EU AI Act

EU AI Act Fristen 2025–2027: Der vollständige Compliance-Zeitplan

Forefront AI Redaktion8 Min. Lesezeit

Der EU AI Act gilt nicht alles auf einmal — was KMU jetzt wissen müssen

Die EU AI Act Fristen sind stufenweise gestaltet: Nicht alle Pflichten traten sofort in Kraft. Die Verordnung (EU) 2024/1689 rollte in mehreren Wellen ein — und der nächste, für die meisten deutschen KMU entscheidende Stichtag ist der 2. August 2026. Wer die Fristen nicht kennt, riskiert nicht nur rechtliche Verstöße, sondern verliert auch die Zeit, die für eine strukturierte Vorbereitung bleibt.

Dieser Artikel listet alle verbindlichen Termine auf, erklärt ihre Bedeutung und zeigt, was Unternehmen bis wann konkret umsetzen müssen. Alle Daten basieren ausschließlich auf der offiziellen Verordnung (EU) 2024/1689 (Artikel 113) — nicht auf noch nicht verabschiedeten Änderungsvorschlägen.

Wichtiger Hinweis: Der sogenannte Digital Omnibus ist Stand Mai 2026 ein vorläufig politisch vereinbarter, aber noch nicht förmlich verabschiedeter und nicht im EU-Amtsblatt veröffentlichter Änderungsvorschlag. Er ist kein geltendes Recht. Dieser Artikel richtet sich ausschließlich nach den gültigen Fristen der Verordnung (EU) 2024/1689.

Der vollständige Zeitplan: Alle EU AI Act Fristen auf einen Blick

DatumMeilensteinWas gilt?Wen betrifft es?
12. Juli 2024Veröffentlichung im EU-AmtsblattVerordnung (EU) 2024/1689 veröffentlichtAlle
1. August 2024InkrafttretenVerordnung tritt in Kraft (Art. 113, Satz 1: 20 Tage nach Veröffentlichung)Alle
2. Februar 2025Artikel 4 + Artikel 5Schulungspflicht (Art. 4) + Verbotene Praktiken (Art. 5) verbindlichAlle Betreiber und Anbieter
2. August 2025Kapitel V + Kapitel VII + Art. 99GPAI-Modell-Regeln, KI-Governance-Rahmen, Sanktionsrahmen (außer Art. 101)GPAI-Anbieter; Bewusstsein für alle
2. August 2026Allgemeine AnwendungHochrisiko-KI nach Annex III (Art. 6(2)) + Transparenzpflichten (Art. 50)Alle Betreiber von Hochrisiko-KI
2. August 2027Annex I Hochrisiko-KIHochrisiko-KI als Sicherheitsbauteile nach Annex I (Art. 6(1))Vor allem Produkthersteller (Maschinenverordnung, MDR etc.)

Was galt ab dem 1. August 2024?

Am 1. August 2024 trat die Verordnung (EU) 2024/1689 in Kraft — 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union am 12. Juli 2024. Zu diesem Zeitpunkt wurden jedoch noch keine konkreten Handlungspflichten für Unternehmen ausgelöst.

Das Inkrafttreten markiert den rechtlichen Beginn der Verordnung. Die einzelnen Kapitel werden jedoch nach einem Stufenplan angewendet, der in Artikel 113 der Verordnung festgelegt ist.

Was Unternehmen ab diesem Datum tun sollten:

  • Kenntnis nehmen: Der EU AI Act ist geltendes EU-Recht
  • Erste interne Analyse starten: Welche KI-Systeme werden eingesetzt?
  • Juristische Begleitung einplanen

Was gilt seit dem 2. Februar 2025?

Der 2. Februar 2025 ist der erste wirklich kritische Stichtag für die überwiegende Mehrheit der deutschen Unternehmen. Ab diesem Datum gelten Kapitel I (Allgemeine Bestimmungen), Kapitel II (Artikel 5 — Verbotene KI-Praktiken) und Artikel 4 (KI-Kompetenz).

