EU AI Act: Pflichten und Strategien für den DACH-Mittelstand bis August 2026

Der EU AI Act, offiziell die Verordnung (EU) 2024/1689, ist verabschiedet und seine schrittweise Einführung wird den Einsatz von Künstlicher Intelligenz im DACH-Raum grundlegend verändern. Insbesondere ab dem 2. August 2026 treten zentrale Bestimmungen in Kraft, die nicht nur KI-Entwickler, sondern auch Anwender betreffen. Für den Mittelstand in Deutschland, Österreich und der Schweiz bedeutet dies eine dringende Notwendigkeit zur Anpassung. Unternehmen, die bisher KI-Systeme wie ChatGPT, Copilot oder Claude ohne umfassende interne Richtlinien nutzten, stehen vor weitreichenden Aufgaben. Es geht darum, Transparenz, Datensicherheit und menschliche Kontrolle sicherzustellen. Die Zeit des unverbindlichen Experimentierens ist vorbei; 2026 wird das Jahr, in dem KI-Compliance zur unternehmerischen Realität wird. Das frühzeitige Verstehen und Umsetzen der neuen Vorgaben ist entscheidend, um empfindliche Bußgelder und Reputationsschäden zu vermeiden und die Chancen der KI verantwortungsvoll zu nutzen. Kapitel H beleuchtet die Kernpunkte und bietet konkrete Orientierung für die kommenden Monate.

Der EU AI Act: Ein risikobasierter Ansatz und der Zeitplan

Die Europäische Union hat mit dem AI Act ein weltweit beachtetes Regelwerk geschaffen, das einen risikobasierten Ansatz verfolgt. Dieser Ansatz kategorisiert KI-Systeme in vier Stufen: unannehmbares Risiko, Hochrisiko, geringes Risiko und minimales Risiko. Systeme mit unannehmbarem Risiko sind grundsätzlich verboten. Hierzu gehören beispielsweise Systeme zur Social Scoring durch staatliche Stellen oder bestimmte Formen biometrischer Echtzeit-Identifizierung im öffentlichen Raum. Systeme mit minimalem Risiko unterliegen hingegen nur wenigen zusätzlichen Vorschriften. Die eigentliche Komplexität und die weitreichenden Pflichten ergeben sich für Unternehmen aus den Kategorien des geringen und insbesondere des hohen Risikos.

Die gestaffelte Anwendbarkeit der Verordnung erfordert einen klaren Blick auf die Fristen. Der 2. August 2026 ist ein Schlüsseldatum. Ab diesem Zeitpunkt treten zahlreiche Bestimmungen in Kraft, die den normalen Unternehmensalltag im DACH-Raum direkt beeinflussen. Dies gilt auch für Unternehmen, die selbst keine KI entwickeln, sondern lediglich existierende KI-Systeme als Nutzer einsetzen. Die Verordnung unterscheidet hierbei nicht nur nach der Art der Anwendung, sondern auch nach der Rolle des Unternehmens, sei es als Anbieter, Importeur, Händler oder Betreiber eines KI-Systems. Jede dieser Rollen bringt spezifische Verantwortlichkeiten mit sich.

Zu den unmittelbar wirksamen Pflichten, die ab dem 2. August 2026 relevant werden, zählen im Wesentlichen drei Kernbereiche:

Erstens: Die KI-Schulungspflicht. Unternehmen müssen die KI-Kompetenz ihrer Mitarbeiterinnen und Mitarbeiter sicherstellen, sofern diese mit Künstlicher Intelligenz arbeiten. Dies ist bereits eine aktuelle Anforderung. Es geht nicht nur darum, grundlegende Bedienkenntnisse zu vermitteln, sondern ein tiefgreifendes Verständnis für die Funktionsweise, die Grenzen und die potenziellen Risiken von KI-Anwendungen zu schaffen. Eine unzureichende Schulung kann zu Fehlern, falschen Interpretationen und im schlimmsten Fall zu fehlerhaften Geschäftsentscheidungen führen, die rechtliche oder finanzielle Konsequenzen haben.

Zweitens: Die Transparenzpflicht. Inhalte und Dialoge, die mittels KI erstellt wurden, müssen in vielen Fällen gekennzeichnet werden. Diese Regelung wird ab dem 2. August 2026 verbindlich. Dies betrifft insbesondere den Einsatz von Chatbots in der Kundenkommunikation, die eine menschliche Interaktion simulieren könnten. Auch Deep Fakes oder andere synthetische Medien, die irrtümlich für authentische menschliche Kommunikation oder reale Darstellungen gehalten werden könnten, unterliegen dieser Kennzeichnungspflicht. Ziel ist es, die Nutzer nicht über die Herkunft der Informationen zu täuschen und eine klare Unterscheidung zwischen menschlicher und maschineller Interaktion zu ermöglichen. Für Unternehmen bedeutet dies, alle Berührungspunkte mit generativer KI kritisch zu prüfen und entsprechende Hinweismechanismen zu implementieren.

