EU AI Act: Stichtag 2026 und Pflichten für DACH-Unternehmen

Der Einsatz Künstlicher Intelligenz (KI) hat in den letzten Jahren rasant zugenommen und ist aus dem modernen Geschäftsleben nicht mehr wegzudenken. Doch mit dem Potenzial wachsen auch die Anforderungen an eine verantwortungsvolle und rechtssichere Nutzung. Für Unternehmen im deutschsprachigen Raum rückt dabei ein entscheidendes Datum in den Fokus: der 2. August 2026. An diesem Tag werden weite Teile der EU-KI-Verordnung, auch bekannt als AI Act, verbindlich. Dies hat weitreichende Konsequenzen für alle Unternehmen, die KI-Systeme entwickeln, anbieten oder nutzen. Kapitel H beleuchtet die wichtigsten Änderungen, die anstehenden Pflichten und zeigt konkrete Handlungsempfehlungen auf, damit Sie Ihr Unternehmen rechtzeitig und strategisch auf die neue Ära der KI-Regulierung vorbereiten können.

Die EU-KI-Verordnung (Verordnung (EU) 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung Künstlicher Intelligenz. Sie trat zwar bereits am 1. August 2024 in Kraft, doch die meisten Bestimmungen werden gestaffelt angewendet. Der 2. August 2026 markiert nun den Stichtag, ab dem ein Großteil der zentralen Vorschriften greift. Für Unternehmen im DACH-Raum bedeutet dies, dass die bisherige Freiheit im Umgang mit KI-Technologien einer klaren regulatorischen Rahmung weicht. Wer sich nicht rechtzeitig anpasst, riskiert nicht nur rechtliche Konsequenzen, sondern auch empfindliche Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Dies unterstreicht die Dringlichkeit, sich jetzt intensiv mit den Anforderungen auseinanderzusetzen.

Der EU AI Act: Ein klarer Regulierungsrahmen mit gestaffelten Fristen

Der EU AI Act ist kein Papiertiger, sondern ein fundamentales Regelwerk, das die Entwicklung, den Einsatz und das Inverkehrbringen von KI-Systemen in der Europäischen Union massiv beeinflussen wird. Das Gesetz ist darauf ausgelegt, ein hohes Maß an Vertrauen in KI zu schaffen, indem es Risiken minimiert und gleichzeitig Innovation fördert. Es verfolgt einen risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt: inakzeptables Risiko, hohes Risiko, begrenztes Risiko und minimales Risiko. Systeme mit inakzeptablem Risiko, wie etwa manipulative KI-Systeme, die menschliches Verhalten unterschwellig beeinflussen, sind generell verboten. Die meisten Pflichten konzentrieren sich auf Systeme mit hohem und begrenztem Risiko.

Die gestaffelte Anwendung der Verordnung bedeutet, dass bestimmte Aspekte früher und andere später in Kraft treten. Die bereits seit dem 2. Februar 2025 geltende KI-Kompetenzpflicht für Mitarbeiter ist ein Beispiel dafür, wie frühzeitig erste Weichen gestellt wurden. Der 2. August 2026 ist jedoch der Tag, an dem die Transparenzpflichten und die wesentlichen Anforderungen an Hochrisiko-KI-Systeme breitflächig und unmittelbar wirksam werden. Dies gibt Unternehmen noch eine verbleibende Frist von etwas mehr als zwei Jahren, um ihre Prozesse und Systeme anzupassen. Die Zeit ist knapp, und eine strategische Planung ist unerlässlich, um die Compliance sicherzustellen und gleichzeitig die Vorteile der KI weiterhin nutzen zu können.

Transparenzpflichten: Klare Kennzeichnung von KI-Inhalten

Ab dem 2. August 2026 werden Transparenzpflichten zu einer zentralen Säule der KI-Regulierung. Diese Pflichten zielen darauf ab, Nutzer eindeutig darüber zu informieren, wann sie mit einem KI-System interagieren oder von KI generierte Inhalte konsumieren. Insbesondere gilt dies für Inhalte und Dialoge, die von KI erstellt wurden und potenziell als menschliche Kommunikation oder echte Darstellungen missverstanden werden könnten. Die Auswirkungen sind vielfältig und betreffen eine breite Palette von Unternehmen.

