EU AI Act: Das Ende der Beobachtung, Beginn der Umsetzung für den DACH-Mittelstand

Der EU AI Act ist seit seiner Verabschiedung im März 2024 ein Dauerthema in der europäischen Wirtschaftslandschaft. Doch während viele Unternehmen im DACH-Raum die Entwicklung bisher aus einer beobachtenden Position verfolgten, markiert das Jahr 2026 den Zeitpunkt, an dem die Theorie endgültig der Praxis weicht. Die fortschreitende Umsetzung dieses weltweit einzigartigen Regelwerks fordert vom Mittelstand jetzt sofortiges und proaktives Handeln. Es geht nicht mehr um die Frage, ob man sich mit Künstlicher Intelligenz auseinandersetzen sollte, sondern wie man diese im Einklang mit klaren gesetzlichen Vorgaben sicher und verantwortungsvoll einsetzt.

Die Tragweite des EU AI Act wird von vielen noch unterschätzt. Er ist kein Nischengesetz für spezialisierte KI-Entwickler, sondern ein umfassender Rahmen, der nahezu jede Form des Einsatzes von KI in europäischen Unternehmen neu definiert. Von automatisierten HR-Prozessen über prädiktive Wartung in der Industrie bis hin zu Kundeninteraktionstools, die auf maschinellem Lernen basieren, sind alle Anwendungen betroffen, die Daten verarbeiten und daraus eigenständige Entscheidungen oder Handlungsempfehlungen ableiten. Für den DACH-Mittelstand bedeutet dies eine tiefgreifende Revision der internen Prozesse, der IT-Infrastruktur und der strategischen Ausrichtung im Bereich der Digitalisierung. Es ist eine Notwendigkeit, die jetzt anzugehen ist, um nicht nur Strafen zu vermeiden, sondern auch das Vertrauen der Kunden zu wahren und die eigene Wettbewerbsfähigkeit zu stärken.

Der EU AI Act in Kürze: Hintergrund und Zeitplan

Der EU AI Act ist das erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz weltweit. Sein Kernprinzip ist ein risikobasierter Ansatz, der KI-Systeme in vier Kategorien einteilt: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit inakzeptablem Risiko, wie etwa Social Scoring durch den Staat oder bestimmte manipulative Techniken, sind gänzlich verboten. Der Fokus der Regulierung liegt auf Hochrisiko-KI, die in kritischen Bereichen wie Gesundheit, Verkehr, Bildung, Personalmanagement, Strafverfolgung oder im Management kritischer Infrastrukturen eingesetzt wird. Für diese Systeme gelten die strengsten Auflagen, um potenzielle Schäden für Gesundheit, Sicherheit und Grundrechte zu minimieren. Systeme mit begrenztem Risiko erfordern vor allem Transparenzpflichten, während Systeme mit minimalem Risiko weitgehend unreguliert bleiben, jedoch zur Einhaltung freiwilliger Verhaltenskodizes ermutigt werden.

Der Gesetzgebungsprozess wurde im März 2024 mit der Zustimmung des Europäischen Parlaments abgeschlossen, gefolgt von der finalen Billigung durch den Rat der EU. Mit dem Inkrafttreten der Verordnung begann eine gestaffelte Übergangsphase. Bereits nach sechs Monaten, also im Herbst 2024, traten die Verbote für KI-Systeme mit inakzeptablem Risiko in Kraft. Nach zwölf Monaten, voraussichtlich im Frühjahr 2025, folgten die Vorschriften für allgemeine KI-Modelle. Die umfassendsten Anforderungen für Hochrisiko-KI-Systeme treten nach 24 Monaten in Kraft, also im Frühjahr 2026. Spezielle Verpflichtungen für bestimmte Hochrisiko-Systeme haben eine Frist von 36 Monaten. Diese gestaffelten Fristen bedeuten, dass für viele Unternehmen im DACH-Raum der Handlungsdruck bereits erheblich ist oder unmittelbar bevorsteht. Insbesondere die kommenden Monate des Jahres 2026 werden entscheidend sein, da die ersten umfassenden Compliance-Pflichten für Hochrisiko-KI-Systeme verbindlich werden. Eine weitere Verzögerung ist daher keine Option mehr.

Handlungsfeld 1: KI-Systeme identifizieren und klassifizieren

Der erste und oft unterschätzte Schritt ist die umfassende Bestandsaufnahme und Klassifizierung aller im Unternehmen genutzten oder angebotenen KI-Systeme. Viele mittelständische Unternehmen setzen KI-Komponenten bereits ein, ohne sich der detaillierten Definition des AI Act oder der damit verbundenen Risikokategorisierung bewusst zu sein. KI ist heute oft in Standardsoftware, ERP-Systemen, Cloud-Diensten oder spezialisierten Tools integriert. Eine oberflächliche Betrachtung reicht hier nicht aus. Es erfordert eine systematische Analyse aller digitalen Prozesse und Anwendungen.

Ein produzierendes Unternehmen in Österreich könnte beispielsweise eine Predictive-Maintenance-Lösung nutzen, die mittels KI den Verschleiß von Maschinenkomponenten vorhersagt. Wenn die Ausfallprognose dieser Software direkte Auswirkungen auf die Sicherheit von Mitarbeitern oder die Funktionsfähigkeit kritischer Infrastruktur hat, könnte sie als Hochrisiko-KI eingestuft werden. Ein anderes Beispiel ist ein Personalberatungsunternehmen in Deutschland, das ein KI-gestütztes Tool zur Vorauswahl von Bewerbern einsetzt. Da dies den Zugang zu Beschäftigungsmöglichkeiten beeinflusst, fällt es klar in die Hochrisiko-Kategorie „Beschäftigung und Personalmanagement“. Ebenso kann eine Software, die zur Kreditwürdigkeitsprüfung oder für die Risikobewertung im Finanzbereich eingesetzt wird, als Hochrisiko-KI gelten. Die Identifikation dieser Systeme muss proaktiv und unter Einbindung relevanter Fachabteilungen erfolgen. Dazu gehört die IT, die Rechtsabteilung, das Produktmanagement und die Geschäftsführung. Ohne diese initiale Bestandsaufnahme ist es unmöglich, die nachfolgenden Compliance-Anforderungen gezielt umzusetzen.