Drittens: Datenschutz und Sicherheit. Die Verordnung verschärft die Anforderungen an den Datenschutz und die Cybersicherheit von KI-Systemen. Unternehmen müssen gewährleisten, dass eingesetzte KI-Tools keine sensiblen oder personenbezogenen Daten unbemerkt in externe Systeme übertragen. Die Vorgaben der Datenschutz-Grundverordnung (DSGVO) bleiben dabei vollumfänglich erhalten und werden durch den AI Act ergänzt und teilweise präzisiert. Dies hat weitreichende Auswirkungen auf die Auswahl und den sicheren Umgang mit Drittanbieter-KI-Tools. Eine sorgfältige Prüfung der Datenverarbeitungsverträge und der technischen Sicherheitsmaßnahmen der eingesetzten KI-Dienste ist unerlässlich. Ein Versäumnis in diesem Bereich kann nicht nur hohe Bußgelder nach sich ziehen, sondern auch das Vertrauen von Kunden und Mitarbeitern nachhaltig beschädigen.

Spezifische Pflichten für Hochrisiko-KI-Systeme

Während die allgemeinen Pflichten bereits ab August 2026 greifen, gelten für sogenannte Hochrisiko-KI-Systeme noch strengere und umfassendere Regeln. Diese Systeme, definiert durch ihre potenziell erheblichen Auswirkungen auf grundlegende Rechte, Sicherheit oder die Lebensumstände von Personen, werden in kritischen Bereichen eingesetzt. Beispiele hierfür sind der Einsatz im Personalwesen zur Bewerberauswahl oder Leistungsevaluation, bei der Kreditwürdigkeitsprüfung von Verbrauchern, in der Steuerung kritischer Infrastrukturen wie Energie- oder Verkehrsnetze oder bei der Bewertung von Leistung und Verhalten am Arbeitsplatz. Die Anwendbarkeit dieser spezifischen Pflichten für Hochrisiko-KI-Systeme ist für den 2. Dezember 2027 vorgesehen. Eine weitere Fristverlängerung bis zum 2. August 2028 gilt für Systeme, die als Sicherheitskomponenten unter EU-Sektorrecht fallen, etwa im Maschinenbau oder in der Medizintechnik.

Die Anforderungen an Hochrisiko-KI sind vielfältig und anspruchsvoll:

Erstens: Wirksame menschliche Aufsicht. Der Arbeitgeber oder Betreiber eines solchen Systems muss eine effektive menschliche Kontrolle gewährleisten. Dies bedeutet, dass KI-Systeme nicht autonom über kritische Vorgänge entscheiden dürfen, sondern die Möglichkeit zur Intervention und Korrektur durch geschultes Personal gegeben sein muss. Die menschliche Aufsicht soll sicherstellen, dass mögliche Fehler, Diskriminierungen oder unbeabsichtigte Konsequenzen der KI erkannt und korrigiert werden können. Es erfordert klare Prozesse und Verantwortlichkeiten.

Zweitens: Vorabinformation von Beschäftigten. Mitarbeiter und ihre Vertretungen, wie Betriebs- oder Personalräte, müssen vor dem Einsatz von Hochrisiko-KI-Systemen umfassend informiert werden. Diese Informationspflicht umfasst die Art der KI-Anwendung, ihren Zweck, die betroffenen Daten und die vorgesehenen Kontrollmechanismen. Dies dient dem Schutz der Arbeitnehmerrechte und fördert die Akzeptanz von KI-Systemen im Unternehmen. Eine frühzeitige Einbindung der Arbeitnehmervertretungen ist hierbei ratsam und oft auch rechtlich vorgeschrieben.

Drittens: Risikobewertung und interne Governance. Es ist eine sauber dokumentierte Risikobewertung und interne Governance für den Einsatz von General-Purpose-AI, insbesondere Hochrisiko-KI, erforderlich. Unternehmen müssen potenzielle Risiken wie Diskriminierung, Datenmissbrauch oder Fehlentscheidungen identifizieren, bewerten und Maßnahmen zu deren Minderung ergreifen. Dies schließt die Einrichtung interner Prozesse für das Management von KI-Systemen, die Zuweisung von Verantwortlichkeiten und die regelmäßige Überprüfung der Systeme ein. Eine robuste Governance-Struktur ist hier der Schlüssel zur Einhaltung der Vorschriften.

Viertens: Konformitätsbewertung. Anbieter von Hochrisiko-KI-Systemen müssen eine Konformitätsbewertung durchführen. Diese soll die Einhaltung der strengen Anforderungen an Datenqualität, Robustheit, Genauigkeit und Cybersicherheit nachweisen. Für Betreiber solcher Systeme bedeutet dies, dass sie bei der Beschaffung genau prüfen müssen, ob die Anbieter diese Nachweise erbringen können und die Systeme den EU-Anforderungen entsprechen. Eine unabhängige Prüfung oder Zertifizierung kann hierbei eine wichtige Rolle spielen, um die Einhaltung der Standards zu gewährleisten.

Nationale Umsetzung in Deutschland: Das KI-MIG

Parallel zur europäischen Verordnung arbeitet die deutsche Bundesregierung an einem nationalen Umsetzungsgesetz, dem