EU AI Act: Was DACH-Unternehmen jetzt wissen und tun müssen

Die Künstliche Intelligenz (KI) transformiert Branchen und Geschäftsmodelle weltweit. Doch mit den Chancen wachsen auch die Herausforderungen, insbesondere im Hinblick auf Regulierung und verantwortungsvollen Einsatz. Im deutschsprachigen Raum, in Deutschland, Österreich und der Schweiz, steht die Wirtschaft vor einer entscheidenden Phase: Die fortschreitende Implementierung des EU AI Acts erzwingt eine intensive Vorbereitung in Unternehmen. Während die Verordnung selbst bereits im August 2024 in Kraft trat, treten wesentliche und konkretisierende Teile gestaffelt in Kraft. Die entscheidende Frist für Hochrisiko-KI-Systeme ist der 2. August 2026, also in weniger als vier Monaten. Unternehmen müssen jetzt handeln, um nicht nur Strafen zu vermeiden, sondern auch Wettbewerbsvorteile zu sichern.

Dieser Artikel beleuchtet die Kernaspekte des EU AI Acts, die nationalen Umsetzungspläne, insbesondere in Deutschland, und leitet konkrete Handlungsempfehlungen für DACH-Unternehmen ab. Wir legen den Fokus auf pragmatische Schritte, die Unternehmen jetzt ergreifen können, um die neuen Anforderungen zu erfüllen und KI verantwortungsvoll und effizient einzusetzen.

Der EU AI Act: Ein risikobasierter Rechtsrahmen mit klaren Pflichten

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Es setzt damit globale Standards für eine vertrauenswürdige und verantwortungsvolle KI-Entwicklung und -Nutzung. Das übergeordnete Ziel ist, die potenziellen Risiken von KI-Systemen zu minimieren und gleichzeitig Innovationen zu fördern. Die Verordnung verfolgt einen risikobasierten Ansatz, der KI-Systeme in verschiedene Risikoklassen einteilt: unannehmbares, hohes, begrenztes und minimales Risiko. Für Systeme mit höherem Risiko gelten entsprechend strengere Anforderungen und Pflichten.

Die erste Stufe des AI Acts trat bereits am 2. Februar 2025 in Kraft. Sie verbietet den Einsatz von KI-Systemen mit einem sogenannten "unannehmbaren Risiko". Dies umfasst beispielsweise Social Scoring zur Bewertung des sozialen Verhaltens, das die Grundrechte bedroht, oder den Einsatz von subliminalen Techniken zur Beeinflussung von Verhaltensweisen, die psychischen oder physischen Schaden verursachen könnten. Diese Systeme sind grundsätzlich verboten, da ihre potenziellen Schäden die gesellschaftlichen Vorteile überwiegen. Für Unternehmen bedeutet dies, dass sie prüfen müssen, ob von ihnen genutzte oder entwickelte KI-Systeme in diese Kategorie fallen. Die Konformität mit diesem Verbot ist nicht verhandelbar.

Die weitaus umfassenderen Regelungen für sogenannte Hochrisiko-KI-Systeme treten ab dem 2. August 2026 in Kraft. Zu dieser Kategorie zählen KI-Anwendungen in kritischen Bereichen, die ein erhebliches Potenzial für Schäden an Gesundheit, Sicherheit oder Grundrechten von Personen bergen. Beispiele hierfür sind:

* Personalwesen: KI-Systeme, die im Recruiting und Bewerbermanagement eingesetzt werden, etwa zur Vorauswahl von Kandidaten oder zur automatisierten Bewertung von Bewerbungsunterlagen. Auch KI zur Leistungsüberwachung und -evaluation von Mitarbeitern gehört dazu. * Kritische Infrastrukturen: Systeme in den Bereichen Energie, Verkehr, Wasserversorgung und digitale Infrastrukturen. * Bildung: KI-Systeme, die den Zugang zu Bildung oder die Bewertung von Lernergebnissen beeinflussen. * Gesundheitswesen: Diagnosesysteme, Therapieplanung oder andere medizinische Anwendungen. * Justiz und Strafverfolgung: KI, die Entscheidungen im rechtlichen Kontext unterstützt oder die Risikobewertung von Personen vornimmt.

