EU AI Act: Was die neuen Regeln für Unternehmen im DACH-Raum bedeuten

Die Arbeitswelt im deutschsprachigen Raum steht vor einer signifikanten Veränderung, getrieben durch die gestaffelte Inkraftsetzung des EU AI Acts. Diese Regulierung, die als weltweit erste ihrer Art gilt, zwingt Unternehmen in Deutschland, Österreich und der Schweiz dazu, ihre Strategien im Umgang mit Künstlicher Intelligenz grundlegend zu überdenken. Besonders relevant sind die bereits am 6. April 2026 in Kraft getretenen Verbote bestimmter KI-Praktiken und die bis August 2026 anstehenden umfassenden Compliance-Anforderungen für Hochrisiko-KI-Systeme. Dies ist keine theoretische Übung, sondern eine konkrete gesetzliche Realität, die weitreichende wirtschaftliche und operative Konsequenzen hat.

Der EU AI Act, dessen allgemeine Bestimmungen am 1. August 2024 in Kraft traten, entfaltet seine volle Wirkung über eine gestaffelte Übergangsphase. Die ersten, entscheidenden Bestimmungen wurden am 6. April 2026 anwendbar. Weitere Kernpflichten, insbesondere für Hochrisiko-Systeme, treten ab dem 2. August 2026 in Kraft. Für alle Unternehmen im DACH-Raum, die KI-Systeme entwickeln, bereitstellen oder nutzen, ist dies ein klarer Aufruf zum Handeln. Die Zeit für eine abwartende Haltung ist vorbei. Es geht darum, die technologische Innovation mit rechtlicher Sicherheit zu verbinden und so nachhaltige Wettbewerbsvorteile zu schaffen.

Was seit dem 6. April 2026 gilt: Verbotene KI-Praktiken

Seit dem 6. April 2026 sind spezifische KI-Praktiken, die als inakzeptabel riskant eingestuft werden, innerhalb der Europäischen Union streng verboten. Diese Verbote sind eine direkte Reaktion auf ethische Bedenken und potenzielle Grundrechtsverletzungen, die durch bestimmte KI-Anwendungen entstehen können. Unternehmen müssen sich dieser Verbote bewusst sein und umgehend prüfen, ob ihre aktuellen oder geplanten KI-Systeme betroffen sind. Ein Verstoß kann existenzbedrohende Folgen haben.

Zu den verbotenen Praktiken zählen unter anderem:

* Social Scoring durch Staaten: Die Bewertung oder Klassifizierung von Personen durch öffentliche Stellen auf Basis ihres sozialen Verhaltens, ihrer Persönlichkeitsmerkmale oder ihrer bekannten oder prognostizierten individuellen Merkmale, die zu einem schädlichen oder unfairen Umgang führen. Dies umfasst beispielsweise Systeme, die Bürgern bestimmte Rechte oder Dienstleistungen verweigern, basierend auf einer automatisierten Bewertung ihres gesellschaftlichen Verhaltens. * Manipulative KI-Systeme: KI-Systeme, die mit subliminalen Techniken die Entscheidungsfreiheit von Personen unterlaufen oder deren Verhalten in einer Weise beeinflussen, die physischen oder psychischen Schaden verursachen kann. Ein Beispiel hierfür wären Chatbots, die auf eine Weise gestaltet sind, dass sie Nutzer gezielt zu für diese nachteiligen Entscheidungen drängen, indem sie psychologische Schwächen ausnutzen. * Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Der Einsatz von Emotionserkennungssystemen in diesen sensiblen Umfeldern ist untersagt, da er die Privatsphäre verletzt und zu Diskriminierung führen kann. Unternehmen dürfen also keine KI einsetzen, die die Emotionen ihrer Mitarbeitenden analysiert, um beispielsweise deren Leistung oder Engagement zu beurteilen. * Biometrische Massenüberwachung in Echtzeit an öffentlich zugänglichen Orten: Der Einsatz von biometrischen Identifizierungssystemen in Echtzeit für Strafverfolgungszwecke in öffentlich zugänglichen Räumen ist grundsätzlich verboten, es sei denn, es handelt sich um eng definierte Ausnahmen zur Verfolgung schwerer Straftaten oder zum Schutz vor terroristischen Angriffen. Eine automatische Erkennung von Personen in grossen Menschenmengen fällt demnach unter dieses Verbot.

