AI Act Fristen 2025–2027: Alle Deadlines auf einen Blick

Das Wichtigste in Kürze: Die europäische KI-Verordnung (AI Act) gilt nicht von heute auf morgen. Stattdessen treten die Pflichten stufenweise zwischen Februar 2025 und August 2027 in Kraft. Verbotene KI-Praktiken und die Pflicht zur KI-Kompetenz gelten bereits seit Februar 2025. GPAI-Pflichten greifen ab August 2025. Der Hauptteil der Verordnung -- insbesondere die Hochrisiko-Regeln für neue Systeme -- wird ab August 2026 anwendbar. Ab August 2027 gelten die Hochrisiko-Pflichten dann auch für bereits bestehende Systeme. Unternehmen müssen jetzt handeln, um alle AI Act Fristen einzuhalten.

Die KI-Verordnung der Europäischen Union -- offiziell Verordnung (EU) 2024/1689, besser bekannt als AI Act -- ist am 1. August 2024 in Kraft getreten. Doch "in Kraft getreten" bedeutet nicht, dass sofort alle Regeln gelten. Der europäische Gesetzgeber hat einen gestaffelten Zeitplan vorgesehen, der Unternehmen, Behörden und Entwicklern Zeit gibt, sich auf die neuen Anforderungen vorzubereiten.

Wer nach den AI Act Fristen sucht, findet häufig widersprüchliche Angaben. In diesem Artikel ordnen wir alle Termine präzise den Artikeln der Verordnung zu -- damit Sie genau wissen, ab wann welche Pflichten gelten und was Sie bis dahin umsetzen müssen.

Warum ein gestuftes Inkrafttreten?

KI-Regulierung ist komplex. Der AI Act unterscheidet zwischen verbotenen Praktiken, Hochrisiko-Systemen, KI-Systemen mit begrenztem Risiko und allgemeinen KI-Modellen (General Purpose AI, GPAI). Jede Kategorie bringt unterschiedliche Anforderungen mit sich. Ein stufenweiser Ansatz stellt sicher, dass:

• Unternehmen ausreichend Zeit haben, interne Prozesse anzupassen
• Behörden die nötige Governance-Infrastruktur aufbauen können
• Standardisierungsgremien harmonisierte Normen fertigstellen können
• Die schwerwiegendsten Risiken (verbotene Praktiken) zürst adressiert werden

Artikel 113 der Verordnung legt diesen Stufenplan verbindlich fest. Schauen wir uns die einzelnen Phasen im Detail an.

Die komplette AI Act Timeline im Überblick

Die folgende Tabelle fasst alle wichtigen Termine der KI-Verordnung zusammen. Sie ist die zentrale Referenz für Ihre Compliance-Planung:

Diese AI Act Timeline zeigt deutlich: Die Uhr tickt bereits. Mehrere Fristen sind schon verstrichen, weitere stehen unmittelbar bevor.

Phase 1: Februar 2025 -- Verbote und KI-Kompetenz

Was seit dem 2. Februar 2025 gilt

Seit Februar 2025 sind zwei zentrale Bereiche der KI-Verordnung anwendbar:

Verbotene KI-Praktiken (Art. 5): Bestimmte Anwendungen künstlicher Intelligenz sind in der EU vollständig untersagt. Dazu gehören:

• Social Scoring durch öffentliche Stellen
• Manipulative Techniken, die das Verhalten von Personen unterschwellig beeinflussen
• Ausnutzung von Schwächen bestimmter Personengruppen (z. B. Alter, Behinderung)
• Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum zu Strafverfolgungszwecken (mit engen Ausnahmen)
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Ungezielte Gesichtsbildsammlung aus dem Internet oder Überwachungskameras
• Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, politische Überzeugung, Religion)

KI-Kompetenz (Art. 4): Alle Anbieter und Betreiber von KI-Systemen müssen sicherstellen, dass ihr Personal über ein ausreichendes Mass an KI-Kompetenz verfügt. Dies umfasst technisches Wissen, Verständnis der Risiken und Kenntnisse des regulatorischen Rahmens.

