AI Act Fristen 2025, 2026, 2027 – Alle Deadlines der EU KI-Verordnung

Von Timo Korte Stand: April 2026 Lesezeit: 8 Minuten

Die EU KI-Verordnung (Verordnung 2024/1689) ist am 1. August 2024 in Kraft getreten – aber die Pflichten gelten nicht sofort. Der Gesetzgeber hat einen Stufenplan vorgesehen, der Unternehmen Zeit gibt, sich vorzubereiten. Das Problem: Einige Fristen sind bereits abgelaufen, andere stehen unmittelbar bevor.

Dieser Artikel listet alle Fristen chronologisch auf, erklärt was ab wann gilt und zeigt konkret, was Sie als KMU in jeder Phase tun müssen. Alle Angaben mit Artikelreferenzen zur Verordnung.

Wichtig: Zwei Fristen sind bereits verstrichen. Die Verbote nach Art. 5 gelten seit dem 2. Februar 2025, die KI-Kompetenzpflicht nach Art. 4 ebenfalls. Wenn Sie hier noch nicht aktiv geworden sind, besteht sofortiger Handlungsbedarf.

⚠️ Status-Hinweis Digital Omnibus on AI (Stand: Mai 2026):
Die folgende Tabelle berücksichtigt die durch den Digital Omnibus on AI vorgesehenen Frist-Verschiebungen (politische Einigung im Trilog am 07.05.2026, Procedure 2025/0359(COD)). Der Rechtsakt ist noch nicht im Amtsblatt der EU veröffentlicht. Bis zur formalen Annahme gilt formal Verordnung 2024/1689 in ihrer Originalfassung; die ursprünglichen Default-Fristen sind 2. August 2026 (Art. 50, Annex III) bzw. 2. August 2027 (Annex I).

Wenig Zeit? Finden Sie in 3 Minuten heraus, wo Sie stehen.

Der kostenlose 25-Punkte-Check zeigt Ihnen sofort, welche AI-Act-Pflichten Sie bereits erfüllen und wo Handlungsbedarf besteht.

Kostenlosen Selbst-Audit starten →

Alle Fristen auf einen Blick (nach Digital Omnibus on AI)

Frist	Was gilt ab dann?	Betrifft	Referenz
2. Feb. 2025	Verbotene KI-Praktiken	Alle	Art. 5 KI-VO
2. Feb. 2025	KI-Kompetenz-Pflicht	Alle	Art. 4 KI-VO
2. Aug. 2025	Pflichten für GPAI-Modelle	Anbieter	Art. 51–60 KI-VO
2. Aug. 2025	Governance-Strukturen der Mitgliedstaaten	Behörden	Art. 64–70 KI-VO
2. Dez. 2026	Transparenzpflichten (Art. 50), Watermarking (Omnibus)	Alle	Art. 50 KI-VO; Omnibus
2. Aug. 2027	Regulatory Sandboxes (Omnibus)	Behörden	Art. 57 ff. KI-VO; Omnibus
2. Dez. 2027	Hochrisiko-Pflichten nach Anhang III (Omnibus)	Alle	Art. 6 Abs. 2 KI-VO; Omnibus
2. Aug. 2028	Hochrisiko-Pflichten für Produkte nach Anhang I (Medizinprodukte etc.)	Anbieter	Art. 6 Abs. 1 KI-VO; Omnibus

[Art. 113 KI-VO – Übergangsbestimmungen; ErwGr 178–180]

Stufe 1: 2. Februar 2025 – Verbote und KI-Kompetenz

Sechs Monate nach Inkrafttreten greifen die ersten beiden Pflichten. Beide gelten bereits – unabhängig davon, ob Ihr Unternehmen KI anbietet oder nur nutzt.

