KI-Verordnung Frist August 2026 — Was Unternehmen jetzt tun müssen
Die zentrale Durchsetzungsfrist des EU AI Act (VO (EU) 2024/1689) ist der 2. August 2026. Bis zu diesem Datum müssen Betreiber von Hochrisiko-KI-Systemen nach Anhang III Konformitätsbewertungen durchführen, technische Dokumentation bereitstellen, ihre Systeme in der EU-KI-Datenbank registrieren und — sofern zutreffend — eine Grundrechte-Folgenabschätzung (GFFA) abschließen. Unternehmen, die ihre KI-Systeme nicht klassifizieren und die erforderlichen Maßnahmen nicht fristgerecht umsetzen, riskieren Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes. Bis zur Frist bleiben noch rund 90 Tage.
Zuletzt aktualisiert: Mai 2026
Jetzt handeln: Drei Prioritäten für die nächsten 90 Tage
Mit drei Monaten bis zur Frist sollten Unternehmen nicht mehr auf eine vollständige interne Compliance-Studie warten. Die folgenden drei Maßnahmen haben den höchsten Hebel:
1. KI-Inventar erstellen (Aufwand: 1–3 Tage). Erfassen Sie alle KI-Systeme — einschließlich eingebetteter KI in SaaS-Produkten wie Microsoft Copilot, Salesforce Einstein oder HR-Software. Ohne Inventar ist keine Klassifizierung möglich.
2. Hochrisiko-Systeme identifizieren. Gleichen Sie jedes System mit den acht Kategorien des Anhangs III ab. Die häufigsten Treffer in deutschen Unternehmen: KI für Bewerberscreening (Anhang III, Kat. 4), Kreditscoring (Kat. 5) und biometrische Zeiterfassung (Kat. 1). Für erkannte Hochrisiko-Systeme unmittelbar eine Konformitätsbewertung einleiten.
3. GPAI-Anbieterstatus klären. Entwickeln oder betreiben Sie ein eigenes KI-Modell — auch intern, auch für begrenzte Nutzerkreise? Dann könnte GPAI-Anbieterstatus nach Art. 53 bestehen. Das ist auch für Unternehmen relevant, die intern trainierte LLMs oder Fine-Tuned-Modelle einsetzen.
AI Act Zeitstrahl: Was gilt wann?
| Datum | Pflicht | Rechtsgrundlage |
|---|---|---|
| 2. Februar 2025 | Verbot unzulässiger KI-Systeme (Social Scoring, biometrische Echtzeit-Massenüberwachung, Emotionserkennung am Arbeitsplatz) | Art. 5 VO (EU) 2024/1689 |
| 2. August 2025 | GPAI-Anbieterpflichten: Transparenz, Urheberrecht-Compliance, Verhaltenskodizes | Art. 53–55 VO (EU) 2024/1689 |
| 2. August 2026 | Vollständige Hochrisiko-KI-Pflichten: Konformitätsbewertung, technische Dokumentation, EU-KI-Datenbank, GFFA | Art. 6, 26, 43, 71 VO (EU) 2024/1689 |
| 2. August 2027 | Pflichten für Hochrisiko-KI nach Anhang I, die in bestehende CE-Produkte eingebettet sind | Art. 111 VO (EU) 2024/1689 |
Der 2. August 2026 ist die entscheidende Frist für die meisten deutschen Unternehmen. Ab diesem Datum werden Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes vollständig vollstreckt.
GPAI-Anbieterpflichten — Was Nutzer von ChatGPT, Gemini und Copilot wissen müssen
Seit dem 2. August 2025 gelten die GPAI-Anbieterpflichten (Art. 53–55 VO (EU) 2024/1689). Diese Pflichten betreffen primär Unternehmen, die ein General Purpose AI Model entwickeln oder bereitstellen — also OpenAI, Google, Microsoft und ähnliche Anbieter, nicht deren Unternehmenskunden.
Als Nutzer von ChatGPT Enterprise, Google Gemini for Workspace oder Microsoft Copilot sind Sie kein GPAI-Anbieter nach Art. 53. Ihre Pflichten entstehen aus der Nutzung des Endprodukts: insbesondere die Transparenzpflicht nach Art. 50 gegenüber Nutzern, die mit KI interagieren könnten, die für einen Menschen gehalten werden könnte.
