Was ist der EU AI Act und was bedeutet er für mein Unternehmen?
Stand: 13. Juli 2026. Rechtliche Fristen ändern sich; prüfen Sie wichtige Angaben immer gegen die am Ende verlinkten Originalquellen.
Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Er gilt bereits, aber gestuft: Einige Pflichten sind seit 2025 verbindlich, der nächste große Stichtag ist der 2. August 2026, und die Hochrisiko-Pflichten wurden im Juni 2026 auf Ende 2027 verschoben. Genau diese Gemengelage sorgt für Verwirrung. Dieser Artikel ordnet ein, was der AI Act ist, welche Pflichten Ihr Unternehmen wann treffen und wo Sie die Originalquellen finden.
Dieser Artikel ist eine redaktionelle Übersicht und keine Rechtsberatung. Er ersetzt keine anwaltliche Prüfung Ihres Einzelfalls. Für verbindliche Aussagen zu Ihrer Situation wenden Sie sich bitte an eine auf IT-Recht und Datenschutz spezialisierte Kanzlei.
- Der AI Act gilt bereits, aber gestuft: Verbote und KI-Kompetenz sind seit Februar 2025 verbindlich.
- Nächster Stichtag ist der 2. August 2026: Transparenzpflichten für Chatbots, Deepfakes und KI-generierte Inhalte.
- Die Hochrisiko-Pflichten (z. B. Recruiting-KI) wurden per EU-Omnibus auf den 2. Dezember 2027 verschoben.
- Bußgelder reichen bis 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes; KMU zahlen den jeweils niedrigeren Wert.
- In Deutschland wird die Bundesnetzagentur die zentrale Aufsichtsbehörde.
Was ist der EU AI Act?
Der AI Act ist die Verordnung (EU) 2024/1689, auf Deutsch KI-Verordnung. Sie wurde am 12. Juli 2024 im EU-Amtsblatt veröffentlicht und ist am 1. August 2024 in Kraft getreten. Als EU-Verordnung gilt sie unmittelbar in jedem Mitgliedstaat, also auch in Deutschland, ohne dass es dafür ein eigenes deutsches Umsetzungsgesetz braucht. National geregelt wird nur die Aufsicht, dazu unten mehr.
Der Kern ist ein risikobasierter Ansatz: Je größer das Risiko eines KI-Systems für Gesundheit, Sicherheit oder Grundrechte, desto strenger die Pflichten. Einige Praktiken sind komplett verboten, Hochrisiko-Systeme unterliegen strengen Anforderungen, für bestimmte Systeme gelten Transparenzpflichten, und der große Rest bleibt weitgehend unreguliert. Die Verordnung gilt übrigens auch für Anbieter außerhalb der EU, sobald deren Systeme in der EU eingesetzt werden.
Wichtig: Der Zeitplan hat sich 2026 geändert
Wer sich 2024 oder 2025 über den AI Act informiert hat, kennt vermutlich den ursprünglichen Zeitplan. Der stimmt so nicht mehr. Mit dem sogenannten Digital Omnibus zur KI, einer Novelle, die den AI Act nachträglich ändert (Vorschlag COM(2025) 836 vom 19. November 2025), hat die EU die Hochrisiko-Fristen verschoben und einzelne Pflichten entschärft. Das Verfahren ist durch: Einigung von Rat und Parlament am 7. Mai 2026, Zustimmung des EU-Parlaments am 16. Juni 2026, finale Annahme durch den Rat am 29. Juni 2026. Die Änderungsverordnung tritt am dritten Tag nach der Veröffentlichung im EU-Amtsblatt in Kraft; die Veröffentlichung wurde für Juli 2026 erwartet und stand bei Redaktionsschluss dieses Artikels noch aus.
Der aktuelle Zeitplan sieht damit so aus:
| Stichtag | Was gilt |
|---|---|
| 1. August 2024 | Die KI-Verordnung tritt in Kraft. |
| 2. Februar 2025 | Verbotene Praktiken (Art. 5) und KI-Kompetenz (Art. 4) gelten. |
| 2. August 2025 | Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI), Governance-Strukturen und der Sanktionsrahmen gelten. |
| 2. August 2026 | Die übrigen Vorschriften gelten, insbesondere die Transparenzpflichten (Art. 50). Die EU-Kommission beginnt, die GPAI-Pflichten durchzusetzen. |
| 2. Dezember 2026 | Ende der Übergangsfrist für die maschinenlesbare Kennzeichnung KI-generierter Inhalte bei Bestandssystemen. Neues Verbot von KI-Systemen zur Erzeugung nicht einvernehmlicher Intimaufnahmen und von Missbrauchsdarstellungen greift. |
| 2. Dezember 2027 | Hochrisiko-Pflichten für eigenständige Systeme nach Anhang III, zum Beispiel im Personalwesen (ursprünglich 2. August 2026). |
| 2. August 2028 | Hochrisiko-Pflichten für KI in regulierten Produkten nach Anhang I (ursprünglich 2. August 2027). |
Die neuen Hochrisiko-Fristen sind fixe Daten und nicht mehr, wie im Kommissionsvorschlag angedacht, an die Verfügbarkeit technischer Normen geknüpft. Und: Die inhaltlichen Anforderungen an Hochrisiko-Systeme bleiben unverändert. Verschoben ist nicht aufgehoben.
