Direkt zum Artikeltext springen

Inhalt in Kürze

  • Die KI-Verordnung wird stufenweise anwendbar – vom Inkrafttreten am 1. August 2024 bis zur vollen Geltung 2027.
  • Der wichtigste Stichtag ist der 2. August 2026: Ab dann greifen die Pflichten für Hochrisiko-KI nach Anhang III, die Grundrechte-Folgenabschätzung (FRIA) und die Transparenzpflichten.
  • Die KI-Kompetenzpflicht nach Artikel 4 gilt bereits seit dem 2. Februar 2025 – ebenso wie das Verbot bestimmter KI-Praktiken.
  • Bußgelder reichen bis 35 Mio. Euro oder 7 % des Jahresumsatzes; für KMU gilt jeweils der niedrigere Betrag (Art. 99).

41 Prozent aller Unternehmen in Deutschland setzen KI aktiv ein – vor zwei Jahren waren es 17 Prozent. Das zeigt die Bitkom-Studie 2026. Doch nur wenige wissen genau, welche Pflicht der KI-Verordnung wann greift. Genau darum geht es hier: Dieser Artikel führt Sie durch alle KI-Verordnung Fristen von 2025 bis 2027 – und zeigt, was Ihr Unternehmen bis wann getan haben muss.

Die Verordnung (EU) 2024/1689 tritt nicht auf einen Schlag in Kraft. Sie wird über mehrere Stufen anwendbar. Der zentrale Termin ist der 2. August 2026 – dann beginnt der allgemeine Geltungszeitraum.

Lesetipp: Alles, was Geschäftsführer über den sicheren KI-Einsatz wissen müssen – von der Risikoklassifizierung bis zur KI-Richtlinie – steht in unserem kostenlosen E-Book „KI sicher einsetzen – Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →

KI-Verordnung Fristen: der komplette Zeitstrahl

Die Verordnung staffelt ihre Pflichten in Artikel 113. Diese Tabelle zeigt, welche Regel zu welchem Datum greift und wen sie betrifft:

DatumWas greiftFür wen
1. August 2024Inkrafttreten der KI-Verordnung – Beginn der Übergangsfristen, noch keine PflichtenAlle (Startschuss)
2. Februar 2025Verbotene KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4)Alle Anbieter & Betreiber
2. August 2025Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI), Governance-Struktur, Sanktionsvorschriften (außer Art. 101)GPAI-Anbieter; Betreiber indirekt
2. August 2026Allgemeiner Geltungsbeginn: Hochrisiko-KI nach Anhang III (Art. 6 Abs. 2), Grundrechte-Folgenabschätzung/FRIA (Art. 27), Transparenzpflichten (Art. 50)Betreiber & Anbieter betroffener Systeme
2. August 2027Hochrisiko-KI als Sicherheitsbauteil regulierter Produkte nach Anhang I (Art. 6 Abs. 1)Hersteller/Betreiber regulierter Produkte

Wichtig ist die Unterscheidung der beiden Hochrisiko-Kategorien: Anhang III (eigenständige KI in sensiblen Bereichen) greift ab 2026, Anhang I (KI als Bestandteil bereits regulierter Produkte, etwa Maschinen oder Medizingeräte) erst ab 2027. Beides zu vermischen führt schnell zu falschen Planungen.

Was bereits gilt: Verbote und KI-Kompetenz

Zwei Pflichten sind schon in Kraft. Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken verboten – dazu zählen etwa Social Scoring durch Behörden und manipulative Systeme, die das Verhalten von Menschen unterschwellig beeinflussen (Art. 5).

Zeitgleich gilt die KI-Kompetenzpflicht nach Artikel 4. Anbieter und Betreiber müssen dafür sorgen, dass ihr Personal, das KI-Systeme bedient, über ausreichende Kenntnisse verfügt. Was das im Detail bedeutet und wie Sie den Nachweis führen, lesen Sie in unserem Beitrag zur KI-Kompetenzpflicht nach Artikel 4.

Achtung:

Die KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025 – nicht erst ab 2026. Wer Mitarbeitende bislang nicht geschult und die Schulungen nicht dokumentiert hat, ist bereits im Verzug. Diese Pflicht betrifft jedes Unternehmen, das KI im Arbeitsalltag einsetzt.

