EU-AI-Act-Zeitplan: Jedes wichtige Datum und jede Frist, die Sie kennen müssen
Zuletzt aktualisiert: 14. Juni 2026 (Statusaktualisierung zum Omnibus ergänzt).
Der EU AI Act (Verordnung (EU) 2024/1689) tritt nicht auf einen Schlag in Kraft. Stattdessen wird er in vier großen Durchsetzungswellen eingeführt, die sich von August 2024 bis August 2027 erstrecken. Einige Pflichten sind bereits jetzt durchsetzbar. Andere werden in wenigen Monaten aktiv. Zu verstehen, welche Fristen bereits verstrichen sind und welche auf Sie zukommen, ist der erste Schritt zur Compliance.
Diese Zeitplan-Referenz behandelt jedes wichtige Datum bei der Einführung des AI Act, die Termine, was sie auslösen und was Sie jeweils tun sollten.
TL;DR, die Grundzüge des AI-Act-Zeitplans
- 1. August 2024, Die Verordnung trat in Kraft. Der 24-monatige Countdown für die meisten Pflichten begann.
- 2. Februar 2025, Verbotene KI-Praktiken (Artikel 5) wurden durchsetzbar und die Pflichten zur KI-Kompetenz (Artikel 4) wurden aktiviert.
- 2. August 2025, Die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) (Artikel 51-56) traten in Kraft. Die zuständigen nationalen Behörden und das KI-Büro wurden arbeitsfähig.
- 2. August 2026, Die große Frist. Pflichten für Hochrisiko-KI-Systeme, Transparenzanforderungen, Sanktionen und Reallabore werden alle aktiv. Auf dieses Datum bereiten sich die meisten Organisationen vor.
- 2. August 2027, Letzte Welle. KI-Systeme, die in Produkte eingebettet sind, welche unter bestehendes harmonisiertes EU-Recht (Anhang I) fallen, sowie Alt-GPAI-Modelle, die vor August 2025 in Verkehr gebracht wurden.
Update Juni 2026: Der "Digital Omnibus" ist vereinbart, aber noch nicht Gesetz (nicht pausieren)
Stand Juni 2026 ist der "Digital Omnibus on AI" der EU eine vorläufige politische Einigung, erzielt zwischen Parlament und Rat am 7. Mai 2026, gebilligt vom Coreper am 13. Mai und von den Ausschüssen IMCO und LIBE am 2. Juni 2026 (93-4-15) angenommen. Er ist noch nicht als Gesetz angenommen und noch nicht in Kraft. Das Europäische Parlament gab seine endgültige Bestätigung im Plenum am 16. Juni 2026 (423 dafür, 57 dagegen, 174 Enthaltungen), danach stehen die formelle Annahme durch den Rat und die Veröffentlichung im Amtsblatt noch aus (die neuen Daten treten drei Tage nach der Veröffentlichung in Kraft).
Würde er in seiner vereinbarten Form angenommen, würde der Omnibus die Anwendungsdaten für Teile des AI Act ändern, vor allem die Verschiebung eigenständiger Hochrisiko-Systeme (Anhang III) vom 2. August 2026 auf den 2. Dezember 2027 (vereinbart, ausstehend), eingebetteter KI in Anhang-I-Produkten vom 2. August 2027 auf den 2. August 2028 (vereinbart, ausstehend) und die Verlängerung der Übergangsfrist für die Kennzeichnung nach Artikel 50(2) für bereits auf dem Markt befindliche Systeme bis zum 2. Dezember 2026 (vereinbart, ausstehend). Er würde außerdem ein neues Verbot nach Artikel 5 für KI-generiertes nicht einvernehmliches intimes Bildmaterial und CSAM hinzufügen, mit einem Übergangsdatum vom 2. Dezember 2026.