Die vier Risikoklassen
Der AI Act sortiert KI-Systeme in vier Stufen, von komplett verboten bis pflichtenfrei:
Verbotene Praktiken (Art. 5)
Acht Praktiken sind in der EU untersagt, darunter Social Scoring, gezielte Manipulation, das Ausnutzen von Schutzbedürftigkeit, ungezieltes Auslesen von Gesichtsbildern und biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum.
Für Unternehmen besonders relevant: Emotionserkennung am Arbeitsplatz ist verboten, ebenso in Bildungseinrichtungen. Ab 2. Dezember 2026 kommt ein Verbot von Systemen hinzu, die nicht einvernehmliche Intimaufnahmen oder Darstellungen von Kindesmissbrauch erzeugen.
Hochrisiko-Systeme (Art. 6)
Anhang III listet acht Einsatzbereiche, darunter Biometrie, kritische Infrastruktur, Bildung, Strafverfolgung und Justiz. Für die meisten Unternehmen entscheidend: Beschäftigung (Recruiting, Bewerbungs-Screening, Beförderung, Kündigung) und Kreditwürdigkeitsprüfung. Anhang I erfasst KI in regulierten Produkten wie Maschinen oder Medizinprodukten.
Hochrisiko heißt nicht verboten, sondern: strenge Anforderungen an Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht und Robustheit.
Transparenzpflichten (Art. 50)
Wer mit einer KI interagiert, muss das erkennen können: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Inhalte müssen maschinenlesbar gekennzeichnet werden, Deepfakes und KI-Texte zu Themen öffentlichen Interesses müssen offengelegt werden.
Ausnahmen gibt es etwa für erkennbar künstlerische Inhalte und für Texte unter menschlicher redaktioneller Verantwortung.
Alles andere
Die große Mehrheit der KI-Anwendungen, etwa Spamfilter oder Empfehlungssysteme, unterliegt keinen besonderen Pflichten aus der Verordnung.
Freiwillige Verhaltenskodizes bleiben möglich, verpflichtend ist hier nichts.
Quer dazu liegen die GPAI-Modelle (General Purpose AI, also Basismodelle wie GPT, Claude oder Gemini): Deren Anbieter müssen seit 2. August 2025 technische Dokumentation bereitstellen, eine Urheberrechts-Strategie vorweisen und eine Zusammenfassung der Trainingsdaten veröffentlichen. Bei besonders leistungsfähigen Modellen mit systemischem Risiko kommen Evaluierungs- und Meldepflichten hinzu. Als Orientierung dient der GPAI Code of Practice vom 10. Juli 2025, den unter anderem Amazon, Anthropic, Google, IBM, Microsoft, Mistral AI und OpenAI unterzeichnet haben. Wenn Ihr Unternehmen solche Modelle nur nutzt, treffen Sie diese Pflichten nicht direkt. Die Begriffe dahinter erklärt unser KI-Glossar.
Anbieter oder Betreiber: Welche Rolle hat Ihr Unternehmen?
Die Pflichten hängen an der Rolle. Anbieter (provider) entwickeln KI-Systeme oder lassen sie entwickeln und bringen sie unter eigenem Namen auf den Markt; sie tragen bei Hochrisiko-Systemen die Hauptlast (Konformitätsbewertung, CE-Kennzeichnung, Qualitätsmanagement, Registrierung). Betreiber (deployer) setzen KI-Systeme in eigener Verantwortung beruflich ein. Das ist die Rolle, in der sich die meisten Unternehmen wiederfinden: Wer ChatGPT, Claude oder Copilot im Büroalltag nutzt oder einen zugekauften Chatbot auf der Website einbindet, ist Betreiber.
Vorsicht vor dem Rollenwechsel nach Art. 25: Ein Betreiber wird rechtlich zum Anbieter, wenn er ein Hochrisiko-System unter eigenem Namen oder eigener Marke anbietet, es wesentlich verändert oder den Verwendungszweck eines Systems so ändert, dass es zum Hochrisiko-System wird. Wer also ein Basismodell für einen Hochrisiko-Zweck feinjustiert oder ein eingekauftes Tool unter eigener Marke weitervertreibt, sollte die Rollenfrage sauber prüfen.
