Deutsch
English
Español
Français
Nederlands
Português
EU KI-Verordnung: Countdown zur Compliance-Frist am 2. August 2026
Die Europäische KI-Verordnung (EU AI Act), die weltweit erste umfassende KI-Regulierung, erreicht am 2. August 2026 ihren kritischsten Meilenstein. In weniger als drei Monaten müssen Unternehmen in der EU und darüber hinaus verbindliche Transparenz- und Compliance-Pflichten für Hochrisiko-KI-Systeme erfüllen. Bei Nichteinhaltung drohen Strafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes. Trotz Vorschlägen zur Verzögerung bleibt die August-Frist rechtlich bindend, nachdem die Digital-Omnibus-Verhandlungen im April 2026 ins Stocken gerieten.
Was ist die EU KI-Verordnung?
Die KI-Verordnung (Verordnung (EU) 2024/1689), verabschiedet im Mai 2024 und in Kraft getreten am 1. August 2024, schafft einen risikobasierten Regulierungsrahmen für KI. Sie unterteilt KI-Anwendungen in vier Kategorien: unannehmbares Risiko (verbotene Praktiken wie Social Scoring), hohes Risiko (Systeme mit Auswirkungen auf Gesundheit, Sicherheit oder Grundrechte), begrenztes Risiko (Transparenzpflichten) und minimales Risiko (weitgehend regulierungsfrei). Die Verordnung gilt extraterritorial für alle Organisationen, die KI einsetzen und Personen in der EU betreffen.
Wichtige Fristen und aktueller Stand
Die gestaffelte Umsetzung begann mit dem Verbot bestimmter KI-Praktiken am 2. Februar 2025. Regeln für allgemeine KI traten am 2. August 2025 in Kraft. Der entscheidende 2. August 2026 aktiviert Pflichten für Hochrisiko-KI-Systeme gemäß Anhang III, Transparenzregeln nach Artikel 50 und nationale Durchsetzungsmechanismen. Eine letzte Phase für KI in regulierten Produkten folgt im August 2027.
Die Durchsetzungsbereitschaft ist jedoch unterschiedlich. Laut einem Bericht vom März 2026 haben nur 8 von 27 EU-Mitgliedstaaten nationale Durchsetzungsstellen benannt. Harmonische technische Normen von CEN/CENELEC wurden ebenfalls nicht fristgerecht fertiggestellt. Die Europäische Kommission hat am 8. Mai 2026 eine Konsultation zu Transparenzleitlinien gestartet, die bis zum 3. Juni 2026 läuft. Am 7. Mai 2026 einigten sich Rat und Parlament politisch auf eine Vereinfachung der KI-Regeln, aber die Details werden noch geprüft. Das Digital-Omnibus-Paket, das eine Verschiebung der Hochrisiko-Pflichten auf Dezember 2027 vorschlug, wurde noch nicht verabschiedet – die August-Frist bleibt bestehen.
Wer muss einhalten und welche Pflichten gibt es?
Die KI-Verordnung unterscheidet zwischen Anbietern (Entwicklern) und Betreibern (Unternehmen, die KI nutzen). Betreiber – dazu gehören die meisten Unternehmen, die KI-Tools wie Chatbots, Bewerbungssoftware oder Bonitätsprüfungen einsetzen – müssen unter anderem:
- Ein KI-Systeminventar erstellen und jedes System nach Risikostufe einstufen
- Für Hochrisiko-Systeme: Risikomanagement, Daten-Governance, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit und Sicherheit gewährleisten
- Konformitätsbewertungen durchführen und CE-Kennzeichnung anbringen
- Hochrisiko-KI-Systeme in der EU-KI-Datenbank registrieren
- Eine Grundrechtsfolgenabschätzung (FRIA) vor Inbetriebnahme durchführen
- Transparenz sicherstellen: KI-generierte Inhalte kennzeichnen, Chatbot-Interaktionen offenlegen, Deepfakes markieren
- Systemleistung überwachen und schwerwiegende Vorfälle melden
Kleine und mittlere Unternehmen (KMU) profitieren von ermäßigten Gebühren und Zugang zu Regulierungssandkästen, sind aber nicht von den Regeln ausgenommen. Über 60 % der europäischen KMU haben noch nicht mit den Vorbereitungen begonnen.
