Regulationtimelineenforcementdeadlines

EU-KI-Verordnung Zeitplan: Wichtige Termine von 2024 bis 2027

Vollständiger Zeitplan der Durchsetzungsmeilensteine der EU-KI-Verordnung — vom Inkrafttreten im August 2024 bis zur vollständigen Hochrisiko-Compliance im August 2027. Wissen Sie genau, wann welche Anforderung gilt.

January 20, 202511 min read

Die EU-KI-Verordnung (Verordnung 2024/1689) gilt nicht auf einmal. Stattdessen hat die Europäische Union einen gestaffelten Durchsetzungszeitplan konzipiert, der Organisationen Zeit gibt, sich auf zunehmend strengere Anforderungen vorzubereiten. Das Verständnis dieses Zeitplans ist entscheidend für die Priorisierung von Compliance-Maßnahmen und die effektive Ressourcenallokation.

Dieser Artikel bietet eine umfassende, datumsbasierte Aufschlüsselung jedes wichtigen Durchsetzungsmeilensteins vom Inkrafttreten der Verordnung bis zur vollständigen Anwendung.

Mehrere wichtige Fristen sind bereits verstrichen. Wenn Ihre Organisation noch nicht mit der Compliance-Arbeit begonnen hat, ist es unerlässlich zu verstehen, welche Pflichten bereits gelten und welche bevorstehen.

Der vollständige Durchsetzungszeitplan

Phase 1: Inkrafttreten und Vorbereitung (August 2024 - Januar 2025)

Der Zeitraum zwischen dem 1. August 2024 und dem 2. Februar 2025 diente als erstes Vorbereitungsfenster. Obwohl in dieser Phase noch keine materiellen Pflichten durchsetzbar waren, begannen mehrere wichtige Prozesse.

Einrichtung von Governance-Gremien

Die Europäische Kommission begann mit der Einrichtung des KI-Büros, das innerhalb der Generaldirektion Kommunikationsnetze, Inhalte und Technologie (GD CONNECT) der Kommission angesiedelt ist. Das KI-Büro ist für die Aufsicht über KI-Modelle mit allgemeinem Verwendungszweck und die Unterstützung der einheitlichen Anwendung der Verordnung in den Mitgliedstaaten zuständig.

KI-Kompetenz-Pflicht

Artikel 4 der KI-Verordnung verlangt von Anbietern und Betreibern, sicherzustellen, dass ihr Personal und andere Personen, die mit dem Betrieb und der Nutzung von KI-Systemen befasst sind, über ein ausreichendes Maß an KI-Kompetenz verfügen. Obwohl diese Pflicht formell ab dem 2. August 2025 gilt, wurden Organisationen ermutigt, bereits in dieser Vorbereitungsphase Schulungsprogramme zu starten.

KI-Kompetenz gemäß Artikel 4 ist keine einmalige Schulung. Sie erfordert eine fortlaufende Weiterbildung, die das technische Wissen, die Erfahrung, die Ausbildung und den Kontext berücksichtigt, in dem KI-Systeme eingesetzt werden. Dies ist eine verhältnismäßige Anforderung — komplexere oder risikoreichere Anwendungen erfordern eine tiefere Kompetenz.

Phase 2: Verbotene Praktiken (Februar 2025)

Der erste materielle Durchsetzungstermin war der 2. Februar 2025, an dem die Verbote in Artikel 5 anwendbar wurden. Dies war die dringendste Frist, da Verstöße die höchsten Strafen nach sich ziehen.

Was verboten wurde

Ab dem 2. Februar 2025 sind folgende KI-Praktiken verboten:

Unterschwellige, manipulative und täuschende Techniken (Artikel 5 Absatz 1 Buchstabe a): KI-Systeme, die Techniken unterhalb der Bewusstseinsschwelle einsetzen oder absichtlich manipulative oder täuschende Techniken verwenden, um Verhalten wesentlich zu verzerren und erheblichen Schaden zu verursachen.

