontrollierbare Abhängigkeiten zu schaffen. Der Fokus muss auf der praktischen Umsetzung und der Integration in bestehende Unternehmensprozesse liegen, nicht auf einer oberflächlichen