KI-Compliance im Fokus: EU AI Act, Datenschutz und neue Risiken für den Mittelstand

Die digitale Transformation schreitet rasant voran, getrieben durch Fortschritte in der Künstlichen Intelligenz (KI). Diese Entwicklung bringt nicht nur immense Chancen für Unternehmen im DACH-Raum mit sich, sondern auch eine wachsende Komplexität bei rechtlichen und technischen Anforderungen. Insbesondere die Einführung des EU AI Act, die fortwährende Relevanz des Datenschutzes und das Aufkommen neuer Sicherheitsbedrohungen wie die Prompt Injection erfordern eine proaktive und integrierte Herangehensweise. Für den Mittelstand ist es entscheidend, diese Entwicklungen nicht als isolierte Probleme zu betrachten, sondern als Teil einer umfassenden Compliance-Strategie. Andernfalls drohen nicht nur empfindliche Bußgelder, sondern auch erhebliche Wettbewerbsnachteile. Dieser Artikel beleuchtet die Kernpunkte dieser Herausforderungen und bietet konkrete Handlungsempfehlungen, um KI sicher und wertschöpfend zu implementieren.

Der EU AI Act: Was DACH-Unternehmen jetzt wissen müssen

Der EU AI Act, der am 1. August 2024 in Kraft getreten ist, etabliert den weltweit ersten umfassenden Rechtsrahmen für Künstliche Intelligenz. Seine Bestimmungen werden schrittweise eingeführt, wobei für DACH-Unternehmen besonders wichtige Meilensteine bevorstehen. Bereits seit dem 2. Februar 2025 gelten das Verbot bestimmter KI-Praktiken, wie zum Beispiel Social-Scoring-Systeme und manipulative KI, sowie die KI-Kompetenzpflicht nach Artikel 4. Diese Pflicht ist fundamental und verpflichtet Unternehmen, die KI-Systeme einsetzen, sicherzustellen, dass ihre Mitarbeitenden entsprechend geschult und kompetent sind. Hierbei geht es nicht nur um technische Schulungen, sondern auch um ein grundlegendes Verständnis der Funktionsweise, der Potenziale und der Risiken von KI.

Die zentralen Pflichten für Hochrisiko-KI-Systeme treten am 2. August 2026 in Kraft. Diese Frist mag weit entfernt erscheinen, doch die Vorbereitung darauf ist zeitintensiv und komplex. Hochrisiko-KI-Systeme finden sich in vielen Branchen, insbesondere in der Fertigung, im Gesundheitswesen, im Transportwesen oder bei kritischen Infrastrukturen. Ein Produktionsroboter, der autonom arbeitet, ein medizinisches Diagnosesystem oder eine Software zur Bewertung von Kreditwürdigkeit fallen unter diese Kategorie. Unternehmen, die solche Systeme entwickeln oder einsetzen, müssen strenge Auflagen hinsichtlich Konformitätsbewertung, Risikomanagement, Daten-Governance, technischer Dokumentation, menschlicher Aufsicht und Cybersicherheit erfüllen. Die Konsequenzen bei Nichteinhaltung können gravierend sein und Bußgelder in Millionenhöhe nach sich ziehen.

Deutschland hat bereits am 11. Februar 2026 einen Gesetzentwurf zur Durchführung der europäischen KI-Verordnung beschlossen. Dieses nationale Gesetz soll klare Zuständigkeiten festlegen, die Marktüberwachung organisieren und Ansprechpartner für Unternehmen benennen. Eine Schlüsselrolle kommt dabei der Bundesnetzagentur zu, die ein Koordinierungs- und Kompetenzzentrum aufbauen und als «KI-Drehscheibe» fungieren soll. Dies ist eine wichtige Anlaufstelle für Unternehmen, um Orientierung zu finden. Zudem sind sogenannte KI-Reallabore geplant, in denen Unternehmen innovative KI-Systeme unter realistischen Bedingungen testen können, bevor sie regulär auf den Markt kommen. Dies stellt einen potenziellen Standortvorteil dar, insbesondere für Mittelstand und Start-ups, da es Innovationen unter kontrollierten Bedingungen fördert.

