EU AI Act: Zeitdruck und Shadow AI fordern DACH-Unternehmen

Der Hype um Künstliche Intelligenz (KI) ist in der DACH-Region ungebrochen, doch die regulatorische Realität des EU AI Act rückt unaufhaltsam näher. Diese Entwicklung stellt zahlreiche deutschsprachige Unternehmen vor erhebliche Herausforderungen. Aktuelle Berichte und Umfragen unterstreichen den akuten Handlungsbedarf. Insbesondere die Einhaltung bevorstehender Fristen und die Bekämpfung einer grassierenden "Shadow AI" in Unternehmen erfordern umgehendes Engagement. Die Kernbotschaft ist klar: Wer seine KI-Governance nicht zügig aufstellt, riskiert nicht nur hohe Strafen, sondern auch den Verlust des Anschlusses im globalen KI-Wettlauf.

Der EU AI Act, dessen zentrale Pflichten für Hochrisiko-KI-Systeme ab August 2026 greifen sollen, schafft einen umfassenden Rechtsrahmen für den Einsatz von KI in Europa. Ziel dieser Regulierung ist es, Vertrauen in die Technologie zu schaffen und Bürger zu schützen, indem KI-Innovationen einem "Human-Centric-Ansatz" folgen. Eine aktuelle Umfrage unter über 1.000 CIOs zeigt jedoch alarmierende Ergebnisse: Lediglich 37 Prozent der befragten Unternehmen haben volle Transparenz über die in ihrer Organisation genutzten KI-Tools. Ganze 62 Prozent machen Abstriche bei Governance-Standards, primär aufgrund von Wissenslücken und fehlender Expertise. Diese Lücken führen zur Verbreitung von sogenannter "Shadow AI", bei der Mitarbeiter unautorisierte KI-Anwendungen nutzen. Dies stellt ein ernsthaftes Sicherheits- und Compliance-Risiko dar, das nicht länger ignoriert werden kann.

Die tickende Uhr: EU AI Act Fristen und fehlende Vorbereitung

Obwohl der EU AI Act bereits seit Anfang August 2024 gilt, hat sich ein Großteil der deutschen Wirtschaft nur zögerlich damit befasst. Eine Bitkom-Befragung aus dem September 2024 ergab, dass sich erst rund ein Viertel (24 Prozent) der Unternehmen mit dem neuen EU-weiten Regulierungsrahmen für Künstliche Intelligenz beschäftigt hat. Nur 3 Prozent hatten sich zu diesem Zeitpunkt bereits intensiv damit auseinandergesetzt. Erschreckend ist, dass jedes vierte Unternehmen (24 Prozent) noch nie von der lange diskutierten EU-Regelung gehört hatte. Auch wenn sich die Situation in den vergangenen Monaten leicht verbessert haben mag, deuten die neuesten Zahlen auf einen weiterhin kritischen Zustand hin. Die Mehrheit der DACH-Unternehmen scheint die Tragweite und Dringlichkeit der Regulierung noch nicht vollständig erfasst zu haben.

Die Dringlichkeit wird durch die gestaffelte Einführung der AI Act-Bestimmungen noch erhöht. Während Verbote für bestimmte KI-Systeme und Governance-Regeln für sogenannte General Purpose AI (GPAI) bereits früher in Kraft treten, ist der August 2026 ein entscheidender Stichtag für Betreiber und Anbieter von Hochrisiko-KI-Systemen. Hierzu zählen unter anderem Anwendungen in kritischen Infrastrukturen, bei der Personaleinstellung und -verwaltung, in der Kreditwürdigkeitsprüfung oder in der Justiz. Die Klassifizierung als Hochrisiko-System bringt umfassende Anforderungen mit sich, darunter Risikomanagementsysteme, Daten-Governance, technische Robustheit, Transparenz und menschliche Aufsicht. Bei Verstößen drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Diese Strafen sind nicht nur eine abstrakte Drohung, sondern eine reale Gefahr für die finanzielle Stabilität und Reputation von Unternehmen, insbesondere für den Mittelstand im DACH-Raum.

Die stille Gefahr: "Shadow AI" und ihre Risiken

Das Problem der "Shadow AI" ist eng mit der mangelnden Vorbereitung auf den AI Act verknüpft. Mitarbeitende nutzen aus Effizienzgründen oder Neugierde generative KI-Tools wie ChatGPT, Claude oder Microsoft Copilot im Arbeitsalltag, ohne dass Unternehmen hierfür klare Richtlinien oder technische Absicherungen etabliert haben. Eine Handelsblatt-Umfrage aus dem Jahr 2025 zeigte, dass sieben von zehn Beschäftigten KI-Werkzeuge ohne Freigabe ihrer Firma nutzen. Diese unkontrollierte Nutzung mag auf den ersten Blick harmlos erscheinen, birgt jedoch immense Risiken, die von vielen Unternehmen unterschätzt werden.

