Alle Artikel
EU-AI-Act-Zeitplan: Wichtige Daten und Fristen (Stand Juni 2026)
AI Act

EU-AI-Act-Zeitplan: Wichtige Daten und Fristen (Stand Juni 2026)

Vollständiger EU-AI-Act-Zeitplan 2024-2028. Der Digital Omnibus ist vereinbart, aber noch nicht in Kraft (EP-Zustimmung am 16. Juni 2026; Annahme durch den Rat und Veröffentlichung im Amtsblatt stehen aus). Er würde Hochrisiko-Pflichten auf den 2. Dezember 2027 verschieben, sektorale Produkte auf den 2. August 2028 und die Kennzeichnungsfrist auf den 2. Dezember 2026 verlängern. Bis dahin bleibt der 2. August 2026 das rechtlich geltende Datum. Jedes Durchsetzungsdatum, was sich ändert und was Sie einplanen sollten.

Pedram Madani21 Min. Lesezeit
Teilen
Lesezeit21 Min.
ThemaAI Act
AktualisiertJuli 2025
Inhaltsverzeichnis

EU-AI-Act-Zeitplan: Jedes wichtige Datum und jede Frist, die Sie kennen müssen

Zuletzt aktualisiert: 14. Juni 2026 (Statusaktualisierung zum Omnibus ergänzt).

Der EU AI Act (Verordnung (EU) 2024/1689) tritt nicht auf einen Schlag in Kraft. Stattdessen wird er in vier großen Durchsetzungswellen eingeführt, die sich von August 2024 bis August 2027 erstrecken. Einige Pflichten sind bereits jetzt durchsetzbar. Andere werden in wenigen Monaten aktiv. Zu verstehen, welche Fristen bereits verstrichen sind und welche auf Sie zukommen, ist der erste Schritt zur Compliance.

Diese Zeitplan-Referenz behandelt jedes wichtige Datum bei der Einführung des AI Act, die Termine, was sie auslösen und was Sie jeweils tun sollten.

TL;DR, die Grundzüge des AI-Act-Zeitplans

  • 1. August 2024, Die Verordnung trat in Kraft. Der 24-monatige Countdown für die meisten Pflichten begann.
  • 2. Februar 2025, Verbotene KI-Praktiken (Artikel 5) wurden durchsetzbar und die Pflichten zur KI-Kompetenz (Artikel 4) wurden aktiviert.
  • 2. August 2025, Die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) (Artikel 51-56) traten in Kraft. Die zuständigen nationalen Behörden und das KI-Büro wurden arbeitsfähig.
  • 2. August 2026, Die große Frist. Pflichten für Hochrisiko-KI-Systeme, Transparenzanforderungen, Sanktionen und Reallabore werden alle aktiv. Auf dieses Datum bereiten sich die meisten Organisationen vor.
  • 2. August 2027, Letzte Welle. KI-Systeme, die in Produkte eingebettet sind, welche unter bestehendes harmonisiertes EU-Recht (Anhang I) fallen, sowie Alt-GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden.

Update Juni 2026: Der "Digital Omnibus" ist vereinbart, aber noch nicht Gesetz (nicht pausieren)

Stand Juni 2026 ist der "Digital Omnibus on AI" der EU eine vorläufige politische Einigung, erzielt zwischen Parlament und Rat am 7. Mai 2026, gebilligt vom Coreper am 13. Mai und von den Ausschüssen IMCO und LIBE am 2. Juni 2026 (93-4-15) angenommen. Er ist noch nicht als Gesetz angenommen und noch nicht in Kraft. Das Europäische Parlament gab seine endgültige Bestätigung im Plenum am 16. Juni 2026 (423 dafür, 57 dagegen, 174 Enthaltungen), danach stehen die formelle Annahme durch den Rat und die Veröffentlichung im Amtsblatt noch aus (die neuen Daten treten drei Tage nach der Veröffentlichung in Kraft).

Würde er in seiner vereinbarten Form angenommen, würde der Omnibus die Anwendungsdaten für Teile des AI Act ändern, vor allem die Verschiebung eigenständiger Hochrisiko-Systeme (Anhang III) vom 2. August 2026 auf den 2. Dezember 2027 (vereinbart, ausstehend), eingebetteter KI in Anhang-I-Produkten vom 2. August 2027 auf den 2. August 2028 (vereinbart, ausstehend) und die Verlängerung der Übergangsfrist für die Kennzeichnung nach Artikel 50(2) für bereits auf dem Markt befindliche Systeme bis zum 2. Dezember 2026 (vereinbart, ausstehend). Er würde außerdem ein neues Verbot nach Artikel 5 für KI-generiertes nicht einvernehmliches intimes Bildmaterial und CSAM hinzufügen, mit einem Übergangsdatum vom 2. Dezember 2026.

Praktischer Hinweis: Solange der ändernde Text die Annahme durch den Rat und die Veröffentlichung im Amtsblatt nicht durchlaufen hat (das EP hat ihn am 16. Juni 2026 gebilligt), sind die verschobenen Daten kein verbindliches Recht. Behandeln Sie den 2. August 2026 als Ihre Planungsgrundlage. Wenn sich die Fristen verschieben, gewinnen Sie Puffer, keinen Grund, die Arbeit an Verzeichnis, Klassifizierung und Dokumentation aufzuschieben.

