EU AI Act, der Stichtag im August 2026:
was jetzt gilt – und was sich verschiebt
Der 2. August 2026 war lange als der große Termin der KI-Verordnung markiert. Kurz davor hat eine Reform die schwersten Pflichten verschoben. Heißt das Entwarnung – oder nur, dass die wichtigen Punkte untergehen?
Über kaum ein Datum wurde im Mittelstand so viel gesprochen wie über den 2. August 2026 – und kaum ein Datum wurde so oft falsch verstanden. Erst galt er als der Tag, an dem die KI-Verordnung in voller Härte greift. Dann hieß es plötzlich, alles sei verschoben. Beides ist nur halb richtig.
Tatsächlich ist der Stichtag nicht verschwunden – er hat nur seinen schwersten Teil verloren. Eine Reform kurz vor dem Termin hat die strengsten Pflichten nach hinten gerückt – ausgerechnet die, über die am lautesten gesprochen wurde. Die Regeln, die schon heute für nahezu jeden gelten, der KI einsetzt, blieben dagegen unberührt. Wer jetzt nur die Schlagzeile „verschoben“ mitnimmt, übersieht genau die Pflichten, die ihn wirklich treffen.
Die Zeitachse der KI-Verordnung
Vier Stufen – und der Punkt, an dem sich der August-Termin entschärft hat
Verschoben wurde nur die letzte, schwerste Stufe – die ersten drei gelten bereits
Was am 2. August 2026 wirklich passiert
Die KI-Verordnung ist seit dem 1. August 2024 in Kraft, ihre Pflichten greifen aber gestaffelt. Der 2. August 2026 war im Gesetz von Anfang an als der Termin gesetzt, an dem das Gros der Regeln anwendbar wird – allen voran die strengen Anforderungen an Hochrisiko-Systeme. Genau dieser Block wurde kurz vor dem Termin nach hinten verlegt.
Was an diesem Tag tatsächlich greift, ist die Transparenz-Schicht: die Pflicht, künstlich erzeugte Inhalte erkennbar zu machen und offenzulegen, wenn ein Mensch mit einem KI-System statt mit einem Menschen spricht. Das ist kein Randthema – es betrifft jeden Chatbot auf einer Website und jeden Text, jedes Bild und jedes Video, das mit KI erzeugt wird. Der Stichtag ist also nicht abgesagt, er hat nur seinen Schwerpunkt verloren.
Wer wissen will, was unter die Transparenzpflicht fällt und wie eine saubere Kennzeichnung aussieht, findet die Details im Beitrag zu KI-Avataren und synthetischen Sprechern, der die Kennzeichnungspflicht aus Artikel 50 ausführlich einordnet.
Warum „verschoben“ durch die Schlagzeilen ging
Im November 2025 brachte die EU-Kommission ein Reformpaket auf den Weg, das in der Diskussion meist als Digital Omnibus bezeichnet wird. Sein Zweck: die Verordnung an einigen Stellen vereinfachen und den Zeitdruck aus der Umsetzung nehmen. Im Mai 2026 einigten sich die EU-Gesetzgeber auf diese Entlastung; die förmliche Verabschiedung und Veröffentlichung war noch vor dem August-Termin vorgesehen.
Ein wichtiger Vorbehalt: Verbindlich werden die neuen Fristen erst mit der Veröffentlichung im Amtsblatt. Bis dieser letzte Schritt vollzogen ist, gilt formal weiterhin der ursprüngliche 2. August 2026. In der Praxis ist die Verschiebung politisch beschlossen – wer plant, sollte sie aber als „so gut wie sicher“ behandeln, nicht als bereits geltendes Recht.
Der Grund für die Verschiebung war kein inhaltlicher Rückzug, sondern ein praktisches Problem. Die technischen Normen, an denen sich Unternehmen bei Hochrisiko-Systemen ausrichten sollen, waren noch nicht fertig. Und die nationalen Aufsichtsbehörden, die das Ganze prüfen und durchsetzen, waren in mehreren Mitgliedstaaten noch nicht benannt. Eine Pflicht ohne fertige Prüfmaßstäbe und ohne zuständige Stelle hätte niemandem genützt.
