EU AI Act: Fristverschiebung und die strategische Chance für den DACH-Mittelstand

Künstliche Intelligenz ist nicht mehr nur ein Konzept, sondern eine treibende Kraft, die die Arbeitswelt grundlegend verändert. Für Unternehmen im DACH-Raum stellt sich dabei nicht nur die Frage nach dem 'Ob' der KI-Nutzung, sondern zunehmend nach dem 'Wie' und 'Wo' unter Berücksichtigung regulatorischer Rahmenbedingungen. Eine aktuelle und relevante Entwicklung betrifft den EU AI Act, das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz.

Am 8. Mai 2026 wurde bekannt gegeben, dass sich EU-Parlament und Rat auf eine deutliche Verschiebung und Vereinfachung zentraler Vorgaben geeinigt haben. Insbesondere die strengsten Auflagen für Hochrisiko-KI-Systeme werden um 16 Monate nach hinten verschoben. Diese Anpassung ist eine direkte Reaktion auf Bedenken aus der Industrie, vor allem des Mittelstands, die eine Überforderung durch den ursprünglich ambitionierten Zeitplan befürchtete. Für zahlreiche Unternehmen im DACH-Raum, die ohnehin schon mit der Implementierung der DSGVO und anderen Compliance-Aufgaben beschäftigt sind, bietet dies eine wichtige Atempause. Es ist jedoch keine Einladung zur Untätigkeit, sondern vielmehr eine strategische Chance zur Neuausrichtung.

Der EU AI Act: Was bleibt, was sich ändert und warum

Der EU AI Act ist ein ambitioniertes Regulierungsvorhaben, das bereits im August 2024 in Kraft getreten ist und seine volle Wirkung schrittweise entfaltet. Einige wichtige Bestimmungen sind bereits seit längerer Zeit gültig und bleiben es auch. Seit dem 2. Februar 2025 gilt beispielsweise die sogenannte KI-Kompetenzpflicht, die vorschreibt, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende Kompetenz verfügen müssen. Dies gilt unabhängig von Unternehmensgröße oder Branche. Ebenfalls seit diesem Datum sind bestimmte, als inakzeptabel eingestufte KI-Praktiken verboten.

Die nun erfolgte Einigung betrifft primär die Fristen für sogenannte Hochrisiko-KI-Systeme. Ursprünglich war vorgesehen, dass diese Systeme ab August 2026 die neuen, strengsten Regeln erfüllen müssen. Dieser Stichtag wurde nun auf den 2. Dezember 2027 verschoben, eine Verlängerung um 16 Monate. Für KI, die direkt in spezifische Produkte wie Spielzeug, Aufzüge oder Medizingeräte eingebettet ist, und damit als Hochrisiko-KI nach Anhang I eingestuft wird, gilt der Stichtag sogar erst der 2. August 2028.

Diese Fristverlängerungen sind keine Willkür, sondern das Ergebnis eines pragmatischen Dialogs mit der Industrie. Viele Unternehmen, insbesondere im Mittelstand, hatten signalisiert, dass der ursprüngliche Zeitplan zu einer übermäßigen Belastung geführt hätte. Aktuelle Studien zeigen, dass IT-Abteilungen bereits heute fast 40 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben verbringen. Eine weitere, rasche und umfassende Umstellung hätte Innovationen im DACH-Mittelstand potenziell erstickt. Die Abgeordneten begründen die Anpassung daher mit der Notwendigkeit, einen Ausgleich zwischen Regulierung und Innovationsförderung zu finden.

Es ist entscheidend zu verstehen, dass nicht alle Auflagen gelockert wurden. Strikte Verbote bleiben bestehen und in einigen Bereichen werden die Vorschriften sogar verschärft. Digitale Wasserzeichen für KI-generierte Inhalte müssen beispielsweise bereits ab dem 2. Dezember 2026 gesetzt werden. Es sei auch darauf hingewiesen, dass die formelle Verabschiedung dieser neuen Fristen bis zum 2. August 2026 erfolgen muss. Sollte dies nicht geschehen, tritt die alte, strengere Frist wieder in Kraft. Unternehmen sollten dies bei ihrer Planung berücksichtigen.

Mehr Zeit ist keine Entspannung: Strategische Chancen nutzen

Die Verschiebung der Fristen bietet DACH-Unternehmen eine Atempause. Dies darf jedoch keineswegs als Signal zur Entspannung oder gar zur Verzögerung von Maßnahmen interpretiert werden. Vielmehr ist es eine strategische Chance, die Implementierungsstrategien für KI-Governance und Compliance fundierter und nachhaltiger zu gestalten. Wer diese Zeit jetzt sinnvoll nutzt, kann sich einen klaren Wettbewerbsvorteil sichern.

