EU AI Act: Vereinfachungen für KMU, doch die Kernpflichten bleiben

Der 25. Mai 2026 bringt für Unternehmen im DACH-Raum eine wichtige Klarstellung zum EU AI Act. Das sogenannte „Digital Omnibus VII“-Paket, dessen Details Anfang Mai 2026 kommuniziert wurden, reagiert auf die monatelange Kritik aus der Wirtschaft an den ursprünglichen Vorgaben des weltweit ersten umfassenden Rechtsrahmens für Künstliche Intelligenz. Diese Anpassungen bieten einerseits dringend benötigte Erleichterungen, lassen andererseits aber zentrale Pflichten unberührt, die für Unternehmen in Deutschland, Österreich und der Schweiz weiterhin von grosser Relevanz sind.

Der EU AI Act, dessen schrittweises Inkrafttreten bereits am 1. August 2024 begann, verfolgt das Ziel, vertrauenswürdige KI-Innovationen in Europa zu fördern und potenzielle Risiken zu minimieren. Für alle Unternehmen, die KI-Systeme entwickeln, anbieten oder nutzen, bedeutet dies eine Fülle neuer technischer, sicherheitsrelevanter und organisatorischer Anforderungen. Die jüngsten Änderungen betreffen primär die Fristen für sogenannte Hochrisiko-KI-Systeme, was vielen Unternehmen eine Atempause verschafft. Dennoch ist es entscheidend, die bereits geltenden und kurzfristig in Kraft tretenden Pflichten nicht aus den Augen zu verlieren und die eigene KI-Strategie entsprechend anzupassen.

Anpassungen des EU AI Acts: Fristverlängerungen und Vereinfachungen

Das „Digital Omnibus VII“-Abkommen stellt eine direkte Antwort auf die Forderungen der Wirtschaft nach mehr Praktikabilität und realistischeren Umsetzungsfristen dar. Die wichtigste Neuerung ist die Verlängerung der Fristen für Hochrisiko-KI-Systeme. Während Kernregeln wie die Schulungspflichten und bestimmte Verbote bereits seit Februar 2025 gelten und Transparenzpflichten für generative KI ab August 2026 greifen, wurden die umfassenden Hochrisiko-Pflichten für bestimmte Bereiche auf den 2. Dezember 2027 verschoben. Für in Produkte integrierte Systeme, etwa in Maschinen, gilt sogar eine Frist bis zum 2. August 2028. Diese Verlängerung gewährt Unternehmen wertvolle Zeit, um die komplexen Anforderungen sorgfältig zu evaluieren und umzusetzen.

Besonders der Maschinen- und Anlagenbau in Deutschland, vertreten durch Verbände wie den VDMA und ZVEI, hat diese Anpassungen begrüsst. Die ursprüngliche Sorge, dass selbst alltägliche Haushaltsgeräte-Steuerungen als Hochrisiko-Technologie eingestuft werden könnten, hätte zu einem enormen bürokratischen Aufwand geführt. Die überarbeiteten Vorschriften sehen nun vor, dass Maschinen weitgehend von zusätzlichen KI-Auflagen befreit werden, sofern bereits spezifische Branchenregeln, etwa die Maschinenprodukteverordnung, greifen. Diese pragmatische Herangehensweise verhindert unnötige Doppelregulierungen und entlastet einen wichtigen Industriezweig im DACH-Raum.

Darüber hinaus beinhaltet die Einigung vereinfachte Vorschriften und eine klarere Governance für Unternehmen. Explizit profitieren kleine und mittlere Unternehmen (KMU) sowie kleine Midcap-Unternehmen von geringeren Anforderungen, insbesondere bei der technischen Dokumentation. Diese Massnahmen zielen darauf ab, die Wettbewerbsfähigkeit kleinerer Akteure zu schützen und ihnen die Integration von KI zu erleichtern. Auch die Unterstützung zur Einhaltung der Vorschriften soll ausgeweitet werden, beispielsweise durch mehr geschützte Testumgebungen, die Unternehmen bei der Erprobung und Validierung ihrer KI-Systeme helfen sollen. Diese Anpassungen sind ein klares Signal der EU, dass die Regulierung nicht die Innovation ersticken, sondern vielmehr einen sicheren Rahmen für deren Entwicklung schaffen soll.

