EU AI Act: Massiver Zeitdruck für DACH-Unternehmen bis August 2026

# EU AI Act: Massiver Zeitdruck für DACH-Unternehmen bis August 2026

Die Zeit für Unternehmen im deutschsprachigen Raum, sich auf die strengen Anforderungen des Europäischen KI-Gesetzes (EU AI Act) einzustellen, wird knapp. Während viele auf eine Vereinfachung oder Aufweichung der Vorgaben hofften, sind diese Erwartungen nun weitgehend enttäuscht worden. Insbesondere die sogenannte "Digital Omnibus"-Initiative, die auf eine Entlastung abzielte, ist vorerst gescheitert. Dies bedeutet, dass die ursprünglich kommunizierten, ambitionierten Fristen unverändert bestehen bleiben. Für den Mittelstand in Deutschland, Österreich und der Schweiz erwächst daraus erheblicher Handlungsdruck. Wer bis zum 2. August 2026 keine adäquaten Governance-Strukturen für seine Hochrisiko-KI-Systeme implementiert hat, riskiert empfindliche Strafen von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes. Es ist somit höchste Zeit, die Thematik ernst zu nehmen und proaktiv zu handeln.

Hintergrund: Keine Aufweichung der Fristen

Der EU AI Act, der bereits im Juni 2024 verabschiedet wurde und seit dem 1. August 2024 in Kraft ist, bildet einen einheitlichen Rechtsrahmen für Künstliche Intelligenz innerhalb der Europäischen Union. Das erklärte Ziel dieser Verordnung ist es, Innovationen zu fördern, gleichzeitig aber Grundrechte zu schützen und das Vertrauen in KI-Systeme zu stärken. Auf nationaler Ebene hat die deutsche Bundesregierung am 11. Februar 2026 einen Gesetzentwurf zur Durchführung dieser EU-Verordnung beschlossen, welcher die Zuständigkeiten der nationalen Behörden und die Marktüberwachung klar regelt.

Jüngste Trilog-Verhandlungen, die Ende April 2026 stattfanden, sollten ursprünglich eine Lockerung und Vereinfachung des AI Acts bewirken. Diese als "Digital Omnibus" bekannte Initiative zielte darauf ab, die Komplexität der Regulierung zu reduzieren. Trotz zwölf Stunden intensiver Verhandlungen konnte jedoch keine Einigung erzielt werden. Insbesondere Anhang I des AI Act, der KI in regulierten Produkten wie Maschinen und Medizingeräten betrifft, blieb ein strittiger Punkt. Obwohl es teilweise zu Einigungen über verschobene Fristen kam – etwa bis Dezember 2027 für Anhang-III-Systeme und August 2028 für Anhang-I-Systeme – blockierte der Europäische Rat den gesamten Vorschlag. Dies hat zur Folge, dass die umfassenden Entlastungen und Fristverlängerungen, auf die viele Unternehmen gehofft hatten, nun nicht greifen.

Eine Teilerleichterung wurde am 7. Mai 2026 im Rahmen des "Digital Omnibus VII"-Abkommens für den deutschen Maschinenbau erzielt. Dieses Abkommen lockert die KI-Auflagen für Maschinen weitgehend, sofern bereits spezifische Branchenregeln, wie die Maschinenprodukteverordnung, Anwendung finden. Der Verband Deutscher Maschinen- und Anlagenbau (VDMA) und der ZVEI haben diese Entwicklung begrüsst. Die Umsetzungsfristen für eigenständige Hochrisiko-Anwendungen im Maschinenbau wurden auf den 2. Dezember 2027 verschoben, und für KI, die als Sicherheitskomponente in Produkten eingesetzt wird, sogar bis zum 2. August 2028. Diese sektorspezifischen Erleichterungen sind für die betroffenen Industrien von Bedeutung, mindern jedoch nicht den allgemeinen Druck auf andere Branchen und die Notwendigkeit zur Etablierung einer umfassenden KI-Governance für die Mehrheit der Unternehmen.

Hochrisiko-KI: Wer ist betroffen und welche Pflichten entstehen?

