EU AI Act Fristen fuer Unternehmen in Deutschland: 2026, 2027, 2028
Kurzantwort
Fuer Unternehmen in Deutschland ist der 2. August 2026 nicht die pauschale Frist fuer saemtliche Hochrisiko-KI-Pflichten nach dem EU AI Act. Dieses Datum markiert die breite Anwendbarkeit des Regelwerks und insbesondere die Transparenzpflichten nach Art. 50, waehrend sich stand-alone Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027 und produktintegrierte Hochrisiko-KI auf den 2. August 2028 verschiebt.
- Transparenzpflichten nach Art. 50 gelten ab dem 2. August 2026.
- Stand-alone Hochrisiko-KI nach Anhang III verschiebt sich auf den 2. Dezember 2027.
- Produktintegrierte Hochrisiko-KI verschiebt sich auf den 2. August 2028.
- KI-Beschaffungsteams sollten Dokumentation, Aufsicht und Vorfallpflichten jetzt vertraglich absichern.
EU AI Act Fristen Deutschland muessen seit dem aktuellen Kommissionsstand mit drei Daten gelesen werden, nicht mit einer pauschalen August-2026-Frist. Fuer Unternehmen in Deutschland ist der 2. August 2026 die breite Anwendbarkeit des Regelwerks und insbesondere das Datum fuer Transparenzpflichten nach Art. 50, waehrend sich stand-alone Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027 und produktintegrierte Hochrisiko-KI auf den 2. August 2028 verschiebt. Wer intern noch mit der Formel “AI Act Frist = August 2026” arbeitet, erklaert die Rechtslage inzwischen zu grob.
Das ist fuer Rechtsabteilungen, Compliance-Teams, Gruenderinnen und Gruender sowie Einkauf besonders wichtig. Ein kundenorientierter KI-Chatbot wirft andere Fristenfragen auf als ein Bewerberscreening-Tool oder eine KI-Komponente in einem regulierten Produkt. Die richtige Antwort lautet deshalb nicht mehr: “Alles ist im August 2026 faellig.”
Wenn Sie die schon heute geltende Vorstufe einordnen wollen, lesen Sie auch unseren Leitfaden zur EU AI Act Schulungspflicht nach Art. 4 KI-Verordnung.
Wenn Sie die Pflichten bereits im Einkauf und nicht erst beim Rollout verankern wollen, ergänzt unser Leitfaden zur KI-Beschaffung unter DSGVO und AI Act diese Fristenübersicht um den praktischen Beschaffungsworkflow. Für die übergreifende Risiko- und Haftungsperspektive siehe außerdem unsere Seite zu KI-Rechtsrisiken für Unternehmen in Deutschland.
Schnelle Antworten auf die zentralen Fristenfragen
Welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027?
Der 2. Dezember 2027 betrifft jetzt vor allem stand-alone Hochrisiko-KI nach Anhang III. Fuer Unternehmen in Deutschland sind das typischerweise KI-Systeme in Beschaeftigung, Biometrie, Bildung, kritischer Infrastruktur, Migration und beim Zugang zu wesentlichen Dienstleistungen, sofern sie nicht Teil eines regulierten Produkts sind.
Welche KI-Systeme verschieben sich auf den 2. August 2028?
Der 2. August 2028 gilt fuer Hochrisiko-KI, die in regulierte Produkte eingebettet ist. Gemeint sind produktbezogene KI-Systeme innerhalb bestehender Produktsicherheits- und CE-Rahmen, etwa in bestimmten Medizinprodukten, Maschinen oder anderen regulierten Geraeten.
Warum ist der EU AI Act fuer die KI-Beschaffung schon vor 2027 relevant?
Weil Unternehmen in Deutschland die spaeteren Pflichten nicht erst am Stichtag einkaufen koennen. Sie brauchen vorher bereits Vertragsrechte, technische Dokumentation, Logging, Anweisungen zur menschlichen Aufsicht und Vorfall-Eskalationswege, damit der spaetere Nachweis ueberhaupt realistisch aufgebaut werden kann.
Die kurze Antwort: Welche Pflicht gilt an welchem Datum?
