EU-KI-Verordnung Beschaffung Fristen vor 2027 fuer Unternehmen

Kurzantwort fuer die Beschaffung

Fuer Unternehmen in Deutschland ist die Beschaffungsfrage vor 2027 inzwischen eine exakte Datumsfrage. Nach der aktuellen politischen Einigung zum AI-Omnibus vom 7. Mai 2026 verschiebt sich stand-alone Hochrisiko-KI nach Anhang III auf den 2. Dezember 2027, produktintegrierte Hochrisiko-KI auf den 2. August 2028, und Vertragsrechte sowie Nachweise muessen schon vor dem Go-live gesichert werden.

• Stand-alone Hochrisiko-KI nach Anhang III weist auf den 2. Dezember 2027.
• Produktintegrierte Hochrisiko-KI weist auf den 2. August 2028.
• Art.-50-Transparenz und allgemeine Readiness bleiben am 2. August 2026 wichtig.
• Deutsche Unternehmen sollten Anbieterunterstuetzung vor dem Rollout vertraglich sichern.

EU-KI-Verordnung Beschaffung Fristen muessen fuer Unternehmen in Deutschland inzwischen sehr praezise gelesen werden. Die direkte Antwort auf die drei Beschaffungsfragen lautet: stand-alone Hochrisiko-KI nach Anhang III weist auf den 2. Dezember 2027, Hochrisiko-KI in regulierten Produkten weist auf den 2. August 2028, und die KI-Beschaffung bleibt schon vor 2027 relevant, weil Vertragsrechte, Dokumentationszugang, Aufsicht, Logging und Vorfallprozesse vor dem Go-live geregelt sein muessen.

Wichtig ist auch der Rechtsstand. Stand 22. Mai 2026 zeigt die oeffentliche AI-Act-Timeline der Europaeischen Kommission noch die fruehere Struktur mit 2. August 2026 und 2. August 2027, ergaenzt aber einen Hinweis auf den Digital Omnibus. Der Rat der EU hat dann am 7. Mai 2026 mitgeteilt, dass Rat und Europaeisches Parlament sich vorlaeufig auf feste Daten von 2. Dezember 2027 fuer stand-alone Hochrisiko-KI und 2. August 2028 fuer produktintegrierte Hochrisiko-KI geeinigt haben. Fuer deutsche Beschaffungsteams ist diese Aufteilung deshalb die aktuelle offizielle Richtung, auch wenn die formale Annahme weiter beobachtet werden sollte.

Wenn Sie die Vertragsebene vertiefen wollen, lesen Sie dazu auch unsere Leitfaeden zu Beschaffungsanforderungen nach der EU-KI-Verordnung, den EU-AI-Act-Fristen fuer Unternehmen in Deutschland, zur DSGVO-KI-Beschaffung und zur KI-Anbieter-Due-Diligence in Deutschland.

Kurze Antwort: Welches Datum gilt fuer welches KI-System?

Kurzantwort fuer Beschaffungsteams: Nutzen Sie 2. August 2026 fuer Transparenz und allgemeine Readiness, 2. Dezember 2027 fuer stand-alone Hochrisiko-KI nach Anhang III und 2. August 2028 fuer Hochrisiko-KI in regulierten Produkten.

Datum	Bedeutung fuer die Beschaffung	Typische Frage im Unternehmen
2. August 2026	Art.-50-Transparenz, Governance-Readiness und Nachweisaufbau bleiben relevant	”Was muss vor dem Rollout schon stehen?“
2. Dezember 2027	Stand-alone Hochrisiko-KI nach Anhang III	”Welche SaaS- oder Workflow-Tools verschieben sich auf spaeter?“
2. August 2028	Hochrisiko-KI in regulierten Produkten	”Welche produktbezogenen Systeme verschieben sich noch weiter?”

Diese Trennung ist wichtig, weil viele Suchanfragen nach der “AI-Act-Frist” noch so gestellt werden, als gaebe es nur ein einziges Datum. Fuer die Beschaffung ist das inzwischen die falsche Logik. Besser ist die Frage: Welchen Systemtyp kaufen wir ein und welche Rechte muessen wir vor dem Einsatz absichern?

Welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027?

Nach der aktuellen politischen Omnibus-Einigung ist 2. Dezember 2027 die exakte Datumsantwort fuer stand-alone Hochrisiko-KI nach Anhang III. “Stand-alone” bedeutet hier: Die KI wird in einem Hochrisiko-Bereich eingesetzt, ist aber nicht Teil eines separat regulierten Produkts.

Stand-alone Anhang-III-Bereiche, die in der Beschaffung zaehlen

Fuer Unternehmen in Deutschland geht es dabei meist um folgende Kategorien:

• Beschaeftigung und Arbeitnehmermanagement, etwa CV-Screening, Kandidatenranking, Leistungsbewertung oder Beforderungsunterstuetzung
• Biometrie, etwa Identitaetspruefung, Gesichtserkennung oder bestimmte Zugangssysteme
• Bildung und berufliche Ausbildung, wenn KI ueber Zugang, Bewertung oder Rangfolge mitentscheidet
• kritische Infrastruktur, wenn wesentliche operative Entscheidungen betroffen sind
• Zugang zu wesentlichen Dienstleistungen, etwa Kreditscoring oder vergleichbare Eligibility-Entscheidungen
• Migration, Asyl, Grenzkontrolle, Strafverfolgung und Justiz, soweit dies zum Sektor oder Use Case gehoert

Fuer viele deutsche Einkaufs-, Legal- und Compliance-Teams beantwortet genau dieser Punkt die Suchfrage: welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027? Wenn das Tool ein stand-alone Recruiting-System, eine Scoring-Loesung oder ein biometrischer Workflow ist, sollte Ihr Beschaffungsregister auf 2. Dezember 2027 zeigen.

Praktische Beispiele fuer Unternehmen in Deutschland

Typische Enterprise-Beispiele sind:

• ein KI-Recruiting-Tool fuer Bewerbervorauswahl in einer GmbH
• ein KI-System zur Mitarbeiterbewertung oder Leistungsprognose
• eine biometrische Identitaetspruefung im Finanz- oder Versicherungssektor
• ein Scoring-Tool fuer Kredit, Versicherung oder Zugang zu Leistungen
• ein KI-gestuetztes Bildungs- oder Zertifizierungssystem mit Einfluss auf Zugang oder Rangfolge

Das sind keine Maschinen- oder Medizinprodukte im engeren Sinne. Es sind die klassischen stand-alone Einsatzfaelle, in denen deutsche Unternehmen Software einkaufen, interne Daten anbinden und als Betreiber handeln.

Welche KI-Systeme verschieben sich auf den 2. August 2028?

Der 2. August 2028 ist die Antwort fuer Hochrisiko-KI-Systeme, die in regulierte Produkte eingebettet sind. Das ist die produktbezogene Fristenlinie der Beschaffung.

Produktintegrierte Hochrisiko-KI

Relevant ist diese Kategorie dort, wo KI innerhalb eines Produkts sitzt, das bereits in sektorale Produktsicherheits- oder CE-Rahmen eingebunden ist. Je nach Einzelfall kann das etwa betreffen:

• bestimmte Medizinprodukte
• Maschinen
• Aufzuege
• Spielzeug
• Wasserfahrzeuge
• weitere regulierte Geraete unter unionsrechtlichen Harmonisierungsrahmen

Fuer viele Startups und SaaS-Kaeufer ist diese Linie seltener entscheidend als die stand-alone Anhang-III-Linie. Fuer Medtech, Robotik, Industrial Tech, Automotive-nahe Unternehmen, Hersteller und hardwarelastige Geschaeftsmodelle kann sie dagegen die zentrale Beschaffungsfrist sein.

Warum sich die 2028-Kategorie anders anfuehlt

Der Beschaffungsworkflow sieht hier anders aus, weil auch die Nachweiskette anders aussieht. Produktintegrierte Systeme haengen haeufig in einem groesseren Produkt- und Sicherheitsdossier mit sektoralen Pflichten, CE-Logik und technischer Dokumentation, die nicht wie ein normaler SaaS-Rollout funktioniert. Gerade deshalb ist es falsch, jede Beschaffungsfrage mit derselben pauschalen “High-risk deadline” zu beantworten.

