EU AI Act: Neue Fristen, klare Aufgaben für DACH-Unternehmen

Die Künstliche Intelligenz (KI) ist längst keine Zukunftsvision mehr, sondern ein fundamentaler Bestandteil der modernen Arbeitswelt. Insbesondere im DACH-Raum beobachten wir eine rasante Integration von KI-Lösungen in Unternehmensprozesse. Diese Entwicklung bringt nicht nur immense Chancen mit sich, sondern auch eine wachsende Notwendigkeit, rechtliche Rahmenbedingungen und die effektive, ethische Implementierung zu beachten.

Die wichtigste und aktuellste Entwicklung, die deutschsprachige Unternehmen direkt betrifft, ist die Präzisierung und Anpassung der Umsetzungsfristen des EU AI Acts. Eine politische Einigung vom 7. Mai 2026 zum sogenannten "Digital Omnibus on AI" hat hier für dringend benötigte Klarheit gesorgt und zugleich neue Fristen für Compliance-Verantwortliche definiert. Dies ist keine Entschärfung der Anforderungen, sondern eine strategische Verschiebung, die Unternehmen nun nutzen sollten, um ihre KI-Strategien zu schärfen und zukunftsfähig zu gestalten.

Der EU AI Act, der am 1. August 2024 in Kraft getreten ist, etabliert das weltweit erste umfassende Gesetz zur Regulierung von KI. Sein risikobasierter Ansatz ist von entscheidender Bedeutung für Unternehmen im DACH-Raum. Der Act nimmt nicht nur Entwickler von KI-Systemen in die Pflicht, sondern auch "Deployer", also Unternehmen, die KI-Systeme in ihren Operationen nutzen. Während der ursprüngliche Hauptanwendungszeitpunkt für viele Bestimmungen der 2. August 2026 war, haben die jüngsten politischen Verhandlungen zu signifikanten Verschiebungen wichtiger Fristen geführt. Dies bietet die Gelegenheit, die Einführung von KI-Systemen im Einklang mit den regulatorischen Anforderungen strategisch zu planen und umzusetzen.

EU AI Act: Ein risikobasierter Ansatz für DACH-Unternehmen

Das Kernstück des EU AI Acts ist sein risikobasierter Ansatz. Er unterscheidet zwischen verschiedenen Kategorien von KI-Systemen, basierend auf dem potenziellen Risiko, das sie für Grundrechte und Sicherheit darstellen. Systeme mit "inakzeptablem Risiko" sind verboten, solche mit "hohem Risiko" unterliegen strengen Auflagen, und "eingeschränkte Risiko"-Systeme müssen bestimmte Transparenzanforderungen erfüllen. Systeme mit "minimalem Risiko" sind weitgehend unreguliert, sollen aber zu freiwilligen Verhaltenskodizes ermutigt werden.

Für den DACH-Mittelstand bedeutet dies, dass eine genaue Klassifizierung der eingesetzten oder geplanten KI-Systeme unerlässlich ist. Es genügt nicht, einfach KI einzusetzen, ohne die spezifischen Risikokategorien zu verstehen. Jedes Unternehmen muss eine Bestandsaufnahme seiner KI-Anwendungen durchführen und prüfen, welche in die Kategorie "Hochrisiko" fallen. Diese Klassifizierung bildet die Grundlage für alle weiteren Compliance-Massnahmen. Der Act sieht vor, dass Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder einsetzen, umfassende Konformitätsbewertungen durchführen, Risikomanagementsysteme implementieren, hochwertige Daten verwenden, menschliche Aufsicht gewährleisten und transparente Informationen bereitstellen müssen. Diese Anforderungen sind nicht trivial und erfordern eine systematische Herangehensweise, die in vielen Unternehmen erst noch etabliert werden muss.

Neue Fristen für Hochrisiko-KI: Eine Atempause mit Verpflichtung

Die zentrale Nachricht der letzten Tage betrifft die Hochrisiko-KI-Systeme. Ursprünglich sollten die vollen Auflagen für diese Systeme, die in Anhang III des AI Acts detailliert gelistet sind, bereits ab dem 2. August 2026 gelten. Beispiele hierfür sind KI-Anwendungen im Personalwesen, wie etwa Bewerber-Screening, Lebenslauf-Filterung, Leistungsbewertung, Schichtplanung oder die Vorbereitung von Kündigungen. Auch KI-Systeme im Kreditwesen, in der Bildung oder der Strafverfolgung zählen dazu. Die politische Einigung vom 7. Mai 2026 hat diesen Stichtag nun auf den 2. Dezember 2027 verschoben. Dies gibt Unternehmen 16 Monate mehr Zeit, um ihre Hochrisiko-KI-Systeme konform zu gestalten und die notwendigen Prozesse zu implementieren. Für KI, die als Sicherheitskomponente in bereits regulierten Produkten eingesetzt wird, wie zum Beispiel in Medizingeräten oder Maschinen, wurde die Frist sogar bis zum 2. August 2028 verlängert.

