Wann tritt die KI-Verordnung in Kraft?
Januar 2026
Die KI-Verordnung bringt in erster Linie neue Regeln und Pflichten mit sich, die Unternehmen umsetzen müssen. Hier erhalten Sie einen strukturierten Überblick über alle Fristen und was sie für Ihr Unternehmen bedeuten.
Die gestaffelten Fristen im Überblick
Der Ai-Act ist als Gesetz selbst zwar bereits in Kraft, die darin enthaltenen Regelungen finden jedoch zeitlich gestaffelt Anwendung. Hiermit will der EU-Gesetzgeber dem Umstand Rechnung tragen, dass die Umsetzung der Pflichten einiges an Aufwand und Strukturarbeit kostet. Aber lassen Sie uns detailliert durchgehen:
Bereits in Kraft: Verbote, KI-Kompetenz und GPAI-Regelungen (seit Februar und August 2025)
Seit dem 2. Februar 2025 sind die allgemeinen Vorschriften (Artikel 1 bis 4) und die Verbote (Artikel 5) der KI-Verordnung anwendbar. Das bedeutet: Bestimmte KI-Systeme sind bereits verboten. Diese Systeme verstoßen laut dem EU-Gesetzgeber gegen ethische Regeln und dürfen daher weder vertrieben noch verwendet werden. Das umfasst zum Beispiel Systeme, die menschliches Verhalten manipulieren oder soziale Schwachstellen ausnutzen.
Zusätzlich gilt bereits die Pflicht zur KI-Kompetenz: Anbieter und Betreiber von KI-Systemen sind verpflichtet, dafür zu sorgen, dass ihre Mitarbeitenden sowie alle beauftragten Personen über die nötige Kompetenz im Umgang mit KI-Systemen verfügen.
Seit dem 2. August 2025 gelten die Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck (General Purpose AI, GPAI), jeder Mitgliedstaat benennt eine nationale Behörde, die für die Durchsetzung der KI-Verordnung zuständig ist, und jeder Mitgliedstaat benennt eine oder mehrere Notifizierungsbehörden, die für die Bewertung, Benennung und Notifizierung von Konformitätsbewertungsstellen und für deren Überwachung zuständig sind.
Seit August 2025 sind auch die Sanktionsvorschriften wirksam: Wer ein verbotenes KI-System einsetzt oder vertreibt, muss mit empfindlichen Bußgeldern rechnen.
Ab 2. August 2026: Die Hauptregelungen werden anwendbar
Ab dem 2. August 2026 finden die restlichen Bestimmungen des AI Acts Anwendung.
Für Unternehmen bedeutet das: Es gelten Regeln für Hochrisiko-KI-Systeme der KI-Verordnung, es gelten die Transparenzpflichten für Anbieter und Betreiber bestimmter KI-Systeme.
Gelten die Regeln für alle Hochrisiko-KI-Systeme? Nein. Bei den Hochrisiko-Systemen wird zwischen Systemen unterschieden, die In Anhang III zur KI-Verordnung genannt sind, und solchen, die durch ein Spezialgesetz geregelt werden, das in Anhang I der KI-Verordnung aufgelistet ist. Zum Stichtag 2026 gelten die Regeln nur für die Anhang III-Systeme. Das ist leider sehr komplex. Die einfache Regel: Wenn sich die Hochrisiko-Eigenschaft aus einem Spezialgesetz ergibt, gilt die Frist nicht. Im Zweifel fragen Sie einfach den Anwalt Ihres Vertrauens.
Laut Artikel 50 müssen KI-Systeme, die für die direkte Interaktion mit Personen bestimmt sind (z. B. Chatbots), offen legen, dass der Nutzer mit einem KI-System interagiert. Generierte Inhalte müssen digital als KI-generiert gekennzeichnet werden.
Ab 2. August 2027: Produktintegrierte Hochrisiko-Systeme
Ab dem 2. August 2027 gelten die Regeln für Hochrisiko-KI-Systeme gemäß Anhang I. Das betrifft KI-Systeme, die als Sicherheitsbauteil von Produkten oder direkt als Produkt aus einer der Produktkategorien angeboten werden: Maschinen, Spielzeug, Medizinprodukte, persönliche Schutzausrüstungen und weitere.
Was gilt für bereits existierende KI-Systeme?
Viele Unternehmen setzen bereits heute KI-Systeme ein. Hier stellt sich die Frage: Müssen bestehende Systeme nachgerüstet werden, um die Anforderungen einzuhalten?
