Der EU AI Act tritt in die Durchsetzungsphase: Was Sie wissen müssen

Wir hören schon seit Jahren vom EU AI Act als etwas, das „irgendwann kommen wird". Nun, er ist da: Der 2. August 2026 war von Anfang an als der Tag der vollen Anwendung der Verordnung markiert, und auch wenn sich der Zeitplan in den letzten Monaten geändert hat (dazu gleich mehr im Zeitstrahl), bleibt er ein Wendepunkt für jedes Unternehmen, das KI in Europa einsetzt oder seine Dienste europäischen Nutzern anbietet.
Ich habe in den letzten Monaten mit etlichen Unternehmen gesprochen und stoße dabei auf zwei Extreme: die einen glauben, das betreffe sie nicht, weil sie „keine KI machen", die anderen frieren Initiativen aus Angst vor der Regulierung ein. Ich finde, beide Haltungen beruhen darauf, die Verordnung nicht richtig zu verstehen, daher soll dieser Beitrag eine Einführung in die zentralen Ideen sein, ohne ins juristische Detail zu gehen.
Zunächst zwei Details, die oft übersehen werden. Der AI Act (Verordnung (EU) 2024/1689) ist eine Verordnung, keine Richtlinie: Er gilt unmittelbar in allen Mitgliedstaaten, ohne dass nationale Gesetze abgewartet werden müssen. Und er hat extraterritoriale Reichweite: Wenn Ihr Unternehmen außerhalb der EU sitzt, Ihre KI-Systeme aber auf europäischem Gebiet genutzt werden, gilt er auch für Sie. Das ist derselbe Brüssel-Effekt, den wir schon von der DSGVO kennen.
Wie er eingeführt wird: der aktualisierte Zeitplan
Die Verordnung tritt nicht auf einen Schlag in Kraft, sondern wird in Phasen eingeführt. Und genau hier liegt die größte Quelle der Verwirrung: Im Mai 2026 hat die politische Einigung zum „Digital Omnibus" die Pflichten für Hochrisiko-Systeme verschoben. Viele vor diesem Datum veröffentlichte Inhalte behaupten, „das gesamte Hochrisiko" trete im August 2026 in Kraft, und das stimmt nicht mehr. Hier der aktualisierte Zeitplan:
Die vier Risikostufen
Das ist das Erste, was man verinnerlichen muss: Der AI Act reguliert nicht „KI" im Abstrakten, sondern die Verwendungszwecke, für die wir sie einsetzen. Dasselbe Modell kann keinerlei Pflichten oder sehr viele haben, je nachdem, wofür man es nutzt.
Die Tabelle folgt der offiziellen Klassifizierung der Europäischen Kommission (die Kommission nennt die dritte Stufe übrigens „Transparenzrisiko", nicht „begrenztes Risiko"):
| Categoría | Unannehmbares Risiko | Hohes Risiko | Transparenzrisiko | Minimales oder kein Risiko |
|---|---|---|---|---|
| Status | Verboten | Strenge Pflichten | Offenlegungspflichten | Keine Pflichten |
| Was es ist | Klare Bedrohung für die Sicherheit, den Lebensunterhalt oder die Rechte von Personen | Verwendungen, die ernste Risiken für Gesundheit, Sicherheit oder Grundrechte bergen können | Verwendungen, bei denen Menschen wissen müssen, dass eine KI beteiligt ist, um Vertrauen zu wahren | Die große Mehrheit der heute in der EU genutzten KI-Systeme |
| Beispiele | Die Verordnung verbietet 8 Praktiken:
|
|
|
|
| Pflichten | Keine: Sie sind direkt verboten |
|
| Keine. Freiwillige Verhaltenskodizes |
| Gilt ab | Februar 2025 | Dezember 2027 (Anhang III) und August 2028 (in Produkte integrierte KI) | August 2026 | — |
Basierend auf der offiziellen Klassifizierung der Europäischen Kommission: digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
Hinzu kommt eine eigene Regelung für Allzweckmodelle (GPAI). Wenn Sie ein Unternehmen sind, das diese Modelle nur über eine API nutzt, sind diese Pflichten nicht Ihre, sondern die des Anbieters. Ihre eigenen hängen davon ab, wofür Sie sie nutzen.
Was am 2. August 2026 in Kraft tritt
Was jetzt in Kraft tritt und nicht verschoben wurde, sind die Transparenzpflichten aus Artikel 50:
- Interaktion mit KI: Wenn Ihr System mit Menschen interagiert (zum Beispiel ein Chatbot), müssen diese wissen, dass sie mit einer KI sprechen, es sei denn, dies ist aus dem Kontext offensichtlich.
- Synthetische Inhalte: Wenn Sie mit KI Bilder, Videos oder Audio erzeugen oder manipulieren, die authentisch wirken können (Deepfakes), müssen Sie diese entsprechend kennzeichnen.
- Texte von öffentlichem Interesse: KI-generierte Texte, die veröffentlicht werden, um über Angelegenheiten von öffentlichem Interesse zu informieren, müssen gekennzeichnet werden, es sei denn, es gibt eine redaktionelle Prüfung und menschliche Verantwortung.
- Technische Kennzeichnung: Anbieter generativer KI müssen ihre Ausgaben technisch als künstlich erzeugt kennzeichnen, in einem maschinenlesbaren Format.
Das betrifft deutlich mehr Unternehmen, als es scheint. Man muss keine Modelle trainieren oder Kredit-Scoring betreiben: Ein Kundenservice-Chatbot oder das Veröffentlichen von KI-generierten Inhalten reicht schon aus.
Sanktionen
Das Sanktionsregime gehört zu den härtesten im europäischen Digitalrecht. Bußgelder werden auf Basis des festen Betrags oder des Prozentsatzes des weltweiten Jahresumsatzes berechnet, je nachdem, was höher ist:
FAQ
Gilt der AI Act für mich, wenn ich nur KI von Drittanbietern nutze?
Was ändert sich genau am 2. August 2026?
Wurde nicht alles durch den Digital Omnibus verschoben?
Was passiert, wenn ich einen Kundenservice-Chatbot nutze?
Ist die Nutzung von Modellen verboten, die außerhalb der EU gehostet werden?
Der AI Act steht kurz davor, in seine Durchsetzungsphase einzutreten. Es ist daher nicht ratsam, die Arbeit an der Sicherstellung der Regelkonformität noch länger hinauszuzögern.
Für die meisten Unternehmen ist der erste Schritt einfach und erfordert keine Anwälte: Bestandsaufnahme der genutzten KI-Systeme (eigene und von Dritten), Einordnung nach Risikostufe und, davon ausgehend, Klärung, welche Pflichten wann gelten.
–
Dieser Beitrag ist eine informative Einführung, keine Rechtsberatung. Um Ihre Systeme einzuordnen und Ihre konkreten Pflichten zu kennen, wenden Sie sich an spezialisierte Rechtsberatung.