Dieser Beitrag ordnet den gestuften Anwendungsfahrplan des AI Act ein und bleibt vor allem als Zeitachse nützlich. Für die breitere Einordnung von Rollen, Risikoklassen und Projektkonstellationen im Unternehmen führt die Vertiefung zum KI-Recht für Unternehmen weiter.
Im Mittelpunkt stehen die Stichtage des AI Act und die Frage, welche Pflichten seit 2025 bereits gelten und welche Pflichten erst 2026 oder 2027 vollständig greifen.
Relevant ist das für Unternehmen, Produktverantwortliche, Compliance-Funktionen, Einkaufs- und Rechtsabteilungen sowie Geschäftsführungen, die KI entwickeln, einkaufen, integrieren oder nutzen.
Entscheidend ist die saubere Trennung zwischen bereits anwendbaren Vorgaben für verbotene Praktiken, KI-Kompetenz und GPAI einerseits sowie den Transparenzpflichten nach Art. 50 AI Act andererseits.
Der Beitrag zeigt, welche Daten im Fahrplan weiterhin tragen, wo heute präziser unterschieden werden muss und welcher nächste Stichtag für viele Unternehmen im April 2026 im Vordergrund steht.
Das Wichtigste in Kürze
Für die Unternehmenspraxis ist deshalb nicht nur das Inkrafttreten relevant, sondern vor allem die gestaffelte Anwendbarkeit nach Art. 113 AI Act.
Diese Pflichten sind kein Vorbereitungsthema mehr, sondern Teil der laufenden Organisations- und Compliance-Frage.
Für GPAI-Modelle, die vor diesem Datum auf den Markt gebracht wurden, läuft eine Übergangsfrist bis zum 2. August 2027.
Wer mit generativen Systemen arbeitet, sollte deshalb Modellpflichten und Systempflichten nicht vermischen.
Stand April 2026
Der gesetzliche Fahrplan des AI Act gilt im Kern fort. Seit dem 2. Februar 2025 gelten die Verbote aus Kapitel II und die Pflicht zu Maßnahmen zur KI-Kompetenz. Seit dem 2. August 2025 gelten zudem die Governance-Regeln und die Pflichten für Anbieter von General-Purpose-AI-Modellen.
Für viele Unternehmen ist im April 2026 besonders wichtig, dass die Transparenzpflichten des Art. 50 AI Act nach dem derzeit geltenden Rechtsstand erst ab dem 2. August 2026 greifen. Das betrifft insbesondere die Offenlegung bei Deepfakes und die Kennzeichnung bestimmter KI-generierter oder KI-manipulierter Inhalte.
Hinzu kommt: Die Europäische Kommission hat seit 2025 mehrere Leitlinien und Hilfsmaterialien veröffentlicht, unter anderem zu verbotenen KI-Praktiken, zur Definition des KI-Systems und zu GPAI-Pflichten. Vorschläge aus dem Digital Omnibus bleiben nach heutigem Stand ein Gesetzgebungsvorschlag und ändern den geltenden Zeitplan noch nicht.
Kennzeichnung, Transparenz und Sanktionen
Der EU AI Act ist eine europäische Verordnung, die sich maßgeblich mit den Arten, Risiken und Regulierungen von künstlicher Intelligenz (KI) befasst. Die Verordnung ist weltweit die erste umfangreiche Verordnung über Künstliche Intelligenz durch eine relevante Regulierungsbehörde. Das Ziel der Verordnung ist es, den Binnenmarkt nachhaltig zu fördern, indem sie einen einheitlichen Rechtsrahmen schafft, insbesondere für die Entwicklung, das Inverkehrbringen, die Inbetriebnahme und Nutzung von KI-Systemen innerhalb der Union. Gleichzeitig soll ein hohes Maß an Schutz der Gesundheit, der Sicherheit und der Grundrechte gewährleistet werden. Dabei stehen Demokratie, Rechtsstaatlichkeit und Umweltschutz stets im Vordergrund. Die Verordnung zielt darauf ab, die Union vor schädlichen Auswirkungen von KI-Systemen zu schützen und gleichzeitig Innovationen zu fördern.
