Alle wichtigen Fristen, Pflichten und Bußgelder der EU-KI-Verordnung (Verordnung (EU) 2024/1689) — kompakt, mit Quellen, aktualisiert für Mai 2026 inkl. Digital Omnibus on AI.
Die Verordnung (EU) 2024/1689 (AI Act) ist am 1. August 2024 in Kraft getreten.
Die KI-Kompetenzpflicht nach Art. 4 KI-VO gilt seit dem 2. Februar 2025 für alle Anbieter und Betreiber von KI-Systemen.
Die in Art. 5 KI-VO aufgelisteten verbotenen KI-Praktiken gelten seit dem 2. Februar 2025 EU-weit und unmittelbar.
Die Sanktionen nach Art. 99 KI-VO sind seit dem 2. August 2025 anwendbar.
| Pflicht | Original (VO 2024/1689) | Nach Digital Omnibus |
|---|---|---|
| Art. 4 KI-Kompetenz | 02.02.2025 | unverändert |
| Art. 5 Verbote | 02.02.2025 | + Nudifier neu |
| Art. 99 Bußgelder | 02.08.2025 | unverändert |
| Kap. V GPAI | 02.08.2025 | unverändert |
| Art. 50 Transparenz (Anwendung) | 02.08.2026 | unverändert |
| Art. 50 Watermarking (Anbieter) | 02.08.2026 | 02.12.2026 |
| AI Regulatory Sandboxes (Art. 57) | 02.08.2026 | 02.08.2027 |
| Hochrisiko Anhang III (Art. 6 Abs. 2) | 02.08.2026 | 02.12.2027 |
| Hochrisiko Anhang I (Art. 6 Abs. 1) | 02.08.2027 | 02.08.2028 |
Bei Verstoß gegen die in Art. 5 KI-VO genannten verbotenen KI-Praktiken drohen Bußgelder bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes – der jeweils höhere Betrag.
Bei Verstoß gegen Pflichten nach Art. 16, 22, 23, 24, 26 oder 50 KI-VO drohen Bußgelder bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes – der jeweils höhere Betrag.
Wer Behörden oder benannten Stellen falsche, unvollständige oder irreführende Informationen liefert, riskiert Bußgelder bis zu 7,5 Millionen Euro oder 1 Prozent des Jahresumsatzes – der jeweils höhere Betrag.
Für kleine und mittlere Unternehmen sowie Start-ups gilt nach Art. 99 Abs. 6 KI-VO der jeweils niedrigere der beiden Beträge – also entweder Festbetrag oder Prozentsatz, je nachdem welcher Wert kleiner ist. Dies unterscheidet die KI-VO von der DSGVO.
Anbieter nach Art. 3 Nr. 3 KI-VO ist, wer ein KI-System oder GPAI-Modell entwickelt oder entwickeln lässt und unter eigenem Namen oder Marke in Verkehr bringt – unabhängig davon, ob entgeltlich oder unentgeltlich.
Betreiber nach Art. 3 Nr. 4 KI-VO ist, wer ein KI-System unter eigener Autorität einsetzt – ausgenommen die rein persönliche, nicht-professionelle Nutzung. Die meisten KMU sind Betreiber.
Nach Art. 25 KI-VO wird ein Betreiber zum Anbieter, wenn er ein KI-System unter eigener Marke vertreibt, wesentliche Änderungen an einem Hochrisiko-System vornimmt oder die Zweckbestimmung eines KI-Systems so verändert, dass es zum Hochrisiko-System wird.
| Klasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Social Scoring, Emotionserkennung am Arbeitsplatz, Echtzeit-Biometrie (Strafverfolgung) | Komplettverbot (Art. 5) |
| Hochrisiko | Annex III: Biometrie, Kreditscoring, Personalauswahl, kritische Infrastruktur, Bildung, Strafverfolgung, Migration, Justiz | Risikomanagement, Doku, Logging, Aufsicht, FRIA (Art. 9-15, 26, 27) |
| Begrenzt | Chatbots, Deepfakes, emotionserkennende oder biometrisch kategorisierende Systeme | Transparenzpflichten (Art. 50) |
| Minimal | Spamfilter, KI in Videospielen, Empfehlungssysteme ohne Diskriminierungsrisiko | Freiwillige Codes of Conduct |
Betreiber müssen technische und organisatorische Maßnahmen ergreifen, damit Hochrisiko-KI-Systeme gemäß den beiliegenden Anweisungen verwendet werden.
Betreiber müssen die menschliche Aufsicht natürlichen Personen mit notwendiger Kompetenz, Schulung und Autorität übertragen. Die häufige Verwechslung mit Abs. 1 ist ein verbreiteter Fehler in Compliance-Vorlagen.
Betreiber müssen den Betrieb des Hochrisiko-Systems überwachen und schwere Vorfälle unverzüglich an Anbieter und Marktüberwachungsbehörde melden.
Betreiber müssen automatisch generierte Logs des Hochrisiko-KI-Systems mindestens sechs Monate aufbewahren, soweit diese Logs unter ihrer Kontrolle stehen.
Vor Inbetriebnahme eines Hochrisiko-Systems am Arbeitsplatz müssen Betreiber Beschäftigtenvertretungen und betroffene Beschäftigte informieren.
FRIA-Pflicht trifft nur öffentliche Stellen und private Anbieter öffentlicher Dienste sowie alle Betreiber von Hochrisiko-Systemen nach Annex III Nr. 5(b) und (c) — also Kreditwürdigkeitsprüfung und Risikobewertung in Lebens-/Krankenversicherung.
| Phase | Datum | Status |
|---|---|---|
| Kommissionsvorschlag COM(2025)837 | 19.11.2025 | ✓ abgeschlossen |
| Rat: General Approach | 13.03.2026 | ✓ abgeschlossen |
| EP-Bericht A10-0073/2026 | 18.03.2026 | ✓ abgeschlossen |
| Trilog — politische Einigung | 07.05.2026 | ✓ abgeschlossen |
| Formelle Annahme + Veröffentlichung im Amtsblatt | Ziel: vor 02.08.2026 | ⏳ ausstehend |
Ausführlicher Status-Artikel: Digital Omnibus on AI — Status, Fristen & Handlungsempfehlung
Alle hier genannten Pflichten sind im Kit als sofort einsetzbare Word-, Excel- und PowerPoint-Vorlagen umgesetzt. Beide Frist-Lesarten (Original + Omnibus) klar gekennzeichnet.
Zum Starter Kit →Wichtig: Authentisch sind nur im Amtsblatt der EU veröffentlichte Texte (Art. 297 AEUV). Dieses Faktenblatt ist Recherche, keine Rechtsberatung. Bitte prüfen Sie den aktuellen Stand des Verfahrens vor Compliance-Entscheidungen.