Der 2. August 2026: der entscheidende Stichtag

Am 2. August 2026 gilt der allgemeine Geltungsbeginn der KI-Verordnung. Drei Pflichtenblöcke werden dann wirksam:

  • Hochrisiko-KI nach Anhang III (Art. 6 Abs. 2): Systeme in acht sensiblen Bereichen gelten als hochriskant – darunter Biometrie, kritische Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Personalmanagement, der Zugang zu grundlegenden privaten und öffentlichen Diensten, Strafverfolgung, Migration sowie Rechtspflege. Für Betreiber heißt das unter anderem: menschliche Aufsicht sicherstellen, den Betrieb dokumentieren und betroffene Personen informieren.
  • Grundrechte-Folgenabschätzung / FRIA (Art. 27): Bestimmte Betreiber müssen vor dem Einsatz einer Hochrisiko-KI die Auswirkungen auf die Grundrechte bewerten. Die Pflicht trifft vor allem öffentliche Stellen und private Anbieter öffentlicher Dienstleistungen sowie Betreiber von KI zur Bonitäts- oder Versicherungsbewertung. Die FRIA ergänzt eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO, ersetzt sie aber nicht (Art. 27 Abs. 4).
  • Transparenzpflichten (Art. 50): Chatbots, KI-generierte Inhalte und ähnliche Systeme mit begrenztem Risiko müssen als solche gekennzeichnet werden, damit Nutzer wissen, dass sie mit einer KI interagieren.
2. Aug. 2026
Geltungsbeginn Hochrisiko
Anhang III
8 Hochrisiko-Bereiche
seit Feb. 2025
KI-Kompetenzpflicht (Art. 4)
35 Mio. €
Bußgeld-Höchstrahmen

Aus der Praxis

Viele Geschäftsführer starren auf den 2. August 2026, als würde vorher nichts passieren. Dabei läuft die KI-Kompetenzpflicht schon seit Februar 2025. Mein Rat: Fangen Sie nicht mit der Frist an, sondern mit dem Inventar. Wer weiß, welche KI im Haus genutzt wird, kann jede Frist ruhig angehen – statt kurz vor Toresschluss in Hektik zu verfallen.

Nils Oehmichen Nils OehmichenDatenschutzberater bei frag.hugo

Was Ihr Unternehmen bis wann getan haben muss

Die Fristen laufen – diese fünf Schritte bringen Sie in geordnete Bahnen:

  1. Sofort – KI-Kompetenz nachweisen: Schulen Sie alle Mitarbeitenden, die KI nutzen, und dokumentieren Sie es. Die Pflicht gilt seit Februar 2025 und ist bereits fällig.
  2. Jetzt – KI-Inventar erstellen: Erfassen Sie jedes eingesetzte KI-System – von ChatGPT über HR-Software bis zum Spam-Filter. Fragen Sie jede Abteilung einzeln ab.
  3. Bis Anfang 2026 – Risikoklassen bestimmen: Ordnen Sie jedes System einer Klasse zu (verboten, hochriskant, begrenztes oder minimales Risiko). HR- und Bonitätstools fallen oft unter Anhang III.
  4. Bis 2. August 2026 – Hochrisiko-Pflichten umsetzen: Für Anhang-III-Systeme menschliche Aufsicht, Dokumentation und – wo einschlägig – die FRIA vorbereiten. Transparenzhinweise für Chatbots und generierte Inhalte einrichten.
  5. Laufend – Verantwortlichkeiten festlegen: Benennen Sie eine zuständige Person für KI-Compliance. Häufig übernimmt das der Datenschutzbeauftragte. Eine strukturierte Dokumentation gelingt zum Beispiel über ein [KI-Register mit frag.hugo](/hugo-ki/).

Bußgelder: Was bei Versäumnissen droht

Die Sanktionen richten sich nach Artikel 99 und sind gestaffelt:

  • Verbotene KI-Praktiken (Art. 5): bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes.
  • Sonstige Verstöße gegen Anbieter- oder Betreiberpflichten (auch Art. 27): bis zu 15 Mio. Euro oder 3 % des Umsatzes.
  • Falsche oder unvollständige Angaben gegenüber Behörden: bis zu 7,5 Mio. Euro oder 1 % des Umsatzes.
Das Wichtigste für KMU: Bei jeder dieser Kategorien gilt für kleine und mittlere Unternehmen jeweils der niedrigere der beiden Beträge. Das mildert die Höchstsummen, entbindet aber nicht von den Pflichten.

