Zum Inhalt springen
compliance advisory
Erstgespräch vereinbaren
EU AI Act Fristen 2025–2027: Der Zeitplan im Überblick
EU AI ActZuletzt aktualisiert: 2026-06-23

EU AI Act Fristen: Der komplette Zeitplan 2025 bis 2027

Zuletzt aktualisiert: 23.06.2026

Wer wissen will, welche EU AI Act Fristen wann greifen, findet im Verordnungstext vor allem eines: eine gestaffelte Liste an Stichtagen, die sich über mehrere Jahre zieht – und mindestens einen Termin, der gerade in Bewegung ist. Dieser Ratgeber sortiert den AI-Act-Zeitplan chronologisch, sagt Ihnen zu jedem Datum, was konkret zu tun ist, und benennt offen, wo die Lage noch nicht endgültig feststeht. So sehen Sie in wenigen Minuten, ob bei Ihnen eine Frist bereits läuft.

Zur AI-Act-Beratung – wir klären Ihre Betroffenheit und priorisieren Ihre Fristen.

Hinweis: Dieser Beitrag ist eine Orientierungshilfe und ersetzt keine Rechtsberatung im Einzelfall. Alle Angaben entsprechen dem Stand 23.06.2026; bei tagesaktuellen Veröffentlichungen – insbesondere zur Verschiebung der Hochrisiko-Pflichten – bitte die Primärquelle (EUR-Lex/EU-Amtsblatt) gegenprüfen.

Das Problem: „in Kraft" heißt nicht „alles gilt sofort"

Der EU AI Act ist seit dem 1. August 2024 in Kraft – aber er wird stufenweise wirksam. Genau das führt im Mittelstand zu einem teuren Missverständnis: Viele Geschäftsleitungen warten auf den „einen" Stichtag, ab dem das Gesetz greift. Den gibt es nicht. Einige Pflichten sind längst aktiv, andere folgen erst Jahre später. Wer den Zeitplan nicht kennt, übersieht leicht, dass die für fast alle Unternehmen relevanteste Pflicht – die KI-Kompetenz – bereits gilt.

Die gute Nachricht: Der AI-Act-Zeitplan ist überschaubar, sobald man ihn einmal sauber aufgereiht hat. Genau das tun wir hier.

Der EU-AI-Act-Zeitplan auf einen Blick

DatumWas greiftStatus
2. Februar 2025KI-Kompetenzpflicht (Art. 4) – für jeden, der KI nutzt, auch bei reiner ChatGPT-/Copilot-Nutzungaktiv
2. August 2025Sanktionsrahmen (Art. 99) + Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI)aktiv
2. August 2026Pflichten für Hochrisiko-KI nach Annex IIIrechtlich maßgeblich
voraussichtlich 2. Dezember 2027mögliche Verschiebung der Annex-III-Pflichten (Digital Omnibus)noch nicht im Amtsblatt

Die einzelnen Stationen im Detail:

2. Februar 2025 – die Frist, die fast alle betrifft

Seit dem 2. Februar 2025 gilt die KI-Kompetenzpflicht aus Art. 4. Sie verpflichtet jedes Unternehmen, das KI einsetzt, dafür zu sorgen, dass die einsetzenden Mitarbeitenden über ausreichende KI-Kompetenz verfügen – also Funktionsweise, Grenzen und Risiken der genutzten Systeme angemessen verstehen. Das gilt ausdrücklich auch für die bloße Nutzung von Tools wie ChatGPT oder Microsoft Copilot. Diese Frist ist abgelaufen – die Pflicht besteht also bereits.

Was zu tun ist: Mitarbeitende schulen, eine KI-Richtlinie aufsetzen und die Schulung dokumentieren.

2. August 2025 – Sanktionen und GPAI

Seit dem 2. August 2025 sind der Sanktionsrahmen (Art. 99) sowie die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) wirksam. Der Sanktionsrahmen bedeutet: Verstöße können ab diesem Datum geahndet werden. Die GPAI-Pflichten (Transparenz, Dokumentation) treffen primär die Anbieter großer Sprachmodelle – nicht die Unternehmen, die solche Modelle nur nutzen.

Was zu tun ist: Für die meisten Mittelständler nichts Zusätzliches – aber wissen, dass Sanktionen jetzt greifen.

2. August 2026 – Hochrisiko-KI (Annex III)

Zum 2. August 2026 greifen die Pflichten für Hochrisiko-KI nach Annex III – das strengste Regime des EU AI Act mit Risikomanagement, Datenqualität, technischer Dokumentation, menschlicher Aufsicht und Konformitätsbewertung. Betroffen sind unter anderem bestimmte KI-Systeme in den Bereichen Beschäftigung (z. B. Bewerber-Vorauswahl), Kreditwürdigkeitsprüfung, kritische Infrastruktur oder Bildung.

Was zu tun ist: Prüfen, ob eine Ihrer Anwendungen unter Annex III fällt – HR- und Scoring-Tools sind die häufigsten unentdeckten Fälle.