Diese Fristverlängerungen sind keine Entschärfung der inhaltlichen Anforderungen. Sie dienen vielmehr dazu, Unternehmen und nationalen Behörden ausreichend Zeit zu geben, technische Standards und regulatorische Leitlinien zu finalisieren. Der Gesetzgeber erkennt an, dass die Komplexität der Materie eine sorgfältige Vorbereitung erfordert. Dennoch wird betont, dass Unternehmen ihre Compliance-Programme weiterhin auf den ursprünglichen Termin ausrichten sollten, bis die formelle Annahme durch Parlament und Rat abgeschlossen und die Änderungen im Amtsblatt der Europäischen Union veröffentlicht sind. Wer jetzt untätig bleibt, riskiert, die neu gewonnene Zeit zu vergeuden und Ende 2027 vor denselben Herausforderungen zu stehen, nur mit noch grösserem Zeitdruck.

Sofortiger Handlungsbedarf: Transparenzpflichten und Verbote

Im Gegensatz zu den Hochrisiko-Systemen werden die Transparenzpflichten des EU AI Acts für KI-generierte Inhalte nicht wesentlich verschoben, in einigen Bereichen sogar präzisiert und verschärft. Ab dem 2. Dezember 2026 müssen Chatbots, KI-generierte Inhalte und Deepfakes als KI-generiert kenntlich gemacht werden. Für DACH-Unternehmen bedeutet dies, dass sie frühzeitig Mechanismen für die Kennzeichnung von KI-generierten Texten, Bildern und Videos etablieren müssen, um rechtliche Risiken zu vermeiden und das Vertrauen der Nutzer nicht zu untergraben. Der jüngste "Digital Omnibus"-Deal schärft hier die Regelungen noch nach: Ab Ende 2026 ist ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt worden. Darüber hinaus sind KI-Anwendungen zur Erstellung nicht-einvernehmlicher intimer Bilder, sogenannte "Nudifier"-Apps, sowie Systeme zur Generierung von Kindesmissbrauchsmaterial strikt untersagt.

Es ist wichtig zu betonen, dass Teile des EU AI Acts bereits in Kraft sind und daher sofortige Beachtung erfordern. Die Verbote nach Artikel 5, die unter anderem Emotionserkennung am Arbeitsplatz mit engen Ausnahmen für Medizin und Sicherheit untersagen, und die sogenannte KI-Kompetenzpflicht nach Artikel 4, die eine Grundbefähigung im Umgang mit KI vorschreibt, gelten bereits seit dem 2. Februar 2025. Auch die Governance-Regeln und die Pflichten für allgemeine KI-Modelle (GPAI, General Purpose AI) sind seit dem 2. August 2025 anwendbar. Dies unterstreicht die Notwendigkeit für Unternehmen, nicht nur auf die weit entfernten Fristen zu blicken, sondern auch die bereits geltenden Bestimmungen proaktiv umzusetzen. Die Konsequenzen bei Nichteinhaltung des EU AI Acts sind drastisch: Bußgelder können bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für verbotene Praktiken betragen. Bei Verstößen im Bereich der Hochrisiko-KI drohen bis zu 15 Millionen Euro oder 3 % des Jahresumsatzes, und bei falschen Behördenangaben bis zu 7,5 Millionen Euro oder 1 %. Diese Summen verdeutlichen die Ernsthaftigkeit, mit der die Regulierung betrachtet und umgesetzt werden muss.

Datenschutz als Fundament: DSGVO und Schweizer DSG im KI-Kontext

Parallel zum EU AI Act spielen Datenschutzgesetze eine entscheidende Rolle beim Einsatz von KI. Die Datenschutz-Grundverordnung (DSGVO) in der EU und das revidierte Schweizer Datenschutzgesetz (DSG) bieten wichtige Hebel beim Einsatz von Algorithmen und KI, insbesondere hinsichtlich individueller Transparenz und dem Schutz personenbezogener Daten. Beide Gesetze betonen Prinzipien wie "Privacy by Design" und "Privacy by Default", die fordern, dass KI-Systeme von Grund auf datenschutzkonform entwickelt und eingesetzt werden. Dies bedeutet, dass Datenminimierung, Zweckbindung und eine klare Verantwortlichkeit bereits in der Konzeptionsphase von KI-Anwendungen berücksichtigt werden müssen.

