EU AI Act: Neue Fristen für Hochrisiko-KI-Systeme im DACH-Raum

# EU AI Act: Neue Fristen für Hochrisiko-KI-Systeme im DACH-Raum

Die Welt der Künstlichen Intelligenz (KI) entwickelt sich rasant, doch mit ihr wachsen auch die Anforderungen an Sicherheit, Ethik und Compliance. Der EU AI Act, das weltweit erste umfassende Regelwerk für KI, setzt hierfür den Rahmen. Eine kürzlich erzielte Einigung, das sogenannte "Digital Omnibus"-Paket vom 7. Mai 2026, bringt nun erhebliche Änderungen für Unternehmen im deutschsprachigen Raum mit sich. Zentrale Umsetzungsfristen für Hochrisiko-KI-Systeme wurden verschoben, was direkte Auswirkungen auf Ihre Planungen und Ihre strategische Ausrichtung hat. Diese Anpassungen sind keine Entwarnung, sondern eine Chance, die Einführung und Nutzung von KI in Ihrem Unternehmen fundierter und sicherer zu gestalten.

Für viele mittelständische und größere Unternehmen in Deutschland, Österreich und der Schweiz bedeutet dies eine willkommene Atempause. Die ursprünglichen Fristen, insbesondere für die komplexen Anforderungen an Hochrisiko-KI, waren ambitioniert. Die neuen Zeitpläne geben Ihnen die Möglichkeit, die notwendigen internen Anpassungen vorzunehmen, Governance-Strukturen zu etablieren und die Kompetenzen Ihrer Mitarbeitenden gezielt aufzubauen. Es ist eine Gelegenheit, den Hype beiseitezulegen und sich auf die pragmatische, datenbasierte Implementierung zu konzentrieren, die den langfristigen Erfolg sichert.

Hintergrund der Fristverschiebung: Der EU AI Act und das Digital Omnibus-Paket

Der EU AI Act ist seit dem 1. August 2024 schrittweise in Kraft getreten und etabliert ein risikobasiertes Regulierungssystem für Künstliche Intelligenz. Ziel ist es, ein Gleichgewicht zwischen der Förderung von Innovation und dem Schutz der Grundrechte der Bürger zu finden. Ursprünglich sahen die Pläne vor, dass viele der strengen Pflichten, insbesondere für Hochrisiko-KI-Systeme, bereits ab August 2026 zur Anwendung kommen sollten. Dies betrifft Anwendungsbereiche, die ein signifikantes Risiko für Gesundheit, Sicherheit oder Grundrechte darstellen, beispielsweise in der medizinischen Diagnostik oder im Personalwesen.

Die Realität zeigte jedoch, dass viele Unternehmen und auch die Mitgliedstaaten mit der Implementierung der notwendigen Strukturen Schwierigkeiten hatten. Die EU-Kommission reagierte auf diese Herausforderungen und unterbreitete bereits am 19. November 2025 Vorschläge zur Vereinfachung des KI-Gesetzes. Diese Vorschläge wurden nun im Rahmen des "Digital Omnibus"-Pakets durch eine politische Einigung zwischen dem Europäischen Parlament und dem Rat am 7. Mai 2026 finalisiert. Die Kernmotivation für diese Verschiebung ist es, Unternehmen mehr Zeit zur Anpassung zu geben und gleichzeitig sicherzustellen, dass die notwendigen technischen Standards und Leitlinien zur Verfügung stehen, bevor die Regelungen bindend werden. Dies ist ein pragmatischer Schritt, der die europäische Wirtschaft entlasten und eine fundierte Umsetzung des Gesetzes ermöglichen soll.