GPAI-Anbieterstatus kann aber dennoch entstehen, wenn Ihr Unternehmen:
- Ein eigenes Sprachmodell entwickelt oder fine-tuned, auch auf Basis von Open-Source-Basismodellen (z. B. Llama, Mistral)
- Ein KI-Modell intern bereitstellt, das über den ursprünglichen Trainingszweck hinaus für mehrere Aufgaben genutzt wird
- KI-Modelle als Teil eines eigenen Produkts an Dritte weitergibt oder lizenziert
In diesen Fällen gelten seit August 2025 Transparenzpflichten, Pflichten zur urheberrechtlichen Compliance und — für systemische Risiken — zusätzliche Sicherheitsbewertungen. Wer betroffen ist und diese Pflichten nicht erfüllt hat, sollte jetzt handeln.
Für GPAI-Modelle mit systemischem Risiko (> 10^25 FLOPs Rechenaufwand für Training) gelten verschärfte Anforderungen nach Art. 55, einschließlich adversarieller Tests und Vorfallmeldepflichten. Diese Schwelle betrifft derzeit primär Frontier-Modelle — für die meisten deutschen Unternehmen relevant ist sie, wenn eigene Modelle auf extern angemieteten Rechenzentren in dieser Größenordnung trainiert werden.
Welche Unternehmen müssen vor dem 2. August 2026 handeln?
Die August-2026-Frist gilt für alle Organisationen — unabhängig von Größe oder Herkunft —, die KI-Systeme im EU-Markt betreiben oder in Betrieb nehmen.
Die vollständigen Pflichten treffen vor allem Betreiber von Hochrisiko-KI-Systemen nach Anhang III der Verordnung. Dazu gehören Unternehmen, die:
- KI für Personalentscheidungen, Bewerber-Screening oder Mitarbeitermonitoring einsetzen (Anhang III, Kategorie 4)
- Biometrische Identifikationssysteme oder Gesichtserkennung betreiben (Anhang III, Kategorie 1)
- KI in kritischer Infrastruktur einsetzen — Energie, Wasser, Verkehr (Anhang III, Kategorie 2)
- KI für Kreditscoring, Versicherungsrisikoberechnung oder Kreditwürdigkeitsprüfung einsetzen (Anhang III, Kategorie 5)
- KI im Bildungsbereich für Lernenden-Beurteilungen oder Zulassungsentscheidungen einsetzen (Anhang III, Kategorie 3)
- KI in der Strafverfolgung oder Grenzkontrolle betreiben (Anhang III, Kategorien 6–7)
- KI-gestützte Werkzeuge in der Rechtspflege verwenden (Anhang III, Kategorie 8)
Die meisten KMU, die handelsübliche KI-Tools verwenden — Microsoft Copilot, Standard-Chatbots, gängige SaaS-Produkte mit eingebetteten KI-Funktionen —, betreiben in der Regel keine Hochrisiko-KI nach Anhang III. Ihre wesentliche Pflicht ist die Transparenzoffenlegung nach Art. 50 AI Act, wenn Nutzer mit KI interagieren, die für einen Menschen gehalten werden könnte. Die August-2026-Frist löst für diese Gruppe keine umfangreichen Compliance-Pflichten aus.
6 Schritte vor dem 2. August 2026
Diese Checkliste richtet sich an Betreiber von Hochrisiko-KI-Systemen nach Anhang III.
1. KI-Inventar erstellen
Dokumentieren Sie alle KI-Systeme, die Ihre Organisation einsetzt, entwickelt oder betreibt. Erfassen Sie für jedes System: Anbieter, Zweck, Verarbeitungslogik (soweit bekannt), verarbeitete personenbezogene Daten und betroffene Personengruppen. Häufig übersehen: eingebettete KI in bestehenden HR-, Kredit- oder Sicherheitssoftwarelösungen, die der Anbieter nachträglich ergänzt hat. Dieses Inventar ist die Grundlage für alle weiteren Schritte — ohne es ist eine ordnungsgemäße Klassifizierung nicht möglich.
