Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Ihre Vorschriften werden stufenweise anwendbar.
Verordnung (EU) 2024/1689

Der EU AI Act für Unternehmen.

Ein kompakter Überblick: was die Verordnung (EU) 2024/1689 über künstliche Intelligenz, im Folgenden EU AI Act, regelt, welche Rollen sie unterscheidet, welche Risikoklassen es gibt und welche Schritte sich für mittelständische Unternehmen anbieten. Verständlich, mit Verweisen auf die offiziellen Quellen - aber ausdrücklich keine Rechtsberatung.

Stufenweise Rollen Risiken Typische Fragen Quellen
01

Der EU AI Act gilt stufenweise.

Die Verordnung (EU) 2024/1689 trat am 1. August 2024 in Kraft. Ihre Vorschriften werden stufenweise anwendbar. Verschiedene Pflichten greifen zu unterschiedlichen Zeitpunkten. Die maßgebliche, tagesaktuelle Darstellung der Geltungstermine pflegt die Europäische Kommission selbst.

1

Inkrafttreten

Die Verordnung ist am 01. August 2024 in Kraft getreten. Damit beginnt der Lauf der gestaffelten Geltungstermine.

01.08.2024
2

Verbote und AI Literacy

Sechs Monate nach Inkrafttreten greifen die Verbote nach Art. 5 sowie die Anforderungen an AI Literacy nach Art. 4.

ab 02.02.2025
3

GPAI-Pflichten und Governance

Zwölf Monate nach Inkrafttreten greifen die GPAI-Pflichten und große Teile der Governance-Vorschriften.

ab 02.08.2025
4

Hochrisiko-Pflichten

Der aktuell veröffentlichte Ausgangstext der Verordnung nennt für viele Hochrisiko-Pflichten nach Annex III den 2. August 2026. Über eine Verschiebung dieses Termins haben sich Rat und Europäisches Parlament am 7. Mai 2026 vorläufig geeinigt; die formale Annahme steht noch aus (Stand 14. Juni 2026).

geltender Ausgangstext vorläufig vereinbarte Änderung formale Annahme ausstehend
02.08.2026 / vorgesehen verschoben

Status der Hochrisiko-Termine (Stand 14. Juni 2026)

  • 2. August 2026 Der aktuell veröffentlichte Ausgangstext der Verordnung nennt für viele Hochrisiko-Pflichten den 2. August 2026. geltender Ausgangstext
  • 7. Mai 2026 Rat und Europäisches Parlament haben am 7. Mai 2026 eine vorläufige Einigung über eine Verschiebung erzielt. vorläufig vereinbarte Änderung
  • 2. Dezember 2027 Vorgesehener neuer Termin für eigenständige Hochrisikosysteme nach Annex III. vorläufig vereinbarte Änderung
  • 2. August 2028 Vorgesehener neuer Termin für Hochrisikosysteme, die in regulierte Produkte eingebettet sind. vorläufig vereinbarte Änderung
  • offen Die Einigung ist noch formell anzunehmen. formale Annahme ausstehend

Beide Zeitlinien stehen hier bewusst nebeneinander: Weder der Ausgangstext mit dem 2. August 2026 noch die vorgesehenen Termine am 2. Dezember 2027 und 2. August 2028 dürfen als unumstößlich oder final dargestellt werden, solange die Verschiebung nicht formell angenommen ist. Maßgeblich bleiben die offiziellen Quellen der EU.

Die Zusammenstellung ist eine Orientierung. Für verbindliche Angaben zu Geltungsterminen, Übergangsfristen und Ausnahmen sind ausschließlich die offiziellen Quellen der EU maßgeblich.

02

Vier Rollen, vier Pflichtprofile.

Die Verordnung unterscheidet Provider, Deployer, Importeur und Distributor. Aus der Rolle ergeben sich die konkreten Pflichten. Eine Organisation kann gleichzeitig mehrere Rollen einnehmen.

01

Provider

Wer ein KI-System entwickelt, in Verkehr bringt oder in Betrieb nimmt - unter eigenem Namen oder eigener Marke. Höchste Pflichtendichte bei Hochrisiko-Systemen: Risiko- und Qualitätsmanagement, technische Dokumentation, Konformitätsbewertung, EU-Datenbank-Eintrag.

02

Deployer

Wer ein KI-System in der eigenen Tätigkeit einsetzt. Pflichten u.a. zur Sicherstellung menschlicher Aufsicht, zur Einhaltung der Anbieterhinweise, zur Information betroffener Personen und in Pflichtfällen zur Durchführung einer FRIA.

03

Importeur

Wer ein KI-System aus einem Drittland in die EU einführt. Sorgfaltspflichten u.a. zur Prüfung der Konformität, zur Verifikation der CE-Kennzeichnung und der mitgelieferten Dokumentation.

04

Distributor

Wer ein KI-System auf dem EU-Markt bereitstellt, ohne Provider oder Importeur zu sein. Pflichten zur Sichtprüfung von Kennzeichnung und Dokumentation, Mitwirkung bei Marktüberwachung.

Wichtig: Wer ein bestehendes KI-System wesentlich verändert oder unter eigenem Namen anbietet, kann zum Provider werden - mit den entsprechenden Pflichten. CompliKI hilft bei dieser Abgrenzung.

03

Vier Risikoklassen.

