EU AI Act: Was die verschobenen Fristen für DACH-Unternehmen bedeuten

Der EU AI Act, offiziell als Verordnung (EU) 2024/1689 bekannt, ist ein entscheidender Rechtsrahmen, der die Entwicklung und Nutzung von Künstlicher Intelligenz (KI) im europäischen Wirtschaftsraum reguliert. Diese Verordnung hat weitreichende Konsequenzen für Unternehmen im gesamten DACH-Raum, unabhängig davon, ob sie KI-Systeme entwickeln, anbieten oder lediglich nutzen. Während der AI Act bereits am 1. August 2024 in Kraft trat, erfolgt seine Anwendbarkeit gestaffelt. Die zentrale Kernfrist, der 2. August 2026, rückt schnell näher und markiert den Zeitpunkt, ab dem ein Grossteil der Bestimmungen verpflichtend wird.

Für viele Unternehmen ist die KI noch ein Experimentierfeld. Doch mit der bevorstehenden Vollanwendbarkeit des AI Act wird KI zu einer Frage der Compliance und der Unternehmensführung. Dies betrifft nicht nur grosse Technologiekonzerne, sondern praktisch jedes Unternehmen, das beispielsweise ChatGPT für Marketingtexte, Perplexity für die Recherche, Claude für die Code-Entwicklung oder Canva für Grafikdesign einsetzt. Die jüngsten Anpassungen durch das sogenannte "Digital Omnibus"-Abkommen haben einige Fristen verschoben, jedoch sollte dies keinesfalls als Freifahrtschein für Untätigkeit missverstanden werden. Im Gegenteil, es ist eine dringende Aufforderung, die verbleibende Zeit strategisch zu nutzen.

Der EU AI Act: Stufenweise Anwendbarkeit und die "Digital Omnibus"-Vereinbarung

Die EU-Verordnung 2024/1689 zur Künstlichen Intelligenz ist ein komplexes Regelwerk, das in Phasen in Kraft tritt. Während die Verordnung selbst am 1. August 2024 in Kraft trat, entfalten die meisten ihrer Bestimmungen ihre volle rechtliche Wirkung erst am 2. August 2026. Diese gestaffelte Herangehensweise soll Unternehmen und Behörden Zeit geben, sich auf die neuen Anforderungen einzustellen. Insbesondere für Anbieter und Nutzer von Hochrisiko-KI-Systemen war der ursprüngliche Zeitplan eine Herausforderung, da die Implementierung umfangreicher Compliance-Massnahmen oft aufwändig ist.

In Reaktion auf diese Bedenken wurde am 7. Mai 2026 eine politische Einigung auf das sogenannte "Digital Omnibus"-Paket erzielt. Dieses Abkommen, auch als "AI Omnibus" bekannt, zielt darauf ab, die Umsetzung des AI Act zu vereinfachen und die Vorschriften an die Dynamik der KI-Branche anzupassen. Eine wesentliche Änderung betrifft die Übergangsfristen für Hochrisiko-KI-Systeme. Die zentralen Bestimmungen des AI Act treten zwar wie geplant am 2. August 2026 in Kraft, jedoch wurden spezifische Fristen für bestimmte Kategorien von Hochrisiko-KI-Systemen verlängert.

Konkret müssen eigenständige Hochrisiko-KI-Systeme, die in sensiblen Bereichen wie Biometrie, kritischer Infrastruktur, Bildung, Beschäftigung, Migration, Asyl und Grenzkontrollen eingesetzt werden, nun erst bis zum 2. Dezember 2027 vollständig konform sein. Für KI-Systeme, die als Sicherheitskomponente in bereits bestehenden Produkten, wie etwa Aufzügen oder Spielzeug, integriert sind, wurde die Frist sogar bis zum 2. August 2028 verlängert. Diese Anpassungen sind ein Zugeständnis an die Industrie, die das ursprüngliche Regelwerk als zu starr für die schnelllebige Technologiebranche empfand. Besonders Unternehmen im Maschinenbau und in anderen stark regulierten Sektoren, in denen bereits spezifische Branchenregeln gelten, profitieren von dieser zusätzlichen Zeit. Sie können nun die Integration der KI-Anforderungen besser mit bestehenden Zertifizierungs- und Konformitätsprozessen abstimmen.