Eine kurze Aufschlüsselung nach dem Muster "Signal → Handlung" finden Sie hier:
EU-AI-Act-Frist könnte sich verschieben (Digital Omnibus): Was KMU jetzt tun sollten

Ist Ihr KI-System hochriskant?

Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.

Jetzt prüfen

Der vollständige Zeitplan

Übersichtstabelle

DatumWas aktiv wirdWichtige Artikel
1. Aug. 2024Inkrafttreten; Übergangsfristen beginnenVerordnung im Amtsblatt veröffentlicht
2. Feb. 2025Verbotene Praktiken; KI-KompetenzArtikel 4, 5
2. Aug. 2025GPAI-Pflichten; KI-Büro; nationale Behörden; GPAI-VerhaltenskodexArtikel 51-56, 64-68
2. Aug. 2026Hochrisiko-KI-Pflichten; Transparenz; Sanktionen; ReallaboreKapitel III (Artikel 6-49), Artikel 50, Artikel 99-101
2. Aug. 2027Anhang-I-Produkt-KI; Alt-GPAI-ModelleArtikel 6(1), Übergangsbestimmungen

Nachfolgend die detaillierte Aufschlüsselung jeder Phase.

1. August 2024: Inkrafttreten

Die Verordnung (EU) 2024/1689 wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Dieses Datum setzte die Uhr für jede Übergangsfrist im Gesetz in Gang.

Was geschah:

  • Der AI Act wurde in allen 27 Mitgliedstaaten zu verbindlichem EU-Recht.
  • Eine allgemeine Übergangsfrist von 24 Monaten begann und gab Organisationen bis zum 2. August 2026 Zeit, den Großteil der Verordnung zu erfüllen.
  • Kürzere Übergangsfristen (6 und 12 Monate) begannen für verbotene Praktiken, KI-Kompetenz und GPAI-Pflichten.
  • Die Europäische Kommission begann mit dem Aufbau des KI-Büros, der zentralen EU-Stelle für die GPAI-Aufsicht.
  • Die Mitgliedstaaten begannen mit der Benennung zuständiger nationaler Behörden und Marktüberwachungsbehörden.

Eine vollständige Einführung in die Verordnung finden Sie unter Den EU AI Act verstehen.

2. Februar 2025: Verbotene Praktiken + KI-Kompetenz

Sechs Monate nach dem Inkrafttreten kam die erste Durchsetzungswelle. Das war ein harter Stopp, keine Schonfrist.

Was durchsetzbar wurde:

PflichtArtikelWas sie verlangt
Verbotene KI-PraktikenArtikel 5Acht Kategorien von KI-Praktiken sind vollständig verboten, darunter Social Scoring, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen), Ausnutzung schutzbedürftiger Gruppen, unterschwellige Manipulation, Emotionserkennung am Arbeitsplatz und in der Bildung (mit Ausnahmen), ungezieltes Auslesen von Gesichtsbildern und vorhersagende Polizeiarbeit allein auf Basis von Profiling.
KI-KompetenzArtikel 4Alle Anbieter und Betreiber müssen sicherstellen, dass ihr Personal ein ausreichendes Maß an KI-Kompetenz hat, angemessen zu Rolle und KI-Exposition.

Was Unternehmen bis zu diesem Datum getan haben sollten:

  1. Ihr KI-Portfolio geprüft anhand der Verbotsliste des Artikels 5. Jedes System, das in eine der acht verbotenen Kategorien fällt, muss außer Betrieb genommen, umgestaltet oder eingeschränkt worden sein.
  2. Ein Programm zur KI-Kompetenz gestartet. Keine Zertifizierung oder förmliche Prüfung, aber nachweisbare, angemessene Anstrengung.
  3. Beide Schritte dokumentiert. Nationale Behörden können jederzeit Nachweise verlangen.

Die Sanktionen für verbotene Praktiken sind die schärfsten im Gesetz: bis zu 35 Mio. EUR oder 7 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Mehr zum Sanktionsrahmen finden Sie unter EU AI Act: Sanktionen und Bußgelder erklärt.

Praxisbeispiel: Ein europäisches HR-Tech-Unternehmen nutzte ein Tool, das die emotionalen Zustände von Beschäftigten während Leistungsbeurteilungen bewertete, um ein "Desengagement-Risiko" zu markieren. Nach Artikel 5(1)(f) ist Emotionserkennung am Arbeitsplatz verboten, außer zu Sicherheits- oder medizinischen Zwecken. Das Unternehmen musste die Funktion vor dem 2. Februar 2025 vollständig abschalten.

2. August 2025: GPAI-Pflichten + Governance-Stellen

Zwölf Monate nach dem Inkrafttreten wurde die zweite Durchsetzungswelle aktiv, diesmal gerichtet auf KI-Modelle mit allgemeinem Verwendungszweck und den Aufbau der EU-Governance-Infrastruktur.