Konkrete Beispiele für die Kennzeichnungspflicht:

* Chatbots und virtuelle Assistenten: Wenn Ihr Unternehmen einen Chatbot für den Kundenservice einsetzt, muss dieser klar als KI kenntlich gemacht werden. Kunden müssen wissen, dass sie mit einem automatisierten System kommunizieren und nicht mit einem menschlichen Mitarbeiter. Dies fördert nicht nur die Transparenz, sondern auch das Vertrauen der Nutzer. * KI-generierte Marketingtexte und Bilder: Viele Unternehmen nutzen bereits KI-Tools wie ChatGPT, Jasper oder Midjourney zur Erstellung von Marketingmaterialien, Blogartikeln oder Social-Media-Posts. Diese Inhalte müssen zukünftig entsprechend gekennzeichnet werden, wenn sie so überzeugend sind, dass sie als menschliche Kreation missverstanden werden könnten. Eine einfache Notiz wie „Dieser Text wurde mit Unterstützung von KI erstellt” kann hier bereits ausreichend sein, muss aber konsequent angewendet werden. * Deep Fakes und synthetische Medien: Besonders kritisch sind Deep Fakes, also mittels KI erzeugte, täuschend echte Videos oder Audioaufnahmen. Der AI Act verlangt eine unmissverständliche Kennzeichnung solcher Inhalte, um Desinformation und Manipulation zu verhindern. Dies ist besonders relevant für Branchen wie Medien, Unterhaltung oder auch für interne Kommunikationszwecke. * KI für Recherche und Code-Generierung: Selbst wenn KI-Tools wie Perplexity für die Informationsbeschaffung oder Claude für die Code-Generierung im Hintergrund eingesetzt werden, ist zu prüfen, ob die daraus resultierenden, nach außen kommunizierten oder genutzten Inhalte der Kennzeichnungspflicht unterliegen. Eine direkte Nutzung dieser Tools für interne Zwecke ohne direkte externe Kommunikation ist weniger betroffen, jedoch ist eine interne Richtlinie zur verantwortungsvollen Nutzung sinnvoll.

Die Herausforderung besteht darin, klare interne Richtlinien und Freigabeprozesse zu etablieren, die sicherstellen, dass alle relevanten Inhalte korrekt gekennzeichnet werden. Dies erfordert eine enge Zusammenarbeit zwischen Marketing, IT und der Rechtsabteilung. Unternehmen müssen auch ihre Mitarbeiter schulen, damit diese die Kennzeichnungspflichten verstehen und korrekt umsetzen können. Nur so lassen sich Compliance-Risiken minimieren und das Vertrauen der Kunden und Geschäftspartner aufrechterhalten.

Hochrisiko-KI-Systeme: Strenge Anforderungen und spezifische Fristen

Ein zentraler Pfeiler des AI Act ist die Regulierung von Hochrisiko-KI-Systemen. Diese Systeme sind zwar nicht generell verboten, unterliegen jedoch besonders strengen Anforderungen, da Fehlentscheidungen erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Menschen haben können. Die Verordnung listet Hochrisiko-Bereiche in ihren Anhängen auf, darunter fallen Systeme, die in kritischen Infrastrukturen, im Bildungsbereich, bei der Strafverfolgung, im Bereich Migration und Grenzkontrolle sowie in der Verwaltung von Justiz und demokratischen Prozessen eingesetzt werden.

Beispiele für Hochrisiko-KI-Systeme:

* Bewerberauswahl und Personalmanagement: KI-Systeme, die zur Vorauswahl von Bewerbern, zur Leistungsbewertung von Mitarbeitern oder zur Zuweisung von Aufgaben eingesetzt werden, gelten als Hochrisiko. Hier muss sichergestellt werden, dass keine Diskriminierung stattfindet und die Entscheidungen transparent und nachvollziehbar sind. Eine menschliche Aufsicht ist zwingend erforderlich. * Kreditwürdigkeitsprüfung und Versicherungsbewertung: Finanzdienstleister, die KI zur Bewertung der Kreditwürdigkeit oder zur Berechnung von Versicherungsprämien nutzen, müssen die Anforderungen an Datenqualität, Robustheit und menschliche Kontrolle erfüllen. Fehler in diesen Systemen können weitreichende finanzielle Folgen für Einzelpersonen haben. * Steuerung kritischer Infrastrukturen: KI-Systeme, die beispielsweise in der Energieversorgung, im Transportwesen oder im Gesundheitswesen zur Steuerung von Prozessen eingesetzt werden, fallen ebenfalls unter die Hochrisikokategorie. Hier sind höchste Anforderungen an Sicherheit, Robustheit und Ausfallsicherheit zu gewährleisten, um Katastrophen zu verhindern.

Für Hochrisiko-Systeme gelten ab dem 2. August 2026 umfassende Pflichten. Dazu gehören unter anderem:

* Datenqualität und Governance: Sicherstellung der Qualität, Relevanz und Repräsentativität der Trainings-, Validierungs- und Testdaten, um Diskriminierung und Verzerrungen zu vermeiden. * Technische Dokumentation und Aufzeichnungen: Erstellung und Pflege detaillierter technischer Dokumentationen, die die Funktionsweise des Systems, seine beabsichtigte Nutzung und seine Leistung beschreiben. Dies dient der Nachvollziehbarkeit und Überprüfbarkeit. * Menschliche Aufsicht: Implementierung wirksamer Maßnahmen zur menschlichen Aufsicht, um das System zu überwachen, zu korrigieren und gegebenenfalls außer Kraft zu setzen. * Robustheit und Cybersicherheit: Gewährleistung, dass das System robust ist, fehlerfrei funktioniert und vor Cyberangriffen geschützt ist. * Konformitätsbewertung: Durchführung einer Konformitätsbewertung, bevor das System in Verkehr gebracht oder in Betrieb genommen wird, und regelmäßige Überprüfung der Konformität während des gesamten Lebenszyklus.

Es ist wichtig zu beachten, dass eine vorläufige Einigung im Rahmen des sogenannten „Digital Omnibus” zwar verlängerte Fristen für die vollständige Konformität bestimmter Hochrisiko-KI-Systeme vorsieht (bis 2. Dezember 2027 für Anhang III und bis 2. August 2028 für Anhang I), die grundlegenden Pflichten zur Klassifizierung, Risikobewertung und Implementierung erster Maßnahmen jedoch bereits ab August 2026 bestehen bleiben. Unternehmen sollten also nicht warten, sondern sofort mit der Identifizierung und Bewertung ihrer Hochrisiko-Systeme beginnen.

Die KI-Kompetenzpflicht: Unterschätzt, aber entscheidend für den Erfolg

Eine oft übersehene, aber bereits seit dem 2. Februar 2025 geltende Bestimmung ist die sogenannte KI-Kompetenzpflicht (Art. 4 des AI Act). Sie besagt, dass Anbieter und Betreiber von KI-Systemen sicherstellen müssen, dass ihr Personal und andere Personen, die in ihrem Auftrag mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Das Gesetz schreibt kein festes Format für diese Schulungen vor, verlangt aber einen nachweisbaren Prozess. Dies bedeutet, dass ein einfaches „Training” ohne Dokumentation nicht ausreicht.

Warum die KI-Kompetenzpflicht so kritisch ist:

* Rechtliche Notwendigkeit: Die offensichtlichste Begründung ist die gesetzliche Pflicht. Ein Verstoß kann mit Bußgeldern geahndet werden, auch wenn die Höhe für diese spezifische Pflicht noch präzisiert werden muss. Es ist eine Grundlage für die Einhaltung aller anderen Pflichten, da ohne grundlegendes Verständnis keine Transparenz oder Risikobewertung möglich ist. * Akzeptanz und Effizienz: Zahlreiche Studien belegen, dass der Großteil der KI-Projekte nicht an der Technologie selbst, sondern an mangelnder Akzeptanz und fehlender Qualifizierung der Mitarbeiter scheitert. Wenn Mitarbeiter die Funktionsweise, die Potenziale und die Grenzen von KI nicht verstehen, werden sie die neuen Tools nur zögerlich oder ineffizient nutzen. Eine gut geschulte Belegschaft hingegen kann KI-Systeme optimal einsetzen, Fehler erkennen und zu einer kontinuierlichen Verbesserung beitragen. * Risikominimierung: Mangelnde KI-Kompetenz erhöht das Risiko von Fehlern, Missverständnissen und sogar Missbrauch. Mitarbeiter, die die Risiken eines Hochrisiko-KI-Systems nicht einschätzen können, stellen ein erhebliches Compliance-Risiko dar. Eine fundierte Schulung hilft, dieses Risiko zu minimieren und die Einhaltung der Vorschriften zu gewährleisten.