Stand 21. Mai 2026 stellt die Europaeische Kommission auf ihrer AI-Act-Uebersicht klar: Die Verordnung ist ab 2. August 2026 voll anwendbar, mit Ausnahmen. Genau diese Ausnahmen sind fuer deutsche Unternehmensanfragen jetzt entscheidend:
| Datum | Was gilt | Warum das fuer Deutschland zaehlt |
|---|---|---|
| 2. Februar 2025 | Verbotene KI-Praktiken und KI-Kompetenzpflichten | Verbotene Nutzungen durften bereits nicht mehr eingesetzt werden |
| 2. August 2025 | Governance-Regeln und GPAI-Pflichten | Relevant fuer Modellanbieter und modellnahe Unternehmen |
| 2. August 2026 | Breite Anwendbarkeit, insbesondere Art.-50-Transparenzpflichten und weitere dann geltende Pflichten | Relevant fuer kundennahe KI, Offenlegung, interne Governance und Beschaffung |
| 2. Dezember 2027 | Stand-alone Hochrisiko-KI nach Anhang III | Relevant fuer HR, Scoring, Biometrie, Bildung und weitere typische Beschaffungsfaelle |
| 2. August 2028 | Hochrisiko-KI in regulierten Produkten | Relevant fuer produktbezogene und sektorale Sicherheitsregime |
Die Kommission verwendet diese gesplittete Fristenlogik auf ihrer offiziellen AI-Act-Seite. Auch der Rat der EU nennt in seiner Pressemitteilung vom 13. Maerz 2026 die verschobenen Anwendungsdaten 2. Dezember 2027 und 2. August 2028.
Was gilt weiterhin am 2. August 2026?
Die Korrektur lautet nicht, dass der 2. August 2026 unwichtig geworden waere. Das Datum bleibt zentral. Unzutreffend ist nur die alte Verkuerzung, dass saemtliche Hochrisiko-KI-Pflichten pauschal dann starten.
Kernbegriffe hinter der gesplitteten Fristenlogik
- Stand-alone Hochrisiko-KI nach Anhang III ist KI in einem Hochrisiko-Bereich wie Recruiting oder Biometrie, die nicht in ein gesondert reguliertes Produkt eingebettet ist.
- Produktintegrierte Hochrisiko-KI ist KI innerhalb eines Produkts, das bereits produktrechtlichen Sicherheits- und CE-Regimen unterliegt.
- Betreiber ist das Unternehmen, das die KI im eigenen Geschaeft einsetzt; Anbieter ist das Unternehmen, das sie entwickelt oder in Verkehr bringt.
Diese Begriffe sind wichtig, weil sich die Frist nicht nach dem Marketing des Tools richtet, sondern nach der rechtlichen Einordnung des Systems.
Art. 50 Transparenz- und Offenlegungspflichten
Fuer viele Unternehmen in Deutschland ist Art. 50 der erste praktisch sichtbare AI-Act-Baustein. Wenn Nutzerinnen oder Nutzer mit einem Chatbot, Sprachagenten oder einer aehnlichen KI-Schnittstelle interagieren und vernuenftigerweise annehmen koennten, mit einem Menschen zu sprechen, muss die KI-Natur offen gelegt werden.
Auch bestimmte KI-generierte oder wesentlich manipulierte Inhalte koennen Offenlegungspflichten ausloesen. Deshalb gehoert der 2. August 2026 weiter an den Anfang jeder ernsthaften Fristenuebersicht.
GPAI- und Governance-Pflichten gelten schon seit 2. August 2025
Die Kommission weist zugleich darauf hin, dass Governance-Regeln und GPAI-Pflichten bereits seit dem 2. August 2025 gelten. Dieses Datum bleibt fuer Anbieter von General-Purpose-AI-Modellen und fuer modellnahe Unternehmen relevant. Wer eigene Modelle entwickelt, feinjustiert oder vertreibt, kann die zeitliche Analyse nicht erst 2026 beginnen.
Fuer viele deutsche Einkaufsteams ist die eigentliche Frage aber enger: Nutzen wir nur ein Drittanbieterprodukt oder bewegen wir uns so nah an der Modelleebene, dass GPAI-Pflichten ueberhaupt eine Rolle spielen koennen? Diese Weichenstellung sollte frueh erfolgen.
Für die konkrete Vertragsgestaltung beim Einkauf von Drittanbieter-KI lesen Sie auch unseren Leitfaden zu EU AI Act Beschaffungsanforderungen für Unternehmen.
