AI Act Fristen 2025, 2026, 2027 – Alle Deadlines der EU KI-Verordnung

Von Timo Korte Stand: April 2026 Lesezeit: 8 Minuten

Die EU KI-Verordnung (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten – aber die Pflichten gelten nicht sofort. Der Gesetzgeber hat einen Stufenplan vorgesehen, der Unternehmen Zeit gibt, sich vorzubereiten. Das Problem: Einige Fristen sind bereits abgelaufen, andere stehen unmittelbar bevor.

Dieser Artikel listet alle Fristen chronologisch auf, erklärt was ab wann gilt und zeigt konkret, was Sie als KMU in jeder Phase tun müssen. Alle Angaben mit Artikelreferenzen zur Verordnung.

Wichtig: Zwei Fristen sind bereits verstrichen. Die Verbote nach Art. 5 gelten seit dem 2. Februar 2025, die KI-Kompetenzpflicht nach Art. 4 ebenfalls. Wenn Sie hier noch nicht aktiv geworden sind, besteht sofortiger Handlungsbedarf.

Alle Fristen auf einen Blick

Frist	Was gilt ab dann?	Betrifft	Referenz
2. Feb. 2025	Verbotene KI-Praktiken	Alle	Art. 5 KI-VO
2. Feb. 2025	KI-Kompetenz-Pflicht	Alle	Art. 4 KI-VO
2. Aug. 2025	Pflichten für GPAI-Modelle	Anbieter	Art. 51–60 KI-VO
2. Aug. 2025	Governance-Strukturen der Mitgliedstaaten	Behörden	Art. 64–70 KI-VO
2. Aug. 2026	Vollständige Anwendung der KI-VO	Alle	Art. 6–52 KI-VO
2. Aug. 2027	Hochrisiko-Pflichten für Produkte nach Anhang I	Anbieter	Art. 6 Abs. 1 KI-VO

[Art. 113 KI-VO – Übergangsbestimmungen; ErwGr 178–180]

Stufe 1: 2. Februar 2025 – Verbote und KI-Kompetenz

Sechs Monate nach Inkrafttreten greifen die ersten beiden Pflichten. Beide gelten bereits – unabhängig davon, ob Ihr Unternehmen KI anbietet oder nur nutzt.

Verbotene KI-Praktiken (Art. 5)

Folgende KI-Anwendungen sind seit dem 2. Februar 2025 vollständig verboten:

Unterschwellige Manipulation – KI, die unbewusste psychologische Trigger einsetzt, um Verhalten zu beeinflussen [Art. 5 Abs. 1 lit. a]
Ausnutzung von Schutzbedürftigkeit – KI, die Alter, Behinderung oder soziale Lage ausnutzt [Art. 5 Abs. 1 lit. b]
Social Scoring – Bewertungssysteme für Sozialverhalten mit Konsequenzen. Gilt für alle Akteure, nicht nur Behörden [Art. 5 Abs. 1 lit. c]
Prädiktive Polizeiarbeit – KI-gestützte Vorhersage von Straftaten auf Basis von Persönlichkeitsmerkmalen [Art. 5 Abs. 1 lit. d]
Ungezieltes Scraping von Gesichtsbildern – Massenhafte Sammlung aus dem Internet oder CCTV [Art. 5 Abs. 1 lit. e]
Biometrische Kategorisierung – Ableitung von Rasse, Religion, politischer Gesinnung aus biometrischen Daten [Art. 5 Abs. 1 lit. f]
Emotionserkennung am Arbeitsplatz – KI zur Emotions-Messung in Arbeit und Bildung (außer medizinische Zwecke) [Art. 5 Abs. 1 lit. g]
Echtzeit-Biometrie in öffentlichen Räumen – Live-Gesichtserkennung durch Strafverfolgung (mit eng begrenzten Ausnahmen) [Art. 5 Abs. 1 lit. h]

KMU-Relevanz: Die meisten dieser Verbote betreffen Ihr Unternehmen nicht direkt. Aber: Wenn Sie KI-Tools von Drittanbietern einsetzen, müssen Sie sicherstellen, dass der Anbieter keine verbotenen Praktiken implementiert hat. Prüfen Sie Ihre Vendor-Verträge.

