Timeline zum EU AI Act

Stand: 2026
Lesezeit: ca. 5 Minuten

Das Wichtigste zum EU AI Act auf einen Blick

Der EU AI Act (KI-Verordnung) ist das weltweit erste umfassende Regelwerk zur risikobasierten Regulierung von Künstlicher Intelligenz. Er betrifft nicht nur KI-Anbieter, sondern ausdrücklich auch Unternehmen, die KI-Systeme einsetzen, integrieren oder betreiben. Für mittelständische Unternehmen ist die Verordnung besonders relevant, da KI bereits heute in vielen Geschäftsprozessen genutzt wird – häufig als SaaS-Lösung und dezentral in Fachbereichen.

Der AI Act verpflichtet Unternehmen dazu, KI-Anwendungen systematisch zu erfassen, risikobasiert einzuordnen, klare Verantwortlichkeiten festzulegen und entsprechende organisatorische, technische und dokumentarische Nachweise vorzuhalten. Die Umsetzung erfolgt stufenweise bis 2027.

Kerndaten des EU AI Act

Der EU AI Act verfolgt einen risikobasierten Ansatz und unterscheidet KI-Systeme nach ihrem potenziellen Schaden für Menschen, Grundrechte und Gesellschaft. Ergänzend reguliert er erstmals auch General-Purpose AI (GPAI) bzw. Allzweck-KI-Modelle wie große Sprachmodelle anhand ihrer Leistungsfähigkeit und Reichweite.

Die Verordnung ist entlang mehrerer Regelungsbereiche strukturiert, darunter verbotene Praktiken, Hochrisiko-KI, Transparenzpflichten, GPAI-Modelle, Governance, Marktüberwachung und Sanktionen. Für Unternehmen ist entscheidend, ihre jeweilige Rolle (Betreiber oder Anbieter), die Risikoklasse der eingesetzten KI sowie die daraus resultierenden Pflichten nachvollziehbar bestimmen zu können.

Hintergrund und Ziele

Ziel des AI Acts ist es, vertrauenswürdige und menschenzentrierte KI zu fördern, Risiken zu begrenzen und gleichzeitig Innovation im europäischen Binnenmarkt zu ermöglichen. KI-Anwendungen kommen heute entlang der gesamten Wertschöpfungskette zum Einsatz – etwa im Kundenservice, Recruiting, in der Betrugsprävention, Qualitätskontrolle, IT-Sicherheit oder im Marketing.

Gerade diese breite und oft wenig zentral gesteuerte Nutzung führt zu regulatorischen, organisatorischen und technischen Risiken. Der EU AI Act setzt hier an und verlangt einen strukturierten, unternehmensweiten Umgang mit KI, unabhängig davon, ob die Systeme selbst entwickelt oder extern bezogen werden.

Wesentlicher Regelungsinhalt

Kern des AI Acts ist die Einteilung von KI-Systemen in vier Risikokategorien: verbotene KI-Praktiken, Hochrisiko-KI, KI mit Transparenzpflichten sowie KI mit minimalem Risiko. Hochrisiko-KI-Systeme unterliegen umfangreichen Anforderungen, unter anderem an Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht und Monitoring.

Zusätzlich führt der AI Act spezifische Pflichten für GPAI-Modelle ein, einschließlich Codes of Practice, Transparenz- und Mitwirkungspflichten. Die Anwendung der Regelungen erfolgt schrittweise: Erste Pflichten gelten bereits ab Februar 2025, der vollständige Anwendungsbeginn ist für August 2026 vorgesehen, einzelne Hochrisiko-Pflichten greifen erst ab 2027. Unternehmen müssen ihre Governance-Strukturen daher frühzeitig aufbauen und entlang der Timeline weiterentwickeln.

Sanktionen und Durchsetzung

Der EU AI Act sieht empfindliche Bußgelder vor, insbesondere bei Verstößen gegen verbotene KI-Praktiken oder Hochrisiko-Anforderungen. Neben finanziellen Sanktionen drohen auch Marktüberwachungsmaßnahmen und Nutzungsuntersagungen. Entscheidend ist daher eine belastbare Dokumentation, die jederzeit nachweisen kann, wie KI-Systeme klassifiziert, gesteuert und überwacht werden.

Quelle