Überblick
Der EU AI Act ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Anders als die DSGVO tritt er jedoch nicht vollständig auf einmal in Kraft, sondern folgt einem gestaffelten Zeitplan mit klar definierten Übergangsfristen.
Für Unternehmen bedeutet das: Die Regulierung wirkt bereits jetzt – auch wenn einzelne Pflichten erst 2025, 2026 oder 2027 vollständig anwendbar werden. Wer KI-Systeme entwickelt, integriert oder betreibt, sollte die Timeline genau kennen, um Risiken zu minimieren und Compliance strukturiert aufzubauen.
Dieser Beitrag gibt eine vollständige Übersicht über:
- Inkrafttreten
- Anwendungsbeginn einzelner Kapitel
- Fristen für GPAI-Modelle
- Fristen für Hochrisiko-Systeme
- Handlungsschritte für Unternehmen
Inkrafttreten vs. Anwendbarkeit – Der Unterschied
Zunächst ist wichtig, zwei Begriffe sauber zu unterscheiden:
| Begriff | Bedeutung |
|---|---|
| Inkrafttreten | Der Rechtsakt ist formell gültig |
| Anwendbarkeit | Die konkreten Pflichten müssen erfüllt werden |
Der EU AI Act ist im August 2024 in Kraft getreten. Die meisten materiellen Pflichten gelten jedoch erst schrittweise.
Wichtig zu verstehen
Der EU AI Act gilt bereits als verbindliches EU-Recht. Unternehmen können sich nicht darauf berufen, „noch nichts tun zu müssen", nur weil einzelne Pflichten später anwendbar werden.
Vollständige Timeline des EU AI Act
Übersicht der zentralen Meilensteine
| Datum | Meilenstein | Inhalt |
|---|---|---|
| August 2024 | Inkrafttreten | Veröffentlichung im Amtsblatt + 20 Tage |
| Februar 2025 | Verbotene Praktiken anwendbar | Art. 5 AI Act |
| August 2025 | GPAI-Pflichten + Governance-Strukturen | Art. 51–56 |
| August 2026 | Hochrisiko-Systeme (Anhang III) | Hauptpflichten für Anbieter & Betreiber |
| August 2027 | Vollständige Anwendung | inkl. Hochrisiko als Sicherheitskomponente |
Phase 1 – Februar 2025: Verbotene KI-Praktiken
Ab Februar 2025 gelten die Verbote nach Art. 5 EU AI Act verbindlich.
Dazu gehören unter anderem:
- Social Scoring durch staatliche Stellen
- Manipulative KI-Systeme
- Ausnutzung schutzbedürftiger Personen
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen)
- Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen
Bußgeldrisiko
Verstöße gegen Art. 5 können mit bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes sanktioniert werden.
Was Unternehmen bis dahin tun sollten:
- Bestandsaufnahme aller eingesetzten KI-Systeme
- Prüfung auf mögliche verbotene Praktiken
- Dokumentation der Zweckbestimmung
- Anpassung oder Abschaltung problematischer Funktionen
Phase 2 – August 2025: GPAI-Modelle & Governance
Ab August 2025 gelten spezielle Regeln für:
- Anbieter von General Purpose AI (GPAI)
- Betreiber systemischer GPAI-Modelle
Zwei Stufen bei GPAI:
| Kategorie | Kriterien | Pflichten |
|---|---|---|
| Standard-GPAI | Allgemeine KI-Modelle | Technische Dokumentation, Trainingsdaten-Zusammenfassung |
| GPAI mit systemischem Risiko | >10^25 FLOPs | Adversarial Testing, Incident Reporting, Cybersicherheitsmaßnahmen |
Wichtig: Unternehmen, die ein API-basiertes LLM nutzen (z. B. über Cloud-Anbieter), sind in der Regel nicht Anbieter eines GPAI-Modells – können jedoch Betreiber eines Hochrisiko-Systems werden.
Trugschluss vermeiden
API-Nutzung macht Sie nicht automatisch zum Anbieter – aber funktionale Änderungen oder Re-Branding können diese Rolle verschieben.
