EU AI Act: Was die neuen Regeln für Ihren Mittelstand bedeuten

Die europäische Gesetzgebung zur Künstlichen Intelligenz, der EU AI Act, ist ein zentrales Thema für Unternehmen im DACH-Raum. Eine provisorische Einigung über Änderungen an diesem Gesetz, die als Teil des Digital Omnibus VII Pakets erzielt und am 7. Mai 2026 von Rat der EU und Europäischem Parlament vereinbart wurde, hat weitreichende Konsequenzen. Diese Anpassungen beeinflussen massgeblich die KI-Governance, Compliance und den Umgang mit den Herausforderungen durch "Schatten-KI" sowie die notwendige Anpassung der Belegschaft. Für den Schweizer, deutschen und österreichischen Mittelstand bedeuten diese Neuerungen sowohl eine Chance als auch eine Notwendigkeit zur strategischen Neuausrichtung. Der EU AI Act ist die weltweit erste umfassende KI-Verordnung. Er zielt darauf ab, den Einsatz von KI-Technologien sicherer, transparenter und vertrauenswürdiger zu gestalten, indem er KI-Systeme risikobasiert klassifiziert und gestaffelte Anforderungen festlegt. Seit Februar 2025 tritt das Gesetz schrittweise in Kraft. Ursprünglich waren viele Regelungen für Hochrisiko-KI-Systeme ab August 2026 anwendbar. Die jüngsten Änderungen verschaffen Unternehmen in einigen Bereichen mehr Zeit. In anderen Bereichen beschleunigen sie jedoch wichtige Verpflichtungen. Es ist daher entscheidend, die Details genau zu verstehen und die richtigen Schritte einzuleiten. Diese Entwicklungen erfordern eine klare Strategie und pragmatische Umsetzung, um die Wettbewerbsfähigkeit zu sichern und rechtliche Risiken zu minimieren.

Der EU AI Act im Wandel: Was sich jetzt konkret ändert

Die am 7. Mai 2026 vereinbarten Anpassungen am EU AI Act haben spezifische Auswirkungen auf die Zeitpläne und Pflichten von DACH-Unternehmen. Diese Änderungen sind nicht trivial. Sie erfordern eine genaue Analyse der eigenen KI-Landschaft und eine entsprechende Anpassung der Implementierungsstrategien.

Verschobene Fristen für Hochrisiko-KI-Systeme: Eine wesentliche Erleichterung ist die Verlängerung der Fristen für die volle Anwendbarkeit von Hochrisiko-KI-Systemen. Für eigenständige Hochrisiko-KI-Systeme, die im Anhang III des AI Act aufgeführt sind, beispielsweise im Personalwesen für die Bewerberauswahl oder bei der Kreditwürdigkeitsprüfung, wurde die Frist von August 2026 auf den 2. Dezember 2027 verschoben. Das gibt Unternehmen 16 Monate mehr Zeit für die Implementierung und Anpassung. Noch länger ist die Frist für Hochrisiko-KI-Systeme, die in bereits regulierte Produkte wie Medizinprodukte oder Maschinen eingebettet sind. Hier verlängert sich die Frist sogar bis zum 2. August 2028. Diese Verlängerungen sind keine Einladung zum Abwarten, sondern eine Gelegenheit, die Implementierung sorgfältiger und fundierter zu gestalten.

Beschleunigte Transparenzpflichten: Im Gegensatz zu den verlängerten Fristen für Hochrisiko-KI-Systeme müssen Unternehmen Transparenzmaßnahmen für KI-generierte Inhalte früher umsetzen. Bereits bis zum 2. Dezember 2026 sind Unternehmen verpflichtet, KI-generierte Inhalte wie Texte, Bilder oder Stimmen entsprechend zu kennzeichnen, beispielsweise durch Wasserzeichen oder Herkunftsbezeichnungen. Dies betrifft insbesondere Unternehmen, die generative KI-Tools wie Chatbots für den Kundenservice oder KI-gestützte Content-Erstellung einsetzen. Hier ist schnelles Handeln gefragt, um die Glaubwürdigkeit und Transparenz gegenüber Endnutzern zu gewährleisten.