Konkrete Anpassungen: Neue Anwendungszeitpläne für Hochrisiko-KI

Die wichtigsten Änderungen durch das Digital Omnibus-Paket betreffen die Anpassung der Anwendungszeitpläne für Hochrisiko-KI-Systeme. Diese Änderungen sind präzise definiert und bieten Unternehmen nun klarere Planungssicherheit:

* Systeme in bestimmten Hochrisikobereichen: Ursprünglich war der August 2026 als Stichtag vorgesehen. Nun gelten die Vorschriften für KI-Systeme in kritischen Infrastrukturen, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrollen sowie biometrische Systeme erst ab dem 2. Dezember 2027. Dies verschafft den betroffenen Unternehmen fast anderthalb Jahre zusätzliche Zeit, um ihre Systeme zu prüfen, anzupassen und die notwendigen Compliance-Maßnahmen zu implementieren. Die Auswirkungen sind besonders relevant für Branchen wie den öffentlichen Sektor, Personalberatungen oder Sicherheitsdienstleister.

* Systeme, die in Produkte integriert sind: Für KI-Systeme, die in physische Produkte wie Medizinprodukte, Maschinen, Aufzüge oder Spielzeug integriert sind, verschiebt sich die Anwendbarkeit auf den 2. August 2028. Der ursprüngliche Termin war August 2027. Diese Verschiebung um ein Jahr ist besonders bedeutsam für die produzierende Industrie und den Maschinenbau im DACH-Raum. Sie ermöglicht es diesen Unternehmen, die komplexen Anforderungen an Produktsicherheit und Konformität von KI-Komponenten sorgfältiger in ihre Entwicklungs- und Zertifizierungsprozesse zu integrieren.

Neben diesen Kernfristen wurden auch andere Zeitlinien angepasst. Die Frist für die Einrichtung nationaler KI-Aufsichtsbehörden, die ursprünglich bis zum 2. August 2025 vorgesehen war, konnte von vielen Mitgliedstaaten nicht eingehalten werden. Die neuen Regelungen tragen dieser Realität Rechnung. Ebenso wird die Frist für die Nutzung von geschützten Testumgebungen, sogenannten "Regulatory Sandboxes", und EU-weiten Praxistests auf den 2. August 2027 verschoben. Dies ist ein wichtiges Signal zur Innovationsförderung, da es Unternehmen ermöglicht, neue KI-Lösungen in einem sicheren und regulierten Umfeld zu erproben, bevor sie diese auf den Markt bringen.

Strategische Bedeutung für DACH-Unternehmen: Atempause und neue Chancen

Die Verschiebung der Fristen ist nicht einfach nur ein Aufschub. Sie bietet DACH-Unternehmen eine strategische Chance, die KI-Implementierung von Grund auf neu zu denken und langfristig zu optimieren. Es geht darum, aus der Notwendigkeit einer Regulierung einen Wettbewerbsvorteil zu schaffen. Kapitel H sieht hierin eine Bestätigung des pragmatischen Ansatzes: Nicht die schnellste, sondern die sicherste und fundierteste Implementierung führt zum Erfolg.

Entlastung und Planbarkeit als Basis für strategische Entscheidungen

Die zusätzlichen Monate sind eine erhebliche Entlastung. Viele Unternehmen, insbesondere im Mittelstand, waren von der Komplexität und den knappen Fristen des EU AI Act überfordert. Die neuen Zeitpläne verschaffen ihnen dringend benötigte Zeit, um interne Prozesse anzupassen, technische Dokumentationen zu erstellen, Management- und Qualitätsmanagementsysteme zu implementieren und die notwendige "Human Oversight" sicherzustellen. Diese gewonnene Zeit sollte nicht für ein Aufschieben der Aufgaben genutzt werden, sondern für eine strukturierte und durchdachte Planung. Eine fundierte Compliance-Strategie ist keine Bürde, sondern die Grundlage für skalierbare und sichere KI-Anwendungen.

Fokus auf Qualitätsstandards und Governance

Die Verzögerung soll sicherstellen, dass technische Standards und andere Unterstützungsinstrumente vorhanden sind, *bevor* die Vorschriften angewendet werden. Dies fördert eine proaktive Umsetzung, die den AI Act als Governance- und Qualitätsstandard begreift, der langfristig Produktivitätsgewinne ermöglicht. Unternehmen im DACH-Raum legen traditionell Wert auf Präzision und Qualität. Eine Var Group Studie bestätigt, dass deutsche Unternehmen einen hohen Fokus auf Datenanalyse (60%) und Cybersicherheit (63%) legen. Diese Stärken bilden eine hervorragende Basis für eine strukturierte und normkonforme KI-Einführung. Der AI Act kann somit als Katalysator für die Verbesserung von Datenqualität, Risikomanagement und internen Prozessen dienen.

