EU AI Act · Stichtag 2. August 2026
EU AI Act: Diese Pflichten gelten ab dem 2. August 2026
Noch 20 Tage bis zum Stichtag für Hochrisiko-KI-Systeme.
Am 2. August 2026 werden die Kernpflichten des EU AI Act (Verordnung (EU) 2024/1689) für Hochrisiko-KI-Systeme nach Anhang III anwendbar. Wer solche Systeme anbietet oder betreibt, muss ab diesem Tag Risikomanagement, Dokumentation, menschliche Aufsicht und mehr nachweisen können. Dieser Leitfaden fasst zusammen, was konkret gilt.
Was passiert am 2. August 2026?
Der EU AI Act tritt gestaffelt in Kraft. Der 2. August 2026 ist der wichtigste Stichtag für die meisten Unternehmen, weil dann die Pflichten für Hochrisiko-Anwendungen greifen:
- 2. Feb 2025Verbotene Praktiken & KI-Kompetenz
Art. 5 (verbotene KI) und Art. 4 (Schulungspflicht) gelten. - 2. Aug 2025GPAI & Governance
Pflichten für Basismodelle (GPAI) und die nationalen Behörden. - 2. Aug 2026 StichtagHochrisiko-KI nach Anhang III
Kap. III (Art. 8–27): Risikomanagement, Dokumentation, Aufsicht, Konformitätsbewertung. - 2. Aug 2027Hochrisiko nach Anhang I
KI in regulierten Produkten (z. B. Medizinprodukte, Maschinen).
Die Pflichten für Hochrisiko-KI-Systeme (Art. 8–15)
Risikomanagement · Art. 9
Ein fortlaufender, dokumentierter Prozess zur Identifikation und Minderung von Risiken über den gesamten Lebenszyklus.
Daten-Governance · Art. 10
Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ und möglichst fehlerfrei sein.
Technische Dokumentation · Art. 11
Vollständige Unterlagen nach Anhang IV, die die Konformität nachweisen — vor Inverkehrbringen.
Protokollierung · Art. 12
Automatische Aufzeichnung von Ereignissen (Logs) zur Rückverfolgbarkeit des Systembetriebs.
Transparenz · Art. 13
Betreiber müssen das System verstehen und korrekt nutzen können — inkl. Bedienungsanleitung.
Menschliche Aufsicht · Art. 14
Menschen müssen das System wirksam überwachen und eingreifen können (Stopp, Override).
Genauigkeit & Robustheit · Art. 15
Angemessene Genauigkeit, Robustheit und Cybersicherheit über den Lebenszyklus.
Pflichten für Anbieter und Betreiber (Art. 16–27)
Neben den Anforderungen an das System selbst treffen Anbieter und Betreiber organisatorische Pflichten:
- Qualitätsmanagementsystem (Art. 17) — dokumentierte Prozesse beim Anbieter.
- Konformitätsbewertung (Art. 43) und EU-Konformitätserklärung (Art. 47) vor dem Inverkehrbringen.
- CE-Kennzeichnung (Art. 48) und Registrierung in der EU-Datenbank (Art. 49).
- Betreiberpflichten (Art. 26): bestimmungsgemäße Nutzung, Aufsicht, Log-Aufbewahrung.
- Grundrechte-Folgenabschätzung (Art. 27, „FRIA") für bestimmte Betreiber öffentlicher Stellen.
Bußgelder: Was kostet ein Verstoß?
bis 35 Mio. € / 7 %
Verstoß gegen verbotene Praktiken (Art. 5) — der höchste Bußgeldrahmen (Art. 99).
bis 15 Mio. € / 3 %
Verstoß gegen die Pflichten für Hochrisiko-Systeme und andere Anforderungen.
bis 7,5 Mio. € / 1 %
Falsche oder unvollständige Angaben gegenüber Behörden.
Es gilt jeweils der höhere Wert aus Festbetrag oder Prozentsatz des weltweiten Jahresumsatzes.
EU AI Act, DSGVO und DORA zusammen denken
Verarbeitet Ihr KI-System personenbezogene Daten, gelten die Pflichten des AI Act zusätzlich zur DSGVO (Rechtsgrundlage, ggf. DSFA nach Art. 35, automatisierte Entscheidungen nach Art. 22). Für Finanzunternehmen kommt DORA zur digitalen operationalen Resilienz hinzu. KomplAI prüft alle drei Regelwerke in einem Lauf.
Häufige Fragen
Gilt der EU AI Act auch für kleine Unternehmen?
Was ist ein Hochrisiko-KI-System?
Was passiert, wenn ich den 2. August 2026 verpasse?
Muss ich schon jetzt handeln?
Dieser Leitfaden ist eine fachliche Orientierung und ersetzt keine Rechtsberatung. Normverweise beziehen sich auf die Verordnung (EU) 2024/1689.