Für Unternehmen in Deutschland, Österreich und der Schweiz, die vom EU-Recht betroffen sind, bedeutet die aktuelle Lage, dass sie sich unverzüglich und aktiv auf die Umsetzung der KI-Verordnung vorbereiten müssen. Eine verbreitete Fehleinschätzung im Mittelstand ist die Annahme, selbst keine regulierten KI-Systeme einzusetzen. Der AI Act verfolgt einen risikobasierten Ansatz, der vier Kategorien von KI-Systemen unterscheidet: unzulässige KI (verboten), Hochrisiko-KI (strenge Auflagen), transparenzpflichtige KI (Kennzeichnungspflichten) und KI mit geringem Risiko (kaum Regulierung).

Die umfangreichsten Pflichten treffen Unternehmen, die als Anbieter oder Betreiber von Hochrisiko-KI-Systemen gelten. Hierzu zählen KI-Anwendungen, die in sensiblen Bereichen zum Einsatz kommen und potenziell erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Beispiele hierfür sind KI-Systeme, die in Personalentscheidungen verwendet werden, etwa bei der Rekrutierung, Leistungsbewertung oder dem Personalmanagement. Ebenso betroffen sind KI-Systeme in der Kreditvergabe, in medizinischen Diagnosen, in der Strafverfolgung oder im Management kritischer Infrastrukturen. Die Identifikation, ob eigene oder eingesetzte KI-Systeme in diese Kategorie fallen, ist der erste und entscheidende Schritt.

Die Zeit drängt massiv, da die zentralen KI-Regeln am 2. August 2026 in Kraft treten. Bis zu diesem Stichtag müssen Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder nutzen, eine Reihe von verpflichtenden Maßnahmen umgesetzt haben:

* Risikomanagementsysteme etablieren: Es sind kontinuierliche Risikoanalysen und -bewertungen über den gesamten Lebenszyklus des KI-Systems hinweg durchzuführen und zu dokumentieren. * Daten-Governance sicherstellen: Ein besonderer Fokus liegt auf der Qualität, Transparenz und Nachvollziehbarkeit der Trainingsdaten. Dies beinhaltet auch die Analyse und Minimierung potenzieller Voreingenommenheit, des sogenannten KI-Bias. * Technische Dokumentation und Aufzeichnungspflichten erfüllen: Eine umfassende und detaillierte Dokumentation der KI-Systeme, ihrer Funktionsweise, Datenquellen und Modelle ist zwingend vorgeschrieben. * Menschliche Aufsicht gewährleisten: Die Systeme müssen so konzipiert sein, dass eine effektive menschliche Überwachung und Intervention jederzeit möglich ist, um Fehlentscheidungen oder unerwünschte Ergebnisse korrigieren zu können. * Qualitätssicherungssysteme implementieren: Dies umfasst Maßnahmen zur Gewährleistung der Robustheit, Genauigkeit und Sicherheit der KI-Systeme während des gesamten Betriebs. * Transparenzpflichten einhalten: Informationen über die Funktionsweise, die Leistungsfähigkeit und die potenziellen Risiken von KI-Systemen müssen den Nutzern klar und verständlich bereitgestellt werden. * Konformitätsbewertungsverfahren durchführen: Bevor Hochrisiko-KI-Systeme in Verkehr gebracht oder in Betrieb genommen werden, müssen sie ein Konformitätsbewertungsverfahren durchlaufen, um die Einhaltung aller gesetzlichen Anforderungen zu bestätigen.

Für alle nicht vom Maschinenbau-Sektor profitierenden Unternehmen bedeutet dies, dass die volle Bandbreite dieser Pflichten bis August 2026 umgesetzt sein muss. Die Komplexität dieser Anforderungen darf nicht unterschätzt werden.

Organisatorische Herausforderungen: Governance, Change Management und Datenschutz

Die Umsetzung des AI Acts ist weit mehr als eine rein technische Aufgabe, sie stellt eine umfassende organisatorische Herausforderung dar. Unternehmen müssen klare Governance-Strukturen aufbauen, Verantwortlichkeiten im Umgang mit KI präzise definieren und interne Richtlinien für den verantwortungsvollen Einsatz von KI-Systemen entwickeln. Dies schliesst auch die Festlegung von Prozessen für die Beschaffung neuer KI-Systeme ein, die eine obligatorische Compliance-Prüfung vor dem Kauf vorsehen. Parallel dazu sind Schulungsprogramme für alle Mitarbeitenden, die mit KI-Systemen interagieren oder diese nutzen, unerlässlich, um das Bewusstsein für die neuen Regelungen und deren praktische Anwendung zu schärfen. Organisationen wie die IHK München bieten hierfür nützliche Checklisten und Positionspapiere an, die Unternehmen bei der Vorbereitung unterstützen können.