So sollen künftig KI-generierte Inhalte, durch die neuen Regelungen zur Kennzeichnung, transparenter für die Nutzer sein. Dabei wird zwischen den verschiedenen KI-Programmen und unterschiedlichen Zwecken differenziert. Ab August 2025 müssen Anbieter von generativer KI ihre Inhalte technisch kennzeichnen, etwa durch Wasserzeichen oder Metadaten. Ab August 2026 sollen auch Unternehmen sicherstellen, dass ihre veröffentlichten Inhalte, die von künstlicher Intelligenz herrühren, als solche deutlich erkennbar sind.
Warum ist eine derartige Transparenzpflicht geboten?
In den Erwägungsgründen der Verordnung wird darauf hingewiesen, dass KI-Systeme, die mit natürlichen Personen interagieren oder Inhalte generieren können, erhebliche Risiken der Nachahmung oder Täuschung innehaben. Für das menschliche Auge ist es zunehmend schwerer, künstlich generierte Inhalte von authentischen Inhalten zu unterscheiden. Aufgrund der breiten Verfügbarkeit der KI-Inhalte und der zunehmenden Kompetenzen der Programme, nimmt das Risiko an Fehlinformationen, Manipulationen großen Ausmaßes, Betrug, Nachahmung oder Verbrauchertäuschung stetig zu. Um diesen Risiken effektiv entgegenzuwirken und negative Auswirkungen auf demokratische Prozesse, den zivilgesellschaftlichen Diskurs und Wahlprozesse durch Fehlinformationen zu mindern, ist eine Kennzeichnung solcher künstlich generierten Inhalte erforderlich. Viele KI-Programme verwenden bereits unsichtbare Wasserzeichen oder Metadaten, sodass die Herkunft maschinell nachweisbar bleibt. Unternehmen sollen in dem Falle sicherstellen, dass diese Kennzeichnungen erhalten bleiben und nicht entfernt werden.
Wann besteht eine Kennzeichnungspflicht?
Besonders gefährlich eingestuft werden täuschend echte KI-Inhalte, die darauf abzielen, mediale Identitäten durch Video, Bild, Audio und Text zu manipulieren (sog. Deepfakes). Darunter fallen insbesondere auch KI-generierte Stimmen und Audio, die echte Menschen imitieren. Außerdem unterliegen unbearbeitete KI-Texte, die ohne menschliche Prüfung veröffentlicht werden, ebenfalls einer Kennzeichnungspflicht.
Diese Verpflichtung wird jedoch durch den Grundsatz der Verhältnismäßigkeit begrenzt. Somit müssen KI-Systeme, die die eingegebenen Daten des Anwenders nicht wesentlich verändern, ihre Inhalte nicht kennzeichnen. Außerdem entfällt die Pflicht, soweit die Systeme gesetzlich zur Aufdeckung, Verhütung, Untersuchung oder Verfolgung von Straftaten zugelassen sind. Darüber hinaus müssen redaktionell bearbeitete KI-Texte, die von Menschen geprüft, überarbeitet und verantwortet werden, sowie Hilfsmittel, die lediglich zur Unterstützung (z.B. Grammatikprüfungen, Texterstellungshilfen) dienen, nicht gekennzeichnet werden. Die Verpflichtung entfällt auch für künstlerische Inhalte ohne Täuschungsabsicht, die offensichtlich Teil eines kreativen, satirischen, künstlerischen, fiktionalen oder analogen Werks oder Programms sind. Dadurch soll das Recht auf Freiheit der Künste und Wissenschaften gewahrt werden. In derartigen Fällen beschränkt sich die Pflicht auf die Offenlegung des Vorhandenseins solcher generierten oder manipulierten Inhalte, ohne dass die Zurschaustellung oder der Genuss des Werks behindert werden.
Scharfe Sanktionen bei Verstