EU AI Act: Neue Fristen für Hochrisiko-KI – Was DACH-Unternehmen jetzt wissen müssen

Die Künstliche Intelligenz (KI) durchdringt zunehmend alle Bereiche der Wirtschaft. Um diese Entwicklung zu steuern und Vertrauen zu schaffen, hat die Europäische Union mit dem AI Act das weltweit erste umfassende Regelwerk zur KI-Regulierung geschaffen. Dieses Gesetz, Verordnung (EU) 2024/1689, ist bereits am 1. August 2024 in Kraft getreten und stellt Unternehmen im DACH-Raum vor erhebliche Herausforderungen. Ursprünglich sollten viele der Bestimmungen, insbesondere für Hochrisiko-KI-Systeme, ab dem 2. August 2026 vollumfänglich zur Anwendung kommen. Doch die europäische Wirtschaft, namentlich der Mittelstand und die Industrie, hat Bedenken bezüglich der Umsetzbarkeit und der straffen Zeitpläne geäussert.

Am 7. Mai 2026 wurde im Rahmen des sogenannten 'Digitalen Omnibus'-Pakets eine politische Einigung erzielt, die auf diese Bedenken reagiert. Diese Anpassungen sind entscheidend für Unternehmen in Deutschland, Österreich und der Schweiz, die KI entwickeln, einsetzen oder vertreiben. Sie bieten einerseits eine willkommene Atempause, dürfen andererseits jedoch nicht als Signal zur Untätigkeit missverstanden werden. Dieser Artikel beleuchtet die konkreten Änderungen, ihre Implikationen und leitet daraus pragmatische Handlungsempfehlungen für Ihr Unternehmen ab.

Der EU AI Act: Ein ambitioniertes Regelwerk unter Anpassungsdruck

Der EU AI Act verfolgt einen risikobasierten Ansatz, um KI-Systeme nach ihrem potenziellen Schaden für Gesundheit, Sicherheit oder Grundrechte zu klassifizieren. Je höher das Risiko, desto strengere Pflichten werden auferlegt. Insbesondere die Kategorie der Hochrisiko-KI-Systeme, die in sensiblen Bereichen wie kritischer Infrastruktur, Personalwesen, Kreditwürdigkeitsprüfung oder der Justiz eingesetzt werden, war von umfassenden Anforderungen betroffen. Diese reichten von robusten Risikomanagementsystemen über hohe Datenqualitätsstandards bis hin zu umfassenden Dokumentations- und Transparenzpflichten.

Die ursprüngliche Frist für die Anwendbarkeit vieler dieser Bestimmungen zum 2. August 2026 stellte viele Unternehmen vor grosse Herausforderungen. Die Komplexität der Anforderungen, die Notwendigkeit, interne Prozesse anzupassen und neue Kompetenzen aufzubauen, kollidierte oft mit den vorhandenen Ressourcen und dem Tempo der Normungsarbeit. Insbesondere der Mittelstand, der Innovationsmotor der DACH-Region, signalisierte Schwierigkeiten, die umfangreichen Vorschriften innerhalb des gesetzten Zeitrahmens vollständig umzusetzen. Der Druck aus der Wirtschaft war erheblich, da eine zu schnelle oder unzureichende Implementierung nicht nur zu Compliance-Problemen führen, sondern auch die Wettbewerbsfähigkeit gegenüber internationalen Akteuren beeinträchtigen könnte, die weniger strengen Regulierungen unterliegen. Diese Konstellation führte zu intensiven Verhandlungen und schliesslich zu den nun beschlossenen Anpassungen.

Das 'Digitale Omnibus'-Paket: Konkrete Fristverschiebungen und Klarstellungen

Die am 7. Mai 2026 erzielte politische Einigung ist eine direkte Reaktion auf die praktischen Herausforderungen der Implementierung. Die wesentlichste Änderung betrifft die Verlängerung der Übergangsfristen für Hochrisiko-KI-Systeme:

* Verlängerte Übergangsfristen für Hochrisiko-KI-Systeme: Für eigenständige Hochrisiko-KI-Systeme, die in spezifischen, sensiblen Bereichen wie Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Migration und Justiz zum Einsatz kommen, wurden die Fristen bis zum 2. Dezember 2027 verschoben. Dies gewährt Unternehmen weitere 16 Monate Zeit, um die komplexen Anforderungen an Konformitätsbewertung, Risikomanagement und Qualitätssicherung umzusetzen.

Eine noch längere Frist gilt für KI-Systeme, die als Sicherheitskomponente in bereits durch EU-Sektorrecht regulierten Produkten eingesetzt werden, beispielsweise in Medizinprodukten, Maschinen oder Fahrzeugen. Hier verlängert sich die Frist sogar bis zum 2. August 2028. Diese Differenzierung ist entscheidend, da in diesen Sektoren bereits umfassende Regulierungen und Zertifizierungsverfahren bestehen. Die Verlängerung gibt der EU-Kommission und den zuständigen Normungsgremien die Möglichkeit, die noch nicht ausreichend verfügbaren harmonisierten Normen, technischen Standards und Konformitätsbewertungsverfahren zu entwickeln und zu etablieren. Dies soll sicherstellen, dass die notwendigen Unterstützungsinstrumente vorhanden sind, bevor die Vorschriften vollständig greifen.

* Klarstellung der Überschneidungen mit sektoralen Vorschriften: Ein weiterer wichtiger Punkt ist die Präzisierung des Zusammenspiels zwischen dem KI-Gesetz und bestehenden EU-Vorschriften für die Produktsicherheit, insbesondere der Maschinen-Verordnung. Doppelregelungen zwischen sektoralen Vorschriften und KI-Regeln sollen so vermieden werden. Dies ist besonders für die deutsche und schweizerische Industrie von grosser Bedeutung, die traditionell stark im Maschinenbau und in der Fertigung verwurzelt ist. Viele KI-fähige Maschinenprodukte, die bereits unter sektoralen Gesetzen reguliert sind, können nun eine direkte Doppelung mit einigen KI-Verpflichtungen vermeiden. Dies reduziert den administrativen Aufwand und erhöht die Rechtssicherheit für Hersteller.

* Unveränderte und sofort wirksame Pflichten: Es ist entscheidend zu verstehen, dass die Fristverschiebungen keineswegs eine umfassende Entwarnung bedeuten. Einige Kernpflichten des EU AI Act sind bereits in Kraft oder werden wie geplant aktiv und bleiben von den Anpassungen unberührt: * Das Verbot bestimmter KI-Praktiken (Artikel 5), wie beispielsweise soziale Scoring-Systeme oder die Nutzung subliminaler Techniken, gilt unverändert seit Februar 2025. * Die KI-Kompetenzpflicht (Artikel 4), die Unternehmen dazu anhält, ihre Mitarbeiter in Bezug auf KI zu schulen und ein grundlegendes Verständnis für die Technologie zu entwickeln, ist ebenfalls seit Februar 2025 in Kraft. * Transparenzpflichten für KI-generierte Inhalte (Artikel 50) treten ab dem 2. August 2026 in Kraft. Dies umfasst die Kennzeichnung von KI-generierten oder -veränderten Bildern, Audio- und Videodateien, um Nutzer über die Herkunft zu informieren. Hier ist proaktives Handeln bereits in den kommenden Monaten unerlässlich. * Ein Verbot von KI-Anwendungen zur Erstellung nicht-einvernehmlicher intimer Bilder ('Nudifier'-Apps) und von Systemen zur Generierung von Kindesmissbrauchsmaterial wird ab dem 2. Dezember 2026 wirksam.

* Stärkung des KI-Büros und Unterstützung für KMU: Die Durchsetzungsbefugnisse des KI-Büros der Kommission werden gestärkt, was eine konsistente Anwendung und Durchsetzung der Vorschriften gewährleisten soll. Zudem sind erweiterte Vereinfachungen für kleine und mittlere Unternehmen (KMU) vorgesehen, darunter geringere Anforderungen an die technische Dokumentation. Es sollen auch mehr geschützte Testumgebungen, sogenannte 'regulatorische Sandkästen', entstehen, um Innovatoren Zugang zu realen Testbedingungen zu ermöglichen und so die Entwicklung konformer KI-Systeme zu fördern.