Datenschutz bleibt unverändert Priorität

Unabhängig von den verschobenen AI Act-Fristen bleiben die Anforderungen an Datenschutz und Informationssicherheit bestehen. Die Datenschutz-Grundverordnung (DSGVO) in der EU und das revidierte Datenschutzgesetz (DSG) in der Schweiz sind direkt auf KI-gestützte Datenbearbeitungen anwendbar. Unternehmen müssen weiterhin sicherstellen, dass personenbezogene Daten nicht unbedacht in öffentliche KI-Systeme eingegeben werden. Eine aktuelle Studie zeigt, dass 71 Prozent der Beschäftigten in Deutschland KI-Tools nutzen, die nicht vom Unternehmen nicht freigegeben wurden. Alarmierend ist, dass 38 Prozent bereits sensible Informationen weitergegeben haben. Dies unterstreicht die Dringlichkeit, klare Richtlinien für den KI-Einsatz sowie Mitarbeiterschulungen zu etablieren, unabhängig von den AI Act-Fristen. Der Schutz sensibler Daten ist ein nicht verhandelbarer Faktor und ein grundlegendes Element jeder verantwortungsvollen KI-Strategie.

Wettbewerbsfähigkeit und Innovationsförderung durch mehr Flexibilität

Kritiker hatten zuvor eine zu starke Regulierung als Innovationshemmnis für europäische Unternehmen befürchtet. Die nun flexibleren Fristen, zusammen mit dem Ziel, mehr geschützte Testumgebungen ("Regulatory Sandboxes") zu schaffen und EU-weite Praxistests zu ermöglichen, könnten die Innovationskraft stärken. Dies ist entscheidend, da DACH-Unternehmen in der tieferen Integration von KI in Workflows teils hinter den USA und UK zurückliegen, obwohl das Budget oft vorhanden ist. Die disziplinierte Prozesskultur im DACH-Raum wird jedoch als Vorteil für eine erfolgreiche und compliant KI-Automatisierung gesehen. Die neuen Fristen bieten eine Chance, diesen Vorteil zu nutzen und die KI-Implementierung nicht nur gesetzeskonform, sondern auch innovationsfördernd zu gestalten.

Mitarbeiterkompetenz als Schlüsselfaktor für den Erfolg

Eine wichtige Verpflichtung, die bereits seit dem 2. Februar 2025 gilt, ist die Sicherstellung der KI-Kompetenz von Mitarbeitenden, die KI bedienen oder mit ihr interagieren. Die Änderungen durch den "KI-Omnibus" sollen dazu führen, dass die Verantwortung für die Förderung von KI-Kompetenz nicht mehr allein bei den Unternehmen liegt, sondern EU und Mitgliedstaaten durch gezielte Programme unterstützen sollen. Dies ist ein wichtiges Signal, da laut TÜV-Verbandsumfrage nur 38% der KI-nutzenden Mitarbeiter weitergebildet sind, obwohl 45% KI im Arbeitsalltag nutzen. Eine fundierte Schulung der Mitarbeiter ist nicht nur eine Compliance-Aufgabe, sondern eine Investition in die zukünftige Wettbewerbsfähigkeit und Effizienz des Unternehmens.

Spezifische Auswirkungen im DACH-Raum

Die Änderungen des EU AI Act haben spezifische Implikationen für jedes Land im DACH-Raum, die Unternehmen berücksichtigen sollten.