Strafen bei Nichteinhaltung
Die KI-Verordnung sieht ein abgestuftes Bußgeldsystem nach Artikel 99 vor: Verstöße gegen verbotene KI-Praktiken: bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes. Hochrisiko-KI-Verstöße: bis zu 15 Mio. € oder 3 %. Falsche Angaben: bis zu 7,5 Mio. € oder 1,5 %.
Transparenzregeln: Chatbots, Deepfakes und KI-generierte Inhalte
Artikel 50 verpflichtet ab dem 2. August 2026 zur Kennzeichnung von KI-Interaktionen und -Inhalten. Die Kommission hat am 8. Mai 2026 einen Leitlinienentwurf zur Konsultation vorgelegt. Organisationen sollten KI-Inhaltskennzeichnungsprotokolle implementieren und Chatbot-Offenlegungen klarstellen.
Praktische Schritte für Unternehmen
Compliance-Experten empfehlen einen sechsstufigen Ansatz: KI-Inventar erstellen, nach Risiko einstufen, Konformitätsbewertungen durchführen, Grundrechtsfolgenabschätzung durchführen, Transparenzmaßnahmen umsetzen und Hochrisiko-Systeme in der EU-Datenbank registrieren.
'Die EU-KI-Verordnung ist kein Papiertiger. Im Gegensatz zu den Anfängen der DSGVO haben die Durchsetzungsbehörden ernsthafte Absichten signalisiert', sagt Martijn Jonkman, Strategie für Digitalbehörden. 'Die meisten Unternehmen brauchen keine drastischen Änderungen – sie müssen wissen, was sie nutzen und wie.'
Auswirkungen auf globale Unternehmen
Die extraterritoriale Reichweite der KI-Verordnung betrifft auch US-amerikanische, asiatische und andere Nicht-EU-Unternehmen. Laut der Anwaltskanzlei Holland & Knight sollten US-Unternehmen, die die EU-KI-Verordnung einhalten müssen, jetzt mit der Prüfung ihrer KI-Systeme beginnen.
Häufig gestellte Fragen
Gilt die EU-KI-Verordnung für kleine Unternehmen?
Ja. Sie gilt für jede Organisation, die KI im beruflichen Kontext in der EU einsetzt. KMU erhalten ermäßigte Gebühren und Sandkastenzugang, müssen aber Kernpflichten für Hochrisiko- und begrenzte Risikosysteme erfüllen.
Was passiert, wenn ich die Frist zum 2. August 2026 verpasse?
Bei Nichteinhaltung drohen Geldbußen bis zu 15 Mio. € oder 3 % des weltweiten Jahresumsatzes (Hochrisiko) bzw. bis zu 35 Mio. € oder 7 % (verbotene Praktiken). Nationale Behörden können Korrekturmaßnahmen bis hin zur Systemaussetzung anordnen.
Muss ich mein KI-System registrieren?
Nur Hochrisiko-KI-Systeme müssen vor Inbetriebnahme in der EU-KI-Datenbank registriert werden. Systeme mit begrenztem oder minimalem Risiko unterliegen keiner Registrierungspflicht, müssen aber Transparenzregeln einhalten.
Was ist eine Grundrechtsfolgenabschätzung (FRIA)?
Eine FRIA ist eine Ex-ante-Prüfung gemäß Artikel 27 für Hochrisiko-Systeme. Sie identifiziert und mindert potenzielle Auswirkungen auf Grundrechte vor der Inbetriebnahme. Sie ist umfassender als eine DSGVO-Datenschutz-Folgenabschätzung (DPIA).
Gibt es Verzögerungen der August-Frist?
Stand Mai 2026 bleibt die Frist rechtlich bindend. Das Digital-Omnibus-Paket, das eine Verschiebung auf Dezember 2027 vorschlug, wurde nicht angenommen. Die harmonisierten Normen stehen jedoch noch aus, was praktische Herausforderungen mit sich bringen kann.
Quellen
EU-KI-Verordnung Artikel 99 - Strafen
Europäische Kommission - KI-Regulierungsrahmen
Rat der EU - Einigung zur Vereinfachung der KI-Regeln (7. Mai 2026)
Compound Law - Compliance-Leitfaden August 2026
World Reporter - Lücke in der EU-KI-Bereitschaft
Follow Discussion