EU AI Act: DACH-Unternehmen müssen bis August 2026 handlungsfähig sein

Die digitale Transformation schreitet in der DACH-Region mit hoher Geschwindigkeit voran. Künstliche Intelligenz (KI) ist dabei ein zentraler Treiber für Innovation und Effizienz in Unternehmen. Doch der rasante Fortschritt bringt auch neue regulatorische Anforderungen mit sich. Der EU AI Act, die weltweit erste umfassende KI-Verordnung, stellt Unternehmen in Deutschland, Österreich und der Schweiz vor entscheidende Compliance-Fristen. Insbesondere der 2. August 2026 ist ein kritischer Stichtag, der weitreichende strategische und operative Anpassungen erfordert. Wer jetzt nicht handelt, riskiert nicht nur rechtliche Konsequenzen, sondern auch den Verlust der Wettbewerbsfähigkeit in einer zunehmend durch KI geprägten Wirtschaft.

Es geht nicht nur darum, Bußgelder zu vermeiden. Es geht darum, die Potenziale der KI verantwortungsvoll zu nutzen und Ihr Unternehmen zukunftsfähig aufzustellen. Die Verordnung zwingt Unternehmen dazu, ihre KI-Strategien zu überdenken und eine solide Governance zu etablieren, die Vertrauen schafft und den Nutzen von KI maximiert.

Der EU AI Act: Ein gestaffelter Zeitplan für Ihre Planung

Der EU AI Act ist bereits am 1. August 2024 in Kraft getreten, doch seine Bestimmungen werden schrittweise eingeführt. Dies soll Unternehmen ausreichend Zeit geben, sich an die neuen Anforderungen anzupassen. Es ist jedoch entscheidend, diesen Zeitplan genau zu verstehen und die verschiedenen Fristen nicht zu unterschätzen.

Eine erste wichtige Etappe trat bereits am 2. Februar 2025 in Kraft: das Verbot bestimmter KI-Praktiken, wie zum Beispiel Social-Scoring-Systeme, und die KI-Kompetenzpflicht nach Artikel 4. Diese Pflicht besagt, dass jeder Mitarbeiter, der KI-Systeme bedient oder mit ihnen interagiert, über ausreichende Kenntnisse verfügen muss. Dies ist eine grundlegende Anforderung, die weit über die IT-Abteilung hinausgeht und jeden im Unternehmen betrifft, der mit KI in Berührung kommt.

Am 2. August 2025 folgten weitere Pflichten für Anbieter von Allgemein-KI-Modellen (GPAI), also großen Sprachmodellen wie GPT-4, Claude oder Llama. Diese Anbieter müssen seither Dokumentations-, Transparenz- und Urheberrechtsanforderungen erfüllen. Für Unternehmen, die solche Modelle nutzen, bedeutet dies, dass sie sich auf die Einhaltung dieser Anforderungen durch ihre Anbieter verlassen können müssen, was eine sorgfältige Auswahl der Partner notwendig macht.

Der 2. August 2026 ist jedoch der umfassendste und damit entscheidende Stichtag. An diesem Datum werden die restlichen und weitreichendsten Bestimmungen des EU AI Act vollständig anwendbar. Dies umfasst den gesamten regulatorischen Rahmen für Hochrisiko-KI-Systeme, die verpflichtenden Transparenzanforderungen nach Artikel 50 sowie die vollständige Compliance-Infrastruktur, die Unternehmen etabliert haben müssen. Zwar gibt es für die Hochrisiko-Kategorisierung selbst eine verlängerte Übergangsfrist von 36 Monaten. Die grundlegenden Transparenz- und Dokumentationsanforderungen, die alle KI-Systeme betreffen können, bleiben jedoch planmäßig für August 2026 bestehen. Unternehmen müssen ihre KI-Anwendungen daher jetzt überprüfen und die notwendigen Anpassungen frühzeitig einleiten.

Was Hochrisiko-KI für den DACH-Mittelstand konkret bedeutet

Der AI Act verfolgt einen risikobasierten Ansatz, um die Regulierung zielgerichtet zu gestalten. KI-Systeme werden in vier Kategorien eingeteilt: unannehmbares, hohes, begrenztes und minimales oder kein Risiko. Systeme mit unannehmbarem Risiko sind generell verboten. Dazu gehören beispielsweise KI-Systeme, die zur Manipulation von Menschen eingesetzt werden oder Social Scoring betreiben.

Für Systeme mit begrenztem Risiko, wie Chatbots oder generative KI-Tools, die synthetische Inhalte erzeugen, bestehen primär Transparenzpflichten. Nutzer müssen in diesen Fällen darüber informiert werden, dass sie mit einer KI interagieren oder dass Inhalte von einer KI generiert wurden. Dies fördert Vertrauen und Klarheit im Umgang mit neuen Technologien.

Die umfangreichsten Pflichten treffen jedoch Unternehmen, die als Anbieter oder Betreiber von Hochrisiko-KI-Systemen agieren. Als Hochrisiko-KI-Systeme gelten Anwendungen, die ein erhebliches Risiko für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen können. Die Verordnung listet hierfür spezifische Anwendungsbereiche auf, darunter kritische Infrastrukturen, Bildung, Beschäftigung, Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen, Strafverfolgung, Migration, Grenzverwaltung und Justiz.

