EU AI Act: Neue Fristen und Chancen für den DACH-Mittelstand

Die Regulierung Künstlicher Intelligenz (KI) in Europa nimmt konkrete Formen an. Für Unternehmen im deutschsprachigen Raum, dem DACH-Raum, stellt das sogenannte 'Digital Omnibus'-Paket vom Mai 2026, das den EU AI Act anpasst, eine der bedeutendsten Entwicklungen dar. Diese Änderungen des weltweit ersten umfassenden KI-Gesetzes beeinflussen unmittelbar die Compliance-Strategien, Investitionsentscheidungen und internen Prozesse von Unternehmen, die KI-Systeme entwickeln oder nutzen. Es geht dabei nicht nur um rechtliche Vorgaben, sondern um eine Neuausrichtung des strategischen Umgangs mit dieser Schlüsseltechnologie.

Der EU AI Act, offiziell die Verordnung (EU) 2024/1689, ist bereits seit dem 1. August 2024 in Kraft, wird aber stufenweise bis 2028 anwendbar. Das nun beschlossene 'Digital Omnibus'-Paket ist eine Reaktion auf Rückmeldungen aus der Wirtschaft. Es soll die Umsetzung für Unternehmen praktikabler gestalten, indem zentrale Regelungen und insbesondere Fristen für bestimmte Hochrisiko-KI-Systeme angepasst und teilweise verschoben werden. Für den Mittelstand im DACH-Raum bedeutet dies, dass eine genaue Analyse der eigenen KI-Nutzung unerlässlich ist. Es geht darum, die gewonnenen Zeitfenster strategisch zu nutzen und nicht nur reaktiv auf gesetzliche Vorgaben zu warten. Die Kernbotschaft von Kapitel H bleibt bestehen: Befähigung statt Abhängigkeit, auch im Kontext der Regulierung.

1. Der EU AI Act: Aktuelle Fristen und unveränderte Kernpflichten

Die Anpassungen durch das 'Digital Omnibus'-Paket betreffen primär die vollständige Anwendung bestimmter Pflichten. Konkret verschieben sich die umfassenden Anforderungen für eigenständige Hochrisiko-KI-Anwendungen, die in Anhang III des Gesetzes aufgeführt sind. Dazu gehören beispielsweise KI-Systeme in den Bereichen biometrische Identifizierung, kritische Infrastruktur, Bildung, Beschäftigung, Migration und Grenzkontrolle. Die vollständige Pflicht zur Einhaltung dieser Regelungen tritt nun erst am 2. Dezember 2027 in Kraft. Dies ist eine deutliche Verlängerung, die DACH-Unternehmen, die in diesen sensiblen Bereichen tätig sind, mehr Zeit für die Implementierung komplexer Compliance-Maßnahmen verschafft. Es ist eine Gelegenheit, diese Zeit für eine fundierte Risikobewertung und den Aufbau robuster Governance-Strukturen zu nutzen.

Noch weiter reicht die Fristverlängerung für KI-Systeme, die als Sicherheitskomponente in bereits regulierten Produkten eingesetzt werden, wie in Anhang I des AI Act beschrieben. Hier verlängert sich die Frist sogar bis zum 2. August 2028. Diese Differenzierung ist wichtig. Sie zeigt, dass der Gesetzgeber die Komplexität der Integration von KI in bestehende Produkt- und Sicherheitsstandards anerkennt. Unternehmen sollten diese zusätzliche Zeit nutzen, um ihre Produktentwicklungszyklen anzupassen und sicherzustellen, dass KI-Komponenten von Anfang an gesetzeskonform konzipiert und getestet werden.

