Demo buchen
RegulierungGovernance

EU AI Act (Verordnung EU 2024/1689): Entstehung, Fristen und was 2027 auf Unternehmen zukommt

Der EU AI Act gilt seit August 2024. 48,6 % der deutschen Unternehmen haben noch keine Maßnahmen ergriffen. Was die Verordnung verlangt, wie sie entstand und warum 2027 zum Wendepunkt wird.

REGULIGHTEU AI Act Compliance
8 min Lesezeit
  • Der EU AI Act (Verordnung EU 2024/1689) gilt seit 1. August 2024 in der gesamten EU
  • Verbote sind seit Februar 2025 bußgeldbewehrt, Hochrisiko-Pflichten für neue Systeme ab August 2026
  • August 2027 ist der härteste Fristpunkt: dann müssen auch Bestandssysteme vollständig compliant sein
  • 48,6 % der deutschen Unternehmen haben noch keine konkreten Maßnahmen ergriffen

Der EU AI Act stellt Unternehmen vor eine Aufgabe, für die es bislang keine Vorlage gibt: den strukturierten, nachweisbaren Umgang mit KI-Systemen, die im Unternehmen eingesetzt werden.

Seit dem 1. August 2024 ist die Verordnung (EU) 2024/1689 geltendes Recht in allen EU-Mitgliedstaaten [EUR-Lex, 2024]. Und dennoch haben laut einer aktuellen Deloitte-Branchenstudie 48,6 Prozent der deutschen Unternehmen noch keine konkreten Umsetzungsmaßnahmen ergriffen [Deloitte, 2025]. Über 50 Prozent besitzen kein vollständiges KI-Inventar, also keine strukturierte Übersicht darüber, welche KI-Systeme im Unternehmen überhaupt im Einsatz sind. Dabei ist genau das die Grundvoraussetzung für jeden weiteren Schritt.

Wer verstehen will, was diese Verordnung an Unternehmen verlangt, muss verstehen, wie sie entstanden ist. Die Entstehungsgeschichte des EU AI Acts erklärt seine Regulierungslogik, den risikobasierten Ansatz und die Struktur der Betreiberpflichten.

Was ist der EU AI Act?

Der EU AI Act, formal die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates, ist das weltweit erste umfassende Regelwerk zur Regulierung von KI-Systemen. Er gilt unmittelbar in allen EU-Mitgliedstaaten. Erfasst werden alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder betreiben, unabhängig von Sitz, Branche oder Unternehmensgröße [EUR-Lex, Art. 2, 2024].

Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Schadenspotenzial eines Systems für Grundrechte, Gesundheit oder Sicherheit, desto strenger die Anforderungen. Nicht jedes KI-System wird gleich behandelt. Ein Spamfilter fällt kaum unter das Gesetz. Ein Tool, das Bewerbungen automatisch bewertet oder Kredite berechnet, sehr wohl.

Für Unternehmen, die sogenannte Hochrisiko-Systeme betreiben, schreibt die Verordnung unter anderem vor: ein Risikomanagementsystem (ein dokumentiertes Verfahren zur Erkennung und Kontrolle von Risiken, Artikel 9), eine vollständige technische Dokumentation des Systems (Anhang IV), nachweisbare menschliche Aufsicht über KI-Entscheidungen (Artikel 14) sowie Transparenz gegenüber Betroffenen (Artikel 13). Hinzu kommt die sogenannte AI-Literacy-Pflicht nach Artikel 4: Alle Mitarbeitenden, die KI-Systeme einsetzen, müssen ein grundlegendes Verständnis davon haben, wie diese Systeme funktionieren und wo ihre Grenzen liegen.

Die regulatorische Ausgangslage

Der EU AI Act reagiert auf ein strukturelles Governance-Defizit, das mit dem flächendeckenden Einsatz von KI in unternehmerischen Entscheidungsprozessen entstanden ist.

Laut einer Erhebung der Bundesnetzagentur nutzt bereits jedes dritte deutsche Unternehmen ab 20 Mitarbeitern KI-Systeme aktiv. Unter Großunternehmen sind es 56 Prozent [Bundesnetzagentur, 2025]. Ein erheblicher Teil dieser Systeme fällt unter die strengste Regulierungsstufe des EU AI Acts, die sogenannte Hochrisiko-Kategorie: KI im Personalwesen, in der Kreditvergabe, in der Versicherungswirtschaft, im Gesundheitswesen und bei Behörden. Das sind Systeme, die Entscheidungen über Menschen vorbereiten oder automatisiert treffen, für die bislang kein einheitlicher Regulierungsrahmen existierte.

