Zum Inhalt springen
⏰ TRENDING — Stand Juni 2026

EU AI Act Fristen 2026 & 2027: Alle Deadlines im Detail

Die nächste große Frist rückt näher: Am 2. August 2026 treten die Transparenzpflichten und GPAI-Regeln des EU AI Act in Kraft. Nur noch wenige Wochen bleiben, um compliant zu werden. Hier finden Sie alle Fristen, konkrete Checklisten und Handlungsempfehlungen.

⚠️
Nächste Frist: 2. August 2026

Transparenzpflichten und GPAI-Regeln treten in Kraft. Betrifft jedes Unternehmen, das KI-Chatbots oder generative KI einsetzt.

~8 Wochen verbleibend

Bereits geltende Fristen (2025)

Bevor wir uns den kommenden Fristen widmen, ein Blick auf die Pflichten, die bereits gelten. Wenn Ihr Unternehmen diese noch nicht umgesetzt hat, sollten Sie sofort handeln — Verstöße können bereits sanktioniert werden.

✅ 2. Februar 2025 — Verbotene KI-Praktiken (Art. 5)

Seit dem 2. Februar 2025 sind bestimmte KI-Praktiken in der EU verboten. Prüfen Sie, ob Ihre Systeme betroffen sind:

  • Social Scoring — Bewertung natürlicher Personen basierend auf Sozialverhalten
  • Manipulative KI — unterschwellige Techniken zur Verhaltensmanipulation
  • Biometrische Echtzeit-Überwachung in öffentlich zugänglichen Räumen
  • Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
  • Predictive Policing auf Basis von Profiling
  • Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, Religion, sexuelle Orientierung)

Sanktion bei Verstoß: Bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes.

✅ 2. August 2025 — KI-Kompetenz (Art. 4)

Seit August 2025 müssen alle Anbieter und Deployer sicherstellen, dass ihre Mitarbeiter über ausreichende KI-Kompetenz verfügen:

  • Alle Personen, die KI-Systeme betreiben oder beaufsichtigen, müssen geschult sein
  • Schulungen müssen Kenntnisse über Funktionsweise, Grenzen und Risiken der eingesetzten KI vermitteln
  • Dokumentation der durchgeführten Schulungsmaßnahmen
  • Regelmäßige Auffrischung empfohlen

📋 Checkliste: Bereits geltende Pflichten

  • ☐ Bestandsaufnahme aller eingesetzten KI-Systeme durchgeführt
  • ☐ Prüfung auf verbotene KI-Praktiken abgeschlossen
  • ☐ KI-Schulungen für relevante Mitarbeiter durchgeführt
  • ☐ Schulungsmaßnahmen dokumentiert
  • ☐ Regelmäßiger Schulungsrhythmus festgelegt
💬

Fragen zu den Fristen?Tauschen Sie sich mit anderen Unternehmen über die konkrete Umsetzung aus.

Im Slack diskutieren →
⏰ Kritische Frist

2. August 2026: Transparenz & GPAI

Die nächste große Frist betrifft praktisch jedes Unternehmen, das generative KI nutzt — inklusive On-Premise LLMs.

Transparenzpflichten (Art. 50)

Ab August 2026 gelten Transparenzpflichten für alle KI-Systeme mit begrenztem Risiko. Das betrifft insbesondere:

1. Chatbot-Kennzeichnung (Art. 50 Abs. 1)

Wenn natürliche Personen mit einem KI-System interagieren, müssen sie rechtzeitig und in klarer, verständlicher Weise darüber informiert werden. Das gilt für:

  • Interne Chatbots für Mitarbeiter
  • Externe Chatbots für Kunden
  • KI-gestützte E-Mail-Assistenten
  • Automatisierte Telefonsysteme mit KI

Praxis-Umsetzung: Ein sichtbarer Hinweis wie „Dieser Chat wird von einem KI-System unterstützt" genügt in den meisten Fällen. Bei On-Premise LLMs implementieren Sie dies direkt in Ihrem Frontend.

2. Deepfake-Kennzeichnung (Art. 50 Abs. 2)

KI-generierte oder -manipulierte Bilder, Audio- und Video-Inhalte müssen als solche gekennzeichnet werden:

  • Maschinenlesbare Metadaten-Kennzeichnung (z. B. C2PA-Standard)
  • Sichtbare Kennzeichnung für Endnutzer
  • Ausnahme: Offensichtlich künstlerische oder satirische Inhalte

3. KI-generierte Texte (Art. 50 Abs. 4)

Texte, die von KI generiert und zu Themen öffentlichen Interesses veröffentlicht werden, müssen als KI-generiert gekennzeichnet werden. Dies betrifft insbesondere:

  • Nachrichtenartikel, Pressemitteilungen
  • Berichte und Analysen zu öffentlichen Themen
  • Nicht betroffen: Interne Dokumente, private Kommunikation

GPAI-Regeln (Kapitel V, Art. 51–56)

Ebenfalls ab August 2026 greifen die Regeln für General Purpose AI-Modelle. Als On-Premise-Betreiber eines Open-Source-Modells sind Sie primär als Deployer betroffen, nicht als GPAI-Anbieter. Dennoch sollten Sie wissen:

  • GPAI-Anbieter (Meta, Mistral AI etc.) müssen technische Dokumentation bereitstellen
  • Trainingsdaten-Zusammenfassung muss veröffentlicht werden
  • Copyright-Policy muss dokumentiert sein
  • Downstream-Information — Anbieter müssen Deployer über Fähigkeiten und Grenzen informieren

📋 Checkliste: Bis August 2026 umsetzen

  • ☐ Alle KI-Chatbots mit Kennzeichnung versehen
  • ☐ Deepfake-/synthetische Inhalte labeln
  • ☐ Maschinenlesbare Metadaten für KI-Inhalte implementieren
  • ☐ GPAI-Dokumentation der verwendeten Modelle beschaffen
  • ☐ Audit-Logging für alle KI-Interaktionen einrichten
  • ☐ Datenschutz-Folgenabschätzung aktualisieren
  • ☐ KI-Governance-Prozesse dokumentieren
  • ☐ Interne Richtlinien für KI-Nutzung erstellen/aktualisieren

Dezember 2026: Erweiterte Kennzeichnungspflichten

Zum Jahresende 2026 werden die Kennzeichnungspflichten für KI-generierte Inhalte erweitert und präzisiert. Die EU-Kommission plant delegierte Rechtsakte mit technischen Standards für:

  • Wasserzeichen-Standards für KI-generierte Inhalte
  • Interoperabilität der Kennzeichnungssysteme
  • Prüfmechanismen für die Erkennung synthetischer Inhalte
  • Branchenspezifische Leitlinien (Medien, Marketing, Bildung)

Für On-Premise-Betreiber bedeutet das: Planen Sie die Integration von Content-Watermarking in Ihren LLM-Stack ein. Tools wie text-watermark oder der C2PA-Standard bieten dafür Open-Source-Lösungen.

📅 2027

2. August 2027: Hochrisiko-KI

Die umfangreichsten Anforderungen des EU AI Act — für KI-Systeme in sensiblen Bereichen.

Welche Systeme sind betroffen?

KI-Systeme in den acht Hochrisiko-Bereichen nach Annex III:

  1. Biometrie — Identifizierung, Kategorisierung, Emotionserkennung
  2. Kritische Infrastruktur — Sicherheitskomponenten für Verkehr, Energie, Wasser, digitale Infra
  3. Bildung & Berufsausbildung — Aufnahmeprüfungen, Benotung, Proctoring
  4. Beschäftigung — Recruiting, Bewerberbewertung, Beförderungen, Kündigungen
  5. Wesentliche öffentliche & private Dienstleistungen — Kreditwürdigkeit, Versicherungen, Sozialleistungen, Notfalldienste
  6. Strafverfolgung — Ermittlungsunterstützung, Lügendetektoren, Beweiswürdigung
  7. Migration, Asyl & Grenzkontrolle — Visa-Bearbeitung, Asylverfahren
  8. Rechtspflege & demokratische Prozesse — Richterliche Unterstützung, Wahlbeeinflussung

Anforderungen für Hochrisiko-KI

Die Anforderungen sind umfangreich und erfordern systematische Vorbereitung:

Risikomanagement (Art. 9)

  • Einrichtung eines Risikomanagementsystems über den gesamten Lebenszyklus
  • Identifikation und Analyse bekannter und vorhersehbarer Risiken
  • Bewertung der Risiken bei bestimmungsgemäßer und vorhersehbarer Fehlanwendung
  • Angemessene Risikominderungsmaßnahmen
  • Testen mit realen Bedingungen

Daten-Governance (Art. 10)

  • Trainings-, Validierungs- und Testdatensätze müssen relevant, repräsentativ und fehlerfrei sein
  • Statistische Eigenschaften müssen berücksichtigt werden
  • Bias-Erkennung und -Minderung

