EU AI Act 'Omnibus': Entlastung und sofortige Pflichten für DACH-Unternehmen

Der Einsatz von Künstlicher Intelligenz (KI) in Unternehmen des DACH-Raums schreitet schnell voran. Gleichzeitig müssen sich Unternehmen den regulatorischen Rahmenbedingungen stellen. Eine der wichtigsten Entwicklungen der jüngsten Zeit ist die Einigung von Europäischem Parlament und Rat auf das sogenannte „AI Omnibus“-Paket des EU AI Acts am 7. Mai 2026. Diese Vereinbarung ist ein Versuch, die ursprüngliche Verordnung praxistauglicher zu gestalten. Sie bringt eine Mischung aus Erleichterung durch verschobene Fristen und neuen, unmittelbar wirksamen Pflichten mit sich, die DACH-Unternehmen bereits in diesem Jahr betreffen werden. Für den Mittelstand bedeutet dies: Eine klare Strategie ist nun dringender denn je.

Verschobene Fristen: Eine Atempause für Hochrisiko-KI?

Die prominenteste Änderung des „AI Omnibus“-Pakets betrifft die Übergangsfristen für sogenannte Hochrisiko-KI-Systeme. Nach intensiven Diskussionen, die das ursprüngliche Regelwerk als innovationshemmend kritisierten, wurde hier eine Anpassung vorgenommen. Für eigenständige Hochrisiko-Anwendungen, beispielsweise im Personalwesen für Recruiting oder Leistungsbewertung, oder in der Finanzwirtschaft für Kreditvergabe und Betrugserkennung, müssen die vollen Auflagen nun erst bis zum 2. Dezember 2027 erfüllt werden. Diese Fristverlängerung um mehr als ein Jahr gegenüber dem ursprünglichen Stichtag August 2026 ist für viele Unternehmen im DACH-Raum eine willkommene Entlastung. Sie verschafft ihnen dringend benötigte Zeit, um ihre KI-Systeme und die damit verbundenen internen Prozesse entsprechend anzupassen und rechtskonform zu gestalten.

Noch grosszügiger fallen die Fristen für KI-Systeme aus, die als Sicherheitskomponente in bereits regulierten Produkten zum Einsatz kommen. Beispiele hierfür sind der Maschinenbau oder die Medizintechnik. Hier gilt eine verlängerte Übergangsfrist bis zum 2. August 2028. Diese Differenzierung erkennt die Komplexität und die längeren Entwicklungszyklen in diesen Industrien an. Sie ermöglicht es Unternehmen, die KI in bestehende, oft sehr komplexe Produktentwicklungsprozesse integrieren, dies mit der notwendigen Sorgfalt und Prüfungszeit zu tun.

Diese verschobenen Fristen sollten jedoch nicht als Freifahrtschein missverstanden werden. Sie sind eine Gelegenheit, die nun konsequent genutzt werden muss, um die notwendigen Anpassungen fundiert und nachhaltig vorzunehmen. Wer die gewonnene Zeit nicht für eine systematische Implementierung der Anforderungen nutzt, riskiert spätere Engpässe und hohe Kosten.

Unmittelbare Pflichten: Was jetzt schon gilt

Trotz der Fristverlängerung in einigen Bereichen bringt der „AI Omnibus“ auch umgehende und strikte Verbote mit sich, die sofortige Massnahmen erfordern. Ab dem 2. Dezember 2026 sind bestimmte KI-Anwendungen, die als besonders schädlich eingestuft werden, strikt untersagt. Dazu gehören unter anderem KI-Anwendungen zur Erstellung nicht-einvernehmlicher intimer Bilder, sogenannte „Nudifier“-Apps, sowie Systeme zur Generierung von Kindesmissbrauchsmaterial. Diese Verbote unterstreichen den ethischen Kern des EU AI Acts und seine Absicht, Bürger vor den potenziell gravierendsten Missbräuchen von KI zu schützen.

Ebenfalls noch Ende 2026 wird ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt. Dies stellt eine bedeutende Transparenzpflicht dar, die weitreichende Auswirkungen auf Marketing, Kommunikation und die allgemeine Nutzung von generativer KI in Unternehmen haben wird. Die Herkunft von Inhalten, sei es Text, Bild oder Audio, muss klar kenntlich gemacht werden. Dies betrifft nicht nur extern veröffentlichte Inhalte, sondern auch intern genutzte Materialien, wenn diese später extern verwendet oder weitergegeben werden. Unternehmen müssen ihre Prozesse zur Erstellung und Verwaltung von Inhalten überprüfen und sicherstellen, dass KI-generierte Elemente entsprechend gekennzeichnet werden. Dies schafft Vertrauen und Klarheit und ist ein wichtiger Schritt gegen die Verbreitung von Desinformation, stellt aber gleichzeitig eine technische und organisatorische Herausforderung dar. Schon seit August 2025 sind übrigens Transparenz- und Urheberrechtsregeln für Anbieter von General Purpose AI (GPAI)-Modellen in Kraft, was zeigt, dass die EU kontinuierlich an der Regulierung arbeitet.