Was durchsetzbar wurde:

PflichtArtikelWas sie verlangt
Transparenz für GPAI-ModelleArtikel 51, Artikel 53Alle Anbieter von GPAI-Modellen müssen eine hinreichend detaillierte Zusammenfassung der Trainingsinhalte veröffentlichen, das EU-Urheberrecht einhalten und technische Dokumentation erstellen.
GPAI mit systemischem RisikoArtikel 51, 55GPAI-Modelle mit systemischem Risiko (trainiert mit >10²⁵ FLOPs oder von der Kommission benannt) müssen zusätzlich Modellbewertungen durchführen, systemische Risiken bewerten und mindern, schwerwiegende Vorfälle nachverfolgen und melden sowie angemessenen Cybersicherheitsschutz gewährleisten.
GPAI-VerhaltenskodexArtikel 56Das KI-Büro veröffentlichte einen GPAI-Verhaltenskodex mit detaillierten Hinweisen dazu, wie die Artikel 51-55 zu erfüllen sind. Die Einhaltung des Kodex begründet eine Konformitätsvermutung.
KI-Büro arbeitsfähigArtikel 64-68Das KI-Büro (innerhalb der Europäischen Kommission) wurde zur primären Aufsicht für GPAI-Modelle, mit Befugnissen, Auskünfte zu verlangen, Bewertungen durchzuführen und verbindliche Maßnahmen zu erlassen.
Zuständige nationale BehördenArtikel 70Jeder Mitgliedstaat musste mindestens eine zuständige nationale Behörde benennen und die Kommission unterrichten.

Einen tiefen Einblick in die GPAI-Pflichten finden Sie unter GPAI: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck.

Praxisbeispiel: Ein Open-Source-KI-Labor, das im September 2025 ein großes Sprachmodell veröffentlichte, musste eine Zusammenfassung der Trainingsdaten veröffentlichen (Artikel 53(1)(d)), nachgelagerten Anbietern technische Dokumentation bereitstellen (Artikel 53(1)(b)) und eine Richtlinie zur Einhaltung des Urheberrechts einführen. Weil das Modell die Trainingsrechenleistung von 10²⁵ FLOPs überschritt, musste das Labor außerdem adversariale Tests durchführen und schwerwiegende Vorfälle an das KI-Büro melden.

2. August 2026: Die große Frist

Das ist das Datum, an dem der Großteil der inhaltlichen Pflichten des AI Act in Kraft tritt, und das Datum, auf das die meisten Unternehmen zusteuern (oder zusteuern sollten).

Was durchsetzbar wird:

PflichtArtikelZusammenfassung
Hochrisiko-KI-KlassifizierungArtikel 6, Anhang IIIDer Rahmen zur Bestimmung, ob ein KI-System Hochrisiko ist, basierend auf seiner Verwendung in den in Anhang III genannten Bereichen (Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, Strafverfolgung, Migration, Justiz usw.).
Risikomanagement-SystemArtikel 9Anbieter müssen über den gesamten Lebenszyklus des KI-Systems ein kontinuierliches Risikomanagement-System einrichten, umsetzen, dokumentieren und pflegen.
Daten-GovernanceArtikel 10Trainings-, Validierungs- und Testdatensätze müssen Qualitätskriterien erfüllen. Prüfung auf Verzerrungen, Erkennung von Lücken und Daten-Governance-Maßnahmen sind erforderlich.
Technische DokumentationArtikel 11Vollständige technische Dokumentation nach Anhang IV, die Systembeschreibung, Designentscheidungen, Daten, Leistungskennzahlen, Risikomanagement und mehr abdeckt.
Aufzeichnung und ProtokollierungArtikel 12, 19Automatische Protokollierung von Ereignissen während des Betriebs. Protokolle werden über Zeiträume aufbewahrt, die dem Zweck des Systems angemessen sind.
Transparenz gegenüber BetreibernArtikel 13Hochrisiko-Systeme müssen so gestaltet sein, dass sie für Betreiber hinreichend transparent sind, um Ergebnisse zu interpretieren und das System angemessen zu nutzen.
Menschliche AufsichtArtikel 14Systeme müssen so gestaltet sein, dass wirksame menschliche Aufsicht möglich ist, einschließlich der Fähigkeit, die KI zu verstehen, zu überwachen und außer Kraft zu setzen.
Genauigkeit, Robustheit, CybersicherheitArtikel 15Hochrisiko-KI muss über ihren gesamten Lebenszyklus angemessene Niveaus an Genauigkeit, Robustheit und Cybersicherheit erreichen.
Qualitätsmanagement-SystemArtikel 17Anbieter müssen ein Qualitätsmanagement-System einrichten, das Design, Entwicklung, Tests, Datenmanagement, Risikomanagement, Marktbeobachtung und mehr abdeckt.
KonformitätsbewertungArtikel 43Bevor ein Hochrisiko-System in Verkehr gebracht wird, müssen Anbieter eine Konformitätsbewertung durchlaufen, je nach Systemtyp entweder intern (Selbstbewertung) oder durch eine benannte Stelle.
EU-KonformitätserklärungArtikel 47Anbieter müssen eine schriftliche, maschinenlesbare EU-Konformitätserklärung erstellen und 10 Jahre lang aufbewahren.
CE-KennzeichnungArtikel 48Hochrisiko-KI-Systeme müssen eine CE-Kennzeichnung tragen, die die Konformität anzeigt.
Registrierung in der EU-DatenbankArtikel 49Anbieter und Betreiber müssen Hochrisiko-KI-Systeme in der EU-Datenbank registrieren, bevor sie in Verkehr gebracht oder in Betrieb genommen werden.
Transparenzpflichten (begrenztes Risiko)Artikel 50KI-Systeme, die mit Menschen interagieren, müssen offenlegen, dass sie KI sind. Deepfake-Inhalte müssen gekennzeichnet werden. Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen die betroffene Person informieren. KI-generierter Text, der zur Information der Öffentlichkeit veröffentlicht wird, muss gekennzeichnet werden.
BetreiberpflichtenArtikel 26-27Betreiber müssen Systeme gemäß den Anweisungen nutzen, menschliche Aufsicht benennen, Protokolle aufbewahren, Anbieter über Probleme informieren und für bestimmte Nutzungen durch öffentliche Stellen Grundrechte-Folgenabschätzungen durchführen.
Sanktionen durchsetzbarArtikel 99Nationale Behörden können Bußgelder verhängen: bis zu 35 Mio. EUR / 7 % des Umsatzes für verbotene Praktiken, 15 Mio. EUR / 3 % für Hochrisiko-Verstöße, 7,5 Mio. EUR / 1 % für falsche Angaben.
ReallaboreArtikel 57Jeder Mitgliedstaat muss mindestens ein KI-Reallabor eingerichtet haben.

