EU AI Act: Compliance-Fristen für Hochrisiko-KI und Transparenz in DACH

# EU AI Act: Der Countdown zur Compliance in DACH läuft

Der EU AI Act, Europas bahnbrechende Regulierung im Bereich der Künstlichen Intelligenz, rückt für Unternehmen im deutschsprachigen Raum mit großen Schritten näher. Insbesondere der 2. August 2026 markiert einen entscheidenden Stichtag, ab dem weitreichende Pflichten für Hochrisiko-KI-Systeme und umfassende Transparenzanforderungen in Kraft treten. Obwohl es in den letzten Wochen Berichte über geringfügige Lockerungen und Fristverlängerungen für bestimmte Hochrisiko-Systeme gab, bleibt der Kern der Verordnung, der Unternehmen in Deutschland, Österreich und der Schweiz unmittelbar betrifft, unverändert bestehen. Dies stellt viele Firmen, vor allem im Mittelstand, vor erhebliche Herausforderungen, aber auch vor die Notwendigkeit, strategisch und proaktiv zu handeln.

Eine aktuelle Erhebung des Bitkom verdeutlicht die Dringlichkeit: 69 Prozent der deutschen Unternehmen geben an, Unterstützung bei der Umsetzung des EU AI Act zu benötigen. Gleichzeitig haben sich bisher nur 24 Prozent ernsthaft mit den Anforderungen auseinandergesetzt. Diese Zahlen offenbaren eine erhebliche Lücke zwischen dem Bewusstsein für die Regulierung und der tatsächlichen Vorbereitung. Für Kapitel H ist klar, dass dieser Zustand nicht nachhaltig ist. Es ist unerlässlich, dass Unternehmen die Tragweite verstehen und konkrete Schritte einleiten, um nicht nur Compliance zu gewährleisten, sondern KI als Wettbewerbsvorteil zu nutzen.

Der 2. August 2026: Ein Wendepunkt für KI-Anwendungen

Ab dem 2. August 2026 treten die sogenannten "Hochrisiko-Anforderungen" des EU AI Act in Kraft. Diese betreffen eine spezifische Kategorie von KI-Systemen, die in sensiblen Bereichen eingesetzt werden und potenziell erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Beispiele hierfür sind KI-Systeme in der Personalauswahl und Leistungsbeurteilung von Mitarbeitenden, bei der Kreditwürdigkeitsprüfung, zu Bildungszwecken oder als Sicherheitskomponenten in Produkten wie autonomen Fahrzeugen oder Medizingeräten.

Unternehmen, die solche Hochrisiko-KI-Systeme entwickeln, anbieten oder selbst betreiben, müssen dann eine Reihe strenger Auflagen erfüllen. Dazu gehören eine umfassende Konformitätsbewertung, die einem Zertifizierungsprozess ähnelt. Diese Bewertung kann, je nach Komplexität des Systems, drei bis sechs Monate in Anspruch nehmen. Ohne eine frühzeitige Planung und Umsetzung wird die Frist zum 2. August für viele Unternehmen nur schwer einzuhalten sein. Weiterhin sind die Implementierung eines robusten Risikomanagement-Systems, die lückenlose Protokollierung relevanter Systemaktionen und die Sicherstellung menschlicher Aufsicht über KI-Entscheidungen zwingend erforderlich. Die menschliche Aufsicht soll sicherstellen, dass KI-Entscheidungen nicht unkontrolliert ablaufen und bei Bedarf korrigiert werden können. Dies ist ein zentraler Pfeiler für die Verantwortung im Umgang mit Künstlicher Intelligenz.

Verstöße gegen diese Regelungen sind keine Kavaliersdelikte. Sie können empfindliche Bußgelder nach sich ziehen, die bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können, je nachdem, welcher Betrag höher ist. Dies stellt ein erhebliches finanzielles Risiko dar, das die Existenz von Unternehmen gefährden kann. Aus unserer Sicht ist die drohende Strafe nicht nur eine Drohung, sondern ein klares Signal, dass der Gesetzgeber den verantwortungsvollen Einsatz von KI ernst nimmt und Compliance fordert.

Neben den Hochrisiko-Systemen wird ab dem 2. August 2026 auch die Transparenzpflicht für KI-generierte Inhalte und Dialoge verbindlich. Das bedeutet, dass mit KI erstellte Inhalte und Chatbot-Interaktionen in vielen Fällen klar als solche gekennzeichnet werden müssen. Dies gilt insbesondere dann, wenn sie als menschliche Kommunikation oder echte Darstellungen missverstanden werden könnten. Diese Regelung betrifft eine breite Palette von Anwendungen, von Marketingtexten über Bilder und Videos bis hin zu Deepfakes. Unternehmen, die generative KI im Kundenservice, in der Produktentwicklung oder im Marketing einsetzen, müssen ihre Prozesse entsprechend anpassen und Kennzeichnungspflichten erfüllen. Dies fördert Vertrauen und Klarheit im Umgang mit KI-generierten Informationen, ein Aspekt, der für die Akzeptanz der Technologie von entscheidender Bedeutung ist.

