EU AI Act: Handlungsbedarf für den Mittelstand im DACH-Raum bis August 2026

Die Künstliche Intelligenz (KI) hat sich zu einem entscheidenden Faktor für Innovation und Wettbewerbsfähigkeit entwickelt. Gleichzeitig formt der EU AI Act, das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen, die Rahmenbedingungen für ihren Einsatz. Für Unternehmen im DACH-Raum, insbesondere den Mittelstand, bedeutet dies nicht nur eine Anpassung an neue Technologien, sondern auch eine proaktive Auseinandersetzung mit regulatorischen Pflichten. Mit dem Stichtag im August 2026 rückt die verbindliche Umsetzung wichtiger Bestimmungen für Hochrisiko-KI-Systeme näher. Ignorieren ist keine Option, die Risiken reichen von hohen Bußgeldern bis zu ernsthaften Reputationsschäden. Es geht darum, jetzt konkrete Schritte einzuleiten, um rechtssicher und effizient mit KI zu arbeiten.

Der EU AI Act: Ein Fahrplan mit kritischen Daten für DACH-Unternehmen

Der EU AI Act (Verordnung (EU) 2024/1689) wurde im Mai 2024 verabschiedet und ist seit dem 1. August 2024 in Kraft. Seine Bestimmungen entfalten jedoch gestaffelt ihre Wirkung. Dieser Stufenplan ist entscheidend für die Planung in Ihrem Unternehmen. Während erste Verbote von KI-Praktiken bereits im Februar 2025 galten, rückt der 2. August 2026 als zentraler Stichtag näher, an dem ein Großteil der weiteren Regelungen in Kraft tritt. Die letzten Vorgaben, insbesondere für KI in Produktsicherheit (Anhang I), werden ab August 2027 wirksam.

Besonders relevant für DACH-Unternehmen sind die folgenden Aspekte und Fristen, die den Arbeitsalltag und die Einführung von KI-Systemen unmittelbar betreffen:

Verbotene KI-Praktiken (seit Februar 2025)

Schon seit Februar 2025 sind bestimmte KI-Anwendungen, die ein "inakzeptables Risiko" darstellen, verboten. Dazu gehören beispielsweise Systeme für Social Scoring durch Behörden, manipulative KI, Emotionserkennung am Arbeitsplatz oder biometrische Kategorisierung im Recruiting. Unternehmen, die solche Systeme identifizieren, müssen diese umgehend einstellen. Dies ist eine klare rote Linie, die keine Kompromisse duldet und sofortige Compliance erfordert.

Transparenzpflichten für KI mit begrenztem Risiko (seit Februar 2025)

Systeme mit "begrenztem Risiko", wie Chatbots, KI-generierte Texte oder Deepfakes, unterliegen ebenfalls seit Februar 2025 Transparenzpflichten. Nutzer müssen erkennen können, wenn sie mit einem KI-System interagieren oder auf KI-generierte Inhalte stoßen. Dies ist besonders relevant für Bereiche wie Kundenservice, Marketing und interne Kommunikation. Eine klare Kennzeichnung vermeidet Irreführung und schafft Vertrauen im Umgang mit KI-Technologien. Die einfache Regel lautet: Machen Sie transparent, wenn KI im Spiel ist.

AI Literacy Pflicht (seit Februar 2025)

Eine oft übersehene, aber weitreichende Anforderung ist die Pflicht zur "AI Literacy", also zur grundlegenden KI-Kompetenz der Mitarbeiter. Gemäss Artikel 4 des AI Act müssen Unternehmen seit Februar 2025 sicherstellen, dass alle Mitarbeiter, die mit KI arbeiten, über grundlegende KI-Kenntnisse verfügen. Dies umfasst das Verständnis für die Funktionsweisen, Potenziale und vor allem die Risiken von KI-Systemen. Diese Anforderung unterstreicht die Notwendigkeit von umfassenden Schulungs- und Weiterbildungsmaßnahmen. Es geht hier nicht um das Heranbilden von KI-Entwicklern, sondern um die Befähigung der Belegschaft, KI als Werkzeug sicher und produktiv einzusetzen. Ohne dieses grundlegende Verständnis können Unternehmen das volle Potenzial der KI nicht ausschöpfen und riskieren gleichzeitig Fehlbedienungen und Compliance-Verstöße.

