Der EU AI Act ist mehr als nur ein weiteres Gesetz aus Brüssel – er ist die weltweit erste umfassende Regulierung für künstliche Intelligenz. Seit seinem Inkrafttreten im August 2024 verändert er die Spielregeln für jedes Unternehmen, das KI-Systeme in der EU entwickelt, anbietet oder nutzt. Doch die Umsetzung erfolgt nicht über Nacht. Der Gesetzgeber hat einen gestaffelten Zeitplan mit verschiedenen EU AI Act Fristen vorgesehen, der dir Zeit zur Anpassung gibt. Aber keine Sorge, dieser Zeitplan ist kein unübersichtlicher Dschungel. Wir führen dich durch die wichtigsten Etappen und zeigen dir, welche Regeln bereits heute gelten und welche großen Veränderungen 2026 und 2027 auf dich zukommen.
Dieser Leitfaden erklärt dir praxisnah, was die einzelnen Fristen für dein Unternehmen bedeuten – von der Dokumentation über das Risikomanagement bis hin zur Transparenz. So bist du bestens vorbereitet und kannst die Chancen der KI-Regulierung souverän nutzen, anstatt von ihr überrollt zu werden. Lass uns gemeinsam den Fahrplan des AI Acts entschlüsseln.
Der EU AI Act: Ein risikobasierter Ansatz für KI
Um die Fristen und Pflichten zu verstehen, musst du das Kernprinzip des AI Acts kennen: den risikobasierten Ansatz. Statt alle KI-Anwendungen über einen Kamm zu scheren, teilt das Gesetz sie in vier Risikokategorien ein. Je höher das potenzielle Risiko für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Vorschriften. Diese Staffelung ist der Schlüssel zum Verständnis der gesamten Regulierung.
Die vier Risikostufen sind:
- Inakzeptables Risiko: Diese KI-Systeme werden als klare Bedrohung für die Grundrechte angesehen und sind grundsätzlich verboten. Dazu gehören beispielsweise Social-Scoring-Systeme durch Regierungen oder KI, die menschliches Verhalten gezielt manipulieren, um Schaden zu verursachen.
- Hohes Risiko: Dies ist die wichtigste Kategorie mit den umfassendsten Pflichten. Hierunter fallen KI-Systeme, die in kritischen Bereichen eingesetzt werden, wie z. B. in der medizinischen Diagnostik, bei der Einstellung von Personal, in der Kreditwürdigkeitsprüfung oder in kritischen Infrastrukturen. Für sie gelten strenge Anforderungen an Qualität, Transparenz und menschliche Aufsicht.
- Begrenztes Risiko: Systeme dieser Kategorie unterliegen spezifischen Transparenzpflichten. Nutzer müssen klar darüber informiert werden, dass sie mit einer KI interagieren. Typische Beispiele sind Chatbots oder KI-generierte Inhalte (Deepfakes).
- Minimales oder kein Risiko: Die große Mehrheit der KI-Anwendungen fällt in diese Kategorie, etwa KI-gestützte Videospiele oder Spamfilter. Für sie gibt es keine neuen gesetzlichen Verpflichtungen, wobei Anbieter freiwillig Verhaltenskodizes anwenden können.
Dieser Ansatz stellt sicher, dass Innovation nicht unnötig gebremst wird, während gleichzeitig die Sicherheit und die Rechte der Bürger geschützt werden.
Was bereits gilt: Die ersten Fristen (2025)
Der Countdown läuft nicht erst, er hat bereits begonnen. Einige der wichtigsten Bestimmungen des EU AI Acts sind schon in Kraft oder treten in Kürze in Kraft. Es ist ein weit verbreiteter Irrglaube, dass alle Regeln erst 2026 greifen. Wer jetzt nicht handelt, riskiert, den Anschluss zu verlieren.
Verbotene KI-Praktiken (seit Februar 2025)
Die erste wirklich spürbare Frist war der 2. Februar 2025. Seit diesem Datum sind die KI-Systeme mit inakzeptablem Risiko offiziell verboten. Dazu zählen unter anderem:
- Manipulative Techniken: KI, die unterschwellige Methoden nutzt, um das Verhalten einer Person wesentlich zu beeinflussen und dadurch physischen oder psychischen Schaden zu verursachen.
