KI-Register erstellen: Schritt-für-Schritt-Anleitung für Unternehmen
KI-Register erstellen: Welche Felder ein KI-Inventar braucht und wie Sie es Schritt für Schritt aufbauen – die Basis jeder AI-Act-Nachweisführung.
Weiterlesen
41 Prozent aller Unternehmen in Deutschland setzen KI aktiv ein – vor zwei Jahren waren es 17 Prozent. Das zeigt die Bitkom-Studie 2026. Doch nur wenige wissen genau, welche Pflicht der KI-Verordnung wann greift. Genau darum geht es hier: Dieser Artikel führt Sie durch alle KI-Verordnung Fristen von 2025 bis 2027 – und zeigt, was Ihr Unternehmen bis wann getan haben muss.
Die Verordnung (EU) 2024/1689 tritt nicht auf einen Schlag in Kraft. Sie wird über mehrere Stufen anwendbar. Der zentrale Termin ist der 2. August 2026 – dann beginnt der allgemeine Geltungszeitraum.
Lesetipp: Alles, was Geschäftsführer über den sicheren KI-Einsatz wissen müssen – von der Risikoklassifizierung bis zur KI-Richtlinie – steht in unserem kostenlosen E-Book „KI sicher einsetzen – Der Leitfaden für Geschäftsführer” (93 Seiten). Jetzt herunterladen →
Die Verordnung staffelt ihre Pflichten in Artikel 113. Diese Tabelle zeigt, welche Regel zu welchem Datum greift und wen sie betrifft:
| Datum | Was greift | Für wen |
|---|---|---|
| 1. August 2024 | Inkrafttreten der KI-Verordnung – Beginn der Übergangsfristen, noch keine Pflichten | Alle (Startschuss) |
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) | Alle Anbieter & Betreiber |
| 2. August 2025 | Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI), Governance-Struktur, Sanktionsvorschriften (außer Art. 101) | GPAI-Anbieter; Betreiber indirekt |
| 2. August 2026 | Allgemeiner Geltungsbeginn: Hochrisiko-KI nach Anhang III (Art. 6 Abs. 2), Grundrechte-Folgenabschätzung/FRIA (Art. 27), Transparenzpflichten (Art. 50) | Betreiber & Anbieter betroffener Systeme |
| 2. August 2027 | Hochrisiko-KI als Sicherheitsbauteil regulierter Produkte nach Anhang I (Art. 6 Abs. 1) | Hersteller/Betreiber regulierter Produkte |
Wichtig ist die Unterscheidung der beiden Hochrisiko-Kategorien: Anhang III (eigenständige KI in sensiblen Bereichen) greift ab 2026, Anhang I (KI als Bestandteil bereits regulierter Produkte, etwa Maschinen oder Medizingeräte) erst ab 2027. Beides zu vermischen führt schnell zu falschen Planungen.
Zwei Pflichten sind schon in Kraft. Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken verboten – dazu zählen etwa Social Scoring durch Behörden und manipulative Systeme, die das Verhalten von Menschen unterschwellig beeinflussen (Art. 5).
Zeitgleich gilt die KI-Kompetenzpflicht nach Artikel 4. Anbieter und Betreiber müssen dafür sorgen, dass ihr Personal, das KI-Systeme bedient, über ausreichende Kenntnisse verfügt. Was das im Detail bedeutet und wie Sie den Nachweis führen, lesen Sie in unserem Beitrag zur KI-Kompetenzpflicht nach Artikel 4.
Die KI-Kompetenzpflicht nach Artikel 4 gilt seit dem 2. Februar 2025 – nicht erst ab 2026. Wer Mitarbeitende bislang nicht geschult und die Schulungen nicht dokumentiert hat, ist bereits im Verzug. Diese Pflicht betrifft jedes Unternehmen, das KI im Arbeitsalltag einsetzt.
Am 2. August 2026 gilt der allgemeine Geltungsbeginn der KI-Verordnung. Drei Pflichtenblöcke werden dann wirksam:
Viele Geschäftsführer starren auf den 2. August 2026, als würde vorher nichts passieren. Dabei läuft die KI-Kompetenzpflicht schon seit Februar 2025. Mein Rat: Fangen Sie nicht mit der Frist an, sondern mit dem Inventar. Wer weiß, welche KI im Haus genutzt wird, kann jede Frist ruhig angehen – statt kurz vor Toresschluss in Hektik zu verfallen.