Implikationen für DACH-Unternehmen: Keine Entwarnung, sondern Planungsanpassung

Diese regulatorischen Anpassungen haben mehrere konkrete Auswirkungen auf Unternehmen im DACH-Raum, die eine genaue Betrachtung erfordern:

1. Entlastung und Planungsicherheit, aber kein Aufschub der Vorbereitung: Die verlängerten Fristen sind zweifellos eine willkommene Entlastung für Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder nutzen. Sie schaffen mehr Zeit für die Implementierung komplexer Anforderungen und ermöglichen eine sorgfältigere Planung. Dies ist besonders relevant für Organisationen, die Schwierigkeiten hatten, die grundlegenden Fragen der KI-Governance zu klären und die ursprünglichen Zeitpläne als unrealistisch empfanden. Es bedeutet jedoch keineswegs, dass Unternehmen die Vorbereitungen auf Eis legen können. Grundlegende Pflichten wie die KI-Kompetenzschulung und die Transparenzanforderungen bleiben bestehen und erfordern weiterhin proaktives Handeln. Die Zeit sollte genutzt werden, um eine solide Basis für die zukünftige Compliance zu schaffen, anstatt die Herausforderungen nur aufzuschieben.

2. Fokus auf Governance und Datenqualität: Auch mit den verschobenen Fristen bleibt die Notwendigkeit einer klaren KI-Strategie, robuster Daten-Governance und datenschutzkonformer KI-Nutzung von höchster Bedeutung. Studien zeigen, dass viele Unternehmen zwar in KI investieren, aber oft keinen messbaren Return on Investment (ROI) erzielen, weil es an einer integrierten Datenstrategie, klarer Governance und einem tiefgreifenden Verständnis von KI als Business Enabler fehlt. Das Einhalten der Datenschutz-Grundverordnung (DSGVO) bleibt eine zentrale Herausforderung, da bereits die Eingabe personenbezogener Daten in ein KI-System eine Verarbeitung darstellt. Unternehmen müssen daher verbindliche Richtlinien für den KI-Einsatz festlegen und Mitarbeitende regelmässig schulen, um nicht nur Bußgelder, sondern auch Reputationsschäden zu vermeiden. Eine saubere Datenbasis ist die Grundvoraussetzung für jeden erfolgreichen und rechtskonformen KI-Einsatz.

3. Herausforderungen im Change Management: Die Einführung von KI ist kein isoliertes IT-Projekt, sondern ein umfassendes Transformationsprogramm, das Arbeitsabläufe, Geschäftsprozesse, Kompetenzen und Governance grundlegend neu ordnet. Der 'KI-Realitätsreport 2024' zeigt, dass 91 Prozent der Unternehmen grundsätzlich offen für KI sind, aber 53 Prozent fehlendes Wissen als grösstes Hindernis sehen. Die Studie hebt hervor, dass nur 14 Prozent der Mitarbeitenden spürbar von KI profitieren. Der Rest erlebt vor allem neue Schleifen der Überprüfung, wodurch bis zu 40 Prozent der potenziellen Produktivitätsgewinne in der Nachbearbeitung verloren gehen. Die Anpassungen des AI Act ändern nichts an der Notwendigkeit eines konsequenten Change Managements, das Mitarbeiter befähigt, Widerstände abbaut und einen Kulturwandel hin zur KI-Integration gestaltet. Ohne eine Akzeptanz und proaktive Beteiligung der Belegschaft bleibt jeder KI-Einsatz weit hinter seinem Potenzial zurück.

