KI-Compliance: EU AI Act fordert den Mittelstand in DACH heraus

Der Einsatz Künstlicher Intelligenz (KI) prägt zunehmend die Geschäftswelt im DACH-Raum. Gleichzeitig verdichtet sich der rechtliche Rahmen, der diesen Einsatz reguliert. Ein zentrales Datum für alle Unternehmen, die KI-Systeme entwickeln oder nutzen, ist der 2. August 2026. Ab diesem Zeitpunkt entfalten wesentliche Bestimmungen des EU AI Acts ihre volle Wirkung. Dieser Akt ist die weltweit erste umfassende KI-Regulierung und hat weitreichende Konsequenzen für den Mittelstand in Deutschland, Österreich und der Schweiz.

Während Deutschland mit Hochdruck an der nationalen Umsetzung arbeitet und die Schweiz einen eigenständigen, innovationsfreundlichen Weg geht, stehen DACH-Unternehmen vor der dringenden Aufgabe, ihre KI-Strategien und Anwendungen rechtssicher zu gestalten. Dies erfordert nicht nur die Anpassung technischer Prozesse, sondern auch eine grundlegende "KI-Alphabetisierung" innerhalb der Belegschaft. Eine frühzeitige Auseinandersetzung mit den neuen Pflichten ist entscheidend, um Wettbewerbsnachteile und empfindliche Bußgelder zu vermeiden. Kapitel H sieht hier eine Chance, durch verantwortungsvolle Gestaltung der KI-Nutzung Vertrauen zu schaffen und langfristige Innovationskraft zu sichern.

Der EU AI Act: Ein risikobasierter Ansatz für den Mittelstand

Die Verordnung (EU) 2024/1689, bekannt als EU AI Act, trat am 1. August 2024 in Kraft und verfolgt das Ziel, KI-Systeme in der EU sicher, transparent, nachvollziehbar, nicht-diskriminierend und umweltfreundlich zu gestalten. Die Einführung der Vorschriften erfolgt schrittweise. Verbote bestimmter KI-Praktiken und Anforderungen an die KI-Alphabetisierung sind bereits seit dem 2. Februar 2025 gültig. Regelungen für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) folgten am 2. August 2025. Der größte Teil der Pflichten, insbesondere für sogenannte Hochrisiko-KI-Systeme, wird jedoch erst ab dem 2. August 2026 anwendbar sein. Diese Frist rückt somit schnell näher und erfordert konkretes Handeln.

Der AI Act definiert Hochrisiko-KI-Systeme als solche, die potenziell erhebliche Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen haben können. Dies betrifft eine breite Palette von Anwendungen, die im DACH-Arbeitsmarkt und darüber hinaus relevant sind. Beispiele hierfür sind:

* Personalmanagement: KI-Systeme, die zur Analyse und Filterung von Bewerbungen, zur Leistungsbewertung von Mitarbeitenden, zur Aufgabenverteilung oder zur Überwachung von Arbeitnehmern eingesetzt werden. Auch Entscheidungen über Beförderungen oder Kündigungen, die auf KI-Analysen basieren, fallen darunter. * Kritische Infrastruktur: KI-Anwendungen, die als Sicherheitskomponenten in essenziellen Bereichen wie dem Straßenverkehr, der Wasser- oder Energieversorgung fungieren. * Bildung und berufliche Bildung: KI-Systeme zur Bewertung von Lernergebnissen, zur Steuerung von Lernprozessen oder zur Überwachung von Prüfungen. * Finanzdienstleistungen: KI zur Bonitätsbewertung von natürlichen Personen oder zur Risikobewertung bei Lebens- und Krankenversicherungen.

Anbieter und Betreiber solcher Hochrisiko-Systeme müssen ab August 2026 eine Reihe strenger Anforderungen erfüllen. Dazu gehören umfassende Risikobewertungen und -minderungsmaßnahmen, die Sicherstellung einer hohen Datenqualität der Trainingsdatensätze, um diskriminierende Ergebnisse zu minimieren, sowie die lückenlose Protokollierung von Aktivitäten zur Nachvollziehbarkeit. Zudem sind detaillierte technische Dokumentationen, klare Informationen für den Anwender, eine angemessene menschliche Aufsicht und ein hohes Maß an Robustheit, Cybersicherheit und Genauigkeit zwingend vorgeschrieben. Dies ist keine optionale Empfehlung, sondern eine verbindliche rechtliche Vorgabe, deren Nichteinhaltung erhebliche Konsequenzen hat.