Einen vollständigen Schritt-für-Schritt-Compliance-Plan finden Sie unter EU-AI-Act-Compliance-Checkliste 2026. Sie sind unsicher, ob Ihr System als Hochrisiko gilt? Beginnen Sie mit Ist mein KI-System Hochrisiko? Ein Leitfaden zur Klassifizierung.

2. August 2027: Anhang-I-Produkte + Alt-GPAI

Die letzte Durchsetzungswelle erweitert die Reichweite des AI Act auf zwei verbleibende Kategorien.

Was durchsetzbar wird:

PflichtGeltungsbereichDetails
Anhang-I-Produkt-KIKI-Systeme, die Sicherheitsbauteile von Produkten sind, die bereits unter bestehendes harmonisiertes EU-Recht (Anhang I) fallenProdukte, die unter Rechtsvorschriften wie die Maschinenverordnung, die Medizinprodukteverordnung, die Spielzeugsicherheitsrichtlinie, die Funkanlagenrichtlinie und andere in Anhang I genannte fallen. Diese KI-Systeme müssen die Hochrisiko-Anforderungen erfüllen, erhalten aber ein zusätzliches Jahr, weil sie bereits sektoralen Konformitätsbewertungsverfahren unterliegen, die Zeit brauchen, um die AI-Act-Anforderungen zu integrieren.
Alt-GPAI-ModelleGPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurdenDiese Modelle profitieren von einer Übergangs-Schonfrist. Bis zum 2. August 2027 müssen sie die Artikel 51-56 vollständig erfüllen, einschließlich technischer Dokumentation und Zusammenfassung der Trainingsdaten.

Warum das zusätzliche Jahr? Bei Anhang-I-Produkten ermöglicht die Verzögerung Normungsgremien und benannten Stellen, KI-spezifische Anforderungen in bestehende Produktsicherheitsrahmen zu integrieren. Bei Alt-GPAI-Modellen erkennt die Schonfrist an, dass die nachträgliche Dokumentation von Trainingsdaten und Modellarchitektur für bereits in Produktion befindliche Modelle keine triviale Aufgabe ist.

Was bereits jetzt durchsetzbar ist (April 2026)

Zum Zeitpunkt dieses Textes sind bereits zwei Durchsetzungswellen verstrichen. Hier eine konkrete Zusammenfassung dessen, was aktuell in Kraft ist:

Seit dem 2. Februar 2025:

  • Alle acht verbotenen KI-Praktiken nach Artikel 5 sind verboten. Zuwiderhandelnden drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes.
  • Die Pflicht zur KI-Kompetenz nach Artikel 4 ist aktiv. Jede Organisation, die KI-Systeme anbietet oder betreibt, muss sicherstellen, dass das relevante Personal ausreichende KI-Kompetenz hat.

Seit dem 2. August 2025:

  • Anbieter von GPAI-Modellen müssen Transparenz-, Dokumentations- und Urheberrechtspflichten erfüllen (Artikel 53).
  • GPAI-Modelle mit systemischem Risiko müssen erweiterte Pflichten erfüllen, darunter Modellbewertungen, Risikominderung, Vorfallmeldung und Cybersicherheitsmaßnahmen (Artikel 55).
  • Das KI-Büro ist arbeitsfähig und kann Auskünfte verlangen, Bewertungen durchführen und GPAI-Regeln durchsetzen.
  • In jedem Mitgliedstaat wurden zuständige nationale Behörden benannt.
  • Der GPAI-Verhaltenskodex wurde veröffentlicht und dient als Maßstab für den Nachweis der Compliance.

Wenn Sie ein KI-System betreiben, sollten Sie bereits bestätigt haben, dass es nicht unter eine verbotene Kategorie fällt, und die KI-Kompetenz adressiert haben. Wenn Sie ein GPAI-Modell auf dem EU-Markt anbieten, sollten Ihre technische Dokumentation und die Zusammenfassung der Trainingsdaten bereits vorliegen. Nichteinhaltung in diesen Punkten ist bereits sanktionierbar.