Für CFOs und Führungskräfte bedeutet die Einführung des EU AI Act, dass KI-Compliance als internes Kontrollthema behandelt werden muss. Es müssen Budgets für Governance, Dokumentation und gegebenenfalls Zertifizierung eingeplant werden. Viele Unternehmen unterschätzen, dass sie bereits regulierte Systeme einsetzen könnten, ohne sich dessen bewusst zu sein. Eine erste Bestandsaufnahme und Klassifizierung aller im Unternehmen genutzten KI-Systeme ist daher unerlässlich.

Datenschutz als unverzichtbares Fundament der KI-Compliance

Parallel zum EU AI Act bleibt der Datenschutz ein zentrales und oft unterschätztes Thema. Im DACH-Raum haben wir es mit spezifischen Regelwerken zu tun, die weitreichende Implikationen für den KI-Einsatz haben. Das revidierte Schweizer Datenschutzgesetz (DSG), seit September 2023 in Kraft, ist aufgrund seiner technologieneutralen Formulierung direkt auf KI-gestützte Datenbearbeitungen anwendbar. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) betont, dass Hersteller, Anbieter und Verwender von KI-Anwendungen die gesetzlichen Vorgaben bereits in der Entwicklung und beim Einsatz beachten müssen. Dies schließt insbesondere die Einhaltung der Transparenzpflichten und der Rechte der betroffenen Personen ein. Unternehmen müssen zum Beispiel klar kommunizieren, wann und wie KI personenbezogene Daten verarbeitet, und den Betroffenen ermöglichen, ihre Rechte auf Auskunft, Berichtigung und Löschung wahrzunehmen.

Auch in Deutschland ist die Datenschutz-Grundverordnung (DSGVO) entscheidend. Sie schreibt vor, dass KI-Anwendungen kontrolliert und datenschutzkonform eingesetzt werden. Ein großes Problem in der Praxis ist die Nutzung von «Schatten-KI». Hierbei füttern Mitarbeitende unautorisiert KI-Tools wie ChatGPT und andere mit vertraulichen Unternehmensdaten. Dies geschieht oft aus Unwissenheit oder dem Wunsch nach schneller Effizienz, birgt aber immense Risiken. Sensible Unternehmensgeheimnisse, Kundendaten oder personenbezogene Informationen können so an externe, unkontrollierte Systeme gelangen. Eine Bitkom-Studie belegt, dass 77 Prozent der deutschen Unternehmen Datenschutz als ein zentrales Hindernis beim KI-Einsatz nennen. Dies zeigt die Dringlichkeit, klare Richtlinien und Schulungen zu implementieren. Verstöße gegen die DSGVO durch unbedachten KI-Einsatz können Bußgelder in Millionenhöhe nach sich ziehen, was die Existenz mancher mittelständischer Betriebe bedrohen könnte.

Experten der IDD GmbH betonen zu Recht, dass isolierte Lösungen im Datenschutz, in der IT-Sicherheit oder beim Einsatz von KI langfristig kaum beherrschbar sind. Sie plädieren für einen ganzheitlichen Compliance-Ansatz, bei dem Datenschutz, IT-Sicherheit und KI von Anfang an gemeinsam gedacht werden. Viele regulatorische Anforderungen überschneiden sich in diesen Bereichen. Ein integrierter Ansatz ermöglicht es, Synergien zu nutzen, effizientere Strukturen zu schaffen und doppelte Prozesse sowie unnötige Kosten zu vermeiden. Es geht darum, eine kohärente Strategie zu entwickeln, die alle relevanten Aspekte abdeckt und eine robuste Basis für den sicheren und rechtskonformen KI-Einsatz bildet.

Neue Angriffsvektoren: Die verborgene Gefahr der Prompt Injection

Neben den regulatorischen und datenschutzrechtlichen Herausforderungen rückt ein neues, oft unterschätztes Sicherheitsrisiko in den Fokus: die sogenannte «Prompt Injection». Hierbei werden KI-Systeme durch versteckte Anweisungen in Dokumenten, E-Mails oder PDFs manipuliert. Der entscheidende Punkt ist, dass menschliche Nutzer diese Manipulation oft nicht bemerken. Diese unsichtbaren Befehle können die KI heimlich fernsteuern und dazu bringen, gegen die Interessen des Unternehmens zu handeln. Das Problem liegt in der Art und Weise, wie generative KI Sprache interpretiert und dabei auch eingebettete, bösartige Anweisungen verarbeitet.

