Der EU AI Act ist in Kraft — viele Fristen laufen bereits

Seit dem 2. August 2024 ist der EU AI Act offiziell in Kraft. Was das für deutsche Unternehmen konkret bedeutet, ist vielen aber noch nicht klar — weil die Verordnung nicht auf einen Schlag wirksam wird, sondern in aufeinanderfolgenden Wellen. Nicht alles gilt sofort. Manches galt bereits ab Februar 2025. Und das Wichtigste tritt im August 2026 in Kraft.

Dieser Artikel gibt einen praxisnahen Überblick über die wichtigsten Fristen und erklärt, was wann gilt — damit Sie sich rechtzeitig vorbereiten können, statt unter Zeitdruck zu reagieren.

Die fünf wichtigsten Zeitpunkte im Überblick

1. Februar 2025: Die ersten Verbote gelten

Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken (Kapitel I und II der Verordnung). Betroffen sind KI-Systeme mit inakzeptablem Risikopotenzial: Social Scoring durch staatliche Stellen, manipulative KI-Anwendungen, die die Schwächen von Personen ausnutzen, oder biometrische Echtzeit-Überwachung im öffentlichen Raum.

Für die meisten privaten Wirtschaftsunternehmen sind diese Verbote nicht unmittelbar relevant. Aber sie zeigen, dass der EU AI Act keine bloße theoretische Regulierung mehr ist. Verstöße gegen diese Vorschriften können bereits heute geahndet werden.

2. August 2025: GPAI-Modelle und Governance-Struktur

Seit August 2025 gelten die Pflichten für Anbieter sogenannter General-Purpose AI Models (GPAI) — also großer Sprachmodelle wie GPT, Claude oder Gemini, die in Europa angeboten werden. Für diese Anbieter gelten spezifische Transparenz- und Dokumentationspflichten.

Gleichzeitig wurde die institutionelle Governance operativ: Die nationalen KI-Behörden nehmen ihre Arbeit auf; das AI Office der Europäischen Kommission ist aktiv. Die Codes of Practice für GPAI-Anbieter sollten bis Mai 2025 finalisiert sein.

Für Unternehmen, die keine eigenen KI-Modelle entwickeln, aber GPAI-Tools einsetzen: In dieser Phase sind Sie noch nicht direkt adressiert — aber die Pflichten kommen.

3. August 2026: Die vollständige Anwendung beginnt

Ab dem 2. August 2026 gilt der EU AI Act in seiner vollen Breite. Das ist der entscheidende Stichtag für alle Unternehmen, die KI-Systeme einsetzen oder entwickeln, die nach Anhang III der Verordnung als Hochrisiko-KI eingestuft werden.

Was zählt als Hochrisiko? Systeme in folgenden Bereichen sind betroffen:

• Beschäftigung und Personalmanagement (KI-gestütztes Recruiting, Leistungsbeurteilung)
• Zugang zu Bildung und Berufsausbildung
• Wesentliche Privatdienstleistungen (Kreditvergabe, Versicherungen, Sozialhilfe)
• Kritische Infrastruktur (Energie, Wasser, Verkehr)
• Strafverfolgung, Migrations- und Grenzmanagement
• Rechtspflege und demokratische Prozesse

Wer Hochrisiko-KI einsetzt, muss ab August 2026 unter anderem nachweisen können:

• Vollständiges KI-Inventar mit dokumentierter Risikoklassifizierung
• Technische Dokumentation (Art. 11)
• Risikomanagementsystem (Art. 9)
• Datenverwaltungspraktiken und Datenqualitätsnachweise (Art. 10)
• Transparenz- und Erklärungspflichten gegenüber Nutzern (Art. 13)
• Nachweisbare menschliche Aufsicht (Art. 14)
• Robustheit, Genauigkeit und Cybersicherheit (Art. 15)
• Konformitätserklärung und — wo vorgeschrieben — CE-Kennzeichnung (Art. 48, 49)

Was viele Unterschätzen
Der EU AI Act betrifft nicht nur KI-Entwickler. Wer als Deployer ein Hochrisiko-System einsetzt — auch wenn er es lediglich eingekauft hat —, unterliegt eigenen Pflichten. Das gilt ausdrücklich auch für mittelständische Unternehmen, die KI im Recruiting, bei der Kreditvergabe oder bei Leistungsbeurteilungen einsetzen.

4. August 2027: Hochrisiko-KI in regulierten Produkten

Für KI-Systeme, die in Produkte nach bestehendem EU-Harmonisierungsrecht eingebettet sind — etwa Maschinen, Medizinprodukte oder Fahrzeuge — gilt eine verlängerte Übergangsfrist bis zum 2. August 2027. Hier wird die Einstufungspflicht nach Art. 6 Abs. 1 wirksam.

5. Ende 2030: Systeme der öffentlichen Verwaltung

Behörden und Betreiber großer staatlicher Infrastruktursysteme (z. B. in der Strafverfolgung oder im Grenzmanagement) erhalten bis Ende 2030 Zeit für die vollständige Compliance. Für privatwirtschaftliche Unternehmen spielt dieser Stichtag in der Regel keine Rolle.

Was bedeutet das konkret für Ihr Unternehmen?

Der EU AI Act betrifft Sie wahrscheinlich stärker als Sie denken — je nach Risikoprofil Ihrer KI-Systeme in unterschiedlichem Maße. Drei Fragen, die Sie sich heute stellen sollten:

1. Welche KI-Systeme setzen wir ein — und haben wir ein vollständiges Inventar davon?
2. Welche dieser Systeme fallen in die Hochrisiko-Kategorien des EU AI Act (Anhang III)?
3. Haben wir bis August 2026 die erforderliche Dokumentation, Governance-Struktur und menschliche Aufsicht nachweisbar implementiert?

Wenn Sie auf eine oder mehrere dieser Fragen keine klare Antwort haben, ist jetzt der richtige Zeitpunkt, das zu ändern. Nicht aus Angst vor Bußgeldern — obwohl diese mit bis zu 3 % des weltweiten Jahresumsatzes erheblich sind. Sondern weil eine dokumentierte, prüfbare KI-Governance gegenüber Kunden, Investoren und Mitarbeitern Vertrauen schafft. Und weil Unternehmen, die Responsible AI als Haltung verstehen und nicht als Checkliste, den strukturellen Vorteil behalten.

Mehr dazu, wie eine solche Governance in der Praxis aufgebaut wird, lesen Sie in unserem Artikel „Was ist Responsible AI?“ sowie in „3 Mythen über den EU AI Act“.

Nächster Schritt

Nutzen Sie unsere kostenlose EU AI Act Readiness-Checkliste und erhalten Sie eine erste Einschätzung Ihres Handlungsbedarfs. Melden Sie sich für unseren Newsletter an und bleiben Sie über alle relevanten Entwicklungen informiert — praxisnah, kompakt und ohne Panikmache.

Oder buchen Sie direkt ein kostenloses 30-Minuten-Erstgespräch, wenn Sie wissen möchten, wie Ihr Unternehmen aktuell aufgestellt ist.