Was in 4 Monaten kommt (August 2026)

Die Frist am 2. August 2026 ist das größte einzelne Durchsetzungsereignis im AI Act. Hier ein fokussierter Countdown dessen, was aktiv wird.

Hochrisiko-KI-Pflichten (Anbieter)

Ab dem 2. August 2026 müssen Anbieter von Hochrisiko-KI-Systemen nach Artikel 6 und Anhang III Folgendes eingerichtet haben:

  1. Risikomanagement-System, iterativ, kontinuierlich, dokumentiert (Artikel 9).
  2. Daten-Governance-Maßnahmen, die die Qualität von Trainings-, Validierungs- und Testdaten abdecken (Artikel 10).
  3. Technische Dokumentation, vollständig nach Anhang IV (Artikel 11).
  4. Automatische Protokollierung, Ereignisaufzeichnung während des Betriebs (Artikel 12).
  5. Transparenzinformationen, klare Anweisungen für Betreiber (Artikel 13).
  6. Gestaltung für menschliche Aufsicht, eingebaute Möglichkeit zum menschlichen Eingreifen (Artikel 14).
  7. Genauigkeit, Robustheit, Cybersicherheit, über den gesamten Lebenszyklus (Artikel 15).
  8. Qualitätsmanagement-System, umfassende organisatorische Kontrollen (Artikel 17).
  9. Konformitätsbewertung, Selbstbewertung oder benannte Stelle (Artikel 43).
  10. EU-Konformitätserklärung und CE-Kennzeichnung (Artikel 47-48).
  11. Registrierung in der EU-Datenbank (Artikel 49).
  12. Marktbeobachtung, systematischer Prozess zur Erhebung und Analyse von Leistungsdaten (Artikel 72).

Hochrisiko-KI-Pflichten (Betreiber)

Betreiber, also Organisationen, die Hochrisiko-KI-Systeme unter ihrer Verantwortung nutzen, müssen:

  1. Systeme gemäß der Betriebsanleitung des Anbieters nutzen.
  2. Kompetente natürliche Personen für die menschliche Aufsicht benennen.
  3. Sicherstellen, dass die Eingabedaten für den vorgesehenen Zweck des Systems relevant und repräsentativ sind.
  4. Den Betrieb überwachen und Fehlfunktionen oder schwerwiegende Vorfälle an den Anbieter melden.
  5. Protokolle, die vom System automatisch erzeugt werden, mindestens 6 Monate aufbewahren (oder länger, wenn andere EU-/nationale Rechtsvorschriften dies verlangen).
  6. Eine Grundrechte-Folgenabschätzung (FRIA) durchführen, wo erforderlich (Artikel 27), anwendbar auf öffentliche Stellen und bestimmte private Einrichtungen in festgelegten Bereichen.
  7. Betroffene natürliche Personen informieren, dass sie einem Hochrisiko-KI-System unterliegen.

Einen detaillierten Vergleich der Anbieter- und Betreiberpflichten finden Sie unter AI Act: Anbieter- vs. Betreiberpflichten.

Transparenzpflichten (begrenztes Risiko)

Artikel 50 gilt für eine breitere Kategorie von KI-Systemen als nur Hochrisiko:

  • KI-Systeme, die mit Menschen interagieren (Chatbots, virtuelle Assistenten), müssen offenlegen, dass die Person mit KI interagiert, es sei denn, dies ist aus den Umständen offensichtlich.
  • Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen die betroffenen Personen informieren.
  • Deepfake-Inhalte (KI-generierte oder manipulierte Bilder, Audio, Video) müssen als künstlich erzeugt oder manipuliert gekennzeichnet werden.
  • KI-generierter Text, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, muss als KI-generiert gekennzeichnet werden.

Eine vollständige Aufschlüsselung finden Sie unter AI-Act-Transparenzpflichten: Artikel 50 und Deepfake-Kennzeichnung.

Sanktionen werden durchsetzbar

Die Sanktionen nach Artikel 99 gelten ab dem 2. August 2026:

VerstoßartHöchstbußgeld
Verbotene Praktiken (Artikel 5)35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes
Pflichten für Hochrisiko-Systeme (Kapitel III)15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes
Sonstige Pflichten7,5 Mio. EUR oder 1,5 % des weltweiten Jahresumsatzes
Falsche Angaben7,5 Mio. EUR oder 1 % des weltweiten Jahresumsatzes

KMU und Startups profitieren von Verhältnismäßigkeitsbestimmungen, siehe unseren Leitfaden für Startups und KMU.

Reallabore

Bis zum 2. August 2026 muss jeder Mitgliedstaat mindestens ein KI-Reallabor eingerichtet haben, eine kontrollierte Umgebung zum Testen von KI-Systemen unter regulatorischer Aufsicht vor dem Inverkehrbringen.