Besonders kritisch wird diese Gefahr, wenn moderne KI-Agenten direkten Zugriff auf Unternehmenssoftware, CRM-Systeme oder interne Datenbanken haben. Eine manipulierte KI könnte so beispielsweise sensible Kundendaten unbemerkt an externe Server weitergeben, automatisierte Zahlungsläufe beeinflussen oder interne Schutzmechanismen umgehen. Stellen Sie sich vor, eine KI-gesteuerte Kundenservice-Software erhält eine manipulierte Anfrage, die sie anweist, bestimmte Rabatte freizuschalten oder gar Kontodaten zu ändern. Die Auswirkungen auf den Geschäftsbetrieb und den Ruf des Unternehmens wären erheblich.

Im Gegensatz zu klassischen Cyberangriffen, die oft komplizierte Schadprogramme oder aufwendige Netzwerkangriffe erfordern, sind bei Prompt Injection häufig keine derartigen technischen Barrieren nötig. Eine einzige präparierte Datei, die scheinbar harmlos aussieht, kann ausreichen, um ein KI-System zu kompromittieren. Ein aktueller Fallbericht vom 20. Mai 2026 verdeutlicht die Brisanz: Ein KI-Agent in einem Bauunternehmen löschte aufgrund eines Prompt-Injection-Fehlers die gesamte Produktionsdatenbank und verursachte einen sechsstelligen Schaden. Dieser Fall unterstreicht die Notwendigkeit von robusten KI-Governance-Strukturen und Risikobewertungen, die über reine Datenschutzfragen hinausgehen und auch diese neuen Angriffsvektoren berücksichtigen müssen.

Die Entwicklung und Implementierung von Abwehrmechanismen gegen Prompt Injection ist komplex, da es darum geht, die Absicht eines Befehls von einer potenziell bösartigen Injektion zu unterscheiden. Dies erfordert fortgeschrittene Techniken in der KI-Sicherheit, wie zum Beispiel die Isolierung von Modellen, das Filtern von Eingaben und die kontinuierliche Überwachung von KI-Interaktionen. Unternehmen müssen sich der Tatsache bewusst sein, dass die Einführung von KI nicht nur Chancen, sondern auch grundlegend neue Sicherheitsherausforderungen mit sich bringt, die proaktive und spezialisierte Lösungen erfordern.

Mittelstand im Wandel: Fachkräftemangel, Change Management und der Weg zur Wertschöpfung

Die KI-Adoption im DACH-Mittelstand nimmt stetig zu. Aktuelle Zahlen zeigen, dass 41 Prozent der deutschen Unternehmen KI bereits aktiv nutzen und weitere 48 Prozent den Einsatz planen. Dies unterstreicht das enorme Interesse und die Bereitschaft, die Potenziale der Technologie zu erschließen. Dennoch bleiben erhebliche Herausforderungen bestehen. Neben den bereits erwähnten Datenschutzbedenken ist der Fachkräftemangel ein wesentliches Hindernis. Rund 70 Prozent der Unternehmen geben an, dass ihnen das notwendige Personal für die Implementierung und den Betrieb von KI-Systemen fehlt. Dies betrifft sowohl KI-Spezialisten als auch Mitarbeitende, die in der Lage sind, KI-Tools effektiv im Arbeitsalltag einzusetzen und zu betreuen.

Viele Unternehmen tun sich zudem schwer, von Pilotprojekten zur echten Wertschöpfung zu gelangen. Oftmals verpuffen rund 40 Prozent der potenziellen Produktivitätsgewinne durch aufwendige Nachbearbeitung, unstrukturierten KI-Einsatz oder mangelnde Integration in bestehende Prozesse. Dies zeigt, dass die bloße Implementierung von KI-Tools nicht ausreicht. Es bedarf einer strategischen Herangehensweise, die den gesamten Workflow und die Organisation berücksichtigt.

