EU AI Act: Anpassungen und Konsequenzen für DACH-Unternehmen

EU AI Act: Anpassungen und Konsequenzen für DACH-Unternehmen

Die Regulierung künstlicher Intelligenz (KI) ist kein abstraktes Zukunftsszenario mehr, sondern eine konkrete Realität, die Unternehmen im deutschsprachigen Raum direkt betrifft. Mit der formalen Inkraftsetzung des EU AI Acts am 1. August 2024 und jüngsten politischen Einigungen im Mai 2026 zu einem "Digital Omnibus"-Paket, das den AI Act präzisiert und in Teilen vereinfacht, stehen Betriebe vor der Aufgabe, die vielschichtigen Anforderungen und angepassten Zeitpläne zu verstehen. Gleichzeitig verfolgt die Schweiz einen eigenständigen, sektorspezifischen Ansatz. Für DACH-Unternehmen ist es entscheidend, diese Entwicklungen genau zu beobachten und ihre KI-Strategien entsprechend auszurichten, um Compliance sicherzustellen und Wettbewerbsvorteile zu nutzen.

Die Europäische Union hat mit dem AI Act das weltweit erste umfassende Gesetz zur Regulierung von KI geschaffen. Ziel ist es, ein Gleichgewicht zwischen der Förderung von Innovation und dem Schutz grundlegender Rechte zu finden. Die gestaffelte Anwendung der Bestimmungen und die jüngsten Anpassungen im Rahmen des "AI Omnibus"-Pakets sollen dabei helfen, bürokratische Hürden zu reduzieren und Unternehmen eine praktikablere Umsetzung zu ermöglichen, ohne das hohe Schutzniveau zu mindern. Diese Anpassungen betreffen insbesondere die als Hochrisiko eingestuften KI-Systeme.

Neue Fristen für Hochrisiko-KI-Systeme: Was DACH-Unternehmen wissen müssen

Ein zentraler Aspekt der jüngsten politischen Einigung ist die Verschiebung der Anwendungsfristen für verschiedene Kategorien von Hochrisiko-KI-Systemen. Diese Anpassungen sind eine direkte Reaktion auf Rückmeldungen aus der Wirtschaft, die mehr Zeit für die Implementierung der oft komplexen Anforderungen forderte.

Ursprünglich sollten viele Pflichten für kontextbezogene Hochrisiko-KI-Systeme, die in Anhang III des AI Acts aufgeführt sind, bereits ab dem 2. August 2026 gelten. Dieser Termin wurde nun auf den 2. Dezember 2027 verschoben. Für produktbezogene Hochrisiko-KI-Systeme, die in Anhang I gelistet sind, wurde die Frist sogar bis zum 2. August 2028 verlängert. Ursprünglich war hier der August 2027 vorgesehen.

Diese Fristverlängerungen bieten Unternehmen eine wichtige Atempause. Sie dürfen jedoch nicht als Freibrief verstanden werden, die notwendigen Anpassungen auf die lange Bank zu schieben. Vielmehr ist es eine Gelegenheit, die Implementierung strategischer und fundierter anzugehen. Bereits am 2. Februar 2025 traten erste Bestimmungen in Kraft, darunter das Verbot bestimmter, als inakzeptabel eingestufter KI-Praktiken, wie zum Beispiel manipulative oder diskriminierende KI-Systeme. Ebenso gelten bereits die sogenannten "AI literacy obligations", die grundlegende Anforderungen an das Verständnis und den verantwortungsvollen Umgang mit KI festlegen. Seit dem 2. August 2025 sind zudem die Governance-Regeln und Pflichten für KI-Modelle mit allgemeinem Verwendungszweck, sogenannte GPAI-Modelle, anwendbar. Dies betrifft insbesondere die Anbieter großer Sprachmodelle und anderer generativer KI-Systeme.

Für Unternehmen im DACH-Raum bedeutet dies, dass eine präzise Analyse und Klassifizierung ihrer bereits eingesetzten oder neu entwickelten KI-Systeme unverzichtbar ist. Es muss klar identifiziert werden, welche Systeme unter die Kategorie der Hochrisiko-KI fallen. Betreiber und Anbieter solcher Systeme müssen sich auf detaillierte Anforderungen in Bezug auf technische Dokumentation, Daten-Governance, menschliche Aufsicht, Cybersicherheit und gegebenenfalls Konformitätsbewertungen einstellen. Die EU-Kommission hat bereits Ende 2025 erste Leitlinien veröffentlicht und weitere Konkretisierungen, insbesondere für Hochrisiko-KI, werden im Laufe des Jahres 2026 erwartet. Eine proaktive Auseinandersetzung mit diesen Dokumenten ist dringend empfohlen, um die internen Prozesse und technischen Umsetzungen frühzeitig anzupassen.

