EU AI Act: Diese Fristen kommen auf Ihr Unternehmen zu

Die KI-Verordnung der EU (Verordnung (EU) 2024/1689, kurz „AI Act“) ist am 1. August 2024 in Kraft getreten. Ihre Pflichten greifen aber nicht auf einen Schlag, sondern gestaffelt. Wer früh weiß, was wann gilt, vermeidet Hektik – und Bußgelder.

Der Zeitplan im Überblick

• 2. Februar 2025: Verbotene KI-Praktiken sind untersagt – und die Pflicht zur KI-Kompetenz (AI Literacy, Art. 4) gilt. Anbieter und Betreiber müssen mit angemessenen Maßnahmen nach besten Kräften für ausreichende KI-Kompetenz ihrer Mitarbeitenden sorgen (verhältnismäßige Bemühenspflicht).
• 2. August 2025: Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) sowie Teile der Governance- und Sanktionsregeln.
• 2. August 2026: Der Großteil der Verordnung gilt – darunter die Transparenzpflichten nach Art. 50 (z. B. Kennzeichnung KI-generierter Inhalte). Die Pflichten für Hochrisiko-Systeme nach Anhang III sollen nach aktuellem Stand verschoben werden – dazu unten mehr.
• 2. August 2027: Pflichten für Hochrisiko-KI, die als Sicherheitsbauteil regulierter Produkte eingesetzt wird.

Aktuell (Mai 2026): Der „Digital Omnibus“ verschiebt die Hochrisiko-Fristen

Am 7. Mai 2026 haben sich Rat, Parlament und Kommission im Rahmen des sogenannten „Digital Omnibus“ vorläufig auf eine Vereinfachung und zeitliche Entlastung geeinigt. Die Pflichten für Hochrisiko-KI sollen demnach später greifen: für Hochrisiko-Systeme nach Anhang III (anwendungsbasiert) von August 2026 auf den 2. Dezember 2027, für Anhang-I-Systeme (in regulierte Produkte eingebettet) von August 2027 auf den 2. August 2028. Hintergrund ist, dass die nötigen Normen, Werkzeuge und Leitlinien noch nicht vollständig verfügbar sind.

Wichtig für die Praxis: Diese Einigung ist eine vorläufige politische Verständigung – sie muss noch formell beschlossen werden. Bis zur Verabschiedung gilt rechtlich der ursprüngliche Zeitplan. Verbote und die AI-Literacy-Pflicht (seit Februar 2025) bleiben in jedem Fall in Kraft.

Für Sie heißt das: mehr Zeit für die Hochrisiko-Vorbereitung, aber kein Grund zum Stillstand. Wer jetzt seine KI sauber klassifiziert und ein Managementsystem aufsetzt, ist auf der sicheren Seite – egal, wie der finale Beschluss ausfällt.

Die vier Risikoklassen

• Unannehmbares Risiko: verboten (z. B. Social Scoring, manipulative Systeme).
• Hohes Risiko: streng reguliert (z. B. KI in Personalauswahl, Kreditwürdigkeit, kritischer Infrastruktur) – mit Pflichten zu Risikomanagement, Datenqualität, Dokumentation und menschlicher Aufsicht.
• Begrenztes Risiko: Transparenzpflichten (z. B. Chatbots und KI-generierte Inhalte müssen erkennbar sein).
• Minimales Risiko: keine besonderen Pflichten (der Großteil betrieblicher KI).

Was Sie jetzt tun sollten

Der erste Schritt ist eine Bestandsaufnahme: Welche KI-Anwendungen setzen Sie ein, und in welche Risikoklasse fallen sie? Daraus ergibt sich, welche Pflichten überhaupt relevant sind. Häufig ist betriebliche KI nur „minimal“ oder „begrenzt“ riskant – dann genügen Transparenz und ein sauberer Umgang.

AI Literacy ist keine Zukunftsmusik: Die Pflicht, Mitarbeiter im Umgang mit KI zu befähigen, gilt bereits seit Februar 2025.

Ein nach ISO/IEC 42001 aufgebautes Managementsystem deckt die organisatorischen Anforderungen des AI Act strukturiert ab – von der Risikoklassifizierung über die Dokumentation bis zur Aufsicht. So wird aus einer regulatorischen Last ein geordneter Prozess.