EU AI Act: Was DACH-Unternehmen jetzt wissen und tun müssen

Der EU AI Act ist seit seiner Verabschiedung das beherrschende Thema im Bereich Künstliche Intelligenz, insbesondere für Unternehmen im deutschsprachigen Raum. Es geht nicht um die nächste spektakuläre Produktinnovation, sondern um die grundlegenden Regeln, die den Einsatz von KI in der Wirtschaft steuern werden. Mit dem schrittweisen Inkrafttreten der Regulierung und den jüngsten Klarstellungen durch das sogenannte "Digital Omnibus"-Paket im Mai 2026, rücken konkrete Deadlines und Pflichten in den Vordergrund. Für Unternehmen in Deutschland, Österreich und der Schweiz bedeutet dies, ihre aktuellen KI-Initiativen kritisch zu prüfen und strategisch anzupassen. Es ist eine Entwicklung, die weit über Compliance hinausgeht und die Wettbewerbsfähigkeit sowie das Vertrauen in KI-Anwendungen maßgeblich beeinflusst.

Der EU AI Act: Eine Übersicht und die aktuellen Klarstellungen

Der EU AI Act ist das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz. Er schafft einen Rahmen, der KI-Systeme nach ihrem Risikopotenzial klassifiziert und unterschiedliche Anforderungen an Anbieter und Betreiber stellt. Seit August 2024 treten die ersten Bestimmungen in Kraft. Das im Mai 2026 verabschiedete "Digital Omnibus"-Paket hat nun wichtige Zeitplananpassungen mit sich gebracht, die für viele Unternehmen eine Mischung aus Erleichterung und erhöhter Dringlichkeit bedeuten.

Verschiebungen für Hochrisiko-KI-Systeme:

Das Paket reagiert auf die Komplexität der Anforderungen und den Wunsch nach mehr Zeit zur Anpassung. Für eigenständige Hochrisiko-KI-Systeme, die im Anhang III des AI Act gelistet sind, wurde die Frist vom ursprünglichen 2. August 2026 auf den 2. Dezember 2027 verschoben. Diese Kategorie umfasst KI-Anwendungen, die beispielsweise im Bereich der Personalauswahl, der Kreditbewertung oder der biometrischen Identifikation zum Einsatz kommen. Für Hochrisiko-KI, die als Sicherheitskomponente in bereits regulierten Produkten verbaut ist (Anhang I, z.B. in Medizintechnik oder Maschinen), gilt die Frist nun ab dem 2. August 2028. Diese Verzögerungen sollen Unternehmen die Möglichkeit geben, sich intensiver auf die komplexen Vorgaben einzustellen und auf die noch ausstehenden harmonisierten technischen Standards zu warten, welche für den Nachweis der Konformität unerlässlich sind.

Unveränderte Deadlines für General-Purpose AI (GPAI) und Transparenzpflichten:

Es ist jedoch entscheidend zu verstehen, dass nicht alle Pflichten verschoben wurden. Die Dokumentations- und Transparenzpflichten für sogenannte General-Purpose AI (GPAI)-Modelle treten weiterhin zum 2. August 2026 in Kraft. Dies betrifft gängige und weit verbreitete KI-Tools wie ChatGPT, Microsoft Copilot oder Claude. Unternehmen, die diese Modelle in ihren produktiven Workflows nutzen, sei es für die interne Kommunikation, im Marketing, bei Personalentscheidungen oder zur Erstellung von Vertragsentwürfen, sind ab diesem Zeitpunkt in der Pflicht. Sie müssen ihre Anwendungsfälle klassifizieren, detailliert dokumentieren und deren Einsatz kontinuierlich überwachen. Ebenso treten die allgemeinen Transparenzanforderungen, wie die Kennzeichnung von KI-generierten Inhalten, zum Beispiel Deepfakes oder Chatbot-Interaktionen, vollständig in Kraft. Die sogenannte KI-Kompetenz-Pflicht, welche eine ausreichende Qualifizierung von Mitarbeitern im Umgang mit KI-Systemen vorschreibt, ist sogar bereits seit dem 2. Februar 2025 gültig und betrifft nahezu alle Unternehmen, die KI einsetzen.

