← Zurück zum Blog

Der EU AI Act ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit (Verordnung (EU) 2024/1689). Er ist am 1. August 2024 in Kraft getreten und gilt seither gestaffelt: Verbote seit Februar 2025, Pflichten für KI-Basismodelle seit August 2025, Transparenzpflichten ab August 2026. Er richtet sich nicht nur an KI-Hersteller, sondern an jedes Unternehmen, das KI einsetzt – vom Chatbot bis zum Bewerber-Screening. Dieser Beitrag ordnet die belegbaren Fristen, Risikoklassen und Bußgelder ein und zeigt, was ein KMU jetzt konkret tun sollte. Wie sich KI insgesamt auf Software-Projekte auswirkt, lesen Sie im Überblick KI in der Softwareentwicklung 2026.

Ab wann gilt was? Die Fristen im Überblick

Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern in mehreren Stufen. Diese vier Termine sind für Unternehmen belegbar und relevant:

DatumWas giltStatus
2. Feb 2025Verbotene KI-Praktiken (Art. 5) und Pflicht zur KI-Kompetenz der Mitarbeitenden (Art. 4)In Kraft
2. Aug 2025Pflichten für KI-Basismodelle (GPAI, General-Purpose AI) und Governance-RegelnIn Kraft
2. Aug 2026Transparenzpflichten (Art. 50) und Durchsetzbarkeit der meisten BußgelderGeplant
ab Dez 2027Pflichten für Hochrisiko-Systeme nach Anhang III (Personal, Kredit, Biometrie u. a.)Geplant*

*Ursprünglich war der 2. August 2026 auch für Hochrisiko-Systeme vorgesehen. Nach der geplanten Digital-Omnibus-Reform (politische Einigung im Mai 2026) sollen diese Fristen verschoben werden: Anhang-III-Systeme auf Dezember 2027, in Produkte eingebettete Systeme nach Anhang I auf August 2028. Die formale Verabschiedung stand Mitte 2026 noch aus – planen Sie hier also mit Puffer.

Welche Risikoklassen unterscheidet der EU AI Act?

Kern der Verordnung ist ein risikobasierter Ansatz. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten. Es gibt vier Stufen:

Der erste Schritt ist deshalb immer eine ehrliche Einordnung: In welche Klasse fällt jedes Ihrer KI-Systeme? Bei der technischen Bewertung und Absicherung unterstützt unsere IT-Beratung gemeinsam mit dem Team für KI-Entwicklung.

Wie hoch sind die Bußgelder bei Verstößen?

Der EU AI Act arbeitet mit einem gestaffelten Sanktionsrahmen (Art. 99). Es gilt jeweils der höhere der beiden Werte – für KMU und Start-ups jedoch der niedrigere:

VerstoßMaximales Bußgeld
Verbotene Praktiken (Art. 5)bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes
Sonstige Pflichten (z. B. Transparenz nach Art. 50, Hochrisiko-Auflagen)bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes
Falsche Angaben gegenüber Behördenbis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes
Wichtig für KMU: Die Prozentsätze wirken abschreckend, treffen aber vor allem grobe Verstöße. Wer seine KI sauber dokumentiert, Chatbots kennzeichnet und keine verbotenen Praktiken nutzt, hat wenig zu befürchten. Compliance ist hier eher eine Frage der Organisation als der Technik.

Was muss ein KMU jetzt konkret umsetzen?

Regulatorik wirkt schnell überwältigend. Für die meisten mittelständischen Unternehmen lässt sich der Aufwand aber auf eine überschaubare Checkliste eindampfen:

  1. KI-Inventar erstellen: Listen Sie auf, welche KI-Systeme Sie einsetzen – auch versteckte, etwa in SaaS-Tools, CRM oder Marketing-Software.
  2. Risikoklasse bestimmen: Ordnen Sie jedes System einer der vier Stufen zu. Nur Hochrisiko- und verbotene Anwendungen lösen echten Handlungsdruck aus.
  3. KI-Kompetenz sicherstellen: Seit Februar 2025 verpflichtend (Art. 4) – Mitarbeitende, die KI nutzen, brauchen ausreichendes Grundwissen. Eine kurze Schulung genügt oft.
  4. Transparenz herstellen: Kennzeichnen Sie Chatbots als KI und markieren Sie KI-generierte Inhalte. Das ist bis August 2026 umzusetzen.
  5. Dokumentation aufbauen: Halten Sie fest, welche KI Sie wofür einsetzen, mit welchen Daten und welcher menschlichen Kontrolle.
  6. Datenschutz mitdenken: DSGVO und AI Act greifen ineinander. Wo möglich, hilft der Betrieb kleiner Modelle in der EU – auch aus Gründen der IT-Sicherheit.

Wer KI-Systeme selbst entwickelt oder betreiben lässt, sollte Compliance von Anfang an mitdenken – nicht nachrüsten. Das gilt besonders für KI-Agenten, die eigenständig handeln, und für Anwendungen mit angebundenen Sprachmodellen. Wie sich das technisch sauber lösen lässt, zeigt unser Beitrag LLM in die App integrieren. Für den laufenden Betrieb sorgt eine kontinuierliche Software-Wartung dafür, dass Dokumentation und Kennzeichnung aktuell bleiben.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?

Ja. Er gilt unabhängig von der Größe für alle, die KI in der EU anbieten oder einsetzen – auch für KMU und Start-ups. Bei Bußgeldern greift für sie jeweils der niedrigere Wert. Ausgenommen ist nur rein private Nutzung.

Ab wann drohen Bußgelder nach dem EU AI Act?

Die Verbote gelten seit dem 2. Februar 2025; der Sanktionsrahmen (Art. 99) ist seit dem 2. August 2025 anwendbar. Der Großteil der Bußgeldvorschriften – etwa für die Transparenzpflichten aus Art. 50 – wird ab dem 2. August 2026 durchsetzbar.

Muss ich meinen KI-Chatbot als KI kennzeichnen?

Ja. Artikel 50 verpflichtet dazu, Nutzer klar zu informieren, dass sie mit einem KI-System interagieren. Auch Deepfakes und KI-generierte Inhalte sind zu kennzeichnen. Durchsetzbar ab dem 2. August 2026.

Was ist ein Hochrisiko-KI-System?

KI in sensiblen Bereichen wie Personalauswahl, Kreditvergabe, Biometrie, Bildung oder Migration (Anhang III) sowie sicherheitsrelevante, in Produkte eingebettete Systeme (Anhang I). Für sie sollen die strengsten Pflichten laut Digital-Omnibus ab Dezember 2027 gelten.

Passende Themen

EU AI Act rechtssicher umsetzen?

Wir inventarisieren Ihre KI-Systeme, klären die Risikoklassen und setzen Kennzeichnung, Dokumentation und Technik sauber um – pragmatisch und ohne Panik-Beratung.

Jetzt Kontakt aufnehmen →