← Zurück zum Blog

8. Juli 2026 · 4 Min. Lesezeit

EU AI Act verschoben: Diese Pflichten gelten trotzdem

Hochrisiko-Pflichten rutschen auf Ende 2027, doch Schulungspflicht, KI-Verbote und GPAI-Regeln gelten längst. Der neue AI-Act-Zeitplan im Überblick.

AA
Anton Anders
IT-Berater & Entwickler

Die EU hat Fristen des AI Act verschoben — aber nur für eine Kategorie: Hochrisiko-Systeme. Deren Pflichten gelten jetzt ab dem 2. Dezember 2027 (eigenständige Systeme nach Anhang III) beziehungsweise ab dem 2. August 2028 (KI in regulierten Produkten). Alles andere bleibt, wie es war: Die KI-Verbote und die Schulungspflicht gelten seit Februar 2025, die Regeln für große KI-Modelle seit August 2025, und die Kennzeichnungspflichten kommen im August 2026 wie geplant. Verschoben heißt also nicht abgesagt.

Der Reihe nach. Der ursprüngliche Zeitplan war nicht zu halten — die harmonisierten Standards, gegen die Hochrisiko-Systeme geprüft werden sollen, sind bis heute nicht fertig. Niemandem ist geholfen, wenn eine Pflicht greift, die noch gar nicht erfüllbar ist. Also hat die Kommission Ende 2025 ein Änderungspaket vorgeschlagen, den „Digital Omnibus“. Das Parlament hat ihn am 16. Juni 2026 angenommen, der Rat am 29. Juni bestätigt (die Fristen im Detail bei Gibson Dunn). Bevor die alte Frist am 2. August 2026 gegriffen hätte, soll das Ganze im Amtsblatt stehen.

Soweit die Nachrichtenlage. Das Problem ist, was viele daraus machen: „AI Act verschoben“ wird gelesen als „Thema erledigt sich später“. Für die meisten Betriebe stimmt das nicht, denn die Pflichten, die den Alltag tatsächlich betreffen, gelten längst.

Wie immer an dieser Stelle: technische Einordnung, kein Rechtsrat. Die juristische Bewertung eures Falls gehört zu einer Fachperson.

Was gilt wann?

Ab wannWas
Februar 2025KI-Verbote: kein Social Scoring, keine manipulativen Systeme, keine Emotionserkennung am Arbeitsplatz — und die Schulungspflicht für alle, die KI einsetzen
August 2025Pflichten für die Anbieter großer KI-Modelle. Das trifft OpenAI, Google und Co., nicht euch als Anwender
2. August 2026Kennzeichnung: Chatbots müssen sich als KI zu erkennen geben, KI-generierte Inhalte markiert werden
2. Dezember 2026Neues Verbot: KI-generierte Missbrauchs- und nicht einvernehmliche Intimdarstellungen
2. Dezember 2027Verschoben hierher: Hochrisiko-Pflichten für eigenständige Systeme — Recruiting, Kreditvergabe, kritische Infrastruktur (Anhang III)
2. August 2028Verschoben hierher: Hochrisiko-KI, die in regulierten Produkten steckt, etwa Medizingeräten (Anhang I)

Die Verschiebung betrifft die letzten beiden Zeilen. Wer heute ChatGPT im Vertrieb, einen Übersetzungsdienst im Support und demnächst einen Chatbot auf der Website hat, findet sich in den oberen vier wieder — und die galten oder kommen pünktlich.

Die Schulungspflicht ist kleiner, als sie klingt

Über kaum eine Pflicht wird so viel Unsinn erzählt wie über Artikel 4. Es gibt Anbieter, die daraus eine Zertifikatspflicht mit Pflichtkurs konstruieren — steht da nicht. Verlangt ist, dass Leute, die mit KI arbeiten, das Werkzeug verstehen: was es kann, wo es systematisch danebenliegt, welche Daten hineindürfen und welche nicht.