Transparenz und Kennzeichnung: Klare Regeln für KI-generierte Inhalte

Ein weiterer zentraler Pfeiler des AI Acts sind die Transparenzpflichten, die eine klare Kennzeichnung von KI-generierten Inhalten vorsehen. Diese Bestimmungen zielen darauf ab, das Vertrauen der Öffentlichkeit in KI zu stärken und die Unterscheidbarkeit zwischen menschlich erstellten und maschinell generierten Inhalten zu gewährleisten. Solche Pflichten treten ab August 2026 in Kraft.

Anbieter von generativer KI müssen sicherstellen, dass KI-generierte Inhalte als solche erkennbar sind. Dies kann durch technische Maßnahmen wie Wasserzeichen oder Metadaten geschehen. Besonders kritisch ist die Situation bei Deepfakes, also synthetischen Medien, die Personen täuschend echt darstellen, sowie bei Texten, die der öffentlichen Information dienen. Diese spezifischen KI-generierten Inhalte müssen klar und sichtbar gekennzeichnet werden. Die Frist zur Implementierung dieser Kennzeichnungspflichten für bereits bestehende KI-Systeme wurde auf den 2. Dezember 2026 verlängert. Dies gibt Unternehmen zusätzliche Zeit, ihre Content-Produktionsprozesse anzupassen und entsprechende Technologien zu implementieren.

Diese Regelungen haben direkte und weitreichende Auswirkungen auf Marketingabteilungen, Kommunikationsagenturen und Content-Erstellungsteams in DACH-Unternehmen. Ob es sich um die Erstellung von Werbematerialien, Social-Media-Posts, Kundenkommunikation oder internen Berichten handelt, überall dort, wo generative KI eingesetzt wird, müssen Mechanismen zur Kennzeichnung etabliert werden. Das Fehlen einer solchen Kennzeichnung könnte nicht nur rechtliche Konsequenzen haben, sondern auch das Vertrauen von Kunden und Partnern erheblich schädigen. Unternehmen sind daher gut beraten, ihre Richtlinien zur Content-Erstellung zu überarbeiten und ihre Mitarbeiter entsprechend zu schulen.

Sektorspezifische Anpassungen: Entlastung für den Maschinenbau

Die jüngsten Einigungen im Rahmen des "Digital Omnibus"-Pakets bringen auch Erleichterungen für spezifische Sektoren, was die Pragmatik des Gesetzgebers unterstreicht. Eine bemerkenswerte Anpassung betrifft den Maschinenbau. Unternehmen in diesem Sektor sollen weitgehend von den umfassenden KI-Auflagen befreit werden, sofern bereits branchenspezifische Regeln, wie die Maschinenprodukteverordnung, greifen und ein vergleichbares Schutzniveau bieten. Dies ist eine direkte Reaktion auf monatelange Kritik aus der Industrie, die eine Überregulierung befürchtete und eine Einstufung selbst einfacher Haushaltsgeräte-Steuerungen als Hochrisiko-Technologie befürchtete.

Diese sektorspezifische Ausnahmeregelung ist ein wichtiges Signal an die Industrie, dass der Gesetzgeber bemüht ist, Doppelregulierung zu vermeiden und die Wettbewerbsfähigkeit europäischer Unternehmen zu erhalten. Das übergeordnete Ziel des Digital-Omnibus-Pakets ist es generell, Bürokratie und administrative Belastungen zu senken, Innovationen zu erleichtern und Unternehmen mehr Umsetzbarkeit zu verschaffen. Für DACH-Unternehmen, insbesondere im Maschinen- und Anlagenbau, bedeutet dies eine willkommene Klarstellung und eine Reduzierung des Umsetzungsaufwands. Es unterstreicht die Notwendigkeit, nicht nur den AI Act isoliert zu betrachten, sondern auch das Zusammenspiel mit bestehenden Branchenvorschriften zu analysieren.

Der Schweizer Weg: Eigenständig und doch europäisch vernetzt

Während die EU mit dem AI Act einen umfassenden horizontalen Ansatz verfolgt, hat die Schweiz einen eigenständigen Weg bei der KI-Regulierung eingeschlagen. Bereits am 12. Februar 2025 hat der Bundesrat seinen Ansatz vorgestellt, der auf einem sektorspezifischen Rahmen basiert. Anstatt ein eigenständiges, umfassendes KI-Gesetz zu schaffen, integriert die Schweiz KI-Überlegungen in bestehende Gesetze und Verordnungen. Dieser Ansatz soll die schweizerische Innovationskraft stärken, Grundrechte wahren, einschließlich der Wirtschaftsfreiheit, und das Vertrauen der Öffentlichkeit in KI erhöhen.

