EU AI Act Stichtage 2025–2027: Übersicht für KMU

Wito AI

EU AI Act Stichtage 2025–2027: Was wann gilt

Der EU AI Act tritt gestaffelt in Kraft — vier Stichtage, vier Handlungspakete. Diese Übersicht zeigt KMU, was bis wann Pflicht ist: Verbote, GPAI-Regeln, Hochrisiko-Pflichten und Sanktionen.

EU AI Act Compliance-Check buchen Kostenlosen Digital Audit starten

Was ist der EU AI Act und wie tritt er in Kraft?

Der EU AI Act (Verordnung EU 2024/1689) ist die weltweit erste umfassende gesetzliche Regulierung künstlicher Intelligenz. Er trat am 1. August 2024 in Kraft und entfaltet seine volle Wirksamkeit über einen gestaffelten Zeitraum von 36 Monaten — mit vier klar definierten Stichtagen bis August 2027.

Die Verordnung gilt für alle Unternehmen, die KI-Systeme in der EU einsetzen, entwickeln oder vermarkten — unabhängig von Unternehmensgröße und Sitz. Das bedeutet: Auch ein KMU mit 15 Mitarbeitenden, das nur fertige KI-Tools nutzt, ist als Betreiber (Deployer) nach Art. 3 Nr. 4 EU AI Act betroffen.

Übersicht der 4 EU-AI-Act-Stichtage

Der EU AI Act strukturiert seine Anforderungen in vier zeitlich gestaffelten Stufen. Die Logik dahinter ist risikobasiert: Zuerst treten die Verbote für die gefährlichsten KI-Systeme in Kraft, dann die Transparenzpflichten für Allzweck-KI-Modelle, schließlich die umfangreichen Hochrisiko-Pflichten und zuletzt die Ausnahmen für bestimmte regulierte Produktkategorien.

Laut EU-Kommission AI Office (2025) sind von den Hochrisiko-Anforderungen schätzungsweise 15.000 KMU allein in Deutschland direkt betroffen. Gleichzeitig zeigt eine Bitkom-Studie 2025, dass 64 % der deutschen KMU noch nicht wissen, dass sie vom EU AI Act betroffen sind.

Die vier Stichtage lassen sich als aufeinanderaufbauende Compliance-Wellen verstehen: Jede Welle bringt neue Pflichten — und ab dem Stichtag 02. August 2026 greifen nach Art. 113 EU AI Act die Regelungen der Verordnung vollständig, soweit nicht ausdrücklich abweichend geregelt. Das BMWK empfiehlt Unternehmen ausdrücklich, sich schrittweise und frühzeitig auf jeden der Stichtage vorzubereiten, anstatt alles auf den letzten Moment zu verschieben.

1Aug 2024

Inkrafttreten — EU Commission

Quelle: EU Commission, 2024

2Feb 2025

Verbote (Unacceptable Risk) gelten — Art. 5

Quelle: EU AI Act Art. 5, 2025

2Aug 2025

GPAI-Regeln + Behörden — Art. 51-56

Quelle: EU AI Act Art. 51-56, 2025

2Aug 2026

Hochrisiko-KI-Pflichten — Art. 6-49

Quelle: EU AI Act Art. 6-49, 2026

02. Februar 2025: Verbotene KI-Praktiken (Art. 5 EU AI Act)

Sechs Monate nach Inkrafttreten — am 02. Februar 2025 — traten die Verbote für KI-Systeme mit unakzeptablem Risiko in Kraft. Diese KI-Praktiken sind seither in der EU vollständig verboten. Jedes Unternehmen, das solche Systeme noch betreibt, handelt seit diesem Datum rechtswidrig und riskiert Bußgelder bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes.

Nach Art. 5 EU AI Act sind folgende KI-Systeme und -Praktiken verboten:

Soziales Scoring: KI-Systeme, die Personen auf Basis sozialen Verhaltens oder persönlicher Merkmale bewerten und daraus soziale Nachteile ableiten (wie staatliches Punktesystem).
Manipulative KI-Praktiken: Systeme, die Techniken unterhalb der Wahrnehmungsschwelle einsetzen, um menschliches Verhalten zu beeinflussen und dabei Schaden zu verursachen.
Ausnutzung von Schwächen: KI, die spezifische Schwachstellen bestimmter Personen (Alter, Behinderung) ausnutzt, um ihr Verhalten zu beeinflussen.
Biometrische Echtzeitüberwachung in öffentlichen Räumen durch Strafverfolgungsbehörden — mit engen, im Gesetz definierten Ausnahmen.
Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen — mit Ausnahmen für medizinische oder sicherheitsbezogene Nutzung.
Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, politische Meinung, Gewerkschaftszugehörigkeit, religiöse Überzeugung, Sexualität).
KI-basiertes Predictive Policing auf Basis von Profilen ohne konkreten Sachverhalt.