Für einen typischen Mittelständler ist das ein Nachmittag. Eine interne Schulung, ein paar schriftliche Regeln, eine Teilnehmerliste — fertig. Das Herzstück ist ohnehin keine KI-Frage, sondern eine Datenfrage: welche Datenklassen in welche Systeme dürfen. Wer diese Matrix einmal aufstellt, hat die Schulungsunterlage schon fast geschrieben und nebenbei den größten Teil der DSGVO-Hausaufgaben erledigt.

Der Klassiker: Hochrisiko im Haus, ohne es zu merken

Der AI Act unterscheidet Anbieter (die ein KI-System entwickeln oder unter eigenem Namen vermarkten) und Betreiber (die es einsetzen). Als Betreiber ist eure Pflichtenliste kurz — bis ein Hochrisiko-System ins Spiel kommt. Und das passiert schneller als gedacht: Beschäftigung steht ausdrücklich in Anhang III. Wer Bewerbungen von einer KI vorsortieren oder bewerten lässt, betreibt ein Hochrisiko-System, auch als Zehn-Personen-Betrieb.

Genau für solche Fälle ist die neue Frist Dezember 2027 gedacht. Zeit genug, menschliche Aufsicht, saubere Eingabedaten und Protokolle aufzusetzen — wenn man anfängt. Ein Geschenk, kein Freibrief.

Womit ihr die Zeit sinnvoll füllt

Der erste Schritt kostet nichts außer Ehrlichkeit: eine Liste, welche KI im Unternehmen läuft. Die offizielle und die inoffizielle — das ChatGPT-Konto, das sich der Vertrieb privat angelegt hat, zählt mit. Ohne dieses Inventar ist jede Compliance-Diskussion Raterei.

Danach die Datenfrage: Was geht in welche Systeme, und was gehört gar nicht erst auf fremde Server? Und schließlich die Schulung aus Artikel 4, dokumentiert. Drei überschaubare Schritte, keiner davon braucht eine Kanzlei.

Auf die leichte Schulter nehmen sollte man das Thema trotzdem nicht: Verstöße gegen die KI-Verbote kosten bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes (Verordnung (EU) 2024/1689, Art. 99). Betreiberpflichten liegen darunter — existenzbedrohend für einen Mittelständler sind auch die. Wer bei der Einordnung Unterstützung will, holt sich einmal unabhängige Beratung; das ist ein überschaubares Projekt, kein Dauerauftrag.


Wollt ihr wissen, wo eure KI-Nutzung im AI Act einsortiert ist und was bis wann zu tun bleibt? Schreib mir — wir gehen eure Anwendungsfälle durch und machen eine ehrliche Liste.

Häufige Fragen

Wurde der EU AI Act verschoben? +

Teilweise. Der Digital Omnibus verschiebt die Pflichten für Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027 und für KI in regulierten Produkten auf den 2. August 2028. Die verbotenen Praktiken, die Schulungspflicht aus Artikel 4 und die GPAI-Regeln gelten unverändert weiter.

Welche AI-Act-Pflichten gelten schon jetzt? +

Seit Februar 2025 gelten die verbotenen Praktiken (Artikel 5) und die KI-Kompetenzpflicht (Artikel 4), seit August 2025 die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck. Ab dem 2. August 2026 kommen die Transparenzpflichten aus Artikel 50 dazu, etwa die Kennzeichnung von Chatbots.

Was verlangt die KI-Schulungspflicht aus Artikel 4? +

Wer KI einsetzt, muss dafür sorgen, dass die eigenen Leute ausreichend KI-Kompetenz haben: Sie sollen wissen, was das Werkzeug kann, wo es irrt und welche Daten sie ihm geben dürfen. Ein zertifizierter Kurs ist nicht vorgeschrieben — eine dokumentierte interne Schulung reicht in den meisten Fällen.

Betrifft der AI Act auch kleine Unternehmen? +

Ja. Die Pflichten hängen an der Rolle (Anbieter oder Betreiber) und an der Risikoklasse des Systems, nicht an der Unternehmensgröße. Auch ein Zehn-Personen-Betrieb, der Bewerbungen per KI vorsortiert, betreibt ein Hochrisiko-System.

Klingt nach deinem Thema?

Lass uns unverbindlich darüber reden — kostenlos und ohne Verpflichtung.