EU AI Act: Was DACH-Unternehmen bis August 2026 jetzt wissen müssen

Der Einsatz von Künstlicher Intelligenz (KI) ist längst keine Zukunftsmusik mehr. Viele Unternehmen im DACH-Raum nutzen bereits KI-Systeme zur Optimierung ihrer Prozesse, zur Steigerung der Effizienz und zur Erschließung neuer Geschäftsfelder. Doch mit dem wachsenden Einfluss dieser Technologien wachsen auch die Anforderungen an deren Regulierung. Eine der relevantesten Entwicklungen in den letzten Monaten ist die sukzessive Inkraftsetzung des EU AI Acts, des weltweit ersten umfassenden Regelwerks für KI.

Während Teile des Gesetzes bereits Anwendung finden, rückt der 2. August 2026 mit großen Schritten näher. Ab diesem Stichtag greifen die vollständigen Pflichten für Hochrisiko-KI-Systeme. Für Unternehmen in Deutschland, Österreich und der Schweiz bedeutet dies, dass jetzt strategische und operative Vorbereitungen unerlässlich sind. Wer diese Frist verstreichen lässt, riskiert nicht nur erhebliche Strafen, sondern auch den Verlust von Vertrauen bei Kunden und Mitarbeitenden.

Die folgenden Ausführungen bieten eine fundierte Einordnung der aktuellen Situation und zeigen auf, welche konkreten Schritte Ihr Unternehmen bis August 2026 einleiten sollte. Unser Ziel bei Kapitel H ist es, Ihnen eine klare Orientierung zu geben und Sie zu befähigen, die KI-Regulierung proaktiv zu managen, anstatt von ihr überrollt zu werden.

Der gestaffelte Zeitplan des EU AI Acts: Was Sie bisher verpasst haben könnten

Die Verordnung (EU) 2024/1689, besser bekannt als EU AI Act, wurde am 1. August 2024 formell in Kraft gesetzt. Ihr primäres Ziel ist es, einen Rechtsrahmen für vertrauenswürdige KI innerhalb der Europäischen Union zu schaffen, der gleichzeitig die Grundrechte und die Sicherheit der Bürger schützt. Dieser Rechtsrahmen ist nicht statisch, sondern entfaltet seine Wirkung schrittweise. Diesen gestaffelten Ansatz zu verstehen, ist entscheidend, um die Dringlichkeit der aktuellen Phase zu erfassen.

Einige wichtige Meilensteine wurden bereits erreicht. Seit dem 2. Februar 2025 sind Verbote für KI-Systeme mit unannehmbarem Risiko in Kraft. Darunter fallen beispielsweise manipulative Systeme oder staatliche Sozial-Scoring-Anwendungen. Gleichzeitig wurde die sogenannte KI-Kompetenzpflicht (KI-Literacy) eingeführt. Diese verpflichtet Unternehmen, ihre Mitarbeitenden in der sicheren und verantwortungsvollen Handhabung von KI zu schulen. Eine wichtige Massnahme, die über die reine Compliance hinausgeht und die Mitarbeiterbefähigung fördert.

Der 2. August 2025 markierte einen weiteren wichtigen Schritt. Ab diesem Datum gelten die Vorschriften für KI-Modelle mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI), Governance-Strukturen und Übergangsfristen für bereits in Verkehr gebrachte GPAI-Modelle. Dies betrifft eine breite Palette von Systemen, die in verschiedenen Anwendungen zum Einsatz kommen können, von Sprachmodellen bis zu Bildgeneratoren.

Die nun unmittelbar relevante Deadline ist der 2. August 2026. Ab diesem Stichtag treten die vollständigen Pflichten für Hochrisiko-KI-Systeme in Kraft. Dies bedeutet, dass die Marktüberwachung offiziell startet und die nationalen Aufsichtsbehörden die volle Durchsetzungsfähigkeit erlangen. Unternehmen, die Hochrisiko-KI-Systeme entwickeln, bereitstellen oder nutzen, haben ab sofort nur noch etwa drei Monate Zeit, um die umfassenden Anforderungen des AI Acts zu erfüllen. Angesichts der Komplexität der Materie ist dies ein sehr enger Zeitrahmen, der entschlossenes Handeln erfordert.