„Der AI Act wurde verschoben“ ist die gefährlichste Verkürzung dieser Reform. Verschoben wurde ein klar umrissener Teil – die Hochrisiko-Pflichten. Die Regeln, die heute schon für fast jeden gelten, der KI einsetzt, sind vom Aufschub nicht berührt. Wer sich auf die Schlagzeile verlässt, prüft womöglich das Falsche – oder gar nichts.
Was trotz Verschiebung schon gilt
Drei Schichten der Verordnung sind unabhängig vom August-Termin längst scharf gestellt oder greifen wie geplant. Sie betreffen den Alltag der meisten Unternehmen weit stärker als die verschobenen Hochrisiko-Regeln.
Verbote und KI-Kompetenz – seit Februar 2025
Bestimmte Praktiken sind seit dem 2. Februar 2025 schlicht verboten, etwa die Bewertung von Menschen nach allgemeinem Sozialverhalten oder Systeme, die gezielt manipulieren. Ebenfalls seit diesem Datum gilt die KI-Kompetenz-Pflicht: Wer KI im Auftrag eines Unternehmens bedient, muss über ausreichendes Grundwissen verfügen – nachweisbar, unabhängig von Unternehmensgröße und Rolle.
Universelle KI-Modelle – seit August 2025
Für KI-Modelle mit allgemeinem Verwendungszweck – also die großen Sprach- und Bildmodelle, auf denen viele Anwendungen aufsetzen – gelten seit dem 2. August 2025 eigene Pflichten. Gleichzeitig sind seither die Aufsichtsstruktur und der Bußgeldrahmen aktiv. Diese Schicht wurde vom Digital Omnibus ausdrücklich nicht angetastet.
Transparenz – ab August 2026
Die Transparenzpflichten nach Artikel 50 greifen zum 2. August 2026. Für die maschinenlesbare Kennzeichnung von Inhalten aus Systemen, die schon im Markt sind, gibt es eine viermonatige Schonfrist bis zum 2. Dezember 2026. Wer einen KI-Assistenten auf der Website betreibt oder regelmäßig mit KI erstellte Inhalte veröffentlicht, ist hier unmittelbar betroffen.
Die KI-Kompetenz-Pflicht ist die am leichtesten zu erfüllende und die am häufigsten übersehene. Eine dokumentierte Grundschulung für alle, die KI im Arbeitsalltag nutzen, deckt sie ab – und ist ohnehin die Basis dafür, dass KI im Betrieb sauber statt zufällig läuft. Wie sich das strukturiert aufsetzen lässt, beschreibt der Beitrag zu KI-Nutzung im Unternehmen organisieren.
Was sich wirklich aufschiebt
Verschoben wurde der anspruchsvollste Teil der Verordnung: die Pflichten für Hochrisiko-Systeme und die begleitenden Strukturen. Drei Punkte sind betroffen.
- Hochrisiko nach Anhang III: anwendungsbasierte Systeme wie Bewerber-Auswahl, Bonitätsbewertung oder bestimmte Personalentscheidungen – verschoben vom 2. August 2026 auf den 2. Dezember 2027
- Hochrisiko nach Anhang I: produktbezogene Systeme, die in bereits regulierten Produkten stecken – verschoben vom 2. August 2027 auf den 2. August 2028
- KI-Reallabore: die geschützten Testumgebungen für neue KI-Anwendungen – verschoben auf den 2. August 2027
Der entscheidende Denkfehler liegt im Wort „verschoben“. Wer ein Hochrisiko-System einsetzt, muss ein Risikomanagement, eine saubere Daten-Governance, eine vollständige technische Dokumentation und eine nachweisbare menschliche Aufsicht aufbauen. Das ist Monate- bis Jahresarbeit, nicht eine Aufgabe für die letzten Wochen vor dem Termin. Die gewonnene Zeit ist Aufbauzeit – wer sie als Pause liest, steht im Dezember 2027 wieder am selben Punkt, nur mit weniger Vorlauf.
Die gestaffelten Anwendungstermine (Februar 2025, August 2025, August 2026) ergeben sich aus den Übergangsregelungen der KI-Verordnung. Die Verschiebung der Hochrisiko-Pflichten beruht auf der als Digital Omnibus bezeichneten Reform, die im Mai 2026 politisch vereinbart und zur Veröffentlichung im Amtsblatt vorgesehen wurde.