Es ist jedoch entscheidend zu verstehen, dass nicht alle Pflichten verschoben wurden. Einige zentrale Regelungen sind bereits in Kraft oder treten zeitnah in Kraft und bleiben von den Fristverschiebungen unberührt. Eine der wichtigsten davon ist die Pflicht zur KI-Kompetenz, im Englischen 'AI Literacy', nach Artikel 4 des AI Act. Diese Pflicht gilt bereits seit dem 2. Februar 2025 und ist seit dem 2. August 2025 sanktionsbewehrt. Das bedeutet: Unternehmen müssen sicherstellen, dass ihre Mitarbeiter, die mit KI arbeiten oder sie einsetzen, entsprechend geschult und kompetent im Umgang mit diesen Systemen sind. Ein Versäumnis in diesem Bereich kann zu erheblichen Bußgeldern führen. Es geht hierbei nicht um eine oberflächliche Einführung, sondern um ein tiefgreifendes Verständnis der Funktionsweise, der Potenziale, aber auch der Grenzen und Risiken von KI-Systemen.

Eine weitere bald in Kraft tretende und unveränderte Regelung ist die Transparenzpflicht. Ab dem 2. August 2026 müssen mit KI erstellte Inhalte und Dialoge in vielen Fällen klar gekennzeichnet werden. Dies gilt insbesondere für Chatbots und Deepfakes, die fälschlicherweise für menschliche Kommunikation oder echte Darstellungen gehalten werden könnten. Diese Kennzeichnungspflicht betrifft eine breite Palette von Unternehmen, die generative KI im Marketing, Kundenservice, in der internen Kommunikation oder für Content-Erstellung einsetzen. Es ist eine fundamentale Anforderung, die das Vertrauen in digitale Inhalte sichern soll. Unternehmen müssen hier proaktiv handeln und entsprechende technische sowie prozessuale Lösungen implementieren, um die Herkunft von KI-generierten Inhalten transparent zu machen.

2. Strategische Implikationen für DACH-Unternehmen: Compliance und Verantwortung

Die regulatorischen Entwicklungen im Rahmen des EU AI Acts sind weit mehr als nur ein juristisches Detail. Sie haben tiefgreifende Auswirkungen auf die Geschäftsstrategien und das Change Management in DACH-Unternehmen. Die Einhaltung des EU AI Act wird zu einem zentralen strategischen Faktor. Unternehmen müssen ihre eingesetzten oder entwickelten KI-Systeme einer präzisen Risikobewertung unterziehen, die von minimalem über begrenztes und hohes bis hin zu unannehmbarem Risiko reicht. Basierend auf dieser Klassifizierung müssen entsprechende Governance-Strukturen aufgebaut und Dokumentationen erstellt werden. Für den Mittelstand sind dabei vereinfachte Anforderungen an die technische Dokumentation vorgesehen. Zudem sind mehr geschützte Testumgebungen und EU-weite Praxistests vorgesehen, was eine Erleichterung darstellt. Dennoch sind die potenziellen Bußgelder bei Verstößen erheblich. Sie können bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen, je nachdem, welcher Wert höher ist. Diese Zahlen unterstreichen die Notwendigkeit eines proaktiven und fundierten Compliance-Managements. Es geht darum, Compliance von Anfang an als integralen Bestandteil der KI-Strategie zu verstehen.

Spezifische Anwendungsbereiche wie Human Resources (HR) und Finanzen sind besonders betroffen, da sie oft mit sensiblen personenbezogenen Daten arbeiten und direkte Auswirkungen auf individuelle Lebenswege haben können. Der AI Act verbietet beispielsweise die Emotionserkennung am Arbeitsplatz, sieht jedoch enge Ausnahmen vor. Gleichzeitig stuft er Systeme zur Sichtung von Bewerbungen oder zur Auswertung personenbezogener Daten für finanzielle Profile als Hochrisiko-Systeme ein. Dies bedeutet für Unternehmen, dass der Einsatz von KI in diesen sensiblen Bereichen nicht nur effizient, sondern vor allem ethisch vertretbar, diskriminierungsfrei und datenschutzkonform erfolgen muss. Schulungen zum sicheren und verantwortungsvollen Umgang mit KI-Tools sind hier essenziell. Es geht darum, das Vertrauen der Mitarbeiter und Kunden in KI-gestützte Prozesse zu gewährleisten und gleichzeitig rechtliche Risiken zu minimieren. Ein klarer interner Verhaltenskodex und regelmäßige Audits sind in diesen Bereichen unerlässlich.

