EU KI-Gesetz Timeline: Wichtige Compliance-Fristen für 2027-2028

Das EU KI-Gesetz ist von der Theorie zur operativen Realität geworden. Drei Fristen prägen die nächsten zwei Jahre: 2. August 2026 für Transparenzpflichten, 2. Dezember 2027 für die meisten eigenständigen Hochrisiko-Systeme und 2. August 2028 für Hochrisiko-KI, die in bereits regulierte Produkte eingebettet ist. Eine Fehleinschätzung kann zu Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes führen.

Auf einen Blick

Dieser Leitfaden übersetzt den komplexen Gesetzestext des KI-Gesetzes in einen Projektplan. Sie erfahren, welche Akteure welche Pflichten tragen, die Risikoklassifizierung, die Ihre Regulierungslast bestimmt, einen Meilenstein-für-Meilenstein-Zeitplan bis 2028 und die acht Kernpflichten (Artikel 9–15, 43), die jeder Anbieter eines Hochrisiko-Systems vor dem Stichtag im Dezember 2027 erfüllen muss.

Risikopyramide

Wie das Gesetz KI-Systeme nach Risiko klassifiziert

Das Kernprinzip des Gesetzes ist risikobasiert: Der Grad der Regulierung eines KI-Systems hängt vom Risiko ab, das es für Gesundheit, Sicherheit und Grundrechte darstellt. Vier Kategorien bilden die Grundlage jeder nachfolgenden Verpflichtung.

01

Unannehmbares Risiko

Seit dem 2. Februar 2025 vollständig verboten. Dazu gehören Social Scoring durch Behörden und die meisten Echtzeit-Fernbiometrie in öffentlichen Räumen.

02

Hochrisiko

Die am stärksten regulierte Kategorie. Umfasst KI in kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung und medizinischen Geräten – es gelten strenge Regeln vor und nach dem Inverkehrbringen.

03

Begrenztes Risiko

Spezifische Transparenzpflichten: Nutzer müssen wissen, dass sie mit einem KI-Chatbot interagieren, und KI-generierte Inhalte wie Deepfakes müssen klar gekennzeichnet werden.

04

Minimales Risiko

Spamfilter, KI in Videospielen und die meisten anderen Systeme. Keine neuen Pflichten, obwohl freiwillige Verhaltenskodizes gefördert werden.

Wer ist verantwortlich

Vier Akteure in der KI-Wertschöpfungskette

Das Gesetz verteilt die Verantwortung über den gesamten Lebenszyklus. Zu wissen, welche Rolle Ihre Organisation genau spielt – und wo die Übergaben liegen – ist der erste Schritt zur Festlegung des Arbeitsumfangs.

Primärer Pflichtenträger

Anbieter

Organisationen, die ein KI-System entwickeln (oder entwickeln lassen) und es unter eigenem Namen oder Markenzeichen auf dem EU-Markt bereitstellen. Anbieter tragen die Hauptlast: Konformitätsbewertung, technische Dokumentation, Überwachung nach dem Inverkehrbringen.

Operative Verantwortung

Nutzer (Anwender)

Jede Organisation, die ein Hochrisiko-KI-System unter ihrer Autorität verwendet – ausgenommen private, nicht-professionelle Nutzung. Verantwortlich für die Befolgung der Anweisungen des Anbieters und die Aufrechterhaltung einer effektiven menschlichen Aufsicht im Betrieb.

Grenzüberschreitendes Gateway

Importeure

In der EU ansässige Unternehmen, die ein KI-System aus einem Drittland auf dem EU-Markt bereitstellen. Sie müssen überprüfen, ob der ausländische Anbieter die erforderlichen Konformitätsbewertungsverfahren abgeschlossen hat, bevor das System in den Binnenmarkt gelangt.

Letzte Überprüfung

Händler

Unternehmen in der Lieferkette – außer dem Anbieter oder Importeur –, die ein KI-System auf dem EU-Markt bereitstellen. Sie müssen überprüfen, ob das System die erforderliche CE-Kennzeichnung trägt und von der notwendigen Dokumentation begleitet wird.

Zeitplan

Drei Fristen, die Ihre Roadmap verankern

Das Gesetz trat Mitte 2024 in Kraft und startete den Countdown zur vollständigen Anwendung. Die unten stehenden Daten spiegeln die Änderung des „AI Act Omnibus“ vom Mai 2026 wider, die mehrere Fristen verlängerte und sektorspezifische Rahmenwerke schuf.

