KIberblick
Inhaltsverzeichnis

Sicherheit

EU AI Act: Fristen und was gilt wann

August 2026 bleibt, aber Hochrisiko-Fristen verschieben sich bis 2027/2028. Was IT-Teams jetzt wissen müssen und wie man sich vorbereitet.

Aktualisiert am 15. April 20269 Min. Lesezeit

Aktueller Stand (30.04.2026): Der zweite Trilog zum Digital Omnibus ist am 28./29. April nach zwölf Stunden Verhandlung ohne politische Einigung beendet worden. Streitpunkt war die Frage, ob Hochrisiko-KI in bereits regulierten Produkten (Medizingeräte, Spielzeug, vernetzte Fahrzeuge, Industriemaschinen) von den AI-Act-Anforderungen ausgenommen wird. Das Parlament wollte Ausnahmen, der Rat lehnte ab. Folge-Trilog ist für Mitte Mai 2026 angesetzt. Konsequenz: Die Verschiebung der Hochrisiko-Pflichten ist nicht beschlossen, der Original-Hard-Date 02.08.2026 bleibt vorerst rechtskräftig. Compliance-Annahmen, die auf der Verschiebung aufgebaut hatten, sind damit nicht mehr belastbar. Wer Hochrisiko-KI betreibt, sollte die Vorbereitung auf den August-Termin parallel zur Mai-Verhandlung weiter treiben. Details und Einordnung: Trilog-Endspurt und Europas zweigeteilte KI-Rolle.

Was gilt wann

Der EU AI Act ist die weltweit erste umfassende KI-Regulierung. Er tritt in Stufen in Kraft. Bußgelder: bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes.

  • Februar 2025: Verbot bestimmter Praktiken (Social Scoring, manipulative KI, biometrische Echtzeit-Überwachung)
  • August 2025: Pflichten für Anbieter von General-Purpose-KI-Modellen (OpenAI, Anthropic, Google usw.)
  • 2. August 2026: Transparenzpflichten nach Artikel 50 - dieser Termin bleibt
  • 2. Dezember 2027 (voraussichtlich): Hochrisiko-Anforderungen für Anhang-III-Systeme (eigenständige KI in Beschäftigung, Bildung, Strafverfolgung, Kreditwürdigkeit)
  • 2. August 2028 (voraussichtlich): Hochrisiko-Anforderungen für Anhang-I-Systeme (KI in Produkten: Medizinprodukte, Maschinen, Fahrzeuge)

Für die meisten IT-Teams ist der August 2026 der relevante Termin, denn dann greifen die Transparenzpflichten, die Unternehmen betreffen, die KI einsetzen, nicht nur die, die KI entwickeln.

Transparenzpflichten: Was heißt das konkret?

Artikel 50 des AI Act definiert Transparenzpflichten für bestimmte KI-Systeme. Die wichtigsten Anforderungen:

1. Kennzeichnung von KI-Interaktionen Wenn ein Nutzer mit einem KI-System interagiert (z.B. Chatbot, KI-Assistent), muss er darüber informiert werden, dass er mit einer KI und nicht mit einem Menschen spricht. Ausnahme: Wenn es offensichtlich ist.

2. Kennzeichnung von KI-generierten Inhalten KI-generierte oder manipulierte Inhalte (Text, Bild, Audio, Video) müssen als solche erkennbar sein. Das betrifft insbesondere Deepfakes und synthetische Medien. Die Kennzeichnung muss maschinenlesbar sein.

3. Kennzeichnung bei öffentlichem Interesse Wenn KI-generierter Text zu Themen von öffentlichem Interesse veröffentlicht wird, muss das kenntlich gemacht werden.

Die EU-Kommission hat im Dezember 2025 einen ersten Entwurf eines Code of Practice zur Transparenz-Kennzeichnung veröffentlicht. Der zweite Entwurf erschien im März 2026, die endgültige Version wird für Juni 2026 erwartet.

