Der EU AI Act ist die erste umfassende Regulierung für Künstliche Intelligenz weltweit (Verordnung (EU) 2024/1689). Er ist am 1. August 2024 in Kraft getreten und gilt seither gestaffelt: Verbote seit Februar 2025, Pflichten für KI-Basismodelle seit August 2025, Transparenzpflichten ab August 2026. Er richtet sich nicht nur an KI-Hersteller, sondern an jedes Unternehmen, das KI einsetzt – vom Chatbot bis zum Bewerber-Screening. Dieser Beitrag ordnet die belegbaren Fristen, Risikoklassen und Bußgelder ein und zeigt, was ein KMU jetzt konkret tun sollte. Wie sich KI insgesamt auf Software-Projekte auswirkt, lesen Sie im Überblick KI in der Softwareentwicklung 2026.
Ab wann gilt was? Die Fristen im Überblick
Der EU AI Act tritt nicht auf einen Schlag in Kraft, sondern in mehreren Stufen. Diese vier Termine sind für Unternehmen belegbar und relevant:
| Datum | Was gilt | Status |
|---|---|---|
| 2. Feb 2025 | Verbotene KI-Praktiken (Art. 5) und Pflicht zur KI-Kompetenz der Mitarbeitenden (Art. 4) | In Kraft |
| 2. Aug 2025 | Pflichten für KI-Basismodelle (GPAI, General-Purpose AI) und Governance-Regeln | In Kraft |
| 2. Aug 2026 | Transparenzpflichten (Art. 50) und Durchsetzbarkeit der meisten Bußgelder | Geplant |
| ab Dez 2027 | Pflichten für Hochrisiko-Systeme nach Anhang III (Personal, Kredit, Biometrie u. a.) | Geplant* |
*Ursprünglich war der 2. August 2026 auch für Hochrisiko-Systeme vorgesehen. Nach der geplanten Digital-Omnibus-Reform (politische Einigung im Mai 2026) sollen diese Fristen verschoben werden: Anhang-III-Systeme auf Dezember 2027, in Produkte eingebettete Systeme nach Anhang I auf August 2028. Die formale Verabschiedung stand Mitte 2026 noch aus – planen Sie hier also mit Puffer.
Welche Risikoklassen unterscheidet der EU AI Act?
Kern der Verordnung ist ein risikobasierter Ansatz. Je höher das Risiko für Grundrechte und Sicherheit, desto strenger die Pflichten. Es gibt vier Stufen:
- Unannehmbares Risiko (verboten): Social Scoring, manipulative Systeme, ungezieltes Auslesen von Gesichtsbildern aus dem Internet, Emotionserkennung am Arbeitsplatz und in Schulen. Seit 2. Februar 2025 untersagt.
- Hohes Risiko: KI in Personalauswahl, Kreditvergabe, Biometrie, kritischer Infrastruktur, Bildung oder Migration (Anhang III) sowie sicherheitsrelevante, in Produkte eingebettete Systeme (Anhang I). Strengste Pflichten: Risikomanagement, Datenqualität, Dokumentation, menschliche Aufsicht.
- Begrenztes Risiko: Chatbots und generative KI. Es gelten Transparenzpflichten – Nutzer müssen wissen, dass sie mit KI sprechen; KI-Inhalte und Deepfakes sind zu kennzeichnen.
- Minimales Risiko: Spamfilter, KI in Videospielen. Keine besonderen Pflichten – der Großteil heutiger Anwendungen fällt hierunter.
Der erste Schritt ist deshalb immer eine ehrliche Einordnung: In welche Klasse fällt jedes Ihrer KI-Systeme? Bei der technischen Bewertung und Absicherung unterstützt unsere IT-Beratung gemeinsam mit dem Team für KI-Entwicklung.
Wie hoch sind die Bußgelder bei Verstößen?