Erleichterungen für regulierte Branchen: Der Omnibus VII Vorschlag enthält Mechanismen, die überlappende Compliance-Pflichten reduzieren sollen. Dies ist besonders relevant in Branchen, in denen bereits spezifische Regulierungen KI-bezogene Anforderungen enthalten. Ein Beispiel sind Maschinen. Sie werden weitgehend von den KI-Auflagen befreit, wenn bereits spezifische Maschinenprodukteverordnungen greifen. Dies soll den administrativen Aufwand reduzieren und eine doppelte Regulierung vermeiden. Unternehmen müssen jedoch genau prüfen, ob und in welchem Umfang diese Erleichterungen für ihre spezifischen Produkte und Dienstleistungen gelten.

Klarstellung der Definition "Sicherheitskomponente": Eine weitere wichtige Präzisierung betrifft die Definition einer "Sicherheitskomponente". KI-Systeme, die Nutzer lediglich unterstützen oder die Leistung optimieren, unterliegen nicht automatisch Hochrisiko-Pflichten, wenn ihr Ausfall keine Gesundheits- oder Sicherheitsrisiken verursacht. Diese Klarstellung ist wichtig, um eine übermässige Regulierung von unterstützenden KI-Systemen zu vermeiden. Sie hilft Unternehmen dabei, den Aufwand für Compliance auf die tatsächlich risikobehafteten Anwendungen zu konzentrieren.

Registrierungspflichten bleiben relevant: Ungeachtet der genannten Erleichterungen und Fristverschiebungen müssen Anbieter von KI-Systemen diese weiterhin in der EU-Datenbank für Hochrisiko-Systeme registrieren. Dies gilt auch dann, wenn Unternehmen der Meinung sind, dass ihre Systeme von der Hochrisiko-Klassifizierung ausgenommen sind. Die Registrierung dient der Transparenz und der Überprüfbarkeit. Unternehmen sollten diese Pflicht nicht unterschätzen und die notwendigen Prozesse dafür etablieren.

KI-Governance als Fundament für Ihren Erfolg

Die Anpassungen am EU AI Act unterstreichen die Notwendigkeit einer robusten KI-Governance. Der AI Act ist nicht nur eine regulatorische Bürde, sondern zwingt Unternehmen dazu, ihre KI-Prozesse zu optimieren und systematisch zu dokumentieren. Dies führt zu mehr Transparenz, besseren Entscheidungsgrundlagen und kann sich direkt auf den Return on Investment (ROI) auswirken. Viele DACH-Unternehmen verfügen jedoch noch nicht über die notwendigen Governance-Grundlagen, um KI sicher und effektiv in ihre Prozesse zu integrieren. Eine aktuelle Umfrage zeigt, dass fast die Hälfte der sich als KI-Vorreiter einschätzenden Unternehmen diese Grundlagen vermissen lässt. Nur jedes fünfte Finanzteam erreicht die angestrebte Effizienzsteigerung durch KI. Dies ist ein klares Indiz dafür, dass Technologie allein nicht ausreicht. Es bedarf einer strategischen Verankerung und klarer Prozesse.

KPMG hebt die Notwendigkeit eines zentralen und technisch verankerten KI-Governance-Frameworks als entscheidenden Erfolgsfaktor hervor. Ohne saubere Prozesse, klare Daten und definierte Verantwortlichkeiten kann KI nicht nachhaltig skalieren. Eine effektive Governance umfasst dabei nicht nur die Einhaltung rechtlicher Vorschriften. Sie beinhaltet auch die Definition von internen Richtlinien, die Zuweisung von Rollen und Verantwortlichkeiten, das Management von Datenqualität und -zugang sowie die Etablierung von Überwachungs- und Auditmechanismen. Dies schliesst die gesamte Wertschöpfungskette der KI-Entwicklung und -Anwendung ein, von der Datenerfassung über das Modelltraining bis hin zum Einsatz und der Wartung der Systeme. Unternehmen müssen sich die Frage stellen, wer für welche Aspekte der KI verantwortlich ist, wie Entscheidungen getroffen werden und wie Risiken identifiziert und gemindert werden. Eine proaktive Gestaltung der KI-Governance ist somit kein Compliance-Zwang, sondern ein strategischer Hebel für langfristigen Erfolg und Wettbewerbsfähigkeit.

