Zum Hauptinhalt springen
Kostenlose Diagnose

Glossar

25 Schlüsseldefinitionen der Verordnung

Pflichten

24 detaillierte Artikel mit Fristen

Zeitplan

Wichtige Termine von 2025 bis 2027

Diagnose

Identifizieren Sie Ihre Pflichten in 3 Minuten

KMU-Konformität

Prüfen Sie Ihre AI-Act-Pflichten in 30 Sekunden

Europäische Souveränität

100% in Frankreich gehostet

KI-Assistent

Kontextuelle KI mit abschnittsübergreifendem Gedächtnis

Dokumentenerstellung

Anhang-IV-konformer Text per KI generiert

Diagnose

Automatische Klassifizierung Ihres Systems

Versionierung

Vollständige Rückverfolgbarkeit Ihrer Projekte

Multi-Client

Multi-Client-Verwaltung für Agenturen

PDF-Export

Professionelle PDFs für das Audit

PreiseBlogAnmelden
ki-gesetz august 2026ki-gesetz änderungenki-gesetz compliance

KI-Gesetz: Was sich wirklich am 2. August 2026 ändert

20. März 20268 min15
KI-Gesetz: Was sich wirklich am 2. August 2026 ändert

Auf einen Blick

  • Weiterhin gültige gesetzliche Frist: Der 2. August 2026 bleibt das verbindliche Datum für Hochrisikosysteme (Anhang III) und Transparenz (Art. 50), auch während der Digital Omnibus verabschiedet wird
  • 8 Hochrisikosektoren: Biometrie, kritische Infrastruktur, Bildung, Beschäftigung, wesentliche Dienste, Strafverfolgung, Justiz und Grenzmanagement
  • Anbieter: technische Dokumentation Anhang IV, Risikomanagement (Art. 9), CE-Kennzeichnung, Registrierung in der EU-Datenbank
  • Betreiber: menschliche Aufsicht, Protokollaufbewahrung, Information betroffener Personen, Grundrechte-Folgenabschätzung (öffentlicher Sektor)
  • Transparenz für alle: Chatbots, generative KI und Deepfakes unterliegen unabhängig vom Risikoniveau Offenlegungspflichten
  • Sanktionen: bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes bei Nichteinhaltung der Hochrisikopflichten

In weniger als fünf Monaten verändert sich die europäische Regulierungslandschaft grundlegend. Am 2. August 2026 erreicht das KI-Gesetz (Verordnung EU 2024/1689) seinen strukturell wichtigsten Meilenstein: Die Pflichten für KI-Hochrisikosysteme treten in Kraft, und die Transparenzregeln werden vollständig durchsetzbar. Für Millionen europäischer Organisationen ist dies keine Frage der Vorbereitung mehr — es ist eine Frage der Compliance.

Ein wesentlicher Hinweis vorab: Der Digital Omnibus, der derzeit vom Europäischen Parlament verabschiedet wird, könnte einige dieser Pflichten auf Dezember 2027 verschieben. Bis er jedoch formell verabschiedet ist, bleibt der 2. August 2026 die gesetzlich verbindliche Frist. Dieser Artikel beschreibt, was das Gesetz heute verlangt.

Was das KI-Gesetz bereits vor August 2026 vorgeschrieben hat

Um zu verstehen, was sich im August ändert, lohnt es sich, daran zu erinnern, was bereits gilt. Das KI-Gesetz ist nicht als Gesamtpaket in Kraft getreten — es wird seit August 2024 schrittweise umgesetzt:

  • 2. Februar 2025: Verbot von Praktiken mit inakzeptablem Risiko (Artikel 5) — Social Scoring, unterschwellige Manipulation, bestimmte biometrische Echtzeit-Verwendungen. Diese Regeln sind bereits in Kraft und durchsetzbar.
  • 2. Februar 2025: KI-Literalitätspflicht (Artikel 4) — Anbieter und Betreiber müssen sicherstellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt.
  • 2. August 2025: Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI, Artikel 51–56) — bereits anwendbar auf Anbieter von Modellen wie LLMs.