Ein erster und entscheidender Schritt ist die Erstellung eines umfassenden KI-Inventars. Unternehmen müssen alle im Einsatz befindlichen oder geplanten KI-Anwendungen erfassen. Dies beinhaltet eine detaillierte Bewertung der Risikoklassen gemäß dem AI Act, also die Einordnung als minimales, begrenztes, hohes oder unannehmbares Risiko. Eine solche Inventarisierung ist die Grundlage für eine fundierte Priorisierung der Anpassungsbedarfe und ermöglicht es, Ressourcen effizient dort einzusetzen, wo sie am dringendsten benötigt werden.

Parallel dazu bleibt der Kompetenzaufbau von zentraler Bedeutung. Die bereits seit Februar 2025 geltende KI-Kompetenzpflicht unterstreicht die Notwendigkeit, Mitarbeitende im Umgang mit KI umfassend zu schulen. Erfolgreiche KI-Einführung ist untrennbar mit effektivem Change Management verbunden. Studien, wie der "World Property & Casualty Insurance Report 2026" von Capgemini, belegen, dass führende Versicherer fast viermal häufiger in Change Management investieren, das über grundlegende Schulungen hinausgeht. Dies beinhaltet den Abbau von Berührungsängsten, die Überwindung von Widerständen und die souveräne Begleitung von Veränderungsprozessen, um KI erfolgreich und nachhaltig in den Arbeitsalltag zu integrieren. Programme zur Qualifizierung, wie das KIDD-Programm für die Reisebranche, das vom DRV und der Amadeus Fire AG umgesetzt wird, zeigen diesen Bedarf und die Verfügbarkeit von Förderungen. Unternehmen sollten diese proaktiv nutzen.

Ein weiterer zentraler Aspekt ist die Gewährleistung von Datengovernance und Datenhoheit. Der EU AI Act rückt Themen wie Trainings-Lineage, Bias-Pipelines und die Nachvollziehbarkeit von Datenverarbeitungsprozessen in den Fokus. Für den deutschen Mittelstand ist DSGVO-konforme KI auf deutschen Servern von hoher Bedeutung. Unternehmen suchen nicht nur leistungsfähige, sondern auch sichere und kontrollierbare KI-Lösungen, die Datenschutz und Datenhoheit garantieren. Dies betrifft die gesamte Architektur von KI-Systemen, von der Datenverarbeitung über das Hosting bis hin zu Zugriffskonzepten und Protokollierung. Eine solide Datengovernance ist die Basis für Vertrauen in KI-Systeme und deren Akzeptanz.

Technische und Organisatorische Säulen für Verantwortliche KI

Die Anforderungen des EU AI Acts gehen über die reine Datenverarbeitung hinaus und erstrecken sich auf die technische Ausgestaltung und die organisatorische Einbettung von KI-Systemen. Insbesondere bei Hochrisiko-KI-Anwendungen sind hier spezielle Vorkehrungen zu treffen, die den Mittelstand vor neue Herausforderungen stellen, aber auch zur Professionalisierung beitragen.

Für Hochrisiko-KI sind Audit-Trails unverzichtbar. Das bedeutet, es müssen nicht manipulierbare Ereignisprotokolle für KI-Entscheidungen erstellt werden. Diese dienen der Nachvollziehbarkeit und der Rechenschaftspflicht. Gleichzeitig sind Transparenz und menschliche Aufsicht in der Benutzeroberfläche gefordert. Nutzer müssen verstehen können, wie eine KI zu bestimmten Ergebnissen kommt und die Möglichkeit haben, diese gegebenenfalls zu korrigieren oder zu übersteuern. Dies erfordert eine sorgfältige Gestaltung der Mensch-KI-Schnittstelle und die Etablierung klarer Prozesse für menschliche Intervention.