Was bedeutet das für Ihr Unternehmen?

Wenn Sie KI-Systeme im Einsatz haben, sollten Sie sofort prüfen:

1. Verbots-Check: Fällt eines Ihrer KI-Systeme unter die verbotenen Praktiken nach Art. 5? Falls ja, muss der Einsatz umgehend eingestellt werden. Die Bußgelder für Verstösse gegen die Verbote sind mit bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes die höchsten im gesamten AI Act.

2. Kompetenz-Audit: Verfügen Ihre Mitarbeitenden, die mit KI-Systemen arbeiten, über ausreichende KI-Kompetenz? Dokumentieren Sie vorhandene Schulungen und identifizieren Sie Lücken. Rollen-spezifische Trainings -- vom Entwicklerteam bis zum Management -- sind keine Option, sondern Pflicht.

3. Dokumentation: Halten Sie Ihre Maßnahmen schriftlich fest. Im Zweifelsfall müssen Sie gegenüber Aufsichtsbehörden nachweisen können, dass Sie die Anforderungen erfüllen.

Phase 2: August 2025 -- GPAI und Governance

Was ab dem 2. August 2025 gilt

Die zweite Stufe betrifft vor allem zwei Bereiche:

GPAI-Pflichten (Kapitel V, Art. 51-56): Anbieter von General Purpose AI -- also allgemeinen KI-Modellen wie grossen Sprachmodellen -- müssen ab diesem Datum umfassende Pflichten erfüllen. Dazu gehören:

• Erstellung und Aktualisierung technischer Dokumentation
• Bereitstellung von Informationen für nachgelagerte Anbieter, die das Modell in ihre Produkte integrieren
• Einhaltung des Urheberrechts und Transparenz über Trainingsdaten
• Veröffentlichung einer Zusammenfassung der Trainingsdaten
• Für Modelle mit systemischem Risiko: zusätzliche Bewertungen, Incident-Reporting und Cybersicherheitsmaßnahmen

Governance-Struktur: Die institutionelle Aufsichtsarchitektur muss stehen. Das AI Office der EU-Kommission, nationale Aufsichtsbehörden und beratende Gremien nehmen ihre Arbeit auf.

Was bedeutet das für Ihr Unternehmen?

• GPAI-Anbieter: Wenn Sie ein allgemeines KI-Modell entwickeln oder vertreiben, müssen Sie Ihre technische Dokumentation auf den neuesten Stand bringen und eine Urheberrechts-Policy implementieren. Prüfen Sie, ob Ihr Modell als Modell mit systemischem Risiko eingestuft wird (Schwellenwert: 10^25 FLOPS Rechenleistung im Training).

• GPAI-Nutzer: Wenn Sie ein GPAI-Modell in Ihr Produkt integrieren, erhalten Sie vom Modellanbieter künftig standardisierte Informationen. Nutzen Sie diese, um Ihre eigene Risikobewertung durchzuführen.

• Alle Unternehmen: Beobachten Sie, welche nationale Behörde in Deutschland für die KI-Aufsicht zuständig wird, und stellen Sie sicher, dass Ihre Ansprechpartner benannt sind.

Phase 3: August 2026 -- Der Hauptteil gilt

Was ab dem 2. August 2026 gilt

Dies ist die grösste einzelne Stufe. Ab August 2026 wird der Hauptteil der KI-Verordnung anwendbar. Das betrifft insbesondere:

• Hochrisiko-KI-Systeme: Alle Pflichten für Anbieter und Betreiber von Hochrisiko-KI-Systemen treten in Kraft -- allerdings zunächst nur für neue Systeme, die ab diesem Datum auf den Markt gebracht werden
• Transparenzpflichten für KI-Systeme mit begrenztem Risiko (z. B. Chatbots, Deepfakes)
• Konformitätsbewertungsverfahren müssen durchgeführt werden
• CE-Kennzeichnung für KI-Systeme wird relevant
• Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme

Zu den Hochrisiko-Kategorien gehören unter anderem:

• KI in kritischer Infrastruktur (Energie, Verkehr, Wasser)
• KI in Bildung und Berufsausbildung (z. B. Prüfungsbewertung, Zugangssteürung)
• KI im Beschäftigungsbereich (Bewerberauswahl, Leistungsbewertung)
• KI in wesentlichen Dienstleistungen (Kreditwürdigkeit, Versicherung)
• KI in der Strafverfolgung und Migrationskontrolle
• KI in der Justiz und demokratischen Prozessen

Was bedeutet das für Ihr Unternehmen?

Dies ist die Phase, die die meisten Unternehmen am stärksten betrifft. Sie sollten jetzt mit der Vorbereitung beginnen:

1. KI-Inventar erstellen: Listen Sie alle KI-Systeme auf, die Sie entwickeln, vertreiben oder einsetzen. Klassifizieren Sie jedes System nach der Risikokategorie des AI Acts.

2. Risikomanagement aufbauen: Für Hochrisiko-Systeme benötigen Sie ein dokumentiertes Risikomanagementsystem (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11) und menschliche Aufsicht (Art. 14).

3. Konformitätsbewertung planen: Klären Sie, ob eine Selbstbewertung ausreicht oder eine externe Prüfstelle einbezogen werden muss.

4. Interne Zuständigkeiten klären: Benennen Sie einen KI-Compliance-Verantwortlichen und stellen Sie sicher, dass Ihr Team geschult ist.

5. Transparenz sicherstellen: Wenn Sie KI-Systeme betreiben, die mit Menschen interagieren (z. B. Chatbots), müssen die Nutzer darüber informiert werden, dass sie mit einer KI kommunizieren.

Phase 4: August 2027 -- Volle Geltung

Was ab dem 2. August 2027 gilt

Die letzte Frist des gestuften Inkrafttretens betrifft bestehende Hochrisiko-KI-Systeme. Während ab August 2026 nur neue Systeme die Hochrisiko-Anforderungen erfüllen müssen, gilt ab dem 2. August 2027 die vollständige Verordnung auch für KI-Systeme, die bereits vor diesem Datum auf dem Markt waren.

Konkret bedeutet das: Wenn Sie ein Hochrisiko-KI-System einsetzen, das vor August 2026 entwickelt und in Betrieb genommen wurde, müssen Sie es bis August 2027 an die Anforderungen des AI Acts anpassen -- oder den Einsatz einstellen.

Was bedeutet das für Ihr Unternehmen?

• Legacy-Systeme prüfen: Identifizieren Sie alle bestehenden KI-Systeme, die in Hochrisiko-Kategorien fallen. Erstellen Sie einen Migrationsplan mit klarem Zeitrahmen.

• Budget einplanen: Die Nachrüstung bestehender Systeme kann erhebliche Kosten verursachen -- von der technischen Dokumentation über das Risikomanagementsystem bis hin zur Konformitätsbewertung. Planen Sie die Mittel frühzeitig ein.

• Verträge prüfen: Wenn Sie KI-Systeme von Drittanbietern beziehen, stellen Sie sicher, dass Ihre Verträge die Pflichten des AI Acts abbilden und die Verantwortlichkeiten klar geregelt sind.

Ihr 5-Schritte-Aktionsplan

Unabhängig davon, in welcher Phase Sie sich befinden -- die folgenden fünf Schritte helfen Ihnen, die AI Act Fristen systematisch einzuhalten:

1. Bestandsaufnahme -- Welche KI-Systeme setzen Sie ein? Welche entwickeln Sie? Erstellen Sie ein vollständiges KI-Register.

2. Klassifizierung -- Ordnen Sie jedes System einer Risikokategorie zu: verboten, Hochrisiko, begrenztes Risiko oder minimales Risiko.

