Am 3. Juni 2026 hat die Europaeische Kommission den Vorschlag fuer den Cloud and AI Development Act veroeffentlicht. Fuer DACH-KMU ist die unbequeme Botschaft klar: Der Engpass bei KI ist nicht mehr nur das Modell. Der Engpass liegt in Cloud, Daten, Energie, Protokollierung, Anbieterabhaengigkeit und der operativen Disziplin rund um das Modell.
Wenn ein oesterreichischer Produktionsbetrieb, ein deutscher Dienstleister oder ein Schweizer Zulieferer KI-Workflows skalieren will, reicht die Frage "Welches KI-Tool kaufen wir?" nicht mehr. Die bessere Frage lautet: Haben wir ein KI-Infrastruktur-Betriebssystem, mit dem wir KI nutzen koennen, ohne Kontrolle ueber Daten, Kosten, Compliance und Verhandlungsmacht zu verlieren?
Dieser Leitfaden erklaert, was der EU Cloud and AI Development Act fuer DACH-KMU bedeutet, wie er mit AI Act und Apply-AI-Agenda zusammenhaengt und wie eine 90-Tage-Infrastruktur-Roadmap aussieht, bevor KI-Automatisierung in ERP, CRM, Finance, Operations, Kundenservice und Reporting ausgerollt wird.
SHOCKING
Der eigentliche Schock ist nicht, dass Europa mehr Cloud-Kapazitaet aufbauen will. Der Schock ist, wie viele KI-Projekte im Mittelstand noch immer so geplant werden, als waere Infrastruktur ein Detail fuer spaeter. Ein Team testet ein KI-Tool, verbindet ein paar Dokumente, zeigt eine saubere Demo und nennt es Fortschritt. Danach kommen die Fragen, die im Alltag zaehlen: Wo werden Daten verarbeitet? Wer sieht die Ergebnisse? Welche Logs existieren? Was passiert bei Preisaenderungen? Wie beweisen wir menschliche Kontrolle? Wie verlassen wir den Anbieter, wenn der Workflow ploetzlich kritisch ist?
Der von der Kommission am 3. Juni 2026 veroeffentlichte Vorschlag zum Cloud and AI Development Act ist deshalb ein Infrastruktursignal. Die offizielle EU-Seite zum Cloud and AI Development Act beschreibt den Druck rund um Cloud-Kapazitaet, Rechenzentren, AI Factories, Autonomie und Souveraenitaet. Fuer DACH-KMU ist das keine abstrakte Bruesseler Debatte. Es veraendert die Due Diligence fuer jeden ernsthaften KI-Workflow.
Sobald KI in Rechnungspruefung, Einkauf, Kunden-Triage, Qualitaetssicherung, HR, Audit Support oder Management Reporting hineinwandert, wird die Infrastruktur Teil des Geschaeftsmodells. Eine schwache Cloud-Entscheidung kann gleichzeitig zum Margenproblem, Compliance-Problem und Verhandlungsproblem werden.
TEXT HOOK
Viele Geschaeftsfuehrerinnen und Geschaeftsfuehrer im DACH-Mittelstand haben keine Angst vor KI. Sie haben genug von unscharfer KI. Sie wollen messbare Wirkung, klare Verantwortung, kalkulierbares Risiko und eine Architektur, die nicht das gesamte Unternehmen um ein Tool herum verbiegt. Genau deshalb ist der Cloud and AI Development Act relevant. Er verschiebt die Diskussion von "KI kommt" zu "die Infrastruktur hinter KI ist strategisch".
DACH-KMU arbeiten selten in einer sauberen Softwarewelt. Im Zentrum stehen SAP, BMD, DATEV-nahe Prozesse, Branchenportale, Excel-Modelle, alte Datenbanken, SharePoint-Strukturen, E-Mail-Freigaben und viel Erfahrungswissen. KI kann helfen, aber nur, wenn diese Realitaet sauber verbunden wird. Sonst beschleunigt KI nur das Chaos.
Dieser Beitrag richtet sich an CEOs, COOs, CFOs, IT-Leiter und Gruender, die KI-Workflows skalieren wollen, ohne eine unsichtbare Abhaengigkeitsfalle aufzubauen. Es geht um Cloud-Auswahl, Datenresidenz, Audit Trail, Integrationsarchitektur, Einkaufssprache und die ersten 90 Tage Umsetzung.
Was Europa am 3. Juni 2026 geaendert hat
Das Technologie-Souveraenitaetspaket der Kommission vom 3. Juni 2026 verbindet mehrere digitale Prioritaeten. Die Mitteilung zur Staerkung der technologischen Souveraenitaet Europas nennt neben CADA auch Themen wie Chips Act 2.0, Open Source und Digitalisierung im Energiesektor. Die Linie ist klar: Europa will mehr Kontrolle ueber die Infrastruktur, die fuer KI, Cloud Computing, Chips, Rechenzentren und strategische digitale Kapazitaet noetig ist.
Der Cloud and AI Development Act fokussiert auf Forschung und Innovation, Kapazitaet und Autonomie. In Unternehmenssprache heisst das: staerkere KI- und Cloud-Infrastruktur, mehr Rechenkapazitaet und weniger fragile Abhaengigkeit von nicht-europaeischer Infrastruktur fuer kritische digitale Workloads. Die EU-Seite zu Cloud Computing verbindet das Thema mit Cloud- und Rechenzentrumskapazitaeten fuer europaeische Unternehmen und Verwaltungen.
Das bedeutet nicht, dass jedes KMU morgen alles in eine europaeische Cloud verschieben muss. Es bedeutet aber, dass Cloud-Architektur zum Thema der Geschaeftsfuehrung wird. Wer KI-Workflows baut und Souveraenitaet, Exit-Optionen, Datenstandort, Logging, Energieverfuegbarkeit und regulatorisches Timing ignoriert, baut operative Schulden auf.
Warum das fuer DACH-KMU zaehlt
DACH-KMU haben meist kein Wissensproblem. Sie haben ein Verbindungsproblem. Die Buchhaltung kennt eine Wahrheit, das CRM eine zweite, die Produktion eine dritte, und die E-Mail-Inbox enthaelt die operative Realitaet. KI-Workflows koennen diese Fragmente verbinden, aber nur kontrolliert. Ohne Kontrolle wird aus Automatisierung nur schnellere Unordnung.
Viele Mittelstaendler wollen KI nicht mehr nur als Chatbot. Sie wollen Dokumente klassifizieren, Lieferanten-Ausnahmen vorbereiten, Kundenanfragen triagieren, CRM-Daten bereinigen, Rechnungsabweichungen erkennen, Vertragsanfragen zusammenfassen oder Monatsberichte vorbereiten. Diese Workflows beruehren Daten, Verantwortung und Haftung. Wenn ein KI-Workflow 30, 50 oder 80 Stunden pro Woche spart, ist er kein Experiment mehr. Er ist Infrastruktur.
Deshalb beginnt die strategische Entscheidung nicht beim Modell. Sie beginnt bei der Architektur. DACH-KMU sollten KI-Infrastruktur behandeln wie Finanzsysteme: nachvollziehbar, dokumentiert, kontrolliert und belastbar. Ein guter Prompt ohne Logging ist ein Risiko. Ein guenstiger Cloud-Vertrag ohne Exit-Plan ist potenzieller Vendor Lock-in. Ein Pilot ohne Datenklassifikation wird spaeter zum Audit-Problem.
ACHIEVEMENT
Nach diesem Artikel sollten Sie fuenf Dinge koennen. Erstens: erklaeren, warum der Cloud and AI Development Act in dieselbe Managementdiskussion gehoert wie der EU AI Act. Zweitens: erkennen, welche KI-Workflows ernsthafte Cloud- und Daten-Due-Diligence brauchen. Drittens: bessere Fragen an KI-Anbieter stellen. Viertens: eine 90-Tage-Infrastruktur-Roadmap fuer einen Workflow bauen. Fuenftens: Anbieter nach einem einfachen Scorecard-Prinzip bewerten, statt sich von Demos treiben zu lassen.
Das Ziel ist nicht, zum Policy-Experten zu werden. Das Ziel ist, KI im echten Unternehmen skalierbar zu machen. Fuer die meisten DACH-KMU heisst das: KI ueber AI Systems Architecture und lokale KI-Systemarchitektur an bestehende Prozesse anbinden, nicht noch mehr Einzeltools einkaufen.
Das KI-Infrastruktur-Betriebssystem
Ein KI-Infrastruktur-Betriebssystem ist kein neues Softwareprodukt. Es ist die operative Ordnung rund um KI-Workflows. Es definiert, wo Daten liegen, wie Daten fliessen, wer zugreifen darf, welche Logs existieren, wie Ergebnisse geprueft werden, wie Anbieter bewertet werden und wie ein Wechsel moeglich bleibt. Ohne diese Schicht wird KI zu einer Sammlung kleiner Ausnahmen. Mit dieser Schicht wird KI zu einer wiederholbaren Faehigkeit.
1. Datenkarte
Beginnen Sie mit Daten. Welche Daten gehen in den KI-Workflow? Kundendaten, Mitarbeiterdaten, Lieferantendaten, Finanzdaten, Produktionsdaten oder vertrauliches Know-how? Wo liegt die Quelle: SAP, BMD, DATEV-naher Prozess, HubSpot, Salesforce, SharePoint, E-Mail, Lagerverwaltung oder lokaler Fileserver? Welche Daten duerfen das Unternehmen verlassen und welche muessen in einer kontrollierten Umgebung bleiben?
2. Verarbeitung und Datenresidenz
Cloud- und KI-Souveraenitaet beginnt beim Verarbeitungsort. Die Frage "Ist der Anbieter DSGVO-konform?" reicht nicht. Fragen Sie, wo Prompts, Dateien, Embeddings, Logs, Backups und Review-Daten gespeichert werden. Fragen Sie nach EU-Verarbeitung, Subunternehmern und Aenderungen in der Lieferkette.
3. Identitaet, Rechte und menschliche Kontrolle
Ein KI-Workflow sollte die Berechtigungslogik des Unternehmens uebernehmen. Vertrieb darf nicht automatisch Finanzdaten sehen. Lagerprozesse duerfen keine HR-Daten oeffnen. Menschliche Kontrolle muss im Prozess verankert sein. Wer genehmigt eine KI-generierte Rechnungsabweichung? Wer prueft eine Kundenantwort? Welche Aktion darf niemals automatisch erfolgen?
4. Logs und Audit Trail
Jeder ernsthafte KI-Workflow braucht Logs: Eingabequelle, Modell oder Dienst, Zeitstempel, Nutzer, Output, Review-Entscheidung und Folgeaktion. Hier treffen AI-Act-Readiness und operative Qualitaet aufeinander. Logs helfen nicht nur bei Compliance. Sie zeigen auch, ob der Workflow Wert schafft oder nur Rauschen produziert.
5. Exit und Portabilitaet
Vendor Lock-in ist nicht nur eine Vertragsklausel. Es ist ein Architekturproblem. Wenn Workflow-Logik, Datenhaltung, Evaluierung und Automatisierung vollstaendig im proprietaeren System eines Anbieters liegen, wird ein Wechsel teuer. Besser ist eine Architektur, die Geschaeftslogik, Dokumentation, Exportformate und Bewertungskriterien so portabel wie moeglich haelt.
Wo CADA, AI Act und Apply AI zusammenlaufen
Der Cloud and AI Development Act ist die Infrastrukturgeschichte. Der AI Act ist die Governance-Geschichte. Apply AI ist die Umsetzungsgeschichte. DACH-Unternehmen sollten alle drei als eine Betriebsfrage behandeln: Wie nutzen wir KI in der Breite, ohne Kontrolle zu verlieren?
Der AI Act liefert den risikobasierten Rahmen. CADA liefert den Infrastrukturrahmen. Apply AI erhoeht den Druck, KI in realen Sektoren einzusetzen. Wer diese Themen trennt, baut leicht zu viel Policy und zu wenig System. Wer sie verbindet, baut praktische Governance: Workflow-Inventar, Risikoklassifikation, Anbieter-Due-Diligence, Logs, Review-Gates und ROI-Messung.
Das ist besonders wichtig fuer Unternehmen mit alter IT-Landschaft. Wenn ERP-Integration fragil ist, wird der KI-Workflow fragil. Wenn Stammdaten widerspruechlich sind, verstaerkt KI den Widerspruch. Wenn Reporting keine klare Quelle hat, erzeugt KI fluessig formulierte Unsicherheit. Deshalb gehoeren Legacy Modernisierung und KI-Infrastruktur zusammen.
ROADMAP
Die folgende 90-Tage-Infrastruktur-Roadmap ist fuer ein DACH-KMU gedacht, das einen ernsthaften KI-Workflow in Produktion oder produktionsnah bringen will. Ziel ist ein funktionierender, kontrollierter Workflow, keine Strategie-Praesentation.
Tag 1-15: Operative Realitaet kartieren
Inventarisieren Sie fuenf moegliche Workflows. Erfassen Sie Volumen, manuelle Stunden, Fehlerquote, beteiligte Systeme, Datenkategorien, Prozessverantwortliche, aktuellen Schmerz und moeglichen Wert. Geeignet sind Dokumenteneingang, Lieferanten-Ausnahmen, Kunden-Triage, CRM-Bereinigung, Finanzreporting und Managementberichte. Starten Sie nicht mit dem modischsten Use Case. Starten Sie dort, wo manuelle Arbeit messbar ist.
Tag 16-30: Risiko und Datenfluss klassifizieren
Fuer den ausgewaehlten Workflow wird jeder Datenfluss gezeichnet. Was kommt hinein? Was geht an ein Modell oder einen Cloud-Dienst? Was kommt zurueck? Was wird gespeichert? Wer prueft Ergebnisse? Welche Aktion ist automatisch, welche braucht Freigabe? Daraus entsteht die erste Kontrollkarte fuer KI.
Tag 31-45: Cloud- und Anbieterhaltung festlegen
Nutzen Sie die Kontrollkarte fuer die Anbieterauswahl. Fragen Sie nach Verarbeitungsort, Subprozessoren, Logs, Exportformaten, Identity-Integration, Retention, Audit-Unterstuetzung und Exit-Regeln. Bei kritischen Workflows sollten auch Ausfaelle und Modellwechsel geklaert werden. Viele KMU ueberspringen diese Fragen, weil der Pilot klein wirkt. Das ist riskant. Kleine Piloten werden schneller Kernprozess, als man denkt.
Tag 46-70: Minimalen KI-Workflow bauen
Verbinden Sie den Workflow ueber kontrollierte Schnittstellen mit Quellsystemen. Halten Sie den ersten Build eng: ein Dokumenttyp, eine Abteilung, ein Freigabepfad, ein messbares Ergebnis. Logging gehoert ab Tag eins dazu. Geschaeftsregeln muessen sichtbar bleiben. Bei Finance oder Kundenkommunikation ist menschliche Freigabe vor externer Aktion Pflicht.
Tag 71-90: Messen, dokumentieren, entscheiden
Messen Sie gesparte Stunden, Durchlaufzeit, Review-Qualitaet, Ausnahmequote, Nutzervertrauen und Folgefehler. Dokumentieren Sie Architektur, Kontrollen, Anbieterannahmen und die naechste Skalierungsentscheidung. Wenn der Workflow funktioniert, wird erweitert. Wenn nicht, klaeren Sie, ob Datenqualitaet, Prozessdesign, Anbieterfit oder Change Management das Problem ist.
Welche Fragen Anbieter beantworten muessen
Nach CADA sollten Anbieterfragen konkreter werden. Fragen Sie nicht nur "Sind Sie sicher?" oder "Haben Sie KI?" Fragen Sie: Koennen wir EU-Verarbeitung waehlen? Werden Prompts und Outputs gespeichert? Wird unser Datenmaterial fuer Training genutzt? Welche Logs koennen wir exportieren? Welche Subprozessoren gibt es? Wie funktioniert Rechtevererbung? Gibt es Standardschnittstellen fuer SAP, BMD, DATEV-nahe Prozesse, CRM, SharePoint und Eigenentwicklungen? Was passiert beim Wechsel?
Ein guter Anbieter antwortet konkret. Ein schwacher Anbieter versteckt sich hinter "Enterprise Security" und allgemeinen Zertifikatswoertern. Fuer ein Unternehmen, das KI in Operations einbettet, ist Detailtiefe Teil des Produkts.
RECIPE
Nutzen Sie dieses Rezept vor dem naechsten KI-Workflow. Bewerten Sie jeden Punkt mit 0 bis 2. Null heisst fehlt, eins heisst teilweise geklaert, zwei heisst operativ bereit. Ein Workflow mit weniger als 14 von 20 Punkten sollte nicht ueber einen kontrollierten Pilot hinaus skaliert werden.
Cloud- und KI-Readiness-Scorecard
- Workflow-Wert: manueller Aufwand, Fehlerkosten oder Durchlaufzeit sind messbar.
- Datenklassifikation: Kunden-, Mitarbeiter-, Lieferanten-, Finanz- und Know-how-Daten sind kartiert.
- Verarbeitungsort: Cloud-Region, Modellverarbeitung, Logs, Backups und Subprozessoren sind bekannt.
- Berechtigungen: Zugriff folgt der Rollenlogik des Unternehmens.
- Menschliche Kontrolle: Review-Gates sind vor externer oder finanzieller Aktion definiert.
- Audit Trail: Eingaben, Ausgaben, Entscheidungen und Folgeaktionen werden protokolliert.
- Integration: ERP, CRM, Dokumentenablage und Reporting laufen ueber kontrollierte Schnittstellen.
- Anbieterwechsel: Datenexport, Workflow-Dokumentation und Ersatzoptionen sind realistisch.
- Compliance Fit: AI Act, DSGVO und Branchenpflichten sind geprueft.
- ROI-Entscheidung: die naechste Investition ist an gemessene operative Verbesserung gekoppelt.
Dieses Rezept hat auch finanziellen Wert. Wer KI-Workflows, Logs und Einsparungen belegen kann, trifft bessere Technologieentscheidungen und gewinnt im Budgetgespraech. Fuer Teams, die operative Einsparungen belastbar quantifizieren wollen, passen dieselben Nachweise in einen CFOProof operativen Einspar-Audit.
Management-Fazit
Der Cloud and AI Development Act sagt einem DACH-KMU nicht, welches Tool naechste Woche gekauft werden soll. Der Nutzen liegt tiefer: Er bestaetigt, dass KI-Kapazitaet, Cloud-Infrastruktur, Rechenzentren, Souveraenitaet und Autonomie Teil der europaeischen Wettbewerbsagenda sind. Diese Agenda wird Einkauf, Compliance-Erwartungen, Public-Sector-Anforderungen, Enterprise-Kunden und Investoren beeinflussen.
Der praktische Schritt ist klar: Behandeln Sie KI nicht als Nebentool. Bauen Sie das KI-Infrastruktur-Betriebssystem um einen Workflow. Kartieren Sie Daten. Legen Sie die Cloud-Haltung fest. Fordern Sie konkrete Anbieterantworten. Protokollieren Sie. Messen Sie. Skalieren Sie nur, was erklaert, geprueft und verbessert werden kann.
Der naechste KI-Vorteil im DACH-Mittelstand entsteht nicht durch die lauteste Demo. Er entsteht dort, wo KI zu kontrollierter operativer Kapazitaet wird, ohne Daten, Marge oder strategische Optionen aus der Hand zu geben.