EU AI Act: Neue Fristen für Hochrisiko-KI im DACH-Mittelstand

Der EU AI Act ist seit seinem Inkrafttreten am 1. August 2024 ein zentrales Thema für Unternehmen, die Künstliche Intelligenz entwickeln, anbieten oder nutzen. Besonders im deutschsprachigen Raum, der von einem starken Mittelstand geprägt ist, sorgten die ehrgeizigen Anwendungsfristen für Hochrisiko-KI-Systeme für teils erhebliche Planungsunsicherheiten. Nun gibt es eine wichtige Entwicklung, die diese Situation entspannt, aber auch neue strategische Anforderungen mit sich bringt.

Am 7. Mai 2026 wurde eine vorläufige politische Einigung über den sogenannten "Digital Omnibus on AI" erzielt. Dieses umfassende Legislativpaket passt den bereits bestehenden EU AI Act an und führt insbesondere eine gestaffelte Verschiebung der Compliance-Fristen für Hochrisiko-KI-Systeme ein. Diese Anpassungen haben direkte und weitreichende Auswirkungen auf die Planung und Strategie von Unternehmen in Deutschland, Österreich und, indirekt, auch in der Schweiz. Es ist keine Entwarnung, sondern ein Aufruf zur präziseren Vorbereitung.

Der EU AI Act und der "Digital Omnibus" im Detail

Der EU AI Act ist darauf ausgelegt, harmonisierte Regeln für KI-Systeme in der gesamten Europäischen Union zu etablieren. Er verfolgt einen risikobasierten Ansatz, der von verbotenen Praktiken bis hin zu geringfügigen Risiken reicht. Die ursprünglichen Anwendungsfristen waren ambitioniert. Viele Unternehmen, insbesondere kleinere und mittlere Unternehmen (KMU), sahen sich mit erheblichen Herausforderungen bei der Umsetzung konfrontiert. Angesichts dieser Bedenken und der Notwendigkeit, die Wettbewerbsfähigkeit der europäischen Industrie zu sichern, wurde der "Digital Omnibus on AI" initiiert. Ziel war es, die Implementierung zu vereinfachen und Überschneidungen mit bestehenden sektoralen Vorschriften zu reduzieren.

Die Einigung vom 7. Mai 2026, deren förmliche Verabschiedung durch den Rat und das Europäische Parlament vor August 2026 erwartet wird, bringt folgende wesentliche Änderungen mit sich:

1. Verschiebung der Fristen für Hochrisiko-KI-Systeme Dies ist die wichtigste Anpassung für die Arbeitswelt und betrifft zwei Kategorien von Hochrisiko-KI-Systemen:

* Autonome Hochrisiko-KI-Systeme (Anhang III): Hierunter fallen beispielsweise KI-Systeme in den Bereichen Bildung und Berufsbildung, Personalwesen und Beschäftigung. Dazu gehören Einstellungsverfahren, Leistungsbewertung oder Überwachung am Arbeitsplatz. Die Anwendungsfrist für diese Systeme wird vom 2. August 2026 auf den 2. Dezember 2027 verschoben. Dies bedeutet eine Verlängerung um 16 Monate. * Hochrisiko-KI-Systeme, die in Produkte eingebettet sind (Anhang I): Dies betrifft Systeme, die bereits unter bestehende EU-Sicherheitsgesetze fallen, wie beispielsweise medizinische Geräte oder Maschinen. Die Frist für diese Systeme wird vom 2. August 2027 auf den 2. August 2028 verschoben. Dies ist eine Verlängerung um zwölf Monate.

Diese Fristverlängerungen sollen Unternehmen mehr Zeit geben. Sie können die komplexen Anforderungen an Risikomanagement, Datenqualität, menschliche Aufsicht, Transparenz und Cybersicherheit nun mit Bedacht erfüllen.