Herausforderungen für den DACH-Mittelstand: Zwischen Chancen und "Dokumentations-Fallen"

Der EU AI Act stellt den DACH-Mittelstand vor erhebliche Herausforderungen. Während Großkonzerne oft über die Ressourcen verfügen, interne Task Forces und spezialisierte Rechtsabteilungen zu etablieren, müssen KMU mit begrenzten Mitteln die komplexen Anforderungen stemmen. Die Proportionalitätsregelungen des AI Act bieten zwar gewisse Erleichterungen, entbinden KMU jedoch nicht von Kernpflichten, insbesondere wenn sie Hochrisiko-KI-Systeme oder GPAI nutzen.

Ein Hauptproblem stellt hier die "Doku-Falle im Mittelstand" dar, wie es in einem aktuellen Artikel vom 26. Mai 2026 beschrieben wurde. Die Nutzung von GPAI-Modellen für interne Zwecke, die auf den ersten Blick unkritisch erscheinen mag, erfordert ab August 2026 eine umfassende Dokumentation. Dazu gehört eine präzise Risiko-Klassifizierung für jeden einzelnen Anwendungsfall, ein detailliertes Inventar der verwendeten Datenkategorien, die Implementierung von "Human-Oversight"-Mechanismen sowie der Nachweis von Konformitätsbewertungen. Ein simples Excel-Sheet wird den Anforderungen der Aufsichtsbehörden voraussichtlich nicht genügen. Es wird eine geordnete und nachvollziehbare Struktur erwartet, die den gesamten Lebenszyklus des KI-Einsatzes abbildet.

Besonders kritisch sind KI-Anwendungen im Personalwesen. Systeme zur Analyse von Bewerbungen, zur Leistungsbewertung oder zur Vorbereitung von Einstellungs-, Beförderungs- oder Kündigungsentscheidungen fallen unter die Kategorie "Hochrisiko". Eine Umfrage im Februar 2026 ergab, dass rund 44% der Personaler in Österreich und Deutschland besorgt sind, KI in diesen Bereichen einzusetzen, da sie keine rechtlichen Punkte verletzen wollen. Dies erfordert für die Anwender umfangreiche Maßnahmen in Bezug auf Datenqualität, Transparenz, menschliche Aufsicht und regelmäßige Risikobewertungen. Der Fachkräftemangel, beispielsweise in der Schweiz, wo 2026 über 600.000 KMU operieren, verschärft diese Herausforderung zusätzlich, da die Anforderungen des AI Act Kapazitäten binden, die anderweitig dringend benötigt werden. Trotzdem wird KI von vielen als unverzichtbarer Effizienzhebel wahrgenommen, der nun jedoch mit einer zusätzlichen Compliance-Last verbunden ist.

Steigender Bedarf an Expertise: KI-Compliance als neues Berufsfeld

Die Komplexität des EU AI Act und die drastischen Bußgelder, die bei schwerwiegenden Verstößen drohen (bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes), führen zu einem massiven Bedarf an spezialisierten Fachkräften. Unternehmen im DACH-Raum suchen dringend nach Compliance-Managern, Datenschutzbeauftragten mit KI-Spezialisierung und juristischen Experten, die die Anforderungen des Gesetzes interpretieren und in praktische Unternehmensprozesse übersetzen können. Eine Bitkom-Studie aus dem Jahr 2025 zeigte, dass 69% der deutschen Unternehmen Unterstützung bei der Umsetzung des AI Act benötigen, aber nur 24% sich ernsthaft damit auseinandergesetzt haben. Dies verdeutlicht die aktuelle Lücke zwischen Bedarf und Umsetzungskapazität.

Große Beratungsfirmen wie KPMG Law haben bereits frühzeitig auf diese Entwicklung reagiert und im Februar 2025 auf die Notwendigkeit der KI-Compliance in der Due Diligence hingewiesen. Sie warnen vor "tickenden Zeitbomben" bei der Akquisition von Unternehmen, die KI ohne ausreichende Compliance einsetzen. Entsprechend bauen sie ihre Angebote für "AI Compliance Manager" Lehrgänge und Beratungspakete für den DACH-Raum massiv aus. Dies betrifft nicht nur die Rechts- und Compliance-Abteilungen, sondern auch IT-Sicherheitsexperten, die mit der Integration von "Secure AI Development Lifecycle" (SAIDL)-Prozessen betraut werden müssen. Es entsteht ein neues Ökosystem an Dienstleistungen und Kompetenzen, das auf die Anforderungen des AI Act zugeschnitten ist.

