EU AI Act / KI-Verordnung: Was sich am 2. August 2026 noch ändert — und wie Sie auf eine Compliance-Anfrage reagieren

Kurze Antwort: Der 2. August 2026 bleibt ein zentrales Datum der KI-Verordnung, doch seine genaue Wirkung wird nun durch den Digital-Omnibus zur KI beeinflusst. Nach der ursprünglichen Verordnung (EU) 2024/1689 wurden an diesem Tag die meisten verbleibenden Bestimmungen anwendbar, einschließlich der Pflichten für Hochrisiko-KI-Systeme und des Sanktionsrahmens. Eine vorläufige politische Einigung vom 7. Mai 2026 würde die Hochrisiko-Pflichten für eigenständige Anhang-III-Systeme jedoch bis zum 2. Dezember 2027 und für in regulierte Produkte eingebettete KI bis zum 2. August 2028 verschieben. Mehrere Transparenzpflichten und durchsetzungsbezogene Regeln machen den 2. August 2026 dennoch für viele Organisationen wichtig.

Die KI-Verordnung ist das weltweit erste umfassende Gesetz zur künstlichen Intelligenz und tritt schrittweise über mehrere Jahre in Kraft. Der Meilenstein 2. August 2026 galt lange als das wichtigste Compliance-Datum für die meisten Unternehmen. Der Digital-Omnibus streicht dieses Datum nicht, ändert aber, was an diesem Tag eintritt.

Wenn Sie KI-Systeme entwickeln, betreiben, verkaufen oder auch nur beschaffen, die Menschen in der EU betreffen, betrifft Sie das weiterhin. Ebenso die Realität, dass Beschwerden, Behördenanfragen und Due-Diligence-Fragen von Partnern zur KI-Compliance bereits eintreffen — und eine klare, dokumentierte, formelle Antwort erfordern.

Dieser Leitfaden ist allgemeine Information, keine Rechtsberatung. Die KI-Verordnung ist komplex und Teile werden derzeit über den Digital-Omnibus geändert, der zum Zeitpunkt der Erstellung eine noch nicht förmlich angenommene vorläufige Einigung war. Prüfen Sie stets den aktuellen Text der Verordnung (EU) 2024/1689 und holen Sie für Ihren konkreten Fall qualifizierten Rechtsrat ein.

Der 2. August 2026 bleibt ein wichtiges Datum der KI-Verordnung, aber nicht alles ursprünglich für diesen Tag Geplante trifft nun zur selben Zeit ein. Folgendes gilt weiterhin.

Der Großteil der Verordnung wird anwendbar. Artikel 113 der Verordnung (EU) 2024/1689 legt fest, dass die Verordnung ab dem 2. August 2026 gilt — vorbehaltlich früherer und späterer Ausnahmen. Dieses allgemeine Anwendungsdatum wird durch den Digital-Omnibus nicht aufgehoben.

Viele Transparenzpflichten bleiben auf dem 2026er-Kurs. Eine Reihe von Transparenzpflichten nach Artikel 50 — etwa Offenlegungspflichten der Betreiber bei bestimmter KI-Nutzung — gilt weiterhin ab dem 2. August 2026. Eine wichtige Ausnahme: Die Pflicht der Anbieter nach Artikel 50(2), KI-generierte oder synthetische Inhalte zu kennzeichnen, wurde verschoben (siehe Zeitleiste unten).

Durchsetzungsbefugnisse für GPAI beginnen. Die Aufsichts- und Durchsetzungsbefugnisse der Europäischen Kommission gegenüber Anbietern von KI-Modellen mit allgemeinem Verwendungszweck (GPAI) treten am 2. August 2026 in Kraft. Die GPAI-Pflichten selbst gelten bereits seit dem 2. August 2025.

Der Sanktionsrahmen greift für die bereits geltenden Regeln. Bußgelder für verbotene Praktiken und für GPAI-Verstöße sind aktiv. Verschoben wird die Anwendung der Hochrisiko-Pflichten — und damit die praktische Wirkung der daran geknüpften Sanktionen.

Am 7. Mai 2026 erzielten der Rat der EU und das Europäische Parlament eine vorläufige politische Einigung über den Digital-Omnibus zur KI — die ersten gezielten Änderungen der KI-Verordnung seit ihrer Annahme. Anlass war, dass die für Hochrisiko-Systeme erforderlichen Normen und Compliance-Werkzeuge im Verzug waren. Diese Änderungen werden erst nach förmlicher Annahme und Veröffentlichung im Amtsblatt rechtswirksam, was noch geschehen muss, bevor sie verbindlich werden.

Die wichtigsten Änderungen:

• Hochrisiko-Pflichten verschoben. Eigenständige Hochrisiko-Systeme nach Anhang III würden vom 2. August 2026 auf den 2. Dezember 2027 verschoben. In regulierte Produkte (Anhang I) eingebettete Hochrisiko-KI würde auf den 2. August 2028 verschoben.
• Kennzeichnungsfrist verkürzt, dann verschoben. Die Pflicht der Anbieter nach Artikel 50(2), KI-generierte und synthetische Inhalte zu kennzeichnen, würde ab dem 2. Dezember 2026 gelten (eine Übergangsfrist von drei statt der ursprünglich erwogenen sechs Monate). Andere Transparenzpflichten nach Artikel 50, einschließlich der Betreiberpflichten, würden weiterhin ab dem 2. August 2026 gelten.
• Eine neue verbotene Praxis. Die Einigung ergänzt die Verbote nach Artikel 5 um ein Verbot von KI-generierten nicht einvernehmlichen intimen Darstellungen (sogenannte "Nudifier") sowie der Erzeugung von Material über sexuellen Kindesmissbrauch.

Zwei Vorbehalte. Erstens sind diese Daten bedingt: Bis zur förmlichen Annahme und Veröffentlichung könnte der ursprüngliche Zeitplan weiterhin gelten, falls das Verfahren nicht rechtzeitig abgeschlossen wird. Zweitens ändert sich die Grundarchitektur der Verordnung — die Risikostufen, das Konformitätsbewertungsverfahren, der GPAI-Strang und die Rolle des KI-Büros — nicht. Die Verschiebung verschafft Vorbereitungszeit; sie hebt die Pflichten nicht auf.

Die Verordnung trat am 1. August 2024 in Kraft und wird wie folgt schrittweise wirksam. Die Daten 2027-2028 spiegeln die vorläufige Einigung zum Digital-Omnibus wider und stehen unter dem Vorbehalt der förmlichen Annahme.

• 2. Februar 2025 — Verbotene KI-Praktiken wurden durchsetzbar und die Pflichten zur KI-Kompetenz begannen.
• 2. August 2025 — Die Pflichten für GPAI-Modelle wurden anwendbar. Governance-Strukturen, darunter das KI-Büro, wurden operativ, und die Mitgliedstaaten mussten ihre Sanktionsregeln bereitstellen.
• 2. August 2026 — Allgemeines Anwendungsdatum nach der ursprünglichen Verordnung (Artikel 113). Transparenzpflichten nach Artikel 50 bleiben relevant, die GPAI-Durchsetzungsbefugnisse beginnen und der Sanktionsrahmen ist für bereits geltende Regeln aktiv. Die Hochrisiko-Pflichten waren ursprünglich für dieses Datum vorgesehen, doch der Digital-Omnibus würde sie verschieben.
• 2. Dezember 2026 — Vorgeschlagenes neues Datum für die Anbieterpflicht nach Artikel 50(2) zur Kennzeichnung KI-generierter und synthetischer Inhalte, sofern der Digital-Omnibus angenommen wird.
• 2. Dezember 2027 — Vorgeschlagenes neues Anwendungsdatum für eigenständige Hochrisiko-KI-Systeme nach Anhang III, sofern der Digital-Omnibus angenommen wird.
• 2. August 2028 — Vorgeschlagenes neues Anwendungsdatum für in regulierte Produkte (Anhang I) eingebettete Hochrisiko-KI-Systeme, sofern der Digital-Omnibus angenommen wird.

Die Verordnung weist Pflichten nach der Rolle in der KI-Wertschöpfungskette zu. Die wichtigsten Rollen sind:

• Anbieter — die Organisation, die ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen in Verkehr bringt oder in Betrieb nimmt. Anbieter tragen die schwersten Pflichten.
• Betreiber — die Organisation, die ein KI-System in eigener Verantwortung im beruflichen Kontext nutzt. Betreiber haben eigene Pflichten, insbesondere zur menschlichen Aufsicht und zur bestimmungsgemäßen Nutzung.
• Einführer und Händler — Organisationen, die KI-Systeme aus Drittländern in den Markt einführen oder bereitstellen, mit Prüf- und Aufzeichnungspflichten.

Entscheidend: Die Verordnung hat extraterritoriale Reichweite, und der Digital-Omnibus ändert das nicht. Wenn Ihr KI-System oder dessen Ausgabe in der Europäischen Union verwendet wird, kann die Verordnung für Sie gelten — unabhängig davon, wo Ihr Unternehmen seinen Sitz hat. Ein Anbieter in den USA, im Vereinigten Königreich oder anderswo fällt nicht allein deshalb aus dem Anwendungsbereich, weil er keine EU-Niederlassung hat. Entscheidend ist, ob das System Menschen in der EU betrifft.

Die Hochrisiko-Kategorie ist diejenige, deren Frist der Digital-Omnibus verschieben würde — daher lohnt sich Präzision.

Grob führen zwei Wege zur Einstufung als Hochrisiko. Der erste ist KI, die als Sicherheitsbauteil eines bereits nach EU-Produktsicherheitsrecht regulierten Produkts (Anhang I) eingesetzt wird — dieser Weg ist nun für den 2. August 2028 vorgesehen. Der zweite ist die Liste eigenständiger Hochrisiko-Anwendungen nach Anhang III — nun für den 2. Dezember 2027 vorgesehen — die etwa folgende Bereiche umfasst:

• Beschäftigung, Personalbeschaffung und Personalmanagement (z. B. Lebenslauf-Screening oder Recruiting-Tools),
• Zugang zu wesentlichen privaten und öffentlichen Diensten, einschließlich Kreditwürdigkeit und Kreditscoring,
• Biometrie und biometrische Kategorisierung,
• allgemeine und berufliche Bildung (z. B. Prüfungsbewertung oder Zulassungsentscheidungen),
• kritische Infrastruktur, Strafverfolgung, Migration und Rechtspflege.

Die Verschiebung spiegelt wider, dass die für die Erfüllung dieser Anforderungen nötigen harmonisierten Normen und Hilfsmittel noch nicht fertig sind. Es ist Vorbereitungszeit, kein Aufschub: Die materiellen Pflichten bleiben unverändert.

Die Verordnung nutzt ein gestuftes Sanktionssystem, und die Beträge sind bewusst hoch angesetzt.

Die schwerste Stufe gilt für Verstöße gegen die verbotenen Praktiken: Bußgelder von bis zu 35 Mio. EUR oder 7 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Eine zweite Stufe deckt viele andere Verstöße ab — einschließlich der Pflichten von Anbietern, Betreibern, Einführern, Händlern und notifizierten Stellen sowie der Transparenzpflichten nach Artikel 50: Bußgelder von bis zu 15 Mio. EUR oder 3 % des gesamten weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist.

Die Übermittlung unrichtiger, unvollständiger oder irreführender Informationen an Behörden hat ihre eigene, niedrigere Sanktionsstufe. Mit der Verschiebung der Hochrisiko-Pflichten auf 2027-2028 verschieben sich die speziell daran geknüpften Sanktionen mit den materiellen Pflichten — die Sanktionen für verbotene Praktiken und GPAI sind jedoch bereits aktiv.

Schließlich ersetzt die KI-Verordnung nicht die DSGVO. Verarbeitet ein KI-System personenbezogene Daten, gelten beide Regelwerke gleichzeitig, und die Datenschutzbehörden behalten ihre Zuständigkeit für die datenschutzrechtlichen Aspekte.

Trotz der Verschiebung häufen sich formelle Anfragen. Sie können von einer nationalen Marktüberwachungsbehörde, vom KI-Büro der EU (bei GPAI-Themen), von einem Kunden oder nachgelagerten Anbieter im Rahmen der Due Diligence oder als Teil einer gegen Sie eingereichten Beschwerde kommen. Eine schwache oder verspätete Antwort kann eine Routineanfrage zu einer Untersuchung eskalieren.

Ein starkes Antwortschreiben ist strukturiert, sachlich und leicht überprüfbar. Nutzen Sie diese Struktur:

1. Die Anfrage präzise benennen

Geben Sie klar an, worauf Sie antworten: Datum der Anfrage, Absender, ein etwaiges Aktenzeichen und genau das Gefragte. Das zeigt sorgfältige Lektüre und schafft eine saubere Aktenlage.

2. Ihre Rolle nach der Verordnung angeben

Stellen Sie klar, ob Sie als Anbieter, Betreiber, Einführer oder Händler des fraglichen Systems antworten, und benennen Sie das System genau. Ihre Pflichten folgen aus dieser Rolle.

3. Die konkreten Fragen Punkt für Punkt beantworten

Beantworten Sie jede gestellte Frage der Reihe nach mit Fakten. Wo die Verordnung Dokumentation verlangt — technische Dokumentation, Risikomanagement-Unterlagen, Daten-Governance-Maßnahmen, Regelungen zur menschlichen Aufsicht — beschreiben Sie, was vorliegt, und verweisen Sie auf die beigefügten Unterlagen.

4. Offen mit Lücken und Behebung umgehen

Wenn etwas noch fehlt, verschweigen Sie es nicht. Sagen Sie, was fehlt, was Sie unternehmen und bis wann. Behörden reagieren weit besser auf einen dokumentierten Maßnahmenplan als auf Schweigen oder Leugnen.

5. Mit klarem Kontakt und nächstem Schritt abschließen

Benennen Sie eine verantwortliche Kontaktperson, bestätigen Sie Ihre Bereitschaft zu weiteren Auskünften und schlagen Sie einen konkreten nächsten Schritt oder Zeitplan vor. Listen Sie Ihre Anlagen auf.

DocuGov.ai erstellt rechtsraumgerechte AI-Act-Compliance- und Antwortschreiben nach dieser Struktur — und verwandelt eine belastende Behördenanfrage in wenigen Minuten in ein klares, professionelles Dokument. Starten Sie auf unserer Seite AI-Act-Compliance-Schreiben.

Die Verordnung betrifft nicht nur Unternehmenspflichten. Sie stärkt auch die Position der von KI-Systemen betroffenen Menschen, und diese Rechte sollte man kennen.

Wenn Sie glauben, dass ein System eine verbotene Praktik nutzt — etwa Social Scoring, bestimmte Formen der Emotions- oder Biometrieüberwachung oder das neu hinzugefügte Verbot von KI-generierten nicht einvernehmlichen intimen Darstellungen — können Sie es melden. Siehe unseren Leitfaden zur Beschwerde über verbotene KI-Praktiken.

Daneben haben Sie nach der DSGVO Rechte, wenn eine Entscheidung über Sie allein automatisiert getroffen wird. Sie können einer solchen Entscheidung widersprechen und menschliches Eingreifen verlangen — mit einem Widerspruch nach Art. 22 DSGVO — und Sie können eine aussagekräftige Erklärung verlangen, wie ein Algorithmus eine Sie betreffende Entscheidung getroffen hat, mit einem Antrag auf Erläuterung.

Diese Schreiben wirken am besten, wenn sie konkret sind: Benennen Sie die Entscheidung, das System (falls bekannt), das Datum und genau das, worum Sie die Organisation bitten.

Die Verschiebung als Streichung missverstehen. Der Digital-Omnibus verschafft Zeit; er beseitigt die Hochrisiko-Pflichten nicht. Die Daten wurden auf den 2. Dezember 2027 und den 2. August 2028 verschoben — sie sind nicht verschwunden.

Annehmen, außerhalb der EU sei man außerhalb des Anwendungsbereichs. Die extraterritoriale Reichweite bedeutet: Maßgeblich ist, ob das System die EU betrifft, nicht der Sitz.

Sich auf die neuen Daten verlassen, bevor sie Gesetz sind. Der Omnibus war zum Zeitpunkt der Erstellung eine vorläufige Einigung. Bis zur förmlichen Annahme und Veröffentlichung sollten Sie auch mit dem Fortbestand des ursprünglichen Zeitplans rechnen.

GPAI-Regeln mit Hochrisiko-Regeln verwechseln. GPAI-Pflichten gelten seit August 2025; das Hochrisiko-Regime ist eine separate Ebene mit eigenen (nun verschobenen) Daten.

Eine Behördenanfrage ignorieren oder formlos beantworten. Eine strukturlose E-Mail ohne Unterlagen lädt zu Nachfragen ein. Eine formelle, dokumentierte Antwort schließt den Vorgang.

Die DSGVO vergessen. Sind personenbezogene Daten betroffen, managen Sie zwei Regelwerke gleichzeitig, nicht eines.

• 2. August 2026 bleibt das allgemeine Anwendungsdatum (Artikel 113), mit Transparenzpflichten nach Artikel 50, GPAI-Durchsetzungsbefugnissen und aktivem Sanktionsrahmen.
• Der Digital-Omnibus zur KI (vorläufige Einigung vom 7. Mai 2026) würde die Hochrisiko-Pflichten verschieben: 2. Dezember 2027 für eigenständige Anhang-III-Systeme, 2. August 2028 für in regulierte Produkte eingebettete KI.
• Die Anbieterpflicht zur Kennzeichnung nach Artikel 50(2) würde auf den 2. Dezember 2026 verschoben; andere Artikel-50-Pflichten bleiben beim 2. August 2026.
• Die neuen Daten stehen unter dem Vorbehalt der förmlichen Annahme und Veröffentlichung des Omnibus.
• Die Verordnung gilt unabhängig vom Unternehmenssitz, wenn das KI-System in der EU verwendet wird.
• Bußgelder erreichen 35 Mio. EUR oder 7 % des weltweiten Umsatzes für die schwersten Verstöße und 15 Mio. EUR oder 3 % für viele andere.
• Bei einer Compliance-Anfrage antworten Sie formell, Punkt für Punkt, mit Dokumentation. DocuGov.ai kann dieses Schreiben für Sie erstellen.