KI-Kompetenz-Pflicht (Art. 4)

Alle Personen, die KI-Systeme einsetzen oder deren Einsatz verantworten, müssen ein angemessenes Niveau an KI-Kompetenz besitzen. Das bedeutet konkret:

Geschäftsführung muss KI-Grundlagen und Risiken verstehen
Mitarbeiter, die KI bedienen, müssen nachweislich geschult sein
Schulungen müssen dokumentiert werden (Datum, Teilnehmer, Inhalte)
Regelmäßige Auffrischung ist erforderlich

Achtung: Art. 4 gilt seit dem 2. Februar 2025 – nicht erst seit August 2025 oder 2026, wie oft fälschlich berichtet wird. Wenn Sie noch keine Schulungsnachweise haben, verstoßen Sie bereits gegen die Verordnung.

[Art. 4, Art. 113 Abs. 1 KI-VO; ErwGr 20–21]

Stufe 2: 2. August 2025 – GPAI-Modelle und Governance

Ein Jahr nach Inkrafttreten gelten die Pflichten für Anbieter von General Purpose AI (GPAI) Modellen wie ChatGPT, Claude, Gemini oder Mistral.

Pflichten für GPAI-Anbieter (Art. 51–60)

Technische Dokumentation – Anbieter müssen umfassende Dokumentation über Training, Daten und Leistung bereitstellen [Art. 53]
Transparenz – Offenlegung gegenüber nachgelagerten Anbietern, die auf dem Modell aufbauen [Art. 53 Abs. 1 lit. b]
Urheberrecht – Einhaltung der Urheberrechtsrichtlinie, insbesondere bei Trainingsdaten [Art. 53 Abs. 1 lit. c]
Systemische Risiken – GPAI mit systemischem Risiko (>10^25 FLOPS) haben zusätzliche Pflichten: Red-Teaming, Cybersecurity, Incident Reporting [Art. 55]

KMU-Relevanz: Als Betreiber (Nutzer) von GPAI-Modellen sind Sie von diesen Pflichten nicht direkt betroffen. Diese gelten für OpenAI, Google, Anthropic und andere Anbieter. Indirekt profitieren Sie: Die Anbieter müssen Ihnen bessere Dokumentation und Transparenz liefern.

Governance-Strukturen (Art. 64–70)

Die Mitgliedstaaten müssen nationale Aufsichtsbehörden benennen und das AI Office der EU nimmt seine Arbeit auf. In Deutschland ist die Bundesnetzagentur als Marktaufsichtsbehörde vorgesehen.

[Art. 64–70, Art. 113 Abs. 2 KI-VO]

Stufe 3: 2. August 2026 – Die große Deadline

Zwei Jahre nach Inkrafttreten wird die KI-Verordnung vollständig anwendbar. Das ist die Deadline, auf die sich alle vorbereiten müssen. Ab diesem Datum gelten:

Betreiberpflichten (Art. 26)

Governance – Benannte KI-Verantwortliche, dokumentierte Prozesse [Art. 26 Abs. 1]
Bestimmungsgemäßer Gebrauch – KI-Systeme nur gemäß Herstelleranweisungen einsetzen [Art. 26 Abs. 1]
Menschliche Aufsicht – Befähigte Personen zur Überwachung und Intervention [Art. 26 Abs. 2]
Logging und Monitoring – Protokollierung aller KI-Entscheidungen, mindestens 6 Monate Aufbewahrung [Art. 26 Abs. 5]
Vorfallmeldung – Schwerwiegende Vorfälle unverzüglich nach Kenntnisnahme melden [Art. 26(5) KI-VO]. Hinweis: Die 15-Tage-Frist nach Art. 73 gilt für Anbieter, nicht für Betreiber.

Transparenzpflichten (Art. 50)

Chatbot-Offenlegung – Nutzer müssen wissen, dass sie mit KI interagieren [Art. 50 Abs. 1]
KI-generierte Inhalte kennzeichnen – Text, Bild, Audio, Video [Art. 50 Abs. 2]
Deepfake-Warnung – Synthetische Medien müssen gekennzeichnet werden [Art. 50 Abs. 4]
Emotionserkennung offenlegen – Wenn KI Emotionen erkennt, muss das mitgeteilt werden [Art. 50 Abs. 3]

Hochrisiko-KI nach Anhang III (Art. 6 Abs. 2)

KI-Systeme in sensiblen Bereichen wie Personalwesen, Kreditvergabe, Bildung, Strafverfolgung oder kritische Infrastruktur unterliegen umfangreichen Pflichten:

Risikomanagementsystem einrichten [Art. 9]
Datenqualität sicherstellen [Art. 10]
Technische Dokumentation [Art. 11]
Logging implementieren [Art. 12]
Transparenz und Informationspflichten [Art. 13]
Menschliche Aufsicht gewährleisten [Art. 14]
Genauigkeit, Robustheit, Cybersicherheit [Art. 15]
FRIA (Grundrechte-Folgenabschätzung) durchführen [Art. 27]

KMU-Erleichterungen: Art. 62 KI-VO sieht vereinfachte Dokumentationsformen für KMU vor. Art. 99 Abs. 6 deckelt Bußgelder für KMU: Es gilt immer der niedrigere Betrag von festem Höchstbetrag oder Umsatzanteil.