Für den DACH-Mittelstand sind insbesondere Beispiele aus der Industrie relevant. Fertigungsunternehmen, die KI-Systeme einsetzen, welche Prozessparameter in sicherheitskritischen Fertigungsbereichen autonom anpassen, müssen diese als Hochrisiko-Anwendungen einstufen. Gleiches gilt für KI-gestützte Systeme zur Qualitätskontrolle in der Medizintechnik oder der Lebensmittelproduktion, bei denen Fehler direkte Auswirkungen auf die Gesundheit von Verbrauchern haben könnten. Auch im HR-Bereich genutzte KI-Systeme zur Vorauswahl von Bewerbern, die Diskriminierungsrisiken bergen, fallen unter diese Kategorie. Die volle Einhaltung der Anforderungen an Risikomanagement, Data Governance, technische Dokumentation, Transparenz, menschliche Überwachung, Genauigkeit und Robustheit ist hier zwingend erforderlich und muss bereits jetzt vorbereitet werden.

Strategische Weichenstellungen: Fünf Handlungsfelder für Ihr Unternehmen

Die bevorstehenden Fristen erfordern von Unternehmen in Deutschland, Österreich und der Schweiz eine proaktive Herangehensweise, die über reine punktuelle Anpassungen hinausgeht. Es sind strategische Weichenstellungen in verschiedenen Bereichen der Arbeitswelt notwendig:

1. Strategische Verankerung und Governance: Die Implementierung einer umfassenden KI-Governance ist nicht länger eine Option, sondern eine Notwendigkeit. Unternehmen müssen klare Strategien für den verantwortungsvollen Einsatz von KI entwickeln und Governance-Strukturen etablieren, die Risiken managen, Compliance sicherstellen und ethische Aspekte berücksichtigen. Dies bedeutet für viele Mittelständler, sich vom reinen Experimentieren mit KI zu lösen und eine strukturierte Vorgehensweise zu etablieren. Es können neue Rollenprofile im Bereich KI-Operations, Modellrisiko-Management oder Compliance notwendig werden. Auch wenn nicht jeder Mittelständler eine eigene Führungskraft für KI ernennen kann, wie es in Großkonzernen zunehmend der Fall ist, müssen Verantwortlichkeiten klar zugewiesen und ein interdisziplinäres Team gebildet werden. Eine transparente KI-Strategie, die über die Geschäftsleitung bis in die einzelnen Abteilungen kommuniziert wird, ist der erste Schritt zur Wertschöpfung.

2. Aufbau von KI-Kompetenz und Change Management: Artikel 4 des AI Acts fordert, dass alle Mitarbeiter, die KI-Systeme bedienen oder mit ihnen interagieren, über ausreichende Kenntnisse verfügen. Dies ist ein weitreichender Anspruch, der nicht nur die IT-Abteilung betrifft, sondern auch Produktionsmitarbeiter, Ingenieure, Führungskräfte und alle, die datengestützte Entscheidungen treffen. Der Deutsche Mittelstands-Bund (DMB) empfiehlt die gezielte Ermöglichung von Schulungen für Beschäftigte. Es geht darum, ein grundlegendes Verständnis für die Funktionsweise, die Potenziale und die Grenzen von KI zu vermitteln. Change Management spielt hier eine entscheidende Rolle. Die gezielte Förderung von Zukunftskompetenzen für die Mensch-KI-Kollaboration ist entscheidend, um Akzeptanz aufzubauen, Widerstände zu überwinden und Mitarbeiter aktiv in den Transformationsprozess einzubinden. Nur so können KI-Systeme ihr volles Potenzial entfalten und als Werkzeug zur Befähigung der Mitarbeiter dienen, anstatt als Bedrohung wahrgenommen zu werden.

3. Datenschutz und IT-Sicherheit: Die Schnittmenge zwischen dem EU AI Act und bestehenden Datenschutzvorschriften, wie der DSGVO in der EU und dem revidierten Datenschutzgesetz (DSG) in der Schweiz, ist erheblich. Unternehmen müssen sicherstellen, dass KI-Systeme datenschutzkonform entwickelt und betrieben werden, insbesondere im Hinblick auf Trainingsdaten, Benutzereingaben und den generierten Output. Transparenzpflichten, Privacy by Design und Privacy by Default sowie Datenschutz-Folgenabschätzungen (DSFA) sind zentrale Anforderungen, die bei der Einführung und dem Betrieb von KI-Systemen berücksichtigt werden müssen. Eine besondere Vorsicht ist im Umgang mit personenbezogenen Daten geboten, insbesondere beim Einsatz von KI-Tools ohne Serverstandort in der EU. Hier müssen alternative Lösungen wie die Anonymisierung oder Pseudonymisierung von Daten geprüft oder auf Anbieter mit EU-Servern zurückgegriffen werden. Eine umfassende Datenstrategie, die den Lebenszyklus der Daten von der Erhebung bis zur Löschung umfasst, ist unerlässlich.

4. Integration in Geschäftsprozesse und messbarer Nutzen: Während viele Unternehmen noch in der Pilotphase von KI-Projekten stecken, ist der Trend eindeutig: Der Sprung von der Experimentierphase in die produktive Anwendung wird 2026 zum entscheidenden Erfolgsfaktor. Der Fokus liegt auf der Automatisierung repetitiver Aufgaben in Bereichen wie Controlling, Einkauf, HR und IT, um Effizienzgewinne zu erzielen. Es zeigt sich, dass 95 Prozent der generativen KI-Projekte oft noch keinen messbaren Return on Investment (ROI) erzielen, was häufig auf mangelnde Integration in bestehende Geschäftsprozesse zurückzuführen ist. Für den Mittelstand bedeutet dies, mit klar definierten Use Cases zu starten, die schnell messbaren Nutzen zeigen. Dazu gehört eine präzise Identifikation von Problemstellungen, die durch KI gelöst werden können, und eine enge Verzahnung der KI-Lösungen mit den bestehenden ERP-, MES-, WMS- und CRM-Systemen. Neue KI-gestützte Plattformen, wie beispielsweise die