EU AI Act: Entspannung bei Fristen, Handlungsbedarf für Unternehmen bleibt

Die europäische Gesetzgebung zur Künstlichen Intelligenz, der EU AI Act, ist ein zentrales Thema, das Unternehmen im gesamten DACH-Raum unmittelbar betrifft. Die jüngsten Entwicklungen, insbesondere die Einigung auf den sogenannten "Digital Omnibus", haben zwar zu einer Anpassung der Umsetzungsfristen für bestimmte Hochrisiko-KI-Systeme geführt. Es wäre jedoch ein Trugschluss, diese Anpassungen als eine generelle Entwarnung zu interpretieren. Im Gegenteil, sie verdeutlichen die anhaltende und dringende Notwendigkeit für deutschsprachige Unternehmen, ihre KI-Strategien und Compliance-Maßnahmen umfassend zu überprüfen und anzupassen. Die Zeit drängt, und es gibt bereits jetzt konkrete Pflichten, die beachtet werden müssen.

EU AI Act: Zeitplananpassungen für Hochrisiko-KI

Am 7. Mai 2026 haben das Europäische Parlament und der Rat eine politische Einigung über den "Digital Omnibus" erzielt. Diese Einigung hat das Ziel, den EU AI Act hinsichtlich der Implementierungsfristen für Hochrisiko-KI-Systeme zu vereinfachen und zu harmonisieren. Ursprünglich war vorgesehen, dass die strengen Vorschriften für Hochrisiko-KI-Systeme, welche in sensiblen Bereichen wie Biometrie, kritischen Infrastrukturen, Bildung und Beschäftigung zum Einsatz kommen, bereits ab August 2026 gelten sollten.

Die neue Vereinbarung verschiebt den Beginn der vollständigen Anwendung dieser Vorschriften. Für KI-Systeme, die in spezifischen Hochrisikobereichen gemäß Anhang III des AI Act eingesetzt werden, ist der 2. Dezember 2027 als neuer Stichtag festgelegt. Systeme, die in Produkte wie Aufzüge oder Spielzeuge integriert sind, wie in Anhang I aufgeführt, erhalten eine noch längere Frist bis zum 2. August 2028. Diese Verlängerung um 16 bis 24 Monate soll den Marktteilnehmern und Behörden die benötigte Zeit verschaffen, um technische Standards und unterstützende Instrumente bereitzustellen. Dies ist eine wichtige Massnahme, um eine reibungslose Implementierung zu ermöglichen, bevor die umfassende Anwendung der Vorschriften beginnt. Für kleine und mittlere Unternehmen, KMU, sind zudem Erleichterungen vorgesehen, insbesondere bei der Komplexität der technischen Dokumentation. Weiterhin werden die Kompetenzen des bei der EU-Kommission angesiedelten AI Office erweitert. Die Aufsicht über KI-Systeme, die auf generellen KI-Modellen basieren, soll zentralisiert werden, um eine Fragmentierung der Governance zu verhindern. Dies ist ein wichtiger Schritt, um die Einheitlichkeit und Effizienz der Regulierung zu gewährleisten.

Unveränderte Pflichten: Der unmittelbare Handlungsdruck

Trotz der Anpassungen bei Hochrisiko-KI-Systemen ist es entscheidend zu verstehen, dass andere fundamentale Teile des EU AI Act bereits in Kraft getreten sind oder in Kürze verbindlich werden. Der AI Act selbst ist bereits am 1. August 2024 stufenweise in Kraft getreten. Seit Februar 2025 sind die ersten Bestimmungen für Unternehmen verpflichtend. Dazu gehört das strikte Verbot von KI-Systemen mit einem unannehmbaren Risiko, wie beispielsweise manipulative Systeme oder biometrische Kategorisierung ohne explizite Berechtigung. Diese Systeme dürfen nicht entwickelt, angeboten oder eingesetzt werden, da sie als unvereinbar mit den europäischen Grundwerten eingestuft werden.

Eine besonders relevante und oft unterschätzte Pflicht, die bereits seit Februar 2025 für nahezu alle Unternehmen unmittelbar greift, ist die KI-Schulungspflicht nach Artikel 4. Unternehmen sind demnach verpflichtet, sicherzustellen, dass ihre Mitarbeiter, die mit Künstlicher Intelligenz arbeiten, über die erforderliche KI-Kompetenz verfügen. Dies bedeutet nicht nur eine Sensibilisierung für die Technologie, sondern auch ein Verständnis für deren Funktionsweise, Risiken und den verantwortungsvollen Umgang damit. Diese Grundanforderung ist elementar für eine sichere und effektive KI-Nutzung in der Praxis.