Ausnutzung von Schwachstellen (Artikel 5 Absatz 1 Buchstabe b): KI-Systeme, die Schwachstellen von Personen aufgrund ihres Alters, einer Behinderung oder einer bestimmten sozialen oder wirtschaftlichen Situation ausnutzen, um deren Verhalten wesentlich zu verzerren und erheblichen Schaden zu verursachen.

Social Scoring (Artikel 5 Absatz 1 Buchstabe c): KI-Systeme, die von Behörden oder in deren Auftrag zur Bewertung oder Klassifizierung natürlicher Personen auf der Grundlage ihres Sozialverhaltens oder persönlicher Merkmale eingesetzt werden und zu einer nachteiligen Behandlung führen, die ungerechtfertigt oder unverhältnismäßig ist.

Individuelle Risikobewertung für Straftaten (Artikel 5 Absatz 1 Buchstabe d): KI-Systeme, die das Risiko natürlicher Personen, Straftaten zu begehen, ausschließlich auf der Grundlage von Profiling oder der Bewertung von Persönlichkeitsmerkmalen bewerten, es sei denn, sie werden zur Unterstützung menschlicher Bewertungen verwendet, die auf objektiven, überprüfbaren Fakten basieren, die direkt mit krimineller Aktivität in Verbindung stehen.

Ungezieltes Scraping für Gesichtserkennungsdatenbanken (Artikel 5 Absatz 1 Buchstabe e): KI-Systeme, die Gesichtserkennungsdatenbanken durch ungezieltes Scraping von Gesichtsbildern aus dem Internet oder von Überwachungskameras erstellen oder erweitern.

Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen (Artikel 5 Absatz 1 Buchstabe f): KI-Systeme, die Emotionen am Arbeitsplatz und in Bildungseinrichtungen erkennen, es sei denn, das KI-System dient medizinischen oder sicherheitsbezogenen Zwecken.

Biometrische Kategorisierung nach sensiblen Merkmalen (Artikel 5 Absatz 1 Buchstabe g): KI-Systeme, die natürliche Personen auf der Grundlage biometrischer Daten kategorisieren, um Rasse, politische Meinungen, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugungen, Sexualleben oder sexuelle Orientierung abzuleiten, mit begrenzten Ausnahmen für Strafverfolgungszwecke.

Biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen (Artikel 5 Absatz 1 Buchstabe h): Biometrische Echtzeit-Fernidentifizierungssysteme in öffentlich zugänglichen Räumen zu Strafverfolgungszwecken, mit engen Ausnahmen für gezielte Suchen im Zusammenhang mit schweren Straftaten, unmittelbaren Bedrohungen oder Terroranschlägen.

Erforderliche Compliance-Maßnahmen

Organisationen mussten ihre KI-Systeme vor diesem Datum prüfen und verbotene Praktiken einstellen. Es gab keine Übergangsfrist — ab dem 2. Februar 2025 drohen bei Nichteinhaltung von Artikel 5 Strafen von bis zu 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes.

Need auditable AI for compliance?

Ctrl AI provides full execution traces, expert verification, and trust-tagged outputs for every AI decision.

Learn About Ctrl AI

Phase 3: GPAI und Governance (August 2025)

Der nächste wichtige Meilenstein ist der 2. August 2025, an dem die Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und der Governance-Rahmen in Kraft treten.

Pflichten für KI-Modelle mit allgemeinem Verwendungszweck

Kapitel V der KI-Verordnung legt Anforderungen für alle GPAI-Modelle fest. Ab dem 2. August 2025 müssen Anbieter von GPAI-Modellen:

Technische Dokumentation führen (Artikel 53 Absatz 1 Buchstabe a): Anbieter müssen technische Dokumentation des Modells erstellen und aktuell halten, einschließlich des Trainings- und Testprozesses und der Ergebnisse, die auf Anfrage dem KI-Büro und nationalen zuständigen Behörden zur Verfügung gestellt werden müssen.