Sanktionen (Art. 99)

Verstoß	Höchstbetrag	Oder % des Umsatzes
Verbotene Praktiken (Art. 5)	35 Mio. EUR	7%
Betreiberpflichten (Art. 26)	15 Mio. EUR	3%
Falsche Angaben an Behörden	7,5 Mio. EUR	1%

[Art. 99 KI-VO; ErwGr 162–164]

Stufe 4: 2. August 2027 – Harmonisierte Produkte

Drei Jahre nach Inkrafttreten gelten die Hochrisiko-Pflichten auch für KI-Systeme, die als Sicherheitskomponenten in harmonisierten Produkten eingesetzt werden (Anhang I). Das betrifft unter anderem:

Maschinen und Anlagen
Medizinprodukte
Spielzeug
Aufzüge
Funkanlagen
Fahrzeuge

Für die meisten KMU, die KI als Betreiber nutzen, ist diese Frist weniger relevant – sie betrifft primär Hersteller und Importeure von Produkten mit eingebauter KI.

Digital Omnibus – Update April 2026: Die geplante EU Digital Omnibus Richtlinie, die Hochrisiko-Fristen auf Dezember 2027 verschieben sollte, ist im EU-Gesetzgebungsverfahren vorerst gescheitert. Letzte Abstimmung: 13. Mai 2026. Ohne den Omnibus gelten die ursprünglichen Fristen der KI-VO. Die hier genannte Frist August 2027 für Anhang-I-Produkte (Art. 6 Abs. 1) stammt aus der KI-VO selbst und ist davon unberührt.

[Art. 6 Abs. 1, Anhang I, Art. 113 Abs. 3 KI-VO]

Was Sie als KMU jetzt tun müssen

Basierend auf den Fristen ergibt sich folgender Handlungsplan:

Sofort (bereits überfällig)

Art. 4 Schulung durchführen und dokumentieren – die Pflicht gilt seit Februar 2025
Prüfen, ob verbotene KI-Praktiken im Einsatz sind (Art. 5)

Jetzt bis August 2026 (98 Tage)

Alle KI-Systeme inventarisieren
Risikoklassifizierung durchführen
Interne KI-Richtlinie verabschieden
Transparenzpflichten umsetzen (Art. 50)
Bei Hochrisiko-KI: FRIA, Logging, Human Oversight einrichten
Vendor Due Diligence für KI-Anbieter

Strukturiert zur Compliance

Das AI Act Starter Kit enthält alle Vorlagen, Checklisten und Tools für Ihre KI-Compliance – vom KI-Inventar über die Schulungspräsentation bis zum Umsetzungsplan mit Meilensteinen. Einmalkauf, kein Abo.

Zum Compliance Kit (ab 149 EUR)

Fazit: Der Zeitdruck ist real

Die KI-Verordnung ist kein Zukunftsthema mehr. Zwei der sechs Fristen sind bereits verstrichen. Die zentrale Deadline am 2. August 2026 liegt weniger als 100 Tage entfernt. Für KMU bedeutet das: Nicht mehr planen, sondern umsetzen.

Die gute Nachricht: Mit den richtigen Vorlagen und einem strukturierten Umsetzungsplan können auch kleine Unternehmen die Grundlagen-Compliance Schritt für Schritt aufbauen. Der erste Schritt ist immer derselbe – inventarisieren Sie Ihre KI-Systeme. Alles andere ergibt sich daraus.

Wo stehen Sie? Unser kostenloses KI-Compliance Selbst-Audit zeigt Ihnen in 15 Minuten, wo Ihr Unternehmen steht und wo konkreter Handlungsbedarf besteht. 25 Prüfpunkte, 5 Kategorien, mit Artikelreferenzen.

Weiterlesen

Stand: April 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Alle Angaben beziehen sich auf die Verordnung (EU) 2024/1689 in der verabschiedeten Fassung. Für spezifische Rechtsfragen konsultieren Sie einen auf KI-Recht spezialisierten Anwalt.