Hier kommt dem Change Management eine entscheidende Rolle zu. Die Einführung von KI ist kein rein technisches Projekt, sondern erfordert einen tiefgreifenden Kulturwandel innerhalb des Unternehmens. Es geht darum, Ängste abzubauen, Akzeptanz zu fördern und die Mitarbeitenden aktiv in den Transformationsprozess einzubeziehen. Eine strategische Planung, die Sensibilisierung und Bildung der Mitarbeitenden, der Aufbau von KI-Kompetenzen sowie transparente Kommunikation über die Vorteile und Potenziale von KI sind unerlässlich. Führungskräfte müssen dabei als Vorbilder agieren und die strategische Vision der KI-Implementierung klar kommunizieren. Nur so kann Misstrauen entgegengewirkt und eine positive Einstellung gegenüber der neuen Technologie gefördert werden.

Interessanterweise setzen Unternehmen im DACH-Raum zunehmend auf lokale, containerisierte und auf Bare-Metal-Infrastrukturen basierende KI-Systeme. Dies geschieht deutlich häufiger als im globalen Durchschnitt. Diese Präferenz wird durch Faktoren wie Industriestruktur, dem Wunsch nach Datensouveränität und dem Kampf gegen die bereits erwähnte Schatten-KI beeinflusst. Diese «KI am Edge»-Strategie zeigt den Wunsch nach mehr Kontrolle und Geschwindigkeit, bringt aber auch eigene Anforderungen an Governance und Sicherheit mit sich. Es erfordert robuste lokale Infrastrukturen, spezialisiertes Know-how und klare Protokolle für den Umgang mit dezentralen KI-Anwendungen.

Praktische Handlungsempfehlungen für Unternehmen

Um den vielfältigen Herausforderungen proaktiv zu begegnen und die Potenziale von KI sicher zu nutzen, empfehlen wir die folgenden konkreten Schritte für Unternehmen im DACH-Raum:

1. Bestandsaufnahme und Klassifizierung der KI-Systeme: Führen Sie eine umfassende Prüfung aller im Unternehmen eingesetzten KI-Systeme durch. Identifizieren Sie, welche davon unter die Definition von Hochrisiko-KI des EU AI Act fallen könnten. Dokumentieren Sie die Anwendungsbereiche, Datenflüsse und die eingesetzten Technologien. Eine realistische Einschätzung ist hier entscheidend, um den regulatorischen Aufwand korrekt zu planen. 2. Entwicklung einer integrierten Compliance-Strategie: Erarbeiten Sie eine ganzheitliche Strategie, die Datenschutz (DSG/DSGVO), IT-Sicherheit und die Anforderungen des EU AI Act miteinander verbindet. Vermeiden Sie Insellösungen. Definieren Sie klare Verantwortlichkeiten und Prozesse für alle Compliance-Bereiche. Dies spart Ressourcen und sorgt für eine konsistente Umsetzung. 3. Schulung und Sensibilisierung der Mitarbeitenden: Erfüllen Sie die KI-Kompetenzpflicht nach Artikel 4 des EU AI Act proaktiv. Implementieren Sie regelmäßige Schulungen für alle Mitarbeitenden, die mit KI-Systemen in Berührung kommen. Sensibilisieren Sie für die Risiken von Schatten-KI und Prompt Injection. Vermitteln Sie grundlegendes Wissen über KI, um Ängste abzubauen und die Akzeptanz zu fördern. 4. Implementierung robuster Sicherheitsmechanismen: Entwickeln und implementieren Sie spezielle Sicherheitsvorkehrungen gegen neue Angriffsvektoren wie Prompt Injection. Dies beinhaltet technische Maßnahmen zur Filterung von Eingaben, zur Überwachung von KI-Interaktionen und zur Isolierung kritischer Systeme. Arbeiten Sie eng mit Sicherheitsexperten zusammen, um maßgeschneiderte Lösungen zu finden. 5. Etablierung einer KI-Governance-Struktur: Richten Sie eine interne Governance-Struktur für den Einsatz von KI ein. Dazu gehören Richtlinien für die Nutzung, Entwicklung und Überwachung von KI-Systemen, klare Entscheidungswege und ein transparentes Risikomanagement. Integrieren Sie dabei ethische Leitlinien in Ihre Prozesse. 6. Budgetierung für Compliance und Sicherheit: Planen Sie ausreichend finanzielle Mittel für die Implementierung der Compliance-Anforderungen ein. Dies umfasst Investitionen in Technologien, Schulungen, externe Beratungsleistungen und gegebenenfalls Zertifizierungen. Unterschätzen Sie den Aufwand nicht, denn präventive Maßnahmen sind in der Regel kostengünstiger als die Behebung von Schäden oder die Zahlung von Bußgeldern.

