EU AI Act: Schatten-KI und Governance als Top-Priorität für DACH-Mittelstand

Die digitale Transformation schreitet rasant voran, getrieben von Innovationen im Bereich der Künstlichen Intelligenz. Doch mit den Chancen wachsen auch die Herausforderungen, insbesondere im regulatorischen Umfeld. Die wohl wichtigste und weitreichendste KI-Nachricht, die die Arbeitswelt deutschsprachiger Unternehmen aktuell konkret betrifft, ist die zunehmende Dringlichkeit und Konkretisierung der Auswirkungen des EU AI Act und der damit verbundenen Notwendigkeit einer robusten KI-Governance und Datensicherheit. Was lange als ferne Vision schien, ist nun harte Realität geworden, und viele Unternehmen, insbesondere im Mittelstand, stehen vor der Aufgabe, ihre KI-Strategien und -Nutzung entsprechend anzupassen.

Der EU AI Act ist nicht erst gestern verabschiedet worden, aber aktuelle Veröffentlichungen und Analysen zeigen, dass der Ernst der Lage und die Umsetzungspflichten im DACH-Raum jetzt erst richtig bei den Unternehmen ankommen. Die Notwendigkeit, sogenannter Schatten-KI entgegenzuwirken und datenschutzkonforme KI-Strategien zu implementieren, steht in direktem Zusammenhang mit dieser bahnbrechenden Regulierung. Für den Mittelstand bedeutet dies eine signifikante Veränderung im Umgang mit KI, weg von unkontrollierter Experimentierfreude hin zu einem strukturierten, verantwortungsvollen Ansatz.

Der EU AI Act: Ein umfassender Rechtsrahmen wird Alltag im DACH-Mittelstand

Der EU AI Act, das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz, ist seit Februar 2025 verbindlich in Kraft. Für Unternehmen, die KI entwickeln, einsetzen oder vertreiben, bedeutet dies, dass sie jetzt handeln müssen. Die Annahme, dass diese Vorschriften irgendwie an ihnen vorbeigehen könnten, erweist sich als trügerisch. Die Gesetzgebung betrifft den gesamten Lebenszyklus von KI-Systemen, von der Entwicklung über den Einsatz bis zur Wartung, und zielt darauf ab, die Sicherheit und die Einhaltung ethischer Grundsätze zu gewährleisten.

Das Herzstück der Verordnung ist ein risikobasierter Ansatz. KI-Systeme werden je nach ihrem Gefährdungspotenzial in verschiedene Kategorien eingeteilt, wodurch sich unterschiedliche Compliance-Anforderungen ergeben:

1. Inakzeptables Risiko: Systeme, die grundlegende Rechte verletzen, sind verboten. Hierzu zählen beispielsweise Social-Scoring-Systeme staatlicher Behörden, manipulative KI-Systeme oder biometrische Echtzeit-Überwachung im öffentlichen Raum mit nur sehr engen Ausnahmen. Diese Verbote gelten bereits seit Februar 2025 und stellen eine klare rote Linie dar.

2. Hochrisiko-KI: Diese Kategorie betrifft die meisten Unternehmen im DACH-Raum direkt. Es handelt sich um KI-Systeme, die in sensiblen Bereichen eingesetzt werden und erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Beispiele hierfür sind KI in der Personalentscheidung wie bei Recruiting-Prozessen, Leistungsbewertungen oder Kündigungen. Ebenso fallen Systeme zur Kreditvergabe und Bonitätsbewertung oder KI-Anwendungen in medizinischen Diagnosen und kritischen Infrastrukturen in diese Kategorie. Für solche Systeme gelten strenge Compliance-Anforderungen, darunter Konformitätsbewertungen, Risikomanagementsysteme, Daten-Governance-Regeln, Transparenzpflichten und menschliche Aufsicht.

3. KI mit geringem oder minimalem Risiko: Diese Systeme, wie beispielsweise Chatbots oder KI-basierte Empfehlungssysteme, unterliegen weniger strengen Vorgaben. Dennoch empfiehlt der AI Act auch hier eine freiwillige Einhaltung von Transparenzstandards, um das Vertrauen der Nutzer zu stärken.

