Kaum ein Regelwerk sorgt im Mittelstand für so viel Verunsicherung wie der EU AI Act — die KI-Verordnung der EU. Das liegt weniger an der Komplexität als an der Aktualität: Die Fristen wurden 2026 noch einmal verschoben, und ein großer Teil der im Umlauf befindlichen Artikel nennt überholte Termine. Wer seine Projektplanung auf veraltete Stände stützt, plant entweder zu eng oder verschenkt Zeit.
Dieser Beitrag bringt die Timeline auf den Stand von Mitte 2026 — mit der zentralen Korrektur, dass die Hochrisiko-Pflichten aus Annex III durch den sogenannten Digital Omnibus auf den 2. Dezember 2027 verschoben wurden (viele Quellen nennen noch fälschlich August 2026). Hinweis: Dies ist keine Rechtsberatung. Die konkrete Einstufung Ihrer KI-Systeme gehört in eine fachliche Einzelfallprüfung.
Die Kernbotschaft in einem Satz: Verbotene Praktiken (Art. 5) und die KI-Kompetenzpflicht (Art. 4) gelten seit Februar 2025, die GPAI-Durchsetzung beginnt am 02.08.2026 — aber die Hochrisiko-Pflichten wurden auf 02.12.2027 verschoben. Mehr Zeit ist kein Freibrief, sondern Planungsspielraum.
Worum es beim EU AI Act geht — und wen er im Mittelstand betrifft
Der EU AI Act verfolgt einen risikobasierten Ansatz. Statt jede KI gleich zu behandeln, teilt die Verordnung Systeme in vier Klassen ein — und knüpft die Pflichten an die jeweilige Risikoklasse:
- Verbotene Praktiken: KI, die etwa Social Scoring oder manipulatives Verhalten ermöglicht — grundsätzlich untersagt.
- Hochrisiko (Annex III): KI in sensiblen Bereichen wie Personalauswahl, Kreditvergabe oder kritischer Infrastruktur — umfangreiche Pflichten.
- Begrenztes Risiko: etwa Chatbots — vor allem Transparenzpflichten (Kennzeichnung als KI).
- Minimales Risiko: der Großteil betrieblicher KI (Spamfilter, Textvorschläge) — im Kern keine zusätzlichen Pflichten.
Für den typischen Mittelständler heißt das: Die meisten alltäglichen KI-Anwendungen fallen unter „minimal" oder „begrenzt". Relevant wird es dort, wo KI über Menschen entscheidet — Bewerber-Screening, Bonitätsprüfungen, Zugang zu Leistungen. Genau diese Anwendungen können in den Hochrisiko-Bereich rutschen.
Was seit Februar 2025 schon gilt
Zwei Bausteine des AI Act sind bereits in Kraft und werden in der Diskussion oft übersehen, weil sie weniger spektakulär klingen als die Hochrisiko-Regeln.
Verbotene Praktiken (Art. 5)
Seit Februar 2025 sind bestimmte KI-Anwendungen schlicht untersagt — darunter Social Scoring durch öffentliche oder private Stellen, manipulative Systeme, die das Verhalten gezielt unterlaufen, sowie ungezielte Gesichtsdaten-Erfassung. Für den Mittelstand sind diese Verbote selten praxisrelevant, aber sie gelten ohne Übergangsfrist und mit dem höchsten Bußgeldrahmen der Verordnung.
KI-Kompetenzpflicht (Art. 4)
Praktisch deutlich wichtiger ist Artikel 4: Unternehmen, die KI einsetzen, müssen für ein ausreichendes Maß an KI-Kompetenz ihres Personals sorgen. Wer KI-Systeme betreibt oder bereitstellt, muss also nachweislich sicherstellen, dass die damit befassten Mitarbeiter Funktionsweise, Grenzen und Risiken verstehen. Das gilt seit Februar 2025 und betrifft praktisch jedes Unternehmen, das KI im Arbeitsalltag nutzt — von der KI-gestützten Arbeitsplatzumgebung bis zur Dokumentenanalyse.
Oft übersehen: Die KI-Kompetenzpflicht ist keine Zukunftsmusik — sie gilt heute. Eine dokumentierte KI-Schulung des betroffenen Personals ist die naheliegendste Maßnahme und lässt sich gut mit bestehenden Security-Awareness-Programmen verbinden.
GPAI-Durchsetzung ab 02.08.2026 — und die Bußgelder
Ab dem 2. August 2026 beginnt die Durchsetzung der Pflichten für GPAI — General-Purpose AI, also Allzweck-KI-Modelle wie große Sprachmodelle. Die Pflichten richten sich primär an die Anbieter solcher Modelle (Transparenz, technische Dokumentation, Urheberrechts-Compliance), wirken aber mittelbar auf alle, die diese Modelle einsetzen.
Ab diesem Datum greift auch der Bußgeldrahmen: Im GPAI-Kontext drohen Sanktionen von bis zu 15 Mio. Euro bzw. 3 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist. Für Verstöße gegen die verbotenen Praktiken liegt der Rahmen sogar noch höher. Das macht deutlich, dass der AI Act kein zahnloses Papier ist.
Die wichtige Korrektur — Hochrisiko-Pflichten auf 02.12.2027 verschoben
Hier liegt der entscheidende Aktualitätssprung: Ursprünglich sollten die Pflichten für Hochrisiko-Systeme nach Annex III bereits im August 2026 greifen. Mit dem Digital Omnibus vom 7. Mai 2026 wurde dieser Geltungsbeginn auf den 2. Dezember 2027 verschoben. Wer also ein potenzielles Annex-III-System betreibt — etwa KI-gestütztes Bewerber-Screening — hat mehr Zeit für die Umsetzung der umfangreichen Pflichten (Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Konformitätsbewertung).
Warum viele Quellen noch August 2026 nennen
Die Verschiebung kam vergleichsweise spät und ist noch nicht überall angekommen. Zahlreiche Ratgeber, Webinar-Folien und Beratungsunterlagen wurden vor dem 7. Mai 2026 erstellt und nennen weiterhin den ursprünglichen Termin. Wer seine Roadmap an „August 2026" ausrichtet, plant für die Hochrisiko-Pflichten zu eng. Verlassen Sie sich daher auf den aktuellen Stand und prüfen Sie das Datum jeder Quelle.
Ehrlich: Die Verschiebung verschafft Luft, ist aber kein Grund, das Thema zu vertagen. Datenbestände aufräumen, KI-Anwendungen inventarisieren und die KI-Kompetenz aufbauen — all das gilt heute und ist die Vorarbeit, die Sie bis 12/2027 ohnehin brauchen.
Fristen-Timeline auf einen Blick
Die folgende Übersicht fasst die maßgeblichen Daten zusammen (Stand 06/2026, Quelle: EU-KI-Verordnung und Digital-Omnibus-Beschluss vom 07.05.2026):
| Datum | Was gilt | Betroffene |
|---|---|---|
| 02.2025 | Verbotene Praktiken (Art. 5) + KI-Kompetenzpflicht (Art. 4) in Kraft | Alle KI-Nutzer |
| 07.05.2026 | Digital Omnibus — Verschiebung der Hochrisiko-Pflichten beschlossen | Gesetzgeber |
| 02.08.2026 | GPAI-Durchsetzung; Bußgelder bis 15 Mio. € / 3 % Jahresumsatz | GPAI-Anbieter & -Nutzer |
| 02.12.2027 | Hochrisiko-Pflichten (Annex III) — neuer Geltungsbeginn (vorher fälschlich 08/2026) | Annex-III-Systeme |
Was Mittelständler jetzt konkret tun sollten
Unabhängig von der Verschiebung gibt es eine sinnvolle Reihenfolge, mit der Sie sich ohne Hektik in Position bringen:
- KI-Inventar erstellen: Welche KI-Systeme setzen Sie ein — auch versteckt in SaaS-Tools? Ohne Überblick keine Einstufung.
- Risikoklassen zuordnen: Jedes System grob den vier Klassen zuordnen und Annex-III-Kandidaten markieren.
- KI-Kompetenz aufbauen: Art. 4 gilt heute — Schulung des betroffenen Personals dokumentieren.
- Verbotene Praktiken ausschließen: Sicherstellen, dass kein eingesetztes System unter Art. 5 fällt.
- Daten-Governance vorbereiten: Für mögliche Hochrisiko-Systeme jetzt die Datenbasis und Dokumentation strukturieren.
On-Premise-KI als compliance-robuste und datensouveräne Antwort
Ein wiederkehrendes Muster in der Praxis: Viele AI-Act- und DSGVO-Risiken entstehen dort, wo Daten in Cloud-GPAI-Dienste abfließen — oft ohne klare Kontrolle über Speicherort, Trainingsnutzung und Nachweisbarkeit. On-Premise-KI dreht dieses Verhältnis um: Das Sprachmodell läuft im eigenen Rechenzentrum, die Daten verlassen das Haus nicht.
Das erleichtert gleich mehrere Pflichten: Datenkontrolle und DSGVO-Konformität sind einfacher belegbar, die Nachweisbarkeit gegenüber Aufsichtsbehörden steigt, und die Abhängigkeit von der Compliance-Lage externer GPAI-Anbieter sinkt. Ein lokal gehostetes Modell für Dokumentenanalyse oder Wissensabfrage ist damit nicht nur ein Datenschutz-, sondern auch ein AI-Act-Argument.
Als ISO/IEC-27001:2022-zertifizierter MSP (Zertifikat Nr. 202787) bauen wir KI-Lösungen, die zu DSGVO und AI Act passen — datensouverän aus deutschen Rechenzentren. Die Verschiebung der Hochrisiko-Pflichten verschafft dabei genug Zeit, um sauber statt überhastet umzusetzen.
Fazit: Aktualität schlägt Aktionismus
Der EU AI Act ist real, gestaffelt und sanktionsbewehrt — aber er gilt nicht über Nacht. Die wichtigsten Punkte: Art. 4 und Art. 5 sind heute bindend, die GPAI-Durchsetzung startet im August 2026, und die Hochrisiko-Pflichten greifen erst ab Dezember 2027. Wer diese Timeline korrekt liest, plant weder zu hektisch noch zu sorglos.
Der pragmatische Weg führt über ein KI-Inventar, eine dokumentierte KI-Kompetenz und — wo Daten sensibel sind — über On-Premise-KI als datensouveräne Basis. So nutzen Sie den Planungsspielraum, statt ihn zu verschenken.
Häufige Fragen
Gilt der EU AI Act schon?
Teilweise. Die verbotenen Praktiken (Art. 5) und die KI-Kompetenzpflicht (Art. 4) gelten bereits seit Februar 2025. Die übrigen Pflichten greifen gestaffelt — GPAI ab August 2026, Hochrisiko ab Dezember 2027.
Wann werden die GPAI-Pflichten durchgesetzt?
Ab dem 2. August 2026. Ab diesem Datum gilt im GPAI-Kontext ein Bußgeldrahmen von bis zu 15 Mio. Euro bzw. 3 % des weltweiten Jahresumsatzes — je nachdem, welcher Betrag höher ist.
Wurden die Hochrisiko-Pflichten wirklich verschoben?
Ja. Der Digital Omnibus vom 7. Mai 2026 hat die Annex-III-Hochrisiko-Pflichten auf den 2. Dezember 2027 verschoben. Ursprünglich war der August 2026 vorgesehen.
Warum lese ich noch vom Termin August 2026?
Weil viele Quellen vor der Verschiebung erstellt und nicht aktualisiert wurden. Sie nennen noch den ursprünglichen Hochrisiko-Termin. Prüfen Sie bei jeder Quelle das Veröffentlichungsdatum.
Wie hilft On-Premise-KI bei der Compliance?
Die Daten bleiben im eigenen Haus, statt in Cloud-GPAI-Dienste abzufließen. Das erleichtert DSGVO-Konformität, Datenkontrolle und die Nachweisbarkeit gegenüber Aufsichtsbehörden — ein Vorteil sowohl beim Datenschutz als auch beim AI Act.