Handlungsfeld 2: Hohe Compliance-Anforderungen für Hochrisiko-KI

Sobald ein KI-System als Hochrisiko klassifiziert wurde, sind umfassende und anspruchsvolle Compliance-Maßnahmen erforderlich. Diese stellen für den Mittelstand erhebliche Investitionen und organisatorische Anpassungen dar:

* Risikomanagementsysteme: Unternehmen müssen ein robustes System zur kontinuierlichen Bewertung und Minderung von Risiken etablieren. Dies beinhaltet die Identifikation potenzieller Risiken über den gesamten Lebenszyklus der KI, von der Entwicklung bis zum Einsatz, und die Implementierung von Maßnahmen zu deren Kontrolle. Dies ist kein einmaliger Prozess, sondern eine fortlaufende Aufgabe. * Datenqualität und Governance: Die Qualität der Trainings-, Validierungs- und Testdaten ist entscheidend. Fehlerhafte, unvollständige oder voreingenommene Daten können zu diskriminierenden oder fehlerhaften KI-Ergebnissen führen. Unternehmen müssen Prozesse zur Sicherstellung hoher Datenqualität, zur Bias-Erkennung und zur Datenherkunftsdokumentation einführen. Dies erfordert klare Daten-Governance-Strukturen und möglicherweise neue Rollen im Datenmanagement. * Technische Dokumentation und Aufzeichnung: Eine detaillierte technische Dokumentation über die Funktionsweise, die Entwicklungsphasen, die verwendeten Datensätze und die Ergebnisse der Konformitätsbewertung ist Pflicht. Dies dient der Transparenz und der Nachvollziehbarkeit im Falle einer Überprüfung. Die Anforderungen an diese Dokumentation sind umfangreich und erfordern präzise Aufzeichnungsprozesse. * Menschliche Aufsicht: Hochrisiko-KI-Systeme dürfen nicht vollständig autonom agieren. Eine effektive menschliche Aufsicht muss gewährleistet sein, sodass Personen in der Lage sind, die Ergebnisse der KI zu interpretieren, zu validieren und gegebenenfalls manuelle Korrekturen vorzunehmen oder die KI abzuschalten. Dies erfordert nicht nur technische Schnittstellen, sondern auch geschultes Personal, das die Grenzen und Fähigkeiten der KI versteht. * Robustheit, Genauigkeit und Cybersicherheit: KI-Systeme müssen technisch robust sein, d.h., sie müssen auch unter suboptimalen Bedingungen zuverlässig funktionieren und gegen Angriffe von außen oder Manipulationen geschützt sein. Die Genauigkeit der Ergebnisse muss nachweisbar sein, und ein umfassendes Cybersicherheitskonzept muss die KI-Systeme und die verarbeiteten Daten schützen. Regelmäßige Penetrationstests und Sicherheitsaudits werden zur Norm. * Qualitätsmanagementsystem: Die Entwicklung, das Inverkehrbringen und der Betrieb von Hochrisiko-KI-Systemen müssen in bestehende Qualitätsmanagementsysteme, beispielsweise nach ISO 9001, integriert werden. Dies sichert eine systematische und kontrollierte Vorgehensweise über den gesamten Lebenszyklus der KI. * Konformitätsbewertung: Vor dem Inverkehrbringen oder der Inbetriebnahme eines Hochrisiko-KI-Systems muss ein Konformitätsbewertungsverfahren durchgeführt werden. Dies kann eine interne Bewertung oder, bei bestimmten kritischen Systemen, eine externe Bewertung durch eine benannte Stelle erfordern. Dies ist vergleichbar mit der CE-Kennzeichnung für Produkte und bestätigt die Einhaltung aller gesetzlichen Anforderungen.

Kosten, Ressourcen und die Herausforderung für Schweizer Unternehmen

Die Umsetzung der oben genannten Compliance-Anforderungen ist für den Mittelstand mit erheblichen Kosten und einem beträchtlichen Ressourcenaufwand verbunden. Erste Schätzungen deuten darauf hin, dass die initialen Kosten für die Anpassung eines einzelnen Hochrisiko-KI-Systems in den Zehntausenden bis in den sechsstelligen Bereich reichen können, je nach Komplexität und Grad der bereits bestehenden Prozesse. Diese Kosten umfassen nicht nur direkte Investitionen in Software und Hardware, sondern auch Ausgaben für externe Beratungsleistungen, Schulungen der Mitarbeiter, die Etablierung neuer Prozesse und die Schaffung neuer Stellen oder die Umwidmung bestehender Personalressourcen. Die laufenden Kosten für Überwachung, Wartung, Auditierung und Aktualisierung der Systeme müssen ebenfalls berücksichtigt werden und können ebenfalls einen nicht unerheblichen Posten darstellen.

Für Schweizer Unternehmen, die nicht direkt Mitglied der EU sind, ergeben sich zusätzliche Komplexitäten. Obwohl der EU AI Act keine direkte Gültigkeit auf Schweizer Staatsgebiet hat, sind Unternehmen, die Produkte oder Dienstleistungen in den EU-Binnenmarkt liefern oder dort KI-Systeme betreiben, gezwungen, die Anforderungen des Acts zu erfüllen. Der sogenannte