2. Transparenzpflichten für generierte KI-Inhalte Die Pflichten zur Kennzeichnung von KI-generierten Inhalten, wie Deepfakes oder textuellen Informationen von öffentlichem Interesse, bleiben bestehen, jedoch mit einer angepassten Frist. Anbieter von generativen KI-Systemen, die vor dem 2. August 2026 auf den Markt gebracht wurden, müssen ihre Lösungen zur Inhaltskennzeichnung bis zum **2. Dezember 2026** implementieren. Dies ist eine Verkürzung der ursprünglichen Gnadenfrist von sechs auf drei Monate für neue Systeme. Für bereits bestehende Systeme verschiebt sich die Frist jedoch ebenfalls, was den Unternehmen mehr Planungszeit einräumt.

3. Neue verbotene KI-Praktiken Der Omnibus führt auch ein neues Verbot von KI-Systemen ein, die nicht-einvernehmliche sexuelle Bilder oder Material mit sexuellem Missbrauch von Kindern generieren oder manipulieren, sogenannte "Nudifier Apps". Dieses Verbot tritt am **2. Dezember 2026** in Kraft.

4. Nationale KI-Regulierungssandboxen Die Verpflichtung für Mitgliedstaaten, mindestens eine KI-Regulierungssandbox einzurichten, wird vom 2. August 2026 auf den **2. August 2027** verschoben. Dies soll kleineren Unternehmen und Start-ups erleichtern, KI-Innovationen in einem regulierten Umfeld zu testen und so die Entwicklung zu fördern.

Konkrete Auswirkungen auf DACH-Unternehmen: Fristverlängerung und neue Anforderungen

Die Verschiebung der Fristen für Hochrisiko-KI-Systeme ist eine "willkommene Entwicklung für viele Organisationen", insbesondere im DACH-Raum. Sie bietet dringend benötigte zusätzliche Zeit für die Vorbereitung. Allerdings betonen Rechtsexperten, dass diese Verlängerung "das Timing, nicht die Substanz" betrifft. Die grundlegenden rechtlichen und operationalen Erwartungen bleiben unverändert. Unternehmen sollten die zusätzliche Zeit nutzen, um ihre Strategien zu schärfen und ihre Systeme entsprechend anzupassen.

1. Bestandsaufnahme und Klassifizierung Identifizieren Sie systematisch, wo KI in Ihren Geschäftsprozessen eingesetzt wird. Dies betrifft insbesondere kritische Bereiche wie Personalwesen, Controlling, Finanzwesen und operative Abläufe. Bewerten Sie anschliessend, ob diese Systeme als Hochrisiko eingestuft werden. Eine präzise Klassifizierung ist der erste Schritt zur Compliance.

2. Compliance-Rahmenwerke entwickeln und implementieren Angesichts der verzögerten Fristen für Hochrisiko-KI müssen Unternehmen detaillierte Strategien für Risikomanagement, Datenqualität, menschliche Aufsicht und Transparenz entwickeln und implementieren. Dies beinhaltet die Definition klarer Verantwortlichkeiten, die Erstellung von Dokumentationen für KI-Systeme und die Sicherstellung der Nachvollziehbarkeit von Entscheidungen, die durch KI gestützt werden.

3. Integration von Datenschutz und Cybersicherheit Der AI Act erfordert eine enge Abstimmung mit bestehenden Vorschriften wie der DSGVO und der NIS2-Richtlinie. Unternehmen müssen sicherstellen, dass ihre KI-Systeme nicht nur den Anforderungen des AI Acts entsprechen, sondern auch die Grundsätze des Datenschutzes und der Cybersicherheit von Anfang an integrieren. Dies bedeutet "Privacy by Design" und "Security by Design" auch für KI-Anwendungen.

Nationale Besonderheiten im DACH-Raum

Obwohl der EU AI Act als Verordnung direkt in den Mitgliedstaaten gilt, sind nationale Umsetzungsgesetze erforderlich. Sie dienen der Benennung von Behörden und der Festlegung von Sanktionen.

Deutschland: KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) Deutschland ist dabei, den AI Act durch das "KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG)" national umzusetzen. Der Regierungsentwurf wurde am 10. Februar 2026 vom Bundeskabinett angenommen und befindet sich im parlamentarischen Verfahren. Die Bundesnetzagentur (BNetzA) wird voraussichtlich die zentrale Marktüberwachungsbehörde sein, wobei sektorale Regulierungsbehörden, beispielsweise die BaFin für den Finanzsektor, zusätzliche Aufsichtsfunktionen wahrnehmen. Deutsche Unternehmen müssen zudem die Mitbestimmungsrechte des Betriebsrats gemäss Betriebsverfassungsgesetz berücksichtigen, wenn KI-Systeme für die Einstellung, Überwachung oder Leistungsbewertung von Mitarbeitern eingesetzt werden. Dies erfordert eine frühzeitige Einbindung der Arbeitnehmervertretung.