Zu den Hauptgefahren gehören:

* Datenschutzverstöße: Vertrauliche Informationen, Kundendaten oder interne Dokumente können unbedacht in öffentliche KI-Systeme eingegeben und dort dauerhaft gespeichert oder zum Training der Modelle verwendet werden. Dies kollidiert direkt mit der Datenschutz-Grundverordnung (DSGVO) und dem Schweizer Datenschutzgesetz (DSG), die eine rechtskonforme Verarbeitung personenbezogener Daten verlangen. Ein solcher Verstoß kann nicht nur zu hohen Bußgeldern führen, sondern auch das Vertrauen von Kunden und Partnern nachhaltig schädigen. * Datensicherheit: Der unkontrollierte Einsatz von Cloud-basierten KI-Tools ohne Serverstandort in der EU oder ohne ein spezifisches Data Processing Agreement (DPA) stellt ein erhebliches Risiko für die Datenhoheit und -sicherheit dar. Sensible Geschäftsdaten könnten in Jurisdiktionen verarbeitet werden, die nicht den europäischen Sicherheitsstandards entsprechen, was Tür und Tor für unerwünschte Zugriffe öffnet. * Urheberrechtsverletzungen: KI-generierte Inhalte können auf urheberrechtlich geschützten Trainingsdaten basieren, ohne dass die Herkunft transparent ist. Für Unternehmen, die diese Inhalte nutzen, schafft dies erhebliche rechtliche Unsicherheiten und das Risiko, für Urheberrechtsverletzungen belangt zu werden. Die Frage der Haftung in der generativen KI ist noch nicht abschliessend geklärt und bleibt ein Minenfeld. * Fehlentscheidungen und Diskriminierung: Ohne transparente und nachvollziehbare KI-Governance können automatisierte Entscheidungen, insbesondere in Hochrisikobereichen wie der Personalverwaltung oder Kreditvergabe, zu Diskriminierung oder Fehlern führen. Diese sind oft schwer zu rekonstruieren und können erhebliche soziale, ethische und rechtliche Konsequenzen nach sich ziehen. Die geforderte menschliche Aufsicht im AI Act soll genau solche Probleme verhindern.

KI-Governance: Vom Compliance-Problem zum strategischen Vorteil

Experten betonen, dass KI-Governance über reine Compliance hinausgeht und zu einem strategischen Erfolgsfaktor wird. Eine Studie von CIO und COMPUTERWOCHE aus Januar 2026 zeigt, dass 42 Prozent der befragten Unternehmen die KI-Regulierung als Vorteil und nur 13 Prozent als Bremsklotz sehen. Dies deutet auf ein wachsendes Umdenken hin: Der EU AI Act wird zunehmend als Rahmen verstanden, der verantwortungsvolle Innovation ermöglicht und somit langfristig Wettbewerbsvorteile schafft. Für DACH-Unternehmen bedeutet dies eine proaktive Umgestaltung ihrer KI-Ansätze.

Für DACH-Unternehmen sind folgende Schritte entscheidend:

* Etablierung einer KI-Strategie: KI darf nicht mehr als isoliertes Tool-Experiment betrieben werden. Stattdessen ist eine klare, unternehmensweite KI-Strategie mit Strukturen und Verantwortlichkeiten erforderlich, die von der Unternehmensleitung getragen wird. Diese Strategie sollte definieren, wo und wie KI eingesetzt wird, welche Ziele damit verfolgt werden und welche Ressourcen dafür bereitstehen. Ohne eine solche strategische Verankerung bleiben KI-Initiativen fragmentiert und ineffizient. * Transparenz und Datenhoheit: Unternehmen müssen genau wissen, welche KI-Tools in welchen Abteilungen genutzt werden und wo die verarbeiteten Daten liegen. Dies erfordert die Implementierung von Inventarisierungsprozessen und regelmäßigen Audits. Der Trend geht zu Private AI-Lösungen und EU-basierten Servern, um DSGVO-Konformität und Datenhoheit zu gewährleisten. Lösungen, die eine vollständige Kontrolle über Daten und Modelle bieten, minimieren die genannten Risiken erheblich. * Schulung und Sensibilisierung: Mitarbeiter müssen im Umgang mit KI-Tools geschult werden. Dabei geht es nicht nur um die technische Nutzung, sondern primär um die Sensibilisierung für Risiken wie den Abfluss sensibler Daten und die Bedeutung von Datenschutz und -sicherheit. Eine fundierte Schulung hilft, "Shadow AI" aktiv zu bekämpfen und ein verantwortungsvolles Nutzerverhalten zu fördern. Nur gut informierte Mitarbeiter können die Risiken erkennen und vermeiden. * Anpassung der Prozesse und Rollenbilder: KI verändert die Arbeitswelt grundlegend. Im Controlling beispielsweise automatisiert sie repetitive Tätigkeiten und erfordert neue Kompetenzen in der Interpretation und Validierung von Analyseergebnissen. Neue Rollen wie der "AI-Controller" oder "Data Steward" entstehen, die als Übersetzer zwischen IT und Fachbereichen agieren und für saubere Daten sowie Compliance sorgen. Auch im HR-Bereich sind KI-Anwendungen in Feldern wie automatisiertem CV-Parsing, prädiktiven Analysen für Fluktuationsrisiken und personalisierten Lernvorschlägen etabliert. Diese müssen aber im Kontext des AI Act verantwortungsvoll eingesetzt und kontinuierlich auf Fairness und Nicht-Diskriminierung überprüft werden. * Zusammenarbeit von Fachbereichen und IT: Erfolgreiche KI-Projekte entstehen, wenn Fachbereiche Problem und Ziel formulieren und die Technik das "Wie" gestaltet. Eine enge, interdisziplinäre Zusammenarbeit ist entscheidend, um den "AI Execution Gap" zu schließen, der oft aus strukturellen, nicht technischen Gründen entsteht. Nur im Dialog lassen sich sinnvolle und compliant KI-Lösungen entwickeln, die echten Mehrwert stiften.

