EU AI Act: Fristverlängerung strategisch nutzen und Compliance aufbauen

Die europäische Gesetzgebung zur Künstlichen Intelligenz, der sogenannte EU AI Act, nimmt konkretere Formen an. Eine wichtige, am 7. Mai 2026 erzielte provisorische Einigung zwischen dem Europäischen Parlament und dem Rat zur Novellierung des EU AI Act, ist für die deutschsprachige Arbeitswelt von hoher Relevanz. Sie bringt sowohl Erleichterungen in Form von verlängerten Fristen für die Implementierung von Hochrisiko-KI-Systemen als auch präzisere Verbote bestimmter problematischer KI-Anwendungen mit sich. Für Unternehmen im DACH-Raum bedeutet dies eine notwendige Anpassung ihrer Strategien, um die kommenden Compliance-Anforderungen zu erfüllen und gleichzeitig die Chancen der Künstlichen Intelligenz verantwortungsvoll zu nutzen. Es ist ein kritischer Zeitpunkt, um von einer reaktiven zu einer proaktiven Haltung überzugehen.

Verlängerte Fristen und präzisierte Verbote: Was die neue Einigung bedeutet

Nach zähen Verhandlungen, die Ende April 2026 in einem vorläufigen Scheitern der sogenannten „Digital Omnibus“-Initiative mündeten, konnte am 7. Mai eine entscheidende Einigung erzielt werden. Die EU-Gesetzgeber haben eine Verlängerung der Frist für die Umsetzung der Compliance-Anforderungen für Hochrisiko-KI-Systeme um bis zu 16 Monate vereinbart. Dies verschiebt die vollständige Anwendbarkeit dieser spezifischen Regeln auf Dezember 2027 für Anhang III-Systeme beziehungsweise August 2028 für Anhang I-Systeme. Ursprünglich war der 2. August 2026 für die meisten Regelungen vorgesehen. Die formale Annahme dieser politischen Einigung wird bis spätestens Ende Juli 2026 erwartet.

Diese Fristverlängerung ist keine Willkür, sondern eine direkte Reaktion auf die Sorgen vieler Unternehmen. Insbesondere der Maschinenbausektor in Deutschland hatte Bedenken hinsichtlich der Komplexität und des bürokratischen Aufwands der ursprünglichen Bestimmungen geäußert. Deutschland hatte sich Berichten zufolge für spezifische Ausnahmen und längere Übergangsfristen starkgemacht. Der nun gefundene Kompromiss sieht daher vor, dass die Anwendung der KI-Verordnung dort begrenzt wird, wo sektorale Sicherheitsanforderungen bereits vergleichbare KI-Regeln enthalten. Dies zeigt, dass die Gesetzgebung versucht, pragmatische Lösungen zu finden, die die Innovationskraft nicht unnötig bremsen.

Gleichzeitig wurden die Verbotslisten im AI Act präzisiert und erweitert. Explizit verboten sind nun KI-Anwendungen, die ohne Einwilligung intime Bildmontagen realer Personen, sogenannte „Nudifier Apps“, erzeugen. Ebenfalls untersagt ist die KI-gestützte Erzeugung von Darstellungen sexuellen Kindesmissbrauchs. Diese Ergänzungen unterstreichen den Fokus des AI Acts auf den Schutz von Grundrechten und die Eindämmung potenziell schädlicher KI-Anwendungen. Die Botschaft ist klar: Während Innovation gefördert wird, sind ethische Grenzen und der Schutz der Gesellschaft nicht verhandelbar. Unternehmen müssen sicherstellen, dass ihre KI-Anwendungen nicht in solche verbotenen Bereiche fallen, weder direkt noch indirekt durch Missbrauch ihrer Technologie.

