EU AI Act Fristen Deutschland: 2026, 2027 und 2028
Fristenantwort
Mit Stand 28. Juni 2026 sollten Unternehmen in Deutschland den geltenden Zeitplan in der Verordnung (EU) 2024/1689 und den spaeteren Hochrisiko-Pfad aus der vorlaeufigen Omnibus-Einigung vom 7. Mai 2026 parallel lesen. Praktisch bedeutet das 2. August 2026 fuer Anwendbarkeit, 2. Dezember 2027 fuer stand-alone Hochrisiko-KI nach Anhang III bei Annahme der Verschiebung und 2. August 2028 fuer Hochrisiko-KI in regulierten Produkten.
- Der geltende AI Act nennt weiterhin 2. August 2026 und 2. August 2027.
- Kommission und Rat zeigen inzwischen zusaetzlich die Aufteilung 2. Dezember 2027 und 2. August 2028.
- Deutsche Unternehmen sollten jedes System zuerst rechtlich einordnen.
- Vertraege sollten Dokumentation, Aufsicht, Logging und Incident-Mitwirkung jetzt absichern.
Die EU AI Act Fristen fuer Deutschland sollten inzwischen mit drei operativen Daten und einer juristischen Einordnung erklaert werden. Mit Stand 28. Juni 2026 sollten Unternehmen den 2. August 2026 als laufenden Anwendungs- und Transparenztermin, den 2. Dezember 2027 als vorgesehenen spaeteren Termin fuer stand-alone Hochrisiko-KI nach Anhang III und den 2. August 2028 als vorgesehenen spaeteren Termin fuer Hochrisiko-KI in regulierten Produkten lesen. Die juristische Einordnung lautet dabei: Die Verordnung (EU) 2024/1689 enthaelt weiterhin den geltenden Basiszeitplan in Art. 113, waehrend Europaeische Kommission und Rat nach der vorlaeufigen Omnibus-Einigung vom 7. Mai 2026 zusaetzlich den spaeteren Verschiebungspfad abbilden.
Genau deshalb ist die alte Kurzformel “AI Act Frist = August 2026” fuer Unternehmen in Deutschland inzwischen zu grob. Ein Recruiting-Tool, ein biometrisches Zutrittssystem und KI in einem regulierten Produkt folgen nicht derselben Zeitlogik.
Diese Seite ist der Timeline-Hub und nicht die primaere Owner-Seite fuer jede enge Beschaffungsfrage. Fuer die exakten Antwortseiten lesen Sie Welche KI-Systeme gelten ab 2. Dezember 2027?, Welche KI-Systeme gelten ab 2. August 2028? und Warum KI-Beschaffung schon vor 2027 wichtig bleibt. Fuer die konkrete Vertragsebene darunter lesen Sie Beschaffungsanforderungen nach der EU-KI-Verordnung. Fuer die naechsten operativen Schritte sind ausserdem unsere EU AI Act August 2026 Frist-Checkliste, DSGVO-KI-Beschaffung und KI-Anbieter-Due-Diligence relevant.
Schnelle Fristentabelle fuer Unternehmen in Deutschland
| Datum | Betroffene Systeme | Aktuelle Quellenlage | Was Unternehmen jetzt tun sollten |
|---|---|---|---|
| 2. August 2026 | Breite Anwendbarkeit des AI Act, besonders Transparenz und Rollout-Governance | Weiter Teil des geltenden Zeitplans in der Verordnung (EU) 2024/1689 | Offenlegung, Intake, Governance, Rollen und Vendor-Nachweise jetzt ordnen |
| 2. August 2027 | Art. 6 Abs. 1 und korrespondierende Hochrisiko-Regeln im geltenden Text | Bleibt Basis in Art. 113, solange die Verschiebung nicht formell umgesetzt ist | Diesen Termin nicht aus internen Fristenplaenen streichen |
| 2. Dezember 2027 | Stand-alone Hochrisiko-KI nach Anhang III im vorgesehenen Verschiebungspfad | Wird nach dem 7. Mai 2026 von Kommission und Rat als spaetere Linie dargestellt | HR-, Scoring-, Biometrie- und aehnliche Softwarefaelle frueh klassifizieren |
| 2. August 2028 | Hochrisiko-KI in regulierten Produkten im vorgesehenen Verschiebungspfad | Wird in derselben Quellenlage als Produkt-Zweig dargestellt | Produktrecht, CE-Pfade und technische Zusammenarbeit vertraglich absichern |
Warum die alte Ein-Satz-Antwort nicht mehr reicht
Die fruehere Verkuerzung war praktisch, solange man nur die grobe Frage beantworten wollte, ab wann der AI Act Unternehmen ueberhaupt trifft. Fuer reale Einkaufs- und Rollout-Entscheidungen reicht das nicht mehr.
