Der EU AI Act kommt nicht irgendwann — er ist längst da. Seit dem 1. August 2024 ist die Verordnung (EU) 2024/1689 in Kraft, zwei Pflichtenpakete gelten bereits, und am 2. August 2026 fällt die wichtigste Klappe: die volle Anwendbarkeit. Wer die Hochrisiko-Einstufung seiner Systeme bis dahin nicht geklärt hat, arbeitet ab diesem Tag im Blindflug.
Dieser Ratgeber sortiert alle Stichtage, erklärt, was an jedem Datum konkret gilt, und zeigt, welche drei Dinge Unternehmen in den verbleibenden Wochen noch realistisch schaffen.
Der Zeitplan im Überblick
| Stichtag | Was gilt ab dann |
|---|---|
| 1. August 2024 | Verordnung in Kraft (noch ohne Pflichten) |
| 2. Februar 2025 | Verbotene Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) |
| 2. August 2025 | GPAI-Pflichten (Kap. V), Governance-Strukturen, Sanktionsregime |
| 2. August 2026 | Volle Anwendbarkeit: Hochrisiko-Pflichten (Anhang III), Transparenz (Art. 50), Meldepflichten (Art. 73) |
| 2. August 2027 | Hochrisiko-KI in regulierten Produkten (Anhang I); Konformitätsfrist für Alt-GPAI-Modelle |
| 2. August 2030 | Nachrüstfrist für Bestandssysteme öffentlicher Stellen |
Was seit Februar 2025 schon gilt — und oft übersehen wird
Zwei Pflichten sind seit dem 2. Februar 2025 scharf, werden aber in vielen Unternehmen bis heute nicht gelebt:
Verbotene Praktiken (Art. 5). Social Scoring, Emotionserkennung am Arbeitsplatz (außerhalb medizinischer oder sicherheitsbezogener Zwecke) und manipulative Techniken sind untersagt. Besonders die Emotionserkennung taucht in HR-Tools und Callcenter-Software häufiger auf, als Einkaufsabteilungen bewusst ist.
KI-Kompetenzpflicht (Art. 4). Alle Beschäftigten, die mit KI-Systemen arbeiten, brauchen ein ihrer Rolle angemessenes Kompetenzniveau. Wie Sie das pragmatisch umsetzen, haben wir im Ratgeber zur KI-Kompetenzpflicht nach Art. 4 beschrieben — inklusive Schulungskonzept. Unterstützung bei der Umsetzung bieten unsere KI-Schulungen.
Der 2. August 2026: Was jetzt konkret ansteht
Ab dem 2. August 2026 gelten die Kernpflichten der Verordnung für alle:
- Hochrisiko-Klassifizierung wird verbindlich. Systeme in den acht Bereichen des Anhangs III — von Personalauswahl über Kreditwürdigkeit bis kritische Infrastruktur — unterliegen dann den vollen Anforderungen. Welche Bereiche das sind, erklärt unser Ratgeber zu Anhang III und den Hochrisiko-Bereichen.
- Betreiberpflichten nach Art. 26. Menschliche Aufsicht, Eingabedaten-Kontrolle, Monitoring und Aufbewahrung der Protokolle — das betrifft jedes Unternehmen, das fremde Hochrisiko-KI einsetzt, nicht nur Hersteller.
- Transparenzpflichten nach Art. 50. Chatbots müssen sich als KI zu erkennen geben, Deepfakes und KI-generierte Inhalte sind zu kennzeichnen.
- Meldepflichten bei schwerwiegenden Vorfällen (Art. 73).
Die Bußgeldrahmen dahinter sind erheblich — die Details samt Bemessungslogik finden Sie im Ratgeber zu den Bußgeldern im EU AI Act.
Drei Dinge, die Sie vor dem Stichtag noch schaffen
Vier Wochen reichen nicht für ein vollständiges KI-Managementsystem. Sie reichen aber für die drei Schritte, die im Ernstfall den Unterschied machen:
1. KI-Inventar erstellen. Sie können nichts klassifizieren, was Sie nicht kennen. Ein strukturiertes Verzeichnis aller eingesetzten KI-Systeme — inklusive der KI-Funktionen in Standardsoftware — ist die Basis. Unsere KI-Register-Vorlage liefert die Struktur, die KI-Inventarisierung übernehmen wir auf Wunsch komplett.
2. Hochrisiko-Schnellprüfung. Jedes System im Inventar einmal gegen Anhang III halten: Personalwesen, Bildung, kritische Infrastruktur, Kreditvergabe? Im Zweifel zählt der konkrete Einsatzzweck, nicht der Produktname.
3. Verantwortlichkeit festlegen. Ohne benannten Kümmerer versandet jede Compliance-Initiative. Ob interne Rolle oder externer KI-Beauftragter — entscheidend ist, dass ab August jemand die Betreiberpflichten aktiv verfolgt. Was das kostet, zeigt transparent unsere Übersicht zu den Kosten eines KI-Beauftragten.
Häufiger Irrtum: „Wir bauen keine KI, uns betrifft das nicht”
Der AI Act adressiert ausdrücklich auch Betreiber — also jedes Unternehmen, das KI-Systeme nur einsetzt. Die Pflichten sind schlanker als für Anbieter, aber sie existieren: Kompetenz (Art. 4), bestimmungsgemäßer Einsatz, menschliche Aufsicht und Monitoring bei Hochrisiko-Systemen (Art. 26), Transparenz gegenüber Betroffenen. Wer heute ein Bewerbermanagement-Tool mit KI-Ranking nutzt, ist ab dem 2. August 2026 Betreiber eines Hochrisiko-Systems — mit allem, was dazugehört.
Fazit
Der Zeitplan des EU AI Act ist seit 2024 bekannt, und die letzte große Stufe zündet am 2. August 2026. Die gute Nachricht: Für Betreiber sind die Pflichten mit einem strukturierten Inventar, einer sauberen Klassifizierung und klarer Verantwortlichkeit gut beherrschbar. Die schlechte: Ohne diese drei Bausteine wird jede Aufsichtsanfrage und jeder Vorfall zum Problem. Wenn Sie die Frist mit Rückenwind erreichen wollen, sprechen Sie uns an — die Erstberatung ist kostenfrei.
- EU AI Act
- Fristen
- Zeitplan
- Compliance
- Hochrisiko-KI