Für KMU in der Praxis besonders relevant: Wer KI-gestützte Stimmungs- oder Emotionsanalyse bei Mitarbeitenden einsetzte (z. B. in HR-Tools, Videokonferenzsoftware oder Produktivitäts-Monitoring), musste diese Funktionen spätestens zum 02. Februar 2025 deaktivieren oder nachweisen, dass sie unter die medizinische Ausnahme fallen. Laut Bitkom Leitfaden EU AI Act 2024 haben viele KMU diese Funktionen unbewusst in Standardsoftware aktiviert.

02. August 2025: GPAI-Regeln, AI Office und nationale Behörden

Zwölf Monate nach Inkrafttreten — am 02. August 2025 — traten die Regelungen für KI-Allzweckmodelle (General Purpose AI, GPAI) sowie die institutionellen Strukturen in Kraft. Dieser Stichtag betrifft KMU vor allem indirekt: Die Anbieter der KI-Modelle, die KMU täglich nutzen, müssen nun nachweislich compliant sein.

GPAI: Was sind KI-Allzweckmodelle?

GPAI-Modelle sind große KI-Modelle, die für eine Vielzahl von Aufgaben trainiert und eingesetzt werden können — ohne spezifische Zweckbindung. Prominente Beispiele sind GPT-4 und GPT-5 (OpenAI), Claude (Anthropic), Gemini (Google DeepMind) und LLaMA (Meta). Nach Art. 51–56 EU AI Act müssen Anbieter dieser Modelle ab dem 02. August 2025 folgende Pflichten erfüllen:

Technische Dokumentation und Modell-Evaluierungen bereitstellen.
Urheberrechtsrichtlinien veröffentlichen und einhalten (Trainingsdaten-Policy).
Nachgelagerten Anbietern (die auf dem Modell aufbauen) alle relevanten Informationen zur Verfügung stellen.
Bei systemischen Risiken (Modelle mit besonders hoher Leistungsfähigkeit, Stand 2025: Trainingsaufwand über 10^25 FLOPs) zusätzliche Sicherheitsmaßnahmen treffen.

Was bedeutet das für KMU als Nutzer?

Für KMU als Betreiber gilt: Sie dürfen nur noch GPAI-Modelle von Anbietern einsetzen, die die EU-AI-Act-Anforderungen nachweislich erfüllen. In der Praxis bedeutet das, die Konformitätsdokumentation der Anbieter (z. B. Microsoft, OpenAI, Google, Anthropic) zu prüfen und zu archivieren. Namhafte Anbieter haben diese Dokumentation mittlerweile öffentlich zugänglich gemacht.

AI Office und nationale Behörden

Ebenfalls ab dem 02. August 2025 ist das EU AI Office vollständig operativ. Es ist die zentrale EU-Behörde für die Überwachung der Einhaltung der GPAI-Regelungen. Parallel dazu haben die EU-Mitgliedstaaten ihre nationalen Marktüberwachungsbehörden für KI zu benennen — in Deutschland wird voraussichtlich die Bundesnetzagentur diese Rolle übernehmen, final ist die Entscheidung durch das BMDV (Bundesministerium für Digitales und Verkehr) noch ausstehend (Stand Q2 2026).

Laut Heinrich-Böll-Stiftung EU AI Act Analyse 2024 ist die institutionelle Struktur ein Kernelement des Gesetzes: Ohne funktionierende nationale Behörden sind die Bußgeldandrohungen zwar formal gültig, aber praktisch kaum durchsetzbar. Ab August 2025 ändert sich das — die Behörden erhalten umfangreiche Untersuchungs- und Durchsetzungsbefugnisse inklusive unangemeldeter Audits.

02. August 2026: Hochrisiko-KI-Pflichten und volle Sanktionswirkung

Der 02. August 2026 ist der zentrale Stichtag des EU AI Act für die Mehrheit der betroffenen KMU. Ab diesem Datum — 24 Monate nach Inkrafttreten — greifen alle Anforderungen für Hochrisiko-KI-Systeme nach Art. 6–49 EU AI Act vollständig. Gleichzeitig gilt ab diesem Stichtag die volle Bußgeldwirkung nach Art. 99 EU AI Act.

Welche Systeme sind Hochrisiko?