Praktischer Hinweis: Solange der ändernde Text die Annahme durch den Rat und die Veröffentlichung im Amtsblatt nicht durchlaufen hat (das EP hat ihn am 16. Juni 2026 gebilligt), sind die verschobenen Daten kein verbindliches Recht. Behandeln Sie den 2. August 2026 als Ihre Planungsgrundlage. Wenn sich die Fristen verschieben, gewinnen Sie Puffer, keinen Grund, die Arbeit an Verzeichnis, Klassifizierung und Dokumentation aufzuschieben.
Eine kurze Aufschlüsselung nach dem Muster "Signal → Handlung" finden Sie hier:
EU-AI-Act-Frist könnte sich verschieben (Digital Omnibus): Was KMU jetzt tun sollten
Ist Ihr KI-System hochriskant?
Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.
Jetzt prüfenDer vollständige Zeitplan
Übersichtstabelle
Nachfolgend die detaillierte Aufschlüsselung jeder Phase.
1. August 2024: Inkrafttreten
Die Verordnung (EU) 2024/1689 wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Dieses Datum setzte die Uhr für jede Übergangsfrist im Gesetz in Gang.
Was geschah:
- Der AI Act wurde in allen 27 Mitgliedstaaten zu verbindlichem EU-Recht.
- Eine allgemeine Übergangsfrist von 24 Monaten begann und gab Organisationen bis zum 2. August 2026 Zeit, den Großteil der Verordnung zu erfüllen.
- Kürzere Übergangsfristen (6 und 12 Monate) begannen für verbotene Praktiken, KI-Kompetenz und GPAI-Pflichten.
- Die Europäische Kommission begann mit dem Aufbau des KI-Büros, der zentralen EU-Stelle für die GPAI-Aufsicht.
- Die Mitgliedstaaten begannen mit der Benennung zuständiger nationaler Behörden und Marktüberwachungsbehörden.
Eine vollständige Einführung in die Verordnung finden Sie unter Den EU AI Act verstehen.
2. Februar 2025: Verbotene Praktiken + KI-Kompetenz
Sechs Monate nach dem Inkrafttreten kam die erste Durchsetzungswelle. Das war ein harter Stopp, keine Schonfrist.
Was durchsetzbar wurde:
Was Unternehmen bis zu diesem Datum getan haben sollten:
- Ihr KI-Portfolio geprüft anhand der Verbotsliste des Artikels 5. Jedes System, das in eine der acht verbotenen Kategorien fällt, muss außer Betrieb genommen, umgestaltet oder eingeschränkt worden sein.
- Ein Programm zur KI-Kompetenz gestartet. Keine Zertifizierung oder förmliche Prüfung, aber nachweisbare, angemessene Anstrengung.
- Beide Schritte dokumentiert. Nationale Behörden können jederzeit Nachweise verlangen.
Die Sanktionen für verbotene Praktiken sind die schärfsten im Gesetz: bis zu 35 Mio. EUR oder 7 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Wert höher ist. Mehr zum Sanktionsrahmen finden Sie unter EU AI Act: Sanktionen und Bußgelder erklärt.
Praxisbeispiel: Ein europäisches HR-Tech-Unternehmen nutzte ein Tool, das die emotionalen Zustände von Beschäftigten während Leistungsbeurteilungen bewertete, um ein "Desengagement-Risiko" zu markieren. Nach Artikel 5(1)(f) ist Emotionserkennung am Arbeitsplatz verboten, außer zu Sicherheits- oder medizinischen Zwecken. Das Unternehmen musste die Funktion vor dem 2. Februar 2025 vollständig abschalten.
2. August 2025: GPAI-Pflichten + Governance-Stellen
Zwölf Monate nach dem Inkrafttreten wurde die zweite Durchsetzungswelle aktiv, diesmal gerichtet auf KI-Modelle mit allgemeinem Verwendungszweck und den Aufbau der EU-Governance-Infrastruktur.
Was durchsetzbar wurde:
Einen tiefen Einblick in die GPAI-Pflichten finden Sie unter GPAI: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck.