- Ausnutzung von Schwachstellen: Systeme, die gezielt die Verletzlichkeit bestimmter Gruppen (z. B. aufgrund von Alter oder Behinderung) ausnutzen.
- Social Scoring durch öffentliche Stellen: Die Bewertung von Bürgern basierend auf ihrem sozialen Verhalten, was zu Nachteilen führen kann.
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen: Der Einsatz von KI zur Analyse von Emotionen von Mitarbeitern oder Schülern ist ebenfalls untersagt.
Diese Verbote sind ein klares Signal der EU für einen menschenzentrierten Ansatz und bilden das ethische Fundament des Gesetzes.
Pflichten für GPAI-Modelle (seit August 2025)
Seit dem 2. August 2025 gelten die Regeln für sogenannte „General-Purpose AI Models“ (GPAI), also Allzweck-KI-Modelle wie GPT-5 oder Gemini. Entwickler dieser Basismodelle müssen nun deutlich mehr Transparenz schaffen.
Zu den Pflichten gehört:
- Technische Dokumentation: Anbieter müssen detaillierte Unterlagen über die Funktionsweise und die Trainingsdaten des Modells erstellen und aktuell halten.
- Informationen für nachgelagerte Entwickler: Unternehmen, die diese Modelle in ihre eigenen Produkte integrieren, müssen klare Informationen über deren Fähigkeiten und Grenzen erhalten.
- Einhaltung des EU-Urheberrechts: Anbieter müssen nachweisen, dass sie bei der Beschaffung ihrer Trainingsdaten das Urheberrecht respektiert haben.
Für besonders leistungsstarke GPAI-Modelle mit „systemischem Risiko“ gelten sogar noch strengere Regeln, wie die Durchführung von Modellbewertungen und die Meldung schwerwiegender Vorfälle.
Förderung der KI-Kompetenz (AI Literacy)
Ebenfalls seit Februar 2025 in Kraft ist die Verpflichtung zur Förderung der sogenannten „AI Literacy“. Unternehmen, die KI-Systeme einsetzen, müssen sicherstellen, dass ihre Mitarbeiter über ein grundlegendes Verständnis für die Funktionsweise, die Chancen und die Risiken dieser Technologien verfügen. Dies soll eine verantwortungsvolle Nutzung im gesamten Unternehmen gewährleisten und ist ein wichtiger Baustein für eine sichere KI-Kultur.
Der große Meilenstein: Was 2026 auf dich zukommt
Der 2. August 2026 ist das Datum, das sich die meisten Unternehmen rot im Kalender markieren sollten. An diesem Tag wird der Großteil des AI Acts scharfgestellt, insbesondere die umfassenden und komplexen Vorschriften für Hochrisiko-KI-Systeme.
Strenge Regeln für Hochrisiko-KI-Systeme
Ab diesem Stichtag müssen alle KI-Systeme, die in Anhang III des Gesetzes als hochriskant eingestuft werden, eine Reihe strenger Anforderungen erfüllen, bevor sie auf den Markt gebracht oder in Betrieb genommen werden dürfen. Dies betrifft eine Vielzahl von Sektoren:
- Bildung: Systeme zur Bewertung von Prüfungen oder zur Zulassung zu Bildungseinrichtungen.
- Beschäftigung: KI für die Sichtung von Bewerbungen, für Beförderungsentscheidungen oder zur Überwachung der Mitarbeiterleistung.
- Kritische Infrastruktur: KI-Systeme, die den Betrieb von Wasser-, Gas- und Stromnetzen steuern.
- Strafverfolgung und Justiz: Systeme zur Beweisbewertung oder zur Vorhersage von Rückfallrisiken.
Die Anforderungen für diese Systeme sind umfangreich:
- Risikomanagementsystem: Ein kontinuierlicher Prozess zur Identifizierung, Analyse und Minderung von Risiken während des gesamten Lebenszyklus der KI.
- Datenqualität: Hohe Anforderungen an die Qualität, Relevanz und Repräsentativität der Trainings-, Validierungs- und Testdaten, um Diskriminierung zu vermeiden.
- Technische Dokumentation: Eine lückenlose Dokumentation, die den Behörden die Überprüfung der Konformität ermöglicht.