Deutschland schafft nationalen Rahmen: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG)

Die Bundesregierung hat die EU-Vorgaben ernst genommen und am 10. Februar 2026 einen Regierungsentwurf für das "KI-Marktüberwachungs- und Innovationsförderungs-Gesetz (KI-MIG)" verabschiedet. Dieses Gesetz ist essenziell, da der EU AI Act zwar direkt gilt, die Mitgliedstaaten aber eigene Aufsichts- und Bußgeldregelungen definieren müssen. Das KI-MIG legt die nationalen Zuständigkeiten und Durchsetzungsmechanismen in Deutschland fest.

Eine zentrale Rolle wird der Bundesnetzagentur (BNetzA) zugewiesen. Sie wird zur primären Marktüberwachungsbehörde und soll eine zentrale Anlauf- und Beschwerdestelle für Bürgerinnen und Bürger bieten. Darüber hinaus ist die Einrichtung eines Koordinierungs- und Kompetenzzentrums (KoKIVO) für KI-Expertise geplant. Zusätzlich bleiben sektorspezifische Behörden, wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Finanzsektor oder das Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM) für Medizinprodukte, weiterhin für KI-Anwendungen in ihren jeweiligen Zuständigkeitsbereichen verantwortlich. Dies verdeutlicht die Komplexität der neuen Landschaft: Unternehmen müssen nicht nur den AI Act verstehen, sondern auch die spezifischen nationalen Zuständigkeiten und deren Auslegung.

Das KI-MIG sieht auch Maßnahmen zur Innovationsförderung vor. Unter anderem soll die BNetzA mindestens ein KI-Reallabor einrichten, in dem neue Anwendungen unter Aufsicht getestet werden können. Hierbei wird ein bevorzugter Zugang für kleine und mittlere Unternehmen (KMU) sowie Start-ups angestrebt. Dies zeigt, dass die Regulierung nicht ausschließlich als Bremse verstanden wird, sondern auch als Rahmen für kontrollierte Innovation. Der jährliche Erfüllungsaufwand für Bund und Länder wird auf über 49 Millionen Euro geschätzt, was die Dimension der Aufgabe unterstreicht.

Kosten und Konsequenzen: Finanzielle Risiken der Nichteinhaltung

Die Konsequenzen bei Verstößen gegen den EU AI Act sind drastisch und übertreffen in einigen Fällen sogar die Bußgelder der Datenschutz-Grundverordnung (DSGVO). Dies unterstreicht die Ernsthaftigkeit, mit der die Europäische Union den Schutz vor potenziellen Risiken durch KI handhabt. Unternehmen im DACH-Raum sollten diese Strafen nicht unterschätzen:

* Verbotene KI-Praktiken: Für die Nichteinhaltung der Verbote bestimmter KI-Praktiken, wie subliminale Manipulation oder Social Scoring, drohen administrative Geldbußen von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Solche Praktiken sind von Grund auf untersagt und ihre Verwendung kann für ein Unternehmen existenzbedrohend sein. * Verstöße gegen andere Pflichten: Die Nichteinhaltung von Betreiberpflichten, wie sie für Hochrisiko-KI-Systeme gelten, kann mit Bußgeldern von bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes geahndet werden. Dies betrifft die technischen und organisatorischen Maßnahmen, die ab dem 2. August 2026 verbindlich sind. * Falsche oder irreführende Informationen: Das Bereitstellen von falschen, unvollständigen oder irreführenden Informationen an Behörden oder benannte Stellen kann zu Bußgeldern von bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes führen. Transparenz und wahrheitsgemäße Auskünfte sind somit nicht verhandelbar.

Für kleine und mittlere Unternehmen (KMU) sind die Bußgelder zwar proportional gestaltet, indem der niedrigere der beiden Beträge, fester Betrag versus Prozentsatz des Umsatzes, angewendet wird. Dennoch können selbst die niedrigsten Strafen für viele Start-ups und kleinere Mittelständler existenzbedrohend sein. Die Kosten für die initiale Compliance für ein einzelnes Hochrisiko-KI-System werden zwischen 80.000 und 250.000 Euro für Start-ups geschätzt. Große Unternehmen mit mehreren Implementierungen können sogar über eine Million Euro investieren müssen. Jährliche Wartungskosten können zusätzlich 15.000 bis 40.000 Euro betragen. Diese Zahlen machen deutlich, dass es sich um eine strategische Investition handelt und nicht um eine Randnotiz.

