KI-Regulierung im DACH-Raum: Der EU AI Act und seine Praxisrelevanz

Der Einsatz von Künstlicher Intelligenz (KI) prägt zunehmend die Arbeitswelt in Unternehmen. Eine der wichtigsten Entwicklungen der letzten Monate, die deutschsprachige Unternehmen im DACH-Raum nachhaltig beeinflusst, ist die fortlaufende Implementierung und die sich entwickelnde Regulierung des EU AI Act. Dieses Gesetz, das als weltweit erstes umfassendes KI-Regelwerk gilt, stellt Betriebe vor konkrete und teils dringende Aufgaben, insbesondere im Hinblick auf Compliance, Datenschutz und die Förderung der sogenannten "AI Literacy", also der KI-Kompetenz der Mitarbeitenden. Es handelt sich hierbei nicht um eine statische Anforderung, sondern um einen dynamischen Prozess mit gestaffelten Umsetzungszeitplänen und kontinuierlichen Anpassungen durch die EU-Kommission. Unternehmen sind daher gefordert, ihre Strategien und Prozesse kontinuierlich zu überprüfen und anzupassen.

Der EU AI Act: Ein dynamischer Rechtsrahmen und seine Etappen

Der EU AI Act ist seit dem 1. August 2024 grundsätzlich in Kraft und markiert einen Wendepunkt für die Entwicklung und den Einsatz von KI. Seine gestaffelte Umsetzung erfordert jedoch eine konstante Überwachung und Anpassung seitens der Unternehmen im DACH-Raum. Diese schrittweise Einführung ermöglicht es den Betrieben, sich auf die kommenden Anforderungen vorzubereiten, erfordert aber gleichzeitig eine vorausschauende Planung und Investition in die Anpassung interner Prozesse und die Schulung der Mitarbeitenden.

Die ersten Regelungen traten bereits im Februar 2025 in Kraft. Dazu gehören Verbote für KI-Systeme mit "inakzeptablem Risiko", wie beispielsweise Systeme zur Echtzeit-Gesichtserkennung im öffentlichen Raum oder zur Verhaltensmanipulation, dem sogenannten "Social Scoring". Gleichzeitig wurde mit dem 2. Februar 2025 die "KI-Kompetenz-Pflicht" (AI Literacy) wirksam. Diese verpflichtet Anbieter und Betreiber von KI-Systemen jeglichen Risikotyps dazu, sicherzustellen, dass ihr Personal über ein ausreichendes Maß an KI-Kompetenz verfügt. Dies ist eine grundlegende Anforderung, um KI-Systeme sicher, effizient und gesetzeskonform einsetzen zu können.

Weitere wichtige Regelungen folgten im August 2025. Ab diesem Zeitpunkt wurden die Dokumentations- und Informationspflichten für Anbieter von KI-Systemen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI) wirksam. Dazu zählen viele der heute gebräuchlichen großen Sprachmodelle und generativen KI-Systeme. Ebenfalls in diesem Zeitraum traten die Strafbestimmungen bezüglich des Einsatzes verbotener KI-Systeme in Kraft, was die Dringlichkeit der Compliance weiter erhöht.

Die umfassendsten Pflichten und strengsten Vorgaben betreffen "Hochrisiko-KI-Systeme", für die der AI Act detaillierte Anforderungen an Risikomanagement, Datenqualität, technische Dokumentation, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit vorsieht. Ursprünglich sollten viele dieser Regeln bereits im August 2026 greifen. Eine wesentliche Entwicklung aus dem November 2025, die sich bis in das Jahr 2026 hinein fortsetzt, ist jedoch der Vorschlag der EU-Kommission, die Anwendung der Hochrisiko-KI-Regeln im Rahmen eines "Digital Omnibus" zu entschärfen und die Timelines anzupassen. Dies könnte bedeuten, dass einige Bestimmungen erst im August 2027 wirksam werden. Diese Anpassung, begründet mit der Verzögerung von Standards und Support-Tools, zielt darauf ab, die Implementierung für Unternehmen, insbesondere kleine und mittlere Unternehmen (KMU) und Small Mid Cap Companies (SMCs), zu erleichtern und ihnen bis zu 5 Milliarden Euro an administrativen Kosten bis 2029 zu ersparen. Diese Flexibilität zeigt, dass die EU-Kommission pragmatische Lösungen sucht, um die Belastung für die Wirtschaft zu mindern, ohne die Kernziele des AI Act zu verwässern.