Unternehmen, die solche Hochrisiko-KI-Systeme entwickeln oder nutzen, müssen sich auf umfangreiche Pflichten einstellen. Dies beinhaltet nicht nur technische Anpassungen, sondern auch die Implementierung neuer Prozesse und Governance-Strukturen. Der risikobasierte Ansatz des AI Acts erfordert eine sorgfältige Klassifizierung der eigenen KI-Anwendungen und eine entsprechende Anpassung der internen Abläufe.

Nationale Umsetzung und Behörden-Koordination im DACH-Raum

Obwohl der EU AI Act als Verordnung direkt in allen Mitgliedstaaten gilt, erfordert er nationale Umsetzungsgesetze. Diese sind notwendig, um Zuständigkeiten von Behörden festzulegen, die Marktüberwachung zu gewährleisten und klare Ansprechpartner für Unternehmen zu schaffen. Dies ist besonders relevant für Deutschland und Österreich als EU-Mitglieder. Die Schweiz, obwohl kein EU-Mitglied, wird sich aus Gründen der Interoperabilität und des Zugangs zum europäischen Markt voraussichtlich eng an den EU-Standards orientieren müssen.

In Deutschland hat die Bundesregierung am 11. Februar 2026 einen Gesetzentwurf zur Durchführung der europäischen KI-Verordnung beschlossen. Dies ist ein wichtiger Schritt, der Klarheit für deutsche Unternehmen schafft. Dem Entwurf zufolge wird der Bundesnetzagentur eine Schlüsselrolle zugewiesen. Sie soll ein Koordinierungs- und Kompetenzzentrum aufbauen, KI-Expertise bündeln und als zentrale Ansprechpartnerin für Unternehmen fungieren. Dies ist eine entscheidende Massnahme, um die komplexen Anforderungen der Verordnung in die Praxis zu übersetzen und Unternehmen bei der Umsetzung zu unterstützen. Die Bundesnetzagentur soll als zentrale Anlaufstelle fungieren, um Fragen zu beantworten, Leitlinien bereitzustellen und die Einhaltung der Vorschriften zu überwachen.

Zusätzlich ist geplant, mindestens ein sogenanntes KI-Reallabor einzurichten. In diesen Reallaboren können Unternehmen innovative KI-Systeme unter realistischen Bedingungen testen, bevor sie regulär auf den Markt kommen. Dies stellt insbesondere für kleine und mittelständische Unternehmen (KMU) und Start-ups einen echten Standortvorteil dar. Es ermöglicht ihnen, Innovationen voranzutreiben, ohne sofort mit dem vollen Umfang der regulatorischen Last konfrontiert zu werden. Solche Sandbox-Umgebungen sind entscheidend, um die Balance zwischen Regulierung und Innovationsförderung zu halten. Für Österreich und die Schweiz ist eine ähnliche institutionelle Kanalisierung zu erwarten, auch wenn die genauen Strukturen noch definiert werden müssen. Die Schweizer Bankiervereinigung unterstreicht bereits heute die Bedeutung von innovationsfreundlichen Rahmenbedingungen und der Bewältigung von Risiken im Finanzsektor, wo KI bereits zur Betrugserkennung und Prozessautomatisierung unverzichtbar ist. Eine enge Koordination mit den EU-Vorgaben ist auch hier unumgänglich.