2. Jedes System nach Risikoniveau klassifizieren
Nach VO (EU) 2024/1689 werden KI-Systeme in vier Kategorien eingeteilt:
- Verboten (seit 2. Februar 2025): Emotionserkennung am Arbeitsplatz, Social Scoring, biometrische Massenüberwachung in öffentlichen Räumen in Echtzeit
- Hochriskant (Anhang III): vollständige Compliance-Pflichten bis 2. August 2026
- Begrenzt riskant: Transparenzpflicht gegenüber Nutzern nach Art. 50
- Minimal riskant: keine spezifischen AI-Act-Pflichten
Prüfen Sie jedes System Ihres Inventars gegen die acht Kategorien des Anhangs III. Im Zweifelsfall ist rechtliche Beratung dringend zu empfehlen — die Fehlklassifizierung eines Hochrisiko-Systems als minimal riskant ist selbst ein Compliance-Verstoß mit demselben Bußgeldrisiko.
3. Konformitätsbewertung durchführen
Für Systeme nach Anhang III ist eine Konformitätsbewertung nach Art. 43 vor der Inbetriebnahme und vor Ablauf der August-2026-Frist verpflichtend. Für die meisten Hochrisiko-Kategorien können Betreiber eine interne Konformitätsbewertung durchführen — eine strukturierte Selbstbewertung, die die technische Konformität mit den Anforderungen aus Kapitel III dokumentiert. Für bestimmte biometrische Identifikationssysteme ist eine Drittbewertung durch eine notifizierte Stelle erforderlich.
Die Bewertung muss folgende Bereiche abdecken: Risikomanagementsystem, Datengouvernanz, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Genauigkeitsmetriken.
Zeitplanung: Eine interne Konformitätsbewertung für ein mittelkomplexes HR-System nimmt bei ausreichend vorbereiteter Dokumentation typischerweise 4–8 Wochen in Anspruch. Wer im Mai 2026 beginnt, hat noch genug Puffer.
4. Technische Dokumentation erstellen
Art. 11 verlangt eine umfassende technische Dokumentation für Hochrisiko-KI-Systeme. Diese umfasst: allgemeine Systembeschreibung, Designspezifikationen, Trainingsmethodik und Datenquellen, Testergebnisse, Leistungskennzahlen und Nutzungsanleitungen. Die Dokumentation muss über den gesamten Lebenszyklus des Systems gepflegt und aktualisiert werden — sie ist kein einmaliges Dokument, sondern begleitend.
Praxishinweis für Betreiber von Drittanbieter-KI: Wenn Sie ein Hochrisiko-KI-System eines externen Anbieters einsetzen, sind Sie nach Art. 26 verpflichtet, sicherzustellen, dass der Anbieter die technische Dokumentation nach Art. 11 bereitstellt. Klären Sie dies vertraglich und fordern Sie die Dokumentation jetzt an — viele Anbieter benötigen mehrere Wochen zur Bereitstellung.
5. Grundrechte-Folgenabschätzung (GFFA) durchführen — sofern zutreffend
Art. 27 verlangt eine Grundrechte-Folgenabschätzung (GFFA) von:
- Öffentlichen Stellen, die Hochrisiko-KI einsetzen
- Privaten Betreibern, die KI für Kreditscoring oder Versicherungsrisikoklassifizierung einsetzen
Die GFFA bewertet potenzielle Auswirkungen auf Grundrechte — Datenschutz, Nichtdiskriminierung und Zugang zu Dienstleistungen — und muss dokumentiert und auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden können.
6. In der EU-KI-Datenbank registrieren
Art. 71 verpflichtet zur Registrierung von Hochrisiko-KI-Systemen in der EU-KI-Datenbank vor der Inbetriebnahme. Für öffentliche Stellen ist die Registrierung unmittelbar verpflichtend. Für private Betreiber der meisten Anhang-III-Systeme ist die Registrierung derzeit primär auf Anbieterebene vorgeschrieben — klären Sie mit Ihrem Systemanbieter, ob dieser Schritt bereits vollständig abgeschlossen ist.
