KI-Regulierung im DACH-Raum: Fristen, Pflichten und der Schweizer Weg

Der Einsatz künstlicher Intelligenz ist längst keine Zukunftsvision mehr, sondern operative Realität in vielen Unternehmen. Mit dieser Entwicklung gehen auch neue regulatorische Anforderungen einher, die den Rechtsrahmen für KI-Systeme definieren. Besonders relevant ist hierbei der EU AI Act, der als weltweit erster umfassender Rechtsrahmen für künstliche Intelligenz weitreichende Konsequenzen für Unternehmen im deutschsprachigen Raum hat.

Obwohl die Verordnung bereits im August 2024 in Kraft getreten ist, sind die gestaffelten Anwendungsfristen für viele Unternehmen noch immer eine Herausforderung. Mit dem 2. August 2026 steht eine kritische Marke bevor, die insbesondere Hochrisiko-KI-Systeme betrifft. Gleichzeitig verfolgt die Schweiz einen eigenständigen, pragmatischen Ansatz. Diese divergierenden Regulierungswege schaffen eine komplexe, aber auch chancenreiche Landschaft für den Mittelstand in Deutschland, Österreich und der Schweiz. Es ist jetzt an der Zeit, sich aktiv mit diesen Entwicklungen auseinanderzusetzen, um nicht nur Compliance zu gewährleisten, sondern auch das volle Potenzial der KI sicher und verantwortungsvoll zu erschliessen.

Der EU AI Act: Ein risikobasierter Rechtsrahmen und seine Fristen

Der EU AI Act, offiziell als Verordnung (EU) 2024/1689 bekannt, etabliert ein risikobasiertes System für die Regulierung von KI. Dies bedeutet, dass die Anforderungen an KI-Systeme proportional zu ihrem potenziellen Schadensrisiko variieren. Das Spektrum reicht von verbotenen Praktiken über Hochrisiko-KI-Systeme bis hin zu Systemen mit geringem oder minimalem Risiko, für die geringere Anforderungen gelten.

Die wichtigsten Anwendungsfristen im Überblick sind:

* 2. Februar 2025: KI-Systeme mit "inakzeptablem Risiko" sind verboten. Dies betrifft beispielsweise Systeme, die Verhaltensmanipulation nutzen, die eine Person von freier Willensbildung abhalten, oder biometrische Identifikationssysteme in Echtzeit im öffentlichen Raum für Strafverfolgungszwecke, es sei denn, spezifische Ausnahmen greifen. * 2. August 2026: Ab diesem Datum gelten wesentliche Bestimmungen des AI Act, insbesondere für viele "Hochrisiko-KI-Systeme". Unternehmen müssen hier Compliance-Verpflichtungen einhalten. Dazu gehören Systeme, die in kritischen Infrastrukturen, bei der Personalauswahl, im Gesundheitswesen, im Bildungsbereich oder im Kreditwesen zum Einsatz kommen können. Die Klassifizierung als Hochrisiko-System hängt vom Verwendungszweck und dem potenziellen Schaden ab, den das System verursachen kann. * 2. August 2027: Die vollständige Anwendbarkeit für die in Anhang I des AI Act genannten Hochrisikosysteme wird erreicht. Dies betrifft eine breitere Palette von Anwendungen, die ebenfalls als Hochrisiko eingestuft sind.

Für Unternehmen bedeutet dies eine gestaffelte Implementierung von Massnahmen. Es reicht nicht aus, nur auf die letzte Frist zu warten. Die frühzeitige Identifikation und Klassifizierung der genutzten oder entwickelten KI-Systeme ist entscheidend, um die jeweiligen Compliance-Anforderungen rechtzeitig zu erfüllen. Insbesondere die Definition und die Kriterien für Hochrisiko-KI-Systeme erfordern eine genaue Prüfung der eigenen Anwendungsfälle.

Deutschlands Weg: Nationale Umsetzung und konkrete Pflichten für Unternehmen

Deutschland treibt die nationale Umsetzung des EU AI Act aktiv voran. Das Bundesministerium für Digitales und Verkehr (BMDV) hat bereits im September 2025 einen Referentenentwurf für ein KI-Marktüberwachungsgesetz (KIMÜG) vorgestellt. Dieses Gesetz bildet die Grundlage für die nationalen Aufsichts- und Notifizierungsstrukturen und präzisiert die Zuständigkeiten.

Als primäre Marktüberwachungsbehörde und nationale zentrale Anlaufstelle ist die Bundesnetzagentur (BNetzA) vorgesehen. Innerhalb der BNetzA soll eine unabhängige KI-Marktüberwachungskammer eingerichtet werden. Dies unterstreicht die Ernsthaftigkeit, mit der die Einhaltung der Vorschriften in Deutschland durchgesetzt werden soll. Branchenspezifische Behörden, wie die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) im Finanzsektor, werden ihre jeweiligen Zuständigkeiten für Hochrisiko-KI-Systeme in ihrem Bereich beibehalten.

Für deutsche Unternehmen ergeben sich hieraus konkrete Handlungspflichten. Es ist unerlässlich, sich aktiv auf die kommenden Vorschriften vorzubereiten. Dies umfasst unter anderem:

* Implementierung von Risikomanagementsystemen: Unternehmen müssen Systeme etablieren, die die Risiken ihrer KI-Anwendungen identifizieren, bewerten und mindern. * Sicherstellung von Transparenz und Erklärbarkeit: KI-Entscheidungen müssen nachvollziehbar und erklärbar sein. Dies ist besonders wichtig bei Anwendungen, die individuelle Rechte oder Interessen betreffen, etwa im Personalwesen oder bei Kreditentscheidungen. * Gewährleistung menschlicher Aufsicht: Hochrisiko-KI-Systeme dürfen nicht völlig autonom agieren. Es muss stets die Möglichkeit zur menschlichen Überprüfung und Übersteuerung der KI-Entscheidungen gegeben sein. * Robuste Datenqualitäts- und Governance-Prozesse: Die Qualität der Daten, mit denen KI-Systeme trainiert werden, ist entscheidend für ihre Leistung und Fairness. Entsprechende Prozesse müssen etabliert werden.

Ein besonders kritisches Feld sind sogenannte "agentic AI"-Systeme, die in der Industrie zur Prozessoptimierung oder Qualitätskontrolle eingesetzt werden. Jede autonome Anpassung durch solche Systeme muss protokolliert, erklärbar und durch menschliche Eingriffe übersteuerbar sein. Die Nichtbeachtung dieser Vorschriften kann gravierende Folgen haben. Der EU AI Act sieht erhebliche Bußgelder vor, die bis zu 4 Prozent des weltweiten Jahresumsatzes oder 20 Millionen Euro betragen können, je nachdem, welcher Betrag höher ist. Dies verdeutlicht den hohen Stellenwert der Compliance.

Eine besondere Herausforderung ist zudem die sogenannte "Shadow AI". Dies sind KI-Anwendungen, die Mitarbeiter ohne das Wissen oder die formelle Genehmigung der IT-Abteilung nutzen. Eine aktuelle Umfrage (Lenovo Work Reborn Report, Dez. 2025 – Jan. 2026) zeigt, dass über 70 Prozent der Angestellten wöchentlich KI-Tools verwenden, aber etwa ein Drittel davon ohne IT-Überwachung. Dies birgt erhebliche Sicherheits- und Compliance-Risiken, die bei Verstössen gegen den AI Act direkt auf das Unternehmen zurückfallen können. Unternehmen müssen interne Richtlinien und Schulungen einführen, um dieses Risiko zu minimieren.

Positiv hervorzuheben sind die geplanten nationalen KI-"Regulatory Sandboxes/Labs". Diese sollen bis zum 2. August 2026 eingerichtet werden und prioritären Zugang für KMU und Start-ups bieten. Dort können Hochrisiko-KI-Systeme unter realen Bedingungen getestet und validiert werden, was einen wertvollen Lernraum und eine Unterstützung bei der Erfüllung der Anforderungen darstellt.

Schweizer Pragmatismus: Sektorieller Ansatz statt umfassendes KI-Gesetz

Im Gegensatz zur Europäischen Union verfolgt die Schweiz einen bewusst anderen, "pragmatischen Mittelweg" bei der KI-Regulierung. Anstatt eines umfassenden, branchenübergreifenden KI-Gesetzes, setzt der Bundesrat auf einen sektoriellen Ansatz. Dies bedeutet, dass bestehende Gesetze gezielt angepasst und branchenspezifische Regeln entwickelt werden sollen. Beispiele hierfür sind das Gesundheitswesen oder der Finanzdienstleistungssektor.

Der Bundesrat hat im Februar 2025 entschieden, die Konvention des Europarats zu KI zu ratifizieren. Diese Konvention legt ethische und rechtliche Mindeststandards fest, die als Leitlinie für die schweizerische Regulierung dienen. Ziel dieses Vorgehens ist es, die Innovationskraft der Schweizer Wirtschaft nicht unnötig zu behindern und gleichzeitig einen sicheren und verantwortungsvollen Rechtsrahmen zu gewährleisten. Eine allgemeine, sektorübergreifende Regulierung soll sich primär auf grundrechtsrelevante Bereiche wie den Datenschutz beschränken.

Bis Ende 2026 soll eine Vernehmlassungsvorlage des Eidgenössischen Justiz- und Polizeidepartements (EJPD) in Zusammenarbeit mit dem UVEK und EDA erarbeitet werden, um die KI-Konvention in nationales Recht umzusetzen. Dies gibt Schweizer Unternehmen, insbesondere KMU, die Möglichkeit, sich auf gezielte Anpassungen einzustellen. Der Fokus liegt dabei auf wesentlichen Prinzipien wie Transparenz, Datenschutz, Nichtdiskriminierung und menschlicher Aufsicht. Obwohl kein umfassendes KI-Gesetz geplant ist, bedeutet dies nicht, dass Schweizer Unternehmen frei von Pflichten sind.

Bereits heute ist der datenschutzkonforme Umgang mit KI in Schweizer KMU eine Herausforderung. Lediglich ein Drittel der Unternehmen hat hierfür klare Regeln festgelegt. Das revidierte Datenschutzgesetz (DSG), das 2023 in Kraft trat, verlangt transparente Datennutzung und Datensicherheit. Diese Anforderungen gelten uneingeschränkt auch für den Einsatz von KI-Systemen. Unternehmen müssen sicherstellen, dass KI-Modelle keine unzulässigen Personendaten verarbeiten, dass Transparenz über die Datenverarbeitung besteht und dass die Datensicherheit gewährleistet ist. Der vermeintlich flexiblere Schweizer Weg erfordert somit ebenfalls eine proaktive Auseinandersetzung mit den rechtlichen Rahmenbedingungen und eine genaue Prüfung der eigenen KI-Anwendungen.

Handlungsempfehlungen für den Mittelstand im DACH-Raum

Die unterschiedlichen Regulierungsansätze in der EU und der Schweiz erfordern von Unternehmen im DACH-Raum eine strategische und vorausschauende Herangehensweise. Unabhängig vom Standort gibt es jedoch Kernmassnahmen, die jedes Unternehmen ergreifen sollte, um auf die Herausforderungen und Chancen der KI-Regulierung vorbereitet zu sein:

1. Bestandsaufnahme und Risikobewertung der KI-Systeme: Identifizieren Sie alle in Ihrem Unternehmen genutzten oder entwickelten KI-Systeme. Klassifizieren Sie diese nach dem Risikoprofil des EU AI Act. Auch in der Schweiz ist eine solche Bewertung sinnvoll, um datenschutzrelevante und potenziell kritische Anwendungen zu erkennen. Bewerten Sie, welche Systeme als Hochrisiko eingestuft werden könnten und welche Fristen für Sie relevant sind.

2. Aufbau interner Governance-Strukturen: Implementieren Sie klare Verantwortlichkeiten für KI-Compliance. Dazu gehört die Benennung von Ansprechpartnern, die Etablierung von Prozessen für die Risikobewertung, die Dokumentation und die Überwachung von KI-Anwendungen. Eine multidisziplinäre Arbeitsgruppe aus IT, Recht, Fachabteilungen und Geschäftsleitung ist hierfür empfehlenswert.

3. Bekämpfung von Shadow AI: Sensibilisieren Sie Ihre Mitarbeiter für die Risiken von nicht genehmigten KI-Anwendungen. Entwickeln Sie klare Richtlinien für den Einsatz von KI-Tools und bieten Sie sichere, compliant Alternativen an. Regelmässige Schulungen zum verantwortungsvollen Umgang mit KI und den internen Regeln sind unerlässlich. Dies schützt nicht nur vor rechtlichen Konsequenzen, sondern auch vor Datenlecks und Sicherheitslücken.

4. Nutzung nationaler Förderangebote: Deutsche Unternehmen sollten die Möglichkeiten der "Regulatory Sandboxes" prüfen. Diese bieten eine wertvolle Chance, Hochrisiko-KI-Systeme unter realen Bedingungen zu testen und gleichzeitig regulatorische Sicherheit zu gewinnen. Informieren Sie sich über die geplanten Angebote und prüfen Sie eine Teilnahme.

5. Fokus auf Change Management und interne Kompetenzentwicklung: Die erfolgreichste KI-Technologie scheitert, wenn sie nicht von den Mitarbeitern akzeptiert wird. Investieren Sie in die Weiterbildung Ihrer Belegschaft, von der Executive Literacy bis zur Fachkompetenz. Transparente Kommunikation über den Mehrwert von KI, die Einbindung von Betriebsräten und die Adressierung von Ängsten vor Jobverlust sind entscheidend. KI kann die Produktivität steigern, indem sie repetitive Aufgaben automatisiert und Mitarbeitern mehr Raum für komplexe, wertschöpfende Tätigkeiten schafft. Vermitteln Sie diese Perspektive aktiv.

6. Entwicklung einer ganzheitlichen KI-Strategie: Eine ad-hoc Implementierung von KI reicht nicht aus. Erarbeiten Sie eine belastbare KI-Strategie, die Geschäftswert, Compliance-Anforderungen und die Skalierbarkeit von KI-Anwendungen systematisch zusammenführt. Diese Strategie sollte sowohl technische als auch rechtliche und organisatorische Aspekte berücksichtigen.

Kapitel-H-Perspektive: Navigieren im Regulierungsgeflecht

Aus unserer Sicht bei Kapitel H ist die aktuelle Entwicklung der KI-Regulierung im DACH-Raum eine Chance und gleichzeitig eine Verpflichtung. Der EU AI Act, mit seinen klaren Fristen und umfassenden Anforderungen, zwingt Unternehmen zur Auseinandersetzung mit den ethischen und rechtlichen Implikationen ihrer KI-Anwendungen. Dies ist grundsätzlich positiv, da es zu einer verantwortungsvolleren Entwicklung und Nutzung von KI beitragen kann.

Allerdings dürfen wir die praktische Belastung, insbesondere für den Mittelstand, nicht ignorieren. Die Implementierung von Risikomanagementsystemen, die Sicherstellung von Erklärbarkeit und die Gewährleistung menschlicher Aufsicht erfordern erhebliche Ressourcen und Know-how. Hier ist Pragmatismus gefragt: Es geht nicht darum, jedes Detail sofort perfekt umzusetzen, sondern schrittweise belastbare Strukturen zu schaffen. Die "Regulatory Sandboxes" in Deutschland sind ein gutes Beispiel dafür, wie der Gesetzgeber versucht, Unternehmen, insbesondere KMU, zu unterstützen. Diese Initiativen müssen aktiv genutzt werden.

Der Schweizer Ansatz, der auf sektorielle Anpassungen und bestehende Gesetzgebung setzt, erscheint auf den ersten Blick flexibler und innovationsfreundlicher. Dies ist eine Stärke, die es der Schweizer Wirtschaft ermöglichen kann, schneller auf technologische Entwicklungen zu reagieren. Dennoch ist Vorsicht geboten: Die Ratifikation der Europaratskonvention und das revidierte Datenschutzgesetz zeigen, dass auch in der Schweiz hohe Standards gelten. Der Fokus auf Datenschutz und die Anpassung bestehender Gesetze bedeuten, dass Unternehmen auch hier nicht untätig bleiben dürfen. Internationale Geschäftstätigkeit erfordert ohnehin die Beachtung der strengeren EU-Regularien, was den vermeintlichen Vorteil eines flexibleren nationalen Rahmens relativiert.

Unsere Kernbotschaft bleibt: Befähigung statt Abhängigkeit. KI-Regulierung sollte nicht als Bremsklotz verstanden werden, sondern als Rahmenbedingung, innerhalb derer Innovation sicher und verantwortungsvoll stattfinden kann. Unternehmen, die jetzt eine fundierte KI-Strategie entwickeln, die sowohl den geschäftlichen Nutzen als auch die regulatorischen Anforderungen berücksichtigt, werden nicht nur Bußgelder vermeiden. Sie werden Vertrauen bei Kunden und Mitarbeitern aufbauen und sich einen nachhaltigen Wettbewerbsvorteil sichern. Der Hype um KI verblasst schnell, wenn die realen Anwendungsfälle nicht sicher, transparent und compliant gestaltet werden können. Konzentrieren Sie sich auf den realen Nutzen und die praktischen Schritte zur Einhaltung der Regeln.

Fazit

Die bevorstehenden Anwendungsfristen des EU AI Act in Deutschland, insbesondere ab August 2026 für Hochrisiko-KI-Systeme, sind die aktuell wichtigste Entwicklung für den DACH-Arbeitsmarkt im Bereich KI. Die Bundesnetzagentur als zentrale Aufsichtsbehörde und die geplanten "Regulatory Sandboxes" sind konkrete Schritte der Umsetzung, die deutsche Unternehmen direkt betreffen. Im Kontrast dazu steht der pragmatischere, sektoriell ausgerichtete Ansatz der Schweiz, der jedoch ebenfalls eine proaktive Auseinandersetzung mit Datenschutz und branchenspezifischen Regeln erfordert. Unabhängig vom jeweiligen Standort sind Unternehmen gut beraten, jetzt eine belastbare KI-Strategie zu entwickeln, die nicht nur den Geschäftswert in den Vordergrund stellt, sondern auch Compliance, Transparenz und menschliche Aufsicht fest integriert. Wer jetzt vorausschauend handelt, minimiert Risiken und erschliesst die Chancen der KI auf eine Weise, die Vertrauen schafft und nachhaltige Wettbewerbsvorteile sichert. Die Zeit zum Handeln ist jetzt.