- Menschliche Aufsicht: Die Systeme müssen so gestaltet sein, dass eine effektive menschliche Kontrolle jederzeit möglich ist.
- Robustheit, Genauigkeit und Cybersicherheit: Die Systeme müssen widerstandsfähig gegen Fehler und Angriffe sein.
Praktische Auswirkungen: Dokumentation und Risikomanagement
Stell dir die Anforderungen an ein Hochrisiko-KI-System wie die Baupläne und Sicherheitszertifikate für ein Flugzeug vor. Niemand würde in ein Flugzeug steigen, ohne die Gewissheit, dass es nach höchsten Standards entworfen, gebaut und gewartet wird. Genauso verlangt der AI Act einen Nachweis, dass ein Hochrisiko-KI-System sicher, fair und transparent ist. Die technische Dokumentation ist dieser Nachweis. Sie ist kein optionales Extra, sondern das Herzstück der Compliance. Unternehmen müssen robuste Prozesse etablieren, um diese Dokumentation zu erstellen und vor allem kontinuierlich zu pflegen, da sich KI-Systeme weiterentwickeln. Dies erfordert eine enge Zusammenarbeit von Entwicklern, Juristen und dem Management.
Strafen bei Nichteinhaltung
Die EU meint es ernst. Ab August 2026 drohen bei Verstößen empfindliche Strafen. Für die Verwendung verbotener KI-Systeme können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden – je nachdem, welcher Betrag höher ist. Bei anderen Verstößen, etwa gegen die Pflichten für Hochrisiko-Systeme, sind es bis zu 15 Millionen Euro oder 3 % des Umsatzes. Diese Summen machen deutlich, dass Compliance eine strategische Priorität sein muss.
Der letzte Schritt: Übergangsfristen und volle Geltung (ab 2027)
Auch nach dem großen Stichtag 2026 gibt es noch weitere Fristen zu beachten, die vor allem für bestehende Systeme relevant sind.
Ab dem 2. August 2027 gelten die Vorschriften auch für Hochrisiko-KI-Systeme, die bereits Teil anderer regulierter Produkte sind (z. B. in medizinischen Geräten oder Fahrzeugen). Diese längere Frist soll den Herstellern genügend Zeit geben, ihre bestehenden Konformitätsbewertungsverfahren anzupassen.
Ebenfalls bis zu diesem Datum müssen Anbieter von GPAI-Modellen, die bereits vor August 2025 auf dem Markt waren, die neuen Regeln vollständig umgesetzt haben. Dies schließt die Lücke für ältere Basistechnologien und stellt sicher, dass letztendlich alle relevanten Systeme dem Gesetz unterliegen.
Wer ist von den EU AI Act Fristen betroffen?
Der Geltungsbereich des AI Acts ist bewusst weit gefasst. Er betrifft nicht nur Unternehmen mit Sitz in der Europäischen Union. Die Regeln gelten für alle Akteure, die am KI-Lebenszyklus beteiligt sind, sobald das Ergebnis ihrer KI-Systeme in der EU genutzt wird. Das bedeutet:
- Anbieter: Jedes Unternehmen, das ein KI-System entwickelt und auf dem EU-Markt bereitstellt, egal wo es seinen Sitz hat (z. B. ein US-Softwareunternehmen).
- Anwender (Deployer): Jedes Unternehmen in der EU, das ein KI-System im beruflichen Kontext einsetzt (z. B. eine deutsche Firma, die eine KI-Software für ihr Recruiting nutzt).
- Importeure und Händler: Unternehmen, die KI-Systeme aus Drittländern in die EU einführen oder vertreiben.
Kurz gesagt: Wenn deine KI-Produkte oder -Dienstleistungen den europäischen Markt berühren, musst du dich an die Regeln halten. Eine frühzeitige Auseinandersetzung mit den Anforderungen ist daher unerlässlich, um den Marktzugang nicht zu gefährden. 🗺️
Checkliste zur Vorbereitung: Bist du bereit für den AI Act?
Die Zeit bis zur vollen Anwendbarkeit des Gesetzes mag noch lang erscheinen, doch die Vorbereitung komplexer Compliance-Strukturen braucht Zeit. Hier sind konkrete Schritte, die du jetzt schon einleiten solltest:
- KI-Inventur durchführen: Erstelle eine umfassende Liste aller KI-Systeme, die in deinem Unternehmen entwickelt oder eingesetzt werden.