90-Tage-Fahrplan: Was bis August 2026 erledigt sein muss
| Zeitraum | Maßnahme | Verantwortlich |
|---|---|---|
| Mai 2026 | KI-Inventar fertigstellen, erste Risikoklassifizierung abschließen | Compliance / IT |
| Mai–Juni 2026 | Konformitätsbewertungen für Hochrisiko-Systeme starten; technische Dokumentation anfordern / erstellen | Compliance, Legal, IT |
| Juni 2026 | GFFA für öffentliche Stellen und Kreditscoring-Betreiber abschließen; Betriebsrat einbinden (soweit BetrVG greift) | Legal, HR |
| Juni–Juli 2026 | Interne Schulungen: KI-Verantwortliche, Systembetreuer, Datenschutzbeauftragte | HR, Compliance |
| Juli 2026 | Abschlussprüfung Dokumentation, Registrierung in EU-KI-Datenbank sicherstellen | Legal |
| Ab 2. August 2026 | Laufende Überwachungspflichten, Post-Market-Monitoring, Vorfallmeldungen | Compliance |
Dieser Fahrplan geht von einer internen Konformitätsbewertung aus. Wenn für Ihr System eine Drittbewertung durch eine notifizierte Stelle erforderlich ist, sollten Sie die Stelle jetzt beauftragen — die Kapazitäten notifizierter Stellen sind begrenzt.
Was zählt als Hochrisiko-KI nach Anhang III?
Anhang III der VO (EU) 2024/1689 benennt acht Kategorien von Hochrisiko-KI. Hier eine Zusammenfassung mit Praxisbeispielen aus dem deutschen Unternehmensumfeld:
| Kategorie | Beschreibung | Praxisbeispiele (Deutschland) |
|---|---|---|
| 1. Biometrische Identifikation | Echtzeit- oder nachträgliche Identifikation natürlicher Personen | Gesichtserkennung am Eingang, biometrische Zeiterfassung |
| 2. Kritische Infrastruktur | KI zur Steuerung von Versorgungsnetzen, Verkehr oder digitaler Infrastruktur | Smart-Grid-Management, Schienenverkehrssteuerung |
| 3. Bildung | KI für Zulassung, Beurteilung oder Evaluierung von Lernenden | KI-gestützte Prüfungskorrektur, Zulassungsalgorithmen |
| 4. Beschäftigung | KI für Recruiting, Leistungsbewertung, Aufgabenzuweisung | Bewerbungsscreening-Software, Mitarbeitermonitoring-Tools |
| 5. Wesentliche Dienstleistungen | KI für Kreditvergabe, Versicherung oder öffentliche Leistungen | Kreditscoring-Modelle, Versicherungsrisikoklassifizierung |
| 6. Strafverfolgung | KI für kriminologisches Risikoprofiling oder Beweisauswertung | Predictive-Policing-Systeme |
| 7. Migration und Grenzkontrolle | KI für Visaprüfung oder Migrationsrisikoerkennung | Grenzkontroll-KI-Systeme |
| 8. Rechtspflege | KI zur Unterstützung von Justiz- oder Streitbeilegungsverfahren | KI-Vertragsanalyse in gerichtlichen Verfahren |
Für deutsche Unternehmen sind die häufigsten Hochrisiko-Kategorien 1 (Biometrie), 4 (Beschäftigung) und 5 (Finanzdienstleistungen). Unsere Leitfäden zu KI-Gesichtserkennung und KI-Bewerbungsscreening erläutern die spezifischen Pflichten in diesen Bereichen.
Deutschland-spezifische Besonderheiten
Nationale Marktüberwachungsbehörde noch nicht formal bestimmt
Stand Mai 2026 hat Deutschland die nationale Marktüberwachungsbehörde für den AI Act noch nicht formal bestimmt. Die Bundesregierung hat signalisiert, dass die Bundesnetzagentur die horizontale Aufsicht übernehmen soll, während Fachbehörden wie BaFin und BSI in ihren jeweiligen Sektoren zuständig bleiben. Diese Unsicherheit ändert jedoch nichts an den Pflichten: Die EU-Verordnung gilt in Deutschland unmittelbar. Unternehmen sollten ihre Dokumentation so vorbereiten, als träten die Pflichten vollständig ab dem 2. August 2026 in Kraft — was sie tun.