Artikel 4: Die Schulungspflicht gilt bereits

Artikel 4 der Verordnung verpflichtet alle Betreiber und Anbieter von KI-Systemen — ausdrücklich einschließlich KMU —, dafür zu sorgen, dass ihre Mitarbeiter und Dritte, die KI in ihrem Namen einsetzen, über eine ausreichende KI-Kompetenz verfügen.

Die Bundesnetzagentur, zuständige Marktaufsichtsbehörde in Deutschland, hat klar bestätigt: Artikel 4 gilt seit dem 2. Februar 2025 — und zwar für jedes Unternehmen, das KI-Systeme betreibt, unabhängig von seiner Größe.

Kein vorgeschriebenes Format, keine Mindeststundenzahl, kein externer Zertifizierungszwang — aber: die Maßnahmen müssen proportional, nachvollziehbar und dokumentiert sein.

Alles zur Schulungspflicht erklärt unser Artikel EU AI Act Schulungspflicht nach Artikel 4.

Artikel 5: Acht absolute Verbote — sofort durchsetzbar

Ebenfalls seit dem 2. Februar 2025 sind die acht verbotenen KI-Praktiken nach Artikel 5 vollständig in Kraft. Verstöße sind keine Kavaliersdelikte: Sie ziehen den höchsten Bußgeldrahmen der gesamten Verordnung nach sich — bis zu 35.000.000 € oder 7 % des weltweiten Jahresumsatzes (Artikel 99(3)), je nachdem, welcher Betrag höher ist.

Für KMU besonders relevant:

  • Artikel 5(1)(c): Verbot von Social Scoring — KI-basierte Bewertung und Klassifizierung von Menschen anhand ihres Sozialverhaltens mit schädlichen Folgen
  • Artikel 5(1)(f): Verbot von Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (außer für Sicherheit oder Medizin)
  • Artikel 5(1)(a): Verbot manipulativer KI, die unterbewusste Techniken nutzt, um Verhalten schädlich zu beeinflussen

Was ändert sich am 2. August 2025?

Ab dem 2. August 2025 treten gemäß Artikel 113(b) EU AI Act weitere Teile der Verordnung in Kraft:

  • Kapitel V (Artikel 53 ff.): Regeln für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle, englisch: General Purpose AI Models). Dazu gehören Transparenz- und Dokumentationspflichten für Modellentwickler wie OpenAI, Google oder Mistral.
  • Kapitel VII: Governance-Rahmen auf EU-Ebene (KI-Amt, KI-Ausschuss)
  • Artikel 99 (ohne Artikel 101): Der Sanktionsrahmen der Verordnung ist ab jetzt vollständig anwendbar — jedoch greift Artikel 101 (Bußgelder spezifisch für GPAI-Anbieter) erst zu einem späteren Zeitpunkt.

Was bedeutet das für KMU? Für die meisten deutschen KMU als Betreiber (nicht Entwickler) von GPAI-Systemen wie ChatGPT oder Gemini: Diese Pflichten treffen direkt die Modellentwickler, nicht die Anwender. Als Betreiber haben Sie jedoch ab diesem Datum einen rechtlichen Anspruch auf Modelldokumentation von Ihren KI-Anbietern — ein wichtiges Instrument für Ihre eigene Compliance-Dokumentation.

Was gilt ab dem 2. August 2026?

Der 2. August 2026 ist der wichtigste Stichtag für die meisten deutschen KMU. Ab diesem Datum gilt die Verordnung in ihrer vollen Breite für Hochrisiko-KI-Systeme nach Annex III (Artikel 6(2)) sowie für die Transparenzpflichten nach Artikel 50.

Welche Hochrisiko-Systeme sind ab 2026 reguliert?