Zentrale Frist: August 2026 – Hochrisiko-KI-Systeme

Dies ist der kritischste Stichtag für viele Unternehmen. Ab dem 2. August 2026 greifen Zertifizierungspflichten für Hochrisiko-KI-Systeme. Obwohl externe Konformitätsbewertungsstellen erst ab Juni 2026 ihre Arbeit aufnehmen, müssen Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, bereits bis August 2026 ihre Governance-Strukturen etabliert haben. Das bedeutet, Risikomanagementsysteme, Verantwortlichkeiten und der Dokumentationsrahmen müssen vorhanden sein. Beispiele für Hochrisiko-KI sind Systeme in den Bereichen Biometrie, kritische Infrastruktur, Gesundheitswesen, Bildung, Personalwesen (z.B. für Bewerbungssichtung oder die Evaluierung von Mitarbeitern), Kreditvergabe, Strafverfolgung und Justiz. Hier sind umfangreiche Pflichten wie Konformitätsbewertung, technische Dokumentation, Risikomanagementsysteme, Daten-Governance und menschliche Aufsicht zu erfüllen. Der Aufwand ist hier erheblich, und eine späte Vorbereitung kann zu gravierenden Verzögerungen oder sogar zum Stopp des KI-Einsatzes führen.

Konkrete Auswirkungen und Herausforderungen für DACH-Unternehmen

Die Einhaltung des EU AI Act stellt insbesondere den Mittelstand im DACH-Raum vor erhebliche Herausforderungen. Laut Bitkom benötigen 69 Prozent der deutschen Unternehmen Unterstützung bei der Umsetzung des EU AI Act, während sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Dies verdeutlicht eine gefährliche Schieflage zwischen Bedarf und tatsächlicher Handlung. Die Compliance-Kosten für deutsche Unternehmen werden vom Bitkom auf bis zu 20 Milliarden Euro jährlich beziffert. Diese Zahlen zeigen klar, dass es sich um eine strategische und finanzielle Aufgabe von immenser Bedeutung handelt.

Datenschutz und Datengrundlage

Der AI Act ist eng mit der Datenschutz-Grundverordnung (DSGVO) und dem Schweizer Datenschutzgesetz (nDSG) verknüpft. Insbesondere die Verarbeitung personenbezogener Daten durch KI-Systeme erfordert eine klare rechtliche Grundlage und technische Absicherung. Unternehmen müssen sicherstellen, dass vertrauliche Informationen nicht unbedacht in öffentliche KI-Tools gelangen. Ein zentrales Problem, das Bitkom in einer Studie "10 Jahre DSGVO" im Mai 2026 aufzeigte, ist die Schwierigkeit, KI-Modelle mit genügend Daten zu trainieren, da der europäische Datenschutz dies erschwere. 69 Prozent der Unternehmen gaben 2025 an, dass der Datenschutz die KI-Entwicklung behindere. Dies ist eine Realität, die Unternehmen nicht ignorieren können. Pragmatische Lösungen für datenschutzkonforme Datenbereitstellung sind gefragt.

Risikobewertung und Dokumentation

Unternehmen müssen ihre KI-Systeme gemäß der im AI Act vorgesehenen vier Risikoklassen, minimal, begrenzt, hoch, unannehmbar, bewerten. Bei Hochrisiko-Systemen ist eine detaillierte technische Dokumentation zu erstellen, die die Einhaltung aller Anforderungen belegt. Dies ist keine Formalität, sondern ein grundlegender Nachweis für die Sicherheit und Zuverlässigkeit der Systeme. Eine unzureichende Dokumentation kann im Prüfungsfall schwerwiegende Konsequenzen haben und beweist fehlende Kontrolle über die eingesetzte Technologie.