Dieser schrittweise Kalender ist bewusst gewählt: Er gibt Organisationen Zeit, sich an die komplexesten Anforderungen anzupassen. Die verbleibende Zeit bis August 2026 wird nun jedoch in Wochen gemessen.

Was am 2. August 2026 in Kraft tritt

KI-Hochrisikosysteme (Anhang III)

Dies ist der Kern des August-2026-Wandels. Anhang III listet acht Bereiche auf, in denen KI-Systeme automatisch als hochriskant eingestuft werden:

  • Biometrie: biometrische Fernidentifikation, biometrische Kategorisierung, Emotionserkennung
  • Kritische Infrastruktur: Verwaltung von Strom-, Wasser-, Gas- und Verkehrsnetzen
  • Bildung und Ausbildung: Systeme zur Bestimmung des Zugangs zu Bildungseinrichtungen, Schülerbeurteilung
  • Beschäftigung und Personalwesen: Rekrutierungstools, Leistungsmanagement, Bewerberbeurteilung
  • Wesentliche Dienste: Kredit-Scoring, Versicherung, Bewertung von Sozialleistungsanträgen
  • Strafverfolgung: Erstellung von Täterprofilen, Bewertung der Beweiszuverlässigkeit, Rückfallrisikobewertung
  • Justiz und demokratische Prozesse: Unterstützung bei gerichtlichen Entscheidungen
  • Grenzmanagement: Risikobewertung von Personen an Grenzen, Dokumentenprüfung
Wenn Ihre Organisation ein KI-System in einem dieser Bereiche entwickelt oder nutzt, gelten die Pflichten des Kapitels III des KI-Gesetzes ab dem 2. August 2026 für Sie — unabhängig davon, ob das Tool intern entwickelt oder von einem SaaS-Anbieter bezogen wurde.

Transparenzpflichten für alle (Artikel 50)

Artikel 50 betrifft nicht nur Hochrisikosysteme — er gilt für alle KI-Systeme, die mit Menschen interagieren oder synthetische Inhalte erzeugen:

  • Chatbots und Konversationssysteme (Art. 50§1): Jedes System, das mit einem Menschen interagiert, muss ihn klar darüber informieren, dass er mit einer KI spricht.
  • Deepfakes und manipulierte Inhalte (Art. 50§4): Audio- oder visuelle Inhalte, die manipuliert wurden, um realen Personen zu ähneln, müssen klar als solche gekennzeichnet werden.
  • Emotionserkennung (Art. 50§3): Jede Person, die einem Emotionserkennungssystem ausgesetzt ist, muss darüber informiert werden.

Wichtiger Hinweis: Artikel 50§2 (maschinenlesbare Kennzeichnung KI-generierter Inhalte) ist das einzige Element, das möglicherweise verschoben wird — auf den 2. November 2026 gemäß der Parlamentsposition zum Digital Omnibus. Alle anderen Artikel-50-Pflichten bleiben bei August 2026.

Was das für Anbieter bedeutet

Wenn Sie ein Hochrisiko-KI-System entwickeln und vermarkten, sind Sie Anbieter im Sinne von Artikel 3. Ihre Pflichten ab August 2026 sind erheblich:

  • Technische Dokumentation (Art. 11 + Anhang IV): eine vollständige Akte mit 9 Abschnitten zu Systembeschreibung, Architektur, Datenverwaltung, Risikomanagement, Leistungsmetriken, Gebrauchsanweisung, Post-Markt-Überwachung, Qualitätsmanagementsystem und Konformitätserklärung.
  • Risikomanagementsystem (Art. 9): ein kontinuierlicher Prozess zur Identifizierung, Bewertung und Minderung von Risiken während des gesamten Lebenszyklus des Systems.
  • Datenverwaltung (Art. 10): Trainingsdatensätze müssen dokumentiert, repräsentativ und einer Bias-Analyse unterzogen werden.
  • Menschliche Aufsicht (Art. 14): Das System muss so gestaltet sein, dass ein Mensch seinen Betrieb überwachen, verstehen und eingreifen kann.
  • CE-Kennzeichnung + Konformitätserklärung (Art. 47–49): formelle Bestätigung der Konformität vor dem Inverkehrbringen.
  • Registrierung in der EU-Datenbank (Art. 71): Pflichtregistrierung vor der Inbetriebnahme für die meisten Hochrisikosysteme.

Die Erstellung dieser Dokumentation wird für ein komplexes System auf 40 bis 80 Stunden geschätzt. AiActo strukturiert diesen Prozess Abschnitt für Abschnitt mit einem kontextuellen KI-Assistenten und reduziert diese Vorbereitungszeit erheblich.

Was das für Betreiber bedeutet

Wenn Sie ein von einem Dritten entwickeltes Hochrisiko-KI-System nutzen, sind Sie Betreiber im Sinne von Artikel 3. Ihre Pflichten sind eigenständig, aber ebenso real:

  • Effektive menschliche Aufsicht (Art. 26§2): Sie müssen Verfahren einrichten, die es einer qualifizierten Person ermöglichen, das System zu überwachen, seine Ausgaben zu interpretieren und einzugreifen oder es bei Bedarf zu stoppen.
  • Protokollaufbewahrung (Art. 26§6): Automatisch generierte Protokolle müssen mindestens sechs Monate aufbewahrt werden.
  • Information betroffener Personen (Art. 26§6 + Art. 50): Jede Person, die einer Entscheidung unterliegt, die von einem Hochrisikosystem beeinflusst wird, muss darüber informiert werden.
  • Nutzung gemäß Anbieteranweisungen (Art. 26§1): Sie dürfen das System nicht über seinen vorgesehenen Verwendungszweck hinaus einsetzen, ohne die Anbieterverantwortung zu übernehmen.
  • Grundrechte-Folgenabschätzung — FRIA (Art. 27): für Behörden und bestimmte Betreiber wesentlicher Dienste vor der Inbetriebnahme obligatorisch.

Die geltenden Sanktionen

Das KI-Gesetz sieht ein progressives und abschreckendes Sanktionsregime vor, das ab August 2026 durchsetzbar ist:

  • Bis zu 35 Mio. € oder 7 % des weltweiten Umsatzes für verbotene Praktiken (Artikel 5) — bereits seit Februar 2025 durchsetzbar
  • Bis zu 15 Mio. € oder 3 % des weltweiten Umsatzes bei Nichteinhaltung der Hochrisikopflichten
  • Bis zu 7,5 Mio. € oder 1 % des weltweiten Umsatzes bei unrichtigen Angaben gegenüber Behörden

Was Sie vor dem 2. August 2026 erledigt haben müssen

  1. Ihre KI-Systeme klassifizieren — ermitteln Sie, welche unter Anhang III fallen, welche Artikel 50 unterliegen und welche ein minimales Risiko aufweisen.
  2. Ihre Rolle bestimmen — Anbieter, Betreiber oder beides? Diese Rolle bestimmt die Gesamtheit Ihrer Pflichten.
  3. Ihre SaaS-Anbieter prüfen — fragen Sie Ihre KI-Anbieter, ob sie konform sind, ob sie technische Dokumentation haben und ob sie in der EU-Datenbank registriert sind.
  4. Ihre Dokumentationsakte aufbauen — auch als Betreiber müssen Sie Ihre menschlichen Aufsichtsprozesse nachweisen können.
  5. Ihre Nutzer informieren — aktualisieren Sie Ihre Rechtshinweise, Schnittstellen und Kommunikation gemäß Artikel 50.