Phase 3 – August 2026: Hochrisiko-KI-Systeme (Anhang III)
Ab August 2026 gelten die umfassenden Compliance-Anforderungen für Hochrisiko-Systeme nach Anhang III.
Betroffene Bereiche u. a.:
- Biometrische Identifizierung
- Kritische Infrastruktur
- Bildung
- Beschäftigung
- Kreditscoring
- Strafverfolgung
- Migration
- Justiz
Zentrale Pflichten für Anbieter
- Risikomanagementsystem
- Daten-Governance
- Technische Dokumentation
- Logging
- Transparenzpflichten
- Menschliche Aufsicht
- Genauigkeit & Robustheit
- Konformitätserklärung + CE-Kennzeichnung
Vorbereitungszeit nutzen
Hochrisiko-Compliance benötigt oft 12–18 Monate Vorlaufzeit. Unternehmen sollten spätestens jetzt mit Gap-Analysen beginnen.
Phase 4 – August 2027: Vollständige Anwendung
Ab August 2027 gilt der AI Act vollständig, einschließlich:
- Hochrisiko-KI als Sicherheitskomponente von Produkten
- Vollständige Marktüberwachung
- EU-weite Datenbankpflichten
- Post-Market Monitoring
Praktische Umsetzung – Was Unternehmen JETZT tun sollten
Schritt 1 – KI-Inventur
- Welche Systeme nutzen wir?
- Eigenentwicklung oder Drittanbieter?
- In welchen Geschäftsprozessen?
Schritt 2 – Erste Risikoklassifizierung
- Verbotene Praktiken?
- Hochrisiko nach Anhang III?
- GPAI-Bezug?
Schritt 3 – Gap-Analyse
- Technische Dokumentation vorhanden?
- Logging implementiert?
- Menschliche Aufsicht definiert?
- Trainingsdaten dokumentiert?
Schritt 4 – Governance-Struktur
- Verantwortliche Person benannt?
- AI-Compliance-Prozess definiert?
- Schnittstelle Datenschutz ↔ KI-Governance geklärt?
Zeitplan als Entscheidungsgrundlage
Viele Unternehmen unterschätzen den organisatorischen Aufwand:
| Maßnahme | Durchschnittliche Implementierungsdauer |
|---|---|
| KI-Inventur | 1–3 Monate |
| Risikoklassifizierung | 1–2 Monate |
| Technische Dokumentation | 3–6 Monate |
| Qualitätsmanagementsystem | 6–12 Monate |
| Konformitätsbewertung | 3–6 Monate |
Die regulatorische Uhr läuft bereits.
Verbindung zur DSGVO
Der AI Act ersetzt die DSGVO nicht.
Beide gelten parallel.
Typische Schnittstellen:
- Datenschutz-Folgenabschätzung (DSFA)
- Transparenzpflichten
- Zweckbindung
- Datenminimierung
- Betroffenenrechte
Unternehmen benötigen daher integrierte Governance-Strukturen.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Etwas Neuartiges oder Hochriskantes?
Kollaborieren Sie mit Creativate AI Studio und einem Netzwerk von Branchenexperten und Deep-Tech-Forschern, um fortgeschrittene KI-Systeme zu erforschen, zu prototypisieren und zu validieren.
Nächste Schritte
- Führen Sie eine strukturierte KI-Inventur durch.
- Klassifizieren Sie Ihre Systeme nach AI Act Risikoklassen.
- Identifizieren Sie regulatorische Lücken.
- Entwickeln Sie eine interne AI-Governance-Roadmap.
- Planen Sie Budget und Ressourcen für 2025–2027 ein.
Hilfe bei der Umsetzung?
Arbeiten Sie mit Creativate AI Studio zusammen, um KI-Systeme zu entwerfen, zu validieren und zu implementieren — technisch fundiert, regelkonform und produktionsbereit.
Rechtliche Klarheit gefragt?
Für spezifische Rechtsfragen zum AI Act und zur DSGVO steht Ihnen spezialisierte Rechtsberatung mit Fokus auf KI-Regulierung, Datenschutz und Compliance-Strukturen zur Verfuegung.
Unabhaengige Rechtsberatung. Keine automatisierte Rechtsauskunft. Die Plattform ai-playbook.eu bietet keine Rechtsberatung.