Ab dem 2. August 2026 treten zudem die Transparenzpflichten EU-weit in Kraft. Diese Vorschriften verlangen, dass Chatbots klar als KI-Systeme identifizierbar sein müssen. Weiterhin müssen alle KI-generierten Inhalte, seien es Texte, Bilder, Audio- oder Videomaterial, sowie sogenannte Deepfakes, als solche gekennzeichnet werden. Diese Regelung hat eine weitreichende Bedeutung und betrifft eine Vielzahl von Anwendungen, die bereits heute in vielen DACH-Unternehmen Standard sind, von der Erstellung von Marketingtexten bis hin zu Interaktionen mit Kundenservice-Chatbots. Die Einhaltung dieser Transparenzanforderungen ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein Faktor für das Vertrauen der Kunden und der Öffentlichkeit in KI-gestützte Dienste.

Nationale Durchsetzung und drohende Sanktionen

Die Umsetzung und Überwachung des EU AI Act liegt in der Verantwortung der nationalen Behörden. In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik, das BSI, als zuständige Marktüberwachungs- und notifizierende Behörde benannt. Ab August 2026 sind aktive Prüfungen und Kontrollen durch das BSI zu erwarten, auch wenn die vollständige Aufsicht über Hochrisiko-KI-Systeme erst mit den verschobenen Stichtagen 2027 und 2028 in vollem Umfang anläuft. Österreich hat ebenfalls Fortschritte bei der Etablierung nationaler Aufsichtsbehörden gemacht, wenngleich der ursprünglich ambitionierte Zeitplan vom 2. August 2025 nicht vollständig eingehalten werden konnte. Die Schaffung klarer Zuständigkeiten ist entscheidend für eine effektive Durchsetzung der neuen Regeln.

Die Konsequenzen einer Nichteinhaltung des KI-Gesetzes sind drastisch. Bei Verstößen gegen die strengsten Pflichten, insbesondere im Zusammenhang mit verbotenen KI-Systemen, können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Falsche oder irreführende Angaben können mit Strafen von bis zu 7,5 Millionen Euro oder 1,5 Prozent des Jahresumsatzes geahndet werden. Diese hohen potenziellen Sanktionen unterstreichen den immensen Compliance-Druck, der auf Unternehmen lastet. Es handelt sich hier nicht um Empfehlungen, sondern um verbindliche Rechtsnormen, deren Missachtung erhebliche finanzielle und reputative Risiken birgt.

Die KI-Kluft und strategische Implementierung als Wettbewerbsfaktor

Parallel zur regulatorischen Entwicklung offenbart sich in der deutschen Wirtschaft eine zunehmende "KI-Kluft". Diese Kluft trennt Unternehmen, die Künstliche Intelligenz bereits aktiv nutzen und daraus signifikante Vorteile ziehen, von denen, die noch zögern oder den Einsatz nur halbherzig angehen. Eine aktuelle TÜV-Studie aus dem Jahr 2026 belegt diesen Trend eindrucksvoll: 54 Prozent der Unternehmen, die KI aktiv einsetzen, verzeichnen starke oder sehr starke Steigerungen bei Produktivität und Effizienz. Im Gegensatz dazu liegt dieser Wert bei Betrieben ohne KI-Einsatz bei lediglich 14 Prozent. Dies ist ein deutlicher Hinweis auf das ungenutzte Potenzial.

Derzeit nutzen etwa 56 Prozent der befragten deutschen Unternehmen generative KI-Anwendungen wie ChatGPT, Gemini oder Copilot im Arbeitsalltag. Die Kluft wird jedoch oft nicht durch mangelnde Verfügbarkeit der Technologie vertieft, sondern durch das Fehlen einer aktiven Förderung des KI-Einsatzes innerhalb der Unternehmen. Viele Mitarbeiter könnten KI nutzen, tun dies aber nicht, weil die Programme zwar vorhanden sind, jedoch ohne klare Unterstützung und Integration in den Arbeitsalltag außen vor bleiben. Wenn Unternehmen ihre Belegschaft jedoch aktiv zur Nutzung ermutigen und entsprechende Rahmenbedingungen schaffen, steigt die Anwendungsrate signifikant. Dies verdeutlicht die Notwendigkeit eines umfassenden Change Managements und der Bereitstellung gezielter Schulungen. Diese sind nicht nur zur Einhaltung gesetzlicher Vorgaben, sondern auch zur Ausschöpfung des vollen Produktivitätspotenzials unerlässlich.

