Der EU AI Act kommt: Pflichten und Chancen für DACH-Unternehmen

Die Künstliche Intelligenz (KI) prägt unsere Arbeitswelt in immer schnellerem Tempo. Während Unternehmen im DACH-Raum die Potenziale der KI erkennen und nutzen wollen, rückt eine neue und entscheidende Entwicklung in den Fokus: der EU AI Act. Diese Verordnung, die am 1. August 2024 in Kraft trat, stellt einen wegweisenden rechtlichen Rahmen für die Entwicklung und Nutzung von KI-Systemen dar. Sie verlangt von Unternehmen, ihre KI-Strategien, Prozesse und Governance neu zu bewerten.

Der 2. Februar 2025 markierte bereits den Beginn erster materieller Pflichten, wie dem Verbot unannehmbar risikoreicher KI-Praktiken und der Pflicht zur KI-Kompetenz. Der endgültige Stichtag für die vollständige Anwendung zahlreicher Kernbestimmungen ist der 2. August 2026. Bis dahin müssen sich Unternehmen anpassen. Dies betrifft nicht nur jene, die KI entwickeln, sondern jedes Unternehmen, das KI-Systeme einsetzt, selbst wenn es sich um zugekaufte Software as a Service (SaaS)-Lösungen handelt. Für den Mittelstand im DACH-Raum bedeutet dies einen erheblichen Handlungsdruck, aber auch eine Chance, die eigene Wettbewerbsfähigkeit und das Vertrauen der Kunden zu stärken. Eine strukturierte Auseinandersetzung mit dem AI Act ist unabdingbar, um rechtliche Risiken zu minimieren und die Vorteile der KI verantwortungsvoll zu nutzen.

Der EU AI Act: Ein risikobasierter Rahmen für KI-Systeme

Das Herzstück des EU AI Act ist ein risikobasierter Ansatz, der KI-Systeme in vier Kategorien einteilt. Diese Klassifizierung bestimmt, welche Anforderungen und Pflichten für ein KI-System gelten. Das Verständnis dieser Kategorien ist entscheidend für die Compliance Ihres Unternehmens.

Inakzeptables Risiko

KI-Systeme dieser Kategorie sind verboten, da sie die Grundrechte der Menschen verletzen. Beispiele hierfür sind manipulative KI, die menschliches Verhalten unbewusst und schädlich beeinflusst, sowie Social-Scoring-Systeme, die von staatlichen Behörden eingesetzt werden. Auch die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum ist grundsätzlich untersagt, mit sehr engen Ausnahmen. Diese Verbote sind bereits seit dem 2. Februar 2025 sanktionsbewehrt. Verstöße können Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes nach sich ziehen. Für Unternehmen bedeutet dies, bestehende oder geplante KI-Anwendungen sorgfältig auf solche Praktiken zu prüfen und sofortige Anpassungen vorzunehmen, falls sie in diese Kategorie fallen.

Hohes Risiko

Diese Kategorie ist für die meisten Unternehmen im DACH-Raum die relevanteste, da sie KI-Systeme umfasst, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Dazu gehören KI-Systeme in den folgenden Anwendungsfeldern:

* Personalmanagement: KI-gestützte Tools für Recruiting, Leistungsbewertung oder sogar die Unterstützung bei Kündigungsentscheidungen. * Kreditvergabe und Bonitätsprüfung: Algorithmen, die über die finanzielle Zuverlässigkeit von Personen entscheiden. * Kritische Infrastrukturen: KI in der Verwaltung und dem Betrieb von Wasser-, Strom- oder Verkehrsnetzen. * Medizin: KI-Systeme für die Diagnose, Prävention oder Behandlung von Krankheiten. * Bildung: KI zur Bewertung von Lernergebnissen oder zur Überwachung von Studierenden.