Quelle: KI-Verordnung (EU) 2024/1689, Art. 113 (eur-lex.europa.eu); Digital Omnibus, vorläufige Einigung Mai 2026Die vier Risikoklassen kurz erklärt
Die Verordnung sortiert KI nicht nach Technik, sondern nach Risiko. Vier Klassen entscheiden darüber, welche Pflichten ein System auslöst – und in welche davon ein Unternehmen überhaupt fällt.
- Verboten: Systeme, die als gesellschaftlich inakzeptabel gelten, etwa allgemeines Sozial-Scoring oder gezielte Manipulation. Hier gibt es keine Pflichten, sondern ein Verbot.
- Hochrisiko: Systeme mit erheblicher Wirkung auf Menschen – etwa in Auswahl, Bewertung oder Zugang zu Leistungen. Strenge Pflichten von Dokumentation bis Aufsicht.
- Begrenztes Risiko: Systeme mit direktem Kontakt zu Menschen, etwa Chatbots oder Inhalte-Generatoren. Hier greift vor allem die Transparenzpflicht.
- Minimales Risiko: der große Rest, etwa Filter oder Assistenzfunktionen im Hintergrund. Keine besonderen Pflichten.
Für die meisten etablierten Unternehmen liegt der Alltag im begrenzten und minimalen Risiko – ein Website-Chatbot hier, ein Text- oder Bildgenerator dort. Hochrisiko wird es punktuell, etwa beim Einsatz eines automatisierten Bewerber-Scorings. Die erste Aufgabe ist deshalb nicht, alles abzusichern, sondern jedes eingesetzte System zuerst richtig einzuordnen.
Anbieter oder Betreiber – der unterschätzte Unterschied
Die Verordnung unterscheidet zwischen dem, der ein KI-System entwickelt und in den Verkehr bringt (Anbieter), und dem, der es im eigenen Auftrag einsetzt (Betreiber). Fast jedes Unternehmen, das KI nutzt, ohne sie selbst zu bauen, ist Betreiber – und genau dieser Punkt wird regelmäßig unterschätzt.
Die Betreiberpflichten sind deutlich leichter als die des Anbieters, aber sie sind nicht null. Wer ein System einsetzt, muss die Vorgaben des Anbieters einhalten, eine menschliche Aufsicht sicherstellen, die nötigen Protokolle aufbewahren und betroffene Beschäftigte über den Einsatz informieren. Ein zugekauftes Hochrisiko-System nimmt einem also nicht die eigene Verantwortung ab – es verschiebt sie nur teilweise zum Anbieter.
„Wir haben das nur eingekauft, dafür ist der Hersteller zuständig.“ Das gilt für die Konstruktion des Systems, nicht für seinen Einsatz. Aufsicht, Information der Beschäftigten und die KI-Kompetenz im eigenen Haus bleiben Sache des Betreibers – unabhängig davon, wer die Software gebaut hat.
Was bei einem Verstoß droht
Die Verordnung staffelt ihre Bußgelder nach der Schwere des Verstoßes – und die Obergrenzen sind bewusst hoch angesetzt. Maßgeblich ist jeweils der höhere von zwei Werten: ein fester Eurobetrag oder ein Anteil am weltweiten Jahresumsatz.
- Verbotene Praktiken (Art. 5): bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes
- Anbieter- oder Betreiberpflichten: bis zu 15 Millionen Euro oder 3 Prozent des weltweiten Jahresumsatzes
- Falsche Angaben gegenüber Behörden: bis zu 7,5 Millionen Euro oder 1 Prozent des weltweiten Jahresumsatzes
Für kleine und mittlere Unternehmen gibt es eine Erleichterung: Hier gilt nach Artikel 99 Absatz 6 jeweils der niedrigere der beiden Beträge. Durchgesetzt werden die Bußgelder über die nationalen Aufsichtsbehörden – deren späte Benennung war einer der Gründe, warum die Hochrisiko-Pflichten überhaupt verschoben wurden. Aus „noch keine Behörde aktiv“ folgt aber nicht „keine Pflicht“: Die schon geltenden Schichten sind verbindlich, unabhängig vom Stand der Durchsetzung.
