EU AI Act: KI-Kompetenzpflicht und Regulierungsdruck im DACH-Mittelstand

Die Debatte um Künstliche Intelligenz (KI) hat längst die rein technische Ebene verlassen. Sie ist fest in der Arbeitswelt des deutschsprachigen Raums (DACH) angekommen. Während die Potenziale von KI für Effizienzsteigerung und Innovation unbestritten sind, rückt mit der fortschreitenden Regulierung auch die Verantwortung der Unternehmen in den Fokus. Der EU AI Act, der am 1. August 2024 in Kraft getreten ist, etabliert den weltweit ersten umfassenden Rechtsrahmen für KI. Er hat weitreichende Konsequenzen für Unternehmen in Deutschland, Österreich und der Schweiz, sofern sie im EU-Binnenmarkt agieren oder dessen Ergebnisse betreffen. Dies stellt besonders den Mittelstand vor erhebliche Herausforderungen.

Der aktuelle Zeitpunkt, Frühjahr 2026, ist entscheidend. Zahlreiche Fristen des EU AI Act sind entweder bereits verstrichen oder stehen unmittelbar bevor. Unternehmen, die bislang abwarteten, müssen jetzt handeln. Andernfalls drohen nicht nur empfindliche Bußgelder, sondern auch erhebliche Reputationsschäden und Wettbewerbsnachteile. Kapitel H vertritt hier eine klare Position: Compliance ist keine Bürde, sondern eine Chance. Sie ermöglicht, den Einsatz von KI im Unternehmen zu strukturieren und damit langfristigen Mehrwert zu schaffen.

Die KI-Kompetenzpflicht: Seit Februar 2025 aktiv

Ein zentrales Element, das bereits seit dem 2. Februar 2025 unmittelbare Wirkung entfaltet, ist die in Artikel 4 der EU-KI-Verordnung festgelegte "KI-Kompetenzpflicht". Diese Verpflichtung besagt, dass Anbieter und Betreiber von KI-Systemen "Maßnahmen ergreifen müssen, um nach bestem Wissen und Gewissen sicherzustellen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen." Dies betrifft alle Unternehmen, unabhängig von ihrer Größe oder der Komplexität der eingesetzten KI-Systeme.

Was bedeutet das konkret für den DACH-Mittelstand? Jedes Unternehmen, das KI-Systeme einsetzt, muss sicherstellen, dass seine Mitarbeiter über grundlegende Kenntnisse im Umgang mit diesen Technologien verfügen. Das reicht von der Nutzung eines einfachen Chatbots wie ChatGPT oder Microsoft Copilot bis hin zu spezialisierten branchenspezifischen Anwendungen in der Produktion oder Verwaltung. Die Schulungsinhalte müssen dabei auf den jeweiligen Einsatzbereich, die Vorkenntnisse der Mitarbeiter und die Risiken der eingesetzten KI-Systeme zugeschnitten sein. Pauschale Online-Kurse reichen hier oft nicht aus. Stattdessen sind zielgruppenspezifische Inhalte gefragt, die den tatsächlichen Arbeitsalltag der Mitarbeiter berücksichtigen.

Dazu gehören unter anderem:

* Verständnis der Grundfunktionen und Grenzen: Mitarbeiter müssen wissen, wie die genutzten KI-Systeme funktionieren und wo deren Grenzen liegen. Das bedeutet, ein Bewusstsein für die Funktionsweise von Algorithmen und die Art der Datenverarbeitung zu entwickeln. * Erkennen typischer KI-Fehler: Das Erkennen von sogenannten "Halluzinationen", also faktisch falschen, aber überzeugend klingenden Ausgaben, oder systembedingten Verzerrungen ("Bias") ist entscheidend. Diese Fehler können zu fehlerhaften Entscheidungen führen und im schlimmsten Fall rechtliche Konsequenzen nach sich ziehen. * Einhaltung von Rechtsrahmen: Kenntnisse zu Datenschutz, Urheberrecht und IT-Sicherheitsaspekten sind unerlässlich. Der korrekte Umgang mit sensiblen Daten und die Vermeidung von Urheberrechtsverletzungen durch KI-generierte Inhalte müssen klar kommuniziert werden. * Verantwortungsvolle Entscheidungsfindung: Mitarbeiter müssen befähigt werden, die Chancen und Risiken von KI zu erkennen und auf dieser Basis verantwortungsvolle Entscheidungen zu treffen. Hierbei geht es darum, die KI als Werkzeug zu verstehen, dessen Ergebnisse kritisch hinterfragt und validiert werden müssen.

Obwohl der AI Act keine explizite Dokumentationspflicht für die Vermittlung dieser Kompetenzen vorsieht, wird Unternehmen dringend empfohlen, alle ergriffenen Maßnahmen zu dokumentieren. Dies umfasst Schulungsunterlagen, Teilnehmerlisten, interne Richtlinien und Prozessbeschreibungen. Eine sorgfältige Dokumentation dient der Risikominimierung und kann im Schadensfall als Nachweis der Sorgfaltspflicht herangezogen werden. Ein direkter Bußgeldkatalog für Verstöße gegen Artikel 4 existiert derzeit zwar nicht, jedoch können erhebliche indirekte Haftungsrisiken entstehen, wenn mangelnde KI-Kompetenz zu Fehlern oder Rechtsverletzungen führt. Beispielsweise kann ein Mitarbeiter, der aufgrund fehlender Kompetenz sensible Kundendaten in ein ungesichertes KI-Tool eingibt, einen Datenleck verursachen, der wiederum hohe Bußgelder nach DSGVO nach sich ziehen kann.

Deutsches KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG): Die nationale Konkretisierung

Als Reaktion auf die EU-KI-Verordnung hat die deutsche Bundesregierung am 11. Februar 2026 den Entwurf des KI-Marktüberwachungs- und Innovationsförderungsgesetzes (KI-MIG) beschlossen. Dieses Gesetz dient als nationales Durchführungsgesetz zum EU AI Act und konkretisiert wichtige Aspekte. Es regelt die nationale Aufsichtsstruktur, die Zuständigkeiten der Behörden, das Bußgeldverfahren und die Förderung von Innovationen durch sogenannte Regulatory Sandboxes.

Eine zentrale Rolle bei der Überwachung des KI-Marktes in Deutschland wird der Bundesnetzagentur (BNetzA) zugewiesen. Sie fungiert als zentrales Koordinierungs- und Kompetenzzentrum (KoKIVO), Marktüberwachungsbehörde und notifizierende Behörde. Dies ist ein wichtiger Schritt zur Bündelung von Expertise und zur Vermeidung von Zuständigkeitskonflikten. In speziellen Sektoren, wie dem Finanzsektor, bleiben die jeweiligen Fachbehörden, beispielsweise die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), zuständig. Gleichzeitig wird ein "One-Stop-Shop"-Ansatz angestrebt, um Unternehmen einen zentralen Ansprechpartner zu bieten. Dies soll den administrativen Aufwand für den Mittelstand reduzieren und eine effiziente Kommunikation mit den Behörden ermöglichen.

Ein wichtiger Aspekt des KI-MIG ist der erklärte Wunsch, das Gesetz bewusst "innovationsfreundlich" und "schlank" umzusetzen. Dies bedeutet, dass die deutsche Regierung versucht, zusätzliche nationale Verschärfungen, das sogenannte "Gold Plating", zu vermeiden. Ziel ist es, die Vorgaben des EU AI Act präzise umzusetzen, ohne unnötige Hürden für deutsche Unternehmen aufzubauen. Aus Sicht von Kapitel H ist dies ein richtiger und wichtiger Ansatz. Es ist entscheidend, dass Regulierung nicht Innovation erstickt, sondern einen klaren und verlässlichen Rahmen schafft, innerhalb dessen Unternehmen sicher und verantwortungsvoll agieren können.

Fristen und Sanktionen: Warum der 2. August 2026 entscheidend ist

Während die "KI-Kompetenzpflicht" bereits seit über einem Jahr aktiv ist, rückt der 2. August 2026 als nächster entscheidender Stichtag näher. Ab diesem Datum treten die umfassenden Anforderungen des EU AI Act in Bezug auf Hochrisiko-KI-Systeme in Kraft und werden vollständig durchsetzbar. Für den Mittelstand im DACH-Raum bedeutet dies, dass keine Zeit mehr zu verlieren ist. Die Definition von Hochrisiko-KI-Systemen ist weit gefasst und betrifft zahlreiche Anwendungsfelder, die im Alltag vieler Unternehmen bereits eine Rolle spielen oder in Kürze spielen werden.