Informationen an nachgelagerte Anbieter bereitstellen (Artikel 53 Absatz 1 Buchstabe b): Wenn ein GPAI-Modell in ein KI-System integriert wird, muss der GPAI-Anbieter ausreichende Informationen und Dokumentation liefern, damit der nachgelagerte KI-Systemanbieter die Fähigkeiten und Grenzen des Modells verstehen und seinen eigenen Pflichten nachkommen kann.

Urheberrechtsregeln einhalten (Artikel 53 Absatz 1 Buchstabe c): GPAI-Anbieter müssen eine Richtlinie zur Einhaltung des Urheberrechts der Union aufstellen, insbesondere zur Identifizierung und Beachtung von Rechtevorbehalten, die von Rechteinhabern gemäß Artikel 4 Absatz 3 der Urheberrechtsrichtlinie erklärt wurden.

Zusammenfassung der Trainingsdaten veröffentlichen (Artikel 53 Absatz 1 Buchstabe d): Anbieter müssen eine hinreichend detaillierte Zusammenfassung der für das Training des GPAI-Modells verwendeten Inhalte erstellen und öffentlich zugänglich machen, gemäß einer vom KI-Büro bereitgestellten Vorlage.

GPAI-Modelle mit systemischem Risiko

GPAI-Modelle, die gemäß Artikel 51 als systemisches Risiko eingestuft werden — einschließlich Modelle, die mit mehr als 10^25 FLOPs an Rechenleistung trainiert wurden — unterliegen ab diesem Datum zusätzlichen Pflichten:

  • Durchführung von Modellbewertungen, einschließlich Adversarial Testing
  • Bewertung und Minderung systemischer Risiken
  • Verfolgung und Meldung schwerwiegender Vorfälle an das KI-Büro und die zuständigen nationalen Behörden
  • Sicherstellung angemessener Cybersicherheitsmaßnahmen

Governance-Rahmen

Mehrere Governance-Bestimmungen treten ebenfalls am 2. August 2025 in Kraft:

  • Der Europäische Ausschuss für Künstliche Intelligenz (Artikel 65) wird mit Vertretern aus jedem Mitgliedstaat operativ.
  • Die Mitgliedstaaten müssen nationale zuständige Behörden (Artikel 70) benennen, darunter mindestens eine notifizierende Behörde und eine Marktüberwachungsbehörde.
  • Das Beratungsforum (Artikel 67) wird eingerichtet, um Stakeholder-Expertise bereitzustellen.

Phase 4: Die wichtigste Compliance-Frist (August 2026)

Der 2. August 2026 ist das folgenreichste Datum für die Mehrheit der Organisationen. An diesem Tag werden die meisten Bestimmungen der Verordnung anwendbar, einschließlich des vollständigen Katalogs an Anforderungen für Hochrisiko-KI-Systeme gemäß Anhang III.

Anforderungen an Hochrisiko-KI-Systeme

Ab diesem Datum müssen Anbieter von Hochrisiko-KI-Systemen gemäß Anhang III alle Anforderungen der Artikel 8 bis 15 erfüllen:

  • Risikomanagementsystem (Artikel 9)
  • Daten und Datengovernance (Artikel 10)
  • Technische Dokumentation (Artikel 11)
  • Aufzeichnungen und Protokollierung (Artikel 12)
  • Transparenz und Bereitstellung von Informationen (Artikel 13)
  • Menschliche Aufsicht (Artikel 14)
  • Genauigkeit, Robustheit und Cybersicherheit (Artikel 15)

Betreiberpflichten

Auch Betreiber von Hochrisiko-KI-Systemen müssen ab diesem Datum die Vorschriften einhalten. Gemäß Artikel 26 müssen Betreiber:

  • KI-Systeme gemäß den Gebrauchsanweisungen verwenden
  • Menschliche Aufsicht durch geschulte Personen sicherstellen
  • Den Betrieb des KI-Systems überwachen
  • Die vom KI-System generierten Protokolle für den vorgeschriebenen Zeitraum aufbewahren
  • Arbeitnehmer und deren Vertreter über den Einsatz von Hochrisiko-KI-Systemen informieren
  • Grundrechte-Folgenabschätzungen durchführen (für öffentliche Stellen und bestimmte private Einrichtungen gemäß Artikel 27)