Change Management und Mitarbeiterkompetenz

Die bereits erwähnte AI Literacy Pflicht unterstreicht die Notwendigkeit von umfassenden Schulungen. Eine Studie von Workday vom April 2026 zeigt auf, dass rund 40 Prozent der Produktivitätsgewinne durch KI in der Nachbearbeitung verloren gehen, da Anwendern oft das Verständnis für den produktiven Umgang mit den gewonnenen Zeitressourcen fehlt. Dies ist ein klarer Hinweis darauf, dass Technologie alleine nicht ausreicht. Ein effektives Change Management ist entscheidend, um Akzeptanz bei den Mitarbeitern zu schaffen und Widerstände abzubauen. Studien zeigen, dass rund 70 Prozent aller KI-Projekte in deutschen Unternehmen nicht an der Technologie, sondern am Widerstand der Belegschaft scheitern. Ohne professionelles Change Management liegt die Adoptionsrate von KI bei nur 15 Prozent, während sie mit einem solchen Ansatz auf 75 Prozent steigen kann. Die Befähigung der Mitarbeiter ist somit ein zentraler Erfolgsfaktor.

Souveräne KI-Lösungen und Cloud-Anbieter

Die Diskussion um Datensouveränität und den Einsatz europäischer oder DACH-spezifischer KI-Lösungen gewinnt an Bedeutung. Die Swisscom hat beispielsweise im Februar 2026 den "Swiss AI Assistant" lanciert, einen KI-Chatbot, der komplett in Schweizer Rechenzentren betrieben wird und so eine datenschutzkonforme Alternative zu internationalen Anbietern darstellen soll. Auch SAP hat im Dezember 2025 die "EU AI Cloud" vorgestellt, um souveräne KI- und Cloud-Dienste in Europa anzubieten und so den Anforderungen an Souveränität, Compliance und Leistung gerecht zu werden. Diese Entwicklungen zeigen den wachsenden Bedarf an vertrauenswürdigen und lokal verankerten KI-Lösungen, die eine echte Alternative zu den oft undurchsichtigen internationalen Angeboten darstellen.

Blick in die Schweiz: Extraterritoriale Wirkung des AI Acts und nDSG

Schweizer Unternehmen dürfen sich nicht in Sicherheit wiegen. Der EU AI Act entfaltet eine sogenannte extraterritoriale Wirkung. Dies bedeutet, dass seine Vorschriften auch für Schweizer Firmen gelten, sobald sie KI-Systeme in der EU in Verkehr bringen oder in Betrieb nehmen oder deren Ergebnisse in der EU verwendet werden. Das betrifft nahezu jedes Schweizer Unternehmen, das digitale Produkte, Dienstleistungen oder Software-Lösungen in den EU-Raum exportiert oder dort Niederlassungen unterhält. Eine Abgrenzung ist kaum möglich, daher ist eine proaktive Auseinandersetzung unumgänglich.

Gleichzeitig ist in der Schweiz das totalrevidierte Datenschutzgesetz (nDSG) seit dem 1. September 2023 in Kraft und direkt auf KI-gestützte Datenbearbeitungen anwendbar. Das nDSG legt einen technologieneutralen Rahmen fest, der auch für KI-Anwendungen relevant ist, beispielsweise im Hinblick auf automatisierte Einzelentscheidungen, Privacy by Design und Privacy by Default sowie Profiling und die Verarbeitung biometrischer Daten. Das Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) weist im Kontext des Datenschutztags 2026 darauf hin, dass die Transparenzpflicht ein zentraler Grundsatz ist: Betroffene Personen müssen erkennen können, ob sie es mit einer KI zu tun haben und wie ihre Daten verwendet werden. Für Schweizer Unternehmen bedeutet dies eine doppelte Herausforderung: die Einhaltung der EU-Vorgaben und die Sicherstellung der Kompatibilität mit dem nationalen Datenschutzrecht.

Kapitel-H-Empfehlungen: Proaktive Schritte für Ihr Unternehmen

Die nächsten Monate sind entscheidend für DACH-Unternehmen, um ihre KI-Strategien und -Implementierungen an die Vorgaben des EU AI Act anzupassen. Die Frist im August 2026 für Hochrisiko-KI-Systeme und die bereits geltenden Pflichten zur Transparenz und AI Literacy erfordern eine proaktive Herangehensweise. Es ist keine Zeit für Zögerlichkeit, sondern für fundierte Entscheidungen und konkrete Umsetzungsschritte.