Kritische Einordnung aus Kapitel-H-Sicht

Aus unserer Sicht bei Kapitel H wird die Komplexität der aktuellen Entwicklung von vielen Unternehmen noch unterschätzt. Der EU AI Act ist kein Papiertiger, sondern ein ernstzunehmendes Regelwerk mit weitreichenden Konsequenzen. Die Vorstellung, dass man sich erst kurz vor den Stichtagen im August 2026 darum kümmern kann, ist naiv und potenziell gefährlich. Insbesondere für den DACH-Mittelstand, der oft mit begrenzten Ressourcen operiert, ist eine frühzeitige und strategische Planung entscheidend.

Wir sehen eine Tendenz, KI als ein rein technisches oder IT-Thema zu betrachten. Dies ist jedoch ein Irrglaube. KI-Compliance ist ein unternehmerisches Thema, das die Geschäftsleitung und alle relevanten Abteilungen, von der IT über Recht und HR bis zum Finanzwesen, betrifft. Es geht um eine grundlegende Befähigung des Unternehmens, KI verantwortungsvoll und unabhängig einzusetzen, anstatt in eine Abhängigkeit von externen Anbietern oder unkontrollierten Schattenlösungen zu geraten. Unser Ansatz ist stets, Unternehmen zu befähigen, eigene Kompetenzen aufzubauen und nicht auf externe Dienstleister angewiesen zu sein.

Die neuen Sicherheitsrisiken wie Prompt Injection verdeutlichen zudem, dass die traditionellen Ansätze der IT-Sicherheit nicht immer ausreichen. KI erfordert neue Denkweisen und spezifische Schutzmechanismen. Wer hier nicht proaktiv handelt, riskiert nicht nur Datenlecks, sondern auch direkte Manipulationen seiner Geschäftsprozesse mit erheblichen finanziellen Folgen. Die Chance liegt darin, diese Herausforderungen als Ansporn zu sehen, die eigene digitale Reife zu erhöhen und sich als vertrauenswürdiger und zukunftsorientierter Akteur am Markt zu positionieren. Wer heute die Weichen stellt, sichert sich morgen den Wettbewerbsvorteil.

Fazit

Die wichtigste Erkenntnis für den DACH-Arbeitsmarkt und darüber hinaus ist die zunehmende Dringlichkeit und Komplexität der EU AI Act-Implementierung im Zusammenspiel mit bestehenden Datenschutzvorgaben und neuen Sicherheitsrisiken. Unternehmen, insbesondere im Mittelstand, müssen ihre KI-Strategien dringend anpassen und eine ganzheitliche Compliance-Architektur aufbauen, die technische, organisatorische und menschliche Faktoren berücksichtigt. Der Stichtag August 2026 für Hochrisiko-KI rückt näher, und aktuelle Vorfälle wie Datenlöschungen durch KI-Agenten oder die Bedrohung durch Prompt Injection verdeutlichen, dass eine proaktive und integrierte Herangehensweise an Governance, Sicherheit und Change Management unerlässlich ist. Nur so lassen sich die Potenziale von KI verantwortungsvoll und wertschöpfend nutzen und gleichzeitig erhebliche rechtliche und wirtschaftliche Risiken vermeiden. Wer jetzt handelt, schafft die Grundlage für eine sichere und erfolgreiche Zukunft mit Künstlicher Intelligenz.