EU AI Act: Chancen und Pflichten für den DACH-Mittelstand

Der Einsatz von Künstlicher Intelligenz, kurz KI, ist in vielen Unternehmen des deutschsprachigen Raums bereits Realität. Doch mit der Verabschiedung des EU AI Act treten nun auch umfassende rechtliche Rahmenbedingungen in Kraft, die weitreichende Konsequenzen für Unternehmen in Deutschland, Österreich und der Schweiz haben. Die jüngsten Entwicklungen, insbesondere die Verlängerung von Übergangsfristen für Hochrisiko-KI-Systeme, stellen den Mittelstand vor einen komplexen Balanceakt zwischen der Förderung von Innovation, der Sicherstellung rechtlicher Compliance und der strategischen Implementierung von KI-Lösungen. Kapitel H beleuchtet die aktuellen Änderungen und zeigt auf, wie Unternehmen diese Phase proaktiv nutzen können.

Der EU AI Act: Entschärfung und Fristen für Hochrisiko-KI

Die Europäische Union hat am 7. Mai 2026 eine richtungsweisende Entscheidung getroffen. Der EU AI Act, der zuvor von vielen Industrievertretern als zu starr und innovationshemmend kritisiert wurde, erfuhr eine wesentliche "Entschärfung". Während die grundlegenden KI-Regeln wie geplant am 2. August 2026 in Kraft treten, wurden die Fristen für die vollständige Konformität von eigenständigen Hochrisiko-KI-Systemen deutlich verlängert. Unternehmen haben nun bis zum 2. Dezember 2027 Zeit, diese Systeme anzupassen. Für eingebettete Systeme, die als Sicherheitskomponente in komplexen Produkten fungieren, gilt sogar eine noch längere Übergangsphase bis August 2028.

Diese Verlängerung ist eine direkte Reaktion auf den Druck großer europäischer Industriekonzerne wie Airbus, SAP und Siemens. Diese Unternehmen warnten vor einem "Regulierungs-Overload", der die Wettbewerbsfähigkeit Europas im globalen KI-Wettlauf beeinträchtigen könnte. Die europäische Gesetzgebung hat diesen Bedenken Rechnung getragen und ermöglicht es den Unternehmen, die komplexen Anforderungen an Hochrisiko-KI-Systeme sorgfältiger zu implementieren.

Die grundsätzliche Struktur des EU AI Act bleibt jedoch bestehen und basiert auf einem risikobasierten Ansatz. Dieser teilt KI-Systeme in vier Kategorien ein: unzulässige Risiken, hohe Risiken, begrenzte Risiken und minimale oder keine Risiken. Für Systeme mit inakzeptablem Risiko, wie etwa KI-Anwendungen für Social Scoring oder die Erstellung nicht-einvernehmlicher intimer Bilder, auch bekannt als "Nudifier"-Apps, sowie Inhalte zum Kindesmissbrauch, gelten ab dem 2. Dezember 2026 harte Verbote. Eine weitere wichtige Auflage, die Ende 2026 in Kraft tritt, ist die verpflichtende Kennzeichnung von KI-generierten Inhalten durch Wasserzeichen. Dies soll die Transparenz erhöhen und die Erkennbarkeit von synthetischen Medien gewährleisten.

Für Unternehmen im DACH-Raum bedeutet dies, dass sie zwar mehr Zeit für die Implementierung der strengsten Auflagen haben, die ab August 2026 geltenden Basispflichten jedoch weiterhin zeitnah erfüllt werden müssen. Eine proaktive Auseinandersetzung mit den Anforderungen des EU AI Act ist daher unerlässlich, um nicht nur rechtliche Risiken zu minimieren, sondern auch Vertrauen bei Kunden und Partnern aufzubauen.

Herausforderungen bei der KI-Einführung im DACH-Mittelstand

Unabhängig von den regulatorischen Anpassungen zeigt sich in der DACH-Region eine Diskrepanz zwischen dem wahrgenommenen Potenzial und der tatsächlichen, strategisch verankerten Nutzung von KI in Unternehmen. Eine aktuelle EY-Studie in Österreich vom 6. Mai 2026 ergab, dass zwar zwei Drittel der Unternehmen, konkret 69 Prozent, KI nutzen. Doch nur ein geringer Anteil von 8 Prozent skaliert die Technologie unternehmensweit und erzielt messbare Effizienzsteigerungen. Fast die Hälfte der Unternehmen, 47 Prozent, kann den Return on Investment, kurz ROI, ihrer KI-Investitionen noch nicht wirtschaftlich bewerten. Nur 24 Prozent messen den erzielten Mehrwert klar und nachvollziehbar.