Die Integration von KI in bestehende Produktivitäts-Tools schreitet rasant voran. Seit Anfang Mai 2026 hat Microsoft 365 beispielsweise Anthropics Claude AI tief integriert. Dies führt zu einem fundamentalen Wandel in der Arbeitswelt. Spezialisierte Einzel-Apps für Textkorrektur, Projektmanagement oder Lesezeichen verlieren an Bedeutung, während KI-zentrale Plattformen den Markt erobern und zunehmend All-in-One-Lösungen anbieten. Diese Entwicklung hat weitreichende Konsequenzen, da viele Nutzer ihre Einzelabonnements für diverse Tools kündigen und zu integrierten Lösungen wechseln.

KI-Kompetenzen und Datensicherheit als Schlüsselfaktoren

Der Arbeitsmarkt reagiert bereits deutlich auf die zunehmende Verbreitung von KI. Laut dem "Jobs & Hiring Outlook Report 2026" von Indeed-Ökonomin Dr. Virginia Sondergeld nimmt die Bedeutung von KI-Fähigkeiten in Stellenausschreibungen rasant zu, und dies nicht nur in den klassischen Tech-Berufen. Im Personalwesen stieg der Anteil an KI-bezogenen Stellenausschreibungen im Jahr 2025 um 138,7 Prozent. Im Marketing waren es 123,2 Prozent. Dies zeigt, dass KI-Kompetenzen zunehmend zu einer grundlegenden Anforderung über alle Branchen hinweg werden. Unternehmen, die diese Entwicklung ignorieren, riskieren, im Wettbewerb um qualifizierte Fachkräfte ins Hintertreffen zu geraten.

Gleichzeitig bestehen weiterhin erhebliche Bedenken hinsichtlich Datenschutz und Datensicherheit. Eine aktuelle Cisco-Studie offenbart, dass jedes dritte deutsche Unternehmen den Einsatz generativer KI aufgrund von Datenschutzbedenken vollständig verbietet. Dies unterstreicht die enorme Wichtigkeit der DSGVO-Konformität bei der Auswahl und Implementierung von KI-Tools und -Lösungen. Anbieter wie OpenAI reagieren darauf, indem sie in ihren Enterprise-Versionen spezielle Datenverarbeitungsvereinbarungen, sogenannte DPA-Vereinbarungen, sowie EU-Data-Residency-Optionen anbieten. Solche Funktionen sind für Unternehmen im DACH-Raum von entscheidender Bedeutung, um rechtliche Risiken zu minimieren und das Vertrauen der Nutzer und Kunden zu erhalten.

Praktische Handlungsempfehlungen für Unternehmen

Um den Anforderungen des EU AI Act gerecht zu werden und gleichzeitig die Chancen der KI zu nutzen, sollten Unternehmen im DACH-Raum folgende Schritte unternehmen:

1. Risikobewertung und Inventarisierung: Führen Sie eine umfassende Inventur aller aktuell genutzten und geplanten KI-Systeme durch. Bewerten Sie jedes System hinsichtlich seines Risikoprofils gemäß dem EU AI Act. Identifizieren Sie, welche Systeme unter die Kategorien mit unannehmbarem Risiko, Hochrisiko, geringem Risiko oder minimalem Risiko fallen. Das schafft Transparenz über den Handlungsbedarf. 2. Schulungs- und Kompetenzentwicklung: Setzen Sie die KI-Schulungspflicht proaktiv um. Entwickeln Sie maßgeschneiderte Schulungsprogramme für Ihre Mitarbeiter, die mit KI arbeiten. Dies sollte ein grundlegendes Verständnis der KI-Funktionsweise, der ethischen Implikationen, der Sicherheitsaspekte und der spezifischen Nutzung relevanter Tools umfassen. Eine Zertifizierung kann hier sinnvoll sein. 3. Implementierung von Transparenzmechanismen: Bereiten Sie sich auf die Transparenzpflichten ab August 2026 vor. Stellen Sie sicher, dass alle Chatbots und KI-generierten Inhalte klar als solche gekennzeichnet werden. Prüfen Sie interne Prozesse, um diese Kennzeichnungspflicht technisch und organisatorisch umzusetzen. 4. Datenschutz- und Sicherheits-Audit: Überprüfen Sie alle KI-Anwendungen und -Tools auf ihre DSGVO-Konformität und Datensicherheit. Bevorzugen Sie Anbieter, die DPA-Vereinbarungen und EU-Data-Residency-Optionen anbieten, um die Souveränität Ihrer Daten zu gewährleisten. Implementieren Sie interne Richtlinien für den sicheren Umgang mit generativer KI. 5. Strategisches Change Management: Fördern Sie den aktiven Einsatz von KI im Unternehmen durch eine klare Strategie und entsprechende Unterstützung. Initiieren Sie Pilotprojekte, schaffen Sie interne Expertennetzwerke und bieten Sie konkrete Anwendungsbeispiele, um die Akzeptanz und Produktivität zu steigern. Begleiten Sie den Wandel aktiv. 6. Rechtliche Beratung und Governance: Konsultieren Sie spezialisierte Rechtsberater, um die komplexen Anforderungen des EU AI Act für Ihre spezifischen Anwendungsfälle zu interpretieren. Etablieren Sie eine interne Governance-Struktur, die für die Einhaltung der KI-Vorschriften verantwortlich ist und regelmäßige Überprüfungen durchführt.

Kritische Einordnung aus Kapitel H Sicht

Die Anpassungen des EU AI Act sind ein pragmatischer Schritt, der die Realitäten der Implementierung komplexer Regularien berücksichtigt. Es ist jedoch essenziell, die Botschaft hinter diesen Fristverschiebungen nicht misszuverstehen. Sie bieten keine Freifahrtsschein, sondern eine verlängerte Vorbereitungszeit, die klug genutzt werden muss. Kapitel H warnt davor, in eine Wartehaltung zu verfallen. Die Erfahrung zeigt, dass Unternehmen, die proaktiv handeln und die Integration von KI strategisch angehen, einen klaren Wettbewerbsvorteil erzielen.

Die Diskussion um Hochrisiko-KI darf nicht den Blick von den bereits geltenden und den bald wirksamen, breiten Pflichten verstellen. Die Schulungspflicht für Mitarbeiter und die Transparenzanforderungen sind keine Randthemen, sondern bilden das Fundament für einen verantwortungsvollen und rechtssicheren Einsatz von KI. Diese Bereiche erfordern sofortiges Handeln und dürfen nicht auf die lange Bank geschoben werden. Der Fokus sollte darauf liegen, konkrete Prozesse zu etablieren und die Mitarbeiter zu befähigen, anstatt auf Hype-Themen zu setzen. Die drohenden Sanktionen sind keine leere Drohung, sondern spiegeln den Ernst wider, den die EU dem Thema beimisst. Unternehmen, die sich jetzt mit den Grundlagen auseinandersetzen, schaffen eine solide Basis für zukünftige Entwicklungen und können die Chancen der KI sicher und effektiv nutzen.

Fazit: Jetzt handeln, Zukunft sichern

Die jüngsten Anpassungen des EU AI Act, insbesondere die Fristverschiebungen für Hochrisiko-KI-Systeme, bieten DACH-Unternehmen eine Atempause. Diese sollte jedoch nicht missverstanden werden. Der Handlungsdruck ist keineswegs gesunken, sondern hat sich auf die bereits geltenden und die in Kürze wirksamen Pflichten verlagert. Die KI-Schulungspflicht und die Transparenzanforderungen sind absehbar und erfordern eine unmittelbare Umsetzung. Wer jetzt handelt, schützt sich nicht nur vor hohen Bußgeldern, sondern sichert sich auch einen entscheidenden Wettbewerbsvorteil.

Die "KI-Kluft" verdeutlicht, dass eine strategische, gut gemanagte Einführung von KI der Schlüssel zu Produktivitätssteigerung und Zukunftsfähigkeit ist. Investitionen in die Qualifizierung der Mitarbeiter, die Auswahl datenschutzkonformer Tools und der Aufbau einer klaren Governance-Struktur sind unerlässlich. Nur so können Unternehmen die vielfältigen Potenziale der Künstlichen Intelligenz verantwortungsvoll nutzen und gleichzeitig rechtliche Risiken minimieren. Warten ist keine Option. Die Zeit für eine fundierte KI-Strategie ist jetzt.