Praxisbeispiel: Ein Open-Source-KI-Labor, das im September 2025 ein großes Sprachmodell veröffentlichte, musste eine Zusammenfassung der Trainingsdaten veröffentlichen (Artikel 53(1)(d)), nachgelagerten Anbietern technische Dokumentation bereitstellen (Artikel 53(1)(b)) und eine Richtlinie zur Einhaltung des Urheberrechts einführen. Weil das Modell die Trainingsrechenleistung von 10²⁵ FLOPs überschritt, musste das Labor außerdem adversariale Tests durchführen und schwerwiegende Vorfälle an das KI-Büro melden.
2. August 2026: Die große Frist
Das ist das Datum, an dem der Großteil der inhaltlichen Pflichten des AI Act in Kraft tritt, und das Datum, auf das die meisten Unternehmen zusteuern (oder zusteuern sollten).
Was durchsetzbar wird:
Einen vollständigen Schritt-für-Schritt-Compliance-Plan finden Sie unter EU-AI-Act-Compliance-Checkliste 2026. Sie sind unsicher, ob Ihr System als Hochrisiko gilt? Beginnen Sie mit Ist mein KI-System Hochrisiko? Ein Leitfaden zur Klassifizierung.
2. August 2027: Anhang-I-Produkte + Alt-GPAI
Die letzte Durchsetzungswelle erweitert die Reichweite des AI Act auf zwei verbleibende Kategorien.
Was durchsetzbar wird:
Warum das zusätzliche Jahr? Bei Anhang-I-Produkten ermöglicht die Verzögerung Normungsgremien und benannten Stellen, KI-spezifische Anforderungen in bestehende Produktsicherheitsrahmen zu integrieren. Bei Alt-GPAI-Modellen erkennt die Schonfrist an, dass die nachträgliche Dokumentation von Trainingsdaten und Modellarchitektur für bereits in Produktion befindliche Modelle keine triviale Aufgabe ist.
Was bereits jetzt durchsetzbar ist (April 2026)
Zum Zeitpunkt dieses Textes sind bereits zwei Durchsetzungswellen verstrichen. Hier eine konkrete Zusammenfassung dessen, was aktuell in Kraft ist:
Seit dem 2. Februar 2025:
- Alle acht verbotenen KI-Praktiken nach Artikel 5 sind verboten. Zuwiderhandelnden drohen Bußgelder von bis zu 35 Mio. EUR oder 7 % des weltweiten Umsatzes.
- Die Pflicht zur KI-Kompetenz nach Artikel 4 ist aktiv. Jede Organisation, die KI-Systeme anbietet oder betreibt, muss sicherstellen, dass das relevante Personal ausreichende KI-Kompetenz hat.
Seit dem 2. August 2025:
- Anbieter von GPAI-Modellen müssen Transparenz-, Dokumentations- und Urheberrechtspflichten erfüllen (Artikel 53).
- GPAI-Modelle mit systemischem Risiko müssen erweiterte Pflichten erfüllen, darunter Modellbewertungen, Risikominderung, Vorfallmeldung und Cybersicherheitsmaßnahmen (Artikel 55).
- Das KI-Büro ist arbeitsfähig und kann Auskünfte verlangen, Bewertungen durchführen und GPAI-Regeln durchsetzen.
- In jedem Mitgliedstaat wurden zuständige nationale Behörden benannt.
- Der GPAI-Verhaltenskodex wurde veröffentlicht und dient als Maßstab für den Nachweis der Compliance.
Wenn Sie ein KI-System betreiben, sollten Sie bereits bestätigt haben, dass es nicht unter eine verbotene Kategorie fällt, und die KI-Kompetenz adressiert haben. Wenn Sie ein GPAI-Modell auf dem EU-Markt anbieten, sollten Ihre technische Dokumentation und die Zusammenfassung der Trainingsdaten bereits vorliegen. Nichteinhaltung in diesen Punkten ist bereits sanktionierbar.
Was in 4 Monaten kommt (August 2026)
Die Frist am 2. August 2026 ist das größte einzelne Durchsetzungsereignis im AI Act. Hier ein fokussierter Countdown dessen, was aktiv wird.
Hochrisiko-KI-Pflichten (Anbieter)
Ab dem 2. August 2026 müssen Anbieter von Hochrisiko-KI-Systemen nach Artikel 6 und Anhang III Folgendes eingerichtet haben:
- Risikomanagement-System, iterativ, kontinuierlich, dokumentiert (Artikel 9).
- Daten-Governance-Maßnahmen, die die Qualität von Trainings-, Validierungs- und Testdaten abdecken (Artikel 10).
- Technische Dokumentation, vollständig nach Anhang IV (Artikel 11).
- Automatische Protokollierung, Ereignisaufzeichnung während des Betriebs (Artikel 12).
- Transparenzinformationen, klare Anweisungen für Betreiber (Artikel 13).
- Gestaltung für menschliche Aufsicht, eingebaute Möglichkeit zum menschlichen Eingreifen (Artikel 14).
- Genauigkeit, Robustheit, Cybersicherheit, über den gesamten Lebenszyklus (Artikel 15).
- Qualitätsmanagement-System, umfassende organisatorische Kontrollen (Artikel 17).
- Konformitätsbewertung, Selbstbewertung oder benannte Stelle (Artikel 43).
- EU-Konformitätserklärung und CE-Kennzeichnung (Artikel 47-48).
- Registrierung in der EU-Datenbank (Artikel 49).
- Marktbeobachtung, systematischer Prozess zur Erhebung und Analyse von Leistungsdaten (Artikel 72).
Hochrisiko-KI-Pflichten (Betreiber)
Betreiber, also Organisationen, die Hochrisiko-KI-Systeme unter ihrer Verantwortung nutzen, müssen:
- Systeme gemäß der Betriebsanleitung des Anbieters nutzen.
- Kompetente natürliche Personen für die menschliche Aufsicht benennen.
- Sicherstellen, dass die Eingabedaten für den vorgesehenen Zweck des Systems relevant und repräsentativ sind.
- Den Betrieb überwachen und Fehlfunktionen oder schwerwiegende Vorfälle an den Anbieter melden.
- Protokolle, die vom System automatisch erzeugt werden, mindestens 6 Monate aufbewahren (oder länger, wenn andere EU-/nationale Rechtsvorschriften dies verlangen).
- Eine Grundrechte-Folgenabschätzung (FRIA) durchführen, wo erforderlich (Artikel 27), anwendbar auf öffentliche Stellen und bestimmte private Einrichtungen in festgelegten Bereichen.
- Betroffene natürliche Personen informieren, dass sie einem Hochrisiko-KI-System unterliegen.
Einen detaillierten Vergleich der Anbieter- und Betreiberpflichten finden Sie unter AI Act: Anbieter- vs. Betreiberpflichten.
Transparenzpflichten (begrenztes Risiko)
Artikel 50 gilt für eine breitere Kategorie von KI-Systemen als nur Hochrisiko:
- KI-Systeme, die mit Menschen interagieren (Chatbots, virtuelle Assistenten), müssen offenlegen, dass die Person mit KI interagiert, es sei denn, dies ist aus den Umständen offensichtlich.
- Systeme zur Emotionserkennung und biometrischen Kategorisierung müssen die betroffenen Personen informieren.
- Deepfake-Inhalte (KI-generierte oder manipulierte Bilder, Audio, Video) müssen als künstlich erzeugt oder manipuliert gekennzeichnet werden.
- KI-generierter Text, der veröffentlicht wird, um die Öffentlichkeit über Angelegenheiten von öffentlichem Interesse zu informieren, muss als KI-generiert gekennzeichnet werden.
Eine vollständige Aufschlüsselung finden Sie unter AI-Act-Transparenzpflichten: Artikel 50 und Deepfake-Kennzeichnung.
Sanktionen werden durchsetzbar
Die Sanktionen nach Artikel 99 gelten ab dem 2. August 2026:
KMU und Startups profitieren von Verhältnismäßigkeitsbestimmungen, siehe unseren Leitfaden für Startups und KMU.
Reallabore
Bis zum 2. August 2026 muss jeder Mitgliedstaat mindestens ein KI-Reallabor eingerichtet haben, eine kontrollierte Umgebung zum Testen von KI-Systemen unter regulatorischer Aufsicht vor dem Inverkehrbringen.
Was ein weiteres Jahr erhält (August 2027)
Zwei Kategorien erhalten eine Verlängerung bis zum 2. August 2027:
Anhang-I-Produkt-KI-Systeme
KI-Systeme, die als Sicherheitsbauteile von Produkten dienen, die bereits unter bestehendes harmonisiertes EU-Recht nach Anhang I fallen, darunter die Maschinenverordnung, die Medizinprodukteverordnung, die Verordnung über die Sicherheit der Zivilluftfahrt, die Verordnung über die Typgenehmigung von Kraftfahrzeugen, die Spielzeugsicherheitsrichtlinie, die Funkanlagenrichtlinie und andere. Diese Systeme müssen dieselben Hochrisiko-Anforderungen des Kapitels III erfüllen, doch das zusätzliche Jahr erlaubt es den sektoralen Konformitätsbewertungsverfahren, den AI Act zu integrieren.
Alt-GPAI-Modelle
GPAI-Modelle, die vor dem 2. August 2025 in Verkehr gebracht wurden, haben bis zum 2. August 2027 Zeit, die Artikel 51-56 vollständig zu erfüllen. Nach dem 2. August 2027 gibt es keine Übergangsbestimmungen mehr, jede Pflicht im AI Act ist vollständig durchsetzbar.
Wichtige Daten für bestimmte Rollen
Anbieter von Hochrisiko-KI-Systemen
Betreiber von Hochrisiko-KI-Systemen
Anbieter von GPAI-Modellen
Anbieter von KI mit begrenztem Risiko (Chatbots, Deepfakes, Emotionserkennung)
Zeitplanung anhand von Praxisfällen
Szenario 1: Entdeckung eines Hochrisiko-Systems im April 2026
Praxisbeispiel: Ein mittelgroßes Versicherungsunternehmen erstellt im April 2026 sein erstes Verzeichnis der KI-Systeme und stellt fest, dass sein automatisiertes System zur Schadentriage nach Anhang III, Punkt 5(a) (Zugang zu wesentlichen privaten Diensten, Versicherung), als Hochrisiko gilt.
Das Unternehmen hat vier Monate bis zur Frist am 2. August 2026. Das kommt auf es zu:
- Wochen 1-2: Risikoklassifizierung abschließen und den Hochrisiko-Status bestätigen. Das AI-Act-Bewertungs-Tool zur Validierung nutzen.
- Wochen 3-6: Mit dem Aufbau des Risikomanagement-Systems beginnen, angefangen mit einer Risikoerkennung und einer Analyse bekannter Grenzen. Gleichzeitig mit dem Zusammenstellen der technischen Dokumentation nach Anhang IV beginnen.
- Wochen 7-10: Mechanismen für menschliche Aufsicht umsetzen (Möglichkeit zum Außerkraftsetzen, Monitoring-Dashboards). Daten-Governance-Prüfung der Trainingsdaten durchführen. Automatische Protokollierung aufbauen.
- Wochen 11-14: Konformitätsbewertung durchführen (für diesen Anwendungsfall wahrscheinlich Selbstbewertung). EU-Konformitätserklärung vorbereiten. In der EU-Datenbank registrieren.
- Wochen 15-16: Marktbeobachtung aktivieren. Alles dokumentieren. Den Vorstand briefen.
