EU AI Act · Stichtag 2. August 2026

EU AI Act: Diese Pflichten gelten ab dem 2. August 2026

Noch 20 Tage bis zum Stichtag für Hochrisiko-KI-Systeme.

Am 2. August 2026 werden die Kernpflichten des EU AI Act (Verordnung (EU) 2024/1689) für Hochrisiko-KI-Systeme nach Anhang III anwendbar. Wer solche Systeme anbietet oder betreibt, muss ab diesem Tag Risikomanagement, Dokumentation, menschliche Aufsicht und mehr nachweisen können. Dieser Leitfaden fasst zusammen, was konkret gilt.

Was passiert am 2. August 2026?

Der EU AI Act tritt gestaffelt in Kraft. Der 2. August 2026 ist der wichtigste Stichtag für die meisten Unternehmen, weil dann die Pflichten für Hochrisiko-Anwendungen greifen:

Die Pflichten für Hochrisiko-KI-Systeme (Art. 8–15)

Risikomanagement · Art. 9

Ein fortlaufender, dokumentierter Prozess zur Identifikation und Minderung von Risiken über den gesamten Lebenszyklus.

Daten-Governance · Art. 10

Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und möglichst fehlerfrei sein.

Technische Dokumentation · Art. 11

Vollständige Unterlagen nach Anhang IV, die die Konformität nachweisen — vor Inverkehrbringen.

Protokollierung · Art. 12

Automatische Aufzeichnung von Ereignissen (Logs) zur Rückverfolgbarkeit des Systembetriebs.

Transparenz · Art. 13

Betreiber müssen das System verstehen und korrekt nutzen können — inkl. Bedienungsanleitung.

Menschliche Aufsicht · Art. 14

Menschen müssen das System wirksam überwachen und eingreifen können (Stopp, Override).

Genauigkeit & Robustheit · Art. 15

Angemessene Genauigkeit, Robustheit und Cybersicherheit über den Lebenszyklus.

Pflichten für Anbieter und Betreiber (Art. 16–27)

Neben den Anforderungen an das System selbst treffen Anbieter und Betreiber organisatorische Pflichten:

Bußgelder: Was kostet ein Verstoß?

bis 35 Mio. € / 7 %

Verstoß gegen verbotene Praktiken (Art. 5) — der höchste Bußgeldrahmen (Art. 99).

bis 15 Mio. € / 3 %

Verstoß gegen die Pflichten für Hochrisiko-Systeme und andere Anforderungen.

bis 7,5 Mio. € / 1 %

Falsche oder unvollständige Angaben gegenüber Behörden.

Es gilt jeweils der höhere Wert aus Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes.

EU AI Act, DSGVO und DORA zusammen denken

Verarbeitet Ihr KI-System personenbezogene Daten, gelten die Pflichten des AI Act zusätzlich zur DSGVO (Rechtsgrundlage, ggf. DSFA nach Art. 35, automatisierte Entscheidungen nach Art. 22). Für Finanzunternehmen kommt DORA zur digitalen operationalen Resilienz hinzu. KomplAI prüft alle drei Regelwerke in einem Lauf.

Häufige Fragen

Gilt der EU AI Act auch für kleine Unternehmen?
Ja. Der AI Act knüpft an das KI-System und seinen Einsatzzweck an, nicht an die Unternehmensgröße. Auch KMU, die ein Hochrisiko-System anbieten oder betreiben, sind erfasst — es gibt lediglich einzelne Erleichterungen bei Dokumentation und Gebühren.
Was ist ein Hochrisiko-KI-System?
Vereinfacht: KI in einem der acht Bereiche des Anhang III (z. B. Beschäftigung, Kreditwürdigkeit, kritische Infrastruktur) oder als Sicherheitsbauteil regulierter Produkte (Anhang I). Details und die Ausnahme des Art. 6 Abs. 3 erklären wir im Anhang-III-Leitfaden.
Was passiert, wenn ich den 2. August 2026 verpasse?
Ab dem Stichtag sind die Pflichten durchsetzbar; Aufsichtsbehörden können Bußgelder bis 15 Mio. € oder 3 % des weltweiten Jahresumsatzes verhängen. Wichtiger als die reine Frist ist ein nachweisbarer, dokumentierter Umsetzungsstand.
Muss ich schon jetzt handeln?
Ja — Bestandsaufnahme, Einstufung und Dokumentation brauchen Vorlauf. Unser Fahrplan bis August 2026 zeigt die Schritte in der richtigen Reihenfolge.

Dieser Leitfaden ist eine fachliche Orientierung und ersetzt keine Rechtsberatung. Normverweise beziehen sich auf die Verordnung (EU) 2024/1689.