Die drei Stufen und ihre Obergrenzen sind in der KI-Verordnung selbst festgelegt; die Erleichterung für kleine und mittlere Unternehmen, nach der jeweils der niedrigere Betrag gilt, folgt aus Artikel 99 Absatz 6.
Quelle: KI-Verordnung (EU) 2024/1689, Art. 99 (eur-lex.europa.eu)Fünf Irrtümer, die gerade die Runde machen
Rund um den August-Termin kursieren ein paar Annahmen, die in dieser Form nicht stimmen – und die Unternehmen entweder in falsche Sicherheit oder in unnötige Panik versetzen.
Nur Hochrisiko und Reallabore – Verbote, Kompetenz, Modelle und Transparenz nicht
Auch Betreiber haben Pflichten – Aufsicht, Information, Kompetenznachweis
Die Transparenzpflicht greift zum August 2026, mit kurzer Schonfrist
Doku und Governance brauchen länger als ein Jahr Vorlauf
Geltende Regeln binden unabhängig vom Stand der Durchsetzung
Die ersten drei Irrtümer kosten am meisten – sie betreffen Pflichten, die bereits gelten.
In welcher Reihenfolge Sie jetzt ordnen
Der August-Termin ist kein Anlass für Aktionismus, aber ein guter Anlass, die eigene KI-Nutzung einmal sauber zu sortieren. Sechs Schritte, in einer Reihenfolge, die mit dem größten Hebel beginnt.
- Inventar erstellen: Welche KI-Systeme laufen wo, mit welchen Daten und in wessen Verantwortung? Auch die privat genutzten Werkzeuge gehören auf die Liste.
- Risiko einordnen: Pro System die Klasse bestimmen – verboten, hochriskant, begrenzt oder minimal. Erst die Einordnung zeigt, wo überhaupt Pflichten entstehen.
- Kompetenz dokumentieren: Eine Grundschulung für alle, die KI bedienen, schriftlich festhalten. Diese Pflicht gilt seit Februar 2025 und kennt keinen Aufschub.
- Transparenz vorbereiten: Chatbot-Hinweis und Kennzeichnung KI-erzeugter Inhalte bis August beziehungsweise Dezember 2026 umsetzen.
- Hochrisiko jetzt angehen: Für jedes Hochrisiko-System trotz der Frist bis Dezember 2027 schon mit Dokumentation und Daten-Governance beginnen.
- Verantwortung festlegen: Eine benannte Zuständigkeit und ein regelmäßiger Review halten das Ganze aktuell, statt es einmalig abzuhaken.
Wer KI ohnehin gerade erst in den Betrieb holt, sortiert beides am besten gemeinsam – Pflichten und Nutzen. Welcher Prozess sich als Einstieg eignet und wie der Ausbau geordnet abläuft, beschreibt der Beitrag zur ersten KI-Automation im Betrieb.
Alle Systeme erfasst, inklusive privat genutzter Werkzeuge
Verboten, hochriskant, begrenzt oder minimal – dokumentiert
Dokumentierte Grundschulung für alle, die KI bedienen
Chatbot-Hinweis und Kennzeichnung KI-erzeugter Inhalte
Häufig gestellte Fragen
Nein. Durch die als Digital Omnibus bezeichnete Reform wurden die Pflichten für Hochrisiko-KI-Systeme nach Anhang III von August 2026 auf den 2. Dezember 2027 verschoben. Zum 2. August 2026 greifen die Transparenzpflichten nach Artikel 50 (Kennzeichnung von KI-Chatbots und KI-erzeugten Inhalten). Schon länger in Kraft sind die Verbote nach Artikel 5 und die KI-Kompetenz-Pflicht nach Artikel 4 (beide seit Februar 2025) sowie die Regeln für KI-Modelle mit allgemeinem Verwendungszweck (seit August 2025). Der große Stichtag ist also nicht verschwunden, hat aber seinen schwersten Teil verloren.