KI-Modelle mit allgemeinem Verwendungszweck
KI-Modelle mit allgemeinem Verwendungszweck, die vor dem 2. August 2025 in Verkehr gebracht wurden, müssen bis zum 2. August 2027 die Anforderungen der KI-Verordnung erfüllen.
Hochrisiko-KI-Systeme
Hochrisiko-KI-Systeme, die vor dem 2. August 2026 in Verkehr gebracht oder in Betrieb genommen wurden, müssen nur dann die Anforderungen dieser Verordnung erfüllen, wenn dieses System danach einer wesentlichen Änderung seiner Bauart oder seiner Zweckbestimmung unterzogen wird (Artikel 111 Abs. 2 KI-Verordnung).
Zu den Faktoren, die bei der Feststellung, ob eine Änderung wesentlich ist, zu berücksichtigen sind, gehören insbesondere eine Änderung des Betriebssystems, eine Änderung der Softwarearchitektur oder der Rechnerlogik oder eine Änderung der Dateneingabe oder der Ausbildungsmethode.
Leider wird es jetzt wieder etwas komplex, denn es gelten einige Ausnahmen:
Ausnahme 1: Von Behörden genutzte Systeme
Hochrisiko-KI-Systeme, die "bestimmungsgemäß" von oder für Behörden in Betrieb genommen wurden, müssen bis zum 2. August 2030 mit den Anforderungen der KI-Verordnung in Einklang gebracht werden. Hier greift also eine verbindliche Frist, unabhängig davon, ob Änderungen vorgenommen werden.
Ausnahme 2: IT-Großsysteme der EU
KI-Systeme, die Bestandteil von IT-Großsystemen sind, die mit den in Anhang X (der KI-Verordnung) aufgeführten Rechtsakten eingerichtet wurden und vor dem 2. August 2027 in Verkehr gebracht oder in Betrieb genommen wurden, müssen bis zum 31. Dezember 2030 mit der KI-Verordnung in Einklang gebracht werden.
Diese Regelung betrifft speziell große IT-Systeme der EU in den Bereichen Grenzschutz, Sicherheit und Recht, wie etwa das Schengen-Informationssystem oder das Visa-Informationssystem. Hier erhalten die Betreiber dieser Systeme deutlich mehr Zeit für die Anpassung. Die in der KI-Verordnung festgelegten Anforderungen werden bei der Bewertung dieser IT-Großsysteme berücksichtigt, wobei die Bewertung entsprechend den Vorgaben der jeweiligen Rechtsakte erfolgt.
Digital Omnibus Proposal: Mögliche Änderungen am Zeitplan
Die Europäische Kommission hat im November 2025 ein umfassendes Vereinfachungspaket vorgelegt, das auch den AI Act betrifft. Der Digital Omnibus schlägt mehrere materielle Änderungen vor, wie der AI Act angewendet werden soll, mit dem Ziel, den unmittelbaren Compliance-Druck zu verringern und gleichzeitig die langfristige Funktionsfähigkeit zu verbessern.
Zeitliche Verschiebung für High-Risk-AI
Um die hohe Compliance-Last, die durch die unterschiedlichen Rechtsakte der EU im Digitalrecht auf den Unternehmen lastet, etwas abzudämpfen, sollte es eigentlich unterstützendes Material der EU geben. Das können etwa harmonisierte Normen, Leitlinien, oder gemeinsame Spezifikationen sein. Die EU hat es aber bisher noch nicht geschafft, dieses unterstützende Material vollständig bereitzustellen.
Der Digital Omnibus schlägt daher folgendes vor:
Bestimmte AI-Act-Verpflichtungen für Hochrisiko-Systeme werden mit der Annahme eines Beschlusses der Kommission verknüpft, der bestätigt, dass Unterstützungsmaßnahmen (z. B. harmonisierte Normen, Leitlinien, gemeinsame Spezifikationen) verfügbar sind.
Konkret gilt die Anwendung auf Hochrisiko-KI-Systeme in Anhang III sechs Monate nach dem Beschluss (spätestens aber am 2. Dezember 2027) und auf Hochrisiko-Systeme in Anhang I zwölf Monate nach dem Beschluss (spätestens aber am 2. August 2028).
Das bedeutet: Die Fristen sind nicht mehr starr, sondern orientieren sich an der tatsächlichen Verfügbarkeit der notwendigen Standards und Leitlinien.