Herausforderungen für den Mittelstand: Zwischen Nutzung und Governance

Die EU AI Act-Verordnung, die am 1. August 2024 in Kraft trat und ursprünglich ab August 2026 vollständig anwendbar sein sollte, stellt für DACH-Unternehmen, insbesondere den Mittelstand, weiterhin eine erhebliche Herausforderung dar. Eine aktuelle Studie vom 6. Mai 2026 zeigt, dass lediglich 29 Prozent der Unternehmen die Vorgaben des EU AI Acts vollständig erfüllen (16 Prozent) oder sogar übertreffen (13 Prozent). Weitere 36 Prozent streben die Compliance bis zum ursprünglichen Stichtag im August 2026 an, während 15 Prozent dies erst für 2027 planen. Dies verdeutlicht eine erhebliche Lücke zwischen den Anforderungen und der tatsächlichen Umsetzung in der Praxis.

Experten wie Dr. Emmanuel Klinger von T-Systems betonen, dass die Skalierung von KI in Unternehmen maßgeblich von der Bereitstellung relevanter Geschäftsdaten abhängt. Er warnt eindringlich vor dem Einsatz von Large Language Models (LLMs) auf unternehmensinternen Daten ohne entsprechende Vorkehrungen. Die Implementierung einer effizienten, ganzheitlichen und rechtssicheren Datenverwaltung ist ein entscheidender Erfolgsfaktor für den sicheren und wertschöpfenden Einsatz KI-fähiger Datenplattformen. Zwar ist die Data Governance in über drei Viertel der Unternehmen (77 Prozent) etabliert, doch bei neueren Disziplinen wie der KI-Governance und der KI-Ethik gibt es noch Nachholbedarf, hier sind es nur 63 beziehungsweise 64 Prozent. Dies zeigt, dass viele Unternehmen ihre Daten zwar grundsätzlich im Griff haben, aber die spezifischen Herausforderungen, die der Einsatz von KI mit sich bringt, noch nicht ausreichend adressiert wurden. Hemmnisse für Governance-Initiativen sind vor allem der Datenschutz und die DSGVO-Konformität (42 Prozent), die Zugriffskontrolle (40 Prozent) sowie das Monitoring von KI-Modellen hinsichtlich Verzerrungen (Bias) und Datenverschiebung (Data Drift), hier sind es 35 Prozent.

Das Paradox: Während die Umsetzung der Governance-Strukturen schleppend verläuft, nutzen viele Unternehmen KI bereits intensiv. Eine Studie von Opinium im Auftrag von OpenAI vom 5. Mai 2026 zeigt, dass 85,1 Prozent der Entscheider in deutschen KMUs KI bereits im Job nutzen, fast jede zweite Person (46,2 Prozent) sogar regelmäßig. Unternehmen, die KI einsetzen, sparen im Schnitt 5,1 Stunden Arbeitszeit pro Woche, was rund 33 Arbeitstagen pro Jahr entspricht. Diese Zeit wird oft für strategische Aufgaben und kreatives Denken genutzt, anstatt nur mehr Aufgaben abzuarbeiten. Doch ist die Umsetzung im Mittelstand oft noch von einer individuellen Nutzung geprägt, und es fehlt an einer sicheren, geregelten und produktiven unternehmensweiten Einführung. Der „Aktionsmonat mAI“ der Transferstelle Cybersicherheit im Mittelstand im Mai 2026 fokussiert sich daher auf die Schnittstelle von KI und IT-Sicherheit und bietet praxisnahe Orientierung und konkrete Hilfestellungen. Dies unterstreicht die Notwendigkeit, individuelle Nutzung in eine strukturelle, sichere und regulierte Anwendung zu überführen.

Sektorspezifische Auswirkungen: Finanzwesen und HR im Fokus

Die Anforderungen des EU AI Acts wirken sich nicht auf alle Branchen gleichermaßen aus. Besonders betroffen sind Sektoren, die mit sensiblen Daten oder kritischen Entscheidungen operieren. Zwei Beispiele sind der Finanzsektor und das Personalwesen.

