EU AI Act: Anpassungen und ihre Bedeutung für DACH-Unternehmen

Der Einsatz Künstlicher Intelligenz (KI) ist in Unternehmen des deutschsprachigen Raums (DACH) längst keine Zukunftsmusik mehr, sondern Realität. Vom automatisierten Kundenservice bis zur Prozessoptimierung in der Fertigung: KI verändert die Art und Weise, wie wir arbeiten. Doch mit der zunehmenden Verbreitung wächst auch der Bedarf an klaren Regeln. Hier setzt der EU AI Act an, das weltweit erste umfassende Gesetz zur Regulierung von KI. Obwohl es bereits im Mai 2024 verabschiedet wurde und erste Bestimmungen seit August 2024, mit weiteren ab Februar 2025, in Kraft sind, sorgen aktuelle Entwicklungen und die näher rückenden Hauptfristen für erhöhte Dringlichkeit und gelegentliche Verunsicherung.

Die jüngste und vielleicht bedeutendste Nachricht in diesem Kontext ist die Einigung von Europäischem Parlament und Rat vom 11. Mai 2026 auf das sogenannte "Digital Omnibus"-Paket. Dieses Paket passt zentrale Regelungen, insbesondere für Hochrisiko-KI-Systeme, an. Es verschiebt Fristen und vereinfacht bestimmte Aspekte, verschärft jedoch gleichzeitig die Transparenzpflichten für Unternehmen. Für den Mittelstand in Deutschland, Österreich und der Schweiz bedeutet dies, dass eine genaue Analyse der neuen Situation unerlässlich ist. Es geht darum, die verbleibende Zeit strategisch zu nutzen, anstatt in bloßen Aktionismus zu verfallen.

Der EU AI Act: Ein risikobasierter Fahrplan für KI

Der EU AI Act, offiziell als Verordnung (EU) 2024/1689 bekannt, etabliert einen risikobasierten Ansatz zur Regulierung von KI. Er klassifiziert KI-Systeme in vier Risikostufen: vom "unannehmbaren Risiko", das generell verboten ist, bis hin zu minimalem Risiko. Diese Differenzierung ist entscheidend, denn sie bestimmt den Umfang der einzuhaltenden Pflichten. Für alle DACH-Unternehmen, die KI-Systeme innerhalb der EU entwickeln, vertreiben, importieren oder nutzen, sind diese Regelungen verbindlich. Der Standort der KI-Entwicklung spielt dabei keine Rolle, die Anwendung im EU-Raum ist entscheidend.

Die Einführung des EU AI Acts erfolgt gestaffelt. Bereits seit August 2024 bestehen erste Pflichten, die im Februar 2025 durch weitere Anforderungen ergänzt wurden. Seit diesem Zeitpunkt sind zum Beispiel bestimmte KI-Praktiken, wie Social Scoring oder manipulative Targeting-Systeme, verboten. Gleichzeitig trat die Pflicht in Kraft, die KI-Kompetenz der Mitarbeiter sicherzustellen. Dies bedeutet, dass Unternehmen ihre Angestellten, die mit KI-Systemen arbeiten, entsprechend schulen müssen. Eine TÜV-Weiterbildungsstudie aus dem Jahr 2026 zeigt hier einen positiven Trend: 27 Prozent der deutschen Unternehmen haben ihre Beschäftigten bereits im Umgang mit KI geschult, was eine Verdopplung gegenüber 2024 darstellt. Dennoch sieht knapp die Hälfte der Unternehmen (45 Prozent) keinen Schulungsbedarf. Insbesondere im Mittelstand geht der Kompetenzaufbau langsamer voran, mit 21 Prozent in kleinen und 32 Prozent in mittleren Unternehmen. Diese Zahlen verdeutlichen die Diskrepanz zwischen der Notwendigkeit und der realen Umsetzung.