Vier Monate sind der minimal machbare Zeitplan für ein einzelnes Hochrisiko-System mit einem kooperativen Team. Mehrere Systeme oder Altarchitekturen verlängern ihn. Die Lehre: Warten Sie nicht bis April 2026, um Ihre KI-Systeme zu erfassen.
Szenario 2: Ein GPAI-Anbieter, der vor August 2025 gestartet ist
Praxisbeispiel: Ein europäisches KI-Startup veröffentlichte im März 2025 ein Basismodell, fünf Monate vor der GPAI-Frist am 2. August 2025. Weil das Modell vor dem Stichtag in Verkehr gebracht wurde, profitiert es von der Schonfrist für Alt-GPAI und hat bis zum 2. August 2027 Zeit, die Artikel 51-56 vollständig zu erfüllen.
Die Schonfrist gilt jedoch nur für die bestehende Modellversion. Wenn das Startup das Modell wesentlich verändert oder nach dem 2. August 2025 eine neue Version veröffentlicht, muss diese neue Version sofort konform sein.
Der umsichtige Ansatz des Startups:
- Die Schonfrist nutzen, um technische Dokumentation nachträglich aufzubauen, beginnend mit der Modellkarte, der Architekturbeschreibung und den Leistungs-Benchmarks.
- Die Zusammenfassung der Trainingsdaten priorisieren, die aufwendigste Anforderung, mit der Rückverfolgung von Datenquellen, Lizenzen und Opt-out-Compliance.
- Jede neue Modellversion als frische Veröffentlichung behandeln, die ab dem ersten Tag Compliance erfordert.
- Den GPAI-Verhaltenskodex auf sektorspezifische Hinweise beobachten.
Einen vollständigen Überblick über die GPAI-Pflichten, einschließlich der Schwelle für systemisches Risiko, finden Sie in unserem dedizierten Leitfaden.
Szenario 3: Ein Betreiber, der HR-KI eines Drittanbieters nutzt
Praxisbeispiel: Ein multinationaler Einzelhändler nutzt eine KI-Recruiting-Plattform eines Drittanbieters, um Lebensläufe vorzuwählen und Kandidaten zu ordnen. Die KI wird von einem SaaS-Anbieter bereitgestellt. Der Einzelhändler ist der Betreiber.
KI, die für die Personalbeschaffung eingesetzt wird, fällt unter Anhang III, Punkt 4(a), Vermittlung natürlicher Personen in ein Beschäftigungsverhältnis. Sie ist Hochrisiko. Bis zum 2. August 2026 muss der Einzelhändler:
- Anbieter-Compliance prüfen. Nachweise der Konformitätsbewertung, der EU-Konformitätserklärung und der CE-Kennzeichnung einholen. Kann der Anbieter die Konformität nicht nachweisen, den Anbieter wechseln.
- Menschliche Aufsicht benennen. Namentlich benannte Personen mit der Befugnis bestimmen, die Empfehlungen der KI außer Kraft zu setzen.
- Relevanz der Eingabedaten sicherstellen. Bestätigen, dass die dem System zugeführten Daten repräsentativ sind und keine Verzerrungen einführen.
- Protokolle aufbewahren. Die automatischen Protokolle des Systems mindestens sechs Monate aufbewahren.
- Kandidaten informieren. Alle Bewerber darüber informieren, dass im Recruiting-Prozess KI eingesetzt wird.
- Eine FRIA durchführen, falls zutreffend (Betreiber im öffentlichen Sektor oder wenn nach nationalem Recht erforderlich).
Der AI Act lässt nicht zu, dass Sie Compliance auslagern, indem Sie die KI auslagern. Betreiberpflichten bestehen unabhängig. Die vollständige Aufschlüsselung finden Sie unter Anbieter- vs. Betreiberpflichten.
So priorisieren Sie Ihre verbleibende Zeit
Sie haben etwa vier Monate bis zum 2. August 2026. Hier ein priorisierter Aktionsplan.