Technische Dokumentation (Art. 11)

  • Allgemeine Beschreibung des Systems
  • Detaillierte Beschreibung der Elemente und des Entwicklungsprozesses
  • Monitoring-, Funktions- und Kontrollbeschreibung
  • Informationen zur Genauigkeit und Robustheit

Konformitätsbewertung (Art. 43)

  • Interne Konformitätsbewertung (für die meisten Systeme) ODER
  • Bewertung durch eine notifizierte Stelle (für bestimmte biometrische Systeme)
  • CE-Kennzeichnung nach erfolgreicher Bewertung
  • Registrierung in der EU-Datenbank

📋 Checkliste: Vorbereitung auf August 2027

  • ☐ Alle KI-Systeme nach Risikoklassen klassifiziert
  • ☐ Hochrisiko-Systeme identifiziert (Annex III prüfen)
  • ☐ Risikomanagement-System eingerichtet
  • ☐ Daten-Governance-Prozesse implementiert
  • ☐ Technische Dokumentation erstellt
  • ☐ Monitoring- und Logging-System aufgebaut
  • ☐ Konformitätsbewertungsverfahren geplant
  • ☐ Menschliche Aufsichtsprozesse definiert
  • ☐ Registrierung in der EU-Datenbank vorbereitet
  • ☐ Grundrechte-Folgenabschätzung durchgeführt (für bestimmte Deployer)
📊 Gesamtübersicht

Alle EU AI Act Fristen auf einen Blick

Datum Was gilt? Wer ist betroffen? Status
1. Aug. 2024 EU AI Act tritt in Kraft ✅ Erledigt
2. Feb. 2025 Verbotene KI-Praktiken (Art. 5) Alle KI-Anbieter und Deployer ✅ In Kraft
2. Mai 2025 Verhaltenskodizes (Codes of Practice) GPAI-Anbieter (freiwillig) ✅ In Kraft
2. Aug. 2025 KI-Kompetenz (Art. 4), nationale Behörden, AI Office Alle Anbieter & Deployer ✅ In Kraft
2. Aug. 2026 Transparenzpflichten (Art. 50), GPAI-Regeln (Kap. V) Alle, die gen. KI nutzen/anbieten ⏰ ~8 Wochen
Dez. 2026 Erweiterte Kennzeichnungsstandards Content-Ersteller mit KI 📅 Geplant
2. Feb. 2027 Delegierte Rechtsakte zu Hochrisiko-Kriterien EU-Kommission 📅 Geplant
2. Aug. 2027 Hochrisiko-KI Annex III (alle Anforderungen) Anbieter & Deployer von HR-KI 📅 Geplant
2. Aug. 2027 GPAI-Übergangsfristen enden GPAI-Anbieter (Bestandsmodelle) 📅 Geplant
2. Aug. 2028 KI in regulierten Produkten (Annex I) Hersteller regulierter Produkte 📅 Geplant
2. Aug. 2030 Übergangsfristen für Bestandssysteme enden Alle Anbieter (Bestandssysteme) 📅 Geplant

Warum On-Premise LLM die Fristeneinhaltung vereinfacht

Jede Frist des EU AI Act erfordert konkrete Maßnahmen — und On-Premise LLM macht diese Maßnahmen deutlich einfacher:

August 2026 — Transparenz

  • Chatbot-Kennzeichnung: Sie kontrollieren das Frontend und implementieren die Kennzeichnung direkt — keine Abhängigkeit vom Cloud-Anbieter
  • Audit-Logging: Jede Interaktion wird lokal gespeichert. Sie bestimmen Format, Umfang und Aufbewahrungsdauer
  • Content-Labeling: Integrieren Sie Wasserzeichen und Metadaten direkt in Ihren Output-Pipeline

August 2027 — Hochrisiko

  • Risikomanagement: Vollständige Kontrolle über das System ermöglicht präzise Risikobewertung
  • Technische Dokumentation: Sie kennen jeden Aspekt Ihres Systems — Hardware, Software, Konfiguration, Modell
  • Konformitätsbewertung: Alle Informationen für die Bewertung liegen bei Ihnen, nicht bei einem Cloud-Anbieter
  • Monitoring: Eigene Monitoring-Tools mit voller Einsicht in Performance und Verhalten

Fazit: Wer heute auf On-Premise LLM setzt, baut von Anfang an eine Compliance-fähige Infrastruktur auf — statt später aufwändig nachzurüsten.