Ein konkretes Beispiel hierfür ist die Deutsche Bank. Konzernchef Christian Sewing betonte im Mai 2026 das "noch größere Potenzial" der KI für Effizienz, Produktverbesserung und Servicebeschleunigung. Gleichzeitig investiert die Bank massiv in KI-Governance und Compliance, um den Anforderungen des AI Act gerecht zu werden. Dies zeigt, dass selbst Unternehmen mit umfangreichen Ressourcen den Bedarf erkennen, ihre internen Strukturen und Prozesse proaktiv auf die neuen rechtlichen Rahmenbedingungen auszurichten.

Die Schweiz im Fokus: Indirekte Betroffenheit und der Ruf nach Vertrauen

Obwohl die Schweiz kein Mitglied der Europäischen Union ist, ist der EU AI Act auch für Schweizer Unternehmen von direkter Relevanz. Wenn Schweizer Unternehmen KI-Systeme in der EU anbieten oder deren Output in der EU genutzt wird, müssen sie die Regulierung ebenfalls beachten. Dies betrifft insbesondere exportorientierte Unternehmen und Technologie-Start-ups, die den EU-Markt bedienen wollen. Das Staatssekretariat für Wirtschaft (SECO) in der Schweiz informiert aktiv über die Implikationen für Schweizer Exporteure und hat im Frühjahr 2026 Informationsveranstaltungen für KMU zum Thema "KI-Regulierung und Export in die EU" durchgeführt. Dies unterstreicht die Dringlichkeit des Themas auch außerhalb der direkten EU-Mitgliedschaft.

Parallel dazu zeigt das "Schweizer Digitalbarometer 2026", veröffentlicht am 26. Mai 2026, eine wachsende Skepsis in der Bevölkerung gegenüber den gesellschaftlichen Folgen der Digitalisierung und einen erhöhten Wunsch nach Kontrolle über KI. 76% der Befragten gewichten Datenschutz höher als Komfort. Dieser Trend erhöht den Druck auf Unternehmen, vertrauenswürdige und transparente KI-Lösungen anzubieten, was wiederum die Relevanz des EU AI Act unterstreicht. Eine "Made in Europe"- oder "Made in DACH"-KI, die von Grund auf ethisch, transparent und sicher entwickelt wird, könnte sich langfristig als Qualitätsstandard etablieren und einen Wettbewerbsvorteil darstellen. Unternehmen, die frühzeitig und proaktiv die Anforderungen des AI Act umsetzen, können sich als vertrauenswürdige Anbieter positionieren und international punkten. Dies stärkt den DACH-Raum als attraktiven Standort für die Entwicklung und den Betrieb von vertrauenswürdigen KI-Lösungen.

Praktische Handlungsempfehlungen für Ihr Unternehmen

Der EU AI Act erfordert jetzt konkrete Schritte. Zögern Sie nicht, die folgenden Empfehlungen umzusetzen:

1. Inventarisierung und Risikoklassifizierung: Erstellen Sie einen umfassenden Use-Case-Katalog aller KI-Anwendungen in Ihrem Unternehmen. Klassifizieren Sie jede Anwendung gemäß den Risikokategorien des EU AI Act (inakzeptabel, hoch, begrenzt, minimales Risiko). Beachten Sie insbesondere die Anforderungen an GPAI-Modelle und deren spezifische Dokumentationspflichten ab August 2026. 2. Aufbau einer KI-Governance-Struktur: Etablieren Sie klare Verantwortlichkeiten für KI-Compliance in Ihrem Unternehmen. Das kann die Benennung eines KI-Compliance-Beauftragten oder die Einrichtung einer interdisziplinären Task Force sein. Integrieren Sie KI-Governance in bestehende Risikomanagement- und Datenschutzprozesse. 3. Mitarbeiterqualifizierung und KI-Kompetenz: Schulen Sie Ihre Mitarbeiter zum verantwortungsvollen Umgang mit KI-Systemen und den Anforderungen des AI Act. Die "AI Literacy"-Pflicht ist bereits aktiv. Sensibilisieren Sie alle relevanten Abteilungen, von HR über IT bis zum Marketing, für die neuen Pflichten und Risiken. 4. Dokumentation und Transparenz: Beginnen Sie umgehend mit dem Aufbau einer detaillierten Dokumentation für alle KI-Systeme. Dies umfasst Datenquellen, Trainingsprozesse, Funktionsweise, Leistungsindikatoren und Vorkehrungen für die menschliche Aufsicht ("Human-in-the-Loop"). Stellen Sie sicher, dass Sie Transparenzpflichten, insbesondere für KI-generierte Inhalte, erfüllen. 5. Rechtliche und technische Expertise einholen: Ziehen Sie bei Bedarf externe Rechtsberater und technische Experten hinzu, um die komplexen Anforderungen des AI Act zu entschlüsseln und maßgeschneiderte Umsetzungsstrategien zu entwickeln. Insbesondere für Hochrisiko-Anwendungen ist externe Expertise oft unerlässlich. 6. Kontinuierliche Überwachung und Anpassung: KI-Systeme und die regulatorischen Anforderungen entwickeln sich ständig weiter. Implementieren Sie Prozesse zur kontinuierlichen Überwachung Ihrer KI-Anwendungen und passen Sie Ihre Compliance-Strategien bei Bedarf an.

Kapitel-H-Einordnung: Pragmatismus statt Panik

Die Diskussion um den EU AI Act ist oft von Komplexität und Verunsicherung geprägt. Aus Sicht von Kapitel H ist es jedoch entscheidend, Pragmatismus vor Panik zu stellen. Der Hype um neue KI-Modelle weicht zunehmend der substanziellen Arbeit an Governance, Sicherheit und ethischer Implementierung. Das ist keine Bedrohung, sondern eine Chance für den Mittelstand im DACH-Raum. Unserer Auffassung nach können Unternehmen, die sich proaktiv mit den Anforderungen des AI Act auseinandersetzen, nicht nur hohe Bußgelder vermeiden, sondern einen echten Wettbewerbsvorteil erzielen. Eine vertrauenswürdige, transparente und sichere KI-Nutzung wird zu einem Qualitätsmerkmal. Der Fokus sollte darauf liegen, konkrete, umsetzbare Lösungen zu entwickeln, anstatt sich in der juristischen Komplexität zu verlieren. Befähigung statt Abhängigkeit bedeutet in diesem Kontext, die internen Kompetenzen aufzubauen und nicht auf externe Patentrezepte zu warten. Die Verschiebung einiger Fristen für Hochrisiko-KI ist keine Einladung zum Abwarten, sondern eine wertvolle Atempause, um die Grundlagen für eine solide KI-Governance zu legen. Die Dringlichkeit für GPAI-Modelle bleibt davon unberührt und erfordert sofortiges Handeln.

Fazit: Proaktive Compliance als Wettbewerbsvorteil

Die wichtigste KI-News für den DACH-Arbeitsmarkt ist die unmittelbare Notwendigkeit, die eigene KI-Nutzung im Lichte des EU AI Act zu überprüfen und anzupassen. Die Klarstellungen des "Digital Omnibus"-Pakets vom Mai 2026 sind hierbei zentral, da sie zwar eine gewisse Atempause für einige Hochrisiko-Systeme verschaffen, jedoch die Dringlichkeit der Compliance für General-Purpose AI (GPAI)-Modelle und allgemeine Transparenzpflichten ab August 2026 unberührt lassen. Der Fokus verschiebt sich vom reinen Technologiewettlauf hin zu substanziellen Fragen der Governance, Ethik, Sicherheit und Mitarbeiterqualifizierung. Unternehmen, die jetzt proaktiv handeln und in Compliance sowie Mitarbeiterkompetenzen investieren, können dies in einen klaren Wettbewerbsvorteil umwandeln. Sie positionieren sich als vertrauenswürdige Anbieter im europäischen und darüber hinaus globalen Kontext. Die Nichterfüllung dieser Pflichten birgt erhebliche rechtliche und finanzielle Risiken. Nehmen Sie die kommenden Fristen ernst und gestalten Sie die Zukunft Ihrer KI-Strategie aktiv und verantwortungsbewusst.