Verbotene KI-Praktiken (Art. 5)

Folgende KI-Anwendungen sind seit dem 2. Februar 2025 vollständig verboten:

Unterschwellige Manipulation – KI, die unbewusste psychologische Trigger einsetzt, um Verhalten zu beeinflussen [Art. 5 Abs. 1 lit. a]
Ausnutzung von Schutzbedürftigkeit – KI, die Alter, Behinderung oder soziale Lage ausnutzt [Art. 5 Abs. 1 lit. b]
Social Scoring – Bewertungssysteme für Sozialverhalten mit Konsequenzen. Gilt für alle Akteure, nicht nur Behörden [Art. 5 Abs. 1 lit. c]
Prädiktive Polizeiarbeit – KI-gestützte Vorhersage von Straftaten auf Basis von Persönlichkeitsmerkmalen [Art. 5 Abs. 1 lit. d]
Ungezieltes Scraping von Gesichtsbildern – Massenhafte Sammlung aus dem Internet oder CCTV [Art. 5 Abs. 1 lit. e]
Biometrische Kategorisierung – Ableitung von Rasse, Religion, politischer Gesinnung aus biometrischen Daten [Art. 5 Abs. 1 lit. f]
Emotionserkennung am Arbeitsplatz – KI zur Emotions-Messung in Arbeit und Bildung (außer medizinische Zwecke) [Art. 5 Abs. 1 lit. g]
Echtzeit-Biometrie in öffentlichen Räumen – Live-Gesichtserkennung durch Strafverfolgung (mit eng begrenzten Ausnahmen) [Art. 5 Abs. 1 lit. h]

KMU-Relevanz: Die meisten dieser Verbote betreffen Ihr Unternehmen nicht direkt. Aber: Wenn Sie KI-Tools von Drittanbietern einsetzen, müssen Sie sicherstellen, dass der Anbieter keine verbotenen Praktiken implementiert hat. Prüfen Sie Ihre Vendor-Verträge.

KI-Kompetenz-Pflicht (Art. 4)

Alle Personen, die KI-Systeme einsetzen oder deren Einsatz verantworten, müssen ein angemessenes Niveau an KI-Kompetenz besitzen. Das bedeutet konkret:

Geschäftsführung muss KI-Grundlagen und Risiken verstehen
Mitarbeiter, die KI bedienen, müssen nachweislich geschult sein
Schulungen müssen dokumentiert werden (Datum, Teilnehmer, Inhalte)
Regelmäßige Auffrischung ist erforderlich

Achtung: Art. 4 gilt seit dem 2. Februar 2025 – nicht erst seit August 2025 oder 2026, wie oft fälschlich berichtet wird. Wenn Sie noch keine Schulungsnachweise haben, verstoßen Sie bereits gegen die Verordnung.

[Art. 4, Art. 113 Abs. 1 KI-VO; ErwGr 20–21]

Stufe 2: 2. August 2025 – GPAI-Modelle und Governance

Ein Jahr nach Inkrafttreten gelten die Pflichten für Anbieter von General Purpose AI (GPAI) Modellen wie ChatGPT, Claude, Gemini oder Mistral.

Pflichten für GPAI-Anbieter (Art. 51–60)

Technische Dokumentation – Anbieter müssen umfassende Dokumentation über Training, Daten und Leistung bereitstellen [Art. 53]
Transparenz – Offenlegung gegenüber nachgelagerten Anbietern, die auf dem Modell aufbauen [Art. 53 Abs. 1 lit. b]
Urheberrecht – Einhaltung der Urheberrechtsrichtlinie, insbesondere bei Trainingsdaten [Art. 53 Abs. 1 lit. c]
Systemische Risiken – GPAI mit systemischem Risiko (>10^25 FLOPS) haben zusätzliche Pflichten: Red-Teaming, Cybersecurity, Incident Reporting [Art. 55]

KMU-Relevanz: Als Betreiber (Nutzer) von GPAI-Modellen sind Sie von diesen Pflichten nicht direkt betroffen. Diese gelten für OpenAI, Google, Anthropic und andere Anbieter. Indirekt profitieren Sie: Die Anbieter müssen Ihnen bessere Dokumentation und Transparenz liefern.

Governance-Strukturen (Art. 64–70)

Die Mitgliedstaaten müssen nationale Aufsichtsbehörden benennen und das AI Office der EU nimmt seine Arbeit auf. In Deutschland ist die Bundesnetzagentur als Marktaufsichtsbehörde vorgesehen.