Beispiele für Hochrisiko-KI-Systeme sind Anwendungen in der Personalverwaltung, etwa bei der Bewerberauswahl, der Leistungsbewertung oder der Mitarbeiterüberwachung. Auch Systeme in der Kreditvergabe, im Zugang zu Bildung, in kritischen Infrastrukturen oder in der biometrischen Identifikation fallen in diese Kategorie. Unternehmen, die Hochrisiko-KI-Systeme entwickeln, bereitstellen oder nutzen, müssen ab diesem Zeitpunkt strenge Vorgaben erfüllen. Dies sind keine marginalen Anpassungen, sondern erfordern tiefgreifende Veränderungen in der Unternehmensstrategie und -organisation.

Dazu gehören im Detail:

* Ein umfassendes Risikomanagementsystem: Unternehmen müssen systematisch potenzielle Risiken identifizieren, bewerten und mindern, die von ihren KI-Systemen ausgehen können. Dies beinhaltet sowohl technische als auch ethische und soziale Risiken. * Transparente Dokumentation: Eine detaillierte Dokumentation der KI-Systeme, ihrer Funktionsweise, ihrer Datenquellen und ihrer Leistungsfähigkeit ist unerlässlich. Diese Transparenz ist notwendig, um die Nachvollziehbarkeit und Rechenschaftspflicht zu gewährleisten. * Qualitätskontrollen der Trainingsdaten: Die Qualität und Repräsentativität der Daten, mit denen KI-Systeme trainiert werden, sind entscheidend für deren Fairness und Genauigkeit. Unternehmen müssen Prozesse etablieren, um Datenverzerrungen, sogenannte "Bias", zu minimieren und die Datenqualität kontinuierlich zu überwachen. * Menschliche Aufsicht: Der AI Act fordert, dass Hochrisiko-KI-Systeme stets einer menschlichen Aufsicht unterliegen. Dies bedeutet, dass Menschen die Möglichkeit haben müssen, in den Entscheidungsprozess der KI einzugreifen, Korrekturen vorzunehmen und Fehlfunktionen zu erkennen und zu beheben. Es geht nicht darum, die KI völlig autonom agieren zu lassen, sondern um ein kontrolliertes Zusammenwirken von Mensch und Maschine. * Konformitätsbewertungsverfahren: Vor dem Inverkehrbringen von Hochrisiko-KI-Systemen sind umfangreiche Konformitätsbewertungsverfahren durchzuführen. Diese können entweder durch interne Prüfungen oder, je nach Risikokategorie, durch externe Prüfstellen erfolgen. Ziel ist es, die Einhaltung aller gesetzlichen Vorgaben vor der Markteinführung sicherzustellen.

Die Konsequenzen bei Nichteinhaltung können gravierend sein. Verstöße gegen bestimmte Pflichten für Hochrisiko-KI-Systeme können mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweit erzielten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist. Selbst Verstöße gegen grundlegende Mitwirkungs- und Auskunftspflichten gegenüber den Behörden können mit bis zu 50.000 Euro bestraft werden. Diese Summen können für viele mittelständische Unternehmen existenzbedrohend sein. Für bereits vor dem 2. August 2025 in Verkehr gebrachte General Purpose AI (GPAI)-Modelle, also universelle KI-Modelle wie grosse Sprachmodelle, gilt eine Übergangsfrist bis zum 2. August 2027. Dies gibt den Anbietern dieser Modelle zusätzliche Zeit für die Anpassung, entbindet aber die Nutzer nicht von ihren Pflichten bezüglich der Kompetenz und Risikobewertung.

Herausforderungen und Handlungsempfehlungen für den DACH-Mittelstand

Der EU AI Act wird oft als die bedeutendste regulatorische Herausforderung für den Mittelstand seit der Einführung der DSGVO bezeichnet. Diese Einschätzung teilen wir von Kapitel H. Viele kleine und mittlere Unternehmen (KMU) stehen vor der Aufgabe, die abstrakten Paragraphen des Gesetzes in konkrete betriebliche Abläufe zu übersetzen. Dies erfordert einen proaktiven Ansatz und eine strategische Planung, die über reine Rechtskonformität hinausgeht. Es geht darum, die KI-Nutzung im Unternehmen grundlegend zu überdenken und neu zu gestalten.