Die Auswirkungen für Unternehmen sind weitreichend. Sie müssen nicht nur die Transparenz und Erklärbarkeit ihrer KI-Systeme gewährleisten, sondern sich auch der Haftung bei Schäden bewusst sein. Die Datenverarbeitungspraktiken müssen im Hinblick auf den Schutz personenbezogener Daten und die Einhaltung der DSGVO in Deutschland und Österreich beziehungsweise des revidierten DSG in der Schweiz überprüft und angepasst werden. Gleichzeitig fördert der AI Act Innovation und Investitionen in verantwortungsvolle KI und betont die Schulung und Sensibilisierung der Mitarbeiter, um eine sichere und effektive Nutzung zu ermöglichen.

Schatten-KI als akutes Compliance-Risiko im DACH-Mittelstand

Parallel zur Etablierung des EU AI Act wird das Problem der sogenannten „Schatten-KI“ immer virulenter. Schatten-KI beschreibt die ungenehmigte oder unkontrollierte Nutzung von KI-Tools und -Anwendungen durch Mitarbeiter im Unternehmenskontext. Eine aktuelle Bitkom-Untersuchung von Mai 2026 zeigt, dass bereits 41 Prozent der deutschen Unternehmen ab 20 Beschäftigten KI nutzen, ein massiver Anstieg von 17 Prozent innerhalb von nur zwölf Monaten. Mit diesem rasanten Wachstum nimmt auch die Schatten-KI massiv zu.

Dieses Phänomen birgt hohe Datenschutz- und Sicherheitsrisiken. Mitarbeiter geben oft sensible und vertrauliche Unternehmensinformationen wie Finanzdaten, strategische Pläne oder E-Mail-Verläufe in öffentliche KI-Tools ein, um Texte zu generieren, Zusammenfassungen zu erstellen oder komplexe Probleme zu lösen. Die Motivation ist oft die Steigerung der Produktivität und Effizienz. Geraten diese Informationen jedoch in die falschen Hände oder werden sie von den Anbietern der KI-Tools weiterverwendet und trainiert, kann dies zu erheblichen Schäden führen. Dies reicht von Wettbewerbsnachteilen und Reputationsverlust bis hin zu massiven finanziellen Schäden durch Datenlecks und Compliance-Verstöße gegen Datenschutzgesetze und den EU AI Act.

Die deutsche Wirtschaft betont, dass Unternehmen, die proaktiv handeln und klare interne Regeln schaffen, technische Schutzmaßnahmen etablieren und Mitarbeitende für die Risiken sensibilisieren, nicht nur Rechtssicherheit schaffen. Sie stärken auch das Vertrauen von Kunden, Partnern und Mitarbeitenden. Datenschutz ist hier kein reines Compliance-Thema, sondern ein strategischer Erfolgsfaktor im verantwortungsvollen Umgang mit Künstlicher Intelligenz. Das Risiko von Schatten-KI muss als ernsthafte Bedrohung für die digitale Sicherheit und Compliance verstanden und aktiv gemanagt werden.

Konkrete Handlungsempfehlungen für DACH-Unternehmen

Um den Anforderungen des EU AI Act gerecht zu werden und die Risiken der Schatten-KI zu minimieren, müssen Unternehmen im DACH-Raum jetzt konkrete Schritte einleiten. Die folgenden Empfehlungen bieten einen pragmatischen Fahrplan:

1. Inventarisierung und Risikoklassifizierung von KI-Systemen: Der erste Schritt ist eine umfassende Bestandsaufnahme. Unternehmen sollten systematisch erfassen, welche KI-Systeme bereits im Einsatz sind. Dies schliesst explizit auch die Schatten-KI ein, die oft unbemerkt im Hintergrund läuft. Alle identifizierten Systeme müssen risikobasiert gemäß den Kriterien des EU AI Act eingeordnet werden. Ohne diese Einordnung können weder angemessene Kontrollen definiert noch Aufsichts- oder Auditfragen konsistent beantwortet werden. Ein transparentes Verzeichnis der KI-Anwendungen ist dabei unerlässlich.

2. Etablierung einer robusten KI-Governance: Compliance mit dem AI Act ist eine Führungsaufgabe, die eine funktionsübergreifende Zusammenarbeit erfordert. Rechtsabteilung, HR, IT, Datenschutzbeauftragte und Fachabteilungen müssen gemeinsam agieren. Es müssen klare Rollen, Zuständigkeiten, Freigabeprozesse für den Einsatz neuer KI-Tools und Logging-Konzepte für die Nutzung bestehender Systeme etabliert werden. Eine zentrale Governance-Struktur stellt sicher, dass Entscheidungen fundiert getroffen und regulatorische Anforderungen systematisch umgesetzt werden.