Österreich: Direkte Anwendbarkeit und unterstützende Gremien Österreich hat keine separate nationale KI-Gesetzgebung geplant, da der EU AI Act direkt anwendbar ist. Das Land hat jedoch Gremien wie einen nationalen KI-Beirat und ein KI-Politikforum eingerichtet, um die Umsetzung zu unterstützen und eine kohärente nationale Strategie zu entwickeln. Nationale Marktüberwachungs- und Notifizierungsbehörden müssen noch benannt werden. Unternehmen in Österreich müssen sich auf die ab August 2026 geltenden Vorschriften zur Überwachung und Durchsetzung einstellen. Hier ist es entscheidend, die Entwicklungen der Benennung der zuständigen Behörden genau zu verfolgen.

Schweiz: Ein eigener Weg mit Blick auf die EU Die Schweiz geht einen eigenständigen Weg bei der KI-Regulierung und hat sich entschieden, den EU AI Act nicht direkt zu übernehmen. Stattdessen plant die Schweiz, die KI-Konvention des Europarates in nationales Recht zu integrieren. Ein Konsultationsentwurf soll bis Ende 2026 vorliegen, mit parlamentarischen Beratungen für 2028. Der Fokus liegt auf sektor-spezifischen Anpassungen und nicht-bindenden Massnahmen, ergänzt durch allgemeine, sektorübergreifende Regeln in Kernbereichen der Grundrechte, beispielsweise Datenschutz und Nichtdiskriminierung.

Obwohl die Schweiz einen anderen Ansatz wählt, sind Schweizer Unternehmen, die in der EU tätig sind oder KI-Produkte und -Dienstleistungen in der EU anbieten, weiterhin vom EU AI Act betroffen. Die Entwicklungen in der EU bleiben daher auch für sie von hoher Relevanz, insbesondere im Hinblick auf die Einhaltung internationaler Standards und die Vermeidung von Fragmentierung im digitalen Binnenmarkt. Eine genaue Kenntnis der EU-Anforderungen ist für exportorientierte Schweizer Unternehmen unerlässlich.

Praktische Handlungsempfehlungen für Unternehmen

Die gewährte Fristverlängerung ist keine Einladung zur Untätigkeit, sondern eine wertvolle Chance, die Implementierung sorgfältiger zu gestalten. Hier sind konkrete Schritte, die Unternehmen jetzt unternehmen sollten:

1. Systematische Bestandsaufnahme und Risikoanalyse: Erstellen Sie ein Inventar aller KI-Systeme in Ihrem Unternehmen. Bewerten Sie jedes System hinsichtlich seines Risikopotenzials gemäss den Kriterien des EU AI Act. Klären Sie, welche Systeme als Hochrisiko eingestuft werden und unter die neuen Fristen fallen. Dokumentieren Sie diesen Prozess transparent. 2. Aufbau von Governance-Strukturen: Implementieren Sie interne Richtlinien und Prozesse für den verantwortungsvollen Einsatz von KI. Definieren Sie klare Verantwortlichkeiten für die Überwachung, Wartung und Prüfung von KI-Systemen. Eine dedizierte "KI-Beauftragten"-Funktion kann hier sinnvoll sein, auch wenn sie nicht explizit vom Act gefordert wird. 3. Investition in Datenqualität und -management: Hochrisiko-KI-Systeme sind nur so gut wie die Daten, mit denen sie trainiert werden. Stellen Sie sicher, dass Ihre Daten von hoher Qualität sind, repräsentativ, aktuell und frei von Diskriminierung. Implementieren Sie robuste Daten-Governance-Prozesse. 4. Schulung und Sensibilisierung der Mitarbeiter: Fördern Sie eine Kultur der KI-Literacy in Ihrem Unternehmen. Schulen Sie Mitarbeiter, die mit KI-Systemen arbeiten, in den Prinzipien des AI Acts, den Risiken und den erforderlichen Kontrollmechanismen. Sensibilisieren Sie für die Bedeutung menschlicher Aufsicht und Interventionsmöglichkeiten. 5. Rechtsberatung und Compliance-Prüfung: Ziehen Sie frühzeitig externe Rechtsexperten hinzu, um Ihre Compliance-Strategie zu überprüfen und massgeschneiderte Lösungen zu entwickeln. Dies ist besonders wichtig angesichts der nationalen Umsetzungsbestimmungen und der komplexen Detailanforderungen des AI Acts. 6. Beobachtung nationaler und europäischer Entwicklungen: Die Gesetzgebung rund um KI ist dynamisch. Bleiben Sie informiert über die finalen nationalen Umsetzungsgesetze in Deutschland und Österreich sowie die weiteren Entwicklungen in der Schweiz. Anpassungen können notwendig werden.