Hochrisiko-KI: Die größte Baustelle

Neben den Transparenzpflichten greifen die vollständigen Anforderungen für Hochrisiko-KI-Systeme. Ein KI-System gilt als "High Risk", wenn es in bestimmten Bereichen eingesetzt wird:

  • HR und Recruiting, KI-gestützte Bewerbungsfilter, Leistungsbewertungen
  • Kreditvergabe und Versicherung, automatisierte Scoring-Systeme
  • Bildung, KI-gestützte Prüfungsbewertung oder Zugangssteuerung
  • Kritische Infrastruktur, Steuerung von Strom, Wasser, Verkehr
  • Strafverfolgung und Justiz, Risikobewertungen, Predictive Policing

Für Hochrisiko-Systeme gelten umfangreiche Pflichten:

  • Risikobewertung und kontinuierliches Monitoring
  • Technische Dokumentation des gesamten Systems
  • Logging und Audit-Trails, nachvollziehbar wer wann was entschieden hat
  • Menschliche Aufsicht, ein Mensch muss KI-Entscheidungen überprüfen können
  • Konformitätsbewertung und CE-Kennzeichnung
  • Registrierung in der EU-Datenbank für Hochrisiko-KI

Diese Anforderungen gelten voraussichtlich ab Dezember 2027 (Anhang III) bzw. August 2028 (Anhang I), sofern die Trilog-Einigung bis August 2026 zustande kommt.

Praxis: KI als Compliance-Helfer nutzen

Der AI Act ist umfangreich, und nicht jedes Team hat eine Rechtsabteilung, die mal eben eine Einordnung liefert. KI-Tools können helfen, eine erste Orientierung zu bekommen. Wichtig: Das ersetzt keine Rechtsberatung, gibt dir aber einen soliden Startpunkt.

Schritt 1: Prüfe, ob dein KI-System unter den AI Act fällt

PromptClaude · AI Act Einordnung

Wir nutzen Claude API um automatisch Support-Tickets zu kategorisieren und Antwort-Vorschläge zu generieren. Fällt das unter den EU AI Act? Wenn ja, welche Risikokategorie und welche Pflichten haben wir?

Chat mit Claude
DU

Wir nutzen Claude API um automatisch Support-Tickets zu kategorisieren und Antwort-Vorschläge zu generieren. Fällt das unter den EU AI Act? Wenn ja, welche Risikokategorie und welche Pflichten haben wir?

CLAUDE

Ja, euer System fällt unter den EU AI Act. Hier die Einordnung:

Risikokategorie: Begrenztes Risiko (Limited Risk)

Support-Ticket-Kategorisierung und Antwort-Vorschläge sind kein Hochrisiko-System nach Annex III, weil keine der dort genannten Kategorien zutrifft (kein Recruiting, keine Kreditvergabe, keine kritische Infrastruktur).

Eure Pflichten nach Artikel 50 (ab August 2026):

  1. Transparenzpflicht: Eure Kunden müssen wissen, dass sie mit einem KI-System interagieren. Wenn die Antwort-Vorschläge direkt an Kunden gehen (ohne menschliche Prüfung), braucht ihr einen klaren Hinweis.
  2. Kennzeichnung von KI-generierten Inhalten: Wenn die generierten Antworten als Text an Kunden verschickt werden, müssen sie als KI-generiert erkennbar sein.
  3. Keine Hochrisiko-Pflichten: Ihr braucht keine Konformitätsbewertung, keine CE-Kennzeichnung und keine Registrierung in der EU-Datenbank.

Achtung: Wenn ihr das System erweitert, z.B. um automatische Priorisierung von Tickets nach Kundenwert oder automatisierte Eskalationsentscheidungen, kann sich die Risikoeinstufung ändern. Das solltet ihr bei jeder Erweiterung prüfen.

DSGVO zusätzlich beachten: Wenn die Tickets personenbezogene Daten enthalten (Kundennamen, E-Mail-Adressen), braucht ihr eine Rechtsgrundlage für die Verarbeitung durch die API und müsst prüfen, wohin die Daten übertragen werden (Stichwort: Drittlandtransfer USA).

Schritt 2: Transparenzpflicht konkret umsetzen

Wie sieht eine korrekte KI-Kennzeichnung auf einer Webseite aus? Hier ein Beispiel für einen Support-Chatbot:

<div class="chat-container">
  <div class="ki-hinweis" role="status" aria-label="KI-Hinweis">
    <p>
      Dieser Chat wird von einem KI-Assistenten betrieben.
      Ihre Anfrage wird automatisch bearbeitet. Falls Sie mit
      einem Menschen sprechen möchten, klicken Sie auf
      "An Mitarbeiter weiterleiten".
    </p>
  </div>
  <button class="btn-handover">An Mitarbeiter weiterleiten</button>
</div>

Wichtig: Der Hinweis muss sichtbar sein, bevor der Nutzer die erste Nachricht eingibt. Nicht im Footer versteckt, nicht erst nach drei Nachrichten eingeblendet.