Weitere Erleichterungen
Anbieter von General Purpose AI (GPAI)-Systemen, die vor August 2026 auf den Markt gebracht wurden, haben bis Februar 2027 Zeit, Dokumentation und Governance-Prozesse zu aktualisieren. Bestimmte KI-Systeme, die vom Anbieter nicht als hochriskant eingestuft werden, müssen nicht mehr zwingend in der EU-Hochrisiko-KI-Datenbank registriert werden, was zu einem pragmatischeren Selbstbewertungsmodell führt.
Small Mid-Caps (SMCs) (bis zu 750 Mitarbeiter und 150 Millionen Umsatz) profitieren von einer vereinfachten technischen Dokumentationspflicht für Hochrisiko-KI-Systeme.
Diese Änderungen müssen noch das EU-Gesetzgebungsverfahren durchlaufen und können sich daher noch ändern.
Wichtig zu wissen:
Bisher handelt es sich beim Digital Omnibus lediglich um einen unverbindlichen Vorschalg. Diese Änderungen müssen noch das EU-Gesetzgebungsverfahren durchlaufen und können sich daher noch ändern.
Zumindest im Datenschutz (wo es ebenfalls Änderungen geben soll) haben die Aufsichtsbehörden auf unsere Nachfrage einen strengen Kurs vertreten: So lange das Gesetz nicht geändert ist, bleibt es beim alten.
Warum Sie jetzt bereits beginnen sollten
Trotz gestaffelter Fristen und möglicher Erleichterungen durch das Digital Omnibus gilt: Erfolgreiche Unternehmen warten nicht bis zum letzten möglichen Zeitpunkt.
Implementierung braucht Zeit
Die Umsetzung der KI-Verordnung ist kein Sprint, sondern ein Transformationsprozess. KI-Systeme müssen analysiert, klassifiziert und bewertet werden. Dokumentationen sind zu erstellen, Risikomanagementsysteme aufzubauen und Mitarbeitende zu schulen. Diese Maßnahmen erfordern Monate, nicht Wochen.
First-Mover-Vorteil nutzen
Unternehmen, die bereits jetzt handeln, sichern sich strategische Vorteile: Sie können ihre KI-Systeme ohne Zeitdruck optimieren, Lieferantenverträge rechtzeitig neu verhandeln und sich als vertrauenswürdiger Partner im Markt positionieren. Unternehmen, die frühzeitig rechtskonforme, vertrauenswürdige KI entwickeln, können sich auf dem Markt besser positionieren und das wachsende Bedürfnis nach sicherer, nachvollziehbarer Technologie bedienen.
Ungewissheit durch Digital Omnibus
Gerade die vorgeschlagenen Änderungen durch das Digital Omnibus zeigen: Der Gesetzgeber passt die Regelungen an die Praxis an. Wer jetzt bereits ein solides KI-Governance-System aufbaut, ist für alle Szenarien gerüstet, unabhängig davon, ob die Fristen verlängert werden oder nicht.
Fazit: Jetzt handeln, Vorsprung sichern
Die KI-Verordnung tritt gestaffelt in Kraft und schafft damit einen klaren Fahrplan für Unternehmen. Während einige Pflichten bereits gelten, folgen die wichtigsten Anforderungen für Hochrisiko-Systeme in den kommenden Jahren. Das Digital Omnibus Proposal zeigt zudem, dass der Gesetzgeber auf die Praxis reagiert und Unternehmen mehr Zeit für die Umsetzung einräumt.
Für erfolgreiche Unternehmen bedeutet das: Die gestaffelten Fristen sind keine Ausrede zum Warten, sondern eine Chance zur strategischen Vorbereitung. Wer heute beginnt, seine KI-Systeme zu analysieren, Dokumentationen aufzubauen und Prozesse anzupassen, vermeidet Hektik unter Zeitdruck und positioniert sich als vertrauenswürdiger Partner im Markt. Rechtssicherheit wird zunehmend zum Wettbewerbsvorteil, der Kunden, Investoren und Geschäftspartner überzeugt.
MAINLY begleitet mittelständische Unternehmen und Startups dabei, die KI-Verordnung pragmatisch und geschäftsorientiert umzusetzen. Mit unserer Expertise in AI Act, DSGVO, IT-Verträgen und Cybersecurity-Recht entwickeln wir gemeinsam mit Ihnen Lösungen, die Compliance nicht als Pflichtübung, sondern als strategischen Vorteil verstehen. So können Sie sich auf Ihr Kerngeschäft konzentrieren, während Ihre KI-Governance zukunftssicher aufgestellt ist.
