Der stille Umbau: Wie der EU AI Act die Unternehmens-IT 2026 verändert

Die Schlagzeilen drehen sich um Verschiebungen — die operative Wirklichkeit in den IT-Abteilungen deutscher Unternehmen ist eine andere. Beschaffung, Architektur und Verantwortungs-Strukturen bauen sich gerade still, aber tiefgreifend um.

Wer in den letzten Monaten in Architektur-Runden großer deutscher Unternehmen gesessen hat, kennt das Muster: Die Diskussion startet bei einem konkreten Tool — Copilot, ein RAG-System, ein eigenes LLM-Gateway — und endet bei Fragen, die mit dem Tool nichts mehr zu tun haben. Wer haftet? Wer dokumentiert? Wer schult? Welche Logs müssen wir wie lange aufbewahren? Der EU AI Act wirkt wie ein Verstärker auf Themen, die in vielen Häusern schon lange schwelten.

I. Beschaffung: Vom Lizenzvertrag zum Compliance-Akt

Einkaufsabteilungen, die noch vor zwei Jahren KI-Tools als gewöhnliche SaaS-Lizenzen einkauften, arbeiten heute mit Fragebögen, die an klassische Lieferanten-Audits erinnern. Datenresidenz, Trainingsdaten-Quellen, Subprozessor-Listen, Model-Cards — was vor 24 Monaten als Nische galt, ist 2026 Mindeststandard im KI-Beschaffungsprozess.

Diese Verschiebung hat einen Preis: Beschaffungszyklen werden länger, Tool-Experimente teurer. Wer dagegen wettet, dass dieser Aufwand sinkt, übersieht den eigentlichen Treiber — es geht nicht um den AI Act allein, sondern um die Bündelung von Datenschutz, NIS-2, DORA und sektorspezifischer Aufsicht.

II. Architektur: Vom Direktzugriff zum KI-Gateway

Die zweite stille Verschiebung passiert in der Systemarchitektur. Wo einzelne Teams 2023 noch direkt API-Keys von Modell-Anbietern bezogen, etablieren mittlere und große Unternehmen heute interne KI-Gateways: zentrale Vermittlungsschichten zwischen Mitarbeitenden, Anwendungen und Modellen. Sie erlauben Quotenkontrolle, Audit-Logs, Prompt-Filter und die Einhaltung interner Daten-Klassifizierungen.

III. Verantwortung: Die neue Rolle des KI-Beauftragten

Der AI Act schreibt keine spezifische Rolle vor — anders als die DSGVO mit dem Datenschutzbeauftragten. In der Praxis entstehen jedoch in deutschen Unternehmen reihenweise vergleichbare Funktionen: AI Officer, KI-Governance-Lead, Head of Responsible AI. Selten ist die Rolle bei der IT angesiedelt. Häufiger im Risk Management, in Compliance oder im Vorstandsbüro.

IV. Was das für 2026 bedeutet

Die Konsequenz ist nicht spektakulär, sondern strukturell. Unternehmen, die KI strategisch einsetzen wollen, müssen drei Investitionen parallel tätigen: in Beschaffungs- und Vertragskompetenz, in zentrale Vermittlungs-Infrastruktur und in eine eindeutig benannte Verantwortung. Wer eine dieser drei Säulen auslässt, baut Risiken auf, die sich erst bei der ersten Aufsichtsanfrage offenbaren.

Der stille Umbau ist keine Frage, ob er passiert. Er ist eine Frage, wer ihn aktiv gestaltet — und wer ihn unter Druck nachholen muss.