Für Hochrisiko-Systeme gelten strenge Anforderungen, die Unternehmen umsetzen müssen. Dazu gehören ein umfassendes Risikomanagement, die Gewährleistung hoher Datenqualität, eine detaillierte technische Dokumentation, die Sicherstellung menschlicher Aufsicht, Transparenzpflichten und hohe Standards für Cybersicherheit. Die Regelungen zu Governance und General Purpose AI (GPAI) für Hochrisiko-KI traten teilweise bereits am 2. August 2025 in Kraft, wobei spezifische Geldbußen für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck erst ab dem 2. August 2026 anwendbar werden. Fehlerhafte Dokumentation kann Bußgelder von bis zu 15 Millionen Euro oder 3 Prozent des Jahresumsatzes zur Folge haben. Unternehmen müssen daher eine lückenlose Nachweisbarkeit ihrer Compliance sicherstellen.

Begrenztes Risiko

KI-Systeme mit begrenztem Risiko sind solche, die mit Personen interagieren, aber ein geringeres Gefahrenpotenzial aufweisen, beispielsweise Chatbots. Für diese Systeme sind primär Transparenzpflichten vorgesehen. Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren und nicht mit einem Menschen. Dies fördert die Klarheit und das Vertrauen in die Interaktion mit KI.

Minimales Risiko

Die überwiegende Mehrheit der KI-Anwendungen fällt in diese Kategorie und unterliegt keinen spezifischen Anforderungen des AI Act. Hierzu zählen beispielsweise KI-gestützte Spamfilter oder einfache Empfehlungssysteme, die keine erheblichen Auswirkungen auf die Nutzer haben. Unternehmen können diese KI-Systeme weiterhin flexibel einsetzen, sollten jedoch stets die allgemeinen ethischen Grundsätze und Datenschutzbestimmungen beachten.

Warum der Mittelstand im DACH-Raum jetzt handeln muss

Der EU AI Act ist nicht nur eine Angelegenheit für globale Tech-Konzerne oder KI-Entwickler. Er betrifft jedes Unternehmen, das KI-Systeme nutzt, auch im Mittelstand des DACH-Raums. Eine Studie des ifo Instituts hat gezeigt, dass der Einsatz von KI in mittelständischen Unternehmen zwar zunimmt, jedoch oft nur oberflächlich erfolgt und die erhofften Produktivitätseffekte ausbleiben, wenn KI nicht systematisch in Arbeitsprozesse integriert wird. Der AI Act zwingt Unternehmen nun zu einem bewussteren, strukturierteren Umgang mit KI und einer klaren Governance.

Für Schweizer Unternehmen ist der EU AI Act ebenfalls von hoher Relevanz, obwohl die Schweiz kein EU-Mitglied ist. Dies liegt am sogenannten „Marktprinzip“. Jedes Schweizer Unternehmen, das Produkte oder Dienstleistungen in der EU anbietet oder KI-Systeme einsetzt, die EU-Bürger betreffen, fällt unter den Anwendungsbereich des AI Act. Hinzu kommt eine starke regulatorische Sogwirkung. Die Schweiz orientiert sich traditionell an EU-Vorschriften, wie beispielsweise beim revidierten Datenschutzgesetz (DSG), das eng an die DSGVO angelehnt ist. Compliance mit dem EU AI Act wird zudem zu einem wichtigen Wettbewerbsfaktor. Sie schafft Vertrauen bei Kunden, Partnern und Mitarbeitenden und kann so die Position eines Unternehmens im Markt stärken. Das Schweizer DSG selbst ist bereits technologieneutral und reguliert automatisierte Einzelentscheidungen, verlangt Privacy by Design und Privacy by Default sowie die Einhaltung strenger Regeln bei Profiling und biometrischen Daten. Der AI Act ergänzt und verschärft diese Anforderungen spezifisch für KI-Anwendungen.

Konkrete Handlungsfelder: Von Datenschutz bis Change Management

Die Umsetzung des EU AI Act erfordert von Unternehmen eine umfassende Anpassung in mehreren Schlüsselbereichen. Diese reichen von technischen Implementierungen bis hin zur Unternehmenskultur.