Was gilt für Ihr Unternehmen schon heute?
Erstens: Keine verbotenen Praktiken einsetzen (seit 2. Februar 2025). In der Praxis heißt das vor allem: keine Emotionserkennung gegenüber Beschäftigten, kein Social Scoring, keine manipulativen KI-Systeme. Verstöße sind mit den höchsten Bußgeldern der Verordnung belegt.
Zweitens: KI-Kompetenz nach Art. 4 (ebenfalls seit 2. Februar 2025). Anbieter und Betreiber müssen dafür sorgen, dass Personen, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz verfügen. Das betrifft praktisch jedes Unternehmen, das KI einsetzt, unabhängig von der Größe. Die Novelle formuliert die Vorschrift künftig weicher als Förderpflicht (die Entwicklung von KI-Kompetenz „unterstützen“ statt „sicherstellen“). An der praktischen Konsequenz ändert das wenig: Wer Beschäftigte mit KI arbeiten lässt, sollte sie nachweisbar schulen. Die Marktaufsicht darüber beginnt im August 2026.
Was kommt am 2. August 2026?
Mit dem nächsten Stichtag werden die Transparenzpflichten nach Art. 50 verbindlich. Konkret für Betreiber: Ein Chatbot auf Ihrer Website muss sich als KI zu erkennen geben (die Pflicht zur Gestaltung liegt beim Anbieter des Systems, die Auswahl eines konformen Produkts liegt bei Ihnen). Wer Deepfakes veröffentlicht, muss sie als künstlich erzeugt offenlegen; dasselbe gilt für KI-generierte Texte, die die Öffentlichkeit über Angelegenheiten öffentlichen Interesses informieren, sofern keine menschliche redaktionelle Verantwortung besteht. Anbieter generativer Systeme müssen Ausgaben maschinenlesbar kennzeichnen; für Systeme, die vor dem 2. August 2026 auf den Markt kamen, läuft dafür eine Übergangsfrist bis zum 2. Dezember 2026. Außerdem beginnt die EU-Kommission, die GPAI-Pflichten gegenüber den Modell-Anbietern durchzusetzen.
Was kommt später: die Hochrisiko-Pflichten
Ab dem 2. Dezember 2027 gelten die Pflichten für eigenständige Hochrisiko-Systeme nach Anhang III. Für Betreiber heißt das nach Art. 26 unter anderem: Nutzung entsprechend der Betriebsanleitung, menschliche Aufsicht durch kompetente und geschulte Personen, Kontrolle über relevante Eingabedaten, Aufbewahrung der automatisch erzeugten Protokolle für mindestens sechs Monate sowie die Information der Beschäftigten und ihrer Vertretung, bevor ein Hochrisiko-System am Arbeitsplatz eingesetzt wird. Wenn Sie also KI im Recruiting oder für Kreditentscheidungen einsetzen (oder das planen), ist jetzt die Zeit, Prozesse und Verträge darauf auszurichten. Ab dem 2. August 2028 folgen die produktintegrierten Systeme nach Anhang I.
Sanktionen: Was bei Verstößen droht
Der Sanktionsrahmen (Art. 99) gilt seit dem 2. August 2025 und ist dreistufig gestaffelt:
- Bis zu 35 Mio. Euro oder 7 Prozent des weltweiten Jahresumsatzes: verbotene Praktiken nach Art. 5.
- Bis zu 15 Mio. Euro oder 3 Prozent: Verstöße gegen zentrale Pflichten, unter anderem Anbieter-, Betreiber- und Transparenzpflichten.
- Bis zu 7,5 Mio. Euro oder 1 Prozent: Falschangaben gegenüber Behörden.
Für Unternehmen gilt jeweils der höhere Betrag, für KMU und Start-ups der niedrigere.
Dazu kommen KMU-Erleichterungen an anderer Stelle: bevorzugter Zugang zu KI-Reallaboren, vereinfachte Dokumentationsformulare und mit dem Omnibus weitere Entlastungen, auch für sogenannte Small Mid-Caps.
Aufsicht in Deutschland: Bundesnetzagentur wird zuständig
Deutschland hat die EU-Frist zur Benennung der nationalen Behörden (2. August 2025) zunächst verpasst; das nationale Durchführungsgesetz kam erst 2026: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) wurde am 11. Juni 2026 vom Bundestag beschlossen, der Bundesrat hat es am 10. Juli 2026 gebilligt; es tritt am Tag nach der Verkündung in Kraft. Damit wird die Bundesnetzagentur zentrale Marktüberwachungsbehörde mit einem Koordinierungs- und Kompetenzzentrum (KoKIVO) und mindestens einem KI-Reallabor. Für den Finanzsektor überwacht die BaFin, die Datenschutzbehörden behalten die Datenschutzaufsicht, und für grundrechtssensible Bereiche ist eine unabhängige Kammer innerhalb der Bundesnetzagentur vorgesehen.