Monat 1 (April): Erfassen und klassifizieren
- Vervollständigen Sie Ihr Verzeichnis der KI-Systeme. Jedes System, das Ihre Organisation entwickelt, betreibt oder vertreibt, einschließlich Schatten-KI. Siehe So erstellen Sie ein Verzeichnis der KI-Systeme.
- Klassifizieren Sie jedes System. Nutzen Sie das AI-Act-Bewertungs-Tool und den Leitfaden zur Hochrisiko-Klassifizierung, um das Risikoniveau zu bestimmen.
- Bestimmen Sie Ihre Rolle für jedes System: Anbieter, Betreiber, Einführer oder Händler. Siehe Anbieter- vs. Betreiberpflichten.
- Bestätigen Sie die Einhaltung von Artikel 5, prüfen Sie, dass kein System unter eine verbotene Kategorie fällt.
Monat 2 (Mai): Kern-Compliance-Infrastruktur aufbauen
- Für Hochrisiko-Anbieter: Beginnen Sie mit dem Risikomanagement-System und der technischen Dokumentation, den beiden zeitaufwendigsten Anforderungen.
- Für Hochrisiko-Betreiber: Fordern Sie Compliance-Nachweise von den KI-Anbietern an, EU-Konformitätserklärung, CE-Kennzeichnung, Betriebsanleitung.
- Für alle Organisationen: Richten Sie ein Qualitätsmanagement-System ein oder passen Sie es an, um KI-spezifische Anforderungen abzudecken.
- Schließen Sie Lücken bei der KI-Kompetenz, falls aus der Pflicht vom Februar 2025 noch welche bestehen.
Monat 3 (Juni): Umsetzen und testen
- Setzen Sie Mechanismen für die menschliche Aufsicht um, Möglichkeiten zum Außerkraftsetzen, Monitoring-Oberflächen, Warnsysteme.
- Aktivieren Sie die automatische Protokollierung. Bestätigen Sie die Richtlinien zur Aufbewahrung von Protokollen (mindestens 6 Monate).
- Führen Sie die Konformitätsbewertung durch. Für die meisten Anhang-III-Systeme Selbstbewertung. Für biometrische Systeme, die von der Strafverfolgung genutzt werden, ist eine benannte Stelle erforderlich. Siehe Konformitätsbewertung: Selbstbewertung vs. benannte Stelle.
- Bereiten Sie Transparenzmaßnahmen nach Artikel 50 vor, Chatbot-Offenlegungen, Deepfake-Kennzeichnungen, Benachrichtigungen bei Emotionserkennung.
Monat 4 (Juli): Finalisieren, registrieren und beobachten
- Bereiten Sie die EU-Konformitätserklärung vor (Artikel 47) und bringen Sie die CE-Kennzeichnung an (Artikel 48).
- Registrieren Sie alle Hochrisiko-Systeme in der EU-Datenbank (Artikel 49).
- Aktivieren Sie die Marktbeobachtung, Datenerhebung, Leistungsverfolgung, Vorfallmeldung.
- Briefen Sie die Geschäftsleitung. Compliance ist eine organisatorische Verpflichtung, kein Abteilungsprojekt.
- Dokumentieren Sie alles. Behörden fragen nach Nachweisen für Prozesse, nicht nur nach Ergebnissen.
Häufig gestellte Fragen
Ist der EU AI Act bereits in Kraft getreten?
Ja. Er trat am 1. August 2024 in Kraft. Verbotene Praktiken und KI-Kompetenz traten am 2. Februar 2025 in Kraft. GPAI-Pflichten am 2. August 2025. Die bedeutendste Welle, Hochrisiko-KI, Transparenz und Sanktionen, tritt am 2. August 2026 in Kraft. Siehe Den EU AI Act verstehen.
Was ist die wichtigste Frist für die meisten Unternehmen?