Annex III der Verordnung listet acht Bereiche auf, in denen KI-Systeme als Hochrisiko eingestuft werden. Für KMU am relevantesten:

Bereich 4 — Beschäftigung und Personalmanagement: KI-Systeme zur Bewerberauswahl, Leistungsbewertung, Entscheidungen über Beförderung oder Kündigung gelten in der Regel als Hochrisiko. Systeme, die natürliche Personen „profilen" (nach Artikel 6(3)), sind immer Hochrisiko — auch wenn andere Ausnahmetatbestände greifen könnten.

Bereich 5(b) — Kreditwürdigkeitsbewertung: KI-Systeme zur Beurteilung der Kreditwürdigkeit von Privatpersonen.

Bereich 5(c) — Lebens- und Krankenversicherung: KI-gestützte Risikobeurteilung und Preisgestaltung in der Versicherungswirtschaft.

Was Ihr Unternehmen als Betreiber von Hochrisiko-KI ab dem 2. August 2026 konkret erfüllen muss, lesen Sie im Detail im Beitrag Artikel 4 EU AI Act erklärt.

Betreiberpflichten nach Artikel 26 — die zentralen Anforderungen

Ab dem 2. August 2026 gelten für Betreiber von Hochrisiko-KI-Systemen unter anderem:

  1. Anweisungen einhalten: Das System nur gemäß der Anbieter-Dokumentation verwenden
  2. Menschliche Aufsicht: Qualifizierte Personen benennen, die das System wirksam überwachen können
  3. Logging: Automatisch generierte Protokolle mindestens 6 Monate aufbewahren
  4. Vorfallsmeldung: Schwerwiegende Vorfälle an Anbieter und Behörden melden
  5. Mitarbeiterinformation: Betroffene Mitarbeiter vorab informieren (Artikel 26(7))

Transparenzpflichten nach Artikel 50

Ebenfalls ab dem 2. August 2026 gelten die Transparenzpflichten des Artikels 50 für alle Anbieter und Betreiber von KI-Systemen mit direktem Nutzerkontakt:

  • Nutzer müssen informiert werden, wenn sie mit einem KI-System interagieren (Chatbot-Kennzeichnung)
  • Synthetische Inhalte (Bilder, Videos, Texte) müssen maschinenlesbar als KI-generiert gekennzeichnet sein
  • Deepfake-Inhalte müssen ausgewiesen werden

Was gilt ab dem 2. August 2027?

Der 2. August 2027 markiert den letzten großen Stichtag der ursprünglichen Verordnung. Ab diesem Datum gelten die strengsten Anforderungen für KI-Systeme, die als Sicherheitsbauteile von Produkten nach Annex I der Verordnung eingesetzt werden.

Annex I umfasst rund 20 EU-Harmonisierungsrechtsakte, darunter:

  • Maschinenverordnung (EU) 2023/1230
  • Medizinprodukte-Verordnung (EU) 2017/745 (MDR)
  • Funkanlagenrichtlinie

Diese Kategorie betrifft primär Hersteller, die KI-Systeme als Sicherheitskomponente in ihre Produkte integrieren — etwa Maschinenbauunternehmen mit KI-gesteuerter Sicherheitsabschaltung oder Medizintechnikhersteller. Für reine KI-Anwender ohne eigene Produktentwicklung ist dieser Stichtag weniger relevant.

Wo steht der Digital Omnibus? Ein wichtiger Hinweis

Ende April / Anfang Mai 2026 berichteten Medien über eine vorläufige politische Einigung zwischen Europäischem Rat und Europäischem Parlament zu einem Änderungspaket am EU AI Act, dem sogenannten Digital Omnibus. Diese Einigung ist jedoch kein geltendes Recht.