Besonders kritisch sind Datenschutz und Data Governance im Kontext generativer KI, deren Nutzung in deutschen Unternehmen massiv zunimmt. Während im Jahr 2023 lediglich 5 Prozent der Unternehmen generative KI einsetzten, ist dieser Wert bis 2026 auf 25 Prozent gestiegen. Diese rasante Entwicklung bringt neue Fragestellungen mit sich, die im Rahmen des AI Acts umfassend beantwortet werden müssen. Dazu gehören die Herkunft und Rechtmäßigkeit der Trainingsdaten, die Einhaltung des Prinzips der Datenminimierung sowie die Transparenz und Nachvollziehbarkeit modellinterner Entscheidungen. Viele Unternehmen nutzen heute frei zugängliche Software, rund 90 Prozent. 16 Prozent setzen auf gekaufte Lösungen und etwa 6 Prozent entwickeln eigene Modelle. Die Nutzung von kommerziellen KI-Tools wie ChatGPT Business oder Claude for Business kann DSGVO-konforme Optionen bieten, sofern keine Modelltrainings auf Unternehmensdaten erfolgen. Bei der Verarbeitung sensibler Kundendaten ist jedoch stets ein detailliertes und revisionssicheres Datenschutzkonzept unerlässlich.

Die Missachtung dieser Pflichten kann nicht nur zu den bereits erwähnten hohen Bußgeldern führen, sondern auch den Verlust des Anschlusses an einen sich rasant entwickelnden Regulierungsrahmen bedeuten. Langfristig können Compliance-Verstösse das Vertrauen von Kunden und Partnern untergraben und somit den Unternehmenserfolg gefährden. Der Aufbau einer effektiven KI-Governance sollte daher entlang etablierter internationaler Standards erfolgen, wie beispielsweise ISO/IEC 42001 für KI-Managementsysteme, ergänzt durch Qualitätskriterien des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wie QUAIDAL. Diese Standards bieten einen strukturierten Ansatz, um die komplexen Anforderungen des AI Acts systematisch zu erfüllen.

Praktische Handlungsempfehlungen für Unternehmen

Angesichts des knappen Zeitfensters und der weitreichenden Auswirkungen ist ein proaktives und strukturiertes Vorgehen für DACH-Unternehmen unabdingbar. Kapitel H empfiehlt folgende konkrete Schritte:

1. Sofortige Bestandsaufnahme: Identifizieren Sie alle in Ihrem Unternehmen bereits eingesetzten und geplanten KI-Systeme. Bewerten Sie, welche davon unter die Definition der Hochrisiko-KI fallen könnten. Eine gründliche Analyse ist der Ausgangspunkt für alle weiteren Maßnahmen. 2. Verantwortlichkeiten klären: Benennen Sie einen oder mehrere interne Verantwortliche für die KI-Compliance. Diese Personen oder Teams sollten über die notwendigen Kompetenzen verfügen und direkt der Unternehmensleitung unterstellt sein, um die Umsetzung wirksam voranzutreiben. 3. KI-Governance etablieren: Entwickeln Sie klare interne Richtlinien, Prozesse und Kontrollmechanismen für den gesamten Lebenszyklus von KI-Systemen. Dies umfasst die Beschaffung, Entwicklung, den Einsatz, die Wartung und die Ausserbetriebnahme. Schulen Sie Ihre Mitarbeitenden umfassend in diesen neuen Prozessen. 4. Dokumentation und Transparenz: Beginnen Sie umgehend mit dem Aufbau einer umfassenden technischen Dokumentation für alle Hochrisiko-KI-Systeme. Stellen Sie sicher, dass alle Schritte, Datenquellen und Entscheidungen nachvollziehbar sind. Etablieren Sie Mechanismen zur Erfüllung der Transparenzpflichten gegenüber Nutzern. 5. Rechtliche und technische Prüfung: Ziehen Sie bei Bedarf externe Expertise hinzu, um die rechtliche Einordnung Ihrer KI-Systeme sowie die technische Umsetzung der Anforderungen zu prüfen. Eine unabhängige Bewertung kann Risiken minimieren und die Compliance sicherstellen. 6. Budget und Ressourcen einplanen: Die Umsetzung des AI Acts erfordert erhebliche personelle und finanzielle Ressourcen. Planen Sie diese vorausschauend ein, um Engpässe zu vermeiden und die notwendigen Investitionen in Compliance und Schulung zu tätigen.