Deutschland

Deutschland ist ein zentraler Akteur in der europäischen Wirtschaft und zugleich ein Land, das traditionell einen hohen Wert auf Regulatorien und Prozesssicherheit legt. Laut einer IAB-Studie hat sich die Nutzung generativer KI in deutschen Unternehmen binnen zwei Jahren verfünffacht, von 5% auf 25% im Jahr 2026. Dennoch sehen 43% der Unternehmen keine konkrete KI-Strategie. Die verschobenen Fristen bieten nun eine kritische Chance, die Implementierung nicht nur zu beschleunigen, sondern vor allem strategisch und konform zu gestalten. Es geht nicht nur darum, KI einzuführen, sondern sie verantwortungsvoll und zielgerichtet in die Unternehmensprozesse zu integrieren. Auch die Digitalministerkonferenz in Hamburg drängt auf den Einsatz von KI zur Beschleunigung von Verwaltungsverfahren und Bürokratieabbau, was auf staatlicher Ebene die Relevanz von KI unterstreicht und Unternehmen indirekt entlasten könnte. Hier zeigt sich die Notwendigkeit, staatliche Rahmenbedingungen und unternehmerische Initiativen zu synchronisieren.

Österreich

In Österreich zeigt sich ein differenziertes Bild bezüglich der KI-Einführung. Eine EY-Studie vom November 2025 ergab, dass 4 von 10 Befragten Sorge haben, von KI ersetzt zu werden. Gleichzeitig nimmt mehr als die Hälfte (57%) an KI-Weiterbildungen teil. Dies deutet auf eine hohe Bereitschaft zur Anpassung und zum Lernen hin. Die neuen Fristen geben österreichischen Unternehmen mehr Spielraum, diese Weiterbildung zu intensivieren und die Akzeptanz sowie den sicheren Einsatz von KI zu fördern. Es ist entscheidend, Ängste durch fundierte Aufklärung und Schulung abzubauen und die Vorteile von KI klar zu kommunizieren. Dies schafft eine positive Unternehmenskultur für die digitale Transformation.

Schweiz

Obwohl die Schweiz kein Mitglied der EU ist, sind auch Schweizer Unternehmen vom EU AI Act betroffen, sobald sie KI-Systeme in der EU in Verkehr bringen, Teil einer EU-Lieferkette sind oder EU-Daten verarbeiten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat bereits im Mai 2025 klargestellt, dass das Schweizer Datenschutzgesetz (DSG) auf KI-gestützte Datenbearbeitungen direkt anwendbar ist und Transparenzpflichten sowie Betroffenenrechte zu beachten sind. Die Kohärenz zwischen dem EU AI Act und dem Schweizer DSG ist entscheidend, um die grenzüberschreitende Datenübermittlung ohne zusätzliche Hürden zu ermöglichen. Schweizer Unternehmen sollten die neuen Fristen nutzen, um ihre KI-Strategien im Hinblick auf die EU-Anforderungen zu schärfen und gleichzeitig die nationalen Datenschutzstandards vollumfänglich zu erfüllen. Dies sichert den Zugang zum europäischen Binnenmarkt und stärkt die internationale Wettbewerbsfähigkeit.

Praktische Handlungsempfehlungen für Unternehmen

Die Verschiebung der Fristen ist keine Lizenz zum Abwarten, sondern eine Einladung zum Handeln. Nutzen Sie diese Zeit, um eine solide Grundlage für den verantwortungsvollen Einsatz von KI zu legen:

1. KI-Strategie überarbeiten: Bewerten Sie Ihre bestehenden oder geplanten KI-Projekte im Lichte der neuen Fristen und definieren Sie klare Verantwortlichkeiten und Compliance-Ziele. Stellen Sie sicher, dass Ihre KI-Strategie nicht nur auf Effizienz, sondern auch auf Ethik und Sicherheit ausgerichtet ist. 2. Interne Richtlinien und Governance-Strukturen schaffen: Entwickeln Sie verbindliche Richtlinien für den Einsatz von KI, insbesondere für Hochrisiko-Anwendungen. Implementieren Sie ein KI-Governance-Modell, das Risikoanalysen, Qualitätsmanagement und Überwachung der KI-Systeme umfasst. 3. Mitarbeiter schulen und sensibilisieren: Investieren Sie in die KI-Kompetenz Ihrer Belegschaft. Sensibilisieren Sie für die Risiken, aber auch für die Chancen von KI. Schulungen zu Datenschutz, Datensicherheit und dem sicheren Umgang mit KI-Tools sind unerlässlich. 4. Bestandsaufnahme und Compliance-Check: Identifizieren Sie alle KI-Systeme in Ihrem Unternehmen, die unter die Hochrisiko-Kategorie fallen könnten. Führen Sie eine detaillierte Gap-Analyse durch, um zu ermitteln, welche Anpassungen für die zukünftige Konformität mit dem EU AI Act erforderlich sind. 5. Technologiepartner evaluieren: Prüfen Sie, ob Ihre aktuellen KI-Dienstleister und Softwareanbieter die Anforderungen des EU AI Act erfüllen oder entsprechende Anpassungen planen. Suchen Sie bei Bedarf nach Partnern, die Sie auf dem Weg zur Compliance unterstützen können.

