Der EU AI Act 2026 bringt den nächsten großen Anwendungsschub der europäischen KI-Verordnung: Seit dem 2. August 2026 gelten die Transparenzpflichten aus Art. 50 der Verordnung (EU) 2024/1689 EU-weit – unter anderem die Kennzeichnungspflicht für Chatbots und KI-generierte Inhalte. Der EU AI Act ist die weltweit erste umfassende Rechtsverordnung zur Regulierung Künstlicher Intelligenz in der Europäischen Union; er trat am 1. August 2024 in Kraft und gilt laut Art. 113 der Verordnung gestaffelt bis 2027. Für Unternehmen bedeutet das: Ein Teil der Pflichten ist bereits scharf gestellt, ein anderer Teil – die Pflichten für Hochrisiko-KI-Systeme – wurde durch die im Sommer 2026 verabschiedete Omnibus-Novelle auf Dezember 2027 verschoben.
- Transparenzpflichten (Art. 50: Chatbot-Kennzeichnung, KI-Content-Labeling): seit 2. August 2026 EU-weit anwendbar (Art. 113 EU AI Act).
- Verbotene KI-Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4): bereits seit 2. Februar 2025 in Kraft (Art. 113 lit. a).
- Pflichten für GPAI-Modelle (Kapitel V, u. a. Art. 53): seit 2. August 2025 anwendbar (Art. 113 lit. b).
- Pflichten für eigenständige Hochrisiko-KI-Systeme (Annex III): durch den 'Digital Omnibus on AI' von 2. August 2026 auf 2. Dezember 2027 verschoben (EU-Kommission, Stand 7.7.2026).
- Bußgelder bei Verstößen gegen Verbote: bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist (Art. 99 Abs. 3 EU AI Act).
Welche Fristen gelten 2026 beim EU AI Act – und was hat der Digital Omnibus geändert?
Ab dem 2. August 2026 gilt laut Art. 113 der Verordnung der Großteil des EU AI Act, darunter die Transparenzpflichten aus Art. 50 – ursprünglich sollten zum selben Datum auch die Pflichten für eigenständige Hochrisiko-KI-Systeme nach Annex III scharf werden. Der Verordnungstext legt in Art. 113 einen dreistufigen Zeitplan fest: 'It shall apply from 2 August 2026. However: (a) Chapters I and II shall apply from 2 February 2025; (b) Chapter III Section 4, Chapter V, Chapter VII and Chapter XII and Article 78 shall apply from 2 August 2025, with the exception of Article 101; (c) Article 6(1) and the corresponding obligations in this Regulation shall apply from 2 August 2027' (EUR-Lex, Amtsblatt L, 12.7.2024). Im Frühjahr und Frühsommer 2026 haben Rat und Europäisches Parlament diesen Fahrplan für die Hochrisiko-Pflichten jedoch verändert: Das Parlament stimmte der sogenannten 'Digital Omnibus on AI'-Novelle am 16. Juni 2026 mit 423 zu 57 Stimmen bei 174 Enthaltungen zu, der Rat gab am 29. Juni 2026 endgültig grünes Licht. Die EU-Kommission fasst die Folge so zusammen: 'Rules for systems used in certain high-risk areas — including biometrics, critical infrastructure, education, employment, migration, asylum and border control — will apply from 2 December 2027' und 'For systems integrated into products such as lifts or toys, the rules will apply from 2 August 2028' (digital-strategy.ec.europa.eu, Stand 7.7.2026). Die Transparenzpflichten des Art. 50 sind von dieser Verschiebung nicht betroffen und bleiben beim 2. August 2026.
| Datum | Was gilt ab diesem Datum | Rechtsgrundlage |
|---|---|---|
| 1. August 2024 | EU AI Act tritt in Kraft (20 Tage nach Veröffentlichung im Amtsblatt am 12.7.2024) | Art. 113 Satz 1 EU AI Act |
| 2. Februar 2025 | Verbotene KI-Praktiken (Art. 5) und KI-Kompetenzpflicht (Art. 4) sind anwendbar | Art. 113 lit. a EU AI Act |
| 2. August 2025 | Pflichten für GPAI-Modelle, Governance- und Bußgeldvorschriften (außer Art. 101) sind anwendbar | Art. 113 lit. b EU AI Act |
| 2. August 2026 | Großteil der Verordnung gilt EU-weit, inkl. Transparenzpflichten für Chatbots/KI-Content (Art. 50) | Art. 113 Satz 2 EU AI Act |
| 2. Dezember 2027 | Pflichten für eigenständige Hochrisiko-KI-Systeme nach Annex III (statt ursprünglich 2.8.2026/2.8.2027) | EU-Kommission zum 'Digital Omnibus on AI', Stand 7.7.2026 |
| 2. August 2028 | Pflichten für Hochrisiko-KI als Sicherheitsbauteil in Produkten nach Annex I (statt ursprünglich 2.8.2027) | EU-Kommission zum 'Digital Omnibus on AI', Stand 7.7.2026 |
Ab wann müssen Unternehmen Chatbots und KI-generierte Inhalte kennzeichnen?
Seit dem 2. August 2026 gelten die Transparenzpflichten aus Art. 50 des EU AI Act (Verordnung (EU) 2024/1689): Anbieter müssen offenlegen, wenn Nutzer mit einem KI-System interagieren, und KI-generierte Audio-, Bild-, Video- oder Textinhalte maschinenlesbar als solche kennzeichnen (Art. 113 i. V. m. Art. 50 EU AI Act, EUR-Lex, Amtsblatt 12.7.2024).
Welche Risikoklassen unterscheidet der EU AI Act?
Der EU AI Act ordnet KI-Systeme vier Risikoklassen zu, die jeweils unterschiedliche Pflichten auslösen: verbotene Praktiken, Hochrisiko-Systeme, Systeme mit Transparenzpflichten und Systeme mit minimalem Risiko. Die EU-Kommission beschreibt das Prinzip so: 'The AI Act defines 4 levels of risk for AI systems' (digital-strategy.ec.europa.eu, Stand 7.7.2026). Verbotene Praktiken nach Art. 5 umfassen laut Verordnungstext unter anderem Systeme, die 'subliminal techniques beyond a person's consciousness or purposefully manipulative or deceptive techniques' zur Verhaltensmanipulation einsetzen, Social-Scoring-Systeme sowie den 'untargeted scraping of facial images from the internet or CCTV footage' zum Aufbau von Gesichtserkennungsdatenbanken (EUR-Lex, Amtsblatt 12.7.2024). Hochrisiko-Systeme sind in Art. 6 Abs. 2 i. V. m. Annex III abschließend in acht Bereichen aufgeführt (EUR-Lex, Amtsblatt 12.7.2024) — Details in der Tabelle.
| Risikoklasse | Beispiele | Zentrale Pflichten |
|---|---|---|
| Verboten (Art. 5) | Social Scoring, manipulative Systeme, ungezieltes Auslesen von Gesichtsbildern für Datenbanken, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen für Strafverfolgung) | Einsatz untersagt; Verstöße mit bis zu 35 Mio. € oder 7 % Jahresumsatz bebußt (Art. 99 Abs. 3) |
| Hochrisiko (Art. 6 + Annex III) | Biometrie, kritische Infrastruktur, Bildung, Personalauswahl/-management, Kreditwürdigkeitsprüfung, Strafverfolgung, Migration/Asyl, Justiz | Konformitätsbewertung, CE-Kennzeichnung, Risikomanagement, Registrierung (Anbieter, Art. 16); menschliche Aufsicht, Protokollierung, Information Betroffener (Betreiber, Art. 26) |
| Begrenztes Risiko / Transparenz (Art. 50) | Chatbots, Deepfakes, KI-generierte Texte/Bilder/Videos, Emotionserkennung, biometrische Kategorisierung | Offenlegung der KI-Interaktion, maschinenlesbare Kennzeichnung von KI-Inhalten, Information Betroffener bei Emotionserkennung |
| Minimal | Spamfilter, KI-gestützte Empfehlungssysteme, die meisten Videospiel-KIs | Keine verpflichtenden Auflagen; freiwillige Verhaltenskodizes möglich (Art. 95) |
Was müssen Anbieter und was müssen Betreiber tun?
Der EU AI Act unterscheidet Pflichten für Anbieter und Betreiber: Anbieter ('provider') sind laut Art. 3 Nr. 3 der Verordnung diejenigen, die ein KI-System entwickeln oder entwickeln lassen und unter eigenem Namen in Verkehr bringen, während Betreiber ('deployer') nach Art. 3 Nr. 4 diejenigen sind, die ein KI-System 'in eigener Verantwortung' nutzen – ausgenommen rein private, nicht-berufliche Nutzung (EUR-Lex, Amtsblatt 12.7.2024). Für Hochrisiko-Systeme regelt Art. 16 die Anbieterpflichten, Art. 26 die Betreiberpflichten.
- Anbieter (Art. 16): Konformitätsbewertungsverfahren durchführen, EU-Konformitätserklärung ausstellen, CE-Kennzeichnung anbringen, Qualitätsmanagementsystem und Dokumentation vorhalten, System in der EU-Datenbank registrieren.
- Betreiber (Art. 26): Menschliche Aufsicht durch geschultes Personal sicherstellen, System gemäß Gebrauchsanweisung nutzen, automatisch erzeugte Protokolle mindestens sechs Monate aufbewahren, Beschäftigte und deren Vertretung vor Einsatz am Arbeitsplatz informieren.
Was gilt für GPAI-Modelle wie große Sprachmodelle?
Seit dem 2. August 2025 gelten für Anbieter von General-Purpose-AI-Modellen (GPAI) eigene Pflichten aus Kapitel V der Verordnung, unabhängig von der Risikoklasse einzelner Anwendungen. Art. 53 Abs. 1 verpflichtet GPAI-Anbieter unter anderem dazu, 'technical documentation of the model, including its training and testing process and the results of its evaluation' zu erstellen und aktuell zu halten, Downstream-Anbietern Informationen zur Integration bereitzustellen, eine Urheberrechts-Compliance-Politik zu etablieren und 'a sufficiently detailed summary about the content used for training' zu veröffentlichen (EUR-Lex, Amtsblatt 12.7.2024). Zusätzliche Pflichten treffen GPAI-Modelle mit 'systemischem Risiko': Nach Art. 51 Abs. 2 wird ein Modell vermutet, hohe Wirkkraft zu haben, 'when the cumulative amount of computation used for its training measured in floating point operations is greater than 10^25' – oberhalb dieser Rechenleistungs-Schwelle greifen nach Art. 55 zusätzliche Pflichten wie standardisierte Modellbewertung, adversariales Testing, Vorfallmeldung an das AI Office und erhöhte Cybersicherheitsanforderungen (EUR-Lex, Amtsblatt 12.7.2024).
Was ist ein GPAI-Modell mit systemischem Risiko nach dem EU AI Act?
Ein General-Purpose-AI-Modell (GPAI) gilt nach Art. 51 Abs. 2 des EU AI Act als Modell mit vermutetem systemischem Risiko, wenn die für das Training kumulierte Rechenleistung 10^25 Floating Point Operations übersteigt. Für solche Modelle gelten seit 2. August 2025 zusätzliche Pflichten wie Modellevaluierung, adversariales Testing und Cybersicherheitsmaßnahmen (Art. 55 EU AI Act, EUR-Lex, Amtsblatt 12.7.2024).
Welche Bußgelder drohen bei Verstößen gegen den EU AI Act?
Der EU AI Act sieht in Art. 99 ein dreistufiges Bußgeldsystem vor, das sich nach der Schwere des Verstoßes richtet. Für Verstöße gegen die verbotenen Praktiken nach Art. 5 drohen laut Art. 99 Abs. 3 Bußgelder 'of up to EUR 35 000 000 or, if the offender is an undertaking, up to 7 % of its total worldwide annual turnover for the preceding financial year, whichever is higher'. Für Verstöße gegen andere Pflichten – etwa Anbieterpflichten nach Art. 16, Betreiberpflichten nach Art. 26 oder die Transparenzpflichten nach Art. 50 – sieht Art. 99 Abs. 4 Bußgelder von bis zu 15 Mio. Euro oder 3 % des weltweiten Jahresumsatzes vor. Die Weitergabe falscher, unvollständiger oder irreführender Informationen an Behörden wird nach Art. 99 Abs. 5 mit bis zu 7,5 Mio. Euro oder 1 % des Jahresumsatzes geahndet. Für KMU und Start-ups gilt laut Art. 99 Abs. 6 jeweils der niedrigere der beiden Beträge (EUR-Lex, Amtsblatt 12.7.2024).
Was passiert, wenn ein Unternehmen gegen den EU AI Act verstößt?
Der EU AI Act staffelt Bußgelder nach Schwere: Verstöße gegen verbotene Praktiken (Art. 5) kosten bis zu 35 Mio. Euro oder 7 % des weltweiten Jahresumsatzes; Verstöße gegen andere Pflichten, etwa Transparenz- oder Betreiberpflichten, bis zu 15 Mio. Euro oder 3 %; Falschauskünfte an Behörden bis zu 7,5 Mio. Euro oder 1 % (Art. 99 EU AI Act, EUR-Lex, Amtsblatt 12.7.2024).
Fazit: Wie Unternehmen den EU AI Act 2026 einordnen sollten
Für Unternehmen zählt 2026 vor allem ein Datum verbindlich: der 2. August 2026, ab dem die Transparenzpflichten aus Art. 50 EU-weit greifen – unabhängig vom 'Digital Omnibus on AI', der ausschließlich die Hochrisiko-Pflichten aus Annex III auf den 2. Dezember 2027 und die produktintegrierte Hochrisiko-KI nach Annex I auf den 2. August 2028 verschoben hat (EU-Kommission, digital-strategy.ec.europa.eu, Stand 7.7.2026). Wer KI-Systeme entwickelt oder einsetzt, sollte deshalb zunächst die eigene Rolle als Anbieter oder Betreiber sowie die Risikoklasse der eingesetzten Systeme anhand von Art. 5, Art. 6 und Annex III klären. Diese Einordnung ersetzt keine anwaltliche Beratung im Einzelfall; für eine rechtssichere Bewertung der eigenen Systeme empfiehlt sich die Prüfung anhand des aktuellen, im Amtsblatt veröffentlichten Verordnungstextes.