Am 11. Februar 2026 hat das Bundeskabinett den Regierungsentwurf zum deutschen Durchführungsgesetz des EU AI Acts beschlossen. Ein Meilenstein und gleichzeitig eine Erinnerung daran, wie viel noch offen ist. Fünf Jahre nach den ersten Entwürfen stellen sich Unternehmen, die KI heute produktiv einsetzen, eine sehr konkrete Frage: Wann ist genug Klarheit, um zu handeln?
Gerade für Unternehmen wie coeo, die KI nicht als Zukunftsprojekt, sondern als tägliches Werkzeug betreiben, ist das keine abstrakte Frage, sondern eine operative.
Das Gesetz ist da – die Unsicherheit auch
Der EU AI Act ist seit August 2024 in Kraft. Die Umsetzungsfristen laufen gestaffelt: Seit Februar 2025 gelten Verbote für bestimmte KI-Praktiken, seit August 2025 greifen die Regeln für große Modelle. Ab dem 2. August 2026 gilt das Gesetz fast vollständig (u.a. Kennzeichnungspflicht für KI-Inhalte). Für Hochrisiko-KI-Systeme und deren Einstufung treten die Vorschriften ab dem 2. August 2027 in Kraft.
Der Regierungsentwurf vom Februar und der Zentralen Informationsplattform der KI-Verordnung bringen wichtige Fortschritte. Die Bundesnetzagentur wird zentrale Aufsichtsbehörde. Mit dem neuen KoKIVO-Koordinierungszentrum entsteht eine feste Anlaufstelle, speziell auch für Startups und KMU. Die 30-Tage-Genehmigungsfiktion gibt Unternehmen beim Testen von Hochrisiko-KI-Systemen mehr Planungssicherheit: Keine Antwort binnen 30 Tagen gilt als Genehmigung.
Gleichzeitig bleiben strukturelle Probleme bestehen. Besonders relevant für Unternehmen, die KI aktiv entwickeln und in eigene Services integrieren: Für GPAI-Modelle gelten seit August 2025 verbindliche Anforderungen, doch die kurz vor der Deadline veröffentlichten Guidelines der EU-Kommission sind nicht rechtsverbindlich und lassen viele Fragen offen. Welche Modelle als compliant gelten und wie die Integration in eigene Produkte regulatorisch zu bewerten ist, bleibt unklar. Dazu kommen Überschneidungen mit der DSGVO, fehlende einheitliche Standards und das 16-Länder-Problem bei länderspezifischen Anwendungen.
Was die Zahlen zeigen
Die Stimmungslage in der Wirtschaft ist seit Inkrafttreten des AI Acts gespalten und die Skepsis wächst. Bereits eine Deloitte-Umfrage vom September 2024 unter 500 privatwirtschaftlichen Entscheidern zeigte: Die Mehrheit erwartet negative Auswirkungen auf Innovationsmöglichkeiten, nur knapp ein Fünftel sieht positive Effekte. Eine aktuelle Bitkom-Studie aus dem Sommer 2025 bestätigt diesen Trend – und verschärft ihn: Inzwischen sehen 56 Prozent der deutschen Unternehmen im AI Act mehr Nachteile als Vorteile, 53 Prozent nennen rechtliche Verunsicherung als größtes Hemmnis beim KI-Einsatz überhaupt. Und eine aktuelle CRIF/EY-Studie belegt, dass fast zwei Drittel der Unternehmen bislang kaum oder keine Maßnahmen zur Umsetzung ergriffen haben. Die eigentliche Herausforderung ist dabei weniger die Regulierung an sich als die fehlende Orientierung im Wie. Unternehmen wissen, dass sie handeln müssen. Aber nicht immer, wie.
Compliance oder Governance: ein entscheidender Unterschied
Viele Unternehmen gehen den AI Act als Checkliste an: Was müssen wir erfüllen, um nicht bestraft zu werden? Das ist verständlich, aber zu kurz gedacht. Denn wer heute Compliance-Strukturen entwirft, die morgen obsolet sein könnten, riskiert Fehlallokation und Over-Compliance gleichermaßen.
Isabell Neubert, verantwortlich für AI & IT Governance und Regulatory Technology bei der coeo Group, bringt es auf den Punkt: Als Unternehmen, das KI heute produktiv einsetzt, definiert man faktisch selbst, was „State of the Art“ Compliance bedeutet. Der entscheidende Unterschied liegt im Ansatz: Compliance fragt, was erlaubt ist. Governance fragt, was richtig ist und wer den Schutzzweck versteht: Grundrechte wahren, Menschen und Gemeinschaft schützen, und dieses Prinzip bereits im Konzept, in Systemen und Kontext verankert, dem wird Compliance kein Engpass mehr sein sondern lösbar und ein Schutz für die eigene Geschäftsstrategie.
Handeln ohne Gewissheit
Das Dilemma ist real: Die Regeln sind noch nicht final, das parlamentarische Verfahren läuft. Und doch ist Abwarten keine Option. Wer bis zur vollständigen Klarheit wartet, hat zu wenig Zeit für eine saubere Implementierung bis August 2026.
Isabell Neubert beschreibt, was sie in der Praxis beobachtet: „Diese Unsicherheit wird zum Teil ausgesessen, dann wird auch gar nicht mit KI experimentiert und die Nutzung von top-down verboten. Auf der anderen Seite wird bei anderen viel mit KI experimentiert, ohne dass fundiertes Wissen da ist.“ Beides ist problematisch. Wer nicht experimentiert, verpasst den Anschluss. Wer unkontrolliert und unwissend experimentiert, läuft in regulatorische Risiken – Bußgelder von bis zu 35 Millionen Euro oder sieben Prozent des weltweiten Jahresumsatzes inklusive, zusätzlich könnte ein falscher Umgang hier auch noch zusätzlich zu Datenschutzverstößen führen.
Was Verbände und Wirtschaft fordern, ist dabei weitgehend konsistent: Ein One-Stop-Shop auch für Länderkontexte, bundeseinheitliche Vollzugspraxis, klare Abgrenzung zur DSGVO und KMU-taugliche Umsetzung. Der KI-Bundesverband hat diese Forderungen bereits öffentlich formuliert.
coeo: Verantwortung als Wettbewerbsvorteil
coeo ist mit cAI Technologies ein Unternehmen, das KI nicht nur beobachtet, sondern täglich produktiv einsetzt – im direkten Kontakt mit Menschen in finanziell belastenden Situationen. Das macht den Anspruch an Governance besonders konkret.
André Heyden, seit März 2026 Teil der Geschäftsführung der cAI Technology GmbH, bringt seine Prioritäten klar auf den Punkt: „Mein Fokus liegt darauf, die Innovationskraft von Forschung und Entwicklung konsequent in robuste, skalierbare Produkte zu übersetzen, mit klaren Standards für Betrieb, Qualität und messbaren Impact.“ Regulatorische Anforderungen wie der AI Act sind für ihn dabei kein Widerspruch zur Skalierung, sondern Teil davon: Governance und Operating Models gehören bei cAI von Anfang an zur Produktstrategie.
„Wir haben sensible Nutzende“, sagt Isabell Neubert. „Menschen in einer sensiblen Lage, die mit unserem Chatbot über Themen kommunizieren, die sie im Alltag belasten könnten. Deshalb ist es so wichtig, das gut umzusetzen.“ Bei coeo ist AI Governance deshalb kein Randthema, sondern auf C-Level-Ebene verankert. Gleichgestellt mit Datenschutz, Cybersecurity und Legal.
Der Ansatz ist dabei bewusst konstruktiv: Governance nicht als Bremse, sondern als Ermöglicher. Eigene Strukturen aufbauen, bevor der Gesetzgeber es erzwingt. Auf bestehende Regeln orientieren, ohne auf vollständige Klarheit zu warten. Und eine Unternehmenskultur fördern, in der Compliance nicht als Bedrohung, sondern als gemeinsame Verantwortung verstanden wird.
Ausblick: Vertrauenswürdige KI als europäischer Wettbewerbsvorteil
Das parlamentarische Verfahren läuft, die finale Fassung des Durchführungsgesetzes steht noch aus. Ab dem 2. August 2026 gilt der AI Act vollständig, mit allen Konsequenzen für Unternehmen, die bis dahin nicht vorbereitet sind.
Isabell Neubert blickt nach vorne: „Ich hoffe, dass nicht nur ein Wettbewerbsvorteil entsteht, sondern auch Vertrauenswürdigkeit.“ Wer KI verantwortungsvoll entwickelt und einsetzt, schafft Vertrauen: bei Kunden, bei Regulatoren, bei der Gesellschaft. Und Vertrauen ist in einem Markt, in dem KI-Skepsis wächst, ein echter Wettbewerbsfaktor.
„Für cAI bedeutet vertrauenswürdige KI: Wir können schneller in neue Use Cases gehen, weil Qualität, Nachvollziehbarkeit und Verantwortlichkeiten schon im Produkt verankert sind. Das ist nicht nur regulatorische Sicherheit, das ist ein echter Growth-Enabler“, sagt André Heyden.
Was Unternehmen jetzt tun können: eine Inventur aller genutzten KI-Systeme erstellen, Hochrisikobereiche identifizieren und eine Unternehmenskultur aufbauen, in der Compliance positiv besetzt ist. Wer das heute angeht, ist morgen nicht nur compliant, sondern positioniert.
Titelbild: © Kasper