Der Zeitplan des EU AI Act: Was bereits gilt und was noch kommt

Die Fristverlängerungen für Hochrisiko-KI-Systeme sind eine Erleichterung, sollten jedoch nicht dazu führen, die Umsetzung aufzuschieben. Wichtige Teile des EU AI Acts sind bereits in Kraft oder treten in Kürze in Kraft. Ein Überblick über die verschiedenen Phasen ist unerlässlich:

* Seit dem 2. Februar 2025 gelten die allgemeinen Bestimmungen. Dazu gehören die Definitionen von KI und die Verpflichtung zur Sicherstellung von KI-Kompetenzen. Ebenfalls in Kraft getreten sind die Verbote von KI-Praktiken mit „inakzeptablem Risiko“. Dies umfasst Systeme, die Nutzer gezielt manipulieren oder ohne Berechtigung biometrische Daten klassifizieren. Bei Verstößen drohen bereits jetzt empfindliche Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes. Unternehmen sind demnach bereits jetzt verpflichtet, die KI-Kompetenz ihrer Mitarbeiter sicherzustellen, die mit Künstlicher Intelligenz arbeiten, und die Nutzung verbotener Systeme zu unterbinden. Eine Bestandsaufnahme der eingesetzten KI-Systeme ist hierfür der erste Schritt.

* Ab dem 2. August 2025 werden die Pflichten für Anbieter von „General-Purpose AI“ (GPAI)-Modellen, wie zum Beispiel Large Language Models, anwendbar. Zudem müssen die nationalen Aufsichtsbehörden benannt und nationale Gesetze zu den Strafen verabschiedet sein. Die meisten DACH-Mittelstandsunternehmen werden diese GPAI-Modelle einsetzen, nicht selbst entwickeln. Dennoch sind sie als Downstream-Anbieter von den Anforderungen indirekt betroffen. Das bedeutet, sie müssen sich mit den Vorgaben für die Nutzung und Integration solcher Modelle auseinandersetzen, auch wenn sie nicht die primären Entwickler sind. Die Auswahl von GPAI-Modellen wird somit zu einer Frage der Compliance und der verantwortungsvollen Beschaffung.

* Ab dem 2. August 2026 treten die Mehrzahl der Regeln des AI Acts in Kraft, und die Durchsetzung beginnt. Dazu gehören die Regeln für Hochrisiko-KI-Systeme, die in Anhang III aufgeführt sind, sofern sie nicht unter die oben genannten Fristverlängerungen fallen. Dies betrifft beispielsweise Anwendungen, die personenbezogene Daten für medizinische oder finanzielle Profile auswerten, Bewerbungen sichten oder kritische Infrastruktur steuern. Unternehmen, die in diesen Bereichen KI einsetzen, fallen unter strenge Pflichten. Diese umfassen die Etablierung von Risikomanagementsystemen, die Sicherstellung einer robusten Datengovernance, die Erstellung technischer Dokumentation, umfassendes Logging, Transparenzmechanismen, menschliche Aufsicht, Gewährleistung von Genauigkeit, Cybersicherheit sowie die Registrierung in der EU-Datenbank. Die Einführung dieser Maßnahmen erfordert einen erheblichen Aufwand und eine frühzeitige Planung.

* Die vollständige Anwendbarkeit des AI Acts mit allen verbleibenden Verpflichtungen wird bis zum 2. August 2027 erwartet. Dies ist der letzte Stichtag für die umfassende Umsetzung aller Anforderungen, einschliesslich der zuletzt verlängerten Fristen für bestimmte Hochrisiko-Systeme.

Herausforderungen und Implikationen für den DACH-Mittelstand

Die gewährte Fristverlängerung ist eine Atempause, jedoch keine Entwarnung. Sie darf nicht dazu verleiten, die Umsetzung auf die lange Bank zu schieben. Eine aktuelle Umfrage unter über 1.000 CIOs zeigt, dass nur 37 Prozent volle Transparenz über die in ihrer Organisation eingesetzte KI haben. Dies ist ein alarmierender Wert, der Handlungsbedarf signalisiert. Der „Digital Chiefs“-Report zur KI-Governance 2026 hebt hervor, dass viele DACH-Vorstände noch mit einem manuellen Compliance-Modell arbeiten. Ein solches Modell stößt bei einer steigenden Anzahl produktiver KI-Systeme unweigerlich an seine Grenzen und ist weder skalierbar noch effizient.