Schritt 3: Compliance-Checkliste erstellen lassen

PromptClaude · Compliance-Checkliste

Erstelle mir eine Compliance-Checkliste für unser Unternehmen, das KI-Tools für die automatische Kategorisierung und Beantwortung von Support-Tickets nutzt. Berücksichtige den EU AI Act (Transparenzpflichten ab August 2026) und die DSGVO. Sortiere die Punkte nach Dringlichkeit.

Regulierung trifft Anbieterwahl: Europas zweigeteilte Rolle

Während die Fristen verhandelt werden, positionieren sich die großen Anbieter unterschiedlich. Das wirkt sich direkt auf eure Compliance-Roadmap aus:

Forschungsbrücke: OpenAI hat am 13.04.2026 ein permanentes London-Büro für 544 Mitarbeitende unterzeichnet, gleichzeitig das UK-Stargate-Infrastrukturprojekt wegen Energiekosten und Regulierung gestoppt. Muster: Talent und Forschung in Europa, Compute und Training bleiben in den USA.

Souveräne Säule: Aleph Alpha und Cohere verhandeln eine Fusion mit der Bundesregierung als Ankerkunden, Betrieb ausschließlich auf europäischer Infrastruktur. Parallel bietet das BMDS mit Project Spark Open-Source-KI-Bausteine für die Verwaltung unter Public Money Public Code.

Für Teams in DACH heißt das: Die Wahl des Modellanbieters ist zunehmend auch eine Compliance-Entscheidung. US-Modelle mit EU-Frontend sind leistungsstark, aber die Datenflüsse und Audit-Pfade liegen außerhalb der EU. Europäische oder lokal betriebene Modelle geben mehr Kontrolle, erfordern aber oft Abstriche bei Funktionsumfang. Die systematische Bewertung dieser Abhängigkeiten beschreibt der Artikel zur digitalen Souveränität für KI-Teams.

Was IT-Teams jetzt tun sollten

Der Transparenztermin August 2026 ist nah, der Trilog ist am 28./29.04. ohne Einigung beendet worden. Solange Mitte Mai keine Einigung steht, bleibt der August-Hard-Date für die Hochrisiko-Pflichten rechtskräftig. Ein pragmatischer Dreischritt, unabhängig vom Trilog-Ergebnis:

  1. Bestandsaufnahme und Klassifizierung. Liste aller KI-Systeme inklusive eingebetteter Features (CRM, Recruiting, Analyse). Pro System: Hochrisiko-Bereich nach Anhang I/III, Transparenzpflichten, verarbeitete Datenklassen, Anbieter und Betriebsort.
  2. Transparenzpflichten vorziehen. KI-Kennzeichnung, Audit-Logging und menschliche Aufsicht bis August 2026 produktionsreif machen. Das lohnt sich unabhängig davon, wie der Trilog ausgeht, und reduziert Reputationsrisiken.
  3. Hochrisiko-Compliance parallel aufbauen. Wer Anhang-I- oder -III-Systeme betreibt: Risikobewertung, Konformitätsbewertung und EU-Datenbank-Registrierung jetzt planen, nicht erst wenn die finale Frist fix ist.

DSGVO und AI Act: Zusammenspiel

Der AI Act ersetzt die DSGVO nicht, er ergänzt sie. Wenn ein KI-System personenbezogene Daten verarbeitet, gelten beide Regelwerke gleichzeitig. Die EU-Kommission arbeitet an Klarstellungen zur Schnittstelle, aber bis die vorliegen, gilt: Im Zweifelsfall beide Anforderungen erfüllen.

Praktisch heißt das: Die DSGVO regelt den Datenschutz (Rechtsgrundlage, Betroffenenrechte, Datensicherheit), der AI Act regelt die KI-spezifischen Anforderungen (Transparenz, Risikobewertung, menschliche Aufsicht). Beides muss stimmen.

Fazit

Für die meisten IT-Teams im DACH-Raum ist der AI Act überschaubar: Hochrisiko-Systeme betreibt kaum jemand, und für sie gibt es voraussichtlich mehr Zeit. Die Transparenzpflichten ab August 2026 betreffen dagegen fast jede kundennahe KI-Anwendung.

Der wichtigste Schritt bleibt die Bestandsaufnahme. Was 2026 neu dazukommt: Die Anbieterwahl wird Teil der Compliance-Strategie. Wer das Thema Souveränität mitbedenkt, spart sich später einen zweiten Umbau.