Die Schweiz beabsichtigt, die KI-Konvention des Europarates zu ratifizieren, die ebenfalls ethische Grundsätze und Transparenzanforderungen für KI festlegt. Bis Ende 2026 soll ein erster Gesetzesentwurf zur Konsultation vorgelegt werden. Dieser Entwurf wird notwendige rechtliche Massnahmen definieren, insbesondere in den Bereichen Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht. Der schweizerische Ansatz mag auf den ersten Blick weniger einschneidend wirken als der EU AI Act, doch die Komplexität liegt in der notwendigen Analyse bestehender Gesetze und ihrer Anpassung an KI-spezifische Fragestellungen.

Trotz des Verzichts auf einen horizontalen AI Act müssen Schweizer Unternehmen die extraterritoriale Anwendung des EU AI Acts genau im Auge behalten. Der EU AI Act kann Unternehmen betreffen, die Produkte oder Dienstleistungen auf dem EU-Markt anbieten oder Daten von EU-Bürgern verarbeiten, selbst wenn sie ihren Sitz ausserhalb der EU haben. Dies schafft eine komplexe Landschaft, in der Schweizer Unternehmen die Kompatibilität ihrer AI-Anwendungen mit beiden regulatorischen Rahmenwerken sicherstellen müssen. Eine enge Abstimmung mit Rechtsexperten und eine genaue Prüfung der Geschäftstätigkeiten sind hier unerlässlich.

Datenschutz als Fundament: Auch ohne AI Act eine Kernpflicht

Unabhängig von den spezifischen KI-Regulierungen bleibt der Datenschutz ein maßgebliches und nicht verhandelbares Thema für DACH-Unternehmen. Der Europäische Datenschutztag am 28. Januar 2026 betonte erneut, dass Datenschutz im Unternehmensalltag ein Gradmesser organisatorischer Reife ist. Mit dem wachsenden Einsatz von KI-Tools, die oft auf großen Datenmengen trainiert und operieren, rückt die Notwendigkeit eines klaren Verständnisses und einer konsequenten Anwendung der bekannten datenschutzrechtlichen Grundsätze der DSGVO in den Vordergrund.

Eine ungeprüfte und unreflektierte Einführung neuer KI-Tools ohne bewusste Entscheidungen und eine klare Zweckfestlegung birgt erhebliche Risiken für die Kontrolle über anvertraute Daten. Unternehmen müssen sicherstellen, dass KI-Anwendungen datenschutzkonform entwickelt und eingesetzt werden. Dies umfasst die Einhaltung der Grundsätze der Datenminimierung, Zweckbindung, Transparenz und Datensicherheit. Die Durchführung von Datenschutz-Folgenabschätzungen für KI-Systeme, insbesondere für Hochrisiko-Anwendungen, ist nicht nur eine gesetzliche Pflicht, sondern eine unverzichtbare Massnahme zur Risikominimierung. Die Integration von "Privacy by Design" und "Privacy by Default" in die Entwicklung von KI-Lösungen ist dabei entscheidend.

Praktische Handlungsempfehlungen für Unternehmen

Um den Herausforderungen der KI-Regulierung im DACH-Raum proaktiv zu begegnen, sollten Unternehmen konkrete Schritte unternehmen:

1. Inventur und Klassifizierung von KI-Systemen: Identifizieren Sie alle in Ihrem Unternehmen genutzten oder entwickelten KI-Systeme. Bewerten Sie jedes System hinsichtlich seines Risikoprofils und seiner Einstufung unter dem EU AI Act (z.B. Hochrisiko, allgemeiner Verwendungszweck, minimale Risiko). Schweizer Unternehmen sollten zusätzlich die Kompatibilität mit dem schweizerischen Rechtsrahmen prüfen. 2. Entwicklung einer Compliance-Roadmap: Erstellen Sie einen detaillierten Plan, der festlegt, welche Anforderungen bis wann umgesetzt werden müssen. Berücksichtigen Sie dabei die gestaffelten Fristen des EU AI Acts und die spezifischen Anforderungen an Hochrisiko-KI-Systeme. Priorisieren Sie Massnahmen basierend auf dem Risiko und der Relevanz für Ihr Geschäftsmodell. 3. Anpassung interner Prozesse und Governance: Überprüfen und passen Sie bestehende Prozesse für Daten-Governance, Risikomanagement, technische Dokumentation und Qualitätsmanagement an die neuen KI-Anforderungen an. Etablieren Sie klare Verantwortlichkeiten für die KI-Compliance im Unternehmen. 4. Schulung und Sensibilisierung der Mitarbeitenden: Führen Sie regelmäßige Schulungen für alle relevanten Mitarbeiter durch, von der Entwicklung über das Management bis hin zu Marketing und Vertrieb. Ein grundlegendes Verständnis der KI-Regulierung und der internen Richtlinien ist essenziell für die Einhaltung der Vorschriften. 5. Beobachtung der regulatorischen Entwicklungen: Die KI-Regulierung ist ein dynamisches Feld. Bleiben Sie über neue Leitlinien der EU-Kommission, technische Standards und die Entwicklungen im schweizerischen Gesetzgebungsprozess auf dem Laufenden. Abonnieren Sie relevante Newsletter und tauschen Sie sich mit Branchenverbänden aus. 6. Investition in technische und organisatorische Massnahmen: Sorgen Sie für die notwendigen technischen Anpassungen, zum Beispiel zur Kennzeichnung KI-generierter Inhalte oder zur Implementierung robuster Cybersicherheitsmaßnahmen. Stellen Sie auch sicher, dass Ihre Datenmanagement-Systeme den Anforderungen der Daten-Governance genügen.

Kritische Einordnung aus Kapitel-H-Sicht

Die jüngsten Anpassungen am EU AI Act sind ein Schritt in die richtige Richtung, um die Umsetzbarkeit für Unternehmen zu verbessern. Dennoch bleibt die Gesamtkomplexität der KI-Regulierung beträchtlich. Aus Sicht von Kapitel H warnen wir davor, diese Aufgabe als reine "Compliance-Checkbox" zu betrachten. Es geht nicht nur darum, Strafen zu vermeiden, sondern darum, ein robustes, vertrauenswürdiges und zukunftsfähiges KI-Ökosystem aufzubauen.

Die Verzögerungen bei der Bereitstellung technischer Standards und konkreter Leitlinien, insbesondere für Hochrisiko-KI, erschweren nach wie vor die Planungssicherheit für Unternehmen. Dies kann zu Unsicherheiten und einer zögerlichen Innovationshaltung führen. Wir betonen, dass Unternehmen jetzt die Initiative ergreifen müssen, um interne Kompetenzen aufzubauen und nicht in Abhängigkeit von externen Beratern zu geraten, die das Geschäft nicht in seiner Tiefe verstehen. "Befähigung statt Abhängigkeit" ist hier das Motto.

Ein proaktiver Ansatz zur KI-Compliance kann sich als Wettbewerbsvorteil erweisen. Unternehmen, die frühzeitig eine verantwortungsvolle KI-Governance etablieren, werden nicht nur rechtliche Risiken minimieren, sondern auch das Vertrauen ihrer Kunden und Partner stärken. Dies ist ein entscheidender Faktor in einer zunehmend digitalisierten Welt. Die Schweizer Strategie, die auf bewährte Strukturen setzt, ist prinzipiell sinnvoll, birgt aber die Herausforderung der Abstimmung mit dem weitreichenden EU-Recht. Eine isolierte Betrachtung ist keine Option.

Fazit: Nutzen Sie die Chance zur verantwortungsvollen KI-Gestaltung

Die KI-Regulierung im DACH-Raum wird zunehmend präziser und verbindlicher. Die Anpassungen am EU AI Act bieten Unternehmen zwar mehr Zeit für die Umsetzung bestimmter Pflichten, machen aber die Notwendigkeit einer frühzeitigen und strategischen Auseinandersetzung mit dem Thema umso deutlicher. Das Verständnis der unterschiedlichen Anwendungszeitpunkte, die korrekte Identifizierung von Hochrisiko-Systemen und die konsequente Einhaltung von Transparenz- und Datenschutzpflichten sind entscheidend für die Compliance und letztlich die Wettbewerbsfähigkeit.

Auch wenn die Schweiz einen eigenen Weg geht, bleibt die Beobachtung der EU-Entwicklungen für grenzüberschreitend tätige Unternehmen unerlässlich. Die Investition in Weiterbildung, ein effektives Change Management und eine robuste KI-Governance ist für DACH-Unternehmen nicht nur eine Pflicht, sondern eine strategische Notwendigkeit. Nur so können sie das volle Potenzial der KI verantwortungsvoll, rechtssicher und zum langfristigen Nutzen aller ausschöpfen. Wer jetzt handelt, schafft die Grundlagen für vertrauenswürdige und innovative KI-Anwendungen von morgen.