EU AI Act: Was DACH-Unternehmen jetzt wissen und tun müssen

Der EU AI Act, eine der weltweit umfassendsten Regulierungen für Künstliche Intelligenz, ist keine abstrakte Zukunftsmusik mehr. Vielmehr ist er für Unternehmen im DACH-Raum eine unmittelbare operative Realität. Während die Verordnung bereits im August 2024 in Kraft getreten ist und erste Pflichten seit Februar 2025 gelten, rückt ein entscheidender Stichtag unaufhaltsam näher: der 2. August 2026. Ab diesem Datum treten die zentralen Pflichten für Hochrisiko-KI-Systeme in Kraft, und die Konsequenzen für Unternehmen, die diese Systeme entwickeln, vertreiben oder einsetzen, sind weitreichend. Die aktuellen Entwicklungen zeigen, dass es nicht nur um technische Anpassungen geht, sondern vor allem um die Etablierung robuster organisatorischer und rechtlicher Strukturen, um den neuen Anforderungen gerecht zu werden. Dies stellt eine signifikante Herausforderung dar, birgt jedoch gleichzeitig die Chance, interne Prozesse zu schärfen und die digitale Souveränität zu stärken.

Der EU AI Act: Ein Regelwerk mit weitreichenden Folgen für DACH-Unternehmen

Die Verordnung (EU) 2024/1689, besser bekannt als EU AI Act, ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Sein grundlegendes Prinzip ist ein risikobasierter Ansatz. Das bedeutet, dass nicht jedes KI-System den gleichen Anforderungen unterliegt. Vielmehr variieren die Pflichten je nach dem potenziellen Risiko, das ein System für Gesundheit, Sicherheit und Grundrechte birgt. Von minimalem Risiko über eingeschränktes Risiko und Hochrisiko bis hin zu verbotenen KI-Praktiken, spannt die Verordnung einen Rahmen auf, der eine differenzierte Betrachtung ermöglicht. Für Unternehmen im DACH-Raum bedeutet dies einen tiefgreifenden Wandel. Praktisch jedes Unternehmen, das KI-Systeme in der EU entwickelt, vertreibt, importiert oder einsetzt, fällt in den Geltungsbereich dieser Verordnung. Die Tragweite ist enorm, da sie nicht nur Tech-Konzerne betrifft, sondern auch mittelständische Unternehmen, die KI beispielsweise im Personalwesen, im Rechnungswesen oder in der Produktion einsetzen. Es ist essenziell, dass sich Unternehmen nicht nur mit den technischen Aspekten der KI auseinandersetzen, sondern auch mit den rechtlichen und ethischen Implikationen, die der AI Act mit sich bringt. Die Verordnung zielt darauf ab, Vertrauen in KI zu schaffen und gleichzeitig Innovationen zu fördern. Dies erfordert jedoch von den Anwendern und Anbietern von KI-Systemen ein hohes Maß an Verantwortungsbewusstsein und Compliance.

Die tickende Uhr für Hochrisiko-KI-Systeme: Fristen und fehlende Leitlinien

Der 2. August 2026 markiert einen Wendepunkt für alle Unternehmen, die mit Hochrisiko-KI-Systemen arbeiten. Ab diesem Datum treten die zentralen Pflichten für diese Kategorie von Systemen in Kraft. Zu den Hochrisiko-Systemen zählen KI-Anwendungen, die beispielsweise in der Personalverwaltung für Recruiting oder Leistungsbewertung eingesetzt werden, im Kreditscoring, in der biometrischen Identifikation oder in der Steuerung kritischer Infrastrukturen. Die Anforderungen sind detailliert und umfassen die Etablierung von Risikomanagementsystemen, eine transparente Daten-Governance, die Sicherstellung technischer Robustheit, die Gewährleistung menschlicher Aufsicht, umfassende Cybersicherheitsmaßnahmen sowie eine lückenlose Transparenz und Dokumentation. Diese Pflichten sind nicht trivial und erfordern erhebliche interne Ressourcen sowie Anpassungen von Prozessen und Systemen.

Ein erhebliches Problem für die Praxis stellt das Ausbleiben entscheidender Hilfestellungen dar. Die Europäische Kommission hatte ursprünglich zugesagt, bis zum 2. Februar 2026 Leitlinien zur praktischen Anwendung der Hochrisiko-Klassifikation zu veröffentlichen. Diese Leitlinien stehen jedoch bis heute aus. Das Fehlen dieser dringend benötigten Orientierungshilfe versetzt Compliance-Teams in eine schwierige Lage. Sie müssen die Klassifizierung ihrer Systeme auf eigene Verantwortung vornehmen, was ein erhebliches Haftungsrisiko birgt. Ohne klare Vorgaben müssen Unternehmen aufwändige interne Analysen durchführen und im Zweifel konservativ agieren, um spätere Sanktionen zu vermeiden. Diese Unsicherheit kann Innovationsprozesse bremsen und Unternehmen unnötig belasten, da sie ohne klare Richtlinien schwer abschätzen können, ob ihre Klassifizierung den Anforderungen der Aufsichtsbehörden standhalten wird.

Nuancen in der Regulierung: Anpassungen, Verbote und anhaltende Transparenzpflichten

Eine aktuelle Entwicklung vom Mai 2026 zeigt, dass das Regelwerk dynamisch ist. Eine Einigung zwischen dem Europäischen Parlament und dem Rat sieht eine sogenannte