Schatten-KI und Datensouveränität: Risiken erkennen und beherrschen

Ein zentrales Problem, das durch die Regulierung noch stärker in den Fokus rückt, ist die sogenannte "Schatten-KI". Hierbei handelt es sich um KI-Anwendungen, die von Mitarbeitern ohne zentrale Kontrolle oder Genehmigung im Unternehmen eingesetzt werden. Dies kann zu erheblichen Sicherheitslücken, Datenschutzproblemen und Inkonsistenzen in der Datennutzung führen. Eine ganzheitliche Governance, inklusive regelmässiger Audits, ist unerlässlich, um zu verhindern, dass KI-Anwendungen zu einer unkontrollierbaren "Schatten-IT" werden. Der Mittelstand im DACH-Raum ist hier besonders gefordert. Er muss Transparenz schaffen, welche KI-Tools von den Mitarbeitern tatsächlich genutzt werden, und klare Richtlinien für deren Einsatz etablieren.

Gerade im DACH-Raum setzen Unternehmen zunehmend auf den lokalen, containerisierten Betrieb von KI-Systemen, auch bekannt als Edge AI, oft auf Bare Metal. Dies dient dazu, die Nähe zu den Daten, die volle Kontrolle und hohe Verarbeitungsgeschwindigkeiten zu gewährleisten. Dieser Trend ist im DACH-Raum weit häufiger anzutreffen als im globalen Durchschnitt und wird massgeblich durch die spezifische Industriestruktur, hohe Anforderungen an die Datensouveränität und den Kampf gegen Schatten-KI geprägt. So betreiben 81 Prozent der deutschen Unternehmen ihre KI bereits über Managed Service Provider, und 62 Prozent der KI-Workloads laufen am Edge. Dies zeigt einen klaren Trend zu hybriden Betriebsmodellen. Solche Modelle ermöglichen es Unternehmen, ihre KI-Anwendungen je nach Anforderungsprofil auf verschiedene Infrastrukturebenen zu verteilen. Dabei behalten sie die Kontrolle über kritische Daten und Prozesse und können gleichzeitig die Vorteile flexibler Cloud-Lösungen nutzen. Die Implementierung einer solchen hybriden Strategie erfordert jedoch technisches Know-how und eine sorgfältige Planung, um die Sicherheit und Effizienz der KI-Anwendungen zu gewährleisten.

KI-Sicherheit und Datenschutz: Zwischen Innovation und Regulierung

Parallel zu den AI Act-Anpassungen bleiben im DACH-Raum grosse Bedenken hinsichtlich Datenschutz und KI-Sicherheit bestehen. Eine aktuelle Umfrage des Digitalverbandes Bitkom zeigt, dass 81 Prozent der befragten Unternehmen die DSGVO als komplizierend empfinden. 72 Prozent der Meinung sind, dass Deutschland es mit dem Datenschutz übertreibt. Zwei Drittel finden, dass der Datenschutz es erschwert, KI-Modelle mit genügend Daten zu trainieren. 63 Prozent sind überzeugt, dass der Datenschutz innovative KI-Firmen aus der EU vertreibt. Diese Wahrnehmung verstärkt den Druck auf Unternehmen, die Balance zwischen Compliance und Innovationsfähigkeit zu finden. Der AI Act verschärft diese Situation in bestimmten Bereichen zusätzlich, etwa durch erhöhte Anforderungen an die Datensicherheit bei Hochrisiko-KI-Systemen. Unternehmen müssen Strategien entwickeln, wie sie datenschutzkonform und sicher KI einsetzen können, ohne ihre Innovationskraft zu verlieren.

Ein weiteres akutes Risiko ist die KI-gestützte Cyberkriminalität. Identitätsdiebstahl durch täuschend echte E-Mails, Stimmen oder Nachrichten, die mithilfe von KI erstellt werden, stellt eine wachsende Gefahr dar. Unternehmen müssen ihre technischen und organisatorischen Massnahmen, wie Mitarbeitersensibilisierung und sichere Authentifizierungsverfahren, regelmässig überprüfen und anpassen. Ein Vorfall bei einem Bauunternehmen mit 7.000 Mitarbeitern, bei dem ein KI-Agent mit Schreibrechten versehentlich die gesamte Produktionsdatenbank löschte und einen sechsstelligen Schaden verursachte, unterstreicht die immensen Risiken. Er zeigt deutlich, was passieren kann, wenn KI ohne ausreichende Planung, Kontrolle und Sicherheitsvorkehrungen eingesetzt wird. Solche Beispiele verdeutlichen, dass die Investition in KI-Sicherheit keine Option, sondern eine Notwendigkeit ist. Unternehmen müssen ihre IT-Sicherheitsstrategie umfassend um die spezifischen Risiken von KI-Anwendungen erweitern und dabei auch die menschliche Komponente durch Schulungen und Awareness-Kampagnen berücksichtigen.