Konkrete Auswirkungen für DACH-Unternehmen: Compliance, Datenschutz und AI Literacy

Die gestaffelte Umsetzung und die dynamische Anpassung des EU AI Act sind für Unternehmen im DACH-Raum keine abstrakten Theorien, sondern haben direkte und konkrete Auswirkungen auf den Geschäftsalltag. Es ist entscheidend, diese Entwicklungen nicht als isolierte Rechtsakte zu betrachten, sondern als integrierten Rahmen, der eine strategische Neuausrichtung erfordert.

Die Einhaltung des AI Act ist eine fortlaufende Aufgabe, keine einmalige Maßnahme. Unternehmen müssen ihre eingesetzten KI-Produkte und -Prozesse kontinuierlich auf Konformität prüfen und gegebenenfalls an die geltenden Vorschriften anpassen. Bei Verstößen drohen empfindliche Bußgelder zwischen 750.000 und 35 Millionen Euro oder bis zu 7 Prozent des weltweiten Jahresumsatzes. Solche Strafen können insbesondere für mittelständische Unternehmen existenzbedrohend sein. In Deutschland koordiniert eine Task Force unter Federführung des Bundesministeriums für Digitales und Verkehr die nationale Implementierung. Österreich hat eine KI-Servicestelle bei der Regulierungsbehörde RTR GmbH eingerichtet, um Unternehmen bei der Umsetzung zu unterstützen. Die Schweiz, obwohl kein EU-Mitglied, orientiert sich an der Ratifizierung der Konvention des Europarats zu Künstlicher Intelligenz, um Grundrechtsschutz und Innovationsförderung in Einklang zu bringen. Dies zeigt, dass auch außerhalb der EU eine Anpassung an internationale Standards unerlässlich ist.

Eng verknüpft mit dem AI Act ist der Datenschutz gemäß der Datenschutz-Grundverordnung (DSGVO). Da viele KI-Systeme personenbezogene Daten verarbeiten, müssen Unternehmen sicherstellen, dass ihre Datenverarbeitung DSGVO-konform ist. Ein zentrales Risiko besteht im Kontrollverlust über Daten, wenn Mitarbeitende unbedacht vertrauliche Informationen in öffentliche oder nicht vertraglich abgesicherte KI-Systeme eingeben, deren Server womöglich außerhalb der EU stehen. Dies kann nicht nur zu Bußgeldern führen, sondern auch den Verlust des Vertrauens von Kunden und Geschäftspartnern nach sich ziehen. Die DSGVO fordert Prinzipien wie Zweckbindung, Datenminimierung, Einwilligung und die Einhaltung von Betroffenenrechten, die auch beim KI-Einsatz zwingend zu beachten sind. Unternehmen müssen daher klare Richtlinien für den sicheren KI-Einsatz festlegen und ihre Mitarbeitenden regelmäßig schulen, um sowohl rechtliche als auch reputationsbezogene Schäden zu vermeiden.

Die im Februar 2025 in Kraft getretene Pflicht zur KI-Kompetenz, die sogenannte "AI Literacy", unterstreicht die Bedeutung der Mitarbeiterbefähigung. Studien belegen, dass bereits viele Arbeitnehmende KI im Berufs- oder Privatleben nutzen. Die effektive und sichere Integration dieser Technologien in Unternehmensprozesse bleibt jedoch eine Herausforderung. Die Einführung von KI ist kein reines IT-Projekt. Es ist ein umfassender Veränderungsprozess, der Führung, Vertrauen, eine klare Governance und die gezielte Befähigung der Mitarbeitenden erfordert. Nur wenn Mitarbeitende verstehen, wie KI ihre tägliche Arbeit verbessert und welche Grenzen zu beachten sind, können Unternehmen den gewünschten Return on Investment (ROI) erzielen. Diese Befähigung geht über technische Kenntnisse hinaus. Sie umfasst auch das Verständnis für ethische Aspekte, Datenschutz und die kritische Bewertung von KI-Ergebnissen.

Herausforderungen im Mittelstand und neue Kompetenzprofile

Gerade der Mittelstand im DACH-Raum steht vor spezifischen Herausforderungen bei der Umsetzung des EU AI Act und der Integration von KI-Technologien. Die Bereitschaft zum Einsatz von KI wächst zwar, mit 20 Prozent der Unternehmen, die bereits KI nutzen, und weiteren 32 Prozent, die den Einstieg planen. Der wirtschaftliche Impact bleibt jedoch oft hinter den Erwartungen zurück. Diese "Umsetzungslücke" ist häufig auf organisatorische Hürden, einen Hang zum Perfektionismus sowie Sicherheits- und Datenschutzbedenken zurückzuführen. Viele Pilotprojekte versanden, weil die Unternehmen zögern, KI umfassend einzusetzen, bevor sie vollständig integriert und bis ins kleinste Detail abgesichert ist. Dieses Zögern verlangsamt nicht nur die potenziellen Produktivitätssteigerungen, sondern auch die Prozessoptimierung, die KI ermöglichen könnte. Es gilt, einen pragmatischen Mittelweg zwischen Sorgfalt und Agilität zu finden.

Die sich wandelnde Arbeitswelt durch KI führt zudem zu neuen Anforderungen an die Belegschaft und erfordert die Entwicklung neuer Kompetenzprofile. Insbesondere in Bereichen wie Controlling und Finanzwesen entstehen neue Schlüsselrollen, wie beispielsweise der "KI-Manager für das Controlling". Diese Funktion agiert an der Schnittstelle zwischen Datenanalyse, Technologie und strategischem Finanzmanagement. Zu den Aufgaben gehören die Identifikation von KI-Potenzialen, die Auswahl geeigneter Tools, die Steuerung von KI-Projekten, die Sicherstellung der Compliance mit dem EU AI Act und der DSGVO sowie Change-Management-Maßnahmen und die Schulung der Belegschaft. Die Finanzbranche erlebt hier eine "erzwungene Evolution", bei der KI nicht Berufe ersetzt, sondern spezifische, oft repetitive Aufgaben eliminiert und verschiebt. Der Fokus verlagert sich von manueller Datenerfassung hin zur Dateninterpretation, der Validierung von KI-Ergebnissen und der strategischen Planung. Unternehmen müssen aktiv in die Weiterbildung ihrer Mitarbeitenden investieren, um diese neuen Rollen zu besetzen und die Vorteile der KI voll ausschöpfen zu können.

Praktische Handlungsempfehlungen für Unternehmen

Um den Herausforderungen des EU AI Act und der dynamischen KI-Entwicklung erfolgreich zu begegnen, sollten Unternehmen im DACH-Raum konkrete Schritte unternehmen:

1. KI-Strategie entwickeln: Eine klare Strategie definiert, welche KI-Systeme wann und wofür eingesetzt werden sollen. Diese Strategie muss die rechtlichen Rahmenbedingungen des EU AI Act und der DSGVO von Beginn an integrieren. 2. Bestandsaufnahme und Risikobewertung: Identifizieren Sie alle aktuell genutzten KI-Systeme, auch solche, die von Mitarbeitenden eigenständig eingeführt wurden. Klassifizieren Sie diese nach dem Risiko, das der AI Act vorgibt (inakzeptabel, hoch, begrenzt, minimal). Führen Sie eine detaillierte Risikobewertung durch, um mögliche Compliance-Lücken zu identifizieren. 3. Interne Richtlinien und Governance etablieren: Erarbeiten Sie klare Richtlinien für den sicheren und gesetzeskonformen Einsatz von KI. Definieren Sie Verantwortlichkeiten, Genehmigungsprozesse und Prüfmechanismen. Eine zentrale Governance-Struktur hilft, den Überblick zu behalten und die Einhaltung zu gewährleisten. 4. Mitarbeiter schulen und AI Literacy fördern: Investieren Sie in umfassende Schulungsprogramme, die technische Aspekte, Datenschutzbestimmungen, ethische Grundsätze und die unternehmensinternen Richtlinien abdecken. Fördern Sie ein "KI-Awareness-Programm", das alle Mitarbeitenden erreicht und ihnen die notwendige Kompetenz vermittelt. 5. Datenschutzprüfung und -management: Führen Sie regelmäßige Datenschutz-Folgenabschätzungen für KI-Projekte durch. Stellen Sie sicher, dass alle Datenverarbeitungsprozesse den Anforderungen der DSGVO entsprechen, insbesondere bei der Nutzung externer KI-Dienste. Sensibilisieren Sie Mitarbeitende für den verantwortungsvollen Umgang mit Daten bei der KI-Nutzung. 6. Kontinuierliche Überwachung der Regulierung: Der EU AI Act ist ein dynamisches Gesetz. Ernennen Sie verantwortliche Personen oder Teams, die die weiteren Entwicklungen und Anpassungen des Gesetzes kontinuierlich verfolgen und das Unternehmen proaktiv informieren. Eine Rechtsabteilung oder externe Berater können hier wertvolle Unterstützung leisten. 7. Pragmatische Pilotprojekte vorantreiben: Anstatt auf die perfekte, vollumfängliche Lösung zu warten, starten Sie mit überschaubaren Pilotprojekten. Lernen Sie aus diesen Erfahrungen, iterieren Sie und skalieren Sie erfolgreiche Anwendungen schrittweise. Dies hilft, die "Umsetzungslücke" zu schließen und frühzeitig konkreten Nutzen zu generieren.

Kritische Einordnung aus Kapitel-H-Sicht

Die Regelungen des EU AI Act sind umfassend und stellen den Mittelstand im DACH-Raum zweifellos vor grosse Herausforderungen. Aus unserer Sicht bei Kapitel H ist es jedoch entscheidend, sich nicht von der Komplexität lähmen zu lassen. Die Haltung des "Abwartens" oder des "Perfektionismus", bevor überhaupt ein erster Schritt getan wird, ist kontraproduktiv. Sie führt dazu, dass Unternehmen wertvolle Zeit und Innovationspotenziale verlieren. Der EU AI Act ist keine Innovationsbremse per se, sondern ein Rahmenwerk, das einen verantwortungsvollen und vertrauenswürdigen Einsatz von KI fördern soll. Dies ist langfristig ein Wettbewerbsvorteil.

Wir sehen die "Umsetzungslücke" im Mittelstand als eine Frage der Priorisierung und des pragmatischen Vorgehens. Es geht nicht darum, von heute auf morgen jedes KI-System bis ins letzte Detail zu auditieren. Vielmehr ist eine schrittweise, risikobasierte Annäherung gefragt. Beginnen Sie mit den Bereichen, in denen das Risiko potenziell am höchsten ist oder in denen die rechtlichen Anforderungen bereits heute greifen, wie etwa die AI Literacy Pflicht. Etablieren Sie eine solide Basis an internen Kompetenzen und Governance-Strukturen, anstatt sich ausschliesslich auf externe Dienstleister zu verlassen. Unser Ansatz der Befähigung, statt Abhängigkeit zu schaffen, ist hier essenziell. Unternehmen müssen die Kontrolle über ihre KI-Strategie und -Implementierung behalten. Das bedeutet auch, realistische Erwartungen an KI zu haben und den Hype kritisch zu hinterfragen. Der Fokus sollte immer auf dem konkreten Mehrwert für das eigene Geschäft liegen, unter Einhaltung der rechtlichen Vorgaben.

Fazit

Die fortschreitende und dynamische Implementierung des EU AI Act ist die zentrale KI-Nachricht für den DACH-Arbeitsmarkt der letzten Monate und Jahre. Es handelt sich um einen kontinuierlichen Prozess, der sich durch neue Übergangsfristen, Klarstellungen und Anpassungen manifestiert. Für DACH-Unternehmen bedeutet dies die ständige Notwendigkeit, ihre internen Prozesse, ihre Mitarbeiterkompetenzen und ihre technologischen Architekturen an die sich entwickelnden regulatorischen Vorgaben anzupassen. Insbesondere die Bereiche Compliance mit Hochrisiko-Anwendungen, Datenschutz und die Förderung der "AI Literacy" sind von höchster Relevanz. Eine proaktive und pragmatische Herangehensweise, die auf Befähigung und klar definierte Strategien setzt, ist entscheidend. Nur so können Unternehmen die Chancen der Künstlichen Intelligenz voll ausschöpfen und gleichzeitig rechtliche Risiken minimieren, um im digitalen Wettbewerb erfolgreich zu bestehen.