Insbesondere in der Schweiz, wo es derzeit keine spezifische KI-Regulierung gibt, ist das DSG das primäre Werkzeug zur Sicherstellung des Datenschutzes bei KI-Anwendungen. Schweizer Unternehmen müssen daher die Bestimmungen des DSG besonders genau beachten und proaktiv Maßnahmen ergreifen, um eine rechtskonforme Nutzung von KI zu gewährleisten. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) wird jedoch bis Ende 2026 eine Vernehmlassungsvorlage erstellen, die die KI-Konvention des Europarats umsetzen und gesetzliche Maßnahmen in den Bereichen Transparenz, Datenschutz, Nichtdiskriminierung und Aufsicht festlegen soll. Dies zeigt, dass auch die Schweiz auf dem Weg zu einer spezifischeren KI-Regulierung ist, und Unternehmen gut beraten sind, sich auf diese Entwicklungen vorzubereiten.

Die Relevanz der Datenqualität wird im Kontext von KI-Anwendungen zusätzlich hervorgehoben. Eine KPMG-Studie vom 26. Mai 2026 zeigt, dass 75 % der Unternehmen KI in Finanzabteilungen nutzen, und 71 % berichten von erfüllten oder übertroffenen wirtschaftlichen Nutzen. Die Studie identifiziert die Datenqualität als wichtigste Voraussetzung für den weiteren Ausbau des KI-Einsatzes. Schlechte Daten führen zu schlechten KI-Ergebnissen, die nicht nur ineffizient sind, sondern auch zu falschen Entscheidungen und rechtlichen Problemen führen können, insbesondere wenn personenbezogene Daten betroffen sind.

KI-Implementierung: Mehr als Technik, eine Frage der Unternehmenskultur

Die Einführung von KI im DACH-Mittelstand ist oft eine Herausforderung, die weniger an der Technologie selbst als vielmehr an der menschlichen Akzeptanz und den organisatorischen Rahmenbedingungen scheitert. Studien zeigen, dass ein Grossteil der KI-Projekte nicht an der Technik, sondern an fehlender Akzeptanz, unklaren Zielen oder mangelnder Qualifizierung der Mitarbeiter ins Stocken gerät. Eine aktuelle Freshworks-Studie vom 29. Mai 2026 beziffert, dass in Deutschland jährlich schätzungsweise 2,7 Milliarden Euro an KI-Budgets durch Integrationsaufwand, Verwaltung und ineffiziente Prozesse verloren gehen. Dies ist eine substanzielle Summe, die vermeidbar wäre, wenn die Implementierung ganzheitlicher angegangen würde.

Dies unterstreicht die Notwendigkeit eines strategischen Change Managements bei der KI-Einführung. Es geht darum, Ängste vor Jobverlust ernst zu nehmen, Transparenz zu schaffen, Mitarbeiter frühzeitig einzubinden und kontinuierlich zu qualifizieren. Die bereits geltende "KI-Kompetenzpflicht" nach Artikel 4 der KI-Verordnung macht Schulungen ohnehin zur Pflicht und nicht zur Kür. Die Angst vor Kontrolle und Überwachung, insbesondere wenn KI Mitarbeiterdaten verarbeitet, erfordert offene Kommunikation darüber, was erfasst wird und was nicht. Hier ist eine klare interne Kommunikation und das Einrichten von Feedback-Kanälen unerlässlich, um Vertrauen aufzubauen und Widerstände abzubauen.

Um die Potenziale von KI wirklich zu heben, müssen Unternehmen nicht nur in die Technologie, sondern auch in die "Cultural Readiness" investieren. Dies bedeutet, kulturelle Muster, Haltungen und Entscheidungslogiken zu hinterfragen, um KI fest in der DNA des Unternehmens zu verankern. Nur wenn Mitarbeiter die KI als Unterstützung und nicht als Bedrohung verstehen, kann sie ihr volles Potenzial entfalten. Dies erfordert Führungskräfte, die eine klare Vision kommunizieren, Mitarbeiter befähigen und eine Lernkultur fördern, in der Experimente und das gemeinsame Lernen aus Fehlern erlaubt sind.