Diese Pflichten treten am 2. August 2026 in Kraft

Trotz der Fristverlängerungen für bestimmte Hochrisiko-Systeme gibt es eine Reihe von wesentlichen Pflichten, die bereits am 2. August 2026 in Kraft treten und für nahezu alle Unternehmen im DACH-Raum relevant sind, die KI-Systeme nutzen oder anbieten.

1. Transparenzpflichten: Eine der wichtigsten Neuerungen ist die Verpflichtung zur Kennzeichnung von KI-generierten Inhalten. Ab dem 2. August 2026 müssen mit KI erstellte Inhalte und Dialoge in vielen Fällen als solche kenntlich gemacht werden. Dies gilt insbesondere für den Einsatz von Chatbots, bei denen Nutzer den Eindruck haben könnten, mit einem Menschen zu kommunizieren. Auch sogenannte Deep Fakes, die menschliche Kommunikation oder reale Darstellungen vortäuschen, fallen unter diese Regelung. Anbieter von generativer KI müssen technische Massnahmen ergreifen, um sicherzustellen, dass KI-generierte Inhalte als solche identifizierbar sind. Eine weitere Konkretisierung tritt am 2. Dezember 2026 in Kraft: Ab diesem Zeitpunkt wird ein verpflichtendes Wasserzeichen für KI-generierte Inhalte eingeführt. Unternehmen müssen ihre Prozesse entsprechend anpassen, um dieser Kennzeichnungspflicht nachzukommen.

2. Pflichten für Anbieter von General Purpose AI (GPAI) Modellen: Die Regeln für allgemeine KI-Modelle, auch bekannt als Foundation Models, sind bereits seit dem 2. August 2025 anwendbar. Die vollständige Durchsetzung durch die Europäische Kommission und das Europäische KI-Amt beginnt jedoch am 2. August 2026. Ab diesem Datum erhält das Europäische KI-Amt umfassende Befugnisse. Es kann Informationen von Modell-Anbietern anfordern, Zugang zu den Modellen verlangen und bei Verstössen gegen die Vorschriften Korrekturmassnahmen oder sogar Rückrufe erlassen. Die finanziellen Konsequenzen bei Nichteinhaltung sind erheblich: Verstösse können zu Bußgeldern von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes führen, je nachdem, welcher Betrag höher ist. Unternehmen, die solche Modelle entwickeln oder nutzen, müssen daher sicherstellen, dass ihre Systeme den Anforderungen des AI Act entsprechen und dass sie in der Lage sind, bei Anfragen des KI-Amtes umfassend Auskunft zu geben.

3. Nationaler Aufsichtsrahmen: Bis zum 2. August 2026 sind die EU-Mitgliedstaaten verpflichtet, nationale Aufsichtsbehörden zu benennen und ihre Verwaltungspraxis zur Integration der Verordnung einzurichten. In Deutschland wird voraussichtlich die Bundesnetzagentur (BNetzA) die zentrale Marktüberwachungsbehörde sein, sobald das nationale Umsetzungsgesetz, das sogenannte KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG), verabschiedet ist. Diese nationalen Behörden werden für die Durchsetzung des AI Act auf nationaler Ebene zuständig sein. Unternehmen müssen sich daher nicht nur auf die EU-weite Regulierung einstellen, sondern auch die nationalen Besonderheiten und Ansprechpartner kennen, um bei Bedarf korrekt agieren zu können.

Bereits gültige und weitere wichtige Bestimmungen

Es ist entscheidend zu verstehen, dass nicht alle Bestimmungen des AI Act erst 2026 relevant werden. Einige wichtige Pflichten und Verbote sind bereits in Kraft getreten und erfordern umgehend Massnahmen von Unternehmen.