KI-Alphabetisierung: Mehr als nur eine Pflicht, eine Notwendigkeit

Eine oft übersehene, aber grundlegende Anforderung des EU AI Acts ist die KI-Alphabetisierung, auch als AI Literacy bekannt, gemäß Artikel 4. Diese Pflicht ist bereits seit dem 2. Februar 2025 in Kraft und gilt für alle Anbieter und Betreiber von KI-Systemen. Sie müssen sicherstellen, dass ihr Personal und andere Personen, die in ihrem Namen KI-Systeme bedienen und nutzen, über ein ausreichendes Maß an KI-Kompetenz verfügen.

KI-Alphabetisierung wird definiert als die Fähigkeiten, Kenntnisse und das Verständnis, die erforderlich sind, um KI-Systeme sachkundig einzusetzen und sich der Chancen, Risiken und potenziellen Schäden bewusst zu sein, die KI-Systeme mit sich bringen können. Dies bedeutet nicht nur ein rein technisches Verständnis für die Funktionsweise der Tools. Vielmehr umfasst es auch ein Bewusstsein für ethische, rechtliche und datenschutzrechtliche Implikationen. Mitarbeiter müssen in der Lage sein, die Ergebnisse von KI-Systemen kritisch zu hinterfragen, potenzielle Fehler oder Diskriminierungen zu erkennen und die Grenzen der Technologie zu verstehen.

Für Unternehmen bedeutet dies eine strategische Notwendigkeit, Schulungsmaßnahmen und deren Dokumentation unverzüglich anzugehen. Es geht darum, die Belegschaft zu befähigen, KI als Werkzeug verantwortungsbewusst zu nutzen, anstatt sich von ihr abhängig zu machen oder sie blind einzusetzen. Dies stärkt nicht nur die Compliance, sondern auch die Innovationsfähigkeit und das Vertrauen in die eigenen KI-Anwendungen. Kapitel H betrachtet dies als eine Kerninvestition in die Zukunftsfähigkeit eines jeden Unternehmens.

Die Schweizer Perspektive: Eigenständigkeit mit klaren Prinzipien

Die Schweiz, als Nicht-EU-Mitglied, verfolgt einen eigenständigen Ansatz zur Regulierung von KI, der sich vom umfassenden KI-Gesetz der EU unterscheidet. Der Bundesrat setzt auf einen sektorspezifischen Ansatz, der KI-Überlegungen in bestehende Gesetze integriert. Dieser Ansatz konzentriert sich auf drei Hauptziele: die Stärkung des Innovationsstandorts Schweiz, den Schutz der Grundrechte, einschließlich der Wirtschaftsfreiheit, und die Erhöhung des öffentlichen Vertrauens in KI-Technologien.

Das seit dem 1. September 2023 geltende Datenschutzgesetz des Bundes (DSG) ist dabei von zentraler Bedeutung und findet auf KI-gestützte Datenbearbeitungen direkt Anwendung. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) betont die Notwendigkeit von Transparenz über Zweck, Funktionalität und Datenquellen von KI-basierten Verarbeitungen sowie den Schutz der informationellen Selbstbestimmung. Diese Prinzipien decken sich weitgehend mit den Zielen des EU AI Acts, werden jedoch durch bestehende Gesetzgebung und nicht durch eine neue, umfassende Verordnung umgesetzt.

Im Februar 2026 hat der EDÖB zusammen mit über 60 weiteren nationalen Datenschutzbehörden eine gemeinsame Erklärung zu KI-generierten Bildern und dem Schutz der Privatsphäre veröffentlicht. Diese Erklärung liefert wichtige Leitplanken für den Umgang mit solchen Systemen. Die Schweiz beabsichtigt zudem, die KI-Konvention des Europarats in Schweizer Recht zu überführen, welche sich primär an staatliche Akteure richtet. Wo legislative Änderungen nötig sind, sollen diese sektorspezifisch erfolgen, während nur Schlüsselbereiche mit Bezug zu Grundrechten, wie der Datenschutz, allgemeiner, sektorübergreifender Regulierung unterliegen. Für Schweizer Unternehmen bedeutet dies, dass sie ihr bestehendes Datenschutz-Compliance-System aktiv auf KI-Anwendungen ausweiten müssen und die Entwicklungen in den jeweiligen Sektoren genau beobachten sollten.

