EU AI Act: Das müssen DACH-Unternehmen bis August 2026 wissen

Der EU AI Act, die weltweit erste umfassende Gesetzgebung für künstliche Intelligenz, ist ein Meilenstein. Er beeinflusst, wie Unternehmen im DACH-Raum KI entwickeln, einsetzen und verantwortungsvoll nutzen. Seit seinem Inkrafttreten am 1. August 2024 entfaltet er seine Wirkung stufenweise. Die jüngsten Präzisierungen durch den sogenannten "Digital Omnibus on AI", auf den sich Europäisches Parlament und Rat am 7. Mai 2026 geeinigt haben, bringen nun entscheidende Klarstellungen und unmittelbare Handlungserfordernisse für Unternehmen in Deutschland, Österreich und der Schweiz. Insbesondere die ab August 2026 greifenden Kennzeichnungspflichten für KI-generierte Inhalte und die bereits seit Februar 2025 aktive KI-Kompetenzpflicht sind von zentraler Bedeutung. Diese Entwicklungen erfordern eine proaktive Anpassung von internen Prozessen, Schulungsstrategien und der Auswahl von KI-Systemen, um rechtliche Risiken zu minimieren und die Potenziale der Technologie verantwortungsvoll zu heben.

EU AI Act: Stufenweise Wirkung und Klarstellungen durch den "Digital Omnibus"

Der EU AI Act ist eine komplexe Regulierung, die den Lebenszyklus von KI-Systemen in verschiedenen Risikokategorien betrachtet. Während er bereits seit Mitte 2024 grundsätzlich in Kraft ist, ist die vollständige Anwendung seiner Bestimmungen in mehreren Phasen bis 2028 geplant. Diese gestaffelte Einführung soll Unternehmen und Behörden ausreichend Zeit geben, sich an die neuen Anforderungen anzupassen. Der "Digital Omnibus" im Mai 2026 war nun entscheidend, um spezifische Umsetzungsfristen und Transparenzpflichten zu präzisieren.

Eine der wichtigsten Änderungen betrifft die Fristen für sogenannte Hochrisiko-KI-Systeme. Ursprünglich waren hier deutlich frühere Stichtage vorgesehen. Eigenständige Hochrisiko-Anwendungen, wie beispielsweise in der Kreditwürdigkeitsprüfung oder in kritischen Infrastrukturen, müssen nun erst bis zum 2. Dezember 2027 die vollen Auflagen des AI Act erfüllen. Für KI-Systeme, die als Sicherheitskomponente in bereits regulierten Produkten eingesetzt werden, beispielsweise in der Medizintechnik oder im Automobilbereich, verlängert sich diese Frist sogar bis zum 2. August 2028. Diese Anpassungen sind das Resultat intensiven Dialogs mit der europäischen Industrie, die die ursprünglichen Fristen als zu ambitioniert für die schnelle technologische Entwicklung ansah. Die längeren Übergangszeiten sollen es Unternehmen ermöglichen, ihre Produkte und Prozesse sorgfältig anzupassen und somit die Wettbewerbsfähigkeit Europas zu sichern.

Es wäre jedoch ein Trugschluss anzunehmen, diese Fristverlängerungen böten eine generelle Atempause. Im Gegenteil, sie verdeutlichen lediglich die Komplexität und den Implementierungsaufwand bei Hochrisiko-Systemen. Andere, grundlegende Pflichten des AI Act sind entweder bereits aktiv oder stehen unmittelbar vor der Tür. Für den Mittelstand im DACH-Raum sind diese sofort wirksamen oder kurzfristig relevanten Bestimmungen von entscheidender Bedeutung, da sie fast alle Unternehmen betreffen, die in irgendeiner Form mit KI interagieren.

Kompetenzpflicht: Die Basis für verantwortungsvolle KI-Nutzung seit Februar 2025

Eine der am häufigsten übersehenen, aber bereits aktiven Pflichten ist die KI-Kompetenzpflicht gemäß Artikel 4 des EU AI Act. Diese Bestimmung, die seit Februar 2025 gilt, verlangt, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse und Fähigkeiten verfügen müssen, um diese Systeme verantwortungsvoll, sicher und im Einklang mit den gesetzlichen Vorgaben zu nutzen. Diese Pflicht ist branchen- und unternehmensgrößenunabhängig und betrifft somit nahezu jedes DACH-Unternehmen, das KI in seinen Geschäftsprozessen einsetzt, sei es in der Analyse, im Marketing oder in der Produktion.

Die Relevanz dieser Kompetenzpflicht wird durch aktuelle Erhebungen unterstrichen. Eine "KI-Bilanz 2025", basierend auf US-Studien mit hoher Übertragbarkeit auf den DACH-Raum, zeigte ein erhebliches "Regelungsdefizit" in Unternehmen. 57 Prozent der befragten Mitarbeiter gaben an, interne KI-Richtlinien als unklar oder nicht existent zu empfinden. Mehr als die Hälfte, nämlich 58 Prozent, sahen die Zuständigkeit für die Formulierung und Durchsetzung von KI-Policies eher bei der IT-Abteilung als bei der Personalabteilung. Diese Zahlen belegen einen dringenden Handlungsbedarf. Personalabteilungen müssen gemeinsam mit der IT klare Richtlinien entwickeln und umfassende Schulungsprogramme initiieren. Es geht darum, nicht nur technische Fähigkeiten zu vermitteln, sondern auch ein Verständnis für ethische Grundsätze, Datenschutz und die Grenzen von KI-Systemen zu schaffen. Die "AI Literacy" ist somit nicht nur eine gesetzliche Anforderung, sondern ein fundamentaler Baustein für den erfolgreichen und risikominimierten Einsatz von KI im Unternehmen.

Transparenzpflichten und Kennzeichnung: KI-generierte Inhalte ab August 2026 im Fokus

Ab dem 2. August 2026 tritt eine der konkretsten und weitreichendsten Pflichten des EU AI Act in Kraft: die Transparenzpflicht für KI-generierte Inhalte gemäß Artikel 50. Diese Bestimmung verpflichtet Unternehmen und Selbstständige im DACH-Raum dazu, KI-generierte Audio-, Video-, Grafik- und Textinhalte klar als solche zu kennzeichnen. Das bedeutet, dass zum Beispiel Marketingmaterialien, Social-Media-Posts, Produktbeschreibungen oder interne Kommunikationsdokumente, die mit generativer KI erstellt wurden, einen sichtbaren Hinweis auf ihre KI-Herkunft tragen müssen.

Diese Regelung hat direkte Auswirkungen auf Marketingabteilungen, Content Creator, Kommunikationsagenturen und alle, die generative KI im Geschäftsalltag nutzen. Unternehmen wie OpenAI, die die zugrundeliegenden Technologien bereitstellen, sind ebenfalls in der Pflicht. Sie müssen sicherstellen, dass der von ihren Modellen erzeugte Output in maschinenlesbarer Form als KI-Produkt erkennbar ist. Ergänzend dazu wird ab Ende 2026 ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt, was die Rückverfolgbarkeit und Transparenz weiter erhöhen soll.

Für Unternehmen bedeutet dies eine umfassende Überprüfung ihrer Content-Erstellungsprozesse. Es muss eine klare Strategie entwickelt werden, wie die Kennzeichnungspflichten umgesetzt werden, um rechtliche Verstöße und potenzielle Bußgelder zu vermeiden. Gleichzeitig ist dies eine Chance, Vertrauen bei Kunden und der Öffentlichkeit aufzubauen, indem transparent kommuniziert wird, welche Inhalte von KI stammen. Die Implementierung von "Workspace Agents" für ChatGPT Teams durch OpenAI im Mai 2026, die mehrstufige Aufgaben übernehmen können, oder die tiefe Integration von Anthropic's Claude AI in Microsoft 365 verdeutlichen die zunehmende Verbreitung solcher KI-Tools im Geschäftsalltag. All diese Anwendungen und die durch sie generierten Inhalte unterliegen ab dem Stichtag den neuen Kennzeichnungspflichten.

Durchsetzung, Sanktionen und Haftungsfragen im DACH-Raum

Die Einhaltung des EU AI Act wird in Deutschland durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) überwacht und durchgesetzt. Bereits ab August 2026 ist mit aktiven Prüfungen zu rechnen, auch wenn die volle Aufsicht über Hochrisiko-KI-Systeme erst mit den verschobenen Stichtagen 2027/2028 vollständig anläuft. Neben dem BSI ist die Bundesnetzagentur (BNetzA) als nationale Marktaufsichtsbehörde ebenfalls für Teile der Umsetzung zuständig, ergänzt durch weitere Fachbehörden je nach spezifischem Anwendungsbereich der KI.

Die Konsequenzen bei Verstößen gegen die Pflichten des EU AI Act sind gravierend. Bußgelder können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen, wobei der höhere Betrag zur Anwendung kommt. Diese hohen Strafen verdeutlichen den Ernst, mit dem die europäische Union die Regulierung von KI betrachtet. Für den Mittelstand im DACH-Raum, der oft nicht über die Ressourcen globaler Konzerne verfügt, stellen solche Sanktionen eine existenzbedrohende Gefahr dar. Daher ist eine frühzeitige und umfassende Compliance-Strategie unerlässlich.

Eng verbunden mit der Einhaltung der Regularien sind auch die Haftungsfragen. Das vollumfängliche Inkrafttreten des EU AI Act rückt die KI-Haftung in den Mittelpunkt der rechtlichen Diskussion. Wer trägt die Verantwortung, wenn ein autonomes KI-System einen Fehler macht, der zu Schäden führt? Diese Frage betrifft Verbraucher, Arbeitnehmer und insbesondere KMU. Unternehmen müssen sich auf diese neuen Haftungsrisiken einstellen und entsprechende Vorkehrungen treffen, etwa durch angepasste Versicherungen, klare vertragliche Regelungen mit KI-Anbietern und interne Protokolle zur Fehlererkennung und -behebung. Die Rechtslage entwickelt sich hier stetig weiter und erfordert kontinuierliche Beobachtung.

Strategische Implikationen für DACH-Unternehmen: Mehr als nur Compliance

Die jüngsten Entwicklungen im Kontext des EU AI Act zeigen deutlich, dass KI im DACH-Raum nicht länger als ein optionales Innovationsexperiment, sondern als ein reguliertes Werkzeug verstanden werden muss, das tief in die Unternehmensstrategie integriert gehört. Der für 2026 prognostizierte strategische Trend, bei dem der Mittelstand von der Experimentierphase zur produktiven Anwendung von KI übergeht, muss untrennbar mit der Einhaltung des EU AI Act verbunden sein. Dies hat weitreichende strategische Implikationen:

* Change Management und Schulungsbedarf: Die Pflicht zur KI-Kompetenz seit Februar 2025 erfordert weitreichende Change-Management-Programme. Unternehmen müssen interne KI-Richtlinien entwickeln, die über technische Anleitungen hinausgehen und ethische Aspekte sowie den verantwortungsvollen Umgang mit KI thematisieren. Umfassende Schulungen zur "AI Literacy" sind nicht nur eine gesetzliche Pflicht, sondern entscheidend, um die Akzeptanz und den effektiven Einsatz von KI im Unternehmen zu fördern. Darüber hinaus werden Soft-Skill-Trainings für Manager ab 2027, insbesondere in Bereichen wie Empathie, Coaching und Konfliktlösung, massiv an Bedeutung gewinnen. Der "Human Factor", die menschliche Fähigkeit zur kritischen Reflexion und Entscheidungsfindung, kann durch keine KI ersetzt werden und muss gestärkt werden, um die Vorteile der KI optimal zu nutzen.

* Datenschutz und Datensouveränität: Auch wenn der "Digital Omnibus" auf eine Reduzierung der Bürokratie abzielt, bleibt der Datenschutz ein zentrales Anliegen. Die Notwendigkeit, DSGVO-konforme KI-Plattformen zu nutzen und auf präzise Datenverarbeitungsverträge zu achten, wird weiterhin stark betont. Ein direkter Trend im DACH-Markt, der aus dem Wunsch nach mehr Kontrolle, Sicherheit und Datensouveränität resultiert, ist die zunehmende Verlagerung von KI-Workloads an den "Edge" oder in eigene Rechenzentren. Eine Diskussionsrunde von Nutanix im Mai 2026 zeigte, dass 81 Prozent der deutschen Unternehmen ihre KI über Managed Service Provider betreiben. Beeindruckende 62 Prozent der KI-Workloads laufen am Edge und 61 Prozent im eigenen Rechenzentrum, Werte, die deutlich über dem globalen Durchschnitt liegen. Dies unterstreicht den Bedarf an datenschutzfreundlichen und souveränen KI-Infrastrukturen.

* Auswahl und Implementierung von KI-Tools: Bei der Einführung neuer KI-Tools müssen Unternehmen nun noch stärker auf deren Compliance mit dem EU AI Act achten. Dies betrifft nicht nur die reine Funktionalität, sondern auch kritische Fragen der Datenverarbeitung, des Speicherorts der Daten und der Transparenz der verwendeten Modelle. Auf der SAP Sapphire 2026 wurde betont, dass "Business AI" zur Standardfunktion moderner Enterprise-Anwendungen werde und KI-Agenten zunehmend in Kernprozesse integriert würden. Solche Entwicklungen, wie auch die Einführung von "Workspace Agents" bei OpenAI oder die Integration von Anthropic's Claude AI in Microsoft 365, fallen direkt unter den Regelungsrahmen des AI Act. Unternehmen müssen von ihren Anbietern transparente Informationen über die Einhaltung der Kennzeichnungs- und Transparenzpflichten einfordern und sicherstellen, dass ihre eigene Nutzung dieser Tools den gesetzlichen Anforderungen entspricht.

Praktische Handlungsempfehlungen für DACH-Unternehmen

Die Zeit drängt, die neuen Bestimmungen des EU AI Act aktiv anzugehen. Unternehmen im DACH-Raum sollten folgende Schritte unverzüglich einleiten:

1. Bestandsaufnahme und Risikoanalyse: Identifizieren Sie alle aktuell genutzten KI-Systeme und prüfen Sie deren Klassifizierung nach dem EU AI Act, insbesondere im Hinblick auf Hochrisiko-Anwendungen. Bewerten Sie potenzielle Risiken im Kontext der Kennzeichnungspflichten für generierte Inhalte. 2. Interne Richtlinien und Governance: Entwickeln Sie klare, unternehmensweite KI-Richtlinien, die den Umgang mit KI-Systemen regeln. Legen Sie Verantwortlichkeiten fest und etablieren Sie eine Governance-Struktur, die die Einhaltung des AI Act sicherstellt. 3. Mitarbeiterschulung und "AI Literacy": Implementieren Sie umfassende Schulungsprogramme, um die KI-Kompetenz Ihrer Mitarbeiter zu stärken. Dies sollte technische, ethische und rechtliche Aspekte umfassen, um der bereits seit Februar 2025 geltenden Kompetenzpflicht nachzukommen. 4. Prozesse zur Inhaltskennzeichnung: Überprüfen und passen Sie Ihre Content-Erstellungsprozesse an, um die ab August 2026 geltende Kennzeichnungspflicht für KI-generierte Audio-, Video-, Grafik- und Textinhalte sicherzustellen. Planen Sie die technische Integration von Wasserzeichen ab Ende 2026. 5. Vertragsprüfung und Anbieter-Compliance: Prüfen Sie bestehende Verträge mit KI-Anbietern. Achten Sie auf die Einhaltung von Datenschutzstandards (DSGVO) und die Compliance mit dem AI Act. Fordern Sie von neuen Anbietern transparente Nachweise zur Einhaltung der Regularien. 6. Datensouveränität stärken: Erwägen Sie den Einsatz von KI-Systemen, die eine höhere Datensouveränität ermöglichen, zum Beispiel durch lokale Bereitstellung ("KI am Edge") oder in eigenen Rechenzentren, insbesondere bei sensiblen Daten. 7. Rechtliche Beratung: Ziehen Sie bei Unsicherheiten oder komplexen Anwendungsfällen spezialisierte Rechtsberatung hinzu, um die spezifischen Haftungsfragen und Compliance-Anforderungen Ihres Unternehmens zu klären.

Kritische Einordnung aus Kapitel-H-Sicht

Der EU AI Act und seine jüngsten Präzisierungen sind keine Schikane, sondern eine notwendige Reaktion auf die rasante Entwicklung der Künstlichen Intelligenz. Aus Kapitel-H-Sicht ist es entscheidend, diese Regulierung nicht als Innovationsbremse zu sehen, sondern als Rahmen für einen verantwortungsvollen und vertrauenswürdigen Einsatz von KI. Der Mittelstand im DACH-Raum steht vor der Herausforderung, einen pragmatischen Mittelweg zu finden: Einerseits die enormen Potenziale der KI zu nutzen, um wettbewerbsfähig zu bleiben und Effizienz zu steigern, andererseits die komplexen rechtlichen Vorgaben konsequent umzusetzen. Es geht nicht darum, sich von externen Anbietern abhängig zu machen, sondern die eigenen Kompetenzen aufzubauen und fundierte Entscheidungen zu treffen. Die verlängerten Fristen für Hochrisiko-KI sollten nicht zu Trägheit führen, sondern als wertvolle Zeit für eine strategische Vorbereitung genutzt werden. Die unmittelbaren Pflichten, insbesondere die Kompetenz- und Transparenzpflicht, erfordern sofortiges Handeln. Wer jetzt proaktiv agiert, schafft nicht nur Rechtssicherheit, sondern stärkt auch das Vertrauen in die eigene Nutzung von KI, ein entscheidender Faktor für den langfristigen Erfolg im digitalen Zeitalter. Es ist eine Chance für DACH-Unternehmen, sich als Vorreiter im Bereich vertrauenswürdiger KI zu positionieren.

Fazit

Die Präzisierungen des EU AI Act durch den "Digital Omnibus" leiten eine entscheidende Phase für den DACH-Arbeitsmarkt ein. Mit der bereits aktiven KI-Kompetenzpflicht und den ab August 2026 greifenden Transparenzpflichten für KI-generierte Inhalte sind Unternehmen jetzt gefordert, ihre KI-Strategien, internen Prozesse und Schulungsprogramme dringend an die neuen gesetzlichen Rahmenbedingungen anzupassen. Die möglichen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes unterstreichen die Dringlichkeit. Wer diese Herausforderung proaktiv annimmt, sichert sich nicht nur rechtlich ab, sondern stärkt auch das Vertrauen seiner Kunden und Mitarbeiter in den verantwortungsvollen Einsatz von Künstlicher Intelligenz. Nutzen Sie diese Gelegenheit, um die Potenziale der KI nachhaltig und rechtskonform für Ihr Unternehmen zu erschließen.