Die Schweizer Perspektive: Eigenes Datenschutzgesetz und EU-Angleichung

Auch die Schweiz hat ihr Datenschutzgesetz (DSG) umfassend revidiert, um es an die EU-DSGVO anzupassen. Das neue DSG, das im September 2023 in Kraft trat, hat direkte Auswirkungen auf den Einsatz von KI in Schweizer KMU. Es verlangt von Unternehmen, den Umgang mit Personendaten kritisch zu prüfen und datenschutzkonforme Lösungen zu implementieren. Für den Einsatz von generativer KI bedeutet dies beispielsweise, dass keine rohen Kundendaten oder besonders schützenswerte Daten ohne Anonymisierung oder Einwilligung in öffentliche KI-Tools eingegeben werden dürfen. Der Schutz der Persönlichkeitsrechte und der sensiblen Unternehmensdaten steht hierbei im Vordergrund. Schweizer Unternehmen müssen aktiv werden, um entsprechende Richtlinien und technische Massnahmen zu etablieren.

Lösungen wie ChatGPT Enterprise mit einem Data Processing Agreement (DPA) bieten hier eine datenschutzkonforme Alternative, da sie spezifische Zusicherungen hinsichtlich der Datenverarbeitung und -speicherung machen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat bereits im April 2023 nach dem ChatGPT-Verbot in Italien zu einem bewussten Umgang mit KI-gestützten Anwendungen geraten und Unternehmen an ihre Pflichten erinnert. Auch wenn die Schweiz keinen direkten Mitgliedsstaat der EU darstellt, sind die wirtschaftlichen Verflechtungen so eng, dass eine faktische Angleichung an europäische Standards in vielen Bereichen unumgänglich ist. Unternehmen, die grenzüberschreitend tätig sind, müssen ohnehin beide Regelwerke berücksichtigen.

Fazit: Jetzt handeln ist entscheidend

Die jüngsten Meldungen sind ein Weckruf für DACH-Unternehmen. Die Zeit der ungesteuerten KI-Experimente ist vorbei. Der EU AI Act, in Kombination mit den bestehenden und neuen Datenschutzgesetzen in Deutschland, Österreich und der Schweiz, erzwingt einen strukturierten und verantwortungsvollen Umgang mit Künstlicher Intelligenz. Es handelt sich nicht um eine vorübergehende Modeerscheinung, sondern um eine fundamentale Veränderung der regulatorischen Landschaft. Unternehmen, die jetzt in KI-Governance, transparente Prozesse, sichere Infrastrukturen und die Schulung ihrer Mitarbeiter investieren, sichern sich nicht nur rechtlich ab, sondern stärken auch ihre Wettbewerbsfähigkeit und das Vertrauen ihrer Kunden und Partner. Die digitale Transformation durch KI ist real, aber ihr Erfolg hängt massgeblich von einer strategischen und compliant Implementierung ab. Wer jetzt nicht handelt, riskiert, den Anschluss zu verlieren und langfristig erhebliche Nachteile in Kauf nehmen zu müssen. Kapitel H empfiehlt eine proaktive Herangehensweise, um die Potenziale der KI verantwortungsvoll und sicher zu nutzen und gleichzeitig regulatorische Fallstricke zu vermeiden. Beginnen Sie heute mit der Analyse Ihrer KI-Nutzung und der Implementierung einer robusten Governance-Struktur.