AI Omnibus: Erleichterungen mit Vorsicht genießen

In den letzten Tagen gab es Nachrichten, die auf eine gewisse Flexibilität bei der Umsetzung des AI Acts hindeuten könnten. So haben sich das Europäische Parlament und der Rat am 7. Mai 2026 auf eine Vereinfachung des AI Acts, den sogenannten "AI Omnibus"-Deal, geeinigt. Die wichtigste Änderung betrifft eine Verlängerung der Übergangsfristen für bestimmte Hochrisiko-KI-Systeme. Eigenständige Hochrisiko-KI-Systeme erhalten eine Fristverlängerung bis zum 2. Dezember 2027, und KI, die als Sicherheitskomponente in Produkten eingesetzt wird, sogar bis August 2028. Diese Anpassung ist eine direkte Reaktion auf den Druck großer europäischer Industriekonzerne, die das ursprüngliche Regelwerk als zu starr kritisierten und auf die Komplexität der Integration von KI in bestehende Produktlebenszyklen hinwiesen.

Diese Fristverlängerung schafft insbesondere für Branchen wie den Maschinenbau, die Medizintechnik oder die Automobilindustrie, in denen KI in physische Produkte integriert ist, eine gewisse Entlastung. Es gibt diesen Unternehmen mehr Zeit, die komplexen Konformitätsbewertungen und Anpassungen an den Entwicklungsprozessen vorzunehmen. Allerdings ist es entscheidend zu verstehen, dass diese Erleichterungen gezielt sind. Sie gelten nicht pauschal für alle Hochrisiko-KI-Systeme. Die zentralen KI-Regeln, insbesondere die Hochrisiko-Anforderungen und Transparenzpflichten für die meisten Anwendungen, die nicht in solche spezifischen Produkte integriert sind oder eigenständig kritische Prozesse steuern, bleiben wie geplant am 2. August 2026 in Kraft. Für den DACH-Mittelstand, der oft KI in Backoffice-Prozessen, HR oder operativen Abläufen einsetzt, ändert sich die dringende Notwendigkeit zur Compliance zum Stichtag 2. August 2026 kaum.

Zudem wurden mit dem "AI Omnibus"-Deal auch härtere Verbote eingeführt. Dazu gehören beispielsweise KI-Anwendungen zur Erstellung nicht-einvernehmlicher intimer Bilder, was ein klares Signal gegen missbräuchliche KI-Nutzung darstellt. Ab Ende 2026 wird außerdem ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt. Dies soll die Unterscheidbarkeit von menschlichen und maschinell erzeugten Inhalten weiter verbessern und das Risiko von Desinformation minimieren. Es unterstreicht die Notwendigkeit für Unternehmen, technische Lösungen zur Kennzeichnung ihrer KI-Output-Inhalte zu implementieren.

Trotz dieser Anpassungen warnen Experten weiterhin vor einem "blinden Fleck im Mittelstand". Viele kleine und mittlere Unternehmen unterschätzen die Tragweite des AI Act noch immer. Selbst die Nutzung gängiger generativer KI-Tools wie ChatGPT, Microsoft Copilot oder Notion AI im Geschäftsalltag kann dazu führen, dass Unternehmen zu Betreibern eines KI-Systems im Sinne der Verordnung werden und damit Pflichten nach sich ziehen. Dies ist ein Punkt, den wir bei Kapitel H immer wieder betonen: KI-Nutzung ist keine Nebenaktivität, sondern erfordert eine bewusste und strategische Auseinandersetzung mit den regulatorischen Rahmenbedingungen.

Verborgene Risiken: Shadow AI und der Fachkräftemangel

Die mangelnde Kontrolle über den Einsatz von KI-Tools in Unternehmen, oft als "Shadow AI" bezeichnet, stellt ein erhebliches Risiko dar und verschärft die Compliance-Herausforderungen. "Shadow AI" beschreibt die Nutzung von KI-Anwendungen und -Diensten durch Mitarbeitende, ohne dass die IT-Abteilung oder die Unternehmensleitung darüber informiert ist oder diese autorisiert hat. Eine aktuelle Umfrage zeigt, dass nur 37 Prozent der CIOs einen vollständigen Überblick über die in ihren Organisationen genutzten KI-Tools haben. Dies bedeutet, dass in fast zwei Dritteln der Unternehmen unbekannte KI-Systeme im Einsatz sind, die potenziell sensible Daten verarbeiten und regulatorische Risiken bergen.