Die Fristen laufen – diese fünf Schritte bringen Sie in geordnete Bahnen:
Die Sanktionen richten sich nach Artikel 99 und sind gestaffelt:
Die KI-Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten. Für die Marktüberwachung in Deutschland ist die Bundesnetzagentur (BNetzA) vorgesehen. Die nationale Ausgestaltung erfolgt über das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG), das sich in nationaler Umsetzung befindet. Ein verbindliches „Gilt-seit”-Datum für das nationale Gesetz gibt es daher noch nicht – die EU-Fristen aus der Verordnung bleiben davon jedoch unberührt.
Einen laufend aktualisierten Überblick über den Umsetzungsstand bietet die Europäische Kommission (Digital Strategy).
Die KI-Verordnung Fristen folgen einem klaren Zeitplan: Verbote und KI-Kompetenz seit Februar 2025, GPAI-Pflichten seit August 2025, der große Geltungsbeginn für Hochrisiko-KI ab dem 2. August 2026 und die Produktsicherheits-Fälle ab 2027. Wer heute mit Inventar, Risikoklassifizierung und Schulungsnachweisen beginnt, hat bis zum Stichtag ausreichend Zeit.
Einen praxisnahen Einstieg speziell für kleinere Betriebe bietet unser Beitrag AI Act für KMU: Was Mittelständler jetzt wissen müssen.
KI-Compliance strukturiert dokumentieren – von der Klassifizierung bis zum KI-Register
frag.hugo unterstützt Sie dabei, Ihre KI-Systeme zu erfassen, einzustufen und die Fristen der KI-Verordnung im Blick zu behalten.
KI-Compliance mit frag.hugo ansehen →Die KI-Verordnung wird stufenweise anwendbar. Der allgemeine Geltungsbeginn ist der 2. August 2026 – ab dann greifen die Pflichten für Hochrisiko-KI nach Anhang III, die Grundrechte-Folgenabschätzung (FRIA) und die Transparenzpflichten. Verbote und KI-Kompetenzpflicht gelten bereits seit dem 2. Februar 2025.
Die KI-Kompetenzpflicht nach Artikel 4 der KI-Verordnung gilt seit dem 2. Februar 2025. Anbieter und Betreiber müssen seitdem für eine ausreichende KI-Kompetenz ihres Personals sorgen, das KI-Systeme bedient.
Am 2. August 2026 beginnt der allgemeine Geltungszeitraum. Es greifen die Pflichten für Hochrisiko-KI-Systeme nach Anhang III (Art. 6 Abs. 2), die Pflicht zur Grundrechte-Folgenabschätzung nach Artikel 27 für bestimmte Betreiber sowie die Transparenzpflichten nach Artikel 50.
Nach Artikel 99 drohen bei verbotenen KI-Praktiken bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, bei sonstigen Verstößen gegen Anbieter- oder Betreiberpflichten bis zu 15 Mio. Euro oder 3 %, bei falschen Angaben bis zu 7,5 Mio. Euro oder 1 %. Für KMU gilt jeweils der niedrigere der beiden Beträge.
Ja. Die KI-Verordnung unterscheidet zwischen Anbietern und Betreibern. Die meisten Unternehmen sind Betreiber – etwa wenn sie ein KI-gestütztes Bewerbertool einsetzen. Auch Betreiber haben konkrete Pflichten, insbesondere bei Hochrisiko-Systemen ab dem 2. August 2026.
Inhaltsverzeichnis
KI-Register erstellen: Welche Felder ein KI-Inventar braucht und wie Sie es Schritt für Schritt aufbauen – die Basis jeder AI-Act-Nachweisführung.
Weiterlesen
Hochrisiko-KI nach Anhang III erkennen: die 4 Risikoklassen der KI-Verordnung, die 8 Hochrisiko-Bereiche und welche Pflichten ab 2. August 2026 gelten.
Weiterlesen
FRIA Grundrechte-Folgenabschätzung nach Art. 27 KI-VO: Wer ist verpflichtet, was gehört hinein und wie sie die DSFA ergänzt. Pflicht ab August 2026.
WeiterlesenÜber den Autor
Datenschutzberater & Geschäftsführer
Nils ist TÜV-zertifizierter Datenschutzbeauftragter. Seit über 13 Jahren betreut er Mittelständler bei DSGVO, NIS2 und dem EU AI Act. Geschäftsführer der frag.hugo Informationssicherheit GmbH und der datuno GmbH, leitet außerdem die BVMID-Geschäftsstelle Hamburg Süd/Ost.
Vier Klicks zum schriftlichen Festpreis-Angebot — oder direkt anrufen. Wir hören zu, sortieren Ihr Thema und sagen Ihnen ehrlich, ob wir helfen können.
Lieber erstmal schreiben? Kontaktformular