Die Herausforderung liegt nicht nur in der Komplexität des Gesetzes selbst, sondern auch in den oft begrenzten Ressourcen, die KMU für Compliance-Aufgaben zur Verfügung haben. Während Großkonzerne ganze Abteilungen für Rechtskonformität abstellen können, müssen mittelständische Unternehmen oft mit weniger Personal und Budget auskommen. Dies erfordert eine pragmatische Herangehensweise und eine klare Priorisierung der Maßnahmen. Es ist zudem essenziell, dass das Management die Bedeutung dieser Transformation erkennt und die notwendigen Investitionen tätigt. KI-Regulierung ist keine IT-Angelegenheit, sondern eine Unternehmensstrategie.

Konkrete Handlungsempfehlungen für DACH-Unternehmen im Frühjahr 2026:

1. Bestandsaufnahme und Risikobewertung: Führen Sie umgehend eine detaillierte Bestandsaufnahme aller im Einsatz befindlichen und geplanten KI-Systeme durch. Bewerten Sie diese hinsichtlich ihrer Risikoklasse gemäß AI Act, verbotenes Risiko, hohes Risiko, begrenztes Risiko, minimales Risiko. Dies ist der erste und grundlegende Schritt, um den Umfang der notwendigen Maßnahmen zu bestimmen. 2. KI-Kompetenz sichern: Nehmen Sie die bereits seit 2025 geltende Pflicht zur Vermittlung von KI-Kompetenzen ernst. Konzipieren und führen Sie zielgruppenspezifische Schulungen für alle relevanten Mitarbeiter durch. Erstellen Sie klare interne Richtlinien zum sicheren und verantwortungsvollen Umgang mit KI-Tools. Dokumentieren Sie alle Schulungsmaßnahmen, um im Zweifel die Einhaltung Ihrer Sorgfaltspflicht nachweisen zu können. 3. Interne KI-Leitlinien etablieren: Implementieren Sie umfassende KI-Leitlinien, die den Einsatz von KI-Tools regeln, den Umgang mit Daten definieren und Verantwortlichkeiten festlegen. Diese Leitlinien sollten praxisnah sein und konkrete Anweisungen für den täglichen Gebrauch liefern. Sie sind das Rückgrat für einen sicheren und konformen KI-Einsatz im Unternehmen. 4. Anbieter-Konformität prüfen: Wenn Sie externe KI-Software oder -Dienste nutzen, sind Sie verpflichtet, zu prüfen, ob die Anbieter des EU AI Act konform agieren. Fordern Sie entsprechende Nachweise an. Eine vertragliche Absicherung hinsichtlich der Einhaltung des AI Acts ist hier unerlässlich. Sie können die Verantwortung nicht einfach an den Anbieter delegieren. 5. Dokumentation und Governance: Für Hochrisiko-KI-Systeme ist eine umfassende technische Dokumentation und ein robustes Governance-System unerlässlich. Dies beinhaltet auch die Verankerung von Datenschutz-Folgeabschätzungen bei hochriskanten Anwendungen. Eine transparente und nachvollziehbare Arbeitsweise ist hier Pflicht. 6. Zuständigkeiten klären: Angesichts des KI-MIG ist es wichtig zu wissen, welche nationale Behörde für welche KI-Anwendung zuständig ist, um im Bedarfsfall schnell und korrekt reagieren zu können. Bauen Sie frühzeitig Kontakt zu den relevanten Stellen auf, falls Unsicherheiten bestehen. 7. Kontinuierliches Change Management: Die Einführung des AI Acts und der begleitenden nationalen Gesetze ist ein fortlaufender Prozess. Etablieren Sie ein kontinuierliches Change Management, das auf die Bedürfnisse der Mitarbeiter eingeht. Adressieren Sie Ängste vor Jobverlust oder Kontrollverlust und fördern Sie die Entwicklung neuer Fähigkeiten. KI-Einführung ist immer auch ein Kulturwandel.

