EU AI Act

Der EU AI Act – klar erklärt

Der Digital Omnibus hat die Fristen neu geordnet: Die Hochrisiko-Pflichten verschieben sich auf Dezember 2027 bzw. August 2028 – der Anwendungsbeginn am 2. August 2026 bleibt. Was das konkret heißt, kurz und belastbar beantwortet.

Zeitplan

Die wichtigsten Fristen

1

Feb 2025

Verbotene KI-Praktiken und KI-Kompetenz-Pflichten gelten. gilt

2

Aug 2025

Governance-Regeln und Pflichten für GPAI-Modelle greifen. gilt

3

2. Aug 2026

Allgemeiner Anwendungsbeginn: Transparenzpflichten nach Art. 50, Deepfake-Offenlegung durch Betreiber, Sanktionsregime. Bleibt unverändert.

4

2. Dez 2026

Maschinenlesbare Kennzeichnung (Art. 50 Abs. 2) für Bestandssysteme. Neue Verbote für „Nudifier“-Apps und CSAM-Generatoren.

5

2. Dez 2027

Hochrisiko-Pflichten für eigenständige Systeme nach Anhang III (u. a. Bonität, Beschäftigung, Biometrie). Verschoben von Aug 2026.

6

2. Aug 2028

Hochrisiko-Pflichten für KI als Sicherheitsbauteil in regulierten Produkten nach Anhang I. Verschoben von Aug 2027.

Status des Digital Omnibus on AI

Die EU-Kommission legte den Vorschlag am 19. November 2025 vor. Rat und Parlament einigten sich am 7. Mai 2026 vorläufig; das Parlament billigte den Text am 16. Juni 2026, der Rat nahm ihn am 29. Juni 2026 förmlich an. Damit steht der Inhalt fest – Unterzeichnung und Veröffentlichung im EU-Amtsblatt stehen noch aus. Bis dahin bleibt formal die ursprüngliche Fassung der Verordnung (EU) 2024/1689 in Kraft. Der ursprünglich diskutierte Mechanismus, den Anwendungsbeginn an die Verfügbarkeit harmonisierter Normen zu koppeln, wurde zugunsten fester Stichtage fallengelassen.

Weitere Änderungen: Zwei neue verbotene Praktiken (KI zur Erzeugung nicht einvernehmlicher intimer Darstellungen sowie von Missbrauchsdarstellungen von Kindern) gelten ab dem 2. Dezember 2026. Die Frist für die Mitgliedstaaten, KI-Reallabore einzurichten, verschiebt sich auf den 2. August 2027. Erleichterungen bei Dokumentation und Qualitätsmanagement werden auf kleine Midcap-Unternehmen ausgeweitet.

Stand: 9. Juli 2026 · Keine Rechtsberatung.