Kritische Einordnung aus Kapitel-H-Sicht

Aus der Perspektive von Kapitel H ist die Verschiebung der Fristen ein notwendiger, aber nicht hinreichender Schritt. Es ist erfreulich zu sehen, dass die Realität der Implementierung anerkannt wird und Unternehmen mehr Zeit erhalten. Dies ist ein Zeichen für einen pragmatischen Regulierungsansatz. Allerdings birgt die Fristverlängerung auch die Gefahr, dass Unternehmen die Dringlichkeit der Auseinandersetzung mit KI unterschätzen und die Implementierung auf die lange Bank schieben. Dieser Fehler sollte unbedingt vermieden werden.

KI ist kein Compliance-Projekt im klassischen Sinne, sondern ein strategischer Hebel für zukünftige Wettbewerbsfähigkeit. Wer den EU AI Act lediglich als bürokratische Hürde begreift, verschenkt Potenzial. Wir bei Kapitel H betonen stets, dass die Befähigung der eigenen Organisation der Schlüssel ist. Externe Berater können unterstützen, aber die tiefgreifende Kompetenz und das Verständnis für die eigenen Daten und Prozesse müssen im Unternehmen verankert sein. Der AI Act sollte als Rahmenwerk verstanden werden, das zu einer sichereren, transparenteren und damit vertrauenswürdigeren Nutzung von KI anleitet. Dies wiederum fördert die Akzeptanz bei Kunden und Mitarbeitern und sichert langfristige Wertschöpfung.

Die aktuelle Verschiebung ist somit eine strategische Atempause, kein genereller Aufschub. Unternehmen, die diese Zeit klug nutzen, um ihre KI-Strategien zu schärfen, interne Kompetenzen aufzubauen und eine robuste Governance zu etablieren, werden gestärkt aus dieser Phase hervorgehen. Wer wartet, riskiert, den Anschluss zu verlieren und sich in Zukunft unter größerem Zeitdruck und höheren Kosten anpassen zu müssen.

Fazit: Jetzt ist die Zeit für strategisches Handeln

Die Verschiebung der zentralen Anwendungsfristen für Hochrisiko-KI-Systeme durch das Digital Omnibus-Paket ist die aktuell wichtigste KI-Nachricht für den DACH-Arbeitsmarkt. Sie bietet Unternehmen eine entscheidende Atempause, um sich auf die komplexen Anforderungen des EU AI Act vorzubereiten und KI strategischer, sicherer und datenschutzkonformer zu implementieren. Diese Verzögerung sollte nicht als Aufschub der Auseinandersetzung mit KI missverstanden werden, sondern als Chance, die Weichen für eine verantwortungsvolle und wettbewerbsfähige KI-Nutzung in der DACH-Region zu stellen.

Nutzen Sie diese zusätzliche Zeit, um Ihre KI-Strategien zu überprüfen, interne Richtlinien zu schaffen, Mitarbeiter zu schulen und Compliance-Strukturen zu implementieren. Diese Strukturen müssen sowohl den Anforderungen des EU AI Act als auch den bestehenden Datenschutzgesetzen gerecht werden. Nur so können Sie sicherstellen, dass Ihre KI-Initiativen nicht nur innovativ, sondern auch rechtlich abgesichert und nachhaltig erfolgreich sind. Die Zukunft gehört jenen Unternehmen, die proaktiv handeln und KI als strategisches Werkzeug mit dem nötigen Respekt vor regulatorischen und ethischen Rahmenbedingungen begreifen.