Diese Zahlen deuten darauf hin, dass KI in vielen Fällen noch als "teures Experiment ohne Steuerung" betrachtet wird. Dies ist ein direktes Resultat fehlender klarer Zieldefinitionen und Erfolgsmessungen. Unternehmen investieren, ohne den Nutzen präzise zu verfolgen, was zu Enttäuschungen und einer Skepsis gegenüber der Technologie führen kann.

Die Gründe für diese Zurückhaltung und die oft unzureichende Skalierung sind vielfältig. Kleine und mittlere Unternehmen, kurz KMU, nennen häufig fehlendes Know-how, zu hohe Einstiegshürden für komplexe Enterprise-Lösungen, mangelnde interne IT-Ressourcen und eben die Skepsis gegenüber dem ROI als zentrale Hürden. Eine SAP-Studie vom 8. Mai 2026, die 409 Führungskräfte aus Deutschland, Österreich und der Schweiz befragte, unterstreicht, dass die Integration von KI zur "Pflichtübung" wird. Gleichzeitig verfügen viele Unternehmen noch nicht über die nötige Infrastruktur, Datenstrategie und Governance-Strukturen für einen regelkonformen Betrieb. Die Realität ist ernüchternd: Laut einer Studie scheitern bis zu 95 Prozent der KI-Pilotprojekte. Dies liegt oft an mangelnder strategischer Verankerung, unzureichender Ressourcenplanung und dem Fehlen einer klaren Vision, wie KI tatsächlich Wert schaffen soll.

Kapitel H betont an dieser Stelle, dass der Fokus nicht auf dem bloßen Einsatz von Technologie liegen darf. Vielmehr geht es darum, KI-Projekte von Beginn an strategisch zu planen, konkrete Business Cases zu definieren und den Erfolg anhand präziser Kennzahlen zu messen. Ohne diese Grundlagen bleibt KI ein Kostenfaktor, anstatt ein Werttreiber zu sein.

Konkrete Handlungsfelder für Unternehmen im DACH-Raum

Der EU AI Act und die allgemeinen Trends in der KI-Adaption erfordern von DACH-Unternehmen eine proaktive Herangehensweise in mehreren Schlüsselbereichen. Eine abwartende Haltung birgt hohe Risiken, sowohl in Bezug auf Compliance als auch auf die Wettbewerbsfähigkeit. Um die verlängerten Fristen sinnvoll zu nutzen und die Einführung von KI erfolgreich zu gestalten, sind folgende Schritte entscheidend:

KI-Inventur und Risikobewertung

Der erste Schritt ist eine umfassende Bestandsaufnahme aller im Unternehmen bereits eingesetzten KI-Systeme. Dies schließt auch jene KI-Anwendungen ein, die in Cloud- oder SaaS-Lösungen eingebettet sind und möglicherweise nicht auf den ersten Blick als KI erkennbar sind. Anschließend ist eine sorgfältige Risikobewertung nach den Vorgaben des AI Act unerlässlich. Dabei muss ermittelt werden, ob ein System als Hochrisiko-KI eingestuft wird. Eine solche Einstufung zieht strenge Anforderungen nach sich, beispielsweise hinsichtlich Datenqualität, Transparenz und menschlicher Aufsicht. Ein klarer Überblick über die eigene KI-Landschaft ist die Basis für alle weiteren Compliance-Maßnahmen.

Governance und Compliance-Strukturen

Die Schaffung robuster Governance-Strukturen ist entscheidend für den regelkonformen und verantwortungsvollen Einsatz von KI. Dies umfasst die Definition klarer Rollen und Verantwortlichkeiten für die Entwicklung, Implementierung und den Betrieb von KI-Systemen. Kontrollmechanismen müssen etabliert werden, um die Einhaltung der Vorgaben zu gewährleisten. Eine lückenlose Dokumentation der Funktionsweise, der verwendeten Datenquellen und des genauen Zwecks von KI-Systemen ist obligatorisch. Der EU AI Act fordert zudem Transparenz und Erklärbarkeit von KI-Systemen, was bedeutet, dass Unternehmen in der Lage sein müssen, die Entscheidungen ihrer KI nachvollziehbar zu machen. Dies dient nicht nur der Compliance, sondern auch dem Vertrauen der Nutzer.