Kapitel-H-Perspektive: Keine Atempause, sondern Auftrag

Aus unserer Sicht bei Kapitel H ist die Verschiebung der Fristen eine pragmatische Entscheidung, die dem Mittelstand dringend benötigte Luft verschafft. Sie ist jedoch keine Einladung zur Verzögerung, sondern ein klarer Auftrag, die zusätzliche Zeit klug zu nutzen. Der AI Act zielt darauf ab, Vertrauen in KI zu schaffen und die europäische Innovationskraft zu sichern. Dies geschieht nicht durch oberflächliche Anpassungen, sondern durch eine tiefgreifende Integration von verantwortungsvollen KI-Praktiken in die Unternehmensstrategie.

Wir sehen das Risiko, dass Unternehmen die Fristverlängerung als generelle Entwarnung missverstehen und die notwendigen Schritte aufschieben. Dies wäre ein Fehler. Die Substanz der Anforderungen bleibt bestehen. Es geht weiterhin um Transparenz, Fairness, Sicherheit und menschliche Kontrolle. Unternehmen, die diese Prinzipien jetzt konsequent in ihre KI-Strategie integrieren, werden langfristig erfolgreicher sein. Sie bauen nicht nur Vertrauen bei Kunden und Mitarbeitern auf, sondern schaffen auch robuste, zukunftsfähige KI-Anwendungen, die tatsächlich Wert stiften.

Die Fähigkeit, KI nicht nur zu nutzen, sondern auch zu steuern und zu gestalten, wird zum entscheidenden Wettbewerbsvorteil. Es geht um Befähigung statt Abhängigkeit von Technologien, deren Funktionsweise oder Risiken nicht verstanden werden. Nutzen Sie die Zeit, um Ihre KI-Systeme nicht nur "AI Act-konform", sondern "KI-verantwortlich" zu machen.

Fazit: Die Chance für proaktive KI-Governance nutzen

Die jüngsten Änderungen am EU AI Act durch den "Digital Omnibus" bieten DACH-Unternehmen eine Atempause bei der Implementierung von Hochrisiko-KI-Systemen. Diese Fristverlängerung ist jedoch keine Entwarnung, sondern ein Aufruf, die zusätzliche Zeit strategisch und proaktiv zu nutzen. Die grundlegenden Anforderungen an verantwortungsvolle und vertrauenswürdige KI bleiben bestehen und werden ab Ende 2027 für Hochrisiko-Systeme in HR und Beschäftigung und ab August 2028 für produktintegrierte Hochrisiko-KI energisch durchgesetzt.

Unternehmen müssen ihre KI-Systeme weiterhin kritisch prüfen, robuste Governance-Strukturen aufbauen und eine Kultur der KI-Literacy fördern. Nur so können sie den komplexen Anforderungen gerecht werden und gleichzeitig ihre Innovationskraft erhalten. Die nationale Umsetzung in Deutschland und Österreich sowie der eigenständige Schweizer Weg erfordern zudem eine genaue Beobachtung und angepasste Compliance-Strategien. Wer jetzt handelt, schafft die Grundlage für einen ethischen, sicheren und wirtschaftlich erfolgreichen Einsatz von Künstlicher Intelligenz.