Die KBD KI-Beratung Deutschland beobachtet, dass viele mittelständische Unternehmen nicht an fehlendem Interesse scheitern, sondern an einem unklaren Einstieg. Oft werden einzelne KI-Tools getestet, ohne vorher Prozesse, Datenquellen, Verantwortlichkeiten, Datenschutzanforderungen und Erfolgskriterien sauber zu definieren. Dieser fragmentierte Ansatz führt selten zu belastbaren Ergebnissen für Produktivität, Kostenersparnis oder Prozessqualität. Stattdessen entstehen Insellösungen, die nicht in die bestehende Unternehmensarchitektur integrierbar sind und weitere Risiken bergen.

Besonders kritisch ist die Situation in Bezug auf „Shadow AI“, also unkontrolliert eingesetzte KI-Anwendungen, die ausserhalb der IT-Governance implementiert werden. Diese stellen eine wachsende Gefahr dar und verursachten 2025 in jedem fünften Fall Datenlecks. Die EU-Gesetzgebung erfordert daher einen systemischen Ansatz für KI-Governance, statt isolierter manueller Prüfungen. Es geht darum, Transparenz zu schaffen, Risiken zu identifizieren und geeignete Kontrollmechanismen zu etablieren, die über den gesamten Lebenszyklus einer KI-Anwendung greifen. Die mangelnde Sichtbarkeit von Shadow AI Systemen macht eine effektive Risikobewertung und Compliance-Sicherstellung nahezu unmöglich und birgt erhebliche rechtliche sowie finanzielle Risiken.

Strategische Handlungsempfehlungen für Ihr Unternehmen

Um den EU AI Act nicht als Bürde, sondern als Chance zu begreifen, sollten DACH-Unternehmen die folgenden strategischen Empfehlungen beherzigen:

1. Ganzheitliche KI-Strategie entwickeln: Betrachten Sie KI als strategisches Programm, nicht als reines IT-Projekt. Eine klare, unternehmensweite KI-Strategie, die Geschäftsmodell, Struktur, Datenbasis und Kommunikationsstrategie umfasst, ist entscheidend. Dies bedeutet, dass die Geschäftsführung die Federführung übernimmt und nicht nur die IT-Abteilung. Definieren Sie klare Ziele, wie KI zur Wertschöpfung beitragen soll, und welche Prozesse optimiert werden können. Priorisieren Sie Anwendungsfälle basierend auf ihrem Potenzial für den Geschäftserfolg und ihre Risikoklassifizierung nach dem AI Act.

2. Compliance als Wettbewerbsvorteil verstehen: Die Anforderungen des EU AI Acts dürfen nicht als bloße Belastung, sondern als Chance zur Schaffung von Vertrauen und Wettbewerbsfähigkeit verstanden werden. Unternehmen, die eine robuste KI-Governance aufbauen, minimieren nicht nur Bußgeldrisiken, sondern stärken auch das Vertrauen von Kunden und Partnern. Eine transparente und ethisch korrekte Nutzung von KI kann ein Alleinstellungsmerkmal sein und die Kundenbindung erhöhen. Zeigen Sie proaktiv, dass Ihr Unternehmen die Verantwortung ernst nimmt.

3. Investition in KI-Kompetenzen und Change Management: Die Arbeitswelt wird durch KI grundlegend transformiert. Laut dem „The Future of Jobs Report 2025“ könnten bis 2030 rund 39 Prozent der bestehenden Qualifikationen an Relevanz verlieren. Unternehmen müssen daher in die Weiterqualifizierung ihrer Mitarbeitenden investieren und Change-Management-Prozesse aktiv gestalten, um Berührungsängste abzubauen und Widerstände zu überwinden. Eine aktuelle Studie von Haufe zeigt zudem, dass KI-Kompetenzen zunehmend zum Vergütungsthema werden. Entwickeln Sie interne Schulungsprogramme, fördern Sie den Austausch und schaffen Sie eine Kultur, die Offenheit gegenüber neuen Technologien zulässt und die kontinuierliche Weiterentwicklung der Mitarbeiter in den Fokus rückt.