3. Change Management: Der entscheidende Faktor für echten Mehrwert

Die Einführung von Künstlicher Intelligenz in Unternehmen ist selten ein reines Technologiethema. Vielmehr erfordert sie einen grundlegenden Wandel in Arbeitsabläufen, Geschäftsprozessen und den erforderlichen Kompetenzen der Mitarbeiter. Studien belegen immer wieder, dass das erwartete Produktivitätsplus durch KI oft hinter den Erwartungen zurückbleibt, wenn nicht gleichzeitig die Arbeitsabläufe neu gestaltet werden. Eine Untersuchung des National Bureau of Economic Research (NBER) zeigte, dass Produktivitätsgewinne über drei Jahre bei lediglich 0,29 Prozent lagen, anstatt der erwarteten 1,4 Prozent, wenn der organisationale Kontext nicht angepasst wird. Dies unterstreicht, dass Technologie allein nicht der Problemlöser ist, sondern die Integration in bestehende Strukturen und die Bereitschaft zur Veränderung entscheidend sind.

Ein weiterer wichtiger Aspekt, der in einem 'Arbeitsplatz-Trendreport 2026' von SPS und der WORKTECH Academy beleuchtet wurde, ist die Diskrepanz zwischen der schnellen Zunahme der KI-Nutzung und der langsamen Entwicklung klarer Richtlinien. Die Studie ergab, dass die KI-Nutzung in Unternehmen innerhalb eines Jahres von 59 Prozent auf 75 Prozent gestiegen ist. Im Gegensatz dazu verfügen jedoch nur 33 Prozent der Unternehmen über klare Richtlinien und Governance-Strukturen für den Einsatz von KI. Dieses Ungleichgewicht führt zu erheblichen Risiken, insbesondere in Bezug auf Datenschutz und Prozessqualität. Ohne klare Regeln und Verantwortlichkeiten können KI-Systeme unbeabsichtigte Fehler verursachen, die schwerwiegende Folgen haben. Der Mittelstand muss hier besonders aufmerksam sein, da er oft über weniger Ressourcen für die Entwicklung komplexer Governance-Modelle verfügt. Es wird dringend empfohlen, mindestens 25 Prozent des gesamten KI-Budgets in Change Management, gezielte Schulungen und die Entwicklung einer KI-affinen Unternehmenskultur zu investieren. Dies ist keine optionale Ausgabe, sondern eine Investition in den langfristigen Erfolg und die Risikominimierung.

4. Der Schweizer Kontext: Navigation zwischen EU AI Act und nDSG

Auch wenn die Schweiz kein Mitglied der Europäischen Union ist, betrifft der EU AI Act eine Vielzahl Schweizer Unternehmen. Dies ist der Fall, wenn sie Kunden im EU-Raum bedienen, KI-Systeme in den EU-Markt bringen oder mit EU-basierten Partnern zusammenarbeiten. Der extraterritoriale Geltungsbereich des EU AI Acts bedeutet, dass auch Schweizer Unternehmen, die direkt oder indirekt am EU-Binnenmarkt teilnehmen, die neuen Vorschriften beachten müssen. Eine Ignoranz dieser Tatsache kann zu empfindlichen Wettbewerbsnachteilen und rechtlichen Konsequenzen führen.