Finanzsektor

Der Finanzsektor ist durch seine hohe Regulierung und die Notwendigkeit von Vertrauen und Stabilität prädestiniert für die Auswirkungen des EU AI Acts. Das risikobasierte Regelwerk sieht insbesondere für Hochrisiko-Anwendungen wie die Kreditvergabe, das Risikomanagement oder die Betrugserkennung strenge Anforderungen an Transparenz, Nachvollziehbarkeit, Dokumentation und menschliche Aufsicht vor. Dies bedeutet, dass Banken und Versicherungen nicht nur ihre KI-Modelle entwickeln und implementieren müssen, sondern auch in der Lage sein müssen, deren Funktionsweise, Entscheidungsfindung und mögliche Auswirkungen lückenlos zu erklären und zu überprüfen. Die Forderung des DZ-Bank-Chefs Cornelius Riese nach mehr Tempo bei der IT-Sicherheit angesichts der zunehmenden KI-Nutzung unterstreicht die Dringlichkeit in diesem Sektor. Eine robuste IT-Sicherheitsarchitektur ist die Grundvoraussetzung, um die Integrität und Vertraulichkeit von Daten zu gewährleisten, die für KI-Anwendungen im Finanzbereich unerlässlich sind. Die Compliance-Abteilungen müssen ihre Risikobewertungen überarbeiten und sicherstellen, dass die KI-Strategie mit den regulatorischen Vorgaben vereinbar ist.

HR und Arbeitsplatz

KI-gestützte Systeme im Personalmanagement, insbesondere zur Mitarbeitersteuerung, fallen explizit unter die Hochrisikoklassifizierung des EU AI Acts. Dies hat direkte Auswirkungen auf die Mitbestimmungsrechte von Betriebsräten in Deutschland gemäss § 87 des Betriebsverfassungsgesetzes (BetrVG). Bevor KI-Systeme zur Zielvereinbarung, Leistungsbewertung, Mitarbeiterüberwachung oder gar zur automatisierten Entscheidungsfindung in Personalfragen eingesetzt werden, sind sorgfältige Betriebsvereinbarungen erforderlich. Dies erfordert eine transparente Kommunikation mit den Arbeitnehmervertretungen und die Sicherstellung, dass die Systeme fair, nicht diskriminierend und nachvollziehbar agieren. Im Gegensatz zu den USA, wo bereits Tausende Stellen im mittleren Management durch KI-Automatisierung gestrichen wurden, erschweren in Deutschland die starke Rolle der Betriebsräte und die institutionelle Bedeutung des mittleren Managements eine schnelle Reduktion von Arbeitsplätzen durch KI. Dieser Umstand erfordert einen sensibleren und kooperativeren Ansatz bei der Einführung von KI im Personalwesen, der die Bedenken der Mitarbeiter und die rechtlichen Rahmenbedingungen berücksichtigt.

Praktische Handlungsempfehlungen für Unternehmen

Um den neuen und angepassten Anforderungen des EU AI Acts gerecht zu werden, sollten Unternehmen im DACH-Raum jetzt konkrete Schritte einleiten:

1. Umfassende KI-Risikobewertung: Identifizieren Sie alle KI-Systeme, die in Ihrem Unternehmen im Einsatz sind oder geplant sind. Klassifizieren Sie diese nach dem Risikoprofil des EU AI Acts, insbesondere im Hinblick auf Hochrisiko-Anwendungen. Eine detaillierte Bestandsaufnahme ist die Grundlage für alle weiteren Massnahmen.

2. Compliance-Fahrplan entwickeln: Erstellen Sie einen klaren Fahrplan, der festlegt, welche Systeme bis wann an welche Anforderungen angepasst werden müssen. Berücksichtigen Sie dabei die neuen, verschobenen Fristen, aber auch die sofort wirksamen Verbote und Transparenzpflichten. Dies muss eine priorisierte Roadmap sein, die Ressourcen und Verantwortlichkeiten klar zuweist.

3. Interne Prozesse und Dokumentation anpassen: Überprüfen und überarbeiten Sie Ihre Entwicklungsprozesse für KI-Systeme. Stellen Sie sicher, dass eine lückenlose Dokumentation über den gesamten Lebenszyklus der KI, von der Datenbeschaffung bis zur Modellvalidierung und Überwachung, gewährleistet ist. Transparenz, Nachvollziehbarkeit und menschliche Aufsicht müssen in allen relevanten Prozessen verankert werden.

4. Daten- und KI-Governance etablieren oder stärken: Angesichts der zentralen Rolle von Daten für KI ist eine robuste Daten-Governance unabdingbar. Ergänzen Sie diese um eine spezifische KI-Governance, die Richtlinien für den ethischen Einsatz, die Vermeidung von Bias und die regelmässige Überwachung der Modellperformance festlegt. Dies beinhaltet auch klare Regeln für den Einsatz von generativer KI und die Einhaltung der Wasserzeichenpflicht.

