Die wichtigsten Daten des AI Act: Verbotene Praktiken (Februar 2025), Schulungspflicht (August 2025), Hochrisiko-Systeme (August 2026), vollständige Anwendung (August 2027).
Der AI Act gilt nicht auf einen Schlag. Der europäische Gesetzgeber hat die Pflichten bewusst über drei Jahre gestaffelt, um Organisationen Zeit zur Anpassung zu geben. Doch diese Schrittfolge ist zweischneidig: Jede verstrichene Frist wird zu einem unmittelbaren Risiko der Nicht-Konformität.
Diesen Zeitplan zu verstehen ist unverzichtbar, um Maßnahmen zu planen, Budgets zuzuweisen und die richtigen Teams zum richtigen Zeitpunkt zu mobilisieren.
Die Verordnung (EU) 2024/1689 wird im Amtsblatt veröffentlicht und tritt in Kraft. Zu diesem Zeitpunkt gelten noch keine konkreten Pflichten für Unternehmen. Dies ist die Schonfrist — die Phase, in der gut vorbereitete Organisationen einen Vorsprung gewinnen.
Was Sie tun sollten: Mit der Inventarisierung Ihrer KI-Systeme beginnen und einen Verantwortlichen für die AI-Act-Konformität benennen.
Dies ist die erste verbindliche Frist. Vier Kategorien von KI-Systemen sind nun verboten:
Artikel 5 — Règlement (UE) 2024/1689
Folgende Praktiken im Bereich der künstlichen Intelligenz sind verboten: […] das Inverkehrbringen, die Inbetriebnahme oder die Verwendung eines KI-Systems, das etwaige Schwachstellen einer Person aufgrund ihres Alters, einer Behinderung oder ihrer sozialen oder wirtschaftlichen Lage ausnutzt.
Was Sie tun sollten: Alle bestehenden KI-Tools auditieren, um sicherzustellen, dass keines in diese Kategorien fällt. Besonderes Augenmerk auf Recruiting-Tools, Kunden-Scoring (z. B. Schufa-ähnliche Systeme) und Überwachungstools legen. Beachten Sie dabei auch die Anforderungen der DSGVO, die parallel gelten.
Dies ist die am meisten unterschätzte Frist — und die dringendste für die Mehrheit der Unternehmen.
Kritische Frist — August 2025
Artikel 4 verpflichtet jede Organisation, die ein KI-System einsetzt oder nutzt, ein ausreichendes Maß an KI-Kompetenz für alle betroffenen Mitarbeitenden sicherzustellen. Diese Pflicht gilt ab dem 2. August 2025. Es gibt keine Größenbefreiung: KMU sind ebenso betroffen wie Großkonzerne.
Artikel 4 verlangt eine Schulung, die der Rolle und Exposition jeder Person angemessen ist. Es geht nicht um ein generisches E-Learning: Organisationen müssen nachweisen können, dass die erworbenen Kompetenzen zum Nutzungskontext passen.
Parallel dazu umfasst diese Phase:
Was Sie tun sollten:
Die strengsten Pflichten der Verordnung treten in Kraft. Jedes als „Hochrisiko” eingestufte KI-System (Anhang III) muss einen strengen Konformitätsrahmen einhalten:
Die am stärksten betroffenen Sektoren: Personalwesen und Recruiting, Kredit und Versicherung, Gesundheit, Bildung, Justiz, Migration, kritische Infrastruktur. In Deutschland betrifft dies u. a. das Schufa-Scoring, KI-Systeme der Deutschen Bank und BaFin-regulierter Institute, KI-gestützte Entscheidungen bei der Bundesagentur für Arbeit sowie KI-Anwendungen bei Krankenkassen wie der AOK und der Techniker Krankenkasse.
📄KI-Governance im Unternehmen: 5 Schritte zur Strukturierung→Was Sie tun sollten:
Alle Bestimmungen der Verordnung werden anwendbar, auch für KI-Systeme, die bereits vor dem Inkrafttreten auf dem Markt waren. Die Sanktionen sind voll durchsetzbar:
Wenn Sie dies 2026 lesen, ist die Frist des Artikels 4 bereits abgelaufen. Die absolute Priorität ist, nachweisen zu können, dass Ihre Organisation konkrete Maßnahmen zur Schulung ihrer Teams ergriffen hat.
Hier die empfohlene Prioritätenfolge:
Der Zeitplan ist eng, aber der schrittweise Ansatz des Gesetzgebers ist ein Vorteil für Organisationen, die jetzt beginnen. Wer auf die letzte Frist wartet, riskiert eine Konformitätsmauer, die in wenigen Monaten nicht zu überwinden ist.
📄KI-Schulung für Unternehmen: der strategische Leitfaden 2026→