Für DACH-Unternehmen bedeutet dies eine proaktive Investition in die Weiterbildung ihrer Mitarbeiter. Es geht nicht nur darum, IT-Experten zu schulen, sondern alle Mitarbeiter, die mit KI-Systemen in Berührung kommen. Dies kann von grundlegenden Schulungen zur Funktionsweise generativer KI bis hin zu spezifischen Kursen für Mitarbeiter reichen, die Hochrisiko-Systeme überwachen. Wichtig ist, dass die Schulungen dokumentiert und regelmäßig aktualisiert werden. Dies ist nicht nur eine rechtliche Notwendigkeit, sondern eine strategische Investition in die Zukunftsfähigkeit des Unternehmens.

Praktische Handlungsempfehlungen für den DACH-Mittelstand

Der DACH-Mittelstand ist oft das Rückgrat der Wirtschaft, steht aber bei der Umsetzung komplexer Vorschriften vor besonderen Herausforderungen, da Ressourcen häufig knapper sind als in Großkonzernen. Dennoch ist eine proaktive Auseinandersetzung mit dem AI Act unerlässlich. Kapitel H empfiehlt einen pragmatischen Umsetzungsfahrplan:

1. Bestandsaufnahme und Risikoeinordnung der KI-Anwendungen: Erstellen Sie eine umfassende Liste aller in Ihrem Unternehmen eingesetzten KI-Anwendungen, sowohl der offiziell implementierten als auch der sogenannten „Schatten-KI”-Anwendungen (z.B. Mitarbeiter, die privat ChatGPT nutzen). Bewerten Sie jede Anwendung gemäß den Risikokategorien des AI Act. Identifizieren Sie frühzeitig potenzielle Hochrisiko-Systeme.

2. Klare Zuweisung von Zuständigkeiten: Legen Sie fest, wer innerhalb des Unternehmens für die KI-Compliance verantwortlich ist. Dies erfordert oft eine interdisziplinäre Zusammenarbeit zwischen IT, Rechtsabteilung, Datenschutz, HR und relevanten Fachabteilungen. Ein KI-Beauftragter oder ein Compliance-Team kann hier eine zentrale Rolle spielen.

3. Definition von Richtlinien und Freigabeprozessen: Entwickeln Sie klare interne Richtlinien für den sicheren und konformen Einsatz von KI-Tools. Definieren Sie Prozesse für die Prüfung und Freigabe neuer KI-Anwendungen und für die Kennzeichnung von KI-generierten Inhalten. Dies hilft, Wildwuchs zu verhindern und die Kontrolle zu behalten.

4. Aufbau von KI-Kompetenz und Qualifizierung: Implementieren Sie systematische Schulungs- und Weiterbildungsprogramme für alle relevanten Mitarbeiter. Diese sollten an die jeweiligen Aufgabenbereiche angepasst sein und von grundlegenden KI-Kenntnissen bis hin zu spezifischen Compliance-Schulungen reichen. Dokumentieren Sie alle Schulungen lückenlos, um die Erfüllung der Kompetenzpflicht nachzuweisen.

5. Implementierung von Transparenzmechanismen: Richten Sie Prozesse ein, die die konsequente Kennzeichnung von KI-generierten Inhalten oder die Kennzeichnung von Chatbot-Interaktionen sicherstellen. Dies kann die Integration von Hinweisen in Softwarelösungen oder die Verankerung in redaktionellen Prozessen umfassen.