1

2. August 2026 · Transparenzpflichten

Erste wichtige Frist, die eine breite Palette von KI-Systemen betrifft. Gemäß Artikel 50 müssen Systeme mit begrenztem Risiko die KI-Interaktion offenlegen (z.B. Chatbots), KI-generierte Inhalte kennzeichnen (Deepfakes, synthetische Medien) und Nutzer über Emotionserkennung oder biometrische Kategorisierung informieren.

2

2. Dezember 2027 · Volle Anwendung für Hochrisiko-Systeme

Die wichtigste Frist des Gesetzes. Die meisten eigenständigen Hochrisiko-KI-Systeme auf dem EU-Markt müssen vollständig konform sein. Dies ist keine reine Checklistenübung – es erfordert eine grundlegende Änderung in der Entwicklung, Dokumentation und Überwachung von KI. Die acht Kernpflichten sind unten aufgeführt.

3

2. August 2028 · Hochrisiko-KI in regulierten Produkten

Ein zusätzliches Jahr für KI, die Bestandteil von Produkten ist, die bereits unter EU-Sicherheitsgesetze fallen – Maschinen, Spielzeug, medizinische Geräte, IVDR-regulierte Diagnostika. Nach dem Omnibus vom Mai 2026 erhielten Maschinen eine vollständige Ausnahmeregelung, um die Anforderungen des KI-Gesetzes direkt in bestehende Sicherheitsrahmen zu integrieren.

Hochrisiko-Pflichten

Acht Pflichten vor dem Stichtag im Dezember 2027

Für Anbieter, die eigenständige Hochrisiko-Systeme auf den Markt bringen, definieren die Artikel 9 bis 15 und 43 die Basis. Jeder von ihnen muss vor der Frist im Dezember 2027 vorhanden – und nachweisbar – sein.

  • Artikel 9 · Risikomanagementsystem. Kontinuierlich, dokumentiert, lebenszyklusweit. Vorhersehbare Risiken identifizieren, bewerten, Minderungsmaßnahmen ergreifen.
  • Artikel 10 · Daten und Daten-Governance. Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ und möglichst frei von Verzerrungen sein. Governance-Praktiken müssen vorhanden sein.
  • Artikel 11 · Technische Dokumentation. Detaillierte Dokumentation gemäß Anhang IV, vor dem Inverkehrbringen des Systems erstellt und aktuell gehalten.
  • Artikel 12 · Aufzeichnungen und Protokolle. Systeme müssen Ereignisse während des Betriebs automatisch protokollieren, um Rückverfolgbarkeit und Überwachung nach dem Inverkehrbringen zu ermöglichen.
  • Artikel 13 · Transparenz und Gebrauchsanweisung. Systeme müssen transparent genug sein, damit Benutzer die Ausgaben korrekt interpretieren können, mit vollständigen Anweisungen für nachgeschaltete Anwender.
  • Artikel 14 · Menschliche Aufsicht. Effektive Aufsicht durch Design – Menschen müssen in der Lage sein, einzugreifen, zu überschreiben oder das System zu stoppen.
  • Artikel 15 · Genauigkeit, Robustheit, Cybersicherheit. Konsistente Leistung über den gesamten Lebenszyklus, Widerstandsfähigkeit gegen Fehler und Angriffe.
  • Artikel 43 · Konformitätsbewertung. Nachweis der Konformität, dann Anbringen der CE-Kennzeichnung vor dem Inverkehrbringen.

Fristen auf einen Blick

Der Compliance-Kalender

FristUmfangKonkretes Beispiel
2. August 2026Transparenzpflichten für Systeme mit begrenztem RisikoKennzeichnung eines Kundenservice-Chatbots oder eines Deepfake-Videos
2. Dezember 2027Die meisten eigenständigen Hochrisiko-KI-SystemeKI für Kreditwürdigkeitsprüfung oder Rekrutierungsscreening
2. August 2028Hochrisiko-KI als Sicherheitskomponenten von Produkten, die anderen EU-Vorschriften unterliegenKI-gestütztes Sicherheitsmerkmal in einem Auto oder eine diagnostische KI in einem Medizinprodukt

Über die Fristen hinaus

Compliance ist ein Programm, kein Projekt

Das Erreichen der Fristen des KI-Gesetzes ist nicht die Ziellinie – es ist der Startschuss. Das Europäische KI-Amt wird Leitlinien herausgeben, Standards werden aktualisiert und rechtliche Interpretationen werden sich entwickeln. Statische Compliance ist ein Widerspruch in sich.