Konkrete Handlungspflichten für Unternehmen

Für Unternehmen im DACH-Raum bedeutet der AI Act, dass sie sich intensiv mit den komplexen Anforderungen auseinandersetzen müssen. Die umfangreichsten Pflichten treffen Unternehmen, die als Anbieter von Hochrisiko-KI-Systemen definiert werden. Doch auch Nutzer und Importeure haben Pflichten. Eine genaue Analyse der eigenen Rolle im KI-Ökosystem ist daher der erste Schritt. Die Kernpflichten umfassen:

1. Risikomanagementsystem: Die Einrichtung eines robusten Systems zur Identifizierung, Bewertung und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems hinweg ist unerlässlich. Dies schliesst die regelmäßige Überprüfung und Aktualisierung des Systems ein. 2. Hochwertige Trainingsdaten: Die Verwendung von qualitativ hochwertigen, repräsentativen und ausreichend großen Trainingsdaten ist entscheidend, um Verzerrungen (Bias) zu vermeiden und die Genauigkeit, Robustheit und Sicherheit des KI-Systems zu gewährleisten. Daten-Governance-Strategien müssen entsprechend angepasst werden. 3. Technische Dokumentation: Eine umfassende technische Dokumentation, die die Konformität des Systems belegt, ist zwingend erforderlich. Sie muss detaillierte Informationen über das System, seine Komponenten, Trainingsdaten und Leistungsmerkmale enthalten, um Behörden die Überprüfung zu ermöglichen. 4. Menschliche Aufsicht (Human-in-the-Loop): Die Gewährleistung einer angemessenen menschlichen Aufsicht ist essenziell, um Fehlentscheidungen von KI-Systemen zu korrigieren und die Verantwortlichkeit zu sichern. Dies bedeutet, dass Menschen in der Lage sein müssen, die Entscheidungen der KI zu verstehen, zu interpretieren und gegebenenfalls einzugreifen. 5. Genauigkeit, Robustheit und Cybersicherheit: Hohe Anforderungen an die technische Leistungsfähigkeit und Sicherheit der KI-Systeme sind zu erfüllen. Systeme müssen so konzipiert sein, dass sie auch bei unvorhergesehenen Eingaben oder unter widrigen Bedingungen zuverlässig funktionieren und gegen Cyberangriffe geschützt sind. 6. Konformitätsbewertung: Hochrisiko-KI-Systeme müssen vor dem Inverkehrbringen einer Konformitätsbewertung unterzogen werden, entweder durch eine interne Bewertung oder durch eine Drittpartei, je nach Art des Systems. Dies bestätigt die Einhaltung aller gesetzlichen Anforderungen.

Darüber hinaus sind Unternehmen, die generative KI einsetzen, verpflichtet, Transparenzpflichten zu beachten. Dies beinhaltet die Offenlegung, dass Inhalte von einer KI generiert wurden, und die Einhaltung des Urheberrechts bei den verwendeten Trainingsdaten.

Strategische Herausforderungen und Wandel im Unternehmen

Die Einführung von KI-Technologien und die Anpassung an regulatorische Vorgaben sind mit erheblichen Herausforderungen für Unternehmen verbunden. Eine Umfrage unter 155 Unternehmen in Deutschland, Österreich und der Schweiz (DACH) Ende 2024 zeigte, dass KI in vielen Kernbereichen noch nicht vollumfänglich genutzt wird. Lediglich 23 Prozent setzen KI im Einkauf ein, 15 Prozent in der Supply Chain, 9 Prozent in der Produktion und jeweils 7 Prozent in Produktentwicklung und Finanzen. Diese Zahlen sind überraschend, da KI das Potenzial hat, den Fachkräftemangel auszugleichen, Prozesse zu optimieren und Risiken besser zu monitoren.

Ein zentrales Problem ist oft das fehlende strategische Vorgehen und die mangelnde Einbindung des Top-Managements. Die Akzeptanz und erfolgreiche Einführung von KI erfordert jedoch eine gut durchdachte Change-Management-Strategie. Diese muss frühzeitig Mitarbeiterinnen und Mitarbeiter einbeziehen und ihre Bedenken hinsichtlich Arbeitsplatzverlust oder Eingriffen in die Privatsphäre adressieren. Transparente Kommunikation und die Möglichkeit zur aktiven Mitgestaltung sind hier entscheidend.