Change Management und Befähigung: Der Mensch im Mittelpunkt der KI-Strategie

Die Einführung von KI-Systemen erfordert auch tiefgreifende Veränderungen im Change Management. Viele KI-Initiativen scheitern nicht an der Technologie selbst, sondern an Organisation, Rollen und der falschen Reihenfolge der Implementierung. Die Angst vor Veränderungen ist in vielen Organisationen gross, Mitarbeiter fürchten um ihre Jobs, und Führungskräfte um ihre Relevanz. Eine aktuelle Umfrage zeigt zudem, dass 50 Prozent der Mitarbeiter angeben, sich zu sehr auf KI zu verlassen, und 39 Prozent befürchten, dass dies ihre Fähigkeiten untergräbt und sie weniger intelligent macht. Insbesondere die Generation Z äussert wachsende Sorgen und Ablehnung gegenüber KI, da sie diese als Konkurrenz auf dem Arbeitsmarkt sieht.

Diese Bedenken sind nicht unbegründet. Berichte zeigen, dass Tech-Konzerne wie Meta Tausende Stellen streichen und dies mit Investitionen in KI begründen. Auch die Commerzbank plant einen Grossteil des Jobabbaus auf KI zu verlagern. Besonders Junior-Positionen sind davon betroffen, da 40 Prozent der weltweit führenden Konzerne bereits Einstiegsstellen aufgrund von KI gestrichen haben und weitere 43 Prozent dies planen. Dies erfordert von Unternehmen, ihre Mitarbeiter aktiv zu befähigen, mit KI zu arbeiten, anstatt sich blind auf sie zu verlassen. Fähigkeiten wie kreatives Denken, emotionale Intelligenz, kritisches Denken und Führungsfähigkeiten werden in der KI-getriebenen Arbeitswelt immer wichtiger. Unternehmen müssen umfassende Schulungs- und Weiterbildungsprogramme entwickeln, die nicht nur technische KI-Kompetenzen vermitteln, sondern auch die menschlichen Fähigkeiten stärken, die durch KI nicht ersetzt werden können. Ein offener Dialog über die Auswirkungen von KI auf Arbeitsplätze und die Gestaltung neuer Rollen ist dabei unerlässlich. Die Verlängerung der Frist für Hochrisiko-KI-Systeme im Personalwesen bis Dezember 2027 gibt Arbeitgebern mehr Zeit, ihre KI-Systeme für Personalbeschaffung, -überwachung oder -verwaltung anzupassen und diese Prozesse menschenzentriert zu gestalten. Im Finanzbereich versprechen sich CFOs zwar grosse Effizienzgewinne durch KI. 85 Prozent halten KI für einen zentralen Hebel, doch 61 Prozent der Finanzteams haben die Technologie noch nicht in ihre Arbeitsweise integriert. Anbieter wie Sage integrieren KI-Agenten in Lösungen für Finanzwesen, Personalmanagement und Unternehmenssteuerung, um Prozesse zu automatisieren und Teams bei Aufgaben wie Zahlungserinnerungen oder Genehmigungen zu unterstützen. Hierbei bleibt die finale Entscheidung beim Menschen, was ein gutes Beispiel für die sinnvolle Integration von KI darstellt. Es geht darum, KI als Werkzeug zur Effizienzsteigerung zu begreifen und nicht als Ersatz für menschliche Expertise.

