Der AI Act kommt: Ihr Fahrplan zur Compliance für 2025 und 2026

28.07.2025

Der Countdown läuft unaufhaltsam: Der AI Act, das weltweit erste umfassende Gesetz zur Regulierung von Künstlicher Intelligenz, tritt stufenweise in Kraft. Für Unternehmen ist es jetzt höchste Zeit, die reaktive Haltung abzulegen und proaktiv zu handeln. Wer die kommenden Fristen ignoriert, riskiert nicht nur empfindliche Bußgelder, sondern auch den Verlust von Wettbewerbsvorteilen. Doch keine Sorge: Mit einem klaren Fahrplan können Sie die anstehenden Hürden meistern. Dieser Beitrag zeigt Ihnen die entscheidenden Deadlines für 2025 und 2026 und gibt Ihnen konkrete Handlungsempfehlungen an die Hand.

Der Zeitplan: Was wann auf Sie zukommt 

Der AI Act wird nicht an einem einzigen Tag vollständig wirksam, sondern folgt einem gestaffelten Zeitplan. Diese gestreckte Einführung gibt Unternehmen Zeit zur Anpassung – eine Zeit, die Sie unbedingt nutzen sollten.

Mitte 2025: Die ersten Verbote und Pflichten greifen

Bereits sechs Monate nach dem offiziellen Inkrafttreten des Gesetzes, also Anfang und Mitte 2025, werden die ersten, sehr konkreten Regeln scharfgeschaltet.

  • Verbotene KI-Systeme: Ab diesem Zeitpunkt sind KI-Anwendungen, die ein „inakzeptables Risiko“ für die Grundrechte darstellen, EU-weit verboten. Dazu gehören beispielsweise:
    • Systeme für Social Scoring durch staatliche Stellen.
    • KI, die menschliches Verhalten manipulieren kann, um Personen zu schaden.
    • Die undifferenzierte Auswertung von Gesichtsbildern aus dem öffentlichen Raum zur Erstellung von Datenbanken (sog. „untargeted scraping“).
  • Pflichten für Generative KI: Auch erste Transparenzpflichten für KI-Modelle wie ChatGPT treten in Kraft. Entwickler müssen ihre Modelle robuster und transparenter gestalten.

2026: Der Fokus auf Hochrisiko-Systeme

Die nächste Stufe zündet 2026 und betrifft das Herzstück des AI Acts: die sogenannten Hochrisiko-KI-Systeme. Dies sind Anwendungen, bei denen ein hohes Potenzial für Schäden an Gesundheit, Sicherheit oder Grundrechten besteht.

  • Strenge Anforderungen: Für diese Systeme gelten dann umfangreiche Pflichten, darunter die Einrichtung eines Risikomanagementsystems, die Erstellung einer umfassenden technischen Dokumentation, die Gewährleistung menschlicher Aufsicht und hohe Standards an Cybersicherheit.
  • Betroffene Bereiche: Beispiele für Hochrisiko-Anwendungen sind KI-Systeme im Personalwesen (z.B. zur Bewerberauswahl), in der kritischen Infrastruktur (z.B. Steuerung von Stromnetzen), in der medizinischen Diagnostik oder bei der Kreditwürdigkeitsprüfung.

2027: Die volle Welle

Zwei Jahre nach Inkrafttreten, also voraussichtlich Mitte 2026, entfaltet der AI Act seine volle Wirkung. Ab diesem Zeitpunkt müssen alle Regelungen des Gesetzes von allen betroffenen Akteuren – Anbietern, Händlern, Importeuren und Anwendern von KI – vollständig umgesetzt sein. Spätestens dann müssen alle Konformitätsbewertungen abgeschlossen und alle KI-Systeme, die in der EU auf den Markt gebracht oder genutzt werden, den Anforderungen entsprechen.

Ihr Praxis-Fahrplan: 5 Handlungsempfehlungen zur Vorbereitung 

Abwarten ist keine Option. Beginnen Sie jetzt mit der Umsetzung, um nicht von den Ereignissen überrollt zu werden.

  1. KI-Inventur durchführen: Was nutzen wir überhaupt?

Der erste und wichtigste Schritt ist, sich einen Überblick zu verschaffen. Viele Unternehmen wissen gar nicht, wo überall KI-Anwendungen im Einsatz sind – von der HR-Software über das CRM-System bis hin zu Analyse-Tools im Marketing.