On-Premise LLM Leitfaden →

Fristen gemeinsam meistern

In unserer Slack-Community diskutieren 200+ Unternehmen über die konkrete Umsetzung der EU AI Act Fristen.

Jetzt kostenlos beitreten →

Häufig gestellte Fragen zu den EU AI Act Fristen

Welche EU AI Act Fristen gelten ab August 2026?

Ab dem 2. August 2026 gelten die Transparenzpflichten (Art. 50) und die GPAI-Regeln (Kapitel V). Das bedeutet: Chatbot-Kennzeichnungspflicht, Deepfake-Labeling, Offenlegungspflichten für GPAI-Anbieter und die Pflicht zur maschinenlesbaren Kennzeichnung synthetischer Inhalte. Diese Frist betrifft praktisch jedes Unternehmen, das generative KI einsetzt — egal ob Cloud oder On-Premise.

Was muss ich bis August 2026 konkret umsetzen?

Bis August 2026 müssen Sie mindestens: 1. Alle KI-Chatbots kennzeichnen (z. B. „Dieser Chat wird von KI unterstützt"). 2. Deepfakes und KI-generierte Inhalte als solche labeln. 3. Die KI-Kompetenz Ihrer Mitarbeiter sicherstellen (gilt bereits seit Aug. 2025). 4. Prüfen, ob Ihre KI-Systeme unter die Hochrisiko-Kategorie fallen könnten. 5. Audit-Logging und Dokumentation aufsetzen.

Was passiert am 2. August 2027?

Ab dem 2. August 2027 gelten die vollständigen Anforderungen für Hochrisiko-KI-Systeme gemäß Annex III. Das betrifft KI in Bereichen wie Biometrie, Bildung, Beschäftigung, öffentliche Dienstleistungen, Strafverfolgung und Justiz. Erforderlich sind dann: Risikomanagement, Daten-Governance, technische Dokumentation, Konformitätsbewertung und Registrierung in der EU-Datenbank.

Hat die EU-Omnibus-Richtlinie die AI Act Fristen geändert?

Die EU-Omnibus-Richtlinie betrifft primär die CSRD/CSDDD-Berichtspflichten, nicht direkt den EU AI Act. Allerdings gibt es politische Diskussionen über mögliche Fristverlängerungen für bestimmte Hochrisiko-KI-Anforderungen. Stand Juni 2026 gelten die Fristen des EU AI Act wie geplant — eine Verschiebung ist aktuell nicht beschlossen.

Wie bereite ich mich auf die Hochrisiko-Frist 2027 vor?

Beginnen Sie jetzt mit der Vorbereitung: 1. Klassifizieren Sie alle Ihre KI-Systeme nach den Risikoklassen des EU AI Act. 2. Führen Sie eine Gap-Analyse durch: Welche Anforderungen erfüllen Sie bereits? 3. Implementieren Sie ein Risikomanagement-System. 4. Erstellen Sie technische Dokumentation. 5. Planen Sie die Konformitätsbewertung. 6. Schulen Sie Ihre Mitarbeiter. On-Premise-Systeme machen Punkt 2–5 deutlich einfacher.

Wann müssen GPAI-Anbieter die Trainingsdaten offenlegen?

Ab dem 2. August 2026 müssen GPAI-Anbieter eine „hinreichend detaillierte Zusammenfassung" der Trainingsdaten veröffentlichen. Das EU AI Office hat dafür ein Template erstellt. Für Open-Source-GPAI-Anbieter gelten teilweise Ausnahmen (Art. 53 Abs. 2) — es sei denn, das Modell wird als systemisches Risiko eingestuft. Als On-Premise-Deployer müssen Sie diese Pflicht nicht selbst erfüllen, aber die Informationen des Anbieters sollten in Ihrer Dokumentation referenziert werden.

Gibt es Übergangsfristen für bestehende KI-Systeme?

Ja. Hochrisiko-KI-Systeme, die vor dem 2. August 2026 bereits in Verkehr gebracht wurden, erhalten eine Übergangsfrist bis zum 2. August 2030 — allerdings nur, wenn keine wesentlichen Änderungen am System vorgenommen werden (Art. 111). Bei wesentlichen Änderungen (z. B. neues Modell, neue Anwendung) gelten sofort die neuen Anforderungen. GPAI-Modelle, die vor August 2025 auf dem Markt waren, haben bis August 2027 Zeit für die Compliance.