4. Wettbewerbsfähigkeit und Fachkräftemangel: Während die gelockerten Pflichten der Industrie entgegenkommen, bleibt die globale Wettbewerbsfähigkeit ein kritischer Punkt. Eine Studie von Allianz Trade vom 22. Mai 2026 hebt hervor, dass Europa und Deutschland im globalen KI-Wettlauf Gefahr laufen, den Anschluss zu verlieren, insbesondere in Bezug auf Cloud-Infrastruktur und Rechenleistung. Gleichzeitig wird KI als Chance gesehen, den akuten Fachkräftemangel abzumildern. McKinsey prognostiziert, dass KI die Produktivität in Deutschland bis 2040 um 18 Prozent steigern könnte, was einem jährlichen BIP-Wachstum von 0,6 Prozentpunkten entspräche. PwC berichtet, dass die Zahl der Arbeitsplätze in KI-exponierten Berufen seit 2019 um 62 Prozent gestiegen ist und Arbeitnehmer mit KI-Fähigkeiten einen Lohnaufschlag von 56 Prozent erhalten. Der Fokus verschiebt sich weg von manueller Datenerfassung hin zu Dateninterpretation und strategischer Planung. Unternehmen müssen dies als Ansporn verstehen, in die KI-Fähigkeiten ihrer Mitarbeiter zu investieren und KI strategisch zur Bewältigung des Personalengpasses einzusetzen.

5. KI-Sicherheit als Investition: Die Warnung von ESET vor neuen Angriffsflächen durch autonome KI-Systeme und die Investition von 40 Millionen Euro in 'AI Security' (20. Mai 2026) unterstreicht die wachsende Bedeutung der Cybersicherheit im Kontext von KI. KI-Systeme sind nicht inhärent sicher. Sie können selbst Angriffsvektoren darstellen oder für böswillige Zwecke missbraucht werden. Unternehmen müssen daher nicht nur die Einhaltung des AI Act, sondern auch die Sicherheit ihrer KI-Systeme und -Anwendungen gewährleisten, um Vertrauensverlust und finanzielle Schäden zu vermeiden. Dies erfordert eine ganzheitliche Betrachtung, die bereits bei der Entwicklung von KI-Lösungen beginnt und sich über den gesamten Lebenszyklus erstreckt.

Praktische Handlungsempfehlungen für Unternehmen

Angesichts der aktuellen Entwicklungen empfehlen wir Unternehmen im DACH-Raum folgende konkrete Schritte:

1. Strategie überprüfen und anpassen: Nutzen Sie die gewonnenen Fristen, um Ihre KI-Strategie kritisch zu hinterfragen und gegebenenfalls anzupassen. Definieren Sie klar, welche KI-Systeme Sie einsetzen oder entwickeln wollen und wie diese in Ihre Geschäftsziele einzahlen. Identifizieren Sie frühzeitig potenzielle Hochrisiko-Anwendungen und planen Sie deren Konformitätsbewertung sorgfältig.

2. Interne Prozesse für KI-Governance etablieren: Warten Sie nicht auf die vollständige Anwendbarkeit der Hochrisiko-Pflichten. Beginnen Sie jetzt mit dem Aufbau einer robusten KI-Governance. Dazu gehören klare Verantwortlichkeiten, Risikobewertungsprozesse, Dokumentationsstandards und ein internes Regelwerk für den ethischen und rechtmässigen Einsatz von KI. Orientieren Sie sich an den bestehenden Vorgaben für Datenqualität und Datenschutz.

3. Mitarbeiter schulen und KI-Kompetenz aufbauen: Die KI-Kompetenzpflicht ist bereits in Kraft. Investieren Sie gezielt in die Aus- und Weiterbildung Ihrer Belegschaft. Sensibilisieren Sie für die Potenziale und Risiken von KI und befähigen Sie Ihre Mitarbeiter, KI-Tools verantwortungsvoll und effizient zu nutzen. Schaffen Sie eine Kultur der Offenheit und des Lernens, um Widerstände gegen neue Technologien abzubauen.

4. Datenqualität und Datenschutz sicherstellen: Eine hohe Datenqualität ist das Fundament jeder erfolgreichen KI-Anwendung und essenziell für die Einhaltung des AI Act und der DSGVO. Überprüfen und verbessern Sie Ihre Datenstrategie. Stellen Sie sicher, dass alle Daten, die in KI-Systeme einfliessen, datenschutzkonform erhoben, gespeichert und verarbeitet werden. Implementieren Sie Mechanismen zur Datenprüfung und -bereinigung.