4. Fokus auf Datensouveränität und Sicherheit: Angesichts geopolitischer Spannungen und der steigenden Relevanz von Datensicherheit verlagern viele Unternehmen Daten und Workloads in souveräne oder regionale Clouds, die sogenannte „Geopatriation“. AI Security Platforms, die den gesamten Lebenszyklus von KI-Anwendungen absichern, vom Modelltraining über Datenqualität bis hin zu Richtlinien-Management und Angriffserkennung, werden unerlässlich. Investieren Sie in entsprechende Technologien und Prozesse, um die Integrität, Vertraulichkeit und Verfügbarkeit Ihrer Daten und KI-Modelle zu gewährleisten. Dies ist nicht nur eine technische, sondern auch eine strategische Entscheidung, um Resilienz und Unabhängigkeit zu sichern.

5. Agentic AI verantwortungsvoll einführen: Während die Technologie der KI-Agenten rasant voranschreitet und Tech-Giganten wie Salesforce, Microsoft und Google neue autonome Systeme für die Büroarbeit einführen, bleibt der tatsächliche Business-Value vieler Pilotprojekte noch gering. Nur 5 Prozent der KI-Agenten-Piloten liefern messbaren Geschäftswert. Unternehmen sollten hier zunächst auf klar definierte Workflows mit nachvollziehbaren Eingaben und messbaren Ergebnissen setzen. Menschliche Kontrolle bei regulierten oder komplexen Aufgaben muss beibehalten werden. Vermeiden Sie den blinden Hype und konzentrieren Sie sich auf Anwendungsfälle, bei denen der Nutzen klar ist und die Risiken beherrschbar bleiben.

Die Schweiz, obwohl kein EU-Mitglied, ist ebenfalls von diesen Entwicklungen betroffen. Der Bundesrat hat im März 2026 eine Digitalstrategie mit klarem KI-Fokus verabschiedet, die digitale Souveränität und KI-Innovation betont. Die Schweiz hat zudem im März 2025 die Konvention des Europarats zu KI unterzeichnet und diskutiert Maßnahmen zur Umsetzung. Dazu gehören Selbstverpflichtungserklärungen von Branchen, Ethikkodizes und Standards, um Transparenz und Nachvollziehbarkeit von KI zu gewährleisten. Dies zeigt, dass auch außerhalb der EU ein starkes Bewusstsein für die Notwendigkeit einer Regulierung und verantwortungsvollen Nutzung von KI besteht. Schweizer Unternehmen sollten daher die Entwicklungen in der EU genau verfolgen und proaktiv eigene Richtlinien entwickeln, die den europäischen Standards entsprechen oder diese sogar übertreffen.

Fazit: Jetzt handeln, Zukunft gestalten

Die jüngste Einigung zum EU AI Act ist ein Wendepunkt für Unternehmen im DACH-Raum. Die verlängerten Fristen für Hochrisiko-KI-Systeme bieten ein wertvolles Zeitfenster, das es strategisch zu nutzen gilt. Wer jetzt die Weichen stellt, eine fundierte KI-Strategie entwickelt, in Kompetenzen investiert und eine robuste Governance etabliert, sichert sich nicht nur rechtlich ab, sondern schafft echte Wettbewerbsvorteile. Warten Sie nicht auf den letzten Stichtag, sondern beginnen Sie heute, Ihre Organisation zukunftsfähig aufzustellen. Eine proaktive Haltung ermöglicht es Ihnen, von den Chancen der Künstlichen Intelligenz zu profitieren und gleichzeitig die Risiken verantwortungsvoll zu managen. Kapitel H steht Ihnen dabei als Partner zur Seite, um Sie auf diesem Weg der Befähigung zu begleiten, anstatt Abhängigkeiten zu schaffen.