Das Europäische Parlament brachte das Kernproblem 2023 präzise auf den Punkt: "Es ist oft nicht möglich herauszufinden, warum ein KI-System eine bestimmte Entscheidung getroffen hat" [Europäisches Parlament, 2023]. Fehlende Erklärbarkeit bedeutet fehlende Rechenschaftspflicht. Aus regulatorischer Sicht ist das inakzeptabel, wenn KI-Systeme über Kredit, Beschäftigung oder Sozialleistungen entscheiden.

Wissenschaftlich gestützt wird dieser Regulierungsansatz durch mehrere unabhängige Analysen. Die RAND Corporation kommt in ihrer Studie zu dem Ergebnis, dass ein risikobasiertes Framework der einzig gangbare Weg ist, um Innovation zu ermöglichen und gleichzeitig nachweisbare gesellschaftliche Schäden zu verhindern [RAND, RRA3243-3, 2024]. Im European Journal of Risk Regulation zeigt ein peer-reviewter Beitrag von 2024, dass die Implementierung eines wirklich risikobasierten Ansatzes klare Klassifizierungsmethodik und operationale Governance-Strukturen auf Unternehmensebene voraussetzt [Floridi et al., EJRR, 2024]. Eine weitere Untersuchung in Risk Analysis dokumentiert, wie fehlende ex-ante-Kontrollen bei Hochrisiko-KI zu messbaren Verletzungen von Grundrechten führen können [Tandfonline, 2024].

Die Entstehung des EU AI Acts: Von der Idee zum Gesetz (2019–2024)

2019: Die ethische Grundlage

Bevor ein einziger Gesetzesparagraf geschrieben wurde, legte die High-Level Expert Group on Artificial Intelligence der Europäischen Kommission die inhaltliche Grundlage. Ihre Ethics Guidelines for Trustworthy AI von 2019 definierten sieben Kernprinzipien: menschliche Kontrolle, technische Robustheit, Privatsphäre, Transparenz, Nicht-Diskriminierung, ökologische Nachhaltigkeit und Verantwortlichkeit [EU HLEG, 2019]. Diese Prinzipien sind bis heute in der Regulierungsarchitektur der Verordnung erkennbar.

Februar 2020: Das Weißbuch setzt den Prozess in Gang

Im Februar 2020 veröffentlichte die Europäische Kommission ihr Weißbuch zur Künstlichen Intelligenz (COM/2020/65) mit dem Untertitel "Ein europäisches Konzept für Exzellenz und Vertrauen" [Europäische Kommission, 2020]. Erstmals formulierte die EU offiziell den Rahmen eines europäischen Regulierungsansatzes für KI. Das Dokument leitete eine europaweite Konsultation ein und setzte den legislativen Prozess unwiderruflich in Gang.

April 2021: Der erste KI-Regulierungsvorschlag weltweit

Am 21. April 2021 legte die Europäische Kommission ihren formalen Verordnungsvorschlag vor (COM/2021/206) [Europäische Kommission, 2021]. Weltweit zum ersten Mal schlug eine staatliche Institution ein umfassendes Regelwerk für KI-Systeme auf Gesetzesebene vor. Im Mittelpunkt stand der risikobasierte Ansatz: Regulierungsintensität proportional zum Schadenspotenzial, differenziert nach vier Risikokategorien.

Dezember 2022: Der Rat etabliert seine Position

Am 6. Dezember 2022 verabschiedete der Rat der Europäischen Union seine allgemeine Ausrichtung und eröffnete damit die sogenannten Trilog-Verhandlungen: die abschließende Einigungsrunde zwischen Europäischer Kommission, Rat und Parlament, die in der EU jedes Gesetz durchlaufen muss [Rat der EU, 2022]. Besonders umkämpft war die Frage staatlicher Ausnahmen bei der biometrischen Echtzeit-Identifizierung in öffentlichen Räumen, ein Streitpunkt, der die Verhandlungen über Monate prägte.