Der 2. August 2026. Dann werden die Pflichten für Hochrisiko-KI-Systeme nach Kapitel III durchsetzbar, zusammen mit den Transparenzpflichten nach Artikel 50, den vollen Sanktionsbefugnissen und den Betreiberpflichten. Sofern Ihre einzigen KI-Systeme nicht GPAI-Modelle oder Anhang-I-Produktkomponenten sind, ist der August 2026 Ihr primäres Compliance-Ziel. Nutzen Sie die Compliance-Checkliste zur Planung.
Gelten die Fristen für Unternehmen außerhalb der EU?
Ja. Der AI Act gilt für jede Organisation, die ein KI-System auf dem EU-Markt in Verkehr bringt oder in der EU in Betrieb nimmt, unabhängig davon, wo die Organisation niedergelassen ist. Ein US-Unternehmen, das ein KI-Recruiting-Tool zur Vorauswahl von Kandidaten für EU-Stellen einsetzt, unterliegt dem Gesetz. Das Gesetz hat eine extraterritoriale Reichweite ähnlich der DSGVO.
Was passiert, wenn ich die Frist im August 2026 verpasse?
Nichteinhaltung nach dem 2. August 2026 setzt Ihre Organisation Durchsetzungsmaßnahmen der nationalen Marktüberwachungsbehörden aus. Sanktionen reichen von 7,5 Mio. EUR bis 35 Mio. EUR (oder 1-7 % des weltweiten Jahresumsatzes). Behörden können außerdem die Rücknahme oder den Rückruf Ihres KI-Systems anordnen. Über Bußgelder hinaus schafft Nichteinhaltung Reputationsrisiken, Ausschluss aus Ausschreibungen und potenzielle zivilrechtliche Haftung.
Gibt es eine Schonfrist für Startups und KMU?
Die Fristen sind für alle Organisationen gleich. Allerdings enthält der AI Act Verhältnismäßigkeitsbestimmungen für KMU und Startups. Artikel 99 verlangt, dass Bußgelder verhältnismäßig sind, Reallabore müssen KMU vorrangigen Zugang gewähren und Gebühren für die Konformitätsbewertung müssen die Größe kleinerer Akteure widerspiegeln. Die praktische Last ist leichter, aber die rechtlichen Fristen sind identisch. Für maßgeschneiderte Hinweise siehe unseren AI-Act-Compliance-Leitfaden für Startups und KMU.
Wo kann ich die Risikoklassifizierung meines KI-Systems schnell prüfen?
Nutzen Sie das kostenlose AI-Act-Bewertungs-Tool von Legalithm. Es führt Sie in weniger als fünf Minuten durch die Kriterien aus Artikel 6 und Anhang III. Für eine manuelle Durchsicht siehe Ist mein KI-System Hochrisiko? Ein Leitfaden zur Klassifizierung.
Fazit
Hier das Fazit, Stand April 2026:
- Verbotene Praktiken und KI-Kompetenz, bereits durchsetzbar. Wenn Sie diese nicht adressiert haben, sind Sie bereits exponiert.
- GPAI-Pflichten, bereits durchsetzbar. Anbieter von GPAI-Modellen sollten jetzt konform sein.
- Hochrisiko-KI, Transparenz und Sanktionen, durchsetzbar in vier Monaten (2. August 2026). Hier sollten die meisten Organisationen ihre verbleibende Anstrengung konzentrieren.
- Anhang-I-Produkt-KI und Alt-GPAI, Sie haben bis zum 2. August 2027 Zeit, behandeln Sie dieses zusätzliche Jahr aber nicht als Leerlauf.
Wenn Sie jetzt beginnen, ist die Zeit knapp, aber ausreichend, sofern Sie sich auf die Pflichten mit der höchsten Priorität konzentrieren und jede verfügbare Ressource nutzen, um Tempo zu machen. Beginnen Sie mit der AI-Act-Bewertung, um Ihre Systeme zu klassifizieren, und folgen Sie dann der Compliance-Checkliste, um Ihren Aktionsplan aufzubauen.