Transparenzpflichten für Systeme mit begrenztem Risiko

Die Transparenzpflichten nach Artikel 50 gelten ab dem 2. August 2026. Dies erfordert:

  • KI-Systeme, die zur direkten Interaktion mit Personen bestimmt sind, müssen offenlegen, dass die Person mit einem KI-System interagiert
  • Anbieter von KI-Systemen, die synthetische Inhalte (Deepfakes) erzeugen, müssen die Ausgabe in einem maschinenlesbaren Format kennzeichnen
  • Betreiber von Emotionserkennungs- oder biometrischen Kategorisierungssystemen müssen die betroffenen Personen informieren

Regulatorische Sandkästen

Gemäß Artikel 57 muss jeder Mitgliedstaat bis zum 2. August 2026 mindestens einen regulatorischen KI-Sandkasten auf nationaler Ebene einrichten. Diese Sandkästen bieten eine kontrollierte Testumgebung, in der innovative KI-Systeme unter regulatorischer Aufsicht entwickelt und validiert werden können.

Organisationen, die Anbieter oder Betreiber von Hochrisiko-KI-Systemen gemäß Anhang III sind — in Bereichen wie Beschäftigung, Kreditwürdigkeitsprüfung, Bildung, kritische Infrastrukturen und Strafverfolgung — müssen bis zum 2. August 2026 vollständig konform sein. Bei Nichteinhaltung drohen Bußgelder von bis zu 15 Millionen EUR oder 3 % des weltweiten Umsatzes.

Phase 5: Vollständige Anwendung (August 2027)

Das letzte Durchsetzungsdatum ist der 2. August 2027, an dem die verbleibenden Bestimmungen gelten.

Anhang-I-Hochrisiko-KI-Systeme

Diese Phase betrifft primär Hochrisiko-KI-Systeme, die als Sicherheitskomponenten von Produkten dienen, die bereits unter die in Anhang I aufgeführte EU-Harmonisierungsgesetzgebung fallen. Dazu gehören Produkte, die geregelt werden durch:

  • Verordnung (EU) 2017/745 — Medizinprodukte
  • Verordnung (EU) 2017/746 — In-vitro-Diagnostika
  • Richtlinie 2006/42/EG / Verordnung (EU) 2023/1230 — Maschinen
  • Richtlinie 2009/48/EG — Sicherheit von Spielzeug
  • Richtlinie 2014/33/EU — Aufzüge
  • Richtlinie 2014/34/EU — Geräte für explosionsgefährdete Bereiche
  • Richtlinie 2014/53/EU — Funkanlagen
  • Verordnung (EU) 2024/1252 — Kritische Rohstoffe (relevante Produkte)

Für diese Systeme werden die bestehenden Konformitätsbewertungsverfahren nach sektoraler Gesetzgebung die Anforderungen der KI-Verordnung integrieren. Dieses zusätzliche Jahr gibt den Herstellern Zeit, ihre Konformitätsverfahren zu aktualisieren.

Konformitätsbewertung und Benannte Stellen

Bis zum 2. August 2027 muss das System der Benannten Stellen voll funktionsfähig sein. Benannte Stellen sind Organisationen, die von den Mitgliedstaaten benannt werden, um Konformitätsbewertungen für bestimmte Hochrisiko-KI-Systeme durchzuführen, bei denen eine Drittbewertung erforderlich ist.

Erstellung Ihres Compliance-Fahrplans

Angesichts des gestaffelten Zeitplans sollten Organisationen einen strukturierten Ansatz zur Compliance verfolgen.

Sofortige Prioritäten (Jetzt)

  • Überprüfen Sie, ob keine verbotenen KI-Praktiken mehr in Betrieb sind
  • Starten Sie KI-Kompetenzprogramme gemäß Artikel 4
  • Beginnen Sie mit der Bestandsaufnahme aller KI-Systeme und der Klassifizierung ihres Risikoniveaus

Kurzfristig (Vor August 2025)

  • GPAI-Modellanbieter müssen technische Dokumentation und Zusammenfassungen der Trainingsdaten fertigstellen
  • Beziehungen zu nachgelagerten Anbietern für den Informationsaustausch aufbauen
  • Die Veröffentlichung von Verhaltenskodizes durch das KI-Büro verfolgen

Mittelfristig (Vor August 2026)

  • Den vollständigen Katalog an Anforderungen für Hochrisiko-KI-Systeme gemäß Artikeln 8-15 umsetzen
  • Qualitätsmanagementsysteme einrichten oder aktualisieren
  • Betreiberpflichten einschließlich Grundrechte-Folgenabschätzungen vorbereiten
  • Transparenzmaßnahmen für KI-Systeme mit begrenztem Risiko aktualisieren

Langfristig (Vor August 2027)

  • Anforderungen der KI-Verordnung in sektorale Konformitätsbewertungsverfahren integrieren
  • Kontakte zu Benannten Stellen für Drittbewertungen aufnehmen, wo erforderlich
  • Sicherstellen, dass alle verbleibenden Produktsicherheits-KI-Systeme vollständig konform sind

Der gestaffelte Zeitplan soll Organisationen ausreichend Vorbereitungszeit geben, aber diese Zeit ist begrenzt. Organisationen, die Compliance als strategische Priorität behandeln statt als Last-Minute-Übung, werden besser aufgestellt sein, um den Übergang reibungslos zu meistern und einen Wettbewerbsvorteil zu wahren.

Fazit

Der Durchsetzungszeitplan der EU-KI-Verordnung erstreckt sich über drei Jahre, vom Inkrafttreten am 1. August 2024 bis zur vollständigen Anwendung am 2. August 2027. Jede Phase führt neue Pflichten ein, und der kumulative Effekt ist ein umfassender Regulierungsrahmen, der die Entwicklung und den Einsatz von KI in Europa und darüber hinaus prägen wird.

Der kritischste Zeitraum liegt zwischen jetzt und August 2026, wenn der Großteil der Anforderungen der Verordnung anwendbar wird. Organisationen sollten den obigen Zeitplan nutzen, um ihre Compliance-Bemühungen zu priorisieren, beginnend mit einer Bestandsaufnahme ihrer KI-Systeme und einer gründlichen Risikoklassifizierung.

Der Zeitplan ist nicht nur eine Reihe von Fristen — er ist ein Fahrplan. Organisationen, die ihm systematisch folgen, werden nicht nur Strafen vermeiden, sondern die Governance-Strukturen aufbauen, die für einen verantwortungsvollen und vertrauenswürdigen KI-Einsatz erforderlich sind.

Make Your AI Auditable and Compliant

Ctrl AI provides expert-verified reasoning units with full execution traces — the infrastructure you need for EU AI Act compliance.

Explore Ctrl AI

Verwandte Artikel

Regulation10 min read

Sanktionen der EU-KI-Verordnung: Bußgelder bis zu 35 Millionen Euro erklärt

Vollständige Aufschlüsselung der Sanktionen und Bußgelder der EU-KI-Verordnung — von 35 Millionen EUR für verbotene Praktiken bis 7,5 Millionen EUR für falsche Angaben. Verstehen Sie das Durchsetzungsregime und wie Sie Strafen vermeiden.

Regulation16 min read

Hochrisiko-KI-Systeme: Vollständige Anforderungen unter der EU-KI-Verordnung

Detaillierter Leitfaden zu den Anforderungen an Hochrisiko-KI-Systeme unter der EU-KI-Verordnung — Risikomanagement, Datengovernance, Dokumentation, menschliche Aufsicht, Genauigkeit und Cybersicherheit.

Regulation12 min read

EU-KI-Verordnung Risikoklassifizierung: Vier Stufen erklärt

Vertiefte Analyse des vierstufigen Risikoklassifizierungssystems der EU-KI-Verordnung — unannehmbares, hohes, begrenztes und minimales Risiko. Erfahren Sie, in welche Kategorie Ihr KI-System fällt und was erforderlich ist.