Die "Digital Omnibus"-Anpassungen: Entlastung und verschärfte Pflichten

Die am 11. Mai 2026 erzielte Einigung auf das "Digital Omnibus"-Paket stellt eine wichtige Reaktion auf die in der Wirtschaft geäußerte Kritik am ursprünglichen Regelwerk dar. Es wurde als zu starr und bürokratisch empfunden. Die Anpassungen bringen wesentliche Änderungen mit sich, die Unternehmen im DACH-Raum genau prüfen sollten:

* Verschiebung der Fristen für Hochrisiko-KI-Systeme: Die ursprünglich für August 2026 vorgesehenen strengen Vorschriften für Hochrisiko-Systeme wurden verschoben. Diese Systeme finden Anwendung in kritischen Bereichen wie Biometrie, Infrastruktur, Bildung, Beschäftigung und Grenzkontrolle. Der neue Termin ist der 2. Dezember 2027. Für KI-Systeme, die als Sicherheitskomponente in Produkten wie Aufzügen oder Spielzeug integriert sind, gelten die Vorschriften sogar erst ab dem 2. August 2028. Diese Verlängerung gewährt Unternehmen eine dringend benötigte Atempause, um sich auf die komplexen Anforderungen vorzubereiten. Sie ist jedoch keine Einladung zum Abwarten, sondern eine Chance für eine strategische Vorbereitung. * Vereinfachungen für kleine und mittlere Unternehmen (KMU): Der Gesetzgeber hat die Belastungen für KMU sowie kleine Midcap-Unternehmen erkannt. Für sie wurden geringere Anforderungen eingeführt, insbesondere bei der technischen Dokumentation. Zusätzlich werden Maßnahmen zur Compliance-Unterstützung ausgeweitet, darunter die Schaffung geschützter Testumgebungen und EU-weite Praxistests. Dies soll den Zugang zu innovativen KI-Lösungen erleichtern und die Wettbewerbsfähigkeit des Mittelstands sichern. * Verschärfung der Transparenzpflichten: Trotz der Lockerungen für Hochrisiko-KI werden die Transparenzpflichten massiv verschärft. Ab dem 2. August 2026 ist die Kennzeichnung von KI-generierten Inhalten und Dialogen in vielen Fällen zwingend vorgeschrieben. Dies betrifft insbesondere Chatbots und Deep Fakes, die mit menschlicher Kommunikation oder echten Darstellungen verwechselt werden könnten. Darüber hinaus wird ab Ende 2026 ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt. Diese Maßnahmen zielen darauf ab, Manipulation und Desinformation entgegenzuwirken und das Vertrauen in digitale Inhalte zu stärken. * Neue Verbote für spezifische KI-Anwendungen: Ab dem 2. Dezember 2026 werden KI-Anwendungen, die nicht-einvernehmliche intime Bilder (sogenannte "Nudifier"-Apps) erstellen oder zur Generierung von Kindesmissbrauchsmaterial dienen, strikt untersagt. Dies unterstreicht den ethischen Rahmen des EU AI Acts und den Schutz besonders vulnerabler Gruppen.

Vier zentrale Herausforderungen für den DACH-Mittelstand

Trotz der verschobenen Fristen und Vereinfachungen für KMU sind viele DACH-Unternehmen noch nicht ausreichend vorbereitet. Eine Bitkom-Erhebung aus dem Jahr 2026 ergab, dass 69 Prozent der deutschen Unternehmen Unterstützung bei der Umsetzung des EU AI Acts benötigen, während sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Angesichts drohender Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes bei Verstößen gegen verbotene KI-Praktiken ist dies alarmierend. Die Herausforderungen liegen in vier Hauptbereichen:

1. Risikoklassifizierung und Compliance-Management: Unternehmen müssen eine präzise Bestandsaufnahme ihrer eingesetzten oder entwickelten KI-Systeme vornehmen und diese korrekt klassifizieren. Ein KI-System, das beispielsweise in HR für die Bewerberauswahl oder Leistungsanalyse eingesetzt wird, fällt unter die Kategorie Hochrisiko-KI. Dies zieht umfangreiche Pflichten nach sich, darunter Konformitätsbewertungen, Risikoanalysen, die Implementierung von Qualitätsmanagement-Systemen und detaillierte Dokumentationspflichten. Ein systematisches Compliance-Management ist hier unerlässlich, um rechtliche Sicherheit zu gewährleisten.

2. Datenschutz im Spannungsfeld: EU AI Act, DSGVO und Schweizer DSG: Der EU AI Act und die Datenschutz-Grundverordnung (DSGVO) überschneiden sich in vielen Punkten. Dies kann zu Spannungen und komplexen Compliance-Anforderungen führen, da ein KI-System zwar AI-Act-konform, aber dennoch datenschutzrechtlich problematisch sein kann. Unternehmen müssen integrierte Compliance-Ansätze entwickeln, die beide Regelwerke berücksichtigen. Die Schweiz, obwohl nicht direkt Mitglied der EU, ist durch ihr eigenes Datenschutzgesetz (DSG) ebenfalls gefordert, eine datenschutzkonforme KI-Nutzung sicherzustellen, die sich an internationalen Standards, wie denen der DSGVO, orientiert. Eine enge Abstimmung zwischen Technik- und Rechtsexperten ist hierbei entscheidend.

3. Robuste technische Umsetzung und Governance-Strukturen: Die Qualität des KI-Outputs hängt maßgeblich von der Qualität des Inputs ab. Fragmentierte Datenbestände stellen ein zentrales Problem dar, das laut einer Salesforce-Studie 81 Prozent der Unternehmen bei der KI-Einführung scheitern lässt. Für eine erfolgreiche und konforme KI-Nutzung braucht es klare Spielregeln für den Einsatz von KI, definierte Verantwortlichkeiten und ein kontinuierliches Monitoring der KI-Nutzung. Unternehmen wie die Sirius Consult AG bieten beispielsweise Lösungen wie SIKI an, um KI datenschutzkonform mit EU-Serverstandorten für DACH-Unternehmen zu implementieren. Es geht nicht nur darum, Daten zu haben, sondern sie in einer strukturierten, hochwertigen Form vorzuhalten und zu verwalten.

4. Change Management und Befähigung der Mitarbeitenden: Die Einführung von KI ist mehr als eine technische Neuerung. Sie stellt einen Paradigmenwechsel dar, der Prozesse, Rollen und die gesamte Arbeitskultur verändert. Viele Mitarbeiter empfinden Angst vor KI, da sie Stellenabbau befürchten. Studien zeigen, dass 40 bis 60 Prozent der Beschäftigten gemischte bis ablehnende Gefühle gegenüber KI im eigenen Job haben. Bereits jetzt planen Unternehmen wie Allianz Partners und Ergo Stellenreduktionen aufgrund von KI. Ein effektives Change Management ist daher unerlässlich. Es muss Ängste ernst nehmen, zwischen der Automatisierung von Aufgaben und dem vollständigen Wegfall von Jobs unterscheiden und proaktiv Umschulungsangebote schaffen. Der "Change & AI Summit 2026" fokussiert sich genau auf diese kulturellen Dynamiken und Führungsfragen, was die Relevanz dieses Themas unterstreicht.

Konkrete Handlungsempfehlungen für den Mittelstand im DACH-Raum

Die Anpassungen des EU AI Acts sind keine Entwarnung, sondern ein Aufruf zum Handeln. Die gewonnenen Fristen müssen proaktiv genutzt werden, um Wettbewerbsnachteile zu vermeiden und die Chancen der KI verantwortungsvoll zu nutzen. Folgende Schritte sind für Ihr Unternehmen entscheidend:

1. Führen Sie eine KI-Bestandsaufnahme durch: Identifizieren Sie alle aktuell genutzten oder geplanten KI-Systeme in Ihrem Unternehmen. Klassifizieren Sie diese gemäß den Risikokategorien des EU AI Acts. Eine solche Bestandsaufnahme ist die Grundlage für alle weiteren Compliance-Maßnahmen. 2. Entwickeln Sie eine integrierte Compliance-Strategie: Eine isolierte Betrachtung von EU AI Act und Datenschutz reicht nicht aus. Erarbeiten Sie einen Ansatz, der beide Regelwerke verknüpft und die spezifischen Anforderungen des Schweizer DSG berücksichtigt. Beauftragen Sie hierfür ein interdisziplinäres Team aus Rechts-, IT- und Fachabteilung. 3. Investieren Sie in Datenqualität und Governance: Legen Sie den Grundstein für den Erfolg Ihrer KI-Anwendungen, indem Sie Ihre Datenqualität verbessern und eine robuste Daten-Governance etablieren. Dies beinhaltet die Definition klarer Datenstandards, Verantwortlichkeiten und Prozesse für die Datenpflege. Ohne hochwertige Daten bleiben die Potenziale der KI ungenutzt. 4. Befähigen Sie Ihre Mitarbeitenden proaktiv: Beginnen Sie umgehend mit dem Aufbau von KI-Kompetenzen in Ihrem Unternehmen. Identifizieren Sie Schulungsbedarfe und bieten Sie gezielte Weiterbildungsprogramme an. Ein durchdachtes Change Management muss Ängste vor KI adressieren und die Mitarbeiter als Partner im Transformationsprozess gewinnen. Zeigen Sie auf, wie KI repetitive Aufgaben übernehmen kann, um Raum für komplexere, wertschöpfendere Tätigkeiten zu schaffen. 5. Nutzen Sie die neuen Fristen strategisch: Die Verschiebung der Fristen für Hochrisiko-KI ist keine Lizenz zum Zögern. Nutzen Sie diese zusätzliche Zeit, um Pilotprojekte zu starten, Prozesse anzupassen und eine belastbare Governance-Struktur zu implementieren. Beginnen Sie frühzeitig mit der Entwicklung und Erprobung Ihrer Compliance-Strategie.