Kritische Einordnung aus Kapitel-H-Sicht

Aus der Perspektive von Kapitel H anerkennen wir das grundlegende Schutzziel des EU AI Acts: den Schutz von Grundrechten und die Förderung von Vertrauen in KI. Allerdings beobachten wir auch mit Sorge die Komplexität und die oft zähen legislativen Prozesse, die zu einem Gesetz führen, das für viele Mittelständler schwer greifbar ist. Die Debatte um den AI Act ist nun jedoch hinfällig, es ist geltendes Recht. Es geht nicht mehr um das "Ob" der Regulierung, sondern um das "Wie" der Umsetzung. Panik ist dabei ein schlechter Ratgeber. Vielmehr ist ein pragmatischer, datenbasierter Ansatz gefragt.

Wir sehen im AI Act nicht nur eine Bürde, sondern auch eine Chance. Unternehmen, die jetzt vorausschauend handeln und eine robuste KI-Governance aufbauen, können sich als vertrauenswürdige und verantwortungsbewusste Akteure am Markt positionieren. Dies schafft einen Wettbewerbsvorteil, insbesondere im DACH-Raum, wo Qualität und Verlässlichkeit traditionell hohe Werte darstellen. Der Mittelstand ist hier oft noch unzureichend vorbereitet, was die Gefahr birgt, den Anschluss an international agierende Wettbewerber zu verlieren.

Unsere Kernbotschaft lautet seit jeher: Befähigung statt Abhängigkeit. Dies gilt auch für den Umgang mit dem AI Act. Unternehmen sollten nicht ausschliesslich auf externe Berater setzen, sondern eigene Kapazitäten und Expertise im Bereich KI-Governance aufbauen. Internes Wissen und Verständnis sind entscheidend, um die Anforderungen nachhaltig zu erfüllen und die Potenziale von KI verantwortungsvoll zu nutzen. Es geht darum, KI nicht nur effizient, sondern auch ethisch und rechtlich einwandfrei einzusetzen, wobei die Qualität des Einsatzes stets Vorrang vor der bloßen Quantität der Anwendungen haben sollte.

Fazit: Jetzt handeln für eine verantwortungsvolle KI-Zukunft

Die jüngsten Entwicklungen unterstreichen unmissverständlich: Der EU AI Act ist kein ferner Zukunftsentwurf, sondern ein unmittelbar wirksames Gesetz mit nationaler Umsetzung und konkreten, nahenden Fristen. Die Botschaft an DACH-Unternehmen ist klar: Wer bis zum 2. August 2026 keine umfassenden Maßnahmen zur Einhaltung der KI-Verordnung, insbesondere für Hochrisiko-Systeme, ergriffen hat, geht erhebliche rechtliche und finanzielle Risiken ein.

Es ist entscheidend, die Implementierung einer robusten KI-Governance jetzt als strategische Priorität zu behandeln. Dies sichert nicht nur die Compliance und schützt vor empfindlichen Strafen, sondern positioniert Ihr Unternehmen auch als vertrauenswürdigen und zukunftsorientierten Akteur im digitalen Zeitalter. Der EU AI Act ist somit kein Hemmnis für Innovation, sondern vielmehr ein klarer Rahmen, um das volle Potenzial Künstlicher Intelligenz verantwortungsvoll und nachhaltig zu entfalten. Beginnen Sie jetzt mit der Umsetzung, denn jeder Tag zählt.