Parallel zum EU AI Act müssen Schweizer Unternehmen auch das revidierte Schweizer Datenschutzgesetz (nDSG) berücksichtigen, das seit dem 1. September 2023 in Kraft ist. Das nDSG bietet einen technologieneutralen Rahmen, der ebenfalls hochrelevant für den Einsatz von KI-Anwendungen ist. Instrumente wie die Regulierung automatisierter Einzelentscheidungen, das Prinzip von 'Privacy by Design' und 'Privacy by Default' sowie die detaillierten Regeln für Profiling und biometrische Daten sind auch auf KI-Systeme anwendbar. Dies erfordert von Schweizer Unternehmen eine sorgfältige Navigation zwischen beiden Regelwerken. Es muss geprüft werden, wo sich Anforderungen überschneiden, ergänzen oder potenziell in Konflikt geraten könnten. Bei Verstößen gegen das nDSG drohen Bussen von bis zu 250.000 CHF für die verantwortliche Person. Eine doppelte Compliance-Prüfung und gegebenenfalls eine Anpassung der internen Prozesse sind somit unumgänglich, um rechtliche Sicherheit zu gewährleisten und das Vertrauen der Nutzer zu erhalten. Unternehmen sollten frühzeitig eine Rechtsberatung in Anspruch nehmen, um die spezifischen Auswirkungen auf ihr Geschäftsmodell zu klären.

5. Kapitel H Perspektive: Substanz vor Hype, kritische Erfolgsfaktoren

Bei Kapitel H vertreten wir eine klare Haltung: Substanz geht vor Hype. Die aktuellen Entwicklungen im Bereich der KI-Regulierung und die Erfahrungen aus der Unternehmenspraxis untermauern diese Position. Trotz der euphorischen Versprechen rund um KI zeigt sich in der Realität, dass die Einführung von KI-Technologien nicht automatisch zu den erwarteten Produktivitätsgewinnen führt. Studien aus Mai 2026 weisen darauf hin, dass ein signifikanter Teil der potenziellen Produktivitätsgewinne, nämlich rund 40 Prozent, in der Nachbearbeitung von KI-Ergebnissen oder durch einen unstrukturierten, ungeplanten KI-Einsatz wieder verloren geht. Das bedeutet, dass Unternehmen oft mehr Zeit und Ressourcen investieren, um die Outputs von KI-Systemen zu korrigieren oder zu verfeinern, als sie ursprünglich durch die Automatisierung eingespart haben. Dies ist ein klares Zeichen dafür, dass eine reine Implementierung von Tools ohne strategische Einbettung keinen Mehrwert schafft.

Diese Erkenntnis unterstreicht die absolute Notwendigkeit einer klaren Strategie, eines detaillierten Tool-Audits und einer präzisen Kosten-pro-Aufgabe-Analyse, bevor KI-Tools flächendeckend eingeführt werden. Es geht nicht darum, jedes neue KI-Tool sofort zu übernehmen, sondern darum, dessen realen Nutzen für spezifische Unternehmensprozesse kritisch zu hinterfragen und zu messen. Die 'Tool-Konsolidierung' bei Big Tech-Unternehmen, wie beispielsweise die Streichung von Claude-Code-Lizenzen durch Microsoft, ist ein Indikator dafür, dass selbst große Konzerne ihre KI-Budgets genau prüfen und ineffiziente oder zu kostspielige Anwendungen aussortieren. Agentische Workflows, also KI-Systeme, die komplexe Aufgaben selbstständig lösen, können ein Vielfaches an Token verbrauchen und somit erhebliche Kosten verursachen, ohne immer einen proportionalen Mehrwert zu liefern. Der Fokus muss daher auf messbaren Return on Investment (ROI) liegen, nicht auf blinder Technologie-Adoption. Nur so kann gewährleistet werden, dass KI-Investitionen tatsächlich zur Wertschöpfung beitragen und nicht zu einem unnötigen Kostenfaktor werden. Unternehmen müssen ihre Mitarbeiter befähigen, KI-Tools kritisch zu bewerten und effizient einzusetzen, anstatt sich von der Technologie abhängig zu machen. Dies erfordert eine interne Kompetenzentwicklung, die weit über das reine Bedienen von Oberflächen hinausgeht.