Hochrisiko-KI-Systeme sind in Anhang III der Verordnung aufgelistet. Für KMU besonders relevante Bereiche:

HR und Personalwesen: KI zur Bewerbervorauswahl, Leistungsbewertung, Gehaltsempfehlung oder Kündigung. Betrifft jeden Mittelständler mit KI-gestützter HR-Software.
Kreditvergabe: Automatisierte Bonitätsbewertung und Kreditscoring. Relevant für Unternehmen mit KI-gestützten Finanz-Tools.
Bildung und Berufsausbildung: Zugangsentscheidungen oder Bewertung von Lernenden per KI.
Kritische Infrastruktur: KI in Wasserversorgung, Energie, Verkehr.
Sicherheitsrelevante Produkte: KI in Maschinen, Fahrzeugen, Medizingeräten.

Pflichten für Betreiber von Hochrisiko-Systemen

KMU, die Hochrisiko-KI-Systeme betreiben, müssen bis zum 02. August 2026 folgende Anforderungen aus Art. 9–15 EU AI Act erfüllen:

Risikomanagement-System nach Art. 9: Dokumentiertes System zur Identifikation, Analyse und Minderung von Risiken über den gesamten Lebenszyklus des KI-Systems.
Datenqualitätssicherung nach Art. 10: Sicherstellung, dass Trainings- und Betriebsdaten die Anforderungen an Qualität, Repräsentativität und Freiheit von Fehlern erfüllen.
Technische Dokumentation nach Art. 11: Umfassende Dokumentation des KI-Systems, seiner Zwecke, Einschränkungen und Leistungsparameter.
Protokollierung und Aufzeichnung nach Art. 12: Automatische Protokollierung von Ereignissen während des Betriebs eines Hochrisiko-Systems.
Transparenz und Nutzerinformation nach Art. 13: Klare Informationen für Betreiber und Nutzer über Fähigkeiten, Einschränkungen und Aufsichtspflichten.
Menschliche Aufsicht nach Art. 14: Institutionell verankerte Kontrolle durch natürliche Personen — technische und organisatorische Maßnahmen müssen dies ermöglichen.
Konformitätsbewertung nach Art. 43: Entweder als Selbstbewertung oder durch Dritte, je nach Systemtyp.

Bußgelder ab 02. August 2026

Die Bußgeldstruktur nach Art. 99 EU AI Act ist für KMU erheblich: Verstöße gegen Hochrisiko-Anforderungen können mit bis zu 15 Mio. EUR oder 3 % des weltweiten Jahresumsatzes (der jeweils höhere Wert gilt) geahndet werden. Für ein KMU mit 10 Mio. EUR Umsatz bedeutet das Bußgelder bis zu 300.000 EUR — allein für fehlende Compliance-Dokumentation. Für verbotene KI-Praktiken nach Art. 5 gilt der noch höhere Rahmen von 35 Mio. EUR oder 7 % des Jahresumsatzes.

Laut ZEW Mannheim 2024 können die einmaligen Compliance-Kosten für KMU je nach Komplexität zwischen 50.000 und 400.000 EUR liegen, wenn alles intern umgesetzt wird. Mit externer Unterstützung und strukturiertem Vorgehensmodell reduziert sich dieser Aufwand erheblich — und ist erheblich günstiger als ein einziges Bußgeld.

Diese Verordnung gilt ab dem 2. August 2026, sofern nicht abweichend geregelt. Titel I und Titel II gelten ab dem 2. Februar 2025. Die Bestimmungen über Allzweck-KI-Modelle in Kapitel V des Titels VIII und die Bestimmungen von Kapitel I, II und VI des Titels VIII sowie Kapitel III des Titels IX gelten ab dem 2. August 2025.

Europäisches Parlament und Rat der Europäischen Union, Verordnung (EU) 2024/1689 — EU Artificial Intelligence Act, Art. 113, Amtsblatt der Europäischen Union, 2024

02. August 2027: Letzte Übergangsfrist für Spezialkategorien

Für bestimmte Hochrisiko-KI-Systeme, die in bereits bestehende europäische Sicherheits- und Produktkonformitätsrahmen eingebettet sind, gilt eine verlängerte Übergangsfrist bis zum 02. August 2027. Diese Ausnahme ist in Art. 113 Abs. 2 EU AI Act geregelt und betrifft Systeme, die einem CE-Kennzeichnungsverfahren nach anderen EU-Harmonisierungsrichtlinien unterliegen.