Hochrisiko-KI-Systeme und die daraus resultierenden Pflichten

Der EU AI Act verfolgt einen risikobasierten Ansatz. Das bedeutet, je höher das potenzielle Risiko einer KI-Anwendung für die Gesundheit, Sicherheit und Grundrechte von Personen ist, desto strenger sind die regulatorischen Anforderungen. Hochrisiko-KI-Systeme sind in Anhang III des AI Acts klar definiert und umfassen eine Reihe von kritischen Bereichen. Für Unternehmen ist es daher essenziell, ihre bestehenden und geplanten KI-Systeme sorgfältig zu prüfen und korrekt zu klassifizieren.

Zu den typischen Hochrisiko-KI-Systemen gehören Anwendungen in folgenden Bereichen:

* Beschäftigung, Personalmanagement und Zugang zur Selbstständigkeit: Dazu zählen Systeme, die für die Rekrutierung, die Auswahl von Kandidaten, die Leistungsbewertung, Beförderungen oder Kündigungen eingesetzt werden. Auch Tools zur Überwachung der Mitarbeitenden fallen hierunter. Ein Beispiel wäre eine KI, die Bewerbungsunterlagen vorsortiert und dabei unbeabsichtigt diskriminierende Muster reproduziert. * Kritische Infrastrukturen: Systeme, die den Betrieb und die Verwaltung von essenziellen Infrastrukturen wie Wasserversorgung, Stromnetze, Gasversorgung oder Verkehrsleitsysteme beeinflussen. Ein Fehler in solchen Systemen könnte weitreichende und gefährliche Folgen haben. * Kreditwürdigkeitsprüfung oder Zugang zu öffentlichen Leistungen: KI-Systeme, die über die Vergabe von Krediten entscheiden oder den Zugang zu Sozialleistungen, Bildungseinrichtungen oder anderen öffentlichen Dienstleistungen regeln. Hier besteht ein hohes Potenzial für Diskriminierung oder ungerechtfertigte Ausschlüsse.

Für Unternehmen, die solche Hochrisiko-KI-Systeme entwickeln, bereitstellen oder nutzen, gelten ab August 2026 umfassende und strikte Verpflichtungen. Diese sind nicht optional, sondern müssen lückenlos erfüllt werden:

* Risikomanagementsysteme: Es muss ein umfassendes Risikomanagementsystem etabliert, implementiert, dokumentiert und kontinuierlich aktualisiert werden. Dies umfasst die Identifikation, Analyse, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus der KI-Anwendung. * Datenqualität und -governance: Der Act stellt hohe Anforderungen an die Qualität der Trainings-, Validierungs- und Testdatensätze. Ziel ist es, Bias, also systematische Verzerrungen, zu vermeiden und Diskriminierung vorzubeugen. Dies erfordert eine sorgfältige Datenstrategie und -verwaltung. * Technische Dokumentation und Aufzeichnungen: Unternehmen müssen das KI-System, seine Fähigkeiten, Grenzen und alle durchgeführten Tests umfassend dokumentieren. Dies schafft Transparenz und Nachvollziehbarkeit, was bei möglichen Problemen oder Audits von entscheidender Bedeutung ist. * Menschliche Aufsicht: Es muss sichergestellt werden, dass Hochrisiko-KI-Systeme einer effektiven menschlichen Aufsicht unterliegen. Dies bedeutet, dass Menschen die Möglichkeit haben müssen, die Entscheidungen der KI zu verstehen, zu überprüfen und gegebenenfalls zu korrigieren oder zu übersteuern. * Robustheit, Genauigkeit und Cybersicherheit: Die Systeme müssen technisch robust, genau und gegen Cybersicherheitsrisiken geschützt sein. Dies erfordert regelmäßige Tests und Updates, um die Integrität und Zuverlässigkeit der KI zu gewährleisten. * Konformitätsbewertung: Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems muss eine Konformitätsbewertung durchgeführt werden. Ähnlich einer CE-Kennzeichnung bei anderen Produkten bestätigt diese, dass das System alle Anforderungen des AI Acts erfüllt.

Nationale Umsetzung und die Situation in der Schweiz

Während der EU AI Act als europäische Verordnung direkt anwendbar ist, bedarf es nationaler Gesetze zur Regelung der Aufsichtsstrukturen und der Durchsetzung. In Deutschland ist diese nationale Umsetzung im