Datenschutz und Datensicherheit

Der EU AI Act lässt die Datenschutz-Grundverordnung, kurz DSGVO, unberührt. Das bedeutet, dass bei der Verarbeitung personenbezogener Daten durch KI-Systeme weiterhin höchste Anforderungen an Datenminimierung, Zweckbindung und Transparenz gelten. Unternehmen müssen ihre Datenstrategien und ihr Risikomanagement stärker miteinander verknüpfen. Eine sorgfältige Prüfung der Datenherkunft und der Qualität der Trainingsdaten ist essenziell, um Diskriminierung oder Fehler in den KI-Ergebnissen zu vermeiden. Die Einhaltung der DSGVO ist keine Option, sondern eine zwingende Voraussetzung für den legalen KI-Einsatz.

Change Management und Kompetenzentwicklung

Der Einsatz von "Agentic AI", also autonomen Systemen, die ganze Aufgabenketten übernehmen, wird 2026 zu einem entscheidenden Jahr für die Transformation des Personalwesens. Dies erfordert eine Neudefinition von Kompetenzen innerhalb des Unternehmens. Die Fähigkeit, KI-Agenten zu steuern, Ziele klar zu formulieren und die generierten Ergebnisse kritisch zu bewerten, wird wichtiger als das bloße "Prompting", also die Eingabe einfacher Befehle. Unternehmen müssen aktiv in die Schulung und Sensibilisierung ihrer Mitarbeiter investieren, um diese auf die neue Arbeitswelt vorzubereiten. Es geht darum, Mitarbeitende zu befähigen, mit KI zu arbeiten, anstatt sie durch KI zu ersetzen. Dies erfordert auch eine offene Unternehmenskultur, die Experimente erlaubt und Fehler als Lernchancen begreift.

Branchenspezifische Anwendungen

Die Auswirkungen der KI sind branchenübergreifend. Im Personalbereich beispielsweise wachsen Investitionen stark in die Automatisierung der Personalbeschaffung, Kompetenzintelligenz und Lernplattformen. Im Finanzsektor und Controlling werden KI-Tools zur Effizienzsteigerung und für bessere Entscheidungen kritisch, etwa bei der Betrugserkennung oder der Risikoanalyse. Selbst traditionelle Branchen wie der Maschinenbau profitieren von den Lockerungen der KI-Auflagen. Wenn bereits spezifische Branchenregeln greifen, müssen diese Hand in Hand mit dem AI Act betrachtet werden, um eine verantwortungsvolle KI-Integration voranzutreiben. Hier gilt es, das spezifische Potenzial von KI für die eigene Branche zu identifizieren und maßgeschneiderte Lösungen zu entwickeln.

Die Schweizer Perspektive: Eigener Weg, indirekte Betroffenheit

Die Schweiz verfolgt in der KI-Regulierung einen eigenen Weg, der sich vom EU AI Act unterscheidet. Während das revidierte Datenschutzgesetz, kurz DSG, seit dem 1. September 2023 direkt auf KI-gestützte Datenbearbeitungen anwendbar ist und Transparenz sowie Datensicherheit verlangt, hat der Bundesrat am 12. Februar 2025 entschieden, den EU AI Act nicht "tel quel" zu übernehmen. Stattdessen wird prioritär die Ratifikation der Rahmenkonvention des Europarates zu KI vorangetrieben und eine sektorielle Anpassung der Schweizer Gesetze im Hinblick auf KI umgesetzt. Ein Vernehmlassungsentwurf wird bis Ende 2026 erwartet.