Die Verordnung kategorisiert KI-Systeme nach ihrem Risiko. Die Risikoklasse bestimmt, welche Pflichten greifen.

I

Verbotene Praktiken (Art. 5)

Bestimmte KI-Anwendungen sind in der EU verboten: z.B. soziale Bewertung durch Behörden, bestimmte biometrische Echtzeit-Identifikation in öffentlichem Raum, manipulative Techniken mit erheblichem Schadenspotenzial.

II

Hochrisiko-Systeme (Art. 6, Annex III)

KI-Systeme in sensiblen Bereichen wie Beschäftigung, Bildung, Strafverfolgung, Migration, kritischer Infrastruktur oder bei der Bewertung von Kreditwürdigkeit. Umfangreiche Pflichten bei Provider und Deployer.

III

Begrenztes Risiko

Systeme mit Transparenz-Pflichten - z.B. Chatbots, Deepfakes, KI-generierte Inhalte, Emotionserkennung. Pflicht zur Information der Nutzer und zur klaren Kennzeichnung.

IV

Minimales Risiko

Die große Mehrheit der KI-Systeme. Keine spezifischen Pflichten nach EU AI Act, allgemeine Regeln (DSGVO, Produktsicherheit, Haftung, branchenspezifisches Recht) gelten unverändert.

Zusätzlich gelten für General-Purpose-AI (GPAI) eigene Transparenz- und Dokumentationspflichten, mit weitergehenden Pflichten für GPAI mit systemischem Risiko.

04

Typische Unternehmensfragen.

Was wir aus Gesprächen mit kleinen und mittleren Unternehmen am häufigsten hören - und wie man damit pragmatisch umgeht.

Bin ich überhaupt betroffen, wenn ich nur ChatGPT für Texte nutze?
Das hängt vom konkreten Einsatzzweck ab. Reine Texterstellung ohne weitreichende Entscheidungen kann oft als minimal- oder begrenzt-risiko-Anwendung eingeordnet werden - dann gelten vor allem Transparenz-Pflichten gegenüber Nutzern und betroffenen Personen. Wird das System für sensible Entscheidungen (HR, Kredit, Strafverfolgung) genutzt, ändert sich das schnell. Der Schnell-Check liefert eine erste Einordnung.
Was ist der Unterschied zwischen Provider und Deployer für mich?
Kurz gesagt: Wer ein KI-System einkauft und unverändert in der eigenen Organisation einsetzt, ist meist Deployer. Wer das System wesentlich verändert oder unter eigenem Namen anbietet, kann zum Provider werden. Die Pflichten unterscheiden sich erheblich. Die Rollenbestimmung ist ein zentraler Schritt im CompliKI-Wizard.
Muss ich für jedes interne KI-Tool eine Dokumentation pflegen?
Für minimale Risiken besteht keine gesetzliche Dokumentationspflicht aus dem EU AI Act. Empfehlenswert ist trotzdem ein Inventar - schon aus DSGVO- und IT-Governance-Gründen. Für Hochrisiko-Systeme ist Annex-IV-Dokumentation Pflicht.
Was passiert, wenn ich Fristen nicht einhalte?
Der EU AI Act sieht abgestufte Sanktionen vor. Wesentlich sind aber die zuständigen nationalen Aufsichtsbehörden und deren konkrete Verfahren. Pauschale Aussagen zu Bußgeldhöhen sind im Einzelfall wenig hilfreich. CompliKI fokussiert darauf, einen prüfbaren Arbeitsstand aufzubauen.
Wo finde ich die offizielle Rechtslage?
Maßgeblich ist die Verordnung (EU) 2024/1689 im EUR-Lex sowie die laufenden Informationen der Europäischen Kommission und der nationalen Aufsichtsbehörden. Direkte Links siehe Abschnitt Offizielle Quellen.
05

Grenzen pauschaler Aussagen.

Der EU AI Act lässt sich nicht in einen Satz pressen. Die folgenden Hinweise sollen helfen, häufige Vereinfachungen einzuordnen.

Was wir hier ausdrücklich nicht tun

  • Keine Rechtsberatung: Die Inhalte auf dieser Seite ersetzen keine individuelle juristische Würdigung des Einzelfalls.
  • Keine verbindliche Aussage zu Bußgeldern: Bußgeldhöhen hängen von Verstoß, Verhalten, Größe und nationaler Praxis ab.
  • Keine Bewertung konkreter Produkte: Aussagen zu einzelnen Tools ergeben sich erst nach strukturierter Erfassung im Inventar.
  • Keine Garantie der Tagesaktualität: Die Verordnung und die Anwendungspraxis entwickeln sich weiter. Wir aktualisieren laufend, geben aber keine Garantie auf jederzeitige Vollständigkeit.
Für verbindliche Aussagen sind die offiziellen Quellen und qualifizierte Beraterinnen oder Berater zuständig. CompliKI hilft, die nötige Vorarbeit strukturiert zu leisten.
06

Offizielle Quellen.

Diese Links führen direkt zu den maßgeblichen Inhalten der EU und ihrer Institutionen.

Maßgebliche Texte und Übersichten

Rechtsstand der Website: Juni 2026 (Stand 14. Juni 2026)

Vom Wissen zur Umsetzung.

Starte mit dem kostenlosen Schnell-Check oder direkt mit der strukturierten Erfassung in CompliKI.

Kostenlosen Schnell-Check starten Funktionen ansehen