Bereits geltende und bevorstehende Pflichten: Was nicht aufgeschoben ist

Trotz der genannten Fristverlängerungen für Hochrisiko-KI-Systeme ist es unerlässlich, die anderen, bereits in Kraft getretenen oder kurzfristig bevorstehenden Pflichten des EU AI Acts zu beachten. Diese betreffen alle Unternehmen, die KI-Systeme einsetzen, und erfordern eine unmittelbare Anpassung der internen Prozesse und Strategien.

Seit dem 1. Februar 2025 sind bestimmte KI-Systeme und -Praktiken in der EU verboten. Dazu gehören beispielsweise Social-Scoring-Systeme, die auf der Bewertung des Verhaltens oder der Persönlichkeit von Personen basieren, Emotionserkennung am Arbeitsplatz oder biometrische Kategorisierung auf Basis sensibler Merkmale wie ethnischer Herkunft oder sexueller Orientierung. Unternehmen müssen sicherstellen, dass sie keine dieser verbotenen Praktiken anwenden oder entsprechende Systeme vertreiben. Die Einhaltung dieser Verbote ist nicht verhandelbar und kann bei Verstössen empfindliche Strafen nach sich ziehen.

Ebenfalls seit dem 1. Februar 2025 gilt die sogenannte KI-Kompetenzpflicht. Unternehmen sind verpflichtet, sicherzustellen, dass ihre Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende Kenntnisse im Umgang mit dieser Technologie verfügen. Dies umfasst ein breites Spektrum an Fähigkeiten: technisches Know-how zur Bedienung und Überwachung der Systeme, regulatorisches Wissen über die geltenden Vorschriften des AI Acts und anwendungsspezifische Fähigkeiten, um die KI-Systeme effektiv und sicher in ihren jeweiligen Arbeitsbereichen einzusetzen. Die Durchführung und Dokumentation dieser Schulungen ist verpflichtend und sollte als kontinuierlicher Prozess verstanden werden, da sich KI-Technologien und die damit verbundenen Anforderungen stetig weiterentwickeln. Hier ist eine vorausschauende Personalentwicklung entscheidend.

Ab dem 2. August 2026 treten zudem die Transparenzpflichten für generative KI-Modelle wie ChatGPT in Kraft. Dies bedeutet, dass Inhalte, die mithilfe von KI generiert wurden, klar als solche gekennzeichnet sein müssen. Verbraucher und Nutzer sollen jederzeit erkennen können, ob sie es mit menschlich erstellten oder maschinell generierten Inhalten zu tun haben. Darüber hinaus müssen die Entwickler generativer KI-Modelle sicherstellen, dass ihre Systeme so gestaltet sind, dass sie die Erzeugung illegaler Inhalte verhindern. Dies erfordert technische Schutzmechanismen und Content-Moderation. Für Unternehmen, die generative KI in Marketing, Kommunikation oder Produktentwicklung einsetzen, sind diese Transparenzanforderungen von grosser Bedeutung, um Vertrauen zu wahren und rechtliche Risiken zu vermeiden.

Realität versus Hype: Die Herausforderungen in der DACH-Praxis

Die Anpassungen des EU AI Acts sind zwar ein Schritt in Richtung Praktikabilität, doch die grundlegenden Herausforderungen für DACH-Unternehmen bleiben bestehen. Eine Studie der UBS vom 20. Mai 2026 zeigt auf, dass sechs von zehn Schweizer Unternehmen zwar bereits KI-Tools nutzen, dies jedoch oft nur punktuell und nicht systematisch geschieht. Viele Firmen stecken in der sogenannten „Proof-of-Concept-Falle“: KI-Pilotprojekte funktionieren in kontrollierten Umgebungen gut, scheitern aber regelmässig an der Skalierung. Mangelhafte Infrastruktur, komplexe Integration in bestehende Systeme und unzureichende Berücksichtigung von Sicherheitsanforderungen verhindern oft die erfolgreiche Überführung von Pilotprojekten in den Produktivbetrieb.

