EU-AI-Act: Konkreter Umsetzungsfahrplan bis August 2026

Der August 2026 ist kein Startschuss, sondern die dritte Welle eines gestaffelten Rechtsrahmens. Verbotene KI-Praktiken sind bereits seit Februar 2025 untersagt, Regeln für General-Purpose-Modelle gelten seit August 2025. Nun rücken die breiten Transparenz- und Einsatzpflichten in den Fokus. Unternehmen sollten die Pflichten aus dem EU-AI-Act bis August 2026 nicht als reine Papierübung lesen: Gefordert sind belastbare Prozesse, technische Kontrollen und prüffähige Nachweise. Dieser Leitfaden bündelt die zentralen Fristen, ordnet Risiken und Rollen, skizziert die Konformitätswege – und übersetzt das in einen praktischen Plan bis zum Stichtag.

Was bis wann gilt: die Wegmarken bis August 2026

Die KI-Verordnung gilt seit August 2024, wird aber in Etappen anwendbar. Seit Februar 2025 sind Praktiken mit inakzeptablem Risiko verboten. Seit August 2025 treffen Governance- und Transparenzpflichten Anbieter großer Basismodelle (GPAI). Ab 2. August 2026 werden die allgemeinen Transparenz- und Informationspflichten sowie weite Teile der Einsatzregeln wirksam – relevant etwa für Chatbots, generative Inhalte und KI-gestützte Assistenzsysteme.

Hochrisiko-Systeme (z. B. in kritischer Infrastruktur, Beschäftigung, Bildung oder als Sicherheitskomponente regulierter Produkte) unterliegen den strengsten Anforderungen. Hier greifen für einzelne Kategorien Übergangsfristen über 2026 hinaus; der genaue Start hängt vom Anwendungsfall und ggf. sektoralen Produktvorschriften ab. Technische Normen (CEN/CENELEC) und Leitfäden der EU-Kommission entwickeln sich fortlaufend und präzisieren die Erwartungen.

Rollen und Risikoklassen: so priorisieren Unternehmen

Vier Rollen sind zentral: Provider (entwickeln/inverkehrbringen), Deployer/Betreiber (setzen Systeme ein), Importer und Distributor. Provider tragen in der Regel die schwerste Last: Risikomanagement, Daten-Governance, technische Dokumentation, Logging, Human Oversight, Robustheitstests, Sicherheits- und Transparenzpflichten sowie – bei Hochrisiko – Konformitätsbewertung und Registrierung.

Betreiber müssen den Einsatz kontextgerecht steuern: Zweckbindung, Datenqualität, Aufsicht und Schulung, Protokollierung, Vorab-Bewertungen bei Hochrisiko-Anwendungen, Nutzerinformation und Beschwerde-/Vorfallprozesse. Importeuren und Händlern obliegt vor allem die Sorgfalt in der Lieferkette: nur konforme Systeme bereitstellen, Kennzeichnungen, Anleitungen und Konformitätserklärungen prüfen. Transparency-by-Design ist quer durch alle Rollen ein Thema – etwa bei Kennzeichnung synthetischer Inhalte oder der Information über KI-Interaktionen.

Die Roadmap bis August 2026: sieben praxisnahe Schritte

• Inventarisieren: Alle KI-Systeme, Modelle, Use Cases und Datenflüsse erfassen – inklusive Drittanbieter und Schatten-IT.
• Klassifizieren: Pro Use Case Risiko- und Rollenklärung (Provider/Deployer). Transparenz- vs. Hochrisiko-Pflichten sauber abgrenzen.
• Gap-Analyse: Gegen die AI-Act-Anforderungen spiegeln: Governance, Datenquellen, Bias- und Robustheitstests, Logging, Human Oversight, Nutzerinformation.
• Governance verankern: Verantwortlichkeiten, Freigabeprozesse, Schulungen, Vorfall- und Änderungsmanagement festlegen; Policy-Set aktualisieren.
• Technik härten: Daten-Governance (Qualität, Herkunft, Rechte), Risiko- und Performance-Tests, Red-Teaming wo angemessen, Monitoring und Abschaltmechanismen.
• Dokumentation & Nachweise: Technische Dokumentation, Evaluationsberichte, Nutzungsanleitungen, Risikoakten und Protokolle prüffähig aufsetzen.
• Konformität planen: Für Hochrisiko: Verfahren wählen (interne Kontrolle vs. benannte Stelle), Registrierung und Erklärungen vorbereiten; für alle: Transparenz- und Kennzeichnungspflichten operationalisieren.

Kurzbeispiele: Ein Kundenservice-Chatbot benötigt primär klare Nutzerinformation und Kennzeichnung generierter Inhalte. Ein KI-gestütztes Bewerber-Ranking kann als Hochrisiko gelten – hier sind strenge Daten-, Test- und Aufsichtspflichten plus Konformitätsbewertung zu erwarten. Eine prädiktive Wartung in der Fertigung bleibt häufig unterhalb Hochrisiko, verlangt aber nachvollziehbare Datenqualität, Monitoring und Dokumentation.

Konformitätsbewertung, Durchsetzung, Sanktionen

Bei Hochrisiko-Systemen ist eine Konformitätsbewertung zentral. Je nach Kategorie ist eine interne Bewertung auf Basis eines dokumentierten Qualitätsmanagements möglich oder eine Prüfung durch eine benannte Stelle erforderlich. In allen Fällen brauchen Provider eine vollständige technische Dokumentation, eine Konformitätserklärung und Prozesse für Marktbeobachtung, Logging und Vorfallmeldungen; viele Hochrisiko-Systeme sind vor dem Inverkehrbringen in einer EU-Datenbank zu registrieren. Betreiber müssen den bestimmungsgemäßen Gebrauch sicherstellen und relevante Informationen vorhalten.

Die Durchsetzung erfolgt über nationale Marktüberwachungs- und Fachaufsichten; Datenschutzbehörden bleiben für datenschutzrechtliche Aspekte zuständig. In Deutschland und Österreich ist mit einem Zusammenspiel mehrerer Behörden zu rechnen; die konkrete Aufsichtsarchitektur wird weiter ausgebaut. Für Unternehmen in der Schweiz gelten die EU-Pflichten, sobald Systeme im EU-Binnenmarkt bereitgestellt oder eingesetzt werden.

Der Sanktionsrahmen ist erheblich: Für verbotene Praktiken drohen Geldbußen bis zu 35 Mio. Euro oder bis zu 7 % des weltweiten Jahresumsatzes. Auch bei anderen Verstößen sind empfindliche Bußgelder, Anordnungen und Marktmaßnahmen möglich. Praktisch riskanter als die Zahl ist die fehlende Nachweisfähigkeit – wer Prozesse, Tests und Dokumentation nicht belegen kann, hat ein Compliance-Problem.

Fazit: Der August 2026 belohnt, wer früh priorisiert. Wer seine Risiken sauber einordnet, Technik und Dokumentation zusammenführt und Konformitätswege rechtzeitig festlegt, wird auditsicher – und spart kostenintensive Nacharbeiten in der heißen Phase.