Viele DACH-Mittelstandsunternehmen werden keine eigenen umfassenden KI-Modelle entwickeln, sondern auf sogenannte General-Purpose AI (GPAI)-Modelle zurückgreifen, die von großen Anbietern bereitgestellt werden. Auch für diese Nutzung gelten Pflichten, die bereits seit dem 2. August 2025 anwendbar sind. Downstream-Anbieter, also Unternehmen, die GPAI-Modelle in ihren Anwendungen integrieren oder weiterverwenden, müssen die Konformität dieser Modelle mit den Anforderungen des AI Acts sicherstellen. Dies erfordert eine genaue Prüfung der Lizenzbedingungen, der Dokumentation und der Zusicherungen der GPAI-Anbieter. Eine alleinige Verlassung auf den Anbieter ist hier nicht ausreichend. Unternehmen müssen proaktiv die Konformität der von ihnen genutzten GPAI-Komponenten verifizieren und dokumentieren.

Ein oft unterschätzter Aspekt im Zusammenhang mit dem EU AI Act ist die Cybersicherheit im KI-Zeitalter. Parallel zu den Anforderungen des AI Acts nehmen auch die allgemeinen Anforderungen an die Cybersicherheit stetig zu. Veranstaltungen von Unternehmen wie Check Point Software Technologies im DACH-Raum im Juni 2026 thematisieren die spezifischen Herausforderungen, da KI nicht nur Unternehmensabläufe optimiert, sondern auch die Cyberbedrohungslandschaft rapide verändert. Das Bundesamt für Cybersicherheit warnt davor, dass KI wie ein "Beschleuniger der bestehenden Risiken" wirkt. Schwachstellen können schneller entdeckt und hochkomplexe Schadsoftware effizienter entwickelt werden. Eine umfassende Cybersicherheitsstrategie muss daher von Anfang an die Besonderheiten von KI-Systemen berücksichtigen, von der Absicherung der Trainingsdaten bis zum Schutz der operativen KI-Infrastruktur.

Vom Pilotprojekt zum Mehrwert: KI im Mittelstand verankern

Die Diskussion um den EU AI Act und seine Fristen zeigt, dass KI im Mittelstand kein reines Experiment mehr ist, sondern zunehmend zu einem integralen Bestandteil der Infrastruktur wird. Laut einer Bitkom-Befragung nutzen bereits 41 Prozent der Betriebe in Deutschland KI aktiv, und weitere 48 Prozent planen oder diskutieren den Einsatz. Dies ist ein signifikanter Anstieg gegenüber nur 17 Prozent im Vorjahr und unterstreicht die wachsende Bedeutung von KI in der Unternehmenspraxis.

Die eigentliche Herausforderung für viele Unternehmen liegt jedoch darin, von isolierten Pilotprojekten zur echten Wertschöpfung zu gelangen. Noch immer nutzt nur ein kleiner Teil der Unternehmen KI, um Prozesse wirklich neu zu denken und End-to-End zu gestalten. Hier manifestiert sich der Unterschied zwischen Hype und Substanz. Während die Begeisterung für neue KI-Möglichkeiten groß ist, fehlt oft noch der strategische Ansatz zur tiefgreifenden Integration.

IDC prognostiziert, dass 40 Prozent der Enterprise-Anwendungen bis Ende 2026 task-spezifische KI-Agenten enthalten werden. Gleichzeitig haben jedoch nur 36 Prozent der Organisationen einen zentralisierten Governance-Ansatz etabliert. Diese Diskrepanz birgt Risiken und zeigt, dass die technologische Einführung oft schneller voranschreitet als die organisatorische und regulatorische Anpassung.

Unternehmen im DACH-Raum, die jetzt erfolgreich sein wollen, müssen den Übergang von der Testphase in den produktiven Einsatz meistern. Das bedeutet, nicht auf das perfekte KI-Projekt zu warten, sondern mit klar definierten Anwendungsfällen zu starten, die einen messbaren Nutzen zeigen. Der Fokus verschiebt sich weg vom "Ob" der KI-Nutzung hin zum "Wo" und "Wie" , also auf die sichere, wirtschaftliche und kontrollierbare Implementierung. Dies erfordert eine pragmatische Herangehensweise, die schrittweise Erfolge ermöglicht und dabei stets die regulatorischen Anforderungen im Blick behält.

