KI-Regulierung im DACH-Raum: Klare Fristen, neue Pflichten, Schweizer Wege

Die digitale Transformation wird durch Künstliche Intelligenz (KI) maßgeblich vorangetrieben. Doch mit der Innovationskraft von KI-Systemen wächst auch der Bedarf an einem klaren regulatorischen Rahmen. Die letzten Wochen haben für Unternehmen im deutschsprachigen Raum, insbesondere in der DACH-Region, entscheidende Klarheit und Anpassungen im Umgang mit Künstlicher Intelligenz gebracht. Im Fokus steht die Einigung auf den sogenannten "Digital Omnibus" der Europäischen Union vom 7. Mai 2026, der wesentliche Änderungen und Verschiebungen bei der Anwendung des EU AI Acts mit sich bringt.

Diese Neuerungen, insbesondere die Fristverlängerungen für Hochrisiko-KI-Systeme, bieten Unternehmen zwar mehr Zeit zur Vorbereitung, verschärfen jedoch gleichzeitig andere Transparenzpflichten. Parallel dazu bekräftigt die Schweiz die direkte Anwendbarkeit ihres bestehenden Datenschutzgesetzes (DSG) auf KI-Systeme, was für Schweizer Firmen mit EU-Bezug eine hybride Compliance-Landschaft schafft. Für den DACH-Mittelstand bedeutet dies, dass die Zeit der unregulierten Experimente mit KI sich ihrem Ende nähert. Eine proaktive Auseinandersetzung mit den regulatorischen Anforderungen ist nicht mehr optional, sondern eine strategische Notwendigkeit.

Der EU AI Act: Pragmatische Anpassungen und gestaffelte Fristen

Die Verordnung (EU) 2024/1689, besser bekannt als EU AI Act, wurde bereits im Mai 2024 verabschiedet und trat am 1. August 2024 stufenweise in Kraft. Damit war sie weltweit das erste umfassende KI-Gesetz. Die ursprüngliche Roadmap sah vor, dass ein Großteil der Regelungen, insbesondere für Hochrisiko-KI-Systeme, ab August 2026 gelten sollte. Dies hat in vielen DACH-Unternehmen für erhebliche Unsicherheit gesorgt. Laut einem Bitkom-Studienbericht benötigen 69 Prozent der deutschen Unternehmen Unterstützung bei der Umsetzung des AI Acts, während sich nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Diese Zahlen verdeutlichen den Handlungsbedarf und die Belastung, die der Gesetzgeber hier erzeugt hat.

Der "Digital Omnibus" vom 7. Mai 2026 ist eine Reaktion auf diese Kritik aus der Wirtschaft und soll die Umsetzung für Unternehmen praktikabler gestalten. Er verschiebt zentrale Pflichten für Hochrisiko-KI-Systeme, führt aber gleichzeitig neue, unmittelbarere Anforderungen ein. Dies ist keine generelle Entwarnung, sondern eine Neuordnung der Prioritäten und Umsetzungszeiträume.

Verschiebungen der Fristen für Hochrisiko-KI-Systeme

Dies ist die wichtigste Neuerung, die Unternehmen im DACH-Raum entlasten soll und ihnen eine dringend benötigte Atempause verschafft. Die Europäische Kommission hat erkannt, dass die ursprünglichen Fristen unrealistisch waren, insbesondere angesichts der Komplexität der Materie und der Notwendigkeit, harmonisierte Standards zu entwickeln.

* Annex III-Systeme: Für Hochrisiko-KI-Systeme, die in sensiblen Bereichen wie der Beschäftigung, der allgemeinen und beruflichen Bildung, der Kreditwürdigkeitsprüfung oder der Strafverfolgung eingesetzt werden, verschiebt sich die Anwendbarkeit von August 2026 auf den 2. Dezember 2027. Dazu gehören beispielsweise KI-Systeme zur Sichtung von Bewerbungen, zur Leistungsüberwachung von Mitarbeitern oder zur Bewertung von Lernergebnissen. Für Personalabteilungen und Bildungsdienstleister bedeutet dies eine Verschiebung um 16 Monate, die genutzt werden muss, um interne Prozesse anzupassen und die eingesetzten KI-Tools auf ihre Compliance-Fähigkeit zu prüfen.