Organisationen müssen die Überwachung nach dem Inverkehrbringen kontinuierlich durchführen – verfolgen, wie jedes Hochrisiko-System in der Produktion funktioniert und schwerwiegende Vorfälle melden. Manuelles Abfragen des KI-Amtes, nationaler Behörden und Normungsgremien wird nicht skalieren. Automatisierte Compliance-Überwachung wandelt regulatorische Abweichungen in ein verwaltetes Signal um.

  • Regulatorische Änderungen überwachen. Automatische Verfolgung neuer Leitlinien, delegierter Rechtsakte und harmonisierter Standards im Zusammenhang mit dem KI-Gesetz.
  • Stakeholder-Diskurs verfolgen. Verstehen, wie Regulierungsbehörden, Wettbewerber und die Zivilgesellschaft die Regeln in Echtzeit interpretieren.
  • Neue Risiken identifizieren. Frühwarnungen zu neuen Compliance-Risiken oder Reputationsbedrohungen im Zusammenhang mit bereits in Produktion befindlichen KI-Systemen erhalten.

Die Durchsetzungsbehörde

Das Europäische KI-Amt

Das KI-Amt, das der Europäischen Kommission angegliedert ist, ist die zentrale Umsetzungs- und Durchsetzungsbehörde des Gesetzes. Es überwacht direkt Anbieter von KI-Modellen für allgemeine Zwecke mit systemischen Risiken, gibt Leitlinien und Verhaltenskodizes heraus, koordiniert nationale Behörden, um eine einheitliche Durchsetzung in den Mitgliedstaaten zu gewährleisten, und unterstützt die Entwicklung technischer Standards.

ℹ️ Das KI-Amt ist die primäre Quelle für offizielle Interpretationen. Die Überwachung seiner Veröffentlichungen – delegierte Rechtsakte, Leitfäden, Verhaltenskodizes – sollte ein kontinuierlicher Arbeitsablauf sein, keine Ad-hoc-Prüfung.

Aktionsplan

Drei Schritte vor 2027

Mit näher rückenden Fristen 2027 und 2028 verlagert sich der Fokus vom Entwurf des Rahmens auf dessen Belastungstest.

1

Klassifikationen prüfen

Bewerten Sie das KI-Inventar neu. Haben sich Systeme so verändert, dass sich ihre Risikoklassifizierung ändert? Werden neue Systeme entwickelt, die in die Hochrisikokategorie fallen?

2

Dokumentation auf Herz und Nieren prüfen

Technische Dokumentation und Risikomanagementrahmen sind lebendige Artefakte. Überprüfen Sie sie anhand der neuesten Leitlinien des KI-Amtes, um sicherzustellen, dass sie robust und vollständig bleiben.

3

Informationsbeschaffung automatisieren

Stichwort-Benachrichtigungen reichen nicht mehr aus. Die Herausforderung ist das Signal-Rausch-Verhältnis: ein System, das Leitlinien, delegierte Rechtsakte und Stakeholder-Positionen analysiert und entscheidungsreife Informationen in einem Tempo liefert, das dem der Regulierungsbehörde entspricht.

Das EU KI-Gesetz setzt einen globalen Präzedenzfall für die Technologieregulierung. Die Navigation durch seinen Zeitplan und die laufenden Anforderungen erfordert mehr als eine rechtliche Überprüfung – es erfordert einen strategischen, technologiegestützten Ansatz für Compliance und Risikomanagement.

Navigieren Sie sicher durch die sich entwickelnde KI-Gesetzgebung

Gehen Sie über statische Checklisten hinaus und erfahren Sie, wie unsere Plattform unstrukturierte öffentliche Informationen in einen klaren, umsetzbaren Compliance-Vorteil verwandelt.

Entdecken Sie unsere Lösung zur Überwachung der EU KI-Gesetz-Compliance →

Weiterlesen

State Election Monitoring: Fixing the National Policy Blind Spot
27. Mai 2026 · Artikel

Überwachung von Landtagswahlen: Behebung des blinden Flecks in der nationalen Politik

23. Mai 2026 · Artikel

So erstellen Sie ein effektives Adverse Media Screening Programm für Lieferanten

EU-Mercosur Trade Agreement Explained (2026 Guide)
22. Mai 2026 · Artikel

EU-Mercosur Handelsabkommen erklärt (Leitfaden 2026)

Mehr im Leitfaden

Sagen Sie uns, was Sie überwachen müssen

Kein Spam. Keine automatische Anmeldung. Wir werden Sie direkt kontaktieren, um Ihr Setup zu besprechen.