Kritische Einordnung aus Kapitel-H-Sicht

Aus Sicht von Kapitel H birgt der EU AI Act sowohl Herausforderungen als auch erhebliche Chancen für den DACH-Mittelstand. Wir sehen die Verordnung nicht als reine Last, sondern als wichtigen Rahmen, der Vertrauen in KI schafft und damit deren breitere Akzeptanz und erfolgreiche Implementierung erst ermöglicht. Die Schweiz, obwohl nicht EU-Mitglied, wird indirekt stark betroffen sein, da viele Schweizer Unternehmen im EU-Binnenmarkt agieren oder Produkte und Dienstleistungen für diesen Markt anbieten. Eine Ignoranz der Regulierung ist daher keine Option.

Ein häufiger Fehler ist, Compliance als rein juristische Aufgabe zu betrachten und diese an die Rechtsabteilung zu delegieren. Der AI Act ist jedoch eine strategische Aufgabe, die das gesamte Unternehmen betrifft. Er erfordert ein tiefes Verständnis der eingesetzten Technologien, ihrer Risiken und Potenziale. Unternehmen, die den AI Act proaktiv angehen, können ihre internen Prozesse optimieren, die Qualität ihrer KI-Anwendungen verbessern und sich so einen Wettbewerbsvorteil sichern. Die Pflicht zur menschlichen Aufsicht und zur Datenqualitätskontrolle zwingt Unternehmen dazu, ihre KI-Systeme kritisch zu hinterfragen und damit insgesamt bessere, zuverlässigere Lösungen zu entwickeln.

Wir warnen davor, sich vom Hype um schnelle KI-Gewinne blenden zu lassen und dabei die grundlegenden Sorgfaltspflichten zu vernachlässigen. Eine oberflächliche Implementierung, die lediglich dem Anschein der Compliance dient, wird sich langfristig rächen. Stattdessen empfehlen wir einen pragmatischen, schrittweisen Ansatz. Beginnen Sie mit den Systemen, die das höchste Risiko bergen und gleichzeitig den größten Nutzen versprechen. Schaffen Sie klare Verantwortlichkeiten und investieren Sie gezielt in die Kompetenzentwicklung Ihrer Mitarbeiter. Befähigung statt Abhängigkeit, das ist unser Credo. Mitarbeiter, die den Umgang mit KI verstehen und beherrschen, sind der Schlüssel zum Erfolg in der regulierten KI-Welt.

Die angekündigte "innovationsfreundliche" Umsetzung des KI-MIG in Deutschland ist ein positives Signal, muss sich jedoch in der Praxis bewähren. Der Mittelstand braucht keine zusätzlichen bürokratischen Hürden, sondern klare, umsetzbare Richtlinien und gegebenenfalls Unterstützung bei der Implementierung. Die Schaffung von Regulatory Sandboxes ist ein guter Ansatz, muss aber so gestaltet sein, dass auch KMU Zugang dazu erhalten und davon profitieren können, um neue KI-Anwendungen in einem geschützten Rahmen testen zu können.

Fazit: Jetzt handeln, Zukunft gestalten

Das Frühjahr 2026 markiert eine kritische Phase in der KI-Regulierung im DACH-Raum. Mit der bereits wirksamen KI-Kompetenzpflicht und den immensen Fristen für Hochrisiko-KI-Systeme müssen Unternehmen ihre KI-Strategien und Compliance-Maßnahmen mit hoher Priorität vorantreiben. Die proaktive Auseinandersetzung mit dem EU AI Act und dem KI-MIG ist nicht nur eine Frage der Rechtskonformität. Sie ist eine entscheidende Chance, Vertrauen in den Einsatz von KI zu schaffen, Wettbewerbsvorteile zu sichern und die Zukunftsfähigkeit des Unternehmens im digitalen Zeitalter zu gewährleisten.

Wer jetzt abwartet, riskiert nicht nur hohe Strafen, sondern auch den Anschluss an eine sich rasant entwickelnde Technologielandschaft zu verlieren. Der Mittelstand im DACH-Raum hat die Möglichkeit, eine Vorreiterrolle einzunehmen und zu zeigen, wie KI verantwortungsvoll und zum Nutzen von Wirtschaft und Gesellschaft eingesetzt werden kann. Investieren Sie in Wissen, Prozesse und die Kompetenz Ihrer Mitarbeiter. Dies ist der sicherste Weg, um die Herausforderungen der KI-Regulierung erfolgreich zu meistern und die Potenziale der Künstlichen Intelligenz voll auszuschöpfen.