3. Anpassung der Daten-Governance und Datenschutz-Maßnahmen: Der AI Act betont den Schutz personenbezogener Daten. Unternehmen müssen ihre Datenverarbeitungspraktiken überprüfen und sicherstellen, dass sie den neuen Anforderungen der DSGVO und des revidierten DSG in der Schweiz entsprechen. Dies beinhaltet die Implementierung technischer und organisatorischer Maßnahmen (TOMs) wie Verschlüsselung, Pseudonymisierung und strenge Zugriffskontrollen. Der Grundsatz „Privacy by Design“ sollte bereits in der Konzeption von KI-Systemen verankert werden. Bei hohem Risiko sind zudem Datenschutz-Folgenabschätzungen (DSFA) verpflichtend. Für Schweizer KMU bedeutet dies konkret, dass das technologieneutral formulierte DSG auch auf KI-gestützte Datenbearbeitungen direkt anwendbar ist und bei Drittanbietern Informationspflichten, Auftragsbearbeitungsverträge und die Sicherstellung eines angemessenen Datenschutzniveaus bei Auslandsübermittlungen gelten.

4. Schulung und Sensibilisierung der Mitarbeiter: Um die Risiken der Schatten-KI zu minimieren und eine datenschutzkonforme Nutzung sicherzustellen, sind klare Nutzungsrichtlinien für Mitarbeitende und regelmäßige Schulungen unerlässlich. Diese Schulungen müssen über die Funktionsweise von KI-Tools aufklären, aber vor allem die Risiken der Datenweitergabe und die korrekte Handhabung von Unternehmensdaten im Kontext von KI-Anwendungen vermitteln. Eine offene Kommunikationskultur fördert das Verständnis und die Akzeptanz der neuen Regeln.

5. Prüfung und Auswahl von KI-Anbietern: Unternehmen müssen sorgfältig prüfen, welche externen KI-Tools und -Dienste genutzt werden. Wichtige Fragen betreffen den Speicherort von Daten, die Gerichtsbarkeit des Anbieters (insbesondere bei US-Anbietern hinsichtlich des Cloud Acts), den Abschluss von Datenverarbeitungsvereinbarungen (DVV) und die Einhaltung relevanter regulatorischer Vorgaben wie ISO 27001 Zertifizierungen. Chinesische KI-Modelle gelten aufgrund fehlender DSGVO-Konformität und weitreichender Zugriffsrechte chinesischer Behörden auf Daten als besonders kritisch und sollten mit grösster Vorsicht oder gar nicht eingesetzt werden.

6. Schaffung einer soliden digitalen Grundlage: Für viele mittelständische Unternehmen, die KI erfolgreich und compliant einsetzen wollen, ist es entscheidend, zunächst Systembrüche und Datensilos aufzubrechen. Eine integrierte IT-Landschaft mit einem sauber strukturierten Datenfundament ist die Basis für jede erfolgreiche KI-Implementierung. Ohne diese solide Grundlage wird der KI-Einsatz höchstwahrscheinlich keine zufriedenstellenden Ergebnisse erzielen und zudem die Compliance erschweren.

Branchenspezifische Implikationen und praktische Beispiele

Der EU AI Act und die Notwendigkeit der Compliance betreffen alle Branchen. Besonders regulierte Bereiche wie das Finanzwesen, das Gesundheitswesen oder die Personalverwaltung sind stark betroffen, da dort oft Hochrisiko-KI-Systeme zum Einsatz kommen, die direkten Einfluss auf Individuen haben.

Im Finanzwesen werden bereits heute KI-Agenten vorgestellt, die Finanzteams aktiv bei Aufgaben wie Zahlungserinnerungen, der Genehmigung von Ausgaben oder der Analyse von Cashflows unterstützen. Ein Beispiel ist der Sage Intacct Finance Intelligence Agent. Hierbei verbleibt die finale Entscheidung jedoch stets beim Menschen, und jede KI-generierte Empfehlung wird transparent mit den zugrunde liegenden Daten und Annahmen erläutert. Dies ist ein direktes Spiegelbild der Transparenz- und Erklärbarkeitsanforderungen des AI Act. Workday betont, dass KI in Finanzen die Planung dynamisch macht und Ineffizienzen sichtbar werden, aber nur wenn Datenflüsse stimmen und Silos aufgebrochen werden. Das unterstreicht die Notwendigkeit einer soliden Dateninfrastruktur, bevor KI ihr volles Potenzial entfalten kann.