Praktische Handlungsempfehlungen für Unternehmen

1. Erstellen Sie ein umfassendes KI-Inventar: Erfassen Sie alle aktuellen und geplanten KI-Anwendungen in Ihrem Unternehmen und bewerten Sie deren Risikoklasse gemäß dem EU AI Act. Dies schafft Transparenz und eine Basis für gezielte Maßnahmen. 2. Investieren Sie nachhaltig in Kompetenzaufbau und Change Management: Nutzen Sie die verlängerten Fristen, um Mitarbeitende nicht nur technisch zu schulen, sondern auch Veränderungsprozesse aktiv zu begleiten und Berührungsängste abzubauen. Die KI-Kompetenzpflicht ist bereits gültig. 3. Überprüfen und stärken Sie Ihre Datengovernance: Stellen Sie sicher, dass Ihre Datenprozesse, von der Sammlung bis zum Training von KI-Modellen, DSGVO-konform und nachvollziehbar sind. Priorisieren Sie datensouveräne Lösungen, beispielsweise auf deutschen Servern. 4. Planen Sie Transparenz und Auditierbarkeit ein: Entwickeln Sie für Hochrisiko-KI-Systeme Mechanismen für Audit-Trails und gewährleisten Sie menschliche Aufsicht und Kontrollmöglichkeiten. 5. Integrieren Sie Cybersicherheitsaspekte von Anfang an: Betrachten Sie KI-Systeme nicht isoliert, sondern als Teil Ihrer gesamten Cyberabwehrstrategie. Künstliche Intelligenz ist ein Beschleuniger für Risiken, erfordert daher besondere Absicherung. 6. Fokus auf konkrete, wertschöpfende Use Cases: Starten Sie mit Anwendungen, die einen klaren, messbaren Mehrwert liefern. Vermeiden Sie Technologiegetriebenheit und setzen Sie auf einen ergebnisorientierten Ansatz.

Kritische Einordnung aus Kapitel-H-Sicht

Die Anpassung der Fristen im EU AI Act ist aus unserer Sicht keine Schwächung des Gesetzgebers, sondern vielmehr ein Akt des Pragmatismus. Die ursprüngliche Ambition war zwar lobenswert, die Realität in den Unternehmen, insbesondere im Mittelstand des DACH-Raums, zeigte jedoch, dass ein derart straffer Zeitplan kaum umsetzbar gewesen wäre. Eine Regulierung, die die betroffenen Unternehmen überfordert, kann ihren Zweck nicht erfüllen und droht, Innovation zu bremsen anstatt sie in die richtigen Bahnen zu lenken.

Diese Verschiebung ist eine Bestätigung dafür, dass Regulierung lebendig ist und sich an die Gegebenheiten anpassen muss. Es zeigt aber auch, dass der Gesetzgeber weiterhin entschlossen ist, einen Rahmen für verantwortungsvolle KI zu schaffen. Für uns bei Kapitel H ist klar: Diese zusätzlichen Monate sind keine Lizenz zum Abwarten. Im Gegenteil, sie sind eine unschätzbare Gelegenheit, die Hausaufgaben in Sachen KI-Governance, Kompetenzentwicklung und Compliance von Grund auf sauber zu erledigen. Wer jetzt proaktiv agiert, schafft nicht nur regulatorische Sicherheit, sondern baut einen echten Wettbewerbsvorteil auf.

Wir betonen stets, dass Unternehmen in der Lage sein müssen, KI selbst zu beherrschen und nicht in eine Abhängigkeit von externen Dienstleistern zu geraten, die lediglich punktuelle Lösungen anbieten. Die verschobenen Fristen bieten die Zeit, interne Expertise aufzubauen und eine nachhaltige KI-Strategie zu entwickeln, die auf den spezifischen Anforderungen des eigenen Geschäftsmodells basiert.

Fazit: Die Uhr tickt anders, aber das Ziel bleibt dasselbe

Die Nachricht über die verschobenen Fristen des EU AI Acts für Hochrisiko-KI ist eine konkrete und bedeutsame Entwicklung für Unternehmen im DACH-Raum. Sie bietet die Möglichkeit, die KI-Roadmap strategisch neu zu bewerten und fundierte Entscheidungen zu treffen. Es ist eine Gelegenheit, die Implementierung von KI-Governance, die Entwicklung von Kompetenzen und die Einführung datenschutzkonformer Lösungen zu festigen.

Nutzen Sie diese gewonnene Zeit, um nicht nur regulatorische Anforderungen zu erfüllen, sondern auch echte Wettbewerbsvorteile durch verantwortungsvolle, sichere und effiziente KI-Nutzung zu erzielen. Wer jetzt handelt, schafft die Grundlagen für eine erfolgreiche und zukunftsfähige Integration von KI in seine Geschäftsprozesse. Die Uhr tickt anders, aber das Ziel einer sicheren und vertrauenswürdigen KI-Nutzung bleibt für den Mittelstand im DACH-Raum von höchster Relevanz.