Handlungsempfehlungen für DACH-Unternehmen

1. Risikobewertung durchführen: Klassifizieren Sie Ihre bestehenden und geplanten KI-Systeme gemäß den Risikokategorien des EU AI Acts. Identifizieren Sie Hochrisiko-Anwendungen frühzeitig. Für den Mittelstand gibt es vereinfachte Anforderungen, die jedoch nicht von der grundlegenden Bewertung entbinden. 2. Compliance-Roadmap erstellen: Entwickeln Sie einen klaren Plan, wie Sie die Anforderungen des EU AI Acts, insbesondere die unveränderten Pflichten zur KI-Kompetenz (AI Literacy ab 2. August 2025) und Transparenz (ab 2. August 2026), umsetzen werden. Berücksichtigen Sie dabei die neuen Fristen für Hochrisiko-Systeme als Zeitfenster für eine sorgfältige Implementierung. 3. KI-Kompetenz systematisch aufbauen: Investieren Sie in die Schulung Ihrer Mitarbeiter, die mit KI arbeiten. Stellen Sie sicher, dass sie nicht nur die Tools bedienen können, sondern auch deren Grenzen und die damit verbundenen ethischen sowie rechtlichen Aspekte verstehen. Das ist eine Pflicht und wird sanktioniert. 4. Change Management priorisieren und budgetieren: Planen Sie mindestens 25 Prozent Ihres KI-Budgets für die Anpassung von Arbeitsabläufen, die Entwicklung interner Richtlinien und die Förderung einer KI-affinen Unternehmenskultur ein. Ohne diese Investition bleiben die Produktivitätsgewinne oft aus. 5. Transparenzpflichten umsetzen: Etablieren Sie Prozesse und Technologien zur Kennzeichnung von KI-generierten Inhalten und Dialogen, insbesondere bei Chatbots und Deepfakes, noch vor dem 2. August 2026. 6. Für Schweizer Unternehmen: Doppelprüfung nDSG und EU AI Act: Analysieren Sie sorgfältig die Schnittstellen und potenziellen Konflikte zwischen den beiden Regelwerken. Entwickeln Sie eine konsistente Compliance-Strategie, die beide Gesetze berücksichtigt, um rechtliche Risiken und Bussgelder zu vermeiden. 7. ROI-basierte KI-Strategie verfolgen: Führen Sie Tool-Audits und Kosten-pro-Aufgabe-Analysen durch, um sicherzustellen, dass KI-Investitionen einen messbaren Mehrwert liefern und nicht ineffizienten Workflows dienen. Vermeiden Sie ungeplante oder unstrukturierte KI-Einsätze, die Produktivitätsgewinne wieder zunichtemachen.

Fazit

Die wichtigste KI-Nachricht für den DACH-Arbeitsmarkt der letzten Zeit ist die fortgesetzte Präzisierung und Anpassung des EU AI Acts durch das 'Digital Omnibus'-Paket vom Mai 2026. Diese Entwicklungen geben Unternehmen zwar teilweise mehr Zeit für die Umsetzung der komplexen Hochrisiko-Regelungen, verschärfen aber gleichzeitig die Notwendigkeit, bereits jetzt die Transparenzpflichten und die KI-Kompetenz ihrer Mitarbeiter sicherzustellen. Für den Mittelstand im DACH-Raum bedeutet dies, dass ein proaktives und strategisches Vorgehen bei der KI-Einführung entscheidend für den langfristigen Erfolg ist. Dieses Vorgehen muss Compliance, Change Management und eine kritische Bewertung des Return on Investment umfassend berücksichtigen. Die Verknüpfung von EU AI Act und Schweizer nDSG erfordert zudem eine genaue Analyse für global agierende Schweizer Firmen.

Die Zeit der reinen Experimente mit KI ist vorbei. Es geht nun darum, Künstliche Intelligenz verantwortungsvoll, strategisch und vor allem wertschöpfend in die Unternehmensprozesse zu integrieren. Nur wer jetzt handelt, seine Mitarbeiter befähigt und seine Prozesse anpasst, kann die Chancen der KI nutzen und gleichzeitig die regulatorischen Risiken minimieren. Das Befähigen der eigenen Organisation zum souveränen Umgang mit KI ist der Schlüssel, um aus neuen Technologien echten Nutzen zu ziehen und nicht nur Abhängigkeiten zu schaffen.