[Art. 64–70, Art. 113 Abs. 2 KI-VO]

Stufe 3: Dezember 2026 – Transparenzpflichten (Omnibus)

Update 7. Mai 2026: Der Digital Omnibus wurde von Rat und Parlament beschlossen. Die Fristen wurden neu geordnet. Ab dem 2. Dezember 2026 gelten die Transparenzpflichten und Watermarking-Anforderungen:

Betreiberpflichten (Art. 26)

Governance – Benannte KI-Verantwortliche, dokumentierte Prozesse [Art. 26 Abs. 1]
Bestimmungsgemäßer Gebrauch – KI-Systeme nur gemäß Herstelleranweisungen einsetzen [Art. 26 Abs. 1]
Menschliche Aufsicht – Befähigte Personen zur Überwachung und Intervention [Art. 26 Abs. 2]
Logging und Monitoring – Protokollierung aller KI-Entscheidungen, mindestens 6 Monate Aufbewahrung [Art. 26 Abs. 5]
Vorfallmeldung – Schwerwiegende Vorfälle unverzüglich nach Kenntnisnahme melden [Art. 26(5) KI-VO]. Hinweis: Die 15-Tage-Frist nach Art. 73 gilt für Anbieter, nicht für Betreiber.

Transparenzpflichten (Art. 50)

Chatbot-Offenlegung – Nutzer müssen wissen, dass sie mit KI interagieren [Art. 50 Abs. 1]
KI-generierte Inhalte kennzeichnen – Text, Bild, Audio, Video [Art. 50 Abs. 2]
Deepfake-Warnung – Synthetische Medien müssen gekennzeichnet werden [Art. 50 Abs. 4]
Emotionserkennung offenlegen – Wenn KI Emotionen erkennt, muss das mitgeteilt werden [Art. 50 Abs. 3]

Hochrisiko-KI nach Anhang III – verschoben auf Dezember 2027 (Omnibus)

KI-Systeme in sensiblen Bereichen wie Personalwesen, Kreditvergabe, Bildung, Strafverfolgung oder kritische Infrastruktur unterliegen umfangreichen Pflichten. Durch den Digital Omnibus (beschlossen am 7. Mai 2026) wurde die Frist für Hochrisiko-Systeme nach Anhang III auf den 2. Dezember 2027 verschoben (+16 Monate).

Risikomanagementsystem einrichten [Art. 9]
Datenqualität sicherstellen [Art. 10]
Technische Dokumentation [Art. 11]
Logging implementieren [Art. 12]
Transparenz und Informationspflichten [Art. 13]
Menschliche Aufsicht gewährleisten [Art. 14]
Genauigkeit, Robustheit, Cybersicherheit [Art. 15]
FRIA (Grundrechte-Folgenabschätzung) durchführen [Art. 27]

KMU-Erleichterungen: Art. 62 KI-VO sieht vereinfachte Dokumentationsformen für KMU vor. Art. 99 Abs. 6 deckelt Bußgelder für KMU: Es gilt immer der niedrigere Betrag von festem Höchstbetrag oder Umsatzanteil.

Sanktionen (Art. 99)

Verstoß	Höchstbetrag	Oder % des Umsatzes
Verbotene Praktiken (Art. 5)	35 Mio. EUR	7%
Betreiberpflichten (Art. 26)	15 Mio. EUR	3%
Falsche Angaben an Behörden	7,5 Mio. EUR	1%

[Art. 99 KI-VO; ErwGr 167–169]

Stufe 4: 2. August 2028 – Harmonisierte Produkte (Omnibus)

Der Digital Omnibus hat auch die Frist für Hochrisiko-KI in harmonisierten Produkten nach Anhang I verschoben — von August 2027 auf den 2. August 2028. Das betrifft unter anderem:

Maschinen und Anlagen
Medizinprodukte
Spielzeug
Aufzüge
Funkanlagen
Fahrzeuge

Für die meisten KMU, die KI als Betreiber nutzen, ist diese Frist weniger relevant – sie betrifft primär Hersteller und Importeure von Produkten mit eingebauter KI.