* Verbotene KI-Praktiken: Seit dem 2. Februar 2025 sind bestimmte KI-Systeme mit einem sogenannten "inakzeptablen Risiko" generell verboten. Dazu gehören Systeme, die Nutzer gezielt manipulieren, Schwachstellen von Personengruppen ausnutzen oder eine ungerichtete Gesichtserkennung in öffentlichen Räumen ermöglichen. Beispiele hierfür wären manipulative Psychotechniken, die auf Alters- oder Bildungsdefizite abzielen, oder die Erstellung von Social Scoring-Systemen durch Behörden. Unternehmen, die solche Praktiken anwenden oder entsprechende Systeme entwickeln, riskieren erhebliche Sanktionen. Bei Verstössen können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden, je nachdem, welcher Betrag höher ist. Eine frühzeitige Überprüfung der eigenen KI-Anwendungen auf solche verbotenen Praktiken ist daher unerlässlich.

* KI-Kompetenzpflicht ("AI Literacy"): Ebenfalls seit dem 2. Februar 2025 gilt die Verpflichtung für Anbieter und Betreiber von KI-Systemen, sicherzustellen, dass ihr Personal, das mit diesen Systemen arbeitet, über ein ausreichendes Mass an KI-Kompetenz verfügt. Dies ist eine direkte Aufforderung an das Change Management in Unternehmen, entsprechende Schulungen und Weiterbildungen anzubieten. Die Praxis zeigt hier noch erhebliche Defizite. Eine TÜV-Weiterbildungsstudie aus dem Jahr 2026 offenbarte, dass in kleinen Unternehmen (20-49 Mitarbeiter) lediglich 21 % der Belegschaft über die notwendige KI-Kompetenz verfügen. Bei Grossunternehmen ist dieser Wert mit immerhin 49 % zwar höher, aber immer noch weit von einer flächendeckenden Kompetenz entfernt. Diese Zahlen unterstreichen die dringende Notwendigkeit, in die Weiterbildung der Mitarbeiter zu investieren und eine umfassende "AI Literacy" im Unternehmen zu etablieren. Dies umfasst nicht nur technisches Wissen, sondern auch ein Verständnis für ethische Implikationen, Datenschutz und die Grenzen von KI-Systemen.

Besondere Situation der Schweizer Unternehmen

Obwohl die Schweiz kein Mitglied der Europäischen Union ist, ist der EU AI Act auch für Schweizer Unternehmen von grosser Relevanz. Die Verordnung folgt dem sogenannten Marktortprinzip. Das bedeutet, dass sie auch für Schweizer Unternehmen gilt, wenn diese KI-Systeme in der EU vertreiben, dort anbieten oder wenn ihre KI-Anwendungen EU-ansässige Kunden oder Geschäftspartner betreffen. Wer Geschäfte mit der EU macht oder dort präsent ist, muss sich also an die Regeln halten. Dies gilt auch, wenn Daten von EU-Bürgern verarbeitet werden, was häufig der Fall ist.

Die Schweiz arbeitet parallel an einer eigenen KI-Regulierung, die sich voraussichtlich an der KI-Konvention des Europarats orientiert. Das Eidgenössische Justiz- und Polizeidepartement (EJPD) wird bis Ende 2026 eine Vernehmlassungsvorlage erstellen, die die notwendigen gesetzlichen Massnahmen festlegt. Diese Regulierung wird die spezifischen Gegebenheiten des Schweizer Rechtsraums berücksichtigen und voraussichtlich ebenfalls auf einen risikobasierten Ansatz setzen. Bis zur Verabschiedung einer eigenen Schweizer Regelung müssen Schweizer Unternehmen die Entwicklungen in der EU genau beobachten und proaktiv Schritte zur Konformität unternehmen. Wer zuwartet, riskiert nicht nur Wettbewerbsnachteile, sondern auch rechtliche Risiken, wenn Produkte oder Dienstleistungen auf dem EU-Markt angeboten werden.