* Annex I-Systeme: Für KI-Systeme, die als Sicherheitskomponenten in regulierten Produkten (zum Beispiel Medizinprodukte, Spielzeug, Aufzüge) eingebettet sind, wird die Frist sogar bis zum 2. August 2028 verlängert. Diese Verlängerungen sollen den Marktüberwachungsbehörden und Normungsgremien wie CEN-CENELEC zusätzliche Zeit geben, um die notwendigen Standards und Leitlinien zu finalisieren, bevor die Vorschriften in Kraft treten. Dies ist besonders relevant für Branchen im Mittelstand, die oft weniger Ressourcen für die schnelle Anpassung an neue Regulierungen haben und auf klare technische Spezifikationen angewiesen sind.

Unveränderte und neue unmittelbare Pflichten

Während die Hochrisiko-Fristen verschoben wurden, bleiben andere wichtige Pflichten bestehen oder werden sogar vorgezogen. Dies unterstreicht, dass die Regulierung als Ganzes nicht aufgeschoben, sondern in Teilen neu gewichtet wird.

* KI-Schulungspflicht: Die Vorschrift, dass Unternehmen die KI-Kompetenz ihrer Mitarbeiter sicherstellen müssen, wenn diese mit Künstlicher Intelligenz arbeiten, gilt bereits seit Februar 2025. Dies unterstreicht die Notwendigkeit von Change Management und Weiterbildungsprogrammen, um Mitarbeiter auf den verantwortungsvollen Umgang mit KI vorzubereiten. Die Befähigung der Belegschaft ist hierbei der zentrale Pfeiler für eine nachhaltige und rechtssichere KI-Nutzung.

* Transparenzpflichten: Ab dem 2. August 2026 müssen KI-Systeme, die mit Nutzern interagieren, zum Beispiel Chatbots, offenlegen, dass es sich um eine KI handelt. Auch KI-generierte Inhalte, seien es Texte, Bilder, Audio oder Video, müssen als solche gekennzeichnet werden. Die spezifische Pflicht zur maschinenlesbaren Kennzeichnung von künstlich generierten oder manipulierten Inhalten, auch als Watermarking bekannt, wird von August 2026 auf den 2. Dezember 2026 verschoben, um eine viermonatige Übergangsfrist zu schaffen. Dies ist eine direkte Maßnahme gegen Deepfakes und Falschinformationen und hat weitreichende Konsequenzen für Marketing, Kommunikation und alle Bereiche, die generative KI nutzen. Unternehmen müssen hier ihre internen Workflows anpassen und eine klare Richtlinie für die Nutzung generativer KI etablieren.

* Verbotene Praktiken: Bestimmte KI-Systeme mit "inakzeptablem Risiko", wie solche, die zur gezielten Manipulation von Nutzern oder zur unberechtigten biometrischen Klassifizierung eingesetzt werden, sind bereits seit Februar 2025 generell verboten. Neu hinzugekommen ist ein explizites Verbot von KI-Systemen, die nicht-einvernehmliche sexuell explizite oder intime Inhalte oder Material zum sexuellen Missbrauch von Kindern generieren oder manipulieren, sogenannte "AI-Nudification Apps". Dieses Verbot tritt ebenfalls am 2. Dezember 2026 in Kraft. Unternehmen sollten ihre internen Richtlinien dahingehend überprüfen und sicherstellen, dass keine solchen Systeme entwickelt oder eingesetzt werden.

Deutsche Umsetzung – das KI-MIG

Deutschland arbeitet parallel an einem eigenen "KI-Marktüberwachungs-und-Innovationsförderungs-Gesetz" (KI-MIG). Dessen Entwurf wurde im Februar 2026 vom Bundeskabinett beschlossen und im März 2026 im Bundestag erstmals beraten. Ziel ist es, die nationalen Zuständigkeiten, zum Beispiel für Marktüberwachung und Notifizierung von KI-Systemen, sowie Aufsichts- und Bußgeldregelungen festzulegen, ohne dabei deutsche Sonderverschärfungen, sogenanntes "Gold Plating", vorzunehmen. Der Digitalausschuss des Bundestags berät die Vorlage weiter. Die Bundesnetzagentur wird hierbei als zentrale Marktüberwachungsbehörde diskutiert. Für deutsche Unternehmen bedeutet dies, dass sie neben den EU-Vorgaben auch die nationalen Umsetzungsakte im Blick behalten müssen.

Die Schweizer Perspektive: Das DSG als regulatorischer Anker für KI

In der Schweiz, die nicht Teil der EU ist, gibt es kein separates "KI-Gesetz" nach dem Vorbild des EU AI Acts. Stattdessen vertritt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die klare Position, dass das bestehende Schweizer Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft getreten ist, direkt auf KI-Anwendungen anwendbar ist.

Der EDÖB betonte in Mitteilungen, zuletzt im Mai 2025 und Februar 2026, die technologieneutrale Formulierung des DSG, die auch für KI-gestützte Datenbearbeitungen gilt. Das bedeutet, dass Schweizer Unternehmen bereits in der Entwicklung und beim Einsatz von KI-Systemen die Vorgaben des DSG beachten müssen. Dazu gehören insbesondere:

* Transparenzpflichten: Betroffene Personen müssen transparent über den Einsatz von KI, deren Zweck, Funktionsweise und Datenquellen informiert werden. Dies erfordert eine klare Kommunikation und Dokumentation der KI-Systeme.

* Rechte der Betroffenen: Dazu zählt das Recht, dass automatisierte Einzelentscheidungen durch einen Menschen überprüft werden müssen. Für Schweizer Unternehmen bedeutet dies, dass bei KI-gestützten Entscheidungen immer ein menschlicher "Fallback" oder eine Überprüfungsmöglichkeit vorgesehen sein muss, insbesondere wenn diese Entscheidungen erhebliche Auswirkungen auf Personen haben.

* Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen (Privacy by Design/Default): Es muss sichergestellt werden, dass möglichst wenig Daten verarbeitet werden. Dies bedeutet, dass KI-Systeme von Grund auf so konzipiert sein müssen, dass sie datensparsam und datenschutzkonform agieren. Pseudonymisierung und Anonymisierung sind hier wichtige Werkzeuge.

Für Schweizer Unternehmen, die in der EU geschäftlich tätig sind oder Dienstleistungen anbieten, bedeutet dies eine duale Herausforderung: Sie müssen sowohl die Anforderungen des Schweizer DSG als auch die relevanten Bestimmungen des EU AI Acts und gegebenenfalls der DSGVO erfüllen. Dies gilt insbesondere für Hochrisiko-KI-Anwendungen. Die Schweiz hat zudem mit der Ratifizierung der KI-Konvention des Europarats regulatorische Leitplanken gesetzt und meldet im Mai 2026 Fortschritte bei der Cybersicherheit und KI-Abwehr. Eine umfassende Compliance-Strategie ist für international tätige Schweizer Unternehmen unerlässlich.

Konkrete Auswirkungen auf den DACH-Arbeitsmarkt und Handlungsfelder für Unternehmen

Die Anpassungen des EU AI Acts und die klare Positionierung des Schweizer DSG haben konkrete Auswirkungen auf die Arbeitswelt und die Geschäftsabläufe im gesamten DACH-Raum. Unternehmen müssen ihre internen Prozesse und die eingesetzten KI-Systeme kritisch überprüfen.

* Human Resources (HR): KI-Systeme in HR-Prozessen, zum Beispiel für Bewerberauswahl, Performance-Tracking oder Mitarbeiterentwicklung, fallen unter die Hochrisiko-Kategorie des AI Acts (Annex III) und unterliegen ab Dezember 2027 strengen Compliance-Anforderungen. Dies erfordert von HR-Abteilungen eine genaue Prüfung ihrer eingesetzten KI-Tools, die Sicherstellung menschlicher Aufsicht und die Einhaltung von Transparenz- und Nichtdiskriminierungspflichten. Eine reine Automatisierung ist hier nicht zulässig, menschliche Kontrolle bleibt essenziell.

* Operations und Produktion: In der deutschen Industrie setzen bereits fast zwei Drittel der Betriebe KI in laufenden Industrieprozessen ein, was Deutschland einen Spitzenplatz in Europa verschafft. Diese industrielle KI, oft in Maschinen oder zur Prozessoptimierung eingesetzt, profitiert von der Verschiebung der Fristen für Annex I-Systeme. Dennoch müssen Unternehmen proaktiv die Risikoklassifizierung ihrer Systeme vornehmen und entsprechende Dokumentations- und Sicherheitsstandards einführen. Die Verzögerung gibt Zeit, sollte aber nicht zu Untätigkeit verleiten.

* Marketing und Kommunikation: Die ab August beziehungsweise Dezember 2026 geltende Kennzeichnungspflicht für KI-generierte Inhalte ist eine direkte Herausforderung für Marketing- und Kommunikationsabteilungen. Unternehmen müssen sicherstellen, dass alle Texte, Bilder, Videos oder Audioinhalte, die mit generativer KI erstellt oder bearbeitet wurden, entsprechend markiert werden. Dies erfordert neue Workflows, Schulungen und ein hohes Bewusstsein bei den Mitarbeitenden, um rechtliche Konsequenzen zu vermeiden und das Vertrauen der Kunden nicht zu gefährden.

* Change Management und Kompetenzentwicklung: Die bereits geltende KI-Schulungspflicht macht deutlich, dass Unternehmen in die Weiterbildung ihrer Mitarbeiter investieren müssen. Die Fähigkeit, KI-Systeme nicht nur zu nutzen, sondern auch kritisch zu hinterfragen, Ziele zu definieren und Ergebnisse zu bewerten, wird zur Schlüsselkompetenz. Eine UBS-Studie vom 20. Mai 2026 zeigt, dass KI-Tools zwar in Schweizer Unternehmen ankommen, aber oft noch "Stückwerk" bleiben und nicht systematisch in Geschäftsprozesse integriert werden. Dies unterstreicht die Notwendigkeit, von punktuellen Anwendungen zu einer umfassenden KI-Strategie überzugehen, die von der Führungsebene getragen wird.

Kritische Einordnung aus Kapitel H-Sicht: Hype vs. Substanz

Die Anpassungen des EU AI Acts sind ein notwendiger Schritt zu mehr Pragmatismus. Die anfänglich unrealistischen Fristen haben bei vielen Unternehmen unnötigen Druck erzeugt und zu einer "Abwartehaltung" geführt. Die nun gestaffelten Fristen geben dem Mittelstand tatsächlich mehr Raum, um sich auf die komplexen Anforderungen vorzubereiten. Dies ist ein positives Signal und zeigt, dass der Gesetzgeber auf die Bedürfnisse der Wirtschaft reagiert.

Allerdings dürfen diese Fristverlängerungen nicht als Entwarnung missverstanden werden. Die grundlegenden Prinzipien des AI Acts bleiben bestehen, und die Verpflichtung zur Transparenz sowie die Schulungspflichten sind bereits aktiv oder stehen unmittelbar bevor. Dies erfordert eine sofortige Reaktion und nicht erst im Jahr 2027 oder 2028. Unternehmen, die jetzt untätig bleiben, werden später einen erheblichen Aufwand betreiben müssen, um die Versäumnisse nachzuholen.

Eine McKinsey-Studie vom 1. Mai 2026, obwohl nicht direkt DACH-spezifisch, offenbart ein ernüchterndes Bild: Zwar berichten 66 Prozent der Unternehmen von Produktivitätssteigerungen durch KI, doch 95 Prozent sehen keine messbaren finanziellen Renditen. Dies legt nahe, dass der Weg zur tatsächlichen Wertschöpfung durch KI komplexer ist als oft angenommen und erhebliche Investitionen in Bildung und die Neugestaltung von Arbeitsprozessen erfordert. Die neuen Regulierungen, insbesondere die Pflichten für Hochrisiko-KI, werden Unternehmen dazu zwingen, ihre KI-Einführung noch strategischer und risikobewusster zu gestalten. Der Fokus muss von "KI um der KI willen" hin zu "KI für konkreten Geschäftsnutzen unter Einhaltung rechtlicher Rahmenbedingungen" verschoben werden.