Handlungsempfehlungen für den DACH-Mittelstand aus Kapitel H Sicht

Der 2. August 2026 ist kein fernes Datum, sondern ein unmittelbarer Meilenstein, der strategische Planung und konkretes Handeln erfordert. Unternehmen, die KI als strategischen Hebel nutzen wollen, müssen jetzt agieren. Aus der Perspektive von Kapitel H ist dies keine lästige Pflicht, sondern eine Investition in die Zukunftsfähigkeit und Wettbewerbsfähigkeit Ihres Unternehmens. Wir sehen dies als Chance, durch fundierte Compliance das Vertrauen in KI zu stärken und damit die Akzeptanz und den Nutzen dieser Technologien nachhaltig zu sichern.

1. KI-Inventarisierung und Risikobewertung: Identifizieren Sie alle in Ihrem Unternehmen eingesetzten oder entwickelten KI-Systeme. Klassifizieren Sie diese nach dem risikobasierten Ansatz des EU AI Acts. Eine detaillierte Bestandsaufnahme ist die Grundlage für jede weitere Compliance-Massnahme.

2. Compliance-Management etablieren: Für Hochrisiko-KI-Systeme müssen Sie umfassende Risikomanagement-, Datenmanagement- und Dokumentationssysteme einrichten. Denken Sie an die konkreten Kosten: initial zwischen 80.000 und 250.000 Euro pro Hochrisiko-KI-System für Start-ups, über eine Million Euro für große Unternehmen. Dazu kommen jährliche Wartungskosten von 15.000 bis 40.000 Euro. Diese Ausgaben sind kein Pappenstiel und müssen budgetiert werden.

3. KI-Alphabetisierung vorantreiben: Schulen Sie Ihre Mitarbeiter umfassend über die Möglichkeiten, Risiken und den verantwortungsvollen Umgang mit KI. Dies ist nicht nur eine gesetzliche Pflicht, die bereits in Kraft ist, sondern eine strategische Notwendigkeit. Befähigen Sie Ihr Team, KI als Werkzeug zu meistern und nicht nur zu konsumieren.

4. Spezifische DACH-Anforderungen beachten: Deutsche Unternehmen müssen das KI-MIG und die Zuständigkeiten der BNetzA sowie der Fachbehörden genau im Blick behalten. Schweizer Unternehmen sollten die direkte Anwendbarkeit des DSG auf KI, die Leitplanken des EDÖB und die Entwicklungen zur Europaratskonvention berücksichtigen. Eine pauschale Übernahme von EU-Richtlinien ist für Schweizer Betriebe nicht der richtige Weg, sondern eine angepasste, pragmatische Umsetzung.

5. Rechtliche und technische Beratung einholen: Angesichts der Komplexität und der potenziell hohen Strafen ist eine spezialisierte Rechts- und Technologieberatung unerlässlich. Klären Sie die spezifischen Pflichten für Ihr Geschäftsmodell und entwickeln Sie eine passgenaue Compliance-Strategie. Eigeninitiative ist gut, aber bei diesen Risiken ist professionelle Unterstützung kein Luxus, sondern eine Absicherung.

Fazit: Verantwortungsvolle KI als Wettbewerbsvorteil

Die neue Regulierungswelle im Bereich der Künstlichen Intelligenz im DACH-Raum ist eine Realität, die Unternehmen nicht ignorieren können. Der EU AI Act, ergänzt durch nationale Gesetze und sektorspezifische Regelungen, schafft einen verbindlichen Rahmen, dessen Nichteinhaltung erhebliche finanzielle und reputative Risiken birgt. Der 2. August 2026 markiert einen entscheidenden Punkt, an dem die meisten Pflichten für Hochrisiko-KI-Systeme vollumfänglich in Kraft treten. Es ist jetzt die Zeit, von der reinen Betrachtung zur aktiven Umsetzung zu schreiten.

Für den Mittelstand bedeutet dies, die Ärmel hochzukrempeln. Die Investition in KI-Compliance und KI-Alphabetisierung ist keine Belastung, sondern eine strategische Notwendigkeit. Sie ebnet den Weg für den vertrauenswürdigen und verantwortungsvollen Einsatz von KI, der das Potenzial hat, die Produktivität zu steigern, Innovationen voranzutreiben und neue Geschäftsfelder zu erschließen. Wer jetzt handelt, sichert sich nicht nur rechtlich ab, sondern positioniert sich auch als Vorreiter für eine ethische und zukunftsfähige Nutzung von Künstlicher Intelligenz. Dies ist der Kern der Befähigung, die Kapitel H seinen Kunden vermitteln möchte: Die Kontrolle über die Technologie zu behalten und sie zum eigenen Vorteil zu nutzen, ohne Abhängigkeiten oder unkalkulierbare Risiken einzugehen.