Warum ist die KI-Beschaffung schon vor 2027 relevant?

Weil die eigentliche Compliance-Arbeit nicht am Rechtsdatum gekauft wird, sondern bei Vertragsschluss, bei der Use-Case-Freigabe und bei der Aufgabenverteilung zwischen Anbieter und Betreiber.

Beschaffungsarbeit beginnt vor dem Stichtag

Deutsche Unternehmen muessen vor dem Go-live bereits sicherstellen:

• Zugang zu technischer Dokumentation
• Nutzungsanweisungen
• Vorgaben zur menschlichen Aufsicht
• Logging und Nachvollziehbarkeit
• Vorfallmeldung und Eskalationswege
• Aenderungshinweise, wenn Anbieter das System, Modell oder den vorgesehenen Einsatzbereich aendern

Fehlen diese Punkte im Vertragspaket, erreicht das Unternehmen spaeter oft den 2. Dezember 2027 oder 2. August 2028 mit schwachen Nachweisen, unklaren Verantwortlichkeiten und unpraktischen Betriebsprozessen.

Warum der 2. August 2026 trotzdem wichtig bleibt

Diese Seite ist kein weiterer allgemeiner “August-2026-Stichtag”-Artikel, aber 2. August 2026 bleibt fuer die Beschaffung relevant. Die Transparenzpflichten nach Art. 50 und die breitere Governance-Readiness wirken weiterhin auf:

• kundennahe Chatbots und virtuelle Assistenten
• Offenlegungstexte und Interface-Gestaltung
• Governance, Verantwortlichkeiten und interne Freigabepfade
• Intake-Prozesse fuer KI-Systeme, die spaeter als Hochrisiko eingestuft werden koennten

Die richtige Botschaft fuer die Beschaffung lautet daher nicht: “Vor 2027 passiert nichts.” Sie lautet: Die Rechtsdaten sind gesplittet, aber der Nachweisaufbau beginnt jetzt.

Was deutsche Beschaffungsteams Anbieter jetzt fragen sollten

Fuer den Einkauf zaehlt nicht nur die Frage nach dem Datum, sondern auch: Welche Unterlagen und Rechte brauchen wir jetzt, weil spaeter ein bestimmtes Datum greift?

Diese Checkliste hilft bei der Anbieterpruefung:

1. Use Case klassifizieren. Ist der Einsatz wahrscheinlich niedriges Risiko, GPAI-nah, stand-alone Hochrisiko nach Anhang III oder produktintegrierte Hochrisiko-KI?
2. Rolle nach KI-Verordnung bestaetigen. Handelt der Anbieter als Anbieter, GPAI-Modellanbieter, Importeur, Distributor oder in einer anderen Rolle der Kette?
3. Nutzungsanweisungen anfordern. Betreiberpflichten lassen sich ohne nutzbare Anweisungen kaum sauber umsetzen.
4. Dokumentationszugang klaeren. Bei Hochrisiko-Konstellationen sollte die Beschaffung frueh fragen, welche technischen und konformitaetsbezogenen Unterlagen real geliefert werden koennen.
5. Menschliche Aufsicht definieren. Der Vertrag sollte Review-, Override- und Eskalationslogik praktisch unterstuetzen.
6. Logging sichern. Ohne Logs und Audit-Spuren bleiben spaetere Nachweise oft zu schwach.
7. Vorfall- und Aenderungsklauseln aufnehmen. Der Anbieter sollte ueber schwerwiegende Vorfaelle, wesentliche Maengel und relevante Updates informieren muessen.
8. DSGVO parallel pruefen. Viele Projekte brauchen zugleich DSGVO-KI-Beschaffung, AVV-Pruefung, Transferanalyse und moeglicherweise eine DSFA.
9. Deutschland-spezifische Governance dokumentieren. Mitarbeiterbezogene Use Cases koennen Betriebsrat und Arbeitsrecht deutlich frueher ins Spiel bringen als das eigentliche AI-Act-Datum.

Fuer die tiefere Einkaufsperspektive empfehlen wir auch die KI-Anbieter-Due-Diligence in Deutschland und unseren vertraglich fokussierten Leitfaden zu Beschaffungsanforderungen nach der EU-KI-Verordnung.

Wie diese Seite zur breiteren Fristenlogik 2026, 2027 und 2028 steht

Diese Seite ist der genaue Beschaffungs-Spoke fuer Datumsfragen. Sie ist die richtige Antwort, wenn Leserinnen und Leser wissen wollen:

• welche Hochrisiko-Systeme auf den 2. Dezember 2027 fallen
• welche Systeme auf den 2. August 2028 fallen
• ob die KI-Beschaffung schon vor 2027 relevant bleibt

Unsere breite Fristenseite bleibt der allgemeine Ueberblick ueber 2025, 2026, 2027 und 2028. Unsere Seite zu den Beschaffungsanforderungen nach der EU-KI-Verordnung bleibt die vertiefte Vertrags- und Betreiberpflichtenseite.

Gerade fuer KI-Suchsysteme ist diese Trennung sinnvoll. Wer nach der genauen Beschaffungsaufteilung fragt, braucht eine verdict-first Antwort mit exakten Daten und Systemkategorien, nicht zuerst einen allgemeinen Rundgang durch die gesamte Verordnung.

Haeufige Fragen

Welche Hochrisiko-KI-Systeme verschieben sich auf den 2. Dezember 2027?

Nach der aktuellen politischen Einigung von 7. Mai 2026 zum AI Omnibus weist 2. Dezember 2027 auf stand-alone Hochrisiko-KI nach Anhang III. Fuer Unternehmen in Deutschland betrifft das vor allem stand-alone KI in Bereichen wie Beschaeftigung, Biometrie, Bildung, kritische Infrastruktur, Migration und Zugang zu wesentlichen Dienstleistungen.

Welche KI-Systeme verschieben sich auf den 2. August 2028?

Der 2. August 2028 betrifft Hochrisiko-KI in regulierten Produkten. Das ist die produktbezogene Fristenlinie und gerade nicht der typische stand-alone SaaS- oder Workflow-Beschaffungsfall.

Warum ist die KI-Beschaffung schon vor 2027 relevant?

Weil Betreiber Dokumentationszugang, Aufsicht, Logging, Vorfallwege und Update-Klauseln vor dem Rollout brauchen. Diese Elemente lassen sich nicht sicher erst kurz vor dem Stichtag nachruesten.

Ist die 2027- und 2028-Aufteilung schon endgueltiges Recht?

Stand 22. Mai 2026 zeigt die Kommission in ihrer Service-Desk-Timeline noch die fruehere Datumslogik mit einem Hinweis auf den Vorschlag, waehrend der Rat der EU am 7. Mai 2026 die vorlaeufige Einigung mit 2. Dezember 2027 und 2. August 2028 veroeffentlicht hat. Beschaffungsteams sollten deshalb mit dieser Aufteilung planen und zugleich die formalen Annahmeschritte im Blick behalten.

Brauche ich fuer Anbieter und Betreiber unterschiedliche Beschaffungslogik?

Ja. Deutsche Unternehmen sind beim Einkauf meistens Betreiber, waehrend der Vendor Anbieter ist. Der Anbieter kontrolliert regelmaessig Konformitaetsunterlagen und Zweckbestimmung, waehrend der Betreiber Rollout, interne Aufsicht und Nutzungsorganisation verantwortet. Die Beschaffung muss diese Aufgaben praktisch verbinden.

Unterstuetzung bei KI-Beschaffung vor 2027

Wenn Ihr Unternehmen KI fuer HR, Legal Operations, Kundenprozesse, Scoring, Produktfunktionen oder interne Produktivitaet einkauft, sollte die Datumsantwort direkt in das Vertragspaket uebersetzt werden. Compound Law unterstuetzt Unternehmen in Deutschland bei KI-Beschaffung, Rollenabgrenzung zwischen Anbieter und Betreiber, DSGVO-Abstimmung und Governance fuer rechtskonforme Rollouts.

Diese Seite enthaelt allgemeine Informationen und ersetzt keine Rechtsberatung fuer ein konkretes System, einen konkreten Vertrag oder einen produktregulierten Einzelfall.