Betriebsrat-Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
Deutsche Arbeitgeber, die KI zur Überwachung von Beschäftigten einsetzen, müssen § 87 Abs. 1 Nr. 6 Betriebsverfassungsgesetz (BetrVG) beachten. Betriebsräte haben Mitbestimmungsrechte bei technischen Einrichtungen, die geeignet sind, das Verhalten oder die Leistung der Arbeitnehmerinnen und Arbeitnehmer zu überwachen. KI-Systeme für Produktivitätstracking, Anomalieerkennung oder Anwesenheitserfassung bedürfen einer Betriebsvereinbarung, bevor sie eingesetzt werden können.
Diese Pflicht gilt parallel zum AI Act und unabhängig von ihm. Ein Betriebsrat kann den Einsatz eines KI-Systems untersagen — unabhängig davon, ob eine gültige Konformitätsbewertung vorliegt. Mit 90 Tagen bis zur Frist sollten Verhandlungen über KI-Betriebsvereinbarungen jetzt beginnen. Weitere Details finden Sie in unserem Leitfaden zu KI-Mitarbeitermonitoring.
DSK-Orientierungshilfe zur DSGVO-konformen KI-Entwicklung (Juni 2025)
Die Datenschutzkonferenz (DSK) hat im Juni 2025 eine Orientierungshilfe zur datenschutzkonformen Entwicklung und zum Einsatz von KI-Systemen veröffentlicht. Wesentliche Punkte für deutsche Unternehmen:
- Eine Rechtsgrundlage nach DSGVO muss vor dem Einsatz personenbezogener Daten für KI-Training oder -Inferenz bestehen
- Datenminimierung gilt — KI-Systeme sollten nicht mehr personenbezogene Daten verarbeiten, als die Aufgabe strikt erfordert
- Automatisierte Einzelentscheidungen nach Art. 22 DSGVO setzen die Möglichkeit zur menschlichen Überprüfung voraus
- Datenschutz-Folgenabschätzungen (DSFA) sind für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, verpflichtend
Praxishinweis: Eine DSGVO-DSFA und eine AI-Act-Konformitätsbewertung sind separate Dokumente mit inhaltlichen Überschneidungen. Es empfiehlt sich, beide Verfahren gemeinsam durchzuführen, um Doppelarbeit und Kosten zu reduzieren.
BaFin für Finanzdienstleister
Deutsche Kreditinstitute und Versicherungsunternehmen unterliegen einer doppelten Aufsicht: den AI-Act-Betreiberpflichten nach Art. 26 und den bestehenden BaFin-Anforderungen an Modellgouvernanz, algorithmische Fairness und die Verantwortung des Senior-Managements. Für KI-gestützte Kreditscoring-Modelle, Kreditvergabe-Systeme oder Versicherungsrisikomodelle stellen die Aufsichtserwartungen der BaFin de facto einen höheren Standard als die AI-Act-Mindestanforderungen dar. Unser Leitfaden zum EU AI Act für Finanzdienstleister erläutert die sektorspezifischen Compliance-Pflichten.
Bußgelder bei Nichteinhaltung
Die Bußgeldstruktur des AI Act nach Art. 99 gehört zu den strengsten im gesamten EU-Regulierungsrecht:
| Verstoß | Höchstbetrag |
|---|---|
| Nichteinhaltung bei Hochrisiko-KI (Art. 26) | 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (höherer Wert gilt) |
| Betrieb verbotener KI-Systeme (Art. 5) | 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes |
| Falsche Angaben gegenüber Behörden | 7,5 Millionen Euro oder 1 % des Jahresumsatzes |
Für KMU und Kleinstunternehmen sieht die Verordnung reduzierte absolute Höchstbeträge vor — die prozentualen Werte können jedoch dennoch niedriger ausfallen und wären in diesem Fall maßgeblich.