Praktisch wichtig: Die Bundesnetzagentur betreibt bereits seit Juli 2025 einen KI-Service Desk mit einem KI-Compliance-Kompass zur kostenlosen Ersteinschätzung, gerichtet vor allem an kleine und mittlere Unternehmen. Auf EU-Ebene gibt es seit Oktober 2025 den AI Act Service Desk mit Compliance Checker, auch auf Deutsch.
Erste Schritte: So gehen Sie es an
- KI-Inventar erstellen: Welche KI-Systeme sind im Unternehmen im Einsatz, auch inoffiziell (Schatten-KI)? Ohne Bestandsaufnahme keine Einordnung.
- Risikoklasse je System bestimmen: Berührt ein System verbotene Praktiken? Fällt es unter Anhang III (vor allem Personalwesen, Kredit)? Greifen Transparenzpflichten?
- Rolle klären: Sind Sie Betreiber oder (auch) Anbieter? Achten Sie auf den Rollenwechsel nach Art. 25 bei eigener Marke, wesentlichen Änderungen oder Zweckänderung.
- Beschäftigte schulen: KI-Kompetenz nach Art. 4 dokumentiert aufbauen; das ist ohnehin die Grundlage für sinnvollen KI-Einsatz.
- Transparenz zum 2. August 2026 vorbereiten: Chatbot-Kennzeichnung, Umgang mit KI-generierten Inhalten und Deepfake-Offenlegung regeln.
- Hochrisiko-Fälle früh angehen: Wer Recruiting- oder Scoring-KI nutzt oder plant, sollte Betreiberpflichten, Verträge mit Anbietern und die Information der Beschäftigten jetzt vorbereiten, nicht erst Ende 2027.
- Entwicklung beobachten: Amtsblatt-Veröffentlichung des Omnibus, Leitlinien der Kommission und die Arbeit der Bundesnetzagentur im Blick behalten.
Offizielle Quellen und Gesetzestexte
- Verordnung (EU) 2024/1689 im Volltext (EUR-Lex, deutsch)
- Digital-Omnibus-Vorschlag zur KI-Verordnung, COM(2025) 836 (EUR-Lex, deutsch)
- Rat der EU: Pressemitteilung zur finalen Annahme des KI-Omnibus (29. Juni 2026, deutsch)
- EU-Kommission: Rechtsrahmen für KI mit aktuellem Zeitplan (Sprachauswahl oben rechts)
- EU-Kommission: FAQ zur KI-Kompetenz nach Art. 4 (deutsch)
- EU-Kommission: GPAI Code of Practice
- Bundesnetzagentur: KI-Service Desk mit KI-Compliance-Kompass
- Deutscher Bundestag: Beschluss des KI-Durchführungsgesetzes (11. Juni 2026)
- AI Act Explorer (inoffiziell, komfortable Volltext-Navigation, englisch)
Fazit
Der AI Act ist kein Grund zur Panik, aber auch nichts, was Sie aussitzen sollten. Verbote und KI-Kompetenz gelten bereits, die Transparenzpflichten kommen zum 2. August 2026, und die Verschiebung der Hochrisiko-Pflichten auf Ende 2027 ist ein Zeitgewinn, kein Freifahrtschein. Wer jetzt sein KI-Inventar aufbaut, Rollen klärt und Beschäftigte schult, arbeitet die Anforderungen in Ruhe ab, statt 2027 unter Druck zu geraten.
Wenn Sie dabei Unterstützung möchten: Mit dem EU AI Act Compliance-Audit prüfe ich Ihre KI-Systeme strukturiert auf Risikoklassen, Rollen und Pflichten. Und für die KI-Kompetenz Ihres Teams nach Art. 4 gibt es die AI-Literacy-Schulung in der Akademie.
Nochmals der Hinweis: Dieser Artikel ist keine Rechtsberatung. Er gibt den Rechtsstand vom 13. Juli 2026 wieder.
Weiterführend
- KI-Glossar – 129 KI-Fachbegriffe verständlich erklärt, inklusive EU AI Act, GPAI und Co.
- EU AI Act Compliance-Audit – strukturierte Bestandsaufnahme Ihrer KI-Systeme
- AI-Literacy-Schulung – KI-Kompetenz nach Art. 4 für Ihr Team