Ein zentrales Problem ist die oft mangelhafte Dateninfrastruktur. Gartner prognostiziert, dass bis 2026 rund 60 Prozent aller KI-Initiativen aufgegeben werden, weil die zugrundeliegenden Daten nicht „KI-fähig“ sind. Dies bedeutet, dass Daten oft unstrukturiert, inkonsistent, von geringer Qualität oder unzureichend dokumentiert sind, was die Trainings und den Betrieb von KI-Modellen massiv erschwert oder unmöglich macht. Berichte von SET Management Consulting vom 18. und 19. Mai 2026 untermauern diese Einschätzung, indem sie darlegen, dass der KI-Hype Unternehmen oft Millionen kostet, die ohne messbaren Effekt verpuffen. Fast die Hälfte der Unternehmen, die sich selbst als KI-Vorreiter einschätzen, verfügt demnach nicht über die notwendigen Governance-Grundlagen, um KI sicher und transparent in kritische Prozesse, wie Finanzprozesse, zu integrieren. Nur jedes fünfte Finanzteam erreicht die selbst gesteckten ROI-Ziele von 20 Prozent.

Ein erschreckendes Beispiel aus der Praxis wurde am 20. Mai 2026 von Heute.at berichtet: Ein Bauunternehmen mit etwa 7.000 Mitarbeitenden erlitt einen sechsstelligen Schaden und drei Tage Stillstand, nachdem ein KI-Agent zur Datenbankoptimierung die gesamte Produktionsdatenbank löschte. Dieser Vorfall verdeutlicht die immensen Risiken, die mit einem unzureichenden Risikomanagement, fehlenden Kontrollmechanismen und der unüberlegten Implementierung von KI-Systemen einhergehen. Solche Pannen können nicht nur finanzielle Verluste verursachen, sondern auch das Vertrauen der Mitarbeitenden und Kunden nachhaltig schädigen.

KI-Sicherheit und Datenschutz: Eine anhaltende Priorität

Neben der Implementierung der AI Act-Vorgaben bleiben KI-Sicherheit und Datenschutz zentrale und wachsende Herausforderungen für Unternehmen. Mit der zunehmenden Verbreitung von KI-Systemen steigen auch die potenziellen Angriffsflächen für Cyberkriminelle und die Risiken für sensible Daten. Eset, seit kurzem Europas grösster Cybersecurity-Anbieter, warnte auf der Eset World 2026 Mitte Mai in Berlin eindringlich vor wachsenden Sicherheitsrisiken durch KI. Das Unternehmen kündigte eine Investition von 40 Millionen Euro in Forschung und Entwicklung an, um KI-getriebenen Cyberbedrohungen effektiv begegnen zu können. Dies unterstreicht die Dringlichkeit, die Sicherheit von KI-Systemen als integralen Bestandteil der gesamten IT-Sicherheitsstrategie zu betrachten.

Auch Technologiegiganten nehmen das Thema ernst. Microsoft hat bereits Anfang 2025 die „Trusted Technology Group“ gegründet, um alle Initiativen für verantwortungsvolle Technologie, einschliesslich Barrierefreiheit, digitale Sicherheit und Datenschutz, zu bündeln. Solche konzernweiten Strategien zeigen, dass ein fragmentierter Ansatz im Umgang mit KI-Sicherheit und Datenschutz nicht mehr ausreicht. Unternehmen müssen proaktiv Massnahmen ergreifen, um ihre KI-Systeme vor Manipulationen, unbefugtem Zugriff und Datenlecks zu schützen. Dazu gehören robuste Authentifizierungsverfahren, Verschlüsselung, regelmässige Sicherheitsaudits und die Implementierung von Privacy-by-Design-Prinzipien.