Die IHK München betont, dass Unternehmen systematisch in rollenbasierte Trainingsprogramme investieren sollten. Dies soll ein ausreichendes Mass an KI- und Datenkompetenz in der Belegschaft gewährleisten. Ohne die notwendige Expertise kann die Potenziale der KI nicht ausgeschöpft und die Compliance-Anforderungen nicht erfüllt werden. Es geht darum, Mitarbeitende zu befähigen, mit KI-Systemen effektiv zu arbeiten und deren Ergebnisse kritisch zu bewerten. Nur so kann eine Befähigung statt Abhängigkeit erreicht werden.

Datenschutz und Datensouveränität: Eine Kernanforderung

Im Kontext des EU AI Act und der Datenschutz-Grundverordnung (DSGVO) spielt der Datenschutz eine herausragende Rolle. Unternehmen müssen sicherstellen, dass ihre Datenverarbeitung compliant ist, insbesondere bei der Nutzung von generativen KI-Tools wie ChatGPT. Die Verarbeitung personenbezogener Daten durch KI-Systeme birgt spezifische Risiken, die durch den AI Act zusätzlich adressiert werden. Die Anforderungen an Datenqualität, Datenherkunft und die Minimierung von Bias sind direkt mit dem Datenschutz verbunden.

Eine Cisco-Studie aus dem Januar 2024 zeigte, dass 35 Prozent der deutschen Unternehmen den Einsatz von KI aufgrund von Datenschutzbedenken sogar ganz verboten haben. Weitere 76 Prozent schränken die Dateneingabe in KI-Systeme erheblich ein. Dies verdeutlicht die Notwendigkeit robuster Datenschutzstrategien und die strikte Einhaltung der DSGVO, insbesondere bei der Verarbeitung personenbezogener Daten und der Sicherstellung der Datensouveränität. Die Bedenken sind berechtigt, da der unkontrollierte Einsatz von KI-Tools schnell zu Datenschutzverletzungen führen kann, etwa durch die Übertragung sensibler Unternehmensdaten an externe Modelle ohne klare Kontrolle über deren Speicherung und Nutzung.

Europäische Anbieter, die EU-Hosting in ISO-zertifizierten Rechenzentren und strikte Zero-Retention-Versprechen bieten, gewinnen hier an Attraktivität. Sie ermöglichen es Unternehmen, Compliance-Risiken im Zusammenhang mit dem US CLOUD Act zu vermeiden. Dieser gestattet US-Behörden unter bestimmten Umständen den Zugriff auf Daten, die von US-Anbietern, auch im Ausland, gespeichert werden. Die Wahl des richtigen Anbieters und der technischen Infrastruktur ist daher eine strategische Entscheidung, die sowohl die technische Leistungsfähigkeit als auch die rechtliche Sicherheit gewährleisten muss.

Praktische Handlungsempfehlungen für Unternehmen

Um den Anforderungen des EU AI Acts gerecht zu werden und die Chancen der KI zu nutzen, sollten DACH-Unternehmen folgende Schritte jetzt angehen:

1. Bestandsaufnahme und Klassifizierung: Identifizieren Sie alle im Unternehmen eingesetzten oder geplanten KI-Systeme. Klassifizieren Sie diese gemäß dem Risikoprofil des EU AI Acts, insbesondere im Hinblick auf Hochrisiko-Anwendungen. 2. Gap-Analyse: Führen Sie eine detaillierte Analyse durch, um festzustellen, welche internen Prozesse, Technologien und Governance-Strukturen angepasst werden müssen, um die Anforderungen des AI Acts zu erfüllen. 3. Governance-Struktur etablieren: Definieren Sie klare Verantwortlichkeiten für KI-Governance im Unternehmen. Dies sollte von der Führungsebene unterstützt werden und interdisziplinäre Teams einbeziehen (Recht, IT, Fachabteilungen). 4. Datenstrategie überarbeiten: Stellen Sie sicher, dass Ihre Datenstrategie die Anforderungen an Datenqualität, -herkunft und -schutz erfüllt. Implementieren Sie Mechanismen zur Vermeidung von Bias und zur Einhaltung der DSGVO. 5. Mitarbeiter schulen: Investieren Sie in rollenbasierte Schulungen für Mitarbeitende, die mit KI-Systemen arbeiten. Fördern Sie ein grundlegendes Verständnis für KI, ihre Potenziale und Risiken sowie die spezifischen Compliance-Anforderungen. 6. Technologische Anpassungen prüfen: Evaluieren Sie, ob Ihre aktuellen KI-Tools und -Infrastrukturen den Anforderungen an Genauigkeit, Robustheit, Cybersicherheit und menschliche Aufsicht genügen. Erwägen Sie europäische Lösungen für kritische Anwendungen. 7. Pilotprojekte für Hochrisiko-KI: Für Hochrisiko-KI-Systeme sollten Unternehmen den Einsatz von KI-Reallaboren prüfen, um Erfahrungen zu sammeln und die Konformität vor dem breiten Rollout sicherzustellen.