Handlungsempfehlungen für DACH-Unternehmen

Die vielschichtigen und gestaffelten Fristen des EU AI Act erfordern von DACH-Unternehmen eine strategische und proaktive Herangehensweise. Es genügt nicht, KI-Einführung als rein technisches Projekt zu betrachten, es muss vielmehr als umfassendes Prozess- und Governance-Projekt verstanden werden. Umfassende Vorbereitung ist der Schlüssel zur erfolgreichen und konformen Integration von KI.

* Inventarisierung und Risikobewertung: Unternehmen sollten umgehend alle genutzten oder entwickelten KI-Systeme inventarisieren. Anschliessend ist eine Risikoklassifizierung nach den Vorgaben des AI Act vorzunehmen. Dies hilft, Prioritäten zu setzen und Ressourcen zielgerichtet einzusetzen. * Compliance-Infrastruktur aufbauen: Eine robuste Compliance-Infrastruktur ist unerlässlich. Dazu gehören die Fertigstellung der technischen Dokumentation für KI-Systeme, die Durchführung von Konformitätsbewertungen und, für Hochrisiko-Systeme, die Registrierung in der EU-Datenbank bis zum 2. August 2026. Dies erfordert klare Verantwortlichkeiten und Prozesse innerhalb des Unternehmens. * Datenschutz und Datensouveränität: Der verantwortungsvolle Umgang mit Daten und die Sicherstellung der Datensouveränität werden zu strategischen Standortfaktoren. Hochrisiko-KI-Systeme müssen die EU-Datenschutzgesetze, einschliesslich der DSGVO, strikt einhalten. Dies beinhaltet transparente Datenverarbeitung, Zweckbindung und Löschkonzepte. * KI-Kompetenz und Schulungen: Die "AI Literacy" der Mitarbeiter muss dringend sichergestellt werden. Unternehmen sollten systematische Schulungsprogramme aufsetzen, um nachweisen zu können, dass sie dieser Pflicht nachkommen. Dies stärkt nicht nur die Compliance, sondern auch die Effizienz und Akzeptanz von KI im Arbeitsalltag. * Governance und menschliche Aufsicht: Klare Governance-Strukturen, umfassende Audit-Trails und die Möglichkeit der menschlichen Aufsicht sind entscheidend, insbesondere bei Hochrisiko-KI. Die Fähigkeit, menschliche und maschinelle Intelligenz effektiv zu koordinieren, wird zum entscheidenden Hebel für Wertschöpfung und Risikominimierung. * Anpassungsfähigkeit: Angesichts der dynamischen regulatorischen Landschaft sind flexible Compliance-Programme, die sich schnell an legislative Änderungen anpassen können, unerlässlich. Ein statischer Ansatz ist in der schnelllebigen KI-Welt nicht zielführend.

Die Verlängerung einiger Fristen durch das "Digital Omnibus"-Abkommen sollte nicht als Freifahrtschein für Untätigkeit missverstanden werden. Vielmehr bietet sie eine wertvolle Gelegenheit, die notwendigen Anpassungen mit der gebotenen Sorgfalt und strategischen Weitsicht vorzunehmen. Für viele DACH-Mittelständler wird 2026 das Jahr der Entscheidungen, in dem KI nicht mehr nur experimentiert, sondern in den operativen Betrieb integriert, überwacht und verantwortet werden muss. Die Nichteinhaltung kann zu erheblichen Bußgeldern führen, die bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes betragen können. Proaktives Handeln ist daher nicht nur eine Frage der Rechtskonformität, sondern auch der wirtschaftlichen Vernunft.

Kritische Einordnung aus Kapitel-H-Sicht

Bei Kapitel H betrachten wir KI-Regulierungen wie den EU AI Act nicht als reine bürokratische Hürde, sondern als notwendigen Rahmen für die verantwortungsvolle und nachhaltige Integration von KI in die Wirtschaft. Der Hype um KI verstellt oft den Blick auf die realen Herausforderungen und Risiken. Der AI Act zwingt Unternehmen dazu, sich diesen Herausforderungen pragmatisch und konkret zu stellen.