  • Handlungsempfehlung: Erstellen Sie ein zentrales Verzeichnis aller im Unternehmen genutzten KI-Systeme. Dokumentieren Sie den Zweck, den Anbieter und welche Art von Daten verarbeitet werden.
  1. Risikobewertung vornehmen: Sind wir “Hochrisiko”?

Gleichen Sie Ihre KI-Inventarliste mit den Kriterien des AI Acts ab. Die entscheidende Frage lautet: Fällt eines Ihrer Systeme unter die Kategorie „Hochrisiko“?

  • Handlungsempfehlung: Führen Sie eine Ersteinschätzung durch. Prüfen Sie insbesondere KI in den Bereichen Personal, kritische Infrastruktur, Bildung und bei der Vergabe von Krediten oder Versicherungen. Ziehen Sie im Zweifel externen juristischen Rat hinzu.
  1. Anbieter in die Pflicht nehmen: Verträge prüfen und anpassen

Wenn Sie KI-Systeme von Drittanbietern nutzen, sind Sie als Anwender ebenfalls in der Pflicht. Sie müssen sicherstellen, dass die von Ihnen eingesetzte KI konform ist.

  • Handlungsempfehlung: Gehen Sie proaktiv auf Ihre KI-Dienstleister zu. Fordern Sie Informationen zur AI-Act-Konformität an und bestehen Sie auf vertraglichen Zusicherungen und Freistellungsklauseln. Passen Sie Ihre Einkaufsbedingungen für neue Software an.
  1. Interne Zuständigkeiten schaffen: Wer ist der “KI-Beauftragte”?

Die Umsetzung des AI Acts ist kein reines IT-Thema, sondern erfordert eine Zusammenarbeit von Rechtsabteilung, IT, Einkauf und den jeweiligen Fachbereichen.

  • Handlungsempfehlung: Benennen Sie einen zentralen Verantwortlichen oder ein kleines Team, das die Umsetzung koordiniert. Schaffen Sie Bewusstsein im gesamten Unternehmen durch gezielte Schulungen für Mitarbeiter und Führungskräfte.
  1. Dokumentation und Prozesse aufbauen (insbesondere für Hochrisiko-KI)

Sollten Sie Hochrisiko-KI einsetzen oder selbst entwickeln, ist eine lückenlose Dokumentation der Dreh- und Angelpunkt der Compliance.

  • Handlungsempfehlung: Beginnen Sie frühzeitig mit dem Aufbau der geforderten Strukturen. Implementieren Sie ein Risikomanagementsystem und schaffen Sie die Prozesse für die technische Dokumentation, Protokollierung und die menschliche Aufsicht. Diese Prozesse sind komplex und benötigen Zeit zur Etablierung.

Fazit: Die Zeit zu handeln ist jetzt

Der AI Act stellt für viele Unternehmen eine Herausforderung dar, birgt aber auch eine Chance: Wer sich frühzeitig mit den Anforderungen auseinandersetzt, schafft nicht nur Rechtssicherheit, sondern positioniert sich auch als vertrauenswürdiger und zukunftsfähiger Partner am Markt. Der gestaffelte Zeitplan verschafft Ihnen die nötige Atempause zur Vorbereitung. Nutzen Sie diese Fristen – denn die volle Anwendbarkeit des AI Actes und erste Bußgelder sind schneller da, als Sie denken.

Justyna Rulewicz

Justyna Rulewicz

RECHTSANWÄLTIN / GESCHÄFTSFÜHRENDE PARTNERIN (CEO)

Profil ansehen
Piotr Stojgniew Maluszczak

Piotr Stojgniew Maluszczak

RECHTSANWALT/WIRSTSCHAFTSMEDIATOR

Profil ansehen

Weitere Artikel

10.11.2025

Ethik als Kern der unternehmerischen KI-Nutzung

Warum “KI-Ethik” geschäftskritisch ist Die Debatte um Künstliche Intelligenz (KI)…

Weiterlesen
28.10.2025

Das Hinweisgeberschutzgesetz (HinSchG) und digitale Meldesysteme: Anforderungen an Informationssicherheit und Datenschutz

Das Hinweisgeberschutzgesetz verpflichtet Unternehmen mit mindestens 50 Beschäftigten zur Einrichtung…

Weiterlesen
13.10.2025

Der relative Anonymisierungsbegriff und seine Folgen für die Praxis

Im Zuge der Entwicklung der Datenwirtschaft in Europa spielen Anonymisierungen…

Weiterlesen
ALLE ARTIKEL

Bleiben Sie auf dem Laufenden!

Alle wichtigen Neuigkeiten zu DataLaw einmal im Monat in Ihrem Postfach.