5. Mitarbeiter schulen und einbeziehen: Informieren und schulen Sie Ihre Mitarbeiter über die Anforderungen des EU AI Acts und die internen Richtlinien. Im Falle von Hochrisiko-KI-Systemen im HR-Bereich ist die frühzeitige Einbindung und Zusammenarbeit mit dem Betriebsrat entscheidend, um Betriebsvereinbarungen zu treffen und die Akzeptanz zu fördern.

6. IT-Sicherheit priorisieren: Stärken Sie Ihre IT-Sicherheitsarchitektur, insbesondere im Hinblick auf den Schutz sensibler Daten, die für KI-Anwendungen genutzt werden. Dies schützt nicht nur vor Cyberangriffen, sondern auch vor unbefugtem Zugriff und Missbrauch von KI-Systemen.

Kritische Einordnung aus Kapitel-H-Sicht

Die Einigung über den „AI Omnibus“ des EU AI Acts ist aus unserer Sicht als Kapitel H eine pragmatische Anpassung an die Realitäten der Industrie. Sie bietet DACH-Unternehmen, insbesondere dem Mittelstand, eine dringend benötigte Atempause. Diese sollte jedoch keineswegs als Grund zur Entspannung missverstanden werden. Die Kernbotschaft bleibt bestehen: Wer KI verantwortungsvoll und wertschöpfend einsetzen will, muss sich proaktiv mit Governance, Compliance und ethischen Aspekten auseinandersetzen. Die verlängerten Fristen sind keine Einladung zum Abwarten, sondern eine Verlängerung der Vorbereitungszeit, die klug genutzt werden muss.

Wir sehen hier die Gefahr, dass die nun verschobenen Fristen dazu führen könnten, dass die Dringlichkeit im Bewusstsein einiger Unternehmen abnimmt. Doch die neuen, sofort wirksamen Verbote und die Wasserzeichenpflicht für KI-generierte Inhalte zeigen klar auf, dass der Gesetzgeber ernst macht und spezifische Risiken umgehend adressiert. Dies erfordert eine sofortige Reaktion und Anpassung in den relevanten Bereichen, insbesondere Marketing und Kommunikation.

Unser Fokus liegt auf der Befähigung von Unternehmen. Das heisst, es geht nicht darum, regulatorische Hürden zu beklagen, sondern sie als Rahmen für einen sicheren und effektiven KI-Einsatz zu verstehen. Eine fundierte KI-Strategie, die Governance und Sicherheit von Beginn an integriert, ist kein bürokratischer Ballast, sondern ein entscheidender Wettbewerbsvorteil. Unternehmen, die jetzt die Weichen stellen, um ihre Datenverwaltung zu professionalisieren, klare Regeln für den KI-Einsatz zu definieren und ihre Mitarbeiter zu schulen, werden nicht nur Compliance erfüllen. Sie werden eine Basis schaffen, um KI-Potenziale nachhaltig zu heben und Abhängigkeiten von externen Anbietern zu minimieren. Der „AI Omnibus“ ist somit eine Chance, die Hausaufgaben gründlich zu erledigen, bevor der volle Anwendungsdruck einsetzt.

Fazit: Proaktives Handeln sichert Wettbewerbsfähigkeit

Die Einigung über den „AI Omnibus“ des EU AI Acts ist eine zweischneidige Nachricht für DACH-Unternehmen. Während die verlängerten Fristen für die Compliance von Hochrisiko-KI-Systemen eine gewisse Entlastung bringen, machen die unmittelbaren Verbote und Transparenzpflichten sowie die Notwendigkeit von Wasserzeichen für KI-generierte Inhalte eine sofortige Auseinandersetzung mit der Regulierung unumgänglich. Unternehmen dürfen die gewonnenen Monate nicht ungenutzt verstreichen lassen, sondern müssen sie für eine fundierte Vorbereitung nutzen.

Die Komplexität des AI Acts, kombiniert mit bestehenden Datenschutzvorgaben wie der DSGVO und der Notwendigkeit nationaler Umsetzungsstrukturen, erfordert von IT- und Rechtsabteilungen in DACH-Unternehmen einen klaren Fahrplan. Die Gefahr von hohen Strafen, die bis zu 35 Millionen Euro oder 7 Prozent des globalen Jahresumsatzes bei Verstössen betragen können, und der zunehmende Wettbewerbsdruck machen eine proaktive und disziplinierte KI-Strategie zu einem entscheidenden Wettbewerbsfaktor für 2026 und darüber hinaus. Wer jetzt handelt, sichert sich nicht nur gegen Risiken ab, sondern positioniert sich als innovatives und verantwortungsbewusstes Unternehmen im digitalen Zeitalter.