Was ein weiteres Jahr erhält (August 2027)

Zwei Kategorien erhalten eine Verlängerung bis zum 2. August 2027:

Anhang-I-Produkt-KI-Systeme

KI-Systeme, die als Sicherheitsbauteile von Produkten dienen, die bereits unter bestehendes harmonisiertes EU-Recht nach Anhang I fallen, darunter die Maschinenverordnung, die Medizinprodukteverordnung, die Verordnung über die Sicherheit der Zivilluftfahrt, die Verordnung über die Typgenehmigung von Kraftfahrzeugen, die Spielzeugsicherheitsrichtlinie, die Funkanlagenrichtlinie und andere. Diese Systeme müssen dieselben Hochrisiko-Anforderungen des Kapitels III erfüllen, doch das zusätzliche Jahr erlaubt es den sektoralen Konformitätsbewertungsverfahren, den AI Act zu integrieren.

Alt-GPAI-Modelle

GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, haben bis zum 2. August 2027 Zeit, die Artikel 51-56 vollständig zu erfüllen. Nach dem 2. August 2027 gibt es keine Übergangsbestimmungen mehr, jede Pflicht im AI Act ist vollständig durchsetzbar.

Wichtige Daten für bestimmte Rollen

Anbieter von Hochrisiko-KI-Systemen

DatumPflicht
2. Feb. 2025Bestätigen, dass keine verbotenen Praktiken im Portfolio sind; Programme zur KI-Kompetenz starten
2. Aug. 2025Wenn Ihr System ein GPAI-Modell enthält, sicherstellen, dass Ihr GPAI-Anbieter konform ist
2. Aug. 2026Vollständige Compliance nach Kapitel III: Risikomanagement, Dokumentation, Konformitätsbewertung, CE-Kennzeichnung, Datenbankregistrierung, Marktbeobachtung
2. Aug. 2027Wenn Ihr System ein Sicherheitsbauteil eines Anhang-I-Produkts ist, vollständige Compliance bis zu diesem Datum

Betreiber von Hochrisiko-KI-Systemen

DatumPflicht
2. Feb. 2025KI-Kompetenz für alle am Betrieb und der Aufsicht von KI-Systemen beteiligten Mitarbeitenden
2. Aug. 2026Nutzung gemäß Anweisungen, Benennung der menschlichen Aufsicht, Aufbewahrung von Protokollen, Benachrichtigung betroffener Personen, FRIA (falls zutreffend), Überwachung und Meldung

Anbieter von GPAI-Modellen

DatumPflicht
2. Aug. 2025Technische Dokumentation, Zusammenfassung der Trainingsdaten, Einhaltung des Urheberrechts, Informationen für nachgelagerte Anbieter. Zusätzliche Pflichten für Modelle mit systemischem Risiko.
2. Aug. 2027Alt-Modelle (vor Aug. 2025 in Verkehr gebracht) müssen vollständige Compliance erreichen

Anbieter von KI mit begrenztem Risiko (Chatbots, Deepfakes, Emotionserkennung)

DatumPflicht
2. Feb. 2025Pflichten zur KI-Kompetenz aktiv
2. Aug. 2026Transparenzpflichten nach Artikel 50: KI-Offenlegung bei Chatbots, Deepfake-Kennzeichnung, Benachrichtigung bei Emotionserkennung

Zeitplanung anhand von Praxisfällen

Szenario 1: Entdeckung eines Hochrisiko-Systems im April 2026

Praxisbeispiel: Ein mittelgroßes Versicherungsunternehmen erstellt im April 2026 sein erstes Verzeichnis der KI-Systeme und stellt fest, dass sein automatisiertes System zur Schadentriage nach Anhang III, Punkt 5(a) (Zugang zu wesentlichen privaten Diensten, Versicherung), als Hochrisiko gilt.

Das Unternehmen hat vier Monate bis zur Frist am 2. August 2026. Das kommt auf es zu:

  1. Wochen 1-2: Risikoklassifizierung abschließen und den Hochrisiko-Status bestätigen. Das AI-Act-Bewertungs-Tool zur Validierung nutzen.
  2. Wochen 3-6: Mit dem Aufbau des Risikomanagement-Systems beginnen, angefangen mit einer Risikoerkennung und einer Analyse bekannter Grenzen. Gleichzeitig mit dem Zusammenstellen der technischen Dokumentation nach Anhang IV beginnen.
  3. Wochen 7-10: Mechanismen für menschliche Aufsicht umsetzen (Möglichkeit zum Außerkraftsetzen, Monitoring-Dashboards). Daten-Governance-Prüfung der Trainingsdaten durchführen. Automatische Protokollierung aufbauen.
  4. Wochen 11-14: Konformitätsbewertung durchführen (für diesen Anwendungsfall wahrscheinlich Selbstbewertung). EU-Konformitätserklärung vorbereiten. In der EU-Datenbank registrieren.
  5. Wochen 15-16: Marktbeobachtung aktivieren. Alles dokumentieren. Den Vorstand briefen.

Vier Monate sind der minimal machbare Zeitplan für ein einzelnes Hochrisiko-System mit einem kooperativen Team. Mehrere Systeme oder Altarchitekturen verlängern ihn. Die Lehre: Warten Sie nicht bis April 2026, um Ihre KI-Systeme zu erfassen.

Szenario 2: Ein GPAI-Anbieter, der vor August 2025 gestartet ist

Praxisbeispiel: Ein europäisches KI-Startup veröffentlichte im März 2025 ein Basismodell, fünf Monate vor der GPAI-Frist am 2. August 2025. Weil das Modell vor dem Stichtag in Verkehr gebracht wurde, profitiert es von der Schonfrist für Alt-GPAI und hat bis zum 2. August 2027 Zeit, die Artikel 51-56 vollständig zu erfüllen.

Die Schonfrist gilt jedoch nur für die bestehende Modellversion. Wenn das Startup das Modell wesentlich verändert oder nach dem 2. August 2025 eine neue Version veröffentlicht, muss diese neue Version sofort konform sein.

Der umsichtige Ansatz des Startups:

  • Die Schonfrist nutzen, um technische Dokumentation nachträglich aufzubauen, beginnend mit der Modellkarte, der Architekturbeschreibung und den Leistungs-Benchmarks.
  • Die Zusammenfassung der Trainingsdaten priorisieren, die aufwendigste Anforderung, mit der Rückverfolgung von Datenquellen, Lizenzen und Opt-out-Compliance.
  • Jede neue Modellversion als frische Veröffentlichung behandeln, die ab dem ersten Tag Compliance erfordert.
  • Den GPAI-Verhaltenskodex auf sektorspezifische Hinweise beobachten.

Einen vollständigen Überblick über die GPAI-Pflichten, einschließlich der Schwelle für systemisches Risiko, finden Sie in unserem dedizierten Leitfaden.

Szenario 3: Ein Betreiber, der HR-KI eines Drittanbieters nutzt

Praxisbeispiel: Ein multinationaler Einzelhändler nutzt eine KI-Recruiting-Plattform eines Drittanbieters, um Lebensläufe vorzuwählen und Kandidaten zu ordnen. Die KI wird von einem SaaS-Anbieter bereitgestellt. Der Einzelhändler ist der Betreiber.

KI, die für die Personalbeschaffung eingesetzt wird, fällt unter Anhang III, Punkt 4(a), Vermittlung natürlicher Personen in ein Beschäftigungsverhältnis. Sie ist Hochrisiko. Bis zum 2. August 2026 muss der Einzelhändler:

  1. Anbieter-Compliance prüfen. Nachweise der Konformitätsbewertung, der EU-Konformitätserklärung und der CE-Kennzeichnung einholen. Kann der Anbieter die Konformität nicht nachweisen, den Anbieter wechseln.
  2. Menschliche Aufsicht benennen. Namentlich benannte Personen mit der Befugnis bestimmen, die Empfehlungen der KI außer Kraft zu setzen.
  3. Relevanz der Eingabedaten sicherstellen. Bestätigen, dass die dem System zugeführten Daten repräsentativ sind und keine Verzerrungen einführen.
  4. Protokolle aufbewahren. Die automatischen Protokolle des Systems mindestens sechs Monate aufbewahren.
  5. Kandidaten informieren. Alle Bewerber darüber informieren, dass im Recruiting-Prozess KI eingesetzt wird.
  6. Eine FRIA durchführen, falls zutreffend (Betreiber im öffentlichen Sektor oder wenn nach nationalem Recht erforderlich).

Der AI Act lässt nicht zu, dass Sie Compliance auslagern, indem Sie die KI auslagern. Betreiberpflichten bestehen unabhängig. Die vollständige Aufschlüsselung finden Sie unter Anbieter- vs. Betreiberpflichten.

So priorisieren Sie Ihre verbleibende Zeit

Sie haben etwa vier Monate bis zum 2. August 2026. Hier ein priorisierter Aktionsplan.

Monat 1 (April): Erfassen und klassifizieren

Monat 2 (Mai): Kern-Compliance-Infrastruktur aufbauen

  • Für Hochrisiko-Anbieter: Beginnen Sie mit dem Risikomanagement-System und der technischen Dokumentation, den beiden zeitaufwendigsten Anforderungen.
  • Für Hochrisiko-Betreiber: Fordern Sie Compliance-Nachweise von den KI-Anbietern an, EU-Konformitätserklärung, CE-Kennzeichnung, Betriebsanleitung.
  • Für alle Organisationen: Richten Sie ein Qualitätsmanagement-System ein oder passen Sie es an, um KI-spezifische Anforderungen abzudecken.
  • Schließen Sie Lücken bei der KI-Kompetenz, falls aus der Pflicht vom Februar 2025 noch welche bestehen.

Monat 3 (Juni): Umsetzen und testen

  • Setzen Sie Mechanismen für die menschliche Aufsicht um, Möglichkeiten zum Außerkraftsetzen, Monitoring-Oberflächen, Warnsysteme.
  • Aktivieren Sie die automatische Protokollierung. Bestätigen Sie die Richtlinien zur Aufbewahrung von Protokollen (mindestens 6 Monate).
  • Führen Sie die Konformitätsbewertung durch. Für die meisten Anhang-III-Systeme Selbstbewertung. Für biometrische Systeme, die von der Strafverfolgung genutzt werden, ist eine benannte Stelle erforderlich. Siehe Konformitätsbewertung: Selbstbewertung vs. benannte Stelle.
  • Bereiten Sie Transparenzmaßnahmen nach Artikel 50 vor, Chatbot-Offenlegungen, Deepfake-Kennzeichnungen, Benachrichtigungen bei Emotionserkennung.

Monat 4 (Juli): Finalisieren, registrieren und beobachten

  • Bereiten Sie die EU-Konformitätserklärung vor (Artikel 47) und bringen Sie die CE-Kennzeichnung an (Artikel 48).
  • Registrieren Sie alle Hochrisiko-Systeme in der EU-Datenbank (Artikel 49).
  • Aktivieren Sie die Marktbeobachtung, Datenerhebung, Leistungsverfolgung, Vorfallmeldung.
  • Briefen Sie die Geschäftsleitung. Compliance ist eine organisatorische Verpflichtung, kein Abteilungsprojekt.
  • Dokumentieren Sie alles. Behörden fragen nach Nachweisen für Prozesse, nicht nur nach Ergebnissen.

Häufig gestellte Fragen

Ist der EU AI Act bereits in Kraft getreten?

Ja. Er trat am 1. August 2024 in Kraft. Verbotene Praktiken und KI-Kompetenz traten am 2. Februar 2025 in Kraft. GPAI-Pflichten am 2. August 2025. Die bedeutendste Welle, Hochrisiko-KI, Transparenz und Sanktionen, tritt am 2. August 2026 in Kraft. Siehe Den EU AI Act verstehen.

Was ist die wichtigste Frist für die meisten Unternehmen?

Der 2. August 2026. Dann werden die Pflichten für Hochrisiko-KI-Systeme nach Kapitel III durchsetzbar, zusammen mit den Transparenzpflichten nach Artikel 50, den vollen Sanktionsbefugnissen und den Betreiberpflichten. Sofern Ihre einzigen KI-Systeme nicht GPAI-Modelle oder Anhang-I-Produktkomponenten sind, ist der August 2026 Ihr primäres Compliance-Ziel. Nutzen Sie die Compliance-Checkliste zur Planung.

Gelten die Fristen für Unternehmen außerhalb der EU?

Ja. Der AI Act gilt für jede Organisation, die ein KI-System auf dem EU-Markt in Verkehr bringt oder in der EU in Betrieb nimmt, unabhängig davon, wo die Organisation niedergelassen ist. Ein US-Unternehmen, das ein KI-Recruiting-Tool zur Vorauswahl von Kandidaten für EU-Stellen einsetzt, unterliegt dem Gesetz. Das Gesetz hat eine extraterritoriale Reichweite ähnlich der DSGVO.

Was passiert, wenn ich die Frist im August 2026 verpasse?

Nichteinhaltung nach dem 2. August 2026 setzt Ihre Organisation Durchsetzungsmaßnahmen der nationalen Marktüberwachungsbehörden aus. Sanktionen reichen von 7,5 Mio. EUR bis 35 Mio. EUR (oder 1-7 % des weltweiten Jahresumsatzes). Behörden können außerdem die Rücknahme oder den Rückruf Ihres KI-Systems anordnen. Über Bußgelder hinaus schafft Nichteinhaltung Reputationsrisiken, Ausschluss aus Ausschreibungen und potenzielle zivilrechtliche Haftung.

Gibt es eine Schonfrist für Startups und KMU?

Die Fristen sind für alle Organisationen gleich. Allerdings enthält der AI Act Verhältnismäßigkeitsbestimmungen für KMU und Startups. Artikel 99 verlangt, dass Bußgelder verhältnismäßig sind, Reallabore müssen KMU vorrangigen Zugang gewähren und Gebühren für die Konformitätsbewertung müssen die Größe kleinerer Akteure widerspiegeln. Die praktische Last ist leichter, aber die rechtlichen Fristen sind identisch. Für maßgeschneiderte Hinweise siehe unseren AI-Act-Compliance-Leitfaden für Startups und KMU.

Wo kann ich die Risikoklassifizierung meines KI-Systems schnell prüfen?

Nutzen Sie das kostenlose AI-Act-Bewertungs-Tool von Legalithm. Es führt Sie in weniger als fünf Minuten durch die Kriterien aus Artikel 6 und Anhang III. Für eine manuelle Durchsicht siehe Ist mein KI-System Hochrisiko? Ein Leitfaden zur Klassifizierung.

Fazit

Hier das Fazit, Stand April 2026:

  • Verbotene Praktiken und KI-Kompetenz, bereits durchsetzbar. Wenn Sie diese nicht adressiert haben, sind Sie bereits exponiert.
  • GPAI-Pflichten, bereits durchsetzbar. Anbieter von GPAI-Modellen sollten jetzt konform sein.
  • Hochrisiko-KI, Transparenz und Sanktionen, durchsetzbar in vier Monaten (2. August 2026). Hier sollten die meisten Organisationen ihre verbleibende Anstrengung konzentrieren.
  • Anhang-I-Produkt-KI und Alt-GPAI, Sie haben bis zum 2. August 2027 Zeit, behandeln Sie dieses zusätzliche Jahr aber nicht als Leerlauf.

Wenn Sie jetzt beginnen, ist die Zeit knapp, aber ausreichend, sofern Sie sich auf die Pflichten mit der höchsten Priorität konzentrieren und jede verfügbare Ressource nutzen, um Tempo zu machen. Beginnen Sie mit der AI-Act-Bewertung, um Ihre Systeme zu klassifizieren, und folgen Sie dann der Compliance-Checkliste, um Ihren Aktionsplan aufzubauen.

AI Act
Zeitplan
Fristen
Durchsetzung
Omnibus
2026
2027
2028
Umsetzung