Fragen & Antworten

Was Sie zum AI Act wissen sollten

Für wen gilt der EU AI Act? +
Der EU AI Act (Verordnung 2024/1689) gilt für Anbieter und Betreiber von KI-Systemen, die in der EU auf den Markt gebracht oder eingesetzt werden – unabhängig davon, wo das Unternehmen sitzt (extraterritoriale Reichweite nach Art. 2). Auch Unternehmen außerhalb der EU sind betroffen, sobald ihre KI-Systeme in der EU genutzt werden. Die konkreten Pflichten richten sich nach der Risikoklasse des jeweiligen Systems.
Ab wann gilt der EU AI Act? +
Der AI Act ist am 1. August 2024 in Kraft getreten und gilt gestaffelt: Verbotene Praktiken und KI-Kompetenz-Pflichten seit 2. Februar 2025, Governance- und GPAI-Pflichten seit 2. August 2025. Der allgemeine Anwendungsbeginn bleibt der 2. August 2026. Durch den Digital Omnibus on AI verschieben sich die Hochrisiko-Pflichten: für eigenständige Systeme nach Anhang III auf den 2. Dezember 2027, für in Produkte eingebettete Systeme nach Anhang I auf den 2. August 2028. Das Europäische Parlament hat den Text am 16. Juni 2026 gebilligt, der Rat hat ihn am 29. Juni 2026 förmlich angenommen; Unterzeichnung und Veröffentlichung im Amtsblatt stehen noch aus.
Welche Risikoklassen kennt der AI Act? +
Der AI Act unterscheidet vier Stufen: Unannehmbares Risiko (verbotene Praktiken), Hohes Risiko (z. B. KI in Biometrie, kritischer Infrastruktur, Beschäftigung, Bonität oder öffentlichen Diensten – mit umfassenden Pflichten), begrenztes Risiko (Transparenzpflichten, u. a. für viele GPAI-Systeme) und minimales Risiko (keine besonderen Pflichten). Die Risikoklasse bestimmt, welche Anforderungen konkret gelten.
Welche Pflichten gelten für Hochrisiko-KI? +
Hochrisiko-Systeme müssen u. a. ein kontinuierliches Risikomanagement (Art. 9), Daten-Governance für Trainingsdaten (Art. 10), technische Dokumentation, Protokollierung, menschliche Aufsicht und ein Konformitätsbewertungsverfahren nachweisen. Diese Pflichten gelten nach dem Digital Omnibus ab 2. Dezember 2027 (Anhang III) bzw. ab 2. August 2028 (Anhang I). Verstöße gegen verbotene Praktiken können mit Bußgeldern von bis zu 35 Mio. € bzw. 7 % des weltweiten Jahresumsatzes geahndet werden, Verstöße gegen die meisten übrigen Pflichten – darunter die Hochrisiko-Anforderungen – mit bis zu 15 Mio. € bzw. 3 %.
Ersetzt der AI Act die DSGVO? +
Nein. Der AI Act ersetzt die DSGVO nicht – beide gelten parallel. Sobald ein KI-System personenbezogene Daten verarbeitet, sind zusätzlich die DSGVO-Anforderungen einzuhalten. Bei vielen Hochrisiko-Anwendungen greifen sowohl eine Datenschutz-Folgenabschätzung (DSFA) nach Art. 35 DSGVO als auch die AI-Act-Pflichten.
Was ist mit US-Startups und Anbietern außerhalb der EU? +
Wie die DSGVO hat der AI Act extraterritoriale Wirkung: Wer KI-Systeme auf dem EU-Markt anbietet oder in der EU einsetzt, fällt unter die Verordnung – unabhängig vom Unternehmenssitz. US- und andere Nicht-EU-Anbieter sollten EU-Compliance früh mitdenken, ähnlich wie damals bei der DSGVO.
Ist der Digital Omnibus schon in Kraft? +
Der Inhalt steht fest, in Kraft ist die Änderungsverordnung noch nicht. Das Europäische Parlament billigte den Text am 16. Juni 2026, der Rat nahm ihn am 29. Juni 2026 förmlich an. Ausstehend sind Unterzeichnung und Veröffentlichung im EU-Amtsblatt; die Verordnung tritt kurz danach in Kraft. Bis dahin bleibt formal die ursprüngliche Fassung der Verordnung (EU) 2024/1689 mit dem Stichtag 2. August 2026 geltendes Recht. Praktisch planen Unternehmen gegen die neuen Stichtage, dokumentieren aber, dass die Veröffentlichung noch aussteht.
Was gilt trotz Verschiebung schon ab dem 2. August 2026? +
Der Digital Omnibus verschiebt nicht die Verordnung als Ganzes, sondern einzelne Pflichten. Der allgemeine Anwendungsbeginn am 2. August 2026 bleibt bestehen – darunter die Transparenzpflichten nach Art. 50 und die Pflicht der Betreiber, Deepfakes offenzulegen (Art. 50 Abs. 4). Ebenfalls unverändert weiter gelten die verbotenen Praktiken und die KI-Kompetenz-Pflicht (seit Februar 2025) sowie die GPAI-Regeln (seit August 2025). Verschoben sind im Kern die Hochrisiko-Pflichten sowie die technische Kennzeichnungspflicht nach Art. 50 Abs. 2 für Bestandssysteme.
Wie hängen AI Act, NIS-2 und der EU Data Act zusammen? +
Der AI Act ist Teil eines größeren europäischen Regelwerks. NIS-2 verschärft Anforderungen an Cybersicherheit und Resilienz, der EU Data Act regelt Datenzugang und -nutzung. Das Digital-Omnibus-Paket bündelt Vereinfachungen: Der Teil zur KI („Digital Omnibus on AI“) ist beschlossen, der allgemeine Digital Omnibus zu Datenschutz- und Datenrecht wird noch verhandelt. Für KI-Projekte in regulierten Branchen lohnt es sich, diese Regelwerke gemeinsam zu betrachten, statt jedes isoliert.

Konkret werden

Betrifft der AI Act Ihre KI-Systeme?

Im Erstgespräch ordnen wir Ihre Systeme in die Risikoklassen ein und zeigen, was bis wann zu tun ist.