Schritt 6: Interne AI-Act-Zuständigkeit festlegen
Was der 2. August 2026 fuer Beschaffungsteams weiterhin bedeutet
Selbst wenn ein bestimmter Hochrisiko-Fall auf 2027 oder 2028 verschoben ist, darf die Beschaffung nicht warten. Ein Vertrag aus 2026 kann trotzdem ein Compliance-Problem fuer 2027 erzeugen, wenn er keine sauberen Rechte sichert fuer:
- technische Dokumentation
- Nutzungsanweisungen und menschliche Aufsicht
- Logging und Nachvollziehbarkeit
- Vorfallmeldungen und Eskalationswege
- Aenderungsmanagement bei Anbieter-Updates
Die richtige Beschaffungsbotschaft lautet daher nicht: “Vor 2027 passiert nichts.” Sie lautet: Die Rechtsfristen sind gesplittet, die Beleg- und Vertragsarbeit beginnt trotzdem jetzt.
Welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027?
Die aktuelle Kommissionsdarstellung sagt, dass Regeln fuer Systeme in bestimmten Hochrisiko-Bereichen ab 2. Dezember 2027 gelten. Fuer deutsche Unternehmen betrifft das genau die stand-alone Anhang-III-Konstellationen, die in Beschaffungs- und Rechtsfragen am haeufigsten auftauchen.
Stand-alone Systeme nach Anhang III
Dazu gehoeren insbesondere:
- Beschaeftigung und Arbeitnehmermanagement
- Biometrie
- Bildung und Zugang zu Ausbildung
- kritische Infrastruktur
- Kreditscoring und Zugang zu wesentlichen Dienstleistungen
- Migration, Asyl und Grenzkontrolle
- bestimmte Konstellationen in Strafverfolgung und Justiz
Wenn ein deutsches Unternehmen ein Bewerberscreening-Tool, ein biometrisches Zugangssystem oder eine Scoring-Loesung einkauft, ist die alte Formel “Hochrisiko-KI = August 2026” inzwischen irrefuehrend. Praeziser ist: Die stand-alone Hochrisiko-Anwendung verschiebt sich nach der aktuellen offiziellen Fristenlogik auf den 2. Dezember 2027.
Praktische Beschaffungsbeispiele
Fuer Einkauf, Legal und Compliance in Deutschland sind besonders haeufig:
- HR und Recruiting: CV-Screening, Kandidatenscoring, Leistungsbewertung
- Biometrie: Gesichtserkennung, Identitaetspruefung, bestimmte Zeiterfassungssysteme
- Customer Operations: Systeme, die den Zugang zu wesentlichen Leistungen beeinflussen
- Kredit und Versicherung: Scoring, Eligibility, Risikoklassifizierung
Auch diese Systeme brauchen schon jetzt gruendliche Pruefung. Klassifizierung, Datenflussanalyse, Nachweisdokumentation und Anbieterclauses lassen sich nicht sinnvoll erst kurz vor Ende 2027 aufbauen.
Welche Systeme verschieben sich auf den 2. August 2028?
Nach der Kommission gilt der 2. August 2028 fuer Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind. Der Rat verwendet eine vergleichbare Formulierung. Gemeint sind also produktbezogene Konstellationen innerhalb bestehender Produktsicherheits- oder CE-Rahmen.
Das ist etwas anderes als ein stand-alone SaaS-Tool fuer HR, Compliance oder Vertrieb. Gerade deshalb fuehren allgemeine Suchanfragen nach der “AI Act Frist” oft in die Irre, wenn Produkt-KI und stand-alone Anhang-III-Systeme nicht sauber getrennt werden.
Fuer viele Startups und Softwareunternehmen ist der 2028er Termin seltener entscheidend als 2026 oder 2027. Fuer Hersteller, Medtech, Industrial-Tech, Robotik oder Automotive-nahe Unternehmen kann er dagegen die wichtigste Frist sein.
Was Beschaffungsteams jetzt tun sollten
Die gesplittete Fristenlage rechtfertigt keinen Aufschub. Sie veraendert nur die Reihenfolge der Antwort.
1. KI-Anwendungen nach Datum sortieren
Erstellen Sie ein einfaches Register mit drei Spalten:
- Pflichten relevant ab 2. August 2026
- Stand-alone Hochrisiko-KI relevant ab 2. Dezember 2027
- Produktintegrierte Hochrisiko-KI relevant ab 2. August 2028
Wenn Ihre KI-Landschaft so nicht sortiert werden kann, ist Ihre interne Fristenlogik noch zu ungenau.
2. Transparenz bei kundenorientierter KI zuerst umsetzen
Bei Chatbots, virtuellen Assistenten und aehnlichen nutzergerichteten Systemen ist der Art.-50-Workstream oft am schnellsten operationalisierbar. Offenlegung, Interface-Gestaltung und Eskalationslogik lassen sich meist frueher strukturieren als die technisch tieferen Hochrisiko-Fragen.
3. Vertragsklauseln vor dem jeweiligen Stichtag absichern
Ihr Anbietervertrag sollte spaetere Durchsetzungsdaten schon heute antizipieren. Fragen Sie nicht erst Ende 2027 nach Rechten, die Sie bei Vertragsschluss haetten sichern muessen. Mindestens erforderlich sind:
- Rechte auf Dokumentationsbereitstellung
- Pflichten zur Mitteilung von Updates und Aenderungen
- Unterstuetzung fuer Logging und Betreiberaufsicht
- Klauseln zur Zusammenarbeit mit Behoerden
- klare Rollentrennung zwischen Anbieter und Betreiber
Unser Leitfaden zu Beschaffungsanforderungen nach der EU-KI-Verordnung vertieft diese Vertragsebene und zeigt, welche Unterlagen, Nutzungsanweisungen und Eskalationsrechte deutsche Betreiber schon vor den spaeteren Stichtagen sichern sollten.
4. AI Act und DSGVO gemeinsam denken
In Deutschland liegt KI-Beschaffung selten nur in einem Rechtsgebiet. Dasselbe Projekt kann gleichzeitig verlangen:
- AI-Act-Klassifizierung
- DSGVO-Rollenpruefung
- Art.-28-AVV-Pruefung
- DSFA oder weitergehende Risikobewertung
- Mitbestimmung nach § 87 Abs. 1 Nr. 6 BetrVG
Deshalb sollte diese Fristenseite mit DSGVO KI-Beschaffung und KI-Rechtsrisiken fuer Unternehmen zusammengedacht werden.
Warum diese Einordnung fuer Unternehmen in Deutschland wichtig ist
Deutsche Unternehmen sind haeufig eher Kaeufer und Betreiber als Modellentwickler. Das praktische Risiko zeigt sich deshalb meist in:
- Freigaben im Einkauf,
- internen Governance-Prozessen,
- Dokumentationsluecken,
- employee-facing Deployments,
- und der Frage, wer gegenueber dem Anbieter welche Nachweise verlangen kann.
Fuer diese Teams lautet die bessere Frage nicht nur: “Wann ist die AI-Act-Frist?” Die bessere Frage lautet: Welche Pflicht gilt an welchem Datum und welche Nachweise brauchen wir vorher?
FAQ
Welche Pflichten nach dem EU AI Act gelten ab dem 2. August 2026 fuer Unternehmen in Deutschland?
Der 2. August 2026 bleibt wichtig, weil ab dann die breite Anwendbarkeit des EU AI Act greift und insbesondere die Transparenzpflichten nach Art. 50 sichtbar werden. Unpraezise ist aber die Aussage, dies sei die pauschale Startfrist fuer alle Hochrisiko-KI-Pflichten, denn stand-alone Systeme nach Anhang III verschieben sich auf den 2. Dezember 2027 und produktintegrierte Systeme auf den 2. August 2028.
Welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027?
Nach der offiziellen Fristenlogik der Kommission betrifft der 2. Dezember 2027 stand-alone Hochrisiko-Bereiche wie Beschaeftigung, Biometrie, Bildung, kritische Infrastruktur und den Zugang zu wesentlichen Dienstleistungen. Fuer viele deutsche Beschaffungsfaelle ist das inzwischen das zentrale Hochrisiko-Datum.
Welche KI-Systeme verschieben sich auf den 2. August 2028?
Der 2. August 2028 betrifft Hochrisiko-KI in regulierten Produkten. Das ist die produktbezogene Fristenlinie und nicht die typische stand-alone SaaS-Konstellation in HR, Legal oder Einkauf.
Warum ist der EU AI Act fuer die KI-Beschaffung schon vor 2027 relevant?
Weil Vertragsrechte, technische Nachweise, Logging, Aufsicht, Vorfallprozesse und Update-Klauseln lange vor dem jeweiligen Rechtsdatum vorbereitet werden muessen. Wer diese Struktur erst 2027 aufsetzt, verhandelt oft unter Zeitdruck und mit unvollstaendigen Nachweisen.
Diese Seite dient nur der allgemeinen Information und ersetzt keine rechtliche Beratung. Die konkrete Einordnung nach AI Act, DSGVO, Arbeitsrecht und sektoralen Regeln haengt immer vom konkreten System, den Anbieterunterlagen und dem Einsatzkontext ab.