Praktische Handlungsempfehlungen für DACH-Unternehmen

Um den Herausforderungen und Chancen des EU AI Act und der allgemeinen KI-Entwicklung im DACH-Raum gerecht zu werden, empfehlen wir Ihnen konkrete Schritte:

1. Audit der aktuellen KI-Nutzung: Führen Sie eine Bestandsaufnahme aller im Unternehmen eingesetzten KI-Systeme durch, einschliesslich "Schatten-KI". Klassifizieren Sie diese nach Risikograd und Relevanz für den AI Act. 2. Entwicklung einer KI-Governance-Strategie: Etablieren Sie ein zentrales Governance-Framework mit klaren Richtlinien, Verantwortlichkeiten und Prozessen für den gesamten Lebenszyklus von KI-Anwendungen. Stellen Sie sicher, dass Ihre Datenstrategie die Anforderungen an Datensouveränität und -qualität erfüllt. 3. Investition in Schulung und Weiterbildung: Befähigen Sie Ihre Mitarbeiter, kompetent und sicher mit KI-Tools umzugehen. Fördern Sie dabei kritische, kreative und emotionale Fähigkeiten. Bauen Sie Ängste ab und zeigen Sie die Potenziale der Zusammenarbeit von Mensch und KI auf. 4. Evaluierung von hybriden KI-Infrastrukturen: Prüfen Sie, inwieweit der lokale oder Edge-Betrieb von KI-Systemen sinnvoll ist, um Datensouveränität und Kontrolle zu gewährleisten. Nutzen Sie Managed Service Provider, um Expertise und Skalierbarkeit zu sichern. 5. Sicherheitsprotokolle aktualisieren: Überprüfen und verstärken Sie Ihre Cyber-Sicherheitsmassnahmen, insbesondere im Hinblick auf KI-gestützte Bedrohungen und die spezifischen Risiken im Umgang mit Produktionsdaten durch autonome KI-Agenten. Sensibilisieren Sie Ihre Belegschaft für diese neuen Gefahren.

Kapitel H Perspektive: Pragmatismus statt Panik

Die jüngsten Anpassungen des EU AI Act sind eine Atempause, dürfen aber keinesfalls als Signal zum Abwarten verstanden werden. Im Gegenteil, sie sind ein klarer Auftrag, die Einführung und Integration von KI in Unternehmen strategisch und fundiert anzugehen. Der DACH-Mittelstand hat die Chance, von den gewonnenen Fristen zu profitieren und die notwendigen Strukturen für eine verantwortungsvolle KI-Nutzung aufzubauen. Es geht nicht darum, regulatorische Hürden zu umgehen, sondern die Kernanforderungen des AI Act als Chance zu begreifen. Eine robuste KI-Governance, die Bekämpfung von Schatten-KI und die Sicherstellung der Datensouveränität sind keine optionalen Zusätze, sondern essenzielle Pfeiler für die langfristige Wettbewerbsfähigkeit. Wir beobachten mit Sorge, dass einige Unternehmen die Komplexität unterschätzen oder sich von regulatorischen Bedenken lähmen lassen. Die Diskrepanz bei KI-Investitionen, wie das 73-fache Investment der USA im Vergleich zu Deutschland, verdeutlicht den Handlungsdruck. Es ist an der Zeit, pragmatisch und datenbasiert zu agieren, die Potenziale der KI zu nutzen und gleichzeitig die Risiken durch kluge Strategien zu minimieren. Befähigung der Mitarbeiter statt blinder Technologieeinführung muss dabei im Vordergrund stehen.

Fazit: Jetzt handeln, Wettbewerbsfähigkeit sichern

Die provisorische Einigung über die Änderungen am EU AI Act bietet DACH-Unternehmen eine wertvolle Gelegenheit, ihre KI-Strategie zu schärfen. Die verlängerten Fristen für Hochrisiko-KI-Systeme sind keine Entschuldigung für Passivität, sondern eine Einladung, eine solide KI-Governance aufzubauen, Schatten-KI proaktiv zu begegnen und die Datensouveränität zu sichern. Gleichzeitig müssen Unternehmen in die Befähigung ihrer Belegschaft investieren. Sie müssen Change-Management-Prozesse gestalten, die die Ängste der Mitarbeiter ernst nehmen und die Koexistenz von Mensch und KI als Produktivitätssteigerung begreifen. Die Schere zwischen Unternehmen, die KI strategisch und verantwortungsvoll einführen, und denen, die zögern, wird sich weiter öffnen. Für den DACH-Mittelstand ist dies eine kritische Phase, in der die Weichen für die zukünftige Wettbewerbsfähigkeit gestellt werden. Handeln Sie jetzt. Sichern Sie sich Ihren Platz in der KI-getriebenen Wirtschaft von morgen.