Datenschutz und Datensicherheit

Der AI Act agiert parallel zur Datenschutz-Grundverordnung (DSGVO) und verstärkt die Anforderungen an den Schutz personenbezogener Daten. Unternehmen müssen sicherstellen, dass KI-Systeme datenschutzkonform eingesetzt werden. Das bedeutet konkret, klare Richtlinien für den KI-Einsatz zu etablieren und Mitarbeitende regelmäßig zu schulen. Dies ist entscheidend, um den Kontrollverlust über Daten zu vermeiden, wenn diese in externe KI-Systeme eingegeben werden. Eine standardisierte Vorlage für Datenschutz-Folgenabschätzungen (DPIA), die Mitte April 2026 vom Europäischen Datenschutzausschuss (EDPB) veröffentlicht wurde, bietet Unternehmen eine wertvolle Unterstützung bei der Einhaltung dieser Pflichten.

KI-Kompetenz und Change Management

Eine zentrale Anforderung des AI Act, die bereits seit dem 2. Februar 2025 in Kraft ist, ist die „KI-Kompetenz“ (AI Literacy) der Mitarbeitenden, die mit KI-Systemen arbeiten. Viele Unternehmen investieren zwar in KI-Technologie, scheitern aber oft am mangelnden Vertrauen der Nutzer und unzureichendem Change Management. Es ist entscheidend, Ängste vor Jobverlust, Kompetenzverlust oder Intransparenz abzubauen und die Mitarbeitenden aktiv in den Prozess einzubinden. Schulungen, transparente Kommunikation und die Demonstration des Mehrwerts von KI sind hierfür unerlässlich. KI-gestütztes Change Management kann diesen Prozess zusätzlich beschleunigen, indem es personalisierte Trainings und Kommunikationsstrategien ermöglicht und frühzeitiges Eingreifen bei Widerständen erlaubt.

Prozessanpassungen und Governance

Unternehmen müssen ihre internen Prozesse anpassen, um die komplexen Anforderungen des AI Act zu erfüllen. Dazu gehören die systematische Identifikation von Hochrisiko-KI-Systemen, die Durchführung detaillierter Risikobewertungen und Konformitätsprüfungen sowie die Bereitstellung umfassender technischer Dokumentationen. Viele Unternehmen treiben bereits zahlreiche KI-Initiativen voran, haben aber oft keinen klaren Gesamtüberblick und keine konsistente KI-Governance. Der AI Act zwingt sie nun, eine solche Governance zu etablieren. Dies beinhaltet die Zuweisung von Verantwortlichkeiten, die Festlegung von Überwachungsprozessen und die Implementierung von Mechanismen zur kontinuierlichen Einhaltung der Vorschriften.

Branchenspezifische Anwendungen und KI-Agenten

Die Anwendung von KI-Agenten im Mittelstand hat laut dem Salesforce KI-Mittelstandsindex 2026 fast verdoppelt. Diese Technologie übernimmt eigenständig Aufgaben und orchestriert Prozesse, was zu erheblichen Effizienzsteigerungen führen kann, beispielsweise im Kundensupport. Im Controlling und Finanzbereich versprechen KI-Innovationen hohen Mehrwert, von der Automatisierung von Routineaufgaben bis zur datengetriebenen Echtzeitunterstützung von Entscheidungsprozessen. Hier entstehen auch neue Rollen wie die des „KI-Managers für das Controlling“, der die Schnittstelle zwischen Datenanalyse, Technologie und strategischem Finanzmanagement bildet und die Compliance im Hinblick auf den EU AI Act sicherstellt. Diese Entwicklung unterstreicht die Notwendigkeit, spezifische Anwendungsfälle von KI im Unternehmen zu identifizieren und sie von Anfang an gesetzeskonform zu gestalten.

Förderprogramme

Um den Mittelstand bei der umfassenden Compliance-Umsetzung zu unterstützen, hat die Bundesregierung ein Förderprogramm über 500 Millionen Euro aufgelegt. Dies bietet eine finanzielle Unterstützung, um die notwendigen Investitionen in Technologie, Schulung und Prozessanpassung zu tätigen. Unternehmen sollten diese Möglichkeit aktiv prüfen und nutzen.