Voraussichtlich 2. Dezember 2027 – die Frist in Bewegung

Hier wird es wichtig, genau zu sein. Eine Verschiebung der Annex-III-Pflichten vom 2. August 2026 auf voraussichtlich den 2. Dezember 2027 ist politisch beschlossen: Das Europäische Parlament hat dem sogenannten Digital Omnibus am 16. Juni 2026 zugestimmt. Diese Verschiebung ist jedoch noch nicht im EU-Amtsblatt veröffentlicht. Rechtlich verbindlich bleibt deshalb bis zur Veröffentlichung weiterhin der 2. August 2026.

Was zu tun ist: Nicht auf die Verschiebung verlassen. Planen Sie so, dass Sie unabhängig vom finalen Termin auf der sicheren Seite sind – wer früh strukturiert, hat in jedem Szenario einen Vorsprung.

Was passiert bei einem Fristverstoß?

Verstöße gegen den EU AI Act können seit dem 2. August 2025 sanktioniert werden. Den höchsten Rahmen sieht Art. 99 für verbotene Praktiken vor: bis zu 35 Mio. € oder 7 % des weltweiten Jahresumsatzes – maßgeblich ist der höhere Betrag. Für kleine und mittlere Unternehmen gilt eine oft übersehene Erleichterung: Hier ist jeweils der niedrigere der beiden Werte maßgeblich (Art. 99 Abs. 6). Andere Verstöße – etwa gegen Hochrisiko- oder Transparenzpflichten – sind mit geringeren Höchstbeträgen belegt.

Zur Einordnung der Aufsicht: In Deutschland soll voraussichtlich die Bundesnetzagentur über die neu geschaffene KI-Marktüberwachungs- und Innovationsstelle (KI-MIG) zuständig sein. Der Bundestag hat dem Gesetz am 11. Juni 2026 zugestimmt; die Zustimmung des Bundesrats steht noch aus.

Ihre 4-Schritte-Reaktion auf den Zeitplan

  1. Bestand prüfen: Welche KI nutzen Sie heute – inklusive der „Schatten-KI", die Teams eigeninitiativ einsetzen?
  2. Frist zuordnen: Was ist bei Ihnen schon aktiv (Art. 4!) und was steht an (Annex III)?
  3. Lücken schließen: Schulung, KI-Richtlinie und Datenschutz dort priorisieren, wo eine Frist bereits läuft.
  4. Dokumentieren: Klassifizierung und Maßnahmen so festhalten, dass Sie Ihre Konformität auf Knopfdruck belegen können.

Mini-Fazit

Der entscheidende Punkt ist nicht der ferne Hochrisiko-Termin, sondern die Frist, die längst läuft: Die KI-Kompetenzpflicht gilt seit dem 2. Februar 2025 für praktisch jedes Unternehmen, das KI nutzt. Der Rest des AI-Act-Zeitplans baut darauf auf. Wer jetzt sein KI-Inventar erstellt und schult, ist unabhängig davon, ob die Annex-III-Pflichten 2026 oder erst 2027 greifen, auf der sicheren Seite. Den vollständigen Themenüberblick mit Risikoklassen und Pflichten finden Sie auf unserer Themenseite EU AI Act.

Zur AI-Act-Beratung

Sie wollen wissen, welche dieser Fristen konkret auf Ihr Unternehmen zutrifft – und in welcher Reihenfolge Sie sie abarbeiten? Die vsquadrat compliance advisory GmbH klärt Ihre Betroffenheit, klassifiziert Ihre KI-Anwendungen und baut Governance sowie KI-Kompetenz auf – pragmatisch, risikobasiert und ohne erzwungene Langfristbindung.

Zur AI-Act-Beratung

Ihr Kontakt: vsquadrat compliance advisory GmbH Kleiner Burstah 12, 20457 Hamburg Tabea Lehnert, Managing Director · tabea@vsquadrat.de · +49 151 40701461 Team Legal · legal@vsquadrat.dewww.vsquadrat.de

Über die Autorin: Tabea Lehnert ist Managing Director Legal, Compliance & Datenschutz bei der vsquadrat compliance advisory GmbH. Als Wirtschaftsjuristin (LL.M.) und TÜV-zertifizierte Datenschutzbeauftragte & Compliance Officerin berät sie zu KI unter anderem in parlamentarischen Gremien sowie im Bundesministerium für Digitales und Staatsmodernisierung.

Zuletzt aktualisiert: 23.06.2026. Alle regulatorischen Angaben nach bestem Wissen zum Stand 23.06.2026; bei tagesaktuellen Veröffentlichungen (insbesondere Digital Omnibus / Verschiebung der AI-Act-Hochrisiko-Pflichten) bitte die Primärquelle gegenprüfen. Dieser Text ersetzt keine Rechtsberatung im Einzelfall.

Kostenloses Erstgespräch

Lassen Sie uns sprechen.

Unverbindlich, kostenfrei und konkret: Wir klären Ihren Bedarf und stellen die passenden Bausteine zusammen.

Antwort i. d. R. innerhalb von 24 Stunden. Keine Kosten, keine Verpflichtung.