Kritische Einordnung aus Kapitel-H-Sicht

Die Einführung des EU AI Acts ist ein notwendiger Schritt, um den verantwortungsvollen Umgang mit Künstlicher Intelligenz zu gewährleisten. Doch wir von Kapitel H sehen die Herausforderungen für den Mittelstand im DACH-Raum klar. Der Gesetzestext ist komplex, die nationalen Umsetzungen sind noch im Fluss, und die technischen Anforderungen sind anspruchsvoll. Es besteht die Gefahr, dass Unternehmen durch die schiere Menge an Vorschriften gelähmt werden oder sich aus Angst vor Fehlern ganz von KI-Innovationen abwenden.

Wir betonen: KI ist kein Hype, sondern ein pragmatischer Hebel zur Effizienzsteigerung und zur Bewältigung von Fachkräftemangel. Der AI Act darf nicht als Bremsklotz verstanden werden, sondern als Rahmen für eine sichere und vertrauenswürdige Anwendung. Es geht darum, KI zu befähigen, nicht um Abhängigkeiten von wenigen Grossanbietern zu schaffen. Unternehmen müssen proaktiv agieren, nicht nur um Compliance zu gewährleisten, sondern um einen strategischen Vorteil zu erzielen. Wer jetzt die Hausaufgaben macht, kann nicht nur hohe Bussgelder vermeiden, sondern auch das Vertrauen von Kunden und Mitarbeitern stärken. Die Qualität der Daten und die Transparenz der Algorithmen sind keine optionalen Zusatzleistungen, sondern fundamentale Erfolgsfaktoren für jede zukunftsfähige KI-Strategie.

Die Schweiz wird sich an diesen Entwicklungen orientieren müssen, um ihre Wettbewerbsfähigkeit im europäischen Kontext nicht zu gefährden. Eine isolierte Betrachtung der KI-Regulierung ist in einem vernetzten Wirtschaftsraum nicht zielführend. Auch hier sind proaktive Schritte und eine sorgfältige Auseinandersetzung mit den Standards des EU AI Acts unumgänglich.

Fazit: Jetzt handeln, Chancen sichern

Die nächsten Monate sind für DACH-Unternehmen entscheidend, um ihre KI-Strategien an die Anforderungen des EU AI Acts anzupassen. Es geht nicht nur um die technische Implementierung, sondern auch um die Entwicklung einer umfassenden Governance-Struktur, die Sicherstellung von Datenqualität und -sicherheit sowie die gezielte Weiterbildung der Belegschaft. Der Fokus liegt darauf, KI nicht nur als Technologie zu sehen, sondern als strategischen Hebel. Wenn dieser verantwortungsvoll und compliant eingesetzt wird, kann er erhebliche Effizienzpotenziale erschliessen und die Wettbewerbsfähigkeit stärken.

Die lückenlose und frühzeitige Auseinandersetzung mit dem EU AI Act ist für DACH-Unternehmen unerlässlich. Dies dient nicht nur dazu, hohe Bussgelder zu vermeiden, die empfindlich ausfallen können, sondern vor allem, um die Chancen der KI voll auszuschöpfen. Wer jetzt in eine solide KI-Strategie und -Compliance investiert, positioniert sich als Innovationsführer und vertrauenswürdiger Akteur in einem sich schnell entwickelnden digitalen Markt.