Für Schweizer Unternehmen ist überdies das neue Datenschutzgesetz (nDSG), das seit dem 1. September 2023 gilt, direkt relevant und auf KI-gestützte Datenbearbeitungen anwendbar. Das nDSG verschärft die Anforderungen an die Datenverarbeitung, insbesondere im Hinblick auf Transparenz, Zweckbindung und Datensicherheit. Dies bedeutet, dass alle KI-Anwendungen, die personenbezogene Daten verarbeiten, den strengen Vorgaben des nDSG entsprechen müssen. Eine sorgfältige Prüfung der datenschutzrechtlichen Implikationen jeder KI-Implementierung ist daher unerlässlich, um Bussgelder und Reputationsschäden zu vermeiden. Die Kombination aus EU AI Act und nationalen Datenschutzgesetzen schafft einen komplexen Rechtsrahmen, der fundiertes Wissen und eine strategische Herangehensweise erfordert.

Praktische Handlungsempfehlungen für Unternehmen

Angesichts der aktuellen Entwicklungen und bevorstehenden Pflichten sollten DACH-Unternehmen die folgenden konkreten Schritte in Betracht ziehen:

1. Systematische Compliance-Analyse: Führen Sie eine detaillierte Analyse durch, welche Ihrer aktuellen oder geplanten KI-Systeme unter die Definition von Hochrisiko-KI fallen und welche bereits unter die geltenden Verbote oder Kompetenzpflichten fallen. Bewerten Sie den Implementierungsstand der Transparenzpflichten für generative KI bis August 2026. 2. Datenstrategie entwickeln: Investieren Sie in eine solide Dateninfrastruktur. Definieren Sie klare Prozesse für Datenerfassung, -bereinigung, -qualitätssicherung und -management. Stellen Sie sicher, dass Ihre Daten „KI-fähig“ sind, um kostspielige Fehlstarts zu vermeiden und den ROI Ihrer KI-Investitionen zu sichern. 3. Mitarbeitende befähigen: Etablieren Sie kontinuierliche Schulungsprogramme, um die KI-Kompetenz Ihrer Mitarbeitenden zu stärken. Dies sollte technisches Wissen, regulatorisches Verständnis und anwendungsspezifische Fähigkeiten umfassen. Dokumentieren Sie diese Schulungen gemäss den gesetzlichen Anforderungen. 4. Governance-Strukturen aufbauen: Entwickeln Sie klare Richtlinien und Prozesse für den sicheren und verantwortungsvollen Einsatz von KI. Implementieren Sie ein robustes Risikomanagement, das potenzielle Risiken bewertet, minimiert und überwacht. Definieren Sie Verantwortlichkeiten und Eskalationspfade für den Umgang mit KI-Systemen. 5. Risikomanagement und Notfallplanung: Das Beispiel des Bauunternehmens zeigt die Dringlichkeit. Implementieren Sie vor der Einführung von KI-Systemen detaillierte Risikobewertungen und Notfallpläne. Sichern Sie Ihre Daten und Systeme umfassend ab und testen Sie regelmässig Ihre Wiederherstellungsprozesse. 6. Expertenwissen nutzen: Ziehen Sie externe Experten hinzu, um die Komplexität des EU AI Acts und nationaler Datenschutzgesetze zu bewältigen. Eine Zusammenarbeit mit erfahrenen Partnern kann helfen, die Compliance sicherzustellen, Risiken zu minimieren und die Transformation erfolgreich zu gestalten.

Kritische Einordnung aus Kapitel-H-Sicht

Die jüngsten Anpassungen des EU AI Acts sind ein notwendiger Schritt, um die Realität der Unternehmenspraxis besser abzubilden. Die Verschiebung der Fristen für Hochrisiko-KI ist zu begrüssen, da sie Unternehmen, insbesondere im Maschinenbau und KMU, dringend benötigte Planungs- und Umsetzungszeit verschafft. Dennoch wäre es fahrlässig, diese Erleichterungen als Aufschub der gesamten KI-Transformation zu interpretieren. Die Kernpflichten, insbesondere die KI-Kompetenz und die Transparenzpflichten für generative KI, sind unmittelbar relevant und stellen eine strategische Herausforderung dar.

Wir beobachten in vielen Unternehmen eine Diskrepanz zwischen dem enthusiastischen