Nur teilweise. Verschoben wurden die Hochrisiko-Pflichten nach Anhang III (auf den 2. Dezember 2027), die produktbezogenen Hochrisiko-Regeln nach Anhang I (auf den 2. August 2028) und die KI-Reallabore (auf den 2. August 2027). Unberührt bleiben die seit Februar 2025 geltenden Verbote und die KI-Kompetenz-Pflicht, die Regeln für universelle KI-Modelle seit August 2025 und die Transparenzpflichten ab August 2026. Der Grund für die Entlastung waren fehlende harmonisierte Normen und noch nicht benannte Aufsichtsbehörden, nicht ein inhaltlicher Rückzug. Zu beachten ist: Die neuen Fristen werden erst mit der Veröffentlichung im Amtsblatt verbindlich – bis dahin gilt formal weiterhin der ursprüngliche 2. August 2026, auch wenn die Verschiebung politisch beschlossen ist.
Ja. Wer ein KI-System im eigenen Auftrag einsetzt, gilt als Betreiber und trägt eigene Pflichten – auch wenn ein anderer das System entwickelt hat. Die Betreiberpflichten nach Artikel 26 sind leichter als die des Anbieters: Anweisungen des Anbieters befolgen, menschliche Aufsicht sicherstellen, Protokolle aufbewahren und betroffene Beschäftigte informieren. Unabhängig von Größe und Rolle gilt zusätzlich die KI-Kompetenz-Pflicht nach Artikel 4 für alle Personen, die ein KI-System bedienen – seit Februar 2025.
Die Verordnung kennt drei Stufen. Verbotene Praktiken nach Artikel 5 können mit bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes geahndet werden – je nachdem, welcher Betrag höher ist. Verstöße gegen Anbieter- oder Betreiberpflichten liegen bei bis zu 15 Millionen Euro oder 3 Prozent, falsche Angaben gegenüber Behörden bei bis zu 7,5 Millionen Euro oder 1 Prozent. Für kleine und mittlere Unternehmen gilt nach Artikel 99 Absatz 6 jeweils der niedrigere der beiden Beträge.
Die Transparenzpflichten nach Artikel 50 verlangen, dass künstlich erzeugte oder veränderte Inhalte als solche erkennbar sind und dass Nutzer erfahren, wenn sie mit einem KI-System statt mit einem Menschen interagieren. Diese Pflichten greifen zum 2. August 2026. Für die maschinenlesbare Kennzeichnung KI-erzeugter Inhalte aus bereits im Verkehr befindlichen Systemen gibt es eine viermonatige Schonfrist bis zum 2. Dezember 2026. In der Praxis heißt das: Chatbot-Hinweis, klare Kennzeichnung synthetischer Medien und ein Blick darauf, wo im Unternehmen unbemerkt KI-Inhalte entstehen.
Nein. Der Aufbau eines Risikomanagements, einer Daten-Governance und einer vollständigen technischen Dokumentation für ein Hochrisiko-System dauert in der Regel länger als ein Jahr. Die zusätzliche Frist bis Dezember 2027 ist Aufbauzeit, keine Pause. Wer ein Bewerber-Scoring, eine Bonitätsprüfung oder ein vergleichbares System einsetzt, sollte die gewonnene Zeit nutzen, um Dokumentation und Aufsicht jetzt aufzubauen – statt kurz vor der neuen Frist erneut unter Druck zu geraten.
Der Termin, der bleibt – und der, der kommt
Die Reform hat den schwersten Teil der KI-Verordnung um gut anderthalb Jahre nach hinten gerückt. Das verschafft Luft bei genau den Pflichten, die am meisten Arbeit machen. Es ändert aber nichts daran, dass die tragenden Schichten – Verbote, KI-Kompetenz, die Regeln für universelle Modelle und ab August die Transparenz – bereits gelten.
Die ehrliche Einordnung lautet deshalb nicht „verschoben, also entspannt“, sondern „auf den Kern reduziert, also fokussiert“. Wer jetzt sein KI-Inventar erstellt, jedes System einordnet und die Kompetenz im Haus dokumentiert, hat den größten Teil erledigt – und nutzt die zusätzliche Zeit bis Dezember 2027 dort, wo sie wirklich gebraucht wird: beim Aufbau, nicht in der Pause.
Wir prüfen in 2 Werktagen, welche AI-Act-Pflichten Ihren KI-Einsatz wirklich treffen – und welche noch Zeit haben.
Künstliche Intelligenz, fundiert erklärt.
Jede Woche ein neuer KI-Fachbeitrag, praxisnah aufbereitet und vollständig in der E-Mail. Jederzeit abbestellbar.
Zu den KI-News