Die Schweizer Strategie, das bestehende Datenschutzgesetz auf KI anzuwenden, ist pragmatisch und zeugt von Weitsicht. Sie vermeidet eine Überregulierung durch neue Gesetze und setzt stattdessen auf bewährte Prinzipien. Für Schweizer Unternehmen mit EU-Bezug bedeutet dies jedoch eine erhöhte Komplexität, da sie zwei unterschiedliche Rechtssysteme parallel beachten müssen. Dies erfordert eine klare Governance und eine frühzeitige Risikoanalyse, um mögliche Konflikte und Compliance-Lücken zu identifizieren und zu schließen.

Kapitel H vertritt die Ansicht, dass die Regulierung nicht als Hemmnis, sondern als Katalysator für eine verantwortungsvolle und somit nachhaltig erfolgreiche KI-Nutzung verstanden werden sollte. Sie zwingt Unternehmen dazu, sich nicht nur mit den technischen Möglichkeiten, sondern auch mit den ethischen, rechtlichen und organisatorischen Implikationen auseinanderzusetzen. Dies führt letztlich zu robusteren Systemen, mehr Vertrauen bei Kunden und Mitarbeitern und einer langfristig höheren Wertschöpfung. Der Kern unserer Botschaft "Befähigung statt Abhängigkeit" ist hier relevanter denn je: Nur wer die Regeln versteht und seine Mitarbeiter befähigt, kann KI eigenverantwortlich und erfolgreich einsetzen.

Fazit: Jetzt handeln für eine rechtskonforme KI-Zukunft

Die jüngsten Entwicklungen rund um den EU AI Act sind ein klares Signal an DACH-Unternehmen: Die regulatorische Landschaft für Künstliche Intelligenz wird zunehmend konkret und verpflichtend. Während die Fristverlängerungen für Hochrisiko-KI eine Atempause verschaffen, müssen andere Transparenz- und Kennzeichnungspflichten zeitnah umgesetzt werden. Die Schweiz verfolgt ihren eigenen Weg über das bestehende Datenschutzgesetz, was für grenzüberschreitend tätige Unternehmen eine erhöhte Komplexität bedeutet.

Für den DACH-Arbeitsmarkt bedeutet dies: Investitionen in KI-Kompetenzen, die Überprüfung und Anpassung bestehender KI-Anwendungen sowie eine klare Governance sind unerlässlich, um nicht nur Compliance zu gewährleisten, sondern auch den tatsächlichen Mehrwert von KI zu realisieren und Risiken zu minimieren. Unternehmen sollten jetzt folgende Schritte unternehmen:

1. Risikobewertung durchführen: Eine umfassende Analyse aller eingesetzten und geplanten KI-Systeme, um deren Risikoklassifizierung nach EU AI Act und Relevanz nach Schweizer DSG zu bestimmen. 2. Transparenzprozesse etablieren: Sicherstellen, dass KI-generierte Inhalte gekennzeichnet und Nutzer über KI-Interaktionen informiert werden. 3. Mitarbeiter schulen: Aufbau von KI-Kompetenzen bei allen relevanten Mitarbeitern, um eine verantwortungsvolle Nutzung zu gewährleisten. 4. Governance etablieren: Klare Verantwortlichkeiten und interne Richtlinien für den Einsatz und die Entwicklung von KI festlegen. 5. Rechtlichen Beistand suchen: Bei komplexen Anwendungsfällen oder grenzüberschreitenden Aktivitäten frühzeitig juristischen Rat einholen.

Wer diese Schritte proaktiv angeht, wird nicht nur die regulatorischen Hürden meistern, sondern auch die Chance nutzen, KI als strategisches Werkzeug für nachhaltigen Geschäftserfolg einzusetzen. Die Zeit der unregulierten Experimente mit KI neigt sich dem Ende zu, eine Ära der verantwortungsvollen und strategisch verankerten KI-Nutzung beginnt.