Praktische Handlungsempfehlungen für Unternehmen

1. KI-Bestandsaufnahme und Risikobewertung: Identifizieren Sie alle aktuell genutzten und geplanten KI-Systeme. Klassifizieren Sie diese gemäss dem risikobasierten Ansatz des EU AI Acts, insbesondere im Hinblick auf "Hochrisiko"-Anwendungen. 2. Fristen strategisch nutzen: Nutzen Sie die verlängerten Fristen für Hochrisiko-KI, um umfassende Compliance-Programme zu entwickeln. Dazu gehören die Implementierung von Risikomanagementsystemen, Daten-Governance-Prozessen und Mechanismen zur menschlichen Aufsicht. 3. Transparenzpflichten sofort umsetzen: Etablieren Sie bis Dezember 2026 Prozesse zur Kennzeichnung von KI-generierten Inhalten (Texte, Bilder, Videos) und die Nutzung von Wasserzeichen. Informieren Sie Nutzer über den Einsatz von Chatbots. 4. Datenschutz als Priorität: Überprüfen Sie alle KI-Anwendungen auf Konformität mit der DSGVO (EU) und dem revidierten DSG (Schweiz). Implementieren Sie "Privacy by Design" und "Privacy by Default" Prinzipien. 5. Mitarbeiter befähigen und einbinden: Investieren Sie in Schulungen zur KI-Kompetenz (gemäss Artikel 4 EU AI Act). Entwickeln Sie eine Kommunikationsstrategie, um Ängste abzubauen und Mitarbeiter aktiv in den Einführungsprozess einzubinden. Fördern Sie eine positive Unternehmenskultur gegenüber KI. 6. Datenqualität sicherstellen: Prüfen und verbessern Sie die Qualität der Daten, die Ihre KI-Systeme trainieren und nutzen. Schlechte Daten führen zu suboptimalen oder fehlerhaften KI-Ergebnissen.

Kritische Einordnung aus Kapitel-H-Sicht

Die jüngsten Anpassungen des EU AI Acts, insbesondere die Fristverlängerungen für Hochrisiko-Systeme, dürfen nicht als Freibrief für Untätigkeit missverstanden werden. Aus unserer Sicht ist dies eine dringende Aufforderung, die gewonnene Zeit strategisch zu nutzen. Der DACH-Mittelstand hat nun die Chance, die Implementierung nicht nur technisch, sondern auch organisatorisch und kulturell sauber aufzusetzen. Die Verlängerungen sind eine Anerkennung der Komplexität, nicht eine Abmilderung der Anforderungen. Wer jetzt nur abwartet, wird Ende 2027 mit den gleichen Problemen konfrontiert sein, jedoch unter noch grösserem Druck.

Wir sehen oft, dass Unternehmen zu sehr auf den Hype und die neuesten technologischen Versprechen schauen, anstatt sich auf die realen Anwendungsfälle und die notwendigen internen Anpassungen zu konzentrieren. Die verlorenen 2,7 Milliarden Euro in Deutschland durch ineffiziente KI-Integration sind ein klares Indiz dafür. Eine erfolgreiche KI-Implementierung erfordert eine solide Datenstrategie, klare Governance-Regeln und vor allem die Befähigung der eigenen Mitarbeiter. Externe Abhängigkeiten zu reduzieren und internes Know-how aufzubauen, ist dabei entscheidend.

Der EU AI Act zwingt Unternehmen dazu, sich kritisch mit ihren KI-Anwendungen auseinanderzusetzen. Dies ist eine Chance, nicht nur rechtlich konform zu werden, sondern auch die Effizienz und Qualität der KI-Einsätze nachhaltig zu verbessern. Insbesondere für Schweizer Unternehmen, die derzeit noch keine spezifische KI-Regulierung haben, ist es jetzt essenziell, die Entwicklungen in der EU genau zu beobachten und die eigenen Ansätze, die sich noch stärker auf das revidierte Datenschutzgesetz stützen, aktiv weiterzuentwickeln. Proaktives Handeln sichert die internationale Wettbewerbsfähigkeit und die Rechtskonformität.

Fazit

Die jüngsten Anpassungen des EU AI Acts bieten DACH-Unternehmen eine wertvolle Atempause, dürfen aber nicht zu Sorglosigkeit verleiten. Die Fristverlängerung für Hochrisiko-KI-Systeme bis Dezember 2027 ist eine klare Aufforderung, die Zeit für eine gründliche Vorbereitung zu nutzen, Compliance-Programme zu schärfen und die Integration von KI in Unternehmensprozesse sorgfältig zu planen. Gleichzeitig erfordern die parallel dazu geltenden Transparenzpflichten ab Dezember 2026 sowie die bereits gültigen Verbote und Kompetenzpflichten unmittelbares Handeln. Die potenziellen Bußgelder unterstreichen die Notwendigkeit, diese Regulierung ernst zu nehmen.

Die Herausforderung besteht darin, KI nicht nur technisch zu implementieren, sondern auch menschlich und organisatorisch erfolgreich im Unternehmen zu verankern. Nur so lassen sich die immensen Potenziale von KI realisieren und versteckte Kosten durch ineffiziente Prozesse vermeiden. Unternehmen, die jetzt eine ganzheitliche Strategie verfolgen, die rechtliche Anforderungen, Datenschutz, Change Management und Mitarbeiterbefähigung integriert, werden nicht nur rechtskonform sein, sondern auch einen nachhaltigen Wettbewerbsvorteil erzielen. Für den DACH-Mittelstand ist dies eine Gelegenheit, technologische Führung mit verantwortungsvollem Handeln zu verbinden und sich für die Zukunft zu rüsten.