Die Durchsetzung erfolgt auf nationaler Ebene durch die designierten Marktüberwachungsbehörden. Schon vor formellen Bußgeldverfahren entstehen ab August 2026 erhebliche Compliance-Kosten durch Behördenanfragen, Prüfungen und Offenlegungspflichten.
Wie Compound Law hilft
Compound Law unterstützt Unternehmen dabei, die August-2026-Frist mit minimalem internen Aufwand zu erfüllen. Wir beraten Startups, mittelständische Unternehmen und Konzerne in Deutschland und der DACH-Region bei der konkreten Umsetzung des EU AI Act — nicht als theoretisches Gutachten, sondern als pragmatische Compliance-Begleitung.
Für die verbleibenden 90 Tage bieten wir:
- KI-Inventar und Risikoklassifizierung — strukturierter Workshop zur Erfassung und Klassifizierung aller KI-Systeme nach Anhang III
- Konformitätsbewertung — Begleitung der internen Bewertung nach Art. 43, inklusive Dokumentationsvorlagen
- Technische Dokumentation — Erstellung Art. 11-konformer Unterlagen in Zusammenarbeit mit Ihrem technischen Team
- Grundrechte-Folgenabschätzung (GFFA) — für öffentliche Stellen und Finanzdienstleister
- Betriebsvereinbarungen für KI — BetrVG-konforme Regelungen in Abstimmung mit dem Betriebsrat
- GPAI-Compliance-Check — Klärung, ob Ihr Unternehmen GPAI-Anbieterstatus hat und welche Pflichten daraus folgen
Die Frist des 2. August 2026 ist verbindlich. Sprechen Sie uns jetzt an — ein erstes Gespräch zur Bestandsaufnahme ist kostenlos und dauert 30 Minuten.
Häufige Fragen
Wann genau gilt die EU KI-Gesetz-Frist im August 2026?
Die Frist ist der 2. August 2026. Ab diesem Datum sind die vollständigen Anforderungen aus Kapitel III der VO (EU) 2024/1689 für Betreiber und Anbieter von Hochrisiko-KI nach Anhang III vollständig durchsetzbar. Verbote für unzulässige KI-Systeme gelten bereits seit dem 2. Februar 2025. GPAI-Anbieterpflichten galten ab dem 2. August 2025.
Welche Unternehmen sind von der EU AI Act Frist August 2026 betroffen?
Alle Unternehmen, die ein Hochrisiko-KI-System nach Anhang III der VO (EU) 2024/1689 im EU-Markt betreiben oder in Betrieb nehmen. Das gilt auch für ausländische Gesellschaften, die KI im EU-Markt einsetzen, sowie für deutsche Gesellschaften mit beschränkter Haftung (GmbH) und Aktiengesellschaften (AG) jeder Größe.
Was ist ein Hochrisiko-KI-System nach Anhang III?
Anhang III listet acht Kategorien von KI-Systemen auf, die aufgrund ihrer potenziellen Auswirkungen auf Grundrechte, Gesundheit oder Sicherheit als hochriskant eingestuft werden. Dazu gehören KI-Systeme für biometrische Identifikation, Personalentscheidungen, Mitarbeitermonitoring, Kreditscoring und kritische Infrastruktur. Die vollständige Liste ergibt sich aus Art. 6 Abs. 2 in Verbindung mit Anhang III der Verordnung.
Was ist eine Konformitätsbewertung nach dem EU AI Act und muss ich sie durchführen?
Eine Konformitätsbewertung (Art. 43) ist eine strukturierte Prüfung, die bestätigt, dass ein Hochrisiko-KI-System alle Anforderungen aus Kapitel III erfüllt — Risikomanagementsystem, Datengouvernanz, technische Dokumentation, Protokollierung, Transparenz, menschliche Aufsicht und Genauigkeit. Wenn Sie ein Hochrisiko-KI-System nach Anhang III betreiben, ist sie verpflichtend. Für die meisten Kategorien ist eine interne Selbstbewertung zulässig. Für bestimmte biometrische Systeme ist eine Drittbewertung durch eine notifizierte Stelle erforderlich.