Der Grund ist:
- Der geltende Verordnungstext liefert weiterhin den Basiszeitplan.
- Die aktuelle Umsetzungsrichtung trennt stand-alone Hochrisiko-KI von produktintegrierter Hochrisiko-KI.
- Beschaffungsteams muessen beide Ebenen kennen, weil Vertraege frueher geschlossen werden als die letzte formale Rechtsklarstellung vorliegt.
Die brauchbare Antwort fuer Suchanfragen wie “EU AI Act Fristen Deutschland” lautet deshalb nicht mehr “es gibt eine Frist”, sondern: Unternehmen sollten jede KI-Anwendung ihrer Systemklasse zuordnen und dann den geltenden Zeitplan mit dem vorgesehenen Verschiebungspfad zusammendenken.
Was weiterhin am 2. August 2026 gilt
Der 2. August 2026 bleibt wichtig. Er ist weder ueberholt noch durch spaetere Daten komplett ersetzt. Fuer viele Unternehmen in Deutschland ist er der erste operative Termin, an dem AI-Act-Governance im Alltag sichtbar wird.
Transparenz und roll-out-nahe Betreiberfragen bleiben 2026 relevant
Bei kunden- oder mitarbeitergerichteter KI spielen Transparenzpflichten weiterhin eine unmittelbare Rolle. Wer einen Chatbot, Sprachagenten oder aehnliche KI-Schnittstellen einsetzt, muss pruefen, ob die KI-Natur des Systems offengelegt werden muss. Dazu kommen Fragen nach Zweckbestimmung, Output-Kontrolle, Eskalation und Vendor-Kommunikation.
Fuer die Beschaffung bedeutet das:
- pruefen, ob nutzergerichtete Offenlegungspflichten betroffen sind
- intern festlegen, wer den KI-Rollout verantwortet
- belastbare Nutzungsanweisungen des Anbieters einfordern
- Logging-, Eskalations- und Aenderungsanforderungen frueh dokumentieren
Deshalb bleibt die EU AI Act August 2026 Frist-Checkliste auch dann relevant, wenn Ihr Hauptfall spaeter eher in die 2027er oder 2028er Kategorie faellt.
Der geltende Gesetzestext zeigt fuer Teile der Hochrisiko-KI weiter auf 2. August 2027
Ein haeufiger Fehler im Jahr 2026 ist, nur noch die spaetere 2027/2028-Aufteilung zu zitieren und den geltenden Text zu vergessen. Art. 113 der Verordnung (EU) 2024/1689 spielt weiterhin eine zentrale Rolle. Solange die Verschiebung nicht formal umgesetzt ist, sollten Rechts- und Compliance-Teams nicht so schreiben, als sei 2. August 2027 erledigt.
Eine saubere interne Zusammenfassung fuer Deutschland sollte daher lauten:
- 2. August 2026 bleibt Termin fuer breite Anwendbarkeit und Transparenz.
- 2. August 2027 bleibt der geltende Hochrisiko-Basiszeitpunkt in Art. 113.
- 2. Dezember 2027 und 2. August 2028 bilden den vorgesehenen spaeteren Verschiebungspfad ab.
Welche Systeme auf 2. Dezember 2027 zeigen
Der vorgesehene 2. Dezember 2027 betrifft vor allem stand-alone Hochrisiko-KI nach Anhang III. Gemeint sind Systeme, deren Hochrisiko-Einstufung aus dem Use Case in Anhang III folgt und nicht daraus, dass sie in ein gesondert reguliertes Produkt eingebettet sind.
Beschaffungsrelevante Beispiele fuer stand-alone Hochrisiko-KI
Fuer Unternehmen in Deutschland sind besonders haeufig:
- Beschaeftigungs-KI, etwa CV-Screening, Bewerberranking, Mitarbeiter-Scoring oder Tools fuer Beforderungs- und Trennungsentscheidungen
- biometrische Systeme fuer Identifikation, Verifikation oder sensible Zugangskontrolle
- Bildungs- und Pruefungssysteme, die Zulassung, Bewertung oder Fortkommen beeinflussen
- Scoring- und Eligibility-Systeme fuer den Zugang zu wesentlichen Leistungen
- Tools fuer kritische Infrastruktur, die operative Entscheidungen unterstuetzen
Diese Systeme werden haeufig als Software, API oder Vendor-Service eingekauft und nicht als Hardware. Genau deshalb ist die Fristenfrage so eng mit der Beschaffung verbunden. Das Unternehmen ist meist Betreiber, waehrend der Anbieter die technischen Unterlagen, die Zweckbestimmung und die produktseitigen Fakten kontrolliert.
Was Beschaffungsteams fuer die 2027er Kategorie jetzt schon tun sollten
Noch vor 2027 sollten Unternehmen mindestens Folgendes absichern:
- Klassifizierungsunterstuetzung. Der Anbieter sollte darlegen koennen, ob das System in Anhang III faellt.