Die Konsequenzen bei Verstössen gegen diese Verbote sind gravierend. Es drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes eines Konzerns, je nachdem, welcher Betrag höher ist. Diese Sanktionen übertreffen die Höchstwerte der Datenschutz-Grundverordnung (DSGVO) und unterstreichen die Ernsthaftigkeit, mit der die EU diese Regelungen durchsetzt. Unternehmen sind daher gut beraten, ihre KI-Anwendungen unverzüglich einer strengen Prüfung zu unterziehen und gegebenenfalls anzupassen oder einzustellen.

Der nächste Meilenstein: August 2026 und Hochrisiko-KI-Systeme

Der 2. August 2026 markiert den Beginn der Anwendbarkeit der Regeln für die meisten verbleibenden Verpflichtungen, insbesondere für Hochrisiko-KI-Systeme. Dies ist der Zeitpunkt, an dem die detaillierten Compliance-Anforderungen für eine Vielzahl von branchenrelevanten KI-Anwendungen verbindlich werden. Hochrisiko-KI-Systeme sind solche, die in kritischen Bereichen eingesetzt werden und potenziell erhebliche Risiken für die Gesundheit, Sicherheit oder die Grundrechte von Personen darstellen. Der Gesetzgeber definiert diese Bereiche präzise, um Unternehmen Klarheit zu verschaffen.

Typische Anwendungsfelder für Hochrisiko-KI-Systeme sind unter anderem:

* Personalmanagement: KI-Systeme, die für die Rekrutierung, Leistungsbewertung, Beförderung oder Kündigung von Mitarbeitenden eingesetzt werden. Dies umfasst beispielsweise automatisierte Bewerberauswahlsysteme oder Tools zur Überwachung der Mitarbeiterleistung. * Kritische Infrastruktur: KI-Systeme, die in der Verwaltung und im Betrieb kritischer Infrastrukturen wie Energieversorgung, Wasserwirtschaft oder Verkehr zum Einsatz kommen und deren Ausfall schwerwiegende Folgen hätte. * Gesundheitsversorgung: KI-Systeme, die zur Diagnose, Behandlung oder zur Überwachung von Patienten eingesetzt werden, wie etwa bildgebende Verfahren zur Erkennung von Krankheiten oder KI-gestützte Therapieempfehlungen. * Bildung: KI-Systeme, die zur Bewertung des Lernfortschritts, zur Zuteilung von Bildungsressourcen oder zur Steuerung von Lernprozessen verwendet werden. * Kreditvergabe und Versicherung: KI-Systeme, die die Kreditwürdigkeit von Personen bewerten oder über den Abschluss von Versicherungsverträgen entscheiden.

Für Anbieter und Betreiber dieser Hochrisiko-Systeme gelten umfassende Anforderungen, die über den gesamten Lebenszyklus der KI-Anwendung hinweg erfüllt und nachgewiesen werden müssen. Dazu gehören:

* Risikomanagementsysteme: Die Implementierung und kontinuierliche Aufrechterhaltung eines soliden Risikomanagementsystems ist obligatorisch. Es muss potenzielle Risiken identifizieren, bewerten und mindern, die von der KI ausgehen können. * Daten-Governance: Es werden strenge Anforderungen an die Qualität, Repräsentativität und Minimierung von Verzerrungen (Bias) in den Datensätzen gestellt, die für das Training und den Betrieb der KI verwendet werden. Dies ist eine erhebliche Ergänzung und Präzisierung zu den bestehenden DSGVO-Anforderungen, da es nicht nur um den Schutz personenbezogener Daten geht, sondern auch um die Fairness und Objektivität der KI-Entscheidungen. * Technische Dokumentation und Transparenz: Unternehmen müssen eine umfassende technische Dokumentation erstellen, die vor dem Inverkehrbringen des Systems eine Konformitätsbewertung ermöglicht. Diese Dokumentation muss die Nachvollziehbarkeit der KI-Entscheidungen gewährleisten und detaillierte Informationen über die Funktionsweise des Systems enthalten. * Menschliche Aufsicht: Hochrisiko-Systeme müssen so konzipiert sein, dass eine effektive menschliche Aufsicht möglich ist. Das bedeutet, dass Menschen in der Lage sein müssen, die Entscheidungen der KI zu verstehen, zu interpretieren und bei Bedarf zu korrigieren oder zu intervenieren. * Konformitätsbewertungen und CE-Kennzeichnung: Bis August 2026 müssen alle Konformitätsbewertungen abgeschlossen, die technischen Dokumentationen finalisiert und die CE-Kennzeichnung angebracht werden. Darüber hinaus müssen Hochrisiko-Systeme in einer zentralen EU-Datenbank registriert werden, um Transparenz und Überwachung zu gewährleisten.

Nationale Umsetzung in Deutschland: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG)

Während der EU AI Act den Rahmen vorgibt, obliegt die nationale Umsetzung den Mitgliedstaaten. Deutschland hat hierfür am 11. Februar 2026 den Regierungsentwurf für das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) verabschiedet. Dieses Gesetz schafft kein eigenes materielles KI-Recht, sondern regelt primär die organisatorische Umsetzung und die Zuständigkeiten für die Durchsetzung des EU AI Acts in Deutschland. Es legt fest, welche Behörden für die Überwachung und Kontrolle zuständig sind und wie die Innovationsförderung ausgestaltet wird.

Eine zentrale Rolle in diesem Gefüge spielt die Bundesnetzagentur (BNetzA). Sie wird als zentrales Koordinierungs- und Kompetenzzentrum (KoKIVO) fungieren und zudem als Innovationsförderer agieren. Die BNetzA ist die zentrale Marktüberwachungsbehörde für KI-Systeme in Deutschland, der einzige Ansprechpartner für das europäische KI-Amt (EU AI Office) und die zentrale Beschwerdestelle für Bürger und Unternehmen. Diese Konzentration von Aufgaben soll eine effiziente und einheitliche Anwendung der Regulierung sicherstellen.

Es ist jedoch wichtig zu beachten, dass bestehende sektorale Aufsichtsbehörden ihre spezifischen Kompetenzen behalten. Beispielsweise wird die BaFin weiterhin für die Regulierung von KI-Anwendungen im Finanzsektor zuständig sein, während die BNetzA die übergreifende Marktüberwachung verantwortet. Diese Aufgabenteilung erfordert eine enge Koordination zwischen den verschiedenen Behörden, um Doppelungen zu vermeiden und eine kohärente Rechtsanwendung zu gewährleisten.

Das KI-MIG sieht zudem die Einrichtung von KI-Reallaboren vor. Diese Testumgebungen sollen kleinen und mittleren Unternehmen (KMU) sowie Start-ups und Forschungseinrichtungen einen prioritären Zugang ermöglichen. Ziel ist es, Innovationen zu fördern und regulatorische Anforderungen frühzeitig in einer kontrollierten Umgebung zu klären, bevor Produkte oder Dienstleistungen auf den Markt gebracht werden. Dies ist ein wichtiger Schritt, um dem deutschen Mittelstand die notwendige Unterstützung bei der Adaption der neuen KI-Regulierung zu bieten und die Wettbewerbsfähigkeit zu stärken.

Die Schweizer Perspektive: Eigenständigkeit unter Sogwirkung

Die Schweiz ist als Nicht-EU-Mitgliedstaat nicht direkt an den EU AI Act gebunden. Der Bundesrat hat angekündigt, einen eigenen Weg bei der KI-Regulierung zu verfolgen und prioritär die Ratifikation der Rahmenkonvention des Europarats zu KI voranzutreiben. Anstatt den EU AI Act