5. Cybersecurity-Strategie erweitern: Integrieren Sie KI-Sicherheit fest in Ihre bestehenden Cybersecurity-Strategien. Identifizieren Sie neue Angriffsflächen, die durch den Einsatz von KI entstehen könnten, und entwickeln Sie entsprechende Schutzmassnahmen. Dies umfasst sowohl die Absicherung der KI-Modelle selbst als auch der Infrastruktur, auf der sie betrieben werden.

Kritische Einordnung aus Kapitel-H-Sicht

Die Anpassungen des EU AI Act sind ein pragmatischer Schritt der EU-Gesetzgebung. Sie zeigen, dass die Bedenken der Wirtschaft ernst genommen wurden und dass ein starres Festhalten an unrealistischen Fristen vermieden werden soll. Dies ist grundsätzlich positiv zu bewerten und schafft notwendige Planungsfreiheit, insbesondere für den Mittelstand im DACH-Raum. Die Verschiebung der Fristen ist jedoch keine Entwarnung. Vielmehr sollte sie als eine Aufforderung verstanden werden, die gewonnene Zeit proaktiv und strategisch zu nutzen.

Aus unserer Sicht von Kapitel H birgt die Atempause auch die Gefahr der Selbstzufriedenheit. Der AI Act ist komplex, und seine Anforderungen erstrecken sich über technische, organisatorische und juristische Dimensionen. Unternehmen, die jetzt die Hände in den Schoss legen, werden die verschobenen Fristen ebenso als zu kurz empfinden wie die ursprünglichen. Es ist entscheidend, KI nicht als isoliertes IT-Projekt zu behandeln, sondern als integralen Bestandteil der Unternehmensstrategie. Eine reine Compliance-Sichtweise greift zu kurz. Der Fokus muss auf der Befähigung liegen, eigene, verantwortungsvolle KI-Lösungen zu entwickeln und zu nutzen, anstatt sich in eine Abhängigkeit von externen Anbietern zu begeben, deren Systeme möglicherweise nicht den lokalen Anforderungen entsprechen oder nur schwer anpassbar sind. Nutzen Sie diese Zeit, um interne Kompetenzen aufzubauen und eine nachhaltige, sichere und wertschöpfende KI-Strategie zu etablieren, die über die reine Erfüllung gesetzlicher Vorgaben hinausgeht. Nur so sichern Sie langfristig Ihre Wettbewerbsfähigkeit.

Fazit: Die Fristen nutzen, die Zukunft gestalten

Die Anpassungen des EU AI Act durch das 'Digitale Omnibus'-Paket bieten DACH-Unternehmen eine wertvolle Verlängerung der Übergangsfristen für Hochrisiko-KI-Systeme. Diese Flexibilität ist eine Anerkennung der praktischen Herausforderungen, mit denen die Industrie konfrontiert ist. Es ist jedoch von grösster Bedeutung, diese gewonnene Zeit nicht zu verschwenden. Die grundlegenden Herausforderungen der strategischen KI-Integration, des datenschutzkonformen Einsatzes, des effektiven Change Managements und der Absicherung vor Cyberrisiken bleiben unverändert bestehen und erfordern weiterhin höchste Aufmerksamkeit und Investitionen. Unternehmen sollten die kommenden Monate nutzen, um ihre KI-Strategie zu schärfen, interne Governance-Strukturen aufzubauen, ihre Mitarbeiter zu schulen und ihre Datenbasis zu konsolidieren. Nur eine proaktive und ganzheitliche Herangehensweise ermöglicht es, die Potenziale von KI verantwortungsvoll zu heben und die eigene Wettbewerbsfähigkeit im globalen Umfeld nachhaltig zu sichern. Die Zukunft der KI-Nutzung in Ihrem Unternehmen beginnt nicht mit dem Inkrafttreten der letzten Frist, sondern mit den Entscheidungen, die Sie heute treffen.