3. Gap-Analyse -- Vergleichen Sie den Ist-Zustand mit den Anforderungen der jeweiligen Risikokategorie. Wo bestehen Lücken?

4. Maßnahmenplan -- Definieren Sie konkrete Maßnahmen mit Verantwortlichkeiten und Deadlines, die sich an den AI Act Fristen orientieren.

5. Schulung -- Stellen Sie sicher, dass alle relevanten Mitarbeitenden die erforderliche KI-Kompetenz besitzen. Investieren Sie in fortlaufende Weiterbildung.

Häufig gestellte Fragen (FAQ)

Ab wann gilt der AI Act?

Der AI Act ist am 1. August 2024 in Kraft getreten. Die einzelnen Pflichten werden jedoch stufenweise anwendbar -- von Februar 2025 (Verbote und KI-Kompetenz) bis August 2027 (vollständige Geltung für alle bestehenden Hochrisiko-Systeme). Es gibt also nicht den einen Stichtag, sondern eine AI Act Timeline mit mehreren Terminen.

Welche AI Act Fristen sind bereits verstrichen?

Stand März 2026 sind die Fristen für verbotene KI-Praktiken (Art. 5) und KI-Kompetenz (Art. 4) seit dem 2. Februar 2025 abgelaufen. Ebenso gelten seit dem 2. August 2025 die GPAI-Pflichten und die Governance-Strukturen müssen stehen. Diese Anforderungen sind also jetzt schon verbindlich.

Was passiert, wenn mein Unternehmen die Fristen nicht einhält?

Die Sanktionen sind erheblich. Für Verstösse gegen verbotene KI-Praktiken drohen Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Für Verstösse gegen Hochrisiko-Pflichten sind es bis zu 15 Millionen Euro oder 3 % des Umsatzes. Selbst für falsche Angaben gegenüber Behörden können bis zu 7,5 Millionen Euro oder 1 % des Umsatzes fällig werden.

Betrifft der AI Act auch kleine und mittlere Unternehmen (KMU)?

Ja. Der AI Act gilt grundsätzlich für alle Unternehmen, die KI-Systeme in der EU anbieten oder einsetzen -- unabhängig von der Grösse. Allerdings sieht die Verordnung für KMU und Start-ups gewisse Erleichterungen vor, etwa vereinfachte Dokumentationspflichten und regulatorische Sandboxes zum Testen neuer Anwendungen.

Gilt der AI Act auch für Unternehmen ausserhalb der EU?

Ja. Ähnlich wie die DSGVO hat der AI Act eine extraterritoriale Wirkung. Er gilt für alle Anbieter, die KI-Systeme auf dem EU-Markt bereitstellen, und für Betreiber, deren KI-Output in der EU genutzt wird -- unabhängig davon, wo das Unternehmen seinen Sitz hat.

Fazit: Jetzt handeln statt abwarten

Die AI Act Fristen sind kein fernes Zukunftsszenario -- sie sind Realität. Mehrere Deadlines sind bereits verstrichen, und die nächste grosse Stufe im August 2026 steht unmittelbar bevor. Unternehmen, die jetzt noch keine Maßnahmen ergriffen haben, geraten zunehmend in Zeitdruck.

Der Schlüssel liegt in einem strukturierten Vorgehen: KI-Systeme inventarisieren, klassifizieren, Lücken analysieren und gezielt schliessen. Und vor allem: Ihre Mitarbeitenden befähigen. Denn KI-Kompetenz ist nicht nur eine gesetzliche Pflicht -- sie ist die Grundlage für verantwortungsvollen KI-Einsatz.

---

Sie möchten Ihr Team auf die Anforderungen des AI Acts vorbereiten? KI Comply bietet praxisnahe Online-Schulungen zur KI-Kompetenz nach Art. 4 AI Act -- massgeschneidert für verschiedene Rollen in Ihrem Unternehmen. Jetzt kostenlos testen und AI Act Fristen sicher einhalten.