Was ist eine Grundrechte-Folgenabschätzung (GFFA) und wer muss sie durchführen?
Eine Grundrechte-Folgenabschätzung (GFFA) nach Art. 27 ist verpflichtend für öffentliche Stellen, die Hochrisiko-KI einsetzen, sowie für private Betreiber, die KI für Kreditscoring oder Versicherungsrisikoklassifizierung einsetzen. Sie bewertet potenzielle Auswirkungen auf Grundrechte — Datenschutz, Nichtdiskriminierung und fairen Zugang zu Dienstleistungen — und muss auf Anfrage der zuständigen Aufsichtsbehörde vorgelegt werden.
Welche Bußgelder drohen bei Verstößen gegen die EU AI Act Frist August 2026?
Bei Nichteinhaltung der Hochrisiko-KI-Anforderungen nach Art. 26 drohen Bußgelder von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes (höherer Wert gilt). Beim Betrieb eines verbotenen KI-Systems nach Art. 5 können Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes verhängt werden.
Gilt der EU AI Act in Deutschland auch ohne nationales Ausführungsgesetz?
Ja. Der EU AI Act (VO (EU) 2024/1689) ist eine EU-Verordnung — er gilt in allen EU-Mitgliedstaaten unmittelbar, ohne dass ein nationales Ausführungsgesetz erforderlich ist. Deutschland muss keine gesonderte gesetzliche Regelung erlassen, damit die materiellen Pflichten wirksam werden. Nationales Recht legt die Aufsichtsbehörden fest und regelt Vollzugsverfahren, aber die inhaltlichen Pflichten und Bußgelder gelten unmittelbar ab den in der Verordnung festgelegten Fristen.
Was sollten deutsche Startups als erstes tun?
Beginnen Sie mit dem KI-Inventar. Erfassen Sie alle KI-Tools, die Ihr Unternehmen einsetzt — einschließlich eingebetteter KI-Funktionen in SaaS-Produkten. Prüfen Sie für jedes Tool, ob es in eine Anhang-III-Kategorie fällt. Die meisten Startups werden feststellen, dass nur ein kleiner Teil ihrer KI-Nutzung tatsächlich als hochriskant einzustufen ist. Konzentrieren Sie die Compliance-Bemühungen zunächst auf diese Systeme. Wenn Sie KI für Personalentscheidungen, Kreditvergabe oder biometrische Identifikation einsetzen, sollten Sie umgehend rechtliche Beratung einholen.
Bin ich als Nutzer von ChatGPT oder Copilot von den GPAI-Anbieterpflichten betroffen?
Nein — als reiner Nutzer eines GPAI-Produkts sind Sie kein GPAI-Anbieter nach Art. 53 AI Act. Die GPAI-Anbieterpflichten (Transparenz, Urheberrecht-Compliance, Verhaltenskodizes) treffen OpenAI, Google und Microsoft, nicht deren Unternehmenskunden. Ihre Pflichten als Nutzer dieser Produkte entstehen aus der Betreiber-Rolle nach Art. 26 (wenn das Produkt für einen Hochrisiko-Einsatzfall konfiguriert wird) sowie aus der Transparenzpflicht nach Art. 50 gegenüber Endnutzern. GPAI-Anbieterstatus entsteht jedoch, wenn Ihr Unternehmen selbst ein KI-Modell entwickelt, fine-tunet oder intern als allgemein einsetzbares System bereitstellt.
Was passiert, wenn ein Unternehmen die Frist verpasst?
Ab dem 2. August 2026 können die nationalen Marktüberwachungsbehörden Bußgeldverfahren einleiten. Die Verordnung verpflichtet die Behörden nicht zu einer Schonfrist. In der Praxis sind initiale Verfahren häufig Auskunfts- und Dokumentationsanfragen — wer keine Dokumentation vorlegen kann, gerät unmittelbar in eine Bußgeldsituation. Unternehmen, die im August 2026 noch keine Konformitätsbewertung begonnen haben, sollten den Betrieb des betreffenden Hochrisiko-KI-Systems bis zum Abschluss der Bewertung aussetzen oder sofortige rechtliche Beratung einholen.