Im Personalwesen (HR) können KI-Agenten die Lohn- und Gehaltsabrechnung automatisieren, die Risikoüberwachung bei Personalprozessen verbessern und im Recruiting Lebensläufe analysieren oder personalisierte Onboarding-Pläne entwickeln. KI-Systeme, die in Personalentscheidungen eingreifen, etwa bei der Vorauswahl von Bewerbern oder der Leistungsbewertung, sind als Hochrisiko-KI eingestuft und unterliegen strengen Anforderungen bezüglich Fairness, Diskriminierungsfreiheit und menschlicher Aufsicht. Eine aktuelle Studie zeigt zudem, dass Führungskräfte in der KI-Transformation Jobs und Rollen so gestalten wollen, dass Menschen mehr Eigenständigkeit bekommen und mit KI lernen können, anstatt Personal abzubauen. Dies unterstreicht die Bedeutung von Change Management und der proaktiven Einbindung der Mitarbeiter in den Veränderungsprozess.

Kritische Einordnung aus Kapitel-H-Sicht

Die Einführung des EU AI Act ist kein Luxus, sondern eine Notwendigkeit. Im DACH-Mittelstand wurde die Dringlichkeit oft unterschätzt, der Fokus lag auf der reinen Innovationskraft der KI. Nun holt die Realität die Unternehmen ein. Es ist nicht genug, KI-Tools explorativ einzusetzen. Der Weg zu einem erfolgreichen und nachhaltigen Einsatz von KI führt über eine fundierte Strategie, die regulatorische Anforderungen von Anfang an berücksichtigt. Wir beobachten, dass viele Unternehmen noch immer in der Phase der Analyse verharren oder einzelne Tools isoliert einführen, ohne ein übergreifendes Governance-Konzept. Dies ist kurzsichtig und birgt erhebliche Risiken.

KI ist nicht nur ein Innovationsbeschleuniger, sondern auch eine regulatorische Herausforderung. Die Gefahr von Schatten-KI, also der unkontrollierten Nutzung von KI-Tools durch Mitarbeiter, ist real und wird oft unterschätzt. Sie ist ein direktes Einfallstor für Datenlecks und kann empfindliche Bussgelder nach sich ziehen. Hier sind klare Richtlinien und Schulungen das Minimum, aber auch technische Lösungen zur Überwachung und Steuerung der KI-Nutzung sind erforderlich.

Unsere Erfahrung zeigt, dass der Mittelstand oft mit begrenzten Ressourcen und fehlender interner Expertise konfrontiert ist. Daher ist es entscheidend, pragmatisch vorzugehen. Beginnen Sie mit der Inventarisierung, klassifizieren Sie Ihre KI-Systeme und etablieren Sie eine einfache, aber wirksame Governance. Es geht nicht darum, von heute auf morgen perfekt zu sein, sondern darum, jetzt die ersten, entscheidenden Schritte zu unternehmen und eine Kultur des verantwortungsvollen KI-Einsatzes zu etablieren. Befähigung statt Abhängigkeit ist unser Credo. Das bedeutet, dass Unternehmen nicht nur auf externe Berater vertrauen sollten, sondern auch eigene Kompetenzen im Bereich KI-Governance und Datensicherheit aufbauen müssen. Nur so können sie langfristig von den Vorteilen der KI profitieren und gleichzeitig regulatorische Fallstricke vermeiden.

Fazit

Die wichtigste KI-News für den DACH-Arbeitsmarkt in den letzten 24 bis 48 Stunden ist nicht ein einzelnes neues Tool, sondern die zunehmende Realisierung und die daraus resultierende Dringlichkeit, die Anforderungen des EU AI Act und der damit verbundenen Datenschutzgesetze ernst zu nehmen und proaktiv umzusetzen. Der Aufstieg der Schatten-KI verdeutlicht, dass die Regulierung nicht nur für Entwickler, sondern auch für Anwender von KI von entscheidender Bedeutung ist.

Unternehmen, die jetzt in eine fundierte KI-Governance, Datensicherheit und Mitarbeiterschulung investieren, verschaffen sich nicht nur regulatorische Sicherheit. Sie erzielen auch einen entscheidenden Wettbewerbsvorteil in einem zunehmend von KI geprägten Marktumfeld. Die Zeit der rein explorativen KI-Nutzung ist vorbei. Die Ära der verantwortungsvollen und strategisch verankerten KI-Einführung hat begonnen. Wer diese Entwicklung verschläft, riskiert nicht nur hohe Bussgelder, sondern auch den Verlust von Vertrauen und Wettbewerbsfähigkeit.