Der EU AI Act arbeitet mit einem gestaffelten Sanktionsrahmen (Art. 99). Es gilt jeweils der höhere der beiden Werte – für KMU und Start-ups jedoch der niedrigere:
| Verstoß | Maximales Bußgeld |
|---|---|
| Verbotene Praktiken (Art. 5) | bis 35 Mio. € oder 7 % des weltweiten Jahresumsatzes |
| Sonstige Pflichten (z. B. Transparenz nach Art. 50, Hochrisiko-Auflagen) | bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | bis 7,5 Mio. € oder 1 % des weltweiten Jahresumsatzes |
Was muss ein KMU jetzt konkret umsetzen?
Regulatorik wirkt schnell überwältigend. Für die meisten mittelständischen Unternehmen lässt sich der Aufwand aber auf eine überschaubare Checkliste eindampfen:
- KI-Inventar erstellen: Listen Sie auf, welche KI-Systeme Sie einsetzen – auch versteckte, etwa in SaaS-Tools, CRM oder Marketing-Software.
- Risikoklasse bestimmen: Ordnen Sie jedes System einer der vier Stufen zu. Nur Hochrisiko- und verbotene Anwendungen lösen echten Handlungsdruck aus.
- KI-Kompetenz sicherstellen: Seit Februar 2025 verpflichtend (Art. 4) – Mitarbeitende, die KI nutzen, brauchen ausreichendes Grundwissen. Eine kurze Schulung genügt oft.
- Transparenz herstellen: Kennzeichnen Sie Chatbots als KI und markieren Sie KI-generierte Inhalte. Das ist bis August 2026 umzusetzen.
- Dokumentation aufbauen: Halten Sie fest, welche KI Sie wofür einsetzen, mit welchen Daten und welcher menschlichen Kontrolle.
- Datenschutz mitdenken: DSGVO und AI Act greifen ineinander. Wo möglich, hilft der Betrieb kleiner Modelle in der EU – auch aus Gründen der IT-Sicherheit.
Wer KI-Systeme selbst entwickelt oder betreiben lässt, sollte Compliance von Anfang an mitdenken – nicht nachrüsten. Das gilt besonders für KI-Agenten, die eigenständig handeln, und für Anwendungen mit angebundenen Sprachmodellen. Wie sich das technisch sauber lösen lässt, zeigt unser Beitrag LLM in die App integrieren. Für den laufenden Betrieb sorgt eine kontinuierliche Software-Wartung dafür, dass Dokumentation und Kennzeichnung aktuell bleiben.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Er gilt unabhängig von der Größe für alle, die KI in der EU anbieten oder einsetzen – auch für KMU und Start-ups. Bei Bußgeldern greift für sie jeweils der niedrigere Wert. Ausgenommen ist nur rein private Nutzung.
Ab wann drohen Bußgelder nach dem EU AI Act?
Die Verbote gelten seit dem 2. Februar 2025; der Sanktionsrahmen (Art. 99) ist seit dem 2. August 2025 anwendbar. Der Großteil der Bußgeldvorschriften – etwa für die Transparenzpflichten aus Art. 50 – wird ab dem 2. August 2026 durchsetzbar.
Muss ich meinen KI-Chatbot als KI kennzeichnen?
Ja. Artikel 50 verpflichtet dazu, Nutzer klar zu informieren, dass sie mit einem KI-System interagieren. Auch Deepfakes und KI-generierte Inhalte sind zu kennzeichnen. Durchsetzbar ab dem 2. August 2026.
Was ist ein Hochrisiko-KI-System?
KI in sensiblen Bereichen wie Personalauswahl, Kreditvergabe, Biometrie, Bildung oder Migration (Anhang III) sowie sicherheitsrelevante, in Produkte eingebettete Systeme (Anhang I). Für sie sollen die strengsten Pflichten laut Digital-Omnibus ab Dezember 2027 gelten.
Passende Themen
EU AI Act rechtssicher umsetzen?
Wir inventarisieren Ihre KI-Systeme, klären die Risikoklassen und setzen Kennzeichnung, Dokumentation und Technik sauber um – pragmatisch und ohne Panik-Beratung.
Jetzt Kontakt aufnehmen →