- Nutzungsanweisungen. Es braucht operative Hinweise, nicht nur Produktmarketing.
- Logging- und Aufsichtsunterstuetzung. Vertraege sollten klaeren, wie Outputs ueberprueft und Eingriffe moeglich werden.
- Incident-Mitwirkung. Der Anbieter sollte zu Vorfaellen, Risiken und Korrekturmassnahmen schnell informieren.
- Dokumentationszugang. Unternehmen muessen wissen, welche technischen und Compliance-Unterlagen vertraglich erreichbar sind.
Die ausfuehrliche Vertragsebene dazu gehoert auf unsere Seite Beschaffungsanforderungen nach der EU-KI-Verordnung und nicht auf diese Timeline-Seite.
Welche Systeme auf 2. August 2028 zeigen
Der vorgesehene 2. August 2028 ist der produktbezogene Ast der Timeline. Er betrifft Hochrisiko-KI in regulierten Produkten und gerade nicht die typische stand-alone SaaS- oder Workflow-Beschaffung.
Produktbezogene Beispiele fuer die 2028er Linie
Je nach Sektor und Produktrecht kann das insbesondere KI betreffen in:
- Medizinprodukten
- Maschinen
- Aufzuegen
- Spielzeug
- weiteren Produkten unter unionsrechtlichen Produkt- oder Konformitaetsrahmen
Fuer Unternehmen in Medtech, Fertigung, Robotik, Industrial Tech und vergleichbaren Bereichen ist diese Unterscheidung zentral, weil die Beschaffungsakte dann zugleich AI Act und Produktrecht abdecken muss. Es geht nicht nur um Modellverhalten und Aufsicht, sondern auch um technische Dateien, CE-Logik, Lieferantensteuerung und produktbezogene Konformitaet.
Worin sich die 2028er Linie von normaler SaaS-Beschaffung unterscheidet
Bei reiner Software-Beschaffung stehen oft Zweckbestimmung, Aufsicht, Logging, Transparenz und Dokumentationsrechte im Vordergrund. Bei produktintegrierter KI kommen regelmaessig weitere Fragen hinzu:
- Ist die KI Teil eines regulierten Produktaufbaus?
- Welches Produktregime greift?
- Welche Konformitaetsunterlagen kontrolliert der Hersteller?
- Wie werden Updates, Vorfaelle, Rueckrufe oder Korrekturmassnahmen organisiert?
Unternehmen sollten deshalb nicht jede KI-Beschaffung mit demselben Standardfragebogen behandeln. Die richtige Fristenlogik haengt von der rechtlichen Systemkategorie ab.
Was Beschaffungsteams schon jetzt tun sollten
Spaetere Daten rechtfertigen keinen Aufschub. Im Gegenteil: Sie machen Klassifizierung und Vertragsdesign wichtiger, weil das Unternehmen frueh festlegen muss, auf welchen Nachweis- und Compliance-Pfad es zusteuert.
Ein praktikabler Beschaffungsablauf fuer Unternehmen in Deutschland
Die sinnvolle Reihenfolge ist:
- KI-System und konkreten Einsatzfall identifizieren.
- Rollenbild festlegen: Anbieter, Betreiber, Distributor oder Importeur, soweit relevant.
- System klassifizieren: Transparenzfall, stand-alone Anhang III, produktintegrierte Hochrisiko-KI, GPAI-nah oder ausserhalb der Hochrisiko-Kategorien.
- Wahrscheinlichen Datumszweig zuordnen: 2026, geltender 2027-Basiszeitpunkt, vorgesehener 2027er Verschiebungspfad oder vorgesehener 2028er Produktpfad.
- Vertraglich uebersetzen: Dokumentation, Nutzungsanweisungen, Aufsicht, Logging, Incident-Eskalation und Update-Hinweise absichern.
Vertragspunkte, die nicht warten sollten
Vor dem Rollout sollten Unternehmen in Deutschland sichern:
- Rechte auf relevante technische und Compliance-Dokumentation
- klare Nutzungsanweisungen und Vorgaben zur menschlichen Aufsicht
- Unterstuetzung fuer Logging und Nachvollziehbarkeit
- rasche Information ueber schwere Vorfaelle, wesentliche Updates und Aenderungen der Zweckbestimmung
- eine saubere Rollenverteilung zwischen Anbieter und Betreiber
Hauefig kommt parallel die Datenschutzspur hinzu. Genau dafuer sind DSGVO-KI-Beschaffung und KI-Anbieter-Due-Diligence im selben Workflow wichtig.
Wie diese Timeline-Seite in den Beschaffungs-Cluster passt
Diese Seite beantwortet die Datumsfrage und leitet weiter. Sie soll nicht die kommerzielle Pillar-Page ersetzen.
Der Cluster funktioniert so:
- Nutzen Sie diese Seite fuer die Fristenlogik 2026, 2027 und 2028.
- Nutzen Sie Welche KI-Systeme gelten ab 2. Dezember 2027? fuer die stand-alone Datumsantwort.
- Nutzen Sie Welche KI-Systeme gelten ab 2. August 2028? fuer die produktintegrierte Datumsantwort.
- Nutzen Sie Warum KI-Beschaffung schon vor 2027 wichtig bleibt fuer die knappe Beschaffungsantwort vor den spaeteren Daten.
- Nutzen Sie Beschaffungsanforderungen nach der EU-KI-Verordnung, wenn Sie konkrete Vertragsklauseln und Unterlagen brauchen.
- Nutzen Sie die EU AI Act August 2026 Frist-Checkliste, wenn Sie den nahen operativen Umsetzungsstand strukturieren wollen.
- Nutzen Sie DSGVO-KI-Beschaffung und KI-Anbieter-Due-Diligence, wenn Datenschutz, AVV, Vendor-Assessment oder Freigabeprozesse parallel laufen.
So bleibt die Trennung zwischen Timeline-Spoke, Beschaffungs-Pillar und Due-Diligence-Unterseiten auch fuer Suchmaschinen klar.
Haeufige Fragen
Wie lautet die EU AI Act Timeline fuer Deutschland aktuell?
Mit Stand 28. Juni 2026 sollten Unternehmen den geltenden und den vorgesehenen Zeitpfad parallel lesen. Der geltende Text zeigt weiterhin auf 2. August 2026 fuer breite Anwendbarkeit und auf 2. August 2027 fuer Art. 6 Abs. 1 und korrespondierende Hochrisiko-Regeln. Die aktuelle Umsetzungsrichtung nach der vorlaeufigen Omnibus-Einigung vom 7. Mai 2026 zeigt zusaetzlich auf 2. Dezember 2027 fuer stand-alone Hochrisiko-KI nach Anhang III und 2. August 2028 fuer Hochrisiko-KI in regulierten Produkten.
Bedeutet die spaetere AI-Act-Timeline, dass vor 2027 nichts passiert?
Nein. Das waere operativ falsch. Beschaffung, Governance, Transparenz, Rollenpruefung und Nachweisaufbau beginnen frueher. Ein Unternehmen kann 2026 bereits ein Compliance-Problem erzeugen, wenn es einen unzureichenden Anbietervertrag unterschreibt.
Welche Systeme sind typischerweise stand-alone Hochrisiko-KI nach Anhang III?
Typische Beispiele sind Recruiting- und Mitarbeiterbewertungstools, biometrische Identifizierung, Bildungs- und Pruefungssysteme, bestimmte Scoring-Modelle und andere Anwendungsfaelle, die direkt in Anhang III genannt sind. Die Hochrisiko-Einstufung folgt hier aus dem Einsatzfall selbst.
Welche Systeme sind typischerweise Hochrisiko-KI in regulierten Produkten?
Das sind KI-Systeme, die in Produkte eingebettet sind, die bereits einem Produkt- und Konformitaetsrahmen folgen. Je nach Sektor kann das bestimmte Medizinprodukte, Maschinen, Aufzuege, Spielzeug und aehnliche regulierte Produktkonstellationen betreffen.
Warum wirken offizielle Quellen bei den Fristen widerspruechlich?
Der Eindruck entsteht, weil unterschiedliche Ebenen beschrieben werden. Verordnung (EU) 2024/1689 bleibt der geltende Gesetzestext, waehrend Europaeische Kommission, AI Act Single Information Platform und Rat inzwischen auch den vorgesehenen Verschiebungspfad aus der vorlaeufigen Omnibus-Einigung vom 7. Mai 2026 abbilden.
Braucht mein Unternehmen fuer ein konkretes KI-System individuelle Rechtsberatung?
Hauefig ja, besonders bei Beschaeftigung, Biometrie, regulierten Produkten, wesentlichen Leistungen oder anderen risikosensiblen Workflows. Diese Seite bietet allgemeine Informationen. Die genaue Einordnung nach AI Act, DSGVO und Produktrecht haengt vom Systemaufbau, den Anbieterunterlagen und dem konkreten Einsatzkontext ab.
Beratung zu EU AI Act Fristen und KI-Beschaffung
Compound Law beraet Unternehmen in Deutschland zu KI-Beschaffung, Vendor-Vertraegen, Betreiberpflichten, produktbezogener KI und DSGVO-Abstimmung. Diese Seite bietet allgemeine Informationen und ersetzt keine Rechtsberatung fuer ein konkretes System, Produkt oder Vertragsverhaeltnis.