Für eine Änderung der EU AI Act-Fristen wäre erforderlich:

  1. Formale Abstimmung im Europäischen Parlament und im Rat
  2. Veröffentlichung im EU-Amtsblatt
  3. Inkrafttreten (in der Regel 20 Tage nach Veröffentlichung)

Keiner dieser Schritte war bis zum Redaktionsschluss dieses Artikels (Mai 2026) abgeschlossen. Die Fristen der Verordnung (EU) 2024/1689 in ihrer ursprünglichen Fassung bleiben daher vollständig in Kraft.

Empfehlung: Planen Sie Ihre Compliance-Maßnahmen auf Basis der gültigen Fristen. Sollte der Digital Omnibus förmlich in Kraft treten, werden die relevanten Änderungen kommuniziert.

Was bedeutet das jetzt konkret für Ihr Unternehmen?

Lassen Sie uns die Fristen in einen praktischen Handlungsrahmen übersetzen:

Sofort (heute):

  • Bestandsaufnahme: Welche KI-Systeme setzt Ihr Unternehmen ein?
  • Prüfen: Werden verbotene Praktiken nach Artikel 5 eingesetzt? (z. B. Emotionserkennung, Social Scoring)
  • Schulungsnachweis prüfen: Sind Ihre Mitarbeiter seit dem 2. Februar 2025 nach Artikel 4 geschult?

Bis 2. August 2026 (laufend):

  • KI-Inventar vollständig erstellen und aktuell halten
  • Risikoklassifizierung aller eingesetzten KI-Systeme durchführen
  • Für Hochrisiko-Systeme: Betreiberpflichten nach Artikel 26 implementieren
  • Schulungsprogramm für alle KI-nutzenden Mitarbeiter aufbauen
  • Interne KI-Richtlinie erstellen
  • Logging-Infrastruktur für Hochrisiko-Systeme einrichten

Bis 2. August 2027 (sofern relevant):

  • Für Hersteller von KI-integrierten Sicherheitsprodukten: Konformitätsbewertung nach Annex I vorbereiten

Starten Sie jetzt — Fristen warten nicht

Wenn der 2. August 2026 näher rückt, werden Beratungskapazitäten knapper und Preise höher. Wer heute beginnt, hat den Vorteil: Zeit für einen strukturierten Aufbau, keine Panikmaßnahmen kurz vor dem Stichtag.

Der erste und wichtigste Schritt ist die Schulung Ihres Teams nach Artikel 4 — denn ohne KI-Kompetenz lässt sich keine der weiteren Compliance-Maßnahmen wirklich verankern. Der zertifizierte Online-Kurs von Forefront AI ist speziell für deutsche KMU entwickelt: fünf Module, szenariobasiertes Lernen, verifizierbares Zertifikat mit QR-Code — und das in einer Lernzeit, die in den Arbeitsalltag passt.

Informieren Sie sich über den Kursinhalt auf unserer Leistungsseite oder kontaktieren Sie uns direkt auf der Kontaktseite. Je früher Sie starten, desto mehr Handlungsspielraum bleibt Ihnen.

FAQ

Häufige Fragen

Seit wann gilt der EU AI Act?

+

Der EU AI Act (Verordnung (EU) 2024/1689) ist am 1. August 2024 in Kraft getreten — 20 Tage nach seiner Veröffentlichung im EU-Amtsblatt am 12. Juli 2024. Verbindliche Pflichten für Unternehmen griffen erstmals ab dem 2. Februar 2025 (Artikel 4 Schulungspflicht und Artikel 5 Verbote).

Was gilt ab dem 2. Februar 2025?

+

Was ändert sich am 2. August 2026?

+

Was bedeutet der Digital Omnibus für die EU AI Act Fristen?

+

Was gilt ab dem 2. August 2027?

+

Weitere Artikel

Bereit, KI-Kompetenz im Unternehmen aufzubauen?

Sprechen Sie mit uns über EU-AI-Act-Schulungen für Ihr Team. Wir melden uns innerhalb eines Werktags.

Mit dem Absenden stimmen Sie der Verarbeitung Ihrer Angaben zur Bearbeitung Ihrer Anfrage zu.