Ihre KI-Anwendungen inventarisieren und einer Risikobewertung unterziehen

Beginnen Sie mit einer umfassenden Bestandsaufnahme aller in Ihrem Unternehmen verwendeten und geplanten KI-Systeme. Ordnen Sie diese den Risikoklassen des AI Acts zu, von minimal bis unannehmbar. Dieser Prozess liefert die notwendige Klarheit, wo dringender Handlungsbedarf besteht und welche Systeme besonderen Compliance-Anforderungen unterliegen. Eine präzise Inventarisierung ist die Grundlage für alle weiteren Maßnahmen.

Interne Richtlinien und Governance-Strukturen für den KI-Einsatz etablieren

Definieren Sie klare Verantwortlichkeiten für den Einsatz und die Überwachung von KI-Systemen. Erstellen Sie interne Richtlinien und Prozesse, die sicherstellen, dass KI-Anwendungen rechtskonform, ethisch vertretbar und sicher eingesetzt werden. Dazu gehört auch der Aufbau eines Risikomanagementsystems, das spezifisch auf die Besonderheiten von KI zugeschnitten ist. Eine solche Governance schafft Transparenz und steuert den verantwortungsvollen Umgang mit dieser Technologie.

Mitarbeiter umfassend schulen und ihre "AI Literacy" sicherstellen

Die Pflicht zur AI Literacy ist eine Chance, nicht nur eine Last. Investieren Sie in gezielte Schulungsprogramme, die Ihren Mitarbeitern grundlegende Kenntnisse über KI vermitteln. Dies umfasst das Verständnis von Funktionsweisen, die Erkennung von Risiken und die Entwicklung eines kritischen Umgangs mit KI-generierten Inhalten. Eine gut informierte Belegschaft kann KI effektiver und sicherer einsetzen, was Produktivitätsverluste reduziert und die Akzeptanz erhöht. Die Befähigung der Menschen ist hier der zentrale Ansatzpunkt.

Datenschutzkonforme Lösungen bevorzugen und den Datenfluss in externen KI-Tools streng kontrollieren

Angesichts der engen Verzahnung von AI Act und Datenschutzgesetzen ist ein sorgfältiger Umgang mit Daten unerlässlich. Prüfen Sie kritisch, welche Daten in externe KI-Tools fließen und ob dies rechtlich zulässig ist. Bevorzugen Sie souveräne KI-Lösungen, die den hohen europäischen und nationalen Datenschutzstandards entsprechen und deren Datenverarbeitung transparent ist. Dies minimiert das Risiko von Datenlecks und Compliance-Verstößen. Kontrollieren Sie den Datenfluss aktiv.

Ein aktives Change Management betreiben, um Ängste abzubauen und die Akzeptanz von KI zu fördern

Technologie allein garantiert keinen Erfolg. Die Integration von KI erfordert ein durchdachtes Change Management. Nehmen Sie die Ängste und Bedenken Ihrer Mitarbeiter ernst. Kommunizieren Sie offen die Vorteile und Grenzen der KI-Nutzung und binden Sie die Belegschaft aktiv in den Einführungsprozess ein. Dies fördert nicht nur die Akzeptanz, sondern reduziert auch den oft zitierten Widerstand der Belegschaft, der viele KI-Projekte scheitern lässt. Ein proaktiver, transparenter Ansatz ist hier der Schlüssel.

Fazit: Jetzt handeln, um die Chancen der KI verantwortungsvoll zu nutzen

Der EU AI Act ist keine ferne Zukunftsmusik, sondern eine unmittelbare Realität für alle Unternehmen im DACH-Raum, die KI nutzen oder planen zu nutzen. Die Fristen sind gesetzt, die Anforderungen klar formuliert. Wer die Anpassungen verschiebt, riskiert nicht nur erhebliche Bußgelder, sondern auch den Verlust von Wettbewerbsfähigkeit und Vertrauen. Es geht darum, die Innovationskraft der KI zu nutzen, ohne dabei die regulatorischen und ethischen Standards zu vernachlässigen. Eine integrierte Strategie, die Technologie, Prozesse, Mitarbeiter und Compliance gleichermaßen berücksichtigt, ist der Schlüssel zum Erfolg im aufkommenden KI-Zeitalter. Beginnen Sie jetzt mit der Umsetzung, denn die Zeit bis August 2026 ist kürzer, als sie scheint.