Die Konsequenzen von Shadow AI sind vielfältig und gravierend. Sie reichen von Datenlecks und Datenschutzverstößen, da Mitarbeitende oft unautorisierte Tools nutzen, die nicht den unternehmensinternen Sicherheitsstandards entsprechen, bis hin zu inkonsistenten Geschäftsprozessen und einer verminderten Datenqualität. Insbesondere im Kontext des EU AI Act kann Shadow AI dazu führen, dass Hochrisiko-Anwendungen unentdeckt bleiben und die erforderlichen Konformitätsbewertungen sowie Risikomanagement-Systeme fehlen. Dies erhöht das Risiko hoher Bußgelder und Reputationsschäden erheblich.

Ein weiterer kritischer Faktor, der die Kontrolle von Shadow AI und die allgemeine Compliance erschwert, ist der Fachkräftemangel. In Deutschland, Österreich und der Schweiz gaben 72 Prozent der IT-Verantwortlichen an, dass der Mangel an qualifizierten Fachkräften das größte Hindernis für eine wirksame Kontrolle und Steuerung von KI-Anwendungen sei. Es fehlen Expertinnen und Experten mit technischem Know-how im Bereich KI, aber auch solche mit rechtlicher und prozessualer Expertise, um die Anforderungen des AI Acts zu interpretieren und umzusetzen. Dieser Engpass verlangsamt nicht nur die Implementierung von Compliance-Maßnahmen, sondern auch die Entwicklung und den verantwortungsvollen Einsatz innovativer KI-Lösungen.

Die bereits seit dem 2. Februar 2025 geltende KI-Kompetenzpflicht nach Artikel 4 des AI Act adressiert einen Teil dieser Problematik. Sie verlangt, dass Unternehmen sicherstellen, dass ihre Mitarbeitenden ausreichend im Umgang mit KI-Systemen geschult sind. Diese Verpflichtung betrifft nicht nur IT-Abteilungen, sondern alle Mitarbeitenden, die KI-Systeme einsetzen, entwickeln oder beaufsichtigen. Dies schließt beispielsweise HR-Teams ein, die KI-gestütztes Recruiting nutzen, oder Marketingabteilungen, die generative KI für Inhalte einsetzen. Der Aufbau dieser internen Kompetenzen ist eine fundamentale Voraussetzung, um sowohl Shadow AI einzudämmen als auch die Chancen der KI sicher und effektiv zu nutzen.

Praktische Schritte zur AI Act Compliance: Ihr Fahrplan

Für DACH-Unternehmen, insbesondere den Mittelstand, ist es jetzt entscheidend, proaktiv zu handeln, um die bevorstehenden Fristen einzuhalten und kostspielige Bußgelder zu vermeiden. Die Zeit bis zum 2. August 2026 ist knapp. Wir bei Kapitel H vertreten die Überzeugung, dass Compliance keine reine Pflichtübung ist, sondern eine strategische Chance, Vertrauen aufzubauen, Risiken zu minimieren und die Wettbewerbsfähigkeit zu stärken. Hier sind konkrete Schritte, die Sie jetzt einleiten sollten:

1. Umfassende KI-Inventur: Beginnen Sie mit einer systematischen Bestandsaufnahme aller im Unternehmen eingesetzten KI-Systeme. Dies umfasst sowohl selbstentwickelte Lösungen als auch in Drittsoftware integrierte Anwendungen und selbst genutzte generative KI-Tools wie ChatGPT. Erfassen Sie dabei, woher die Daten stammen, wie sie verarbeitet werden und welche Entscheidungen durch die KI beeinflusst oder getroffen werden. Ziel ist es, ein klares Bild des Ist-Zustandes zu erhalten und versteckte KI-Nutzung aufzudecken.

2. Risikoklassifizierung nach AI Act: Jedes identifizierte KI-System muss gemäß den Risikokategorien des AI Act eingestuft werden. Unterscheiden Sie zwischen Systemen mit minimalem, begrenztem, hohem und unvertretbarem Risiko. Diese Klassifizierung ist entscheidend, um die spezifischen Compliance-Pflichten für jedes System zu identifizieren und die notwendigen Maßnahmen zu priorisieren. Ein KI-System, das zur Bonitätsprüfung eingesetzt wird, erfordert beispielsweise wesentlich strengere Auflagen als eine KI zur Optimierung von Lieferketten.