Juni 2023: Das Parlament reagiert auf generative KI

Am 14. Juni 2023 verabschiedete das Europäische Parlament seine Verhandlungsposition mit 499 zu 28 Stimmen bei 93 Enthaltungen [Europäisches Parlament, 2023]. Der entscheidende Einschnitt: Der öffentliche Durchbruch generativer KI-Modelle ab Ende 2022 zwang den Gesetzgeber zur Nachbesserung. Tools wie ChatGPT hatten gezeigt, dass KI mit breitem Einsatzbereich, sogenannte General-Purpose AI Models, eigene Regelungen brauchen. Das Parlament integrierte diese kurzfristig in den Entwurf. Ein Gesetz, das 2021 begonnen hatte, musste 2023 bereits an eine technologische Realität angepasst werden, die zum Zeitpunkt seiner Entstehung noch nicht existierte.

Dezember 2023 bis August 2024: Vom Trilog zum Gesetz

Nach drei Tagen intensiver Trilog-Verhandlungen einigten sich Kommission, Rat und Parlament am 9. Dezember 2023 auf einen Kompromisstext [Rat der EU, 2023]. Es waren die komplexesten Verhandlungen in der Geschichte der europäischen Technologiepolitik. Die finale Abstimmung im Europäischen Parlament folgte am 13. März 2024 mit 523 zu 46 Stimmen [Europäisches Parlament, 2024]. Der Rat der EU erteilte am 21. Mai 2024 einstimmig seine Zustimmung [Rat der EU, 2024]. Am 12. Juli 2024 wurde die Verordnung im Amtsblatt der EU veröffentlicht, am 1. August 2024 trat sie in Kraft [EUR-Lex, 2024]. Europa hatte das erste umfassende KI-Gesetz der Welt.

Die EU AI Act Fristen im Überblick

DatumInhaltRechtsgrundlage
2. Februar 2025Verbote nach Artikel 5 sind bußgeldbewehrt: Social Scoring, biometrische Echtzeit-Identifizierung im öffentlichen Raum, Emotionserkennung am ArbeitsplatzArt. 5 VO (EU) 2024/1689
2. August 2025GPAI-Pflichten nach Kapitel V in Kraft. Betreiberpflichten für den Einsatz von Sprachmodellen wie ChatGPT, Copilot oder Gemini gelten ab diesem DatumArt. 4, Kap. V VO (EU) 2024/1689
2. August 2026Vollständige Hochrisiko-Pflichten für neue Systeme: Risikomanagementsystem (Art. 9), technische Dokumentation (Anh. IV), Konformitätsbewertung (Nachweis, dass das System alle gesetzlichen Anforderungen erfüllt), Registrierung in der EU-DatenbankArt. 9, 13, 14, Anh. III, IV VO (EU) 2024/1689
2. August 2027Hochrisiko-Pflichten gelten auch für Bestandssysteme, die vor Inkrafttreten der Verordnung in Betrieb genommen wurdenArt. 111 VO (EU) 2024/1689

Der Digital Omnibus: Fristenverschiebung in der Diskussion

Im November 2025 schlug die Europäische Kommission im Rahmen des sogenannten Digital Omnibus vor, die Hochrisiko-Fristen von August 2026 auf Dezember 2027 zu verschieben [Europäische Kommission, COM/2025, November 2025]. Das erklärte Ziel: Reduktion des administrativen Aufwands, insbesondere für KMU.

Dieser Vorschlag ist noch kein geltendes Recht. Er durchläuft das ordentliche Gesetzgebungsverfahren mit Trilog-Verhandlungen zwischen Parlament und Rat und wird voraussichtlich noch mehrfach verändert werden [Europäisches Parlament, Legislative Train, 2026]. Compliance-Planungen von einer noch nicht beschlossenen Fristenverschiebung abhängig zu machen bedeutet regulatorisches Risiko. Governance-Strukturen, KI-Inventarisierung und Dokumentationsstandards nach Anhang IV erfordern substanzielle Vorlaufzeit, die erfahrungsgemäß unterschätzt wird.

Was das für Ihr Unternehmen bedeutet

Der EU AI Act verlangt von Unternehmen eine vorausschauende KI-Governance: die systematische Erfassung, Klassifizierung und Überwachung von KI-Systemen, bevor ein Schadensereignis oder ein Audit eintreten. Das ist keine Aufgabe, die sich auf eine Abteilung delegieren lässt. Sie betrifft IT, Recht, Datenschutz und Management gemeinsam.