Kritische Einordnung aus Kapitel-H-Sicht

Der EU AI Act schafft einen dringend notwendigen Rahmen für den verantwortungsvollen Umgang mit KI. Dennoch ist es wichtig, eine nüchterne Perspektive zu bewahren und den Fokus auf reale Anwendung statt auf Hype zu legen. Professor Dr. Ralf Otte von der Technischen Hochschule Ulm warnt zurecht vor einem „ungesunden Hype“ um KI. Es ist eine Illusion zu glauben, KI werde menschliche Arbeitskraft vollständig ersetzen. Realistisch ist, dass Menschen mit fundiertem KI-Know-how jene ohne dieses Wissen verdrängen werden. Dies unterstreicht die Dringlichkeit der bereits erwähnten KI-Kompetenz.

Ein weiterer kritischer Aspekt, der in der Praxis oft unterschätzt wird, ist die Zuverlässigkeit von KI-Systemen. Eine Studie zur „KI-Halluzination“ aus April 2026 zeigte, dass Large Language Models wie ChatGPT bei der Recherche über mittelständische Unternehmen im DACH-Raum alarmierend unzuverlässig sind. 56 Prozent der Unternehmen wurden nicht genannt, 96 Prozent der genannten Geschäftsführer waren frei erfunden und nur 3 Prozent der getesteten Unternehmen wurden vollständig korrekt dargestellt. Solche Ergebnisse betonen die absolute Notwendigkeit menschlicher Kontrolle und kritischer Bewertung von KI-generierten Inhalten. Verlassen Sie sich nicht blind auf die von KI bereitgestellten Informationen, insbesondere wenn es um geschäftskritische Entscheidungen, Schulungsunterlagen oder Unternehmensmitteilungen geht. Die Qualität und Richtigkeit der Daten und Ergebnisse muss stets von qualifiziertem Personal verifiziert werden. Dies ist ein Kernprinzip verantwortungsvoller KI-Nutzung, das der AI Act zwar indirekt fördert, aber letztlich in der Verantwortung jedes einzelnen Unternehmens liegt.

Der AI Act ist keine Innovationsbremse, sondern ein Qualitätsmerkmal. Er zwingt Unternehmen, ihre KI-Anwendungen von Anfang an mit Blick auf Sicherheit, Transparenz und Ethik zu konzipieren. Dies mag kurzfristig Aufwand bedeuten, führt aber langfristig zu robusteren, vertrauenswürdigeren und damit erfolgreicheren KI-Lösungen. Kapitel H vertritt die Ansicht, dass Befähigung statt Abhängigkeit der Schlüssel ist. Unternehmen sollten die Kontrolle über ihre KI-Strategie behalten und sich nicht von der Komplexität abschrecken lassen, sondern gezielt Wissen und Kompetenzen aufbauen.

Fazit: Jetzt handeln für eine sichere KI-Zukunft

Der EU AI Act läutet eine neue Ära der verpflichtenden KI-Governance ein, die alle DACH-Unternehmen, insbesondere den Mittelstand, tiefgreifend beeinflusst. Die kommenden Monate bis zur vollständigen Anwendung im August 2026 sind entscheidend für die Anpassung von Strategien, Prozessen und Unternehmenskulturen. Es ist jetzt an der Zeit, proaktiv zu handeln und eine strukturierte KI-Strategie zu entwickeln, die nicht nur die Compliance gewährleistet, sondern auch die effektive und sichere Nutzung der KI-Potenziale fördert.

Beginnen Sie mit einer Bestandsaufnahme Ihrer bestehenden und geplanten KI-Anwendungen. Kategorisieren Sie diese nach dem Risikomodell des AI Act und identifizieren Sie Hochrisiko-Systeme. Etablieren Sie eine interne KI-Governance, schulen Sie Ihre Mitarbeitenden in KI-Kompetenz und stellen Sie sicher, dass Datenschutz und Datensicherheit stets gewährleistet sind. Nutzen Sie die verfügbaren Förderprogramme, um die Transformation zu unterstützen. Wer jetzt handelt, positioniert sich nicht nur rechtssicher, sondern auch als vertrauenswürdiger und innovativer Akteur im Wettbewerb. Der EU AI Act ist eine Investition in die Zukunft und die Vertrauenswürdigkeit Ihrer KI-Lösungen.