Digital Omnibus – Update Mai 2026: Der Digital Omnibus wurde am 7. Mai 2026 von Rat und Parlament beschlossen. Die Hochrisiko-Frist für Anhang III wurde auf Dezember 2027 verschoben, für Anhang-I-Produkte (Medizinprodukte, Maschinen etc.) auf August 2028. Transparenzpflichten (Art. 50) gelten ab August 2026; Watermarking-Compliance für Anbieter (Art. 50 Abs. 2) ab Dezember 2026. Regulatory Sandboxes starten ab August 2027. Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) bleiben unverändert bei Februar 2025.

[Art. 6 Abs. 1, Anhang I, Art. 113 Abs. 3 KI-VO]

Was Sie als KMU jetzt tun müssen

Basierend auf den Fristen ergibt sich folgender Handlungsplan:

Sofort (bereits überfällig)

Art. 4 Schulung durchführen und dokumentieren – die Pflicht gilt seit Februar 2025
Prüfen, ob verbotene KI-Praktiken im Einsatz sind (Art. 5)

Jetzt bis Dezember 2026 – Transparenz (Art. 50)

Alle KI-Systeme inventarisieren
Risikoklassifizierung durchführen
Interne KI-Richtlinie verabschieden
Transparenzpflichten umsetzen (Art. 50) — Frist: 2. August 2026; Watermarking (Art. 50 Abs. 2) bis 2. Dezember 2026 (Omnibus)
Watermarking bei KI-generierten Inhalten vorbereiten

Bis Dezember 2027 – Hochrisiko (Anhang III, Omnibus)

Bei Hochrisiko-KI: FRIA, Logging, Human Oversight einrichten
Vendor Due Diligence für KI-Anbieter
Konformitätsbewertung abschließen

Strukturiert zur Compliance

Das AI Act Starter Kit enthält alle Vorlagen, Checklisten und Tools für Ihre KI-Compliance – vom KI-Inventar über die Schulungspräsentation bis zum Umsetzungsplan mit Meilensteinen. Einmalkauf, kein Abo.

Starter-Paket jetzt sichern (ab 149€)

Fazit: Mehr Zeit durch den Omnibus — aber nicht untätig bleiben

Der Digital Omnibus (beschlossen am 7. Mai 2026) verschafft KMU zusätzliche Zeit bei Hochrisiko-Pflichten: Die Anhang-III-Frist liegt jetzt bei Dezember 2027 statt August 2026. Die Transparenzpflichten (Art. 50) greifen ab August 2026; Watermarking (Art. 50 Abs. 2) ab Dezember 2026 (Omnibus). Art. 4 (KI-Kompetenz) und Art. 5 (Verbote) gelten unverändert seit Februar 2025. Für KMU bedeutet das: Die Basispflichten sind bereits fällig — und die nächste Frist (Transparenz) kommt Ende 2026.

Die gute Nachricht: Mit den richtigen Vorlagen und einem strukturierten Umsetzungsplan können auch kleine Unternehmen die Grundlagen-Compliance Schritt für Schritt aufbauen. Der erste Schritt ist immer derselbe – inventarisieren Sie Ihre KI-Systeme. Alles andere ergibt sich daraus.

Wo stehen Sie? Unser kostenloses KI-Compliance Selbst-Audit zeigt Ihnen in 15 Minuten, wo Ihr Unternehmen steht und wo konkreter Handlungsbedarf besteht. 25 Prüfpunkte, 5 Kategorien, mit Artikelreferenzen.

Weiterlesen

Stand: April 2026. Dieser Artikel dient der Information und ersetzt keine Rechtsberatung. Alle Angaben beziehen sich auf die Verordnung (EU) 2024/1689 in der verabschiedeten Fassung. Für spezifische Rechtsfragen konsultieren Sie einen auf KI-Recht spezialisierten Anwalt.

Weiterführende Artikel

Kostenloses Selbst-Audit: Wo steht Ihr Unternehmen?

25 Prüfpunkte mit Scoring — in 15 Minuten wissen Sie, ob Sie ein Problem haben.

Kostenloses Selbst-Audit starten →