In der Praxis bedeutet das: Wer im Unternehmen Verantwortung für KI-Compliance trägt, muss die Risikoklassifizierung nach Anhang III beurteilen und Pflichten den zuständigen Stellen zuordnen. Für Unternehmen mit Hochrisiko-Systemen im Einsatz ist die Benennung einer verantwortlichen Person (häufig als AI Compliance Officer bezeichnet) keine Empfehlung, sondern eine strukturelle Notwendigkeit.

Drei Fragen beschreiben den tatsächlichen Compliance-Reifegrad eines Unternehmens heute präzise:

Erste Frage: Liegt ein vollständiges KI-Inventar vor, das alle im Unternehmen eingesetzten Systeme erfasst, einschließlich jener, die intern nicht explizit als KI-Systeme bezeichnet oder beschafft wurden?

Zweite Frage: Ist für jedes erfasste System eine Risikoklassifizierung nach dem risikobasierten Ansatz der Verordnung vorgenommen worden, mit klarer Zuordnung zu den Kategorien nach Anhang III?

Dritte Frage: Existiert für identifizierte Hochrisiko-Systeme bereits ein dokumentiertes Risikomanagementsystem nach Artikel 9 sowie eine technische Dokumentation nach Anhang IV?

Wird eine dieser Fragen mit Nein beantwortet, besteht konkreter Handlungsbedarf vor den Fristen August 2026 und August 2027.

EU AI Act 2027: Der regulatorische Wendepunkt für Bestandssysteme

August 2027 ist nicht nur ein weiteres Fristdatum im Compliance-Kalender. Es ist der Zeitpunkt, ab dem jedes Hochrisiko-KI-System vollständig compliant sein muss, auch solche, die bereits vor Inkrafttreten der Verordnung in Betrieb waren [Art. 111 VO (EU) 2024/1689].

Das betrifft Systeme, die jahrelang operativ eingesetzt wurden, ohne je auf die Anforderungen der Verordnung ausgerichtet worden zu sein. Ohne auditfähige technische Dokumentation. Ohne formales Risikomanagementsystem nach Artikel 9. Ohne Konformitätsbewertung.

Der Umfang dieser Aufgabe ist erheblich. Hochrisiko-KI nach Anhang III erfasst Systeme in der Kreditvergabe, im Personalwesen, in der Versicherungswirtschaft, im Gesundheitswesen, in der Bildung und bei Behörden. In all diesen Bereichen sind KI-Systeme oft seit Jahren im Einsatz. Der Aufbau auditfähiger Compliance-Strukturen für Bestandssysteme ist entsprechend aufwendig.

Laut Deloitte haben 48,6 Prozent der deutschen Unternehmen noch keine konkreten Umsetzungsmaßnahmen ergriffen [Deloitte, 2025]. Das ist die Ausgangslage, von der aus die Anforderungen nach Artikel 9, 13 und 14 sowie Anhang IV bis 2027 erfüllt werden müssen. Erfahrungen aus vergleichbaren Regulierungsvorhaben zeigen, dass der tatsächliche Aufwand für Inventarisierung, Klassifizierung, Dokumentation und Konformitätsbewertung systematisch unterschätzt wird.

Unternehmen, die heute mit der Bestandsaufnahme beginnen, gestalten diesen Prozess. Unternehmen, die warten, werden ihn unter Termindruck durchführen. Compliance unter Druck hinterlässt Lücken. Und diese Lücken werden 2027 sichtbar sein.

Der erste Schritt: Verschaffen Sie sich eine vollständige Übersicht über alle KI-Systeme in Ihrem Unternehmen. Wer nicht weiß, was im Einsatz ist, kann nicht klassifizieren. Wer nicht klassifiziert, kann nicht planen. Und wer nicht plant, handelt 2026 und 2027 reaktiv.

Häufig gestellte Fragen zum EU AI Act

Was ist der EU AI Act? Der EU AI Act (Verordnung EU 2024/1689) ist das weltweit erste umfassende Gesetz zur Regulierung von KI-Systemen. Er gilt seit dem 1. August 2024 unmittelbar in allen EU-Mitgliedstaaten und erfasst alle Unternehmen, die KI-Systeme in der EU entwickeln, vertreiben oder betreiben. Die Verordnung folgt einem risikobasierten Ansatz: Je höher das Schadenspotenzial eines Systems, desto strenger die Anforderungen.

