EU KI-Gesetz Zeitplan: Wichtige Compliance-Fristen für 2027-2028

Das EU KI-Gesetz ist von der Theorie zur operativen Realität geworden. Drei Fristen bestimmen die nächsten zwei Jahre: 2. August 2026 für Transparenzpflichten, 2. Dezember 2027 für die meisten eigenständigen Hochrisiko-Systeme und 2. August 2028 für Hochrisiko-KI, die in bereits regulierte Produkte eingebettet ist. Eine Fehleinschätzung kann Bußgelder von bis zu 35 Millionen Euro oder 7 % des weltweiten Umsatzes nach sich ziehen.

Auf einen Blick

Dieser Leitfaden verwandelt den dichten Gesetzestext des KI-Gesetzes in einen Projektplan. Sie erfahren, welche Akteure welche Pflichten tragen, die Risikoklassifizierung, die Ihre Regulierungslast bestimmt, einen Meilenstein-für-Meilenstein-Zeitplan bis 2028 und die acht Kernpflichten (Artikel 9–15, 43), die jeder Anbieter eines Hochrisiko-Systems vor dem Stichtag im Dezember 2027 erfüllen muss.

Risikopyramide

Wie das Gesetz KI-Systeme nach Risiko klassifiziert

Das Kernprinzip des Gesetzes ist risikobasiert: Der Grad der Regulierung eines KI-Systems hängt vom Risiko ab, das es für Gesundheit, Sicherheit und Grundrechte darstellt. Vier Kategorien bilden die Grundlage jeder nachfolgenden Verpflichtung.

01 Verboten

Unannehmbares Risiko

Seit dem 2. Februar 2025 vollständig verboten. Umfasst Social Scoring durch Behörden und die meisten Echtzeit-Fernbiometrie-Identifikationen im öffentlichen Raum.

02 Hochrisiko

Hochrisiko

Die am stärksten regulierte Kategorie. Umfasst KI in kritischen Infrastrukturen, Bildung, Beschäftigung, Strafverfolgung und Medizinprodukten – es gelten strenge Vor- und Nachmarktregeln.

03 Begrenzt

Begrenztes Risiko

Spezifische Transparenzpflichten: Nutzer müssen wissen, dass sie mit einem KI-Chatbot interagieren, und KI-generierte Inhalte wie Deepfakes müssen klar gekennzeichnet werden.

04 Minimal

Minimales Risiko

Spamfilter, KI in Videospielen und die meisten anderen Systeme. Keine neuen Verpflichtungen, obwohl freiwillige Verhaltenskodizes gefördert werden.

Wer ist verantwortlich

Vier Akteure in der KI-Wertschöpfungskette

Das Gesetz verteilt die Verantwortung über den gesamten Lebenszyklus. Genau zu wissen, welche Rolle Ihre Organisation spielt – und wo die Übergaben liegen – ist der erste Schritt zur Bestimmung des Arbeitsaufwands.

Primärer Pflichtträger

Anbieter

Organisationen, die ein KI-System entwickeln (oder entwickeln lassen) und es unter eigenem Namen oder Markenzeichen auf dem EU-Markt bereitstellen. Anbieter tragen die Hauptlast: Konformitätsbewertung, technische Dokumentation, Überwachung nach dem Inverkehrbringen.

Operative Verantwortung

Nutzer (Deployer)

Jede Organisation, die ein Hochrisiko-KI-System unter ihrer Autorität verwendet – ausgenommen private, nicht-professionelle Nutzung. Verantwortlich für die Befolgung der Anweisungen des Anbieters und die Aufrechterhaltung einer effektiven menschlichen Aufsicht im Betrieb.

Grenzüberschreitendes Gateway

Importeure

In der EU ansässige Unternehmen, die ein KI-System aus einem Drittland auf dem EU-Markt bereitstellen. Müssen überprüfen, ob der ausländische Anbieter die erforderlichen Konformitätsbewertungsverfahren abgeschlossen hat, bevor das System in den Binnenmarkt gelangt.

Letzte Kontrolle

Händler

Unternehmen in der Lieferkette – außer dem Anbieter oder Importeur – die ein KI-System auf dem EU-Markt bereitstellen. Müssen überprüfen, ob das System die erforderliche CE-Kennzeichnung trägt und von den notwendigen Dokumenten begleitet wird.

Zeitplan

Drei Fristen, die Ihre Roadmap verankern

Das Gesetz trat Mitte 2024 in Kraft und startete den Countdown zur vollständigen Anwendung. Die untenstehenden Daten spiegeln die Änderung vom Mai 2026 („KI-Gesetz Omnibus“) wider, die mehrere Fristen verlängerte und sektorspezifische Rahmenwerke schuf.

1

2. August 2026 · Transparenzpflichten

Erste wichtige Frist, die eine breite Palette von KI-Systemen betrifft. Gemäß Artikel 50 müssen Systeme mit begrenztem Risiko die KI-Interaktion offenlegen (z.B. Chatbots), KI-generierte Inhalte kennzeichnen (Deepfakes, synthetische Medien) und Nutzer über Emotionserkennung oder biometrische Kategorisierung informieren.

2

2. Dezember 2027 · Vollständige Anwendung für Hochrisiko-Systeme

Die wichtigste Frist des Gesetzes. Die meisten eigenständigen Hochrisiko-KIs auf dem EU-Markt müssen vollständig konform sein. Dies ist keine reine Checklistenübung – es erfordert eine grundlegende Änderung der Art und Weise, wie KI entwickelt, dokumentiert und überwacht wird. Die acht Kernpflichten sind unten aufgeführt.

3

2. August 2028 · Hochrisiko-KI in regulierten Produkten

Ein zusätzliches Jahr für KI, die Bestandteil von Produkten ist, die bereits unter EU-Sicherheitsgesetze fallen – Maschinen, Spielzeug, Medizinprodukte, IVDR-regulierte Diagnostika. Nach dem Omnibus vom Mai 2026 erhielten Maschinen eine vollständige Ausnahme, um die Anforderungen des KI-Gesetzes direkt in bestehende Sicherheitsrahmen zu integrieren.

Hochrisiko-Pflichten

Acht Pflichten vor dem Stichtag im Dezember 2027

Für Anbieter, die eigenständige Hochrisiko-Systeme auf den Markt bringen, definieren die Artikel 9 bis 15 und 43 die Basis. Jeder einzelne muss vor der Frist im Dezember 2027 vorhanden und nachweisbar sein.

  • Artikel 9 · Risikomanagementsystem. Kontinuierlich, dokumentiert, über den gesamten Lebenszyklus. Vorhersehbare Risiken identifizieren, bewerten, Minderungsmaßnahmen ergreifen.
  • Artikel 10 · Daten und Daten-Governance. Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ und so frei von Verzerrungen wie möglich sein. Governance-Praktiken müssen vorhanden sein.
  • Artikel 11 · Technische Dokumentation. Detaillierte Dokumentation gemäß Anhang IV, erstellt bevor das System auf den Markt gebracht wird und aktuell gehalten.
  • Artikel 12 · Aufzeichnung und Protokollierung. Systeme müssen Ereignisse während des Betriebs automatisch protokollieren, um Rückverfolgbarkeit und Überwachung nach dem Inverkehrbringen zu ermöglichen.
  • Artikel 13 · Transparenz und Gebrauchsanweisungen. Systeme müssen transparent genug sein, damit Benutzer die Ausgaben korrekt interpretieren können, mit vollständigen Anweisungen für nachgeschaltete Nutzer.
  • Artikel 14 · Menschliche Aufsicht. Effektive Aufsicht durch Design – Menschen müssen in der Lage sein, einzugreifen, zu übersteuern oder das System zu stoppen.
  • Artikel 15 · Genauigkeit, Robustheit, Cybersicherheit. Konsistente Leistung über den gesamten Lebenszyklus, Widerstandsfähigkeit gegen Fehler und Angriffe.
  • Artikel 43 · Konformitätsbewertung. Einhaltung nachweisen, dann die CE-Kennzeichnung vor dem Inverkehrbringen anbringen.

Fristen auf einen Blick

Der Compliance-Kalender

Phase 01 2. Aug 2026

Transparenzpflichten

Für Systeme mit begrenztem Risiko auf dem gesamten EU-Markt.

Konkretes Beispiel

Kennzeichnung eines Kundenservice-Chatbots oder eines Deepfake-Videos.

Phase 02 2. Dez 2027

Vollständige Anwendung für Hochrisiko-KI

Die meisten eigenständigen Hochrisiko-KI-Systeme auf dem EU-Markt.

Konkretes Beispiel

KI für Kreditwürdigkeitsprüfung oder Rekrutierungsscreening.

Phase 03 2. Aug 2028

Hochrisiko-KI in regulierten Produkten

KI als Sicherheitskomponenten von Produkten, die unter andere EU-Vorschriften fallen.

Konkretes Beispiel

KI-gestützte Sicherheitsfunktion in einem Auto oder eine diagnostische KI in einem Medizinprodukt.

Über die Fristen hinaus

Compliance ist ein Programm, kein Projekt

Das Erreichen der Fristen des KI-Gesetzes ist nicht die Ziellinie – es ist der Startschuss. Das Europäische KI-Büro wird Leitlinien herausgeben, Standards werden aktualisiert und rechtliche Interpretationen werden sich entwickeln. Statische Compliance ist ein Widerspruch in sich.

Organisationen müssen die Überwachung nach dem Inverkehrbringen kontinuierlich durchführen – verfolgen, wie jedes Hochrisiko-System in der Produktion funktioniert, und schwerwiegende Vorfälle melden. Manuelles Abfragen des KI-Büros, nationaler Behörden und Normungsorganisationen wird nicht skalieren. Automatisierte Compliance-Überwachung verwandelt regulatorische Abweichungen in ein verwaltetes Signal.

  • Regulatorische Änderungen überwachen. Neue Leitlinien, delegierte Rechtsakte und harmonisierte Standards, die mit dem KI-Gesetz verbunden sind, automatisch verfolgen.
  • Stakeholder-Diskurs verfolgen. Verstehen, wie Regulierungsbehörden, Wettbewerber und die Zivilgesellschaft die Regeln in Echtzeit interpretieren.
  • Neue Risiken identifizieren. Frühwarnungen zu neuen Compliance-Risiken oder Reputationsbedrohungen im Zusammenhang mit bereits in Produktion befindlichen KI-Systemen erhalten.

Der Vollstrecker

Das Europäische KI-Büro

Das KI-Büro, das in der Europäischen Kommission angesiedelt ist, ist die zentrale Umsetzungs- und Durchsetzungsstelle des Gesetzes. Es überwacht direkt Anbieter von KI-Modellen für allgemeine Zwecke mit systemischen Risiken, gibt Leitlinien und Verhaltenskodizes heraus, koordiniert nationale Behörden, um eine einheitliche Durchsetzung in den Mitgliedstaaten zu gewährleisten, und unterstützt die Entwicklung technischer Standards.

ℹ️ Das KI-Büro ist die primäre Quelle für offizielle Interpretationen. Die Überwachung seiner Veröffentlichungen – delegierte Rechtsakte, Leitfäden, Verhaltenskodizes – sollte ein kontinuierlicher Arbeitsablauf sein, keine Ad-hoc-Prüfung.

Aktionsplan

Drei Schritte vor 2027

Mit näher rückenden Fristen 2027 und 2028 verlagert sich der Fokus vom Entwurf des Rahmens auf dessen Belastungstest.

1

Klassifizierungen prüfen

Überprüfen Sie das KI-Inventar neu. Haben sich Systeme so geändert, dass sich ihre Risikoklassifizierung ändert? Werden neue Systeme entwickelt, die in die Hochrisiko-Kategorie fallen?

2

Dokumentation auf Herz und Nieren prüfen

Technische Dokumentation und Risikomanagementrahmen sind lebendige Artefakte. Überprüfen Sie sie anhand der neuesten Leitlinien des KI-Büros, um sicherzustellen, dass sie robust und vollständig bleiben.

3

Informationsbeschaffung automatisieren

Keyword-Benachrichtigungen reichen nicht mehr aus. Die Herausforderung ist das Signal-Rausch-Verhältnis: ein System, das Leitlinien, delegierte Rechtsakte und Stakeholder-Positionen analysiert und entscheidungsreife Informationen in einem Tempo liefert, das dem des Regulators entspricht.

Das EU KI-Gesetz setzt einen globalen Präzedenzfall für die Technologieregulierung. Die Navigation durch seinen Zeitplan und die laufenden Anforderungen erfordert mehr als eine rechtliche Überprüfung – es erfordert einen strategischen, technologiegestützten Ansatz für Compliance und Risikomanagement.

Navigieren Sie sicher durch die sich entwickelnde KI-Gesetzlandschaft

Gehen Sie über statische Checklisten hinaus und sehen Sie, wie unsere Plattform unstrukturierte öffentliche Informationen in einen klaren, umsetzbaren Compliance-Vorteil verwandelt.

Entdecken Sie unsere Lösung zur Überwachung der EU KI-Gesetz-Compliance →

Weiterlesen

Neueste Updates zum EU KI-Gesetz: Verfolgung delegierter Rechtsakte und Leitlinien des KI-Büros (Mai 2026)
25. Mai 2026 · Artikel

Neueste Updates zum EU KI-Gesetz: Verfolgung delegierter Rechtsakte und Leitlinien des KI-Büros (Mai 2026)
EU KI-Gesetz Hochrisiko-Kategorien erklärt (Update 2026)
19. Mai 2026 · Artikel

EU KI-Gesetz Hochrisiko-Kategorien erklärt (Update 2026)

Mehr zur EU KI-Gesetz-Compliance-Überwachung: KI-gestützte regulatorische Intelligenz

Wir respektieren Ihre Privatsphäre

Wir verwenden Cookies, um Ihr Surferlebnis zu verbessern, personalisierte Anzeigen oder Inhalte bereitzustellen und unseren Traffic zu analysieren. Mit Klick auf „Alle akzeptieren“ stimmen Sie der Verwendung von Cookies zu.

Zustimmungspräferenzen anpassen

Wir verwenden Cookies, um Ihnen eine effiziente Navigation zu ermöglichen und bestimmte Funktionen auszuführen. Detaillierte Informationen zu allen Cookies finden Sie unter jeder Zustimmungs-Kategorie unten.

Die als „Notwendig“ kategorisierten Cookies werden in Ihrem Browser gespeichert, da sie für die grundlegenden Funktionen der Website unerlässlich sind.

Wir verwenden auch Cookies von Drittanbietern, die uns helfen zu analysieren, wie Sie diese Website nutzen, Ihre Präferenzen speichern und Ihnen relevante Inhalte und Werbung bereitstellen. Diese Cookies werden nur mit Ihrer vorherigen Zustimmung in Ihrem Browser gespeichert.

Sie können wählen, ob Sie einige oder alle dieser Cookies aktivieren oder deaktivieren möchten, aber das Deaktivieren einiger von ihnen kann Ihr Surferlebnis beeinträchtigen.

Immer aktiv

Notwendige Cookies sind erforderlich, um die grundlegenden Funktionen dieser Website zu ermöglichen, wie z. B. die Bereitstellung einer sicheren Anmeldung oder die Anpassung Ihrer Zustimmungspräferenzen. Diese Cookies speichern keine personenbezogenen Daten.

Keine Cookies zum Anzeigen.

Immer aktiv

Funktionale Cookies helfen dabei, bestimmte Funktionen auszuführen, wie z. B. das Teilen von Website-Inhalten auf Social-Media-Plattformen, das Sammeln von Feedback und andere Funktionen von Drittanbietern.

Keine Cookies zum Anzeigen.

Immer aktiv

Analytische Cookies werden verwendet, um zu verstehen, wie Besucher mit der Website interagieren. Diese Cookies helfen dabei, Informationen zu Metriken wie der Anzahl der Besucher, der Absprungrate, der Traffic-Quelle usw. bereitzustellen.

Keine Cookies zum Anzeigen.

Immer aktiv

Performance-Cookies werden verwendet, um die wichtigsten Leistungsindizes der Website zu verstehen und zu analysieren, was dazu beiträgt, den Besuchern ein besseres Benutzererlebnis zu bieten.

Keine Cookies zum Anzeigen.

Immer aktiv

Werbe-Cookies werden verwendet, um Besuchern personalisierte Werbung basierend auf den zuvor besuchten Seiten bereitzustellen und die Effektivität von Werbekampagnen zu analysieren.

Keine Cookies zum Anzeigen.

Teilen Sie uns mit, was Sie überwachen müssen

Kein Spam. Keine automatische Anmeldung. Wir werden Sie direkt kontaktieren, um Ihr Setup zu besprechen.