6. Schnittstellen zu bestehenden Rechtsbereichen prüfen: Der AI Act steht nicht isoliert. Er ergänzt und überschneidet sich mit bestehenden Gesetzen wie der Datenschutz-Grundverordnung (DSGVO), dem IT-Sicherheitsgesetz oder Produkthaftungsregelungen. Eine integrierte Betrachtung und Abstimmung dieser Rechtsbereiche ist unerlässlich, um Widersprüche zu vermeiden und eine kohärente Compliance-Strategie zu entwickeln.

Kritische Einordnung aus Kapitel-H-Sicht: Pragmatismus statt Panik

Bei Kapitel H betrachten wir die EU-KI-Verordnung nicht als bloße Belastung, sondern als notwendigen Schritt zur Etablierung eines verantwortungsvollen Rahmens für KI. Der Hype um KI hat in den letzten Jahren oft die realistischen Herausforderungen und Risiken überlagert. Der AI Act zwingt Unternehmen nun, sich fundiert mit den tatsächlichen Auswirkungen von KI auf ihre Geschäftsprozesse und auf Menschen auseinanderzusetzen.

Wir sehen es als unsere Aufgabe, den Mittelstand im DACH-Raum zu befähigen, diese Herausforderung pragmatisch und zielorientiert anzugehen. Es geht nicht darum, den Einsatz von KI zu verteufeln, sondern darum, ihn sicher, ethisch und gesetzeskonform zu gestalten. Wer frühzeitig in Compliance investiert, kann dies als Wettbewerbsvorteil nutzen. Unternehmen, die nachweisen können, dass ihre KI-Anwendungen vertrauenswürdig und transparent sind, werden sich von der Konkurrenz abheben. Die Befähigung der eigenen Mitarbeiter durch fundierte Schulungen ist dabei ein entscheidender Faktor. Statt teure externe Beratungsleistungen dauerhaft in Anspruch nehmen zu müssen, sollten Unternehmen darauf abzielen, interne Kompetenzen aufzubauen und so eine nachhaltige Unabhängigkeit zu gewährleisten.

Ein weiterer kritischer Punkt ist das Change Management. Die Einführung von KI und die Anpassung an neue Regulierungen sind keine reinen IT-Projekte, sondern erfordern einen kulturellen Wandel. Ängste vor Arbeitsplatzverlust oder Überforderung müssen aktiv adressiert werden. Eine offene Kommunikation, die frühzeitige Einbindung der Belegschaft und das Aufzeigen der Vorteile von KI, wie die Entlastung von Routinetätigkeiten, sind entscheidend, um Widerstände abzubauen und eine hohe Akzeptanz zu erreichen. Compliance sollte als Teil einer breiteren Strategie zur digitalen Transformation verstanden werden, die den Menschen in den Mittelpunkt stellt.

Fazit: Jetzt handeln für eine zukunftsfähige KI-Nutzung

Der 2. August 2026 ist mehr als nur ein weiterer Stichtag im Kalender. Er ist ein Wendepunkt für die verantwortungsvolle und regulierungskonforme Nutzung von Künstlicher Intelligenz im DACH-Raum. Die Kombination aus neuen Transparenz- und Hochrisiko-Pflichten sowie der bereits geltenden KI-Kompetenzpflicht erfordert eine strategische Vorbereitung und Umsetzung, die über rein technische Anpassungen hinausgeht.

Unternehmen, die jetzt handeln, ihre KI-Anwendungen systematisch bewerten, interne Prozesse anpassen und proaktiv in die Qualifizierung ihrer Mitarbeiter investieren, können nicht nur hohe Bußgelder vermeiden. Sie positionieren sich auch als vertrauenswürdige Akteure im Markt, die das volle Potenzial von KI ausschöpfen, ohne dabei Risiken einzugehen. Die Zeit des unverbindlichen Experimentierens ist vorbei; 2026 wird das Jahr der Entscheidung für die verantwortungsvolle und zukunftsfähige Einführung von KI in den deutschen, österreichischen und schweizerischen Arbeitsmarkt. Nutzen Sie die verbleibende Zeit, um Ihr Unternehmen auf diese neue Realität vorzubereiten und die Chancen der regulierten KI zu ergreifen.