Wann trat der EU AI Act in Kraft? Die Verordnung (EU) 2024/1689 wurde am 12. Juli 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Die Verbote nach Artikel 5 gelten seit dem 2. Februar 2025, die vollständigen Hochrisiko-Pflichten ab dem 2. August 2026.

Welche EU AI Act Fristen gelten bis 2027? Es gibt vier zentrale Fristpunkte: (1) Verbotene KI-Praktiken nach Artikel 5 sind seit dem 2. Februar 2025 bußgeldbewehrt. (2) Pflichten für General-Purpose AI-Anbieter gelten ab dem 2. August 2025. (3) Vollständige Hochrisiko-Pflichten für neu eingesetzte Systeme greifen ab dem 2. August 2026. (4) Für bereits im Einsatz befindliche Bestandssysteme gilt die volle Compliance-Pflicht ab dem 2. August 2027 (Artikel 111).

Was sind Betreiberpflichten nach dem EU AI Act? Unternehmen, die Hochrisiko-KI-Systeme einsetzen (sogenannte Betreiber), müssen vier Kernanforderungen erfüllen: ein dokumentiertes Risikomanagementsystem (Artikel 9), eine vollständige technische Dokumentation des Systems (Anhang IV), nachweisbare menschliche Aufsicht über automatisierte Entscheidungen (Artikel 14) sowie Transparenz gegenüber Betroffenen (Artikel 13). Zusätzlich gilt die AI-Literacy-Pflicht nach Artikel 4 für alle Mitarbeitenden, die KI-Systeme einsetzen.

Was ist Hochrisiko-KI nach dem EU AI Act? Hochrisiko-KI-Systeme sind abschließend in Anhang III der Verordnung (EU) 2024/1689 aufgelistet. Als Hochrisiko gelten unter anderem KI-Systeme im Personalwesen (z. B. automatisierte Bewerbungsauswahl), in der Kreditvergabe, in der Versicherungswirtschaft, im Gesundheitswesen, in der Bildung, bei biometrischer Identifizierung sowie in der öffentlichen Verwaltung und bei Strafverfolgungsbehörden.

Gilt der EU AI Act auch für kleine Unternehmen? Ja. Die Verordnung (EU) 2024/1689 macht keine Ausnahme nach Unternehmensgröße. Auch KMU und Startups, die Hochrisiko-KI-Systeme betreiben, unterliegen den vollen Betreiberpflichten. Ausnahmen gibt es lediglich für Systeme, die ausschließlich für militärische Zwecke oder zur persönlichen nicht-beruflichen Nutzung entwickelt wurden.

Quellenverzeichnis

  1. EUR-Lex — Verordnung (EU) 2024/1689, Amtsblatt der EU (2024): eur-lex.europa.eu
  2. Deloitte — Branchenstudie: Deutsche Unternehmen und EU AI Act (2025): deloittelegal.de
  3. Bundesnetzagentur — KI in Unternehmen (2025): bundesnetzagentur.de
  4. Europäisches Parlament — EU AI Act (2023): europarl.europa.eu
  5. RAND Corporation — Risk-Based AI Regulation, RRA3243-3 (2024): rand.org
  6. Cambridge Core / EJRR — Truly Risk-based Regulation of AI (2024): cambridge.org
  7. Tandfonline / Risk Analysis — Possible harms of AI and the EU AI Act (2024): tandfonline.com
  8. Europäische Kommission — Weißbuch KI, COM/2020/65: ec.europa.eu
  9. Europäische Kommission — AI Act Vorschlag, COM/2021/206: ec.europa.eu
  10. Rat der EU — Politische Einigung Dezember 2023: consilium.europa.eu
  11. Europäisches Parlament — Finale Abstimmung März 2024: europarl.europa.eu
  12. Europäische Kommission — Inkrafttreten August 2024: commission.europa.eu
  13. Euronews — Digital Omnibus, November 2025: euronews.com
  14. Europäisches Parlament — Legislative Train Digital Omnibus: europarl.europa.eu
  15. EU HLEG AI — Ethics Guidelines for Trustworthy AI (2019): ec.europa.eu
← Zurück zum Blog