Kapitel-H-Einordnung: Realismus statt Regulierungsangst

Aus unserer Sicht bei Kapitel H ist es entscheidend, die aktuelle Entwicklung des EU AI Acts mit Realismus zu betrachten. Die Anpassungen sind ein klares Signal, dass der Gesetzgeber auf die Belange der Wirtschaft, insbesondere des Mittelstands, reagiert hat. Es ist jedoch keine Entwarnung, sondern eine Verlängerung der Vorbereitungszeit. Die Kernbotschaft bleibt: Unternehmen müssen proaktiv handeln.

Der Mittelstand im DACH-Raum ist bekannt für seine Innovationskraft und Pragmatik. Dies muss sich nun auch in der Auseinandersetzung mit der KI-Regulierung zeigen. Es geht nicht darum, den EU AI Act als lästige Pflicht abzuhaken, sondern ihn als Rahmenwerk zu verstehen, das die vertrauenswürdige und nachhaltige Nutzung von KI ermöglicht. Oberflächliche Compliance, die lediglich auf das Minimum abzielt, wird langfristig nicht ausreichen. Vielmehr ist eine tiefgreifende Integration der KI-Strategie in die Unternehmensstrategie notwendig.

Die Fähigkeit, menschliche und maschinelle Intelligenz wirksam zu koordinieren, die sogenannte "Human-Centric Intelligence Orchestration", wird zum entscheidenden Wettbewerbsvorteil. Dies erfordert nicht nur die Technologie, sondern auch eine klare Vision, eine solide Datenbasis und eine offene Unternehmenskultur, die den Wandel annimmt. Wer jetzt nur die Hände in den Schoß legt, wird in wenigen Jahren feststellen, dass er nicht nur regulatorisch, sondern auch technologisch und wirtschaftlich ins Hintertreffen geraten ist.

Fazit: Den Wettbewerbsvorteil durch strukturierte KI-Adaption sichern

Die Anpassungen des EU AI Acts durch das "Digital Omnibus"-Paket bieten DACH-Unternehmen eine strategische Gelegenheit. Die verlängerten Fristen für Hochrisiko-KI-Systeme geben Raum für eine gründlichere Vorbereitung. Gleichzeitig verschärfte Transparenzpflichten und die Notwendigkeit des Kompetenzaufbaus sind unmittelbare Aufgaben, die nicht aufgeschoben werden können.

Die Integration von KI in Schlüsselbereiche wie Finance, HR, Operations und Controlling verspricht erhebliche Effizienzgewinne. Eine Amortisation von Investitionen in die Automatisierung der Rechnungsverarbeitung kann beispielsweise innerhalb von 6 bis 12 Monaten erreicht werden. Dies erfordert jedoch hohe Investitionen in Prozessdesign, Datenarbeit und Governance. Die zunehmende Nutzung generativer KI-Anwendungen wie ChatGPT oder Copilot in deutschen Unternehmen, laut TÜV-Studie 2026 bei 56 Prozent, unterstreicht die Dringlichkeit eines ganzheitlichen Ansatzes.

Die Zeit bis Ende 2027 sollte genutzt werden, um strategische KI-Roadmaps zu entwickeln, Kompetenzen aufzubauen und eine belastbare Governance-Struktur zu implementieren. Wer jetzt handelt, sichert nicht nur die Compliance, sondern auch einen entscheidenden Wettbewerbsvorteil in einer immer stärker datengetriebenen Wirtschaft. Befähigung statt Abhängigkeit: Das ist der Weg für den DACH-Mittelstand.