3. Aufbau einer robusten KI-Governance: Etablieren und dokumentieren Sie interne Governance-Strukturen, die eine verantwortungsvolle Einführung und Nutzung von KI gewährleisten. Dies beinhaltet die Definition klarer Verantwortlichkeiten, die Festlegung von Richtlinien für den Einsatz von KI, die Einrichtung eines internen Kontrollsystems und regelmäßige Überprüfungen. Eine solche Governance ist der Grundstein für eine nachhaltige und rechtssichere KI-Strategie und ermöglicht es, Transparenz und Nachvollziehbarkeit zu gewährleisten.

4. Datenschutz und Sicherheit als Fundament: Stellen Sie die DSGVO-Konformität und den umfassenden Datenschutz bei allen KI-Anwendungen sicher. Dies beinhaltet die sorgfältige Prüfung des Datenflusses, der Speicherorte und der Transparenz der verwendeten Modelle. Insbesondere die Verarbeitung personenbezogener Daten durch KI-Systeme muss den höchsten Standards genügen. Prüfen Sie, ob Sie die Herkunft der Daten lückenlos nachvollziehen können und ob die Datennutzung zweckgebunden ist. Viele Anbieter wie ADN mit ihrer Partnerschaft zu Plotdesk bieten mittlerweile DSGVO-konforme KI-Lösungen "Made in Germany" an, die auf deutschen Servern betrieben werden. Solche Lösungen können ein wichtiger Baustein für die Erfüllung der Anforderungen sein, da sie die Datenhoheit stärken und die Compliance-Last reduzieren.

5. Gezielte Schulung und Kompetenzaufbau: Investieren Sie in die KI-Kompetenz Ihrer Mitarbeitenden auf allen Ebenen. Schulungen sind nicht nur für IT-Spezialisten, sondern auch für Endanwender, Manager und Führungskräfte unerlässlich. Ziel ist es, ein grundlegendes Verständnis für die Funktionsweise von KI, deren Potenziale und vor allem deren Risiken zu schaffen. Eine informierte Belegschaft ist besser in der Lage, KI verantwortungsvoll zu nutzen, Shadow AI zu vermeiden und die Anforderungen des AI Acts im täglichen Geschäft zu berücksichtigen. Die Kompetenzpflicht ist nicht nur eine gesetzliche Vorgabe, sondern ein Wettbewerbsvorteil.

6. Kosten-Nutzen-Analyse und strategische Einbettung: Definieren Sie klar den konkreten Mehrwert und die Kosten von KI-Projekten. Eine solche Analyse hilft nicht nur, Investitionen zu rechtfertigen und interne Akzeptanz zu schaffen, sondern auch, den Fokus auf jene KI-Anwendungen zu legen, die den größten strategischen Nutzen bringen. Der EU AI Act sollte nicht als reiner Kostenfaktor betrachtet werden, sondern als Anlass, die eigene KI-Strategie zu schärfen und Potenziale für Effizienzsteigerung, Innovation und neue Geschäftsmodelle zu identifizieren.

Fazit: Verantwortung als Wettbewerbsfaktor

Der EU AI Act stellt zweifellos eine umfassende Herausforderung für den DACH-Mittelstand dar. Die bevorstehenden Fristen, insbesondere der 2. August 2026 für Hochrisiko-KI-Systeme und Transparenzpflichten, erfordern schnelles und entschlossenes Handeln. Die teils übersehenen Risiken durch Shadow AI und der Fachkräftemangel verschärfen die Situation zusätzlich. Doch es wäre ein Fehler, den AI Act lediglich als bürokratische Last zu betrachten.

Aus der Perspektive von Kapitel H ist der EU AI Act eine strategische Chance. Er zwingt Unternehmen dazu, sich kritisch mit ihrem Einsatz von Künstlicher Intelligenz auseinanderzusetzen, Risiken zu managen und ethische sowie rechtliche Standards zu implementieren. Wer jetzt proaktiv handelt, eine solide KI-Governance aufbaut, seine Mitarbeitenden schult und auf transparente, sichere KI-Lösungen setzt, etabliert sich nicht nur als verantwortungsvoller Akteur. Er schafft auch Vertrauen bei Kunden und Partnern und sichert sich einen nachhaltigen Wettbewerbsvorteil in einer zunehmend durch KI geprägten Wirtschaftslandschaft. Die Befähigung zum verantwortungsvollen Umgang mit KI, statt einer Abhängigkeit von undurchsichtigen Systemen, ist der Schlüssel zum Erfolg in der digitalen Transformation.