- Risikoklassifizierung vornehmen: Bewerte jedes System gemäß den Kriterien des AI Acts. Fällt es in die Kategorie hoch, begrenzt oder minimal?
- Verantwortlichkeiten festlegen: Bestimme klare Rollen und Zuständigkeiten für die AI-Governance in deinem Unternehmen.
- Lückenanalyse durchführen: Vergleiche deine aktuellen Prozesse mit den zukünftigen Anforderungen an Dokumentation, Risikomanagement und Datenqualität.
- Lieferketten prüfen: Wenn du KI-Systeme von Drittanbietern nutzt, kläre deren Compliance-Status und fordere die notwendigen Informationen an.
- Mitarbeiter schulen: Beginne frühzeitig mit der Sensibilisierung und Schulung deiner Teams, um die geforderte „AI Literacy“ aufzubauen.
Häufig gestellte Fragen (FAQ) zum EU AI Act
Was ist der Hauptzweck des EU AI Acts?
Der Hauptzweck ist es, einen einheitlichen und rechtssicheren Rahmen für künstliche Intelligenz in der EU zu schaffen. Er soll das Vertrauen in KI fördern, die Grundrechte der Bürger schützen und gleichzeitig Innovation und die Wettbewerbsfähigkeit der europäischen Wirtschaft stärken.
Betrifft der AI Act auch kleine Unternehmen und Start-ups?
Ja, grundsätzlich gilt der AI Act für Unternehmen jeder Größe. Allerdings sieht das Gesetz Erleichterungen für kleine und mittlere Unternehmen (KMU) vor, um den regulatorischen Aufwand zu reduzieren. Dazu gehören beispielsweise sogenannte „Regulatory Sandboxes“, in denen innovative KI-Systeme unter Aufsicht der Behörden getestet werden können.
Muss ich als reiner Nutzer eines KI-Systems etwas beachten?
Ja, auch Anwender (Deployer) von Hochrisiko-KI-Systemen haben Pflichten. Sie müssen beispielsweise die Gebrauchsanweisung des Anbieters befolgen, eine menschliche Aufsicht sicherstellen und die Daten, die sie zur Steuerung des Systems verwenden, auf ihre Relevanz prüfen. Zudem müssen sie die automatisch generierten Protokolle (Logs) aufbewahren.
Gibt es Ausnahmen vom AI Act?
Ja, es gibt einige wichtige Ausnahmen. Das Gesetz gilt beispielsweise nicht für KI-Systeme, die ausschließlich für militärische oder verteidigungspolitische Zwecke entwickelt wurden. Auch KI-Systeme, die allein für Forschung und Entwicklung genutzt werden, sind vom Geltungsbereich ausgenommen.
Fazit: Jetzt handeln, statt später zu reagieren
Der EU AI Act ist eine komplexe, aber wegweisende Regulierung, die den Umgang mit künstlicher Intelligenz nachhaltig prägen wird. Die gestaffelten EU AI Act Fristen geben Unternehmen einen klaren Fahrplan, um sich schrittweise auf die neuen Anforderungen vorzubereiten. Die ersten Verbote und Transparenzpflichten sind bereits Realität, und der große Stichtag im August 2026 rückt näher.
Der Schlüssel zum Erfolg liegt in der proaktiven Auseinandersetzung mit dem Gesetz. Wer jetzt beginnt, seine KI-Systeme zu inventarisieren, zu klassifizieren und die notwendigen Governance-Strukturen aufzubauen, wird nicht nur Compliance-Risiken minimieren, sondern auch einen entscheidenden Wettbewerbsvorteil erlangen. Vertrauenswürdige KI ist keine Bürde, sondern ein Qualitätsmerkmal, das von Kunden und Partnern zunehmend erwartet wird. Nutze die verbleibende Zeit, um dein Unternehmen fit für die Zukunft der KI zu machen.
Bist du bereit, deine KI-Strategie an die neuen Gegebenheiten anzupassen?
2 Gedanken zu „EU AI Act Fristen: Was jetzt und 2026/27 auf dich zukommt“