Deutschland: Wer überwacht die KI-Verordnung?

Die KI-Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten. Für die Marktüberwachung in Deutschland ist die Bundesnetzagentur (BNetzA) vorgesehen. Die nationale Ausgestaltung erfolgt über das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), das sich in nationaler Umsetzung befindet. Ein verbindliches „Gilt-seit”-Datum für das nationale Gesetz gibt es daher noch nicht – die EU-Fristen aus der Verordnung bleiben davon jedoch unberührt.

Einen laufend aktualisierten Überblick über den Umsetzungsstand bietet die Europäische Kommission (Digital Strategy).

Fazit

Die KI-Verordnung Fristen folgen einem klaren Zeitplan: Verbote und KI-Kompetenz seit Februar 2025, GPAI-Pflichten seit August 2025, der große Geltungsbeginn für Hochrisiko-KI ab dem 2. August 2026 und die Produktsicherheits-Fälle ab 2027. Wer heute mit Inventar, Risikoklassifizierung und Schulungsnachweisen beginnt, hat bis zum Stichtag ausreichend Zeit.

Einen praxisnahen Einstieg speziell für kleinere Betriebe bietet unser Beitrag AI Act für KMU: Was Mittelständler jetzt wissen müssen.

KI-Compliance strukturiert dokumentieren – von der Klassifizierung bis zum KI-Register

frag.hugo unterstützt Sie dabei, Ihre KI-Systeme zu erfassen, einzustufen und die Fristen der KI-Verordnung im Blick zu behalten.

KI-Compliance mit frag.hugo ansehen →

Häufige Fragen (FAQ)

Wann gilt die KI-Verordnung vollständig?

Die KI-Verordnung wird stufenweise anwendbar. Der allgemeine Geltungsbeginn ist der 2. August 2026 – ab dann greifen die Pflichten für Hochrisiko-KI nach Anhang III, die Grundrechte-Folgenabschätzung (FRIA) und die Transparenzpflichten. Verbote und KI-Kompetenzpflicht gelten bereits seit dem 2. Februar 2025.

Seit wann gilt die KI-Kompetenzpflicht nach Artikel 4?

Die KI-Kompetenzpflicht nach Artikel 4 der KI-Verordnung gilt seit dem 2. Februar 2025. Anbieter und Betreiber müssen seitdem für eine ausreichende KI-Kompetenz ihres Personals sorgen, das KI-Systeme bedient.

Was passiert am 2. August 2026 genau?

Am 2. August 2026 beginnt der allgemeine Geltungszeitraum. Es greifen die Pflichten für Hochrisiko-KI-Systeme nach Anhang III (Art. 6 Abs. 2), die Pflicht zur Grundrechte-Folgenabschätzung nach Artikel 27 für bestimmte Betreiber sowie die Transparenzpflichten nach Artikel 50.

Welche Bußgelder drohen nach der KI-Verordnung?

Nach Artikel 99 drohen bei verbotenen KI-Praktiken bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, bei sonstigen Verstößen gegen Anbieter- oder Betreiberpflichten bis zu 15 Mio. Euro oder 3 %, bei falschen Angaben bis zu 7,5 Mio. Euro oder 1 %. Für KMU gilt jeweils der niedrigere der beiden Beträge.

Gilt die KI-Verordnung auch für Unternehmen, die KI nur nutzen?

Ja. Die KI-Verordnung unterscheidet zwischen Anbietern und Betreibern. Die meisten Unternehmen sind Betreiber – etwa wenn sie ein KI-gestütztes Bewerbertool einsetzen. Auch Betreiber haben konkrete Pflichten, insbesondere bei Hochrisiko-Systemen ab dem 2. August 2026.

Artikel teilen

Weiterlesen

Ähnliche Artikel

Nils Oehmichen

Nils Oehmichen

Datenschutzberater & Geschäftsführer

Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.

TÜV-zertifiziert BVMID Hamburg 13+ Jahre DSB 200+ Mandate
Nächster Schritt

Haben Sie Fragen?

Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.

Lieber erstmal schreiben? Kontaktformular