KI-Regulierung: EU AI Act verlangt schnelles Handeln im DACH-Raum

Die Künstliche Intelligenz (KI) ist längst kein Zukunftsthema mehr, sondern ein integraler Bestandteil vieler Geschäftsmodelle im DACH-Raum. Mit der zunehmenden Verbreitung dieser Technologien wächst auch der Bedarf an einer klaren Regulierung. Der EU AI Act, die weltweit erste umfassende KI-Verordnung, ist am 1. August 2024 offiziell in Kraft getreten und wird schrittweise anwendbar. Insbesondere der 2. August 2026 markiert einen entscheidenden Stichtag: Ab diesem Zeitpunkt werden die meisten Bestimmungen, einschliesslich der Governance-Strukturen für Hochrisiko-KI-Systeme, vollständig anwendbar. Dies betrifft Unternehmen, die KI-Systeme entwickeln, importieren oder einsetzen, und erfordert eine umgehende Anpassung der internen Prozesse und Strukturen. Viele Unternehmen im deutschsprachigen Raum unterschätzen diese bevorstehenden Pflichten noch. Eine fundierte Auseinandersetzung mit dem EU AI Act ist jedoch nicht nur eine Frage der Compliance, sondern auch ein wichtiger Schritt zur Sicherung der Wettbewerbsfähigkeit und des Vertrauens in den verantwortungsvollen Einsatz von KI.

Der EU AI Act: Ein Fahrplan für die KI-Regulierung

Der EU AI Act, offiziell Verordnung (EU) 2024/1689, etabliert einen risikobasierten Rahmen für die Entwicklung und Nutzung von KI-Systemen. Sein Ziel ist es, Innovation zu fördern und gleichzeitig die Grundrechte und die Sicherheit der Nutzer zu gewährleisten. Die gestaffelte Anwendbarkeit soll den Unternehmen ausreichend Zeit für die notwendigen Anpassungen einräumen. Doch die Erfahrung zeigt, dass diese Zeit oft nicht vollständig genutzt wird.

Bereits seit dem 2. Februar 2025 sind erste wichtige Bestimmungen in Kraft. Dazu gehört Artikel 4, die sogenannte KI-Kompetenzpflicht. Diese verpflichtet Unternehmen sicherzustellen, dass Mitarbeitende, die mit KI-Systemen arbeiten, deren Fähigkeiten, Grenzen und potenzielle Risiken verstehen. Dies bedeutet konkret, dass umfassende Schulungen durchgeführt und dokumentiert werden müssen. Es reicht nicht aus, Mitarbeitenden Zugriff auf generative KI-Tools wie ChatGPT oder Copilot zu ermöglichen, ohne ihnen das notwendige Wissen für deren verantwortungsbewussten Einsatz zu vermitteln. Ebenfalls seit Februar 2025 gelten die Verbote bestimmter KI-Praktiken gemäss Artikel 5, wie beispielsweise manipulative KI-Systeme, die das menschliche Verhalten signifikant beeinträchtigen können, oder Social Scoring durch staatliche Stellen. Diese Praktiken stellen ein inakzeptables Risiko dar und sind daher generell untersagt.

Seit dem 2. August 2025 sind zudem die Pflichten für General Purpose AI (GPAI) nach Artikel 51 ff. anwendbar. Dies betrifft grundlegende KI-Modelle, die eine breite Palette von Anwendungen unterstützen können. Die Hersteller solcher Modelle müssen bestimmte Anforderungen an Transparenz und Risikomanagement erfüllen.

Der kritische Stichtag, der unmittelbar bevorsteht und von vielen Unternehmen noch unterschätzt wird, ist der 2. August 2026. Ab diesem Datum treten die meisten Bestimmungen der KI-Verordnung vollständig in Kraft, insbesondere die umfassenden Governance-Strukturen für Hochrisiko-KI-Systeme gemäss Anhang III. Dies umfasst die Implementierung von Risikomanagementsystemen, Daten-Governance, technischer Dokumentation und menschlicher Aufsicht. Obwohl es durch einen Kompromiss, den sogenannten "Digital Omnibus", eine Verschiebung der vollständigen Hochrisiko-Pflichten für *eingesetzte* Hochrisiko-KI-Systeme auf den 2. Dezember 2027 gab, ist dies keine allgemeine Entwarnung. Die grundlegenden organisatorischen und prozessualen Anforderungen für Hochrisiko-KI müssen bis August 2026 erfüllt sein. Eine spätere Umsetzung birgt erhebliche Risiken.

Weitere wichtige Meilensteine umfassen die Pflicht zur Anbringung digitaler Wasserzeichen für KI-generierte Inhalte ab dem 2. Dezember 2026, um Transparenz zu schaffen. Ab dem 2. August 2028 werden schliesslich auch KI-Systeme reguliert, die in Produkte wie Spielzeug, Aufzüge oder Medizingeräte eingebettet sind. Der Fahrplan ist klar, und die Notwendigkeit zum Handeln ist evident.

Risikoklassen und konkrete Unternehmenspflichten

Der EU AI Act basiert auf einem gestuften Risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt. Diese Klassifizierung bestimmt den Umfang der Pflichten für Unternehmen, die solche Systeme entwickeln oder nutzen:

1. Inakzeptables Risiko: Diese Kategorie umfasst KI-Systeme, die eine klare Bedrohung für Grundrechte darstellen und daher generell verboten sind. Beispiele hierfür sind Social Scoring durch staatliche Stellen oder manipulative KI-Systeme, die unterbewusst beeinflussen. Unternehmen dürfen solche Systeme weder entwickeln noch einsetzen.

2. Hohes Risiko: Dies ist die relevanteste Kategorie für viele Unternehmen im DACH-Raum. Hochrisiko-KI-Systeme sind grundsätzlich zulässig, unterliegen aber einem umfangreichen Pflichtenkatalog. Dazu zählen Anwendungen in Bereichen wie biometrische Identifizierung, Management und Betrieb kritischer Infrastruktur, Bildung, Personalwesen, Kreditwürdigkeitsprüfung, Strafverfolgung und Justiz. Für diese Systeme müssen Unternehmen eine Konformitätsbewertung durchführen, eine detaillierte technische Dokumentation erstellen, ein robustes Risikomanagementsystem implementieren und strenge Anforderungen an die Daten-Governance erfüllen. Letzteres umfasst die Qualität und Diskriminierungsfreiheit der Trainingsdaten sowie die Möglichkeit der menschlichen Aufsicht und Intervention. Die Einhaltung dieser Vorgaben ist komplex und erfordert erhebliche personelle und finanzielle Ressourcen.

3. Begrenztes Risiko: Systeme dieser Kategorie, wie Chatbots oder Deepfakes, unterliegen in erster Linie Transparenzpflichten. Nutzer müssen klar erkennen können, dass sie mit einer KI interagieren oder KI-generierte Inhalte sehen. Diese Transparenzpflichten sind bereits seit Februar 2025 in Kraft.

4. Minimales Risiko: KI-Systeme wie Spamfilter oder einfache Empfehlungssysteme sind von spezifischen gesetzlichen Anforderungen ausgenommen. Unternehmen wird jedoch empfohlen, freiwillige Verhaltenskodizes einzuhalten, um Vertrauen zu fördern und Best Practices zu etablieren. Auch wenn keine direkten Pflichten bestehen, können Reputation und Kundenbindung durch einen verantwortungsvollen Umgang mit diesen Systemen gestärkt werden.

Die genauen Pflichten variieren zudem je nach Rolle des Unternehmens: Anbieter, die KI-Systeme entwickeln oder auf den Markt bringen, haben die umfassendsten Pflichten. Betreiber, die KI-Systeme nutzen, müssen sicherstellen, dass diese gemäss den Anweisungen des Anbieters und den Anforderungen des AI Act eingesetzt werden. Importeure und Händler haben ebenfalls spezifische Prüfpflichten.

Handlungsbedarf im DACH-Raum: Eine kritische Bestandsaufnahme

Trotz der klaren Zeitlinien und der potenziell hohen Bussgelder, die bei Verstössen gegen verbotene Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes betragen können, ist die Vorbereitung in vielen Unternehmen im DACH-Raum noch unzureichend. Eine aktuelle Erhebung des Bitkom zeigt, dass 69 Prozent der deutschen Unternehmen Unterstützung bei der Umsetzung des EU AI Act benötigen und sich bisher nur 24 Prozent ernsthaft damit auseinandergesetzt haben. Dies ist ein alarmierender Befund, da der Stichtag August 2026 schnell näher rückt.

Ähnliche Tendenzen zeigen sich in Österreich. Eine EY-Umfrage vom Mai 2026 ergab, dass fast ein Drittel der Firmen angibt, keine KI zu nutzen und dies auch nicht zu planen. Von denjenigen, die KI einsetzen, können nur 24 Prozent einen messbaren Mehrwert erfassen, und nicht einmal ein Drittel verfügt über eine klare KI-Strategie mit entsprechender Unterstützung der Führungsebene und ausreichenden Ressourcen. Das interne Know-how ist ebenfalls begrenzt; lediglich 22 Prozent der Befragten sehen bei sich hohes internes KI-Know-how oder stellen Spezialisten ein.

Diese Daten verdeutlichen eine erhebliche Lücke zwischen den regulatorischen Anforderungen und der realen Unternehmenspraxis. Die Verschiebung einiger Hochrisiko-Pflichten auf Dezember 2027 ist zwar eine gewisse Entlastung, sollte jedoch keinesfalls als generelle Entwarnung interpretiert werden. Die grundlegenden Governance-Strukturen für Hochrisiko-KI-Systeme müssen bereits bis August 2026 etabliert sein. Wer jetzt nicht die Basis legt, riskiert nicht nur erhebliche Bussgelder, sondern auch Reputationsschäden und Wettbewerbsnachteile. Die IT-Abteilungen verbringen bereits heute fast 40 Prozent ihrer Arbeitszeit mit Compliance-Aufgaben. Der EU AI Act wird diesen Druck weiter erhöhen. Aus Sicht von Kapitel H ist dies ein klassisches Beispiel für eine potenzielle Abhängigkeit von externer Expertise, die durch proaktiven Kompetenzaufbau im Unternehmen vermieden werden kann. Pragmatische und datenbasierte Planung ist hier gefragt, anstatt reaktives Agieren unter Zeitdruck.

Praktische Auswirkungen auf die Unternehmenspraxis

Der EU AI Act wird weitreichende Konsequenzen für nahezu alle Unternehmensbereiche haben und erfordert eine strategische Neuausrichtung. Die Auswirkungen gehen über reine technische Anpassungen hinaus und berühren die gesamte Organisationskultur:

HR und Schulung: Die KI-Kompetenzpflicht als Basis

Die bereits seit Februar 2025 geltende KI-Kompetenzpflicht ist ein Kernstück des AI Act. Sie verlangt, dass alle Mitarbeitenden, die mit KI-Systemen arbeiten, deren Funktionsweise, Grenzen und Risiken verstehen. Dies betrifft nicht nur IT-Spezialisten, sondern auch Sachbearbeiter, Führungskräfte und alle, die generative KI-Tools wie ChatGPT, Microsoft Copilot oder ähnliche Anwendungen im Arbeitsalltag nutzen. Unternehmen müssen umfassende Schulungsprogramme entwickeln, die Inhalte und Teilnahme dokumentieren und sicherstellen, dass das erworbene Wissen praxisorientiert angewendet wird. Eine mangelnde Dokumentation oder unzureichende Schulung kann hier schnell zu Compliance-Problemen führen. Es geht darum, die Belegschaft zu befähigen, KI als Werkzeug verantwortungsvoll und effektiv einzusetzen, statt blind auf Algorithmen zu vertrauen.

Rechts- und Compliance-Abteilungen: Ein KI-Inventar als erster Schritt

Für Rechts- und Compliance-Abteilungen ist die Schaffung eines detaillierten KI-Inventars unerlässlich. Jedes im Unternehmen eingesetzte oder entwickelte KI-System muss erfasst, seine Risikostufe gemäss AI Act bestimmt und die Rolle des Unternehmens (Anbieter, Betreiber, etc.) klar definiert werden. Darauf aufbauend müssen interne Richtlinien für den sicheren und rechtskonformen Einsatz von KI-Systemen erarbeitet und implementiert werden. Bei Hochrisiko-KI-Systemen sind zudem umfassende technische Dokumentationen zu erstellen, die nachweisen, dass die Systeme den Anforderungen des AI Act entsprechen. Dies ist eine komplexe Aufgabe, die eine enge Zusammenarbeit mit den technischen Abteilungen erfordert.

IT- und Operations: Technische Umsetzung und Daten-Governance

IT- und Operations-Abteilungen stehen vor der Aufgabe, die technischen Anforderungen für Hochrisiko-KI-Systeme umzusetzen. Dies beinhaltet die Durchführung von Risikobewertungen, die Implementierung von robusten Überwachungsmechanismen und die Sicherstellung einer einwandfreien Daten-Governance. Insbesondere die Qualität, Repräsentativität und Diskriminierungsfreiheit von Trainingsdaten sind hierbei entscheidend. Für Fertigungsunternehmen im DACH-Raum wird zudem die Integration von KI-Systemen in souveräne Cloud-Infrastrukturen oder die Entwicklung privater KI-Lösungen als Weg zur Compliance und Datensicherheit diskutiert. Solche Ansätze ermöglichen eine grössere Kontrolle über die Daten und die KI-Modelle, was für die Einhaltung der Vorschriften von Vorteil sein kann.

Change Management: Kultureller Wandel und Ethik

Die Einführung und Einhaltung des EU AI Act erfordert nicht nur technische und rechtliche Anpassungen, sondern auch einen kulturellen Wandel im Unternehmen. Ein umfassendes Change Management ist notwendig, um die gesamte Belegschaft für ethische und rechtliche Aspekte der KI-Nutzung zu sensibilisieren. Die