Konkret betroffen sind Hochrisiko-KI-Systeme in folgenden regulierten Produktkategorien:

Medizinprodukte nach Verordnung (EU) 2017/745 (MDR): KI-gestützte Diagnosesoftware, bildgebende KI in der Radiologie, KI-basierte Therapieempfehlungssysteme.
In-vitro-Diagnostika nach Verordnung (EU) 2017/746 (IVDR): KI in Labordiagnostik und Gentestauswertung.
Spielzeug nach Richtlinie 2009/48/EG: KI-Funktionen in interaktivem Lernspielzeug.
Maschinen und Aufzüge: KI in sicherheitskritischen Maschinensteuerungen, sofern diese unter die Maschinenrichtlinie fallen.
Luftfahrt und Schifffahrt: KI-Systeme, die bereits anderen EU-Sicherheitsregimes unterliegen.

Für KMU in der Fertigungs-, Medizintechnik- und Spielzeugbranche bedeutet das: Der relevante Stichtag ist nicht August 2026, sondern August 2027. Die grundlegenden Vorbereitungen (KI-Inventar, Risikoklassifikation, Gap-Analyse) sollten dennoch bis Ende 2025 abgeschlossen sein, um ausreichend Vorlauf für die Konformitätsbewertung zu haben. Das Bitkom Leitfaden EU AI Act 2024 empfiehlt Unternehmen in diesen Sektoren, ihre bestehenden CE-Verfahren als Grundlage zu nutzen und um die AI-Act-spezifischen Anforderungen zu ergänzen.

Aktions-Checkliste: Was bis wann tun?

Die folgende Checkliste fasst die wichtigsten Handlungsschritte pro Stichtag zusammen. Sie ersetzt keine Rechtsberatung, gibt aber einen praxisorientierten Überblick über die wichtigsten Maßnahmen für KMU.

Jetzt sofort (nachholend für 02. Februar 2025)

KI-Tools im Unternehmen inventarisieren — vollständig, inklusive KI-Funktionen in Standardsoftware (CRM, ERP, HR-Tools, Office-Pakete).
Prüfen, ob Emotionserkennungs- oder Scoring-Funktionen aktiv sind — diese müssen deaktiviert oder rechtlich geprüft sein.
AI Policy (interne KI-Nutzungsrichtlinie) erstellen — regelt erlaubte und verbotene KI-Nutzung durch Mitarbeitende.
Chatbots und KI-Assistenten mit Transparenzhinweis versehen ("Sie chatten mit einem KI-Assistenten").

Bis 02. August 2025 (GPAI-Stichtag)

Konformitätsdokumentation der eingesetzten GPAI-Anbieter (OpenAI, Google, Microsoft, Anthropic) anfordern und archivieren.
Sicherstellen, dass nur EU-AI-Act-konforme Modelle genutzt werden — ggf. Anbieterwechsel prüfen.
Nationalen Behörden-Kontaktpunkt identifizieren (aktuell: Bundesnetzagentur) und Eskalationsprozess intern definieren.

Bis 02. August 2026 (Hochrisiko-Hauptstichtag)

Risikoklassifikation aller eingesetzten KI-Systeme nach Anhang III EU AI Act abschließen.
Für Hochrisiko-Systeme: Technische Dokumentation, Risikomanagement-System und Protokollierungsmechanismen implementieren.
Konformitätsbewertung für eigene oder signifikant modifizierte Hochrisiko-Systeme durchführen.
Menschliche Aufsichtsprozesse institutionell verankern — Verantwortliche benennen, Eskalationsregeln definieren.
Mitarbeitende schulen, die KI-Systeme bedienen oder überwachen.
Vorfallmelde-Prozess bei der nationalen Behörde vorbereiten.

Bis 02. August 2027 (nur Spezialkategorien)

Für Medizinprodukte, Spielzeug und andere CE-regulierte Bereiche: Konformitätsbewertung mit AI-Act-Ergänzung abschließen.
Bestehende CE-Dokumentation um AI-Act-spezifische Nachweise erweitern.
Laufendes Monitoring und jährliches KI-Inventar-Review etablieren.

Häufige Fragen zu den EU-AI-Act-Stichtagen

Ab dem jeweiligen Stichtag handeln Sie formal rechtswidrig und riskieren Bußgelder durch die nationale Marktüberwachungsbehörde. In der Praxis ist zu erwarten, dass die Behörden zunächst auf schwerwiegende Verstöße (verbotene Praktiken, Hochrisiko-Systeme ohne jede Dokumentation) fokussieren. Das schützt jedoch nicht dauerhaft: Selbst fehlende Transparenzhinweise bei einem einfachen Chatbot sind nach den jeweiligen Stichtagen bußgeldbewehrt. Nachweisbare Compliance-Bemühung — auch wenn einzelne Punkte noch in Umsetzung sind — ist der beste Schutz bei einer Behördenprüfung.