Es ist eine verbreitete Annahme, dass solche komplexen Regelwerke vor allem grosse Konzerne betreffen. Doch die Realität zeigt: Der AI Act tangiert jeden, der KI einsetzt oder anbietet. Der Mittelstand im DACH-Raum ist hier besonders gefordert, da oft die internen Ressourcen für aufwändige Compliance-Projekte fehlen. Genau hier setzt unsere Sichtweise an: Es geht nicht darum, Abhängigkeiten von teuren externen Beratern zu schaffen, sondern Unternehmen zu befähigen, die Anforderungen eigenständig zu verstehen und umzusetzen.

Die gestaffelten Fristen und das "Digital Omnibus"-Abkommen sind kein Grund zur Entwarnung, sondern ein strategisches Zeitfenster. Es ist eine Gelegenheit, Fehler, die in der Vergangenheit bei der DSGVO-Implementierung gemacht wurden, zu vermeiden. Damals warteten viele Unternehmen bis zur letzten Minute, was zu Hektik, suboptimalen Lösungen und unnötigen Kosten führte. Wir empfehlen, die vorhandene Zeit zu nutzen, um fundierte Entscheidungen zu treffen, statt auf schnelle Lösungen auszuweichen, die langfristig nicht tragfähig sind.

Die "AI Literacy"-Pflicht beispielsweise ist mehr als nur eine formale Anforderung. Sie ist eine Investition in die Zukunftsfähigkeit des Unternehmens. Wer seine Mitarbeiter befähigt, KI-Systeme kritisch zu bewerten und verantwortungsvoll zu nutzen, schafft eine solide Basis für Innovation und Vertrauen. Unternehmen, die den AI Act als Chance begreifen, ihre KI-Strategie zu professionalisieren und die damit verbundenen Risiken proaktiv zu managen, werden sich langfristig am Markt durchsetzen. Es geht um die Schaffung von Vertrauen bei Kunden und Partnern, die Sicherstellung von Datenqualität und die Vermeidung massiver finanzieller Sanktionen. Das ist keine Marketingfloskel, sondern eine konkrete Geschäftsgrundlage.

Fazit: Jetzt handeln für eine zukunftssichere KI-Strategie

Der EU AI Act stellt eine der bedeutendsten regulatorischen Entwicklungen für Unternehmen im DACH-Raum dar. Die Kernfristen, insbesondere der 2. August 2026, sind nicht mehr weit entfernt. Obwohl das "Digital Omnibus"-Abkommen einige Fristen für spezifische Hochrisiko-KI-Systeme verlängert hat, bleiben zentrale Pflichten wie die Transparenz bei KI-generierten Inhalten, die Regelungen für allgemeine KI-Modelle und die Notwendigkeit nationaler Aufsichtsstrukturen unberührt. Darüber hinaus sind Verbote von Hochrisiko-KI und die Pflicht zur KI-Kompetenz der Mitarbeiter bereits in Kraft.

Für Unternehmen bedeutet dies: Die Zeit für Experimente ohne regulatorischen Rahmen ist vorbei. Es ist unerlässlich, jetzt proaktiv zu handeln. Beginnen Sie mit einer umfassenden Inventarisierung Ihrer KI-Systeme und einer sorgfältigen Risikobewertung. Bauen Sie eine robuste Compliance-Infrastruktur auf, die Dokumentations-, Bewertungs- und Registrierungspflichten erfüllt. Investieren Sie in die "AI Literacy" Ihrer Belegschaft und etablieren Sie klare Governance-Strukturen für den Einsatz von KI. Nur so können Sie nicht nur hohe Bußgelder vermeiden, sondern auch das Vertrauen Ihrer Kunden stärken und Ihre Wettbewerbsfähigkeit in einer zunehmend von KI geprägten Wirtschaft sichern. Wer jetzt handelt, legt den Grundstein für eine verantwortungsvolle und erfolgreiche KI-Zukunft.