Dennoch sind Schweizer Unternehmen, die in der EU tätig sind oder mit EU-Kunden interagieren, indirekt vom EU AI Act betroffen. Sie müssen daher prüfen, ob ihre KI-Systeme den Anforderungen des EU AI Act entsprechen, insbesondere wenn diese aus EU-Ländern erreichbar oder dort nutzbar sind. Dies erfordert eine grenzüberschreitende KI-Governance-Strategie, da ein einziges Modell für alle Märkte oft nicht tragfähig ist. Kapitel H rät Schweizer Unternehmen, die Entwicklungen in der EU genau zu verfolgen und proaktiv zu handeln, um eine reibungslose Geschäftstätigkeit im europäischen Markt sicherzustellen.

Kritische Einordnung aus Kapitel-H-Sicht

Die aktuelle Debatte um den EU AI Act und die beobachtete Zurückhaltung bei der Skalierung von KI-Projekten im DACH-Mittelstand verdeutlichen ein grundlegendes Problem: Oft wird KI als Selbstzweck oder als universelle Lösung betrachtet, anstatt sie als Werkzeug zur Erreichung klar definierter Geschäftsziele zu verstehen. Der Hype um künstliche Intelligenz hat viele Unternehmen dazu verleitet, ohne klare Strategie und ohne die notwendige Vorbereitung in Pilotprojekte zu investieren. Die hohe Scheiterquote von bis zu 95 Prozent bei KI-Pilotprojekten ist ein deutlicher Indikator dafür, dass es nicht allein an der Technologie liegt, sondern an der Art und Weise, wie sie implementiert wird.

Die verlängerten Fristen für Hochrisiko-KI-Systeme bieten eine wertvolle Atempause. Diese Zeit sollte jedoch nicht als Lizenz zur Untätigkeit missverstanden werden. Vielmehr ist es eine Gelegenheit, die hausinternen Strukturen und Prozesse grundlegend zu überprüfen und eine solide Basis für den verantwortungsvollen und effektiven Einsatz von KI zu schaffen. Kapitel H betont die Notwendigkeit einer datenbasierten, pragmatischen Herangehensweise. Anstatt sich von Buzzwords leiten zu lassen, sollten Unternehmen konkrete Anwendungsfälle identifizieren, deren potenziellen Wert quantifizieren und Pilotprojekte mit messbaren Zielen aufsetzen.

Die Kernbotschaft von Kapitel H bleibt: Befähigung statt Abhängigkeit. Unternehmen sollten ihre Mitarbeiter nicht durch komplexe KI-Systeme entmündigen, sondern sie befähigen, diese intelligent zu nutzen und zu steuern. Dies erfordert Investitionen in Schulungen, in die Entwicklung von KI-Kompetenzen und in die Schaffung einer Kultur, die den verantwortungsvollen Umgang mit Technologie fördert. Nur so kann der DACH-Mittelstand das volle Potenzial von KI ausschöpfen und gleichzeitig die regulatorischen Anforderungen des EU AI Act erfüllen. Eine transparente Kommunikation über den Einsatz von KI, sowohl intern als auch extern, ist dabei entscheidend, um Vertrauen aufzubauen und die Akzeptanz zu fördern.

Fazit

Die jüngsten Entwicklungen rund um den EU AI Act und die Erfahrungen in der DACH-Wirtschaft unterstreichen, dass KI kein rein technologisches Phänomen mehr ist. Es ist vielmehr eine strategische und regulatorische Herausforderung, die eine proaktive und gut durchdachte Antwort erfordert. Die verlängerten Fristen für Hochrisiko-KI-Systeme bieten Unternehmen eine wertvolle Atempause. Diese Zeit darf aber nicht zu Untätigkeit führen. Stattdessen müssen Unternehmen die Gelegenheit nutzen, um umfassende KI-Strategien, robuste Governance-Modelle und eine transparente Compliance-Kultur zu entwickeln.

Wer frühzeitig handelt, kann nicht nur hohe Strafen vermeiden, die bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes betragen können. Er kann auch das Vertrauen von Kunden und Partnern stärken und die Wettbewerbsfähigkeit in einem sich rasant entwickelnden Markt sichern. Die Integration von KI im Arbeitsalltag bedeutet eine grundlegende Transformation. Diese muss sorgfältig geplant und umgesetzt werden, um von den enormen Wertschöpfungspotenzialen zu profitieren und den Mittelstand im DACH-Raum zukunftsfähig zu machen. Investieren Sie jetzt in Ihre KI-Strategie, um nicht nur konform zu sein, sondern auch Innovationsführer zu bleiben.