Ja. Der EU AI Act gilt nach dem Marktortprinzip für alle Unternehmen, deren KI-Systeme in der EU eingesetzt werden — unabhängig vom Unternehmenssitz. Ein US-amerikanisches SaaS-Unternehmen, das ein Hochrisiko-KI-System an deutsche KMU verkauft, muss die Anbieter-Pflichten des EU AI Act erfüllen. Als KMU-Betreiber in Deutschland können Sie darauf vertrauen, dass konforme Anbieter eine EU-Konformitätserklärung vorlegen — fordern Sie diese aktiv an.

GPAI steht für General Purpose AI — KI-Allzweckmodelle wie GPT-4/5, Claude, Gemini oder LLaMA. Diese Modelle sind nicht für einen spezifischen Einsatzzweck entwickelt, sondern können für eine Vielzahl von Aufgaben genutzt werden. Ab dem 02. August 2025 müssen Anbieter dieser Modelle umfangreiche Transparenz- und Sicherheitspflichten erfüllen. Für KMU als Nutzer bedeutet das: Prüfen Sie, ob Ihre KI-Anbieter die GPAI-Compliance nachweisen können. Nicht-konforme GPAI-Modelle dürfen in der EU nicht mehr eingesetzt werden.

Der EU AI Act schreibt keine formale "AI Officer"-Rolle vor, wie sie die DSGVO für den Datenschutzbeauftragten vorsieht. Betreiber von Hochrisiko-Systemen müssen jedoch die menschliche Aufsicht institutionell verankern und benannte Verantwortlichkeiten für KI-Compliance nachweisen können. In der Praxis empfiehlt sich die Benennung einer internen Person oder eines externen Dienstleisters als KI-Compliance-Verantwortlichen — um Audits zu bestehen und die Anforderungen an dokumentierte menschliche Aufsicht zu erfüllen.

Die Konformitätsbewertung nach Art. 43 EU AI Act variiert je nach Systemtyp. Für die meisten Hochrisiko-Systeme ist eine Selbstbewertung durch den Anbieter möglich — unter Zugrundelegung harmonisierter Normen. Nur für bestimmte biometrische und sicherheitskritische Systeme ist eine Drittpartei-Bewertung vorgeschrieben. Als KMU-Betreiber prüfen Sie primär die Konformitätserklärung des Anbieters. Wenn Sie ein Hochrisiko-System selbst entwickeln oder signifikant modifizieren, führen Sie die Konformitätsbewertung selbst durch und erstellen die EU-Konformitätserklärung.

Grundsätzlich gilt: Jeder Stichtag bringt neue Pflichten, die für alle betroffenen Unternehmen gelten. Die Verbote von Art. 5 (Februar 2025) gelten für alle — unabhängig von der Risikoklasse der eingesetzten Systeme. Die GPAI-Pflichten (August 2025) betreffen Sie als Nutzer von Allzweckmodellen. Die Hochrisiko-Pflichten (August 2026) betreffen Sie nur, wenn Sie tatsächlich Hochrisiko-Systeme einsetzen. Die verlängerte Frist bis August 2027 gilt ausschließlich für CE-regulierte Produktkategorien.

Bestehende KI-Systeme, die vor dem Inkrafttreten des EU AI Act am 01. August 2024 in Betrieb genommen wurden, unterliegen ebenfalls den Anforderungen — allerdings mit denselben gestaffelten Übergangsfristen. Eine Bestandsschutzregelung für bereits eingesetzte Systeme gibt es nicht. Für Hochrisiko-Systeme, die vor dem 02. August 2026 bereits im Einsatz sind, müssen die Compliance-Anforderungen bis zu diesem Stichtag erfüllt sein. Einzige Ausnahme: Systeme in CE-regulierten Produktkategorien haben bis August 2027 Zeit.

Deutschland hat noch keine finale Entscheidung über die nationale Marktüberwachungsbehörde für KI getroffen (Stand Q2 2026). Als wahrscheinlichster Kandidat gilt die Bundesnetzagentur (BNetzA), die bereits Kompetenzen in der digitalen Regulierung hat. Die Entscheidung liegt beim Bundesministerium für Digitales und Verkehr (BMDV). Bis zur finalen Benennung können sich Unternehmen mit Anfragen an das BMDV oder an das AI Office der EU-Kommission wenden. Die Bundesnetzagentur hat bereits begonnen, Kapazitäten für die KI-Aufsicht aufzubauen.