Die kostenlose AiActo-Diagnose ermöglicht es Ihnen, die Schritte 1 und 2 in weniger als 3 Minuten durchzuführen — und eine personalisierte Zusammenfassung Ihrer Pflichten vor der Frist zu erhalten.

Häufig gestellte Fragen

Was passiert, wenn der Digital Omnibus vor August 2026 verabschiedet wird?

Wird der Digital Omnibus vor dem 2. August 2026 verabschiedet — was das erklärte Ziel der EU-Institutionen ist — würden die Pflichten für Anhang-III-Hochrisikosysteme auf den 2. Dezember 2027 verschoben. Die am 18. März 2026 verabschiedete Position des Europäischen Parlaments unterstützt diese Verschiebung. Bis der Text jedoch formell im EU-Amtsblatt veröffentlicht ist, bleibt der 2. August 2026 die gesetzliche Frist.

Mein KI-System war bereits vor August 2026 im Einsatz — bin ich befreit?

Teilweise. Artikel 111 sieht vor, dass Systeme, die bereits vor Inkrafttreten der Pflichten auf dem Markt waren, von einer Übergangsfrist profitieren — vorausgesetzt, sie werden nicht wesentlich verändert. Ändert sich Ihr System, gelten die neuen Pflichten. Und diese Ausnahme ist selbst an Daten gebunden, die sich mit dem Digital Omnibus ändern können.

Wie erkenne ich, ob mein System hochriskant ist?

Die Klassifizierung beruht auf zwei Kriterien: dem Anwendungsbereich (Anhang III) und der Art des Systems. Ein KI-gestütztes Bewerbungsscreening-Tool ist per Definition hochriskant. Ein Marketing-Textgenerator im Allgemeinen nicht. Im Zweifelsfall wendet die AiActo-Diagnose die Anhang-III-Logik in wenigen Fragen auf Ihren spezifischen Fall an.

Gelten die Pflichten auch für KI-Tools, die nur intern genutzt werden?

Ja, sofern das System unter Anhang III fällt und die von seinen Entscheidungen betroffenen Personen Individuen sind — Mitarbeitende, Bewerber, Kunden. Ein KI-gestütztes Leistungsmanagement-Tool fällt in den Anwendungsbereich des KI-Gesetzes, auch wenn es nie vermarktet wird.

Was ist der Unterschied zwischen August 2026 und August 2027?

August 2026: Hochrisikosysteme des Anhangs III und Transparenzpflichten (Art. 50). August 2027: Hochrisikosysteme, die in Produkte eingebettet sind, die anderen EU-Rechtsvorschriften unterliegen (Anhang I — Medizinprodukte, Maschinen, Funkanlagen). Letztere profitieren von zusätzlicher Zeit, da ihre Compliance komplexere sektorale Zertifizierungsverfahren erfordert.

Der 2. August 2026 ist keine abstrakte Bedrohung — es ist ein Datum, das in einem im Amtsblatt der Europäischen Union veröffentlichten Text verankert ist. Unabhängig vom Ausgang des Digital Omnibus werden Organisationen, die ihre Compliance vor diesem Datum strukturiert haben, besser geschützt, besser dokumentiert und besser positioniert sein. Verfolgen Sie den vollständigen KI-Gesetz-Zeitplan auf AiActo, um alle Schritte des regulatorischen Kalenders zu visualisieren.

Diesen Artikel teilen

Ähnliche Artikel

AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert
ai act août 2026systèmes ia haut risqueobligations ai act

AI Act August 2026: Was sich für Hochrisiko-KI-Systeme und Transparenzpflichten ändert

Am 2. August 2026 treten die AI Act-Verpflichtungen für Hochrisiko-KI-Systeme (Anhang III) und Transparenzregeln (Artikel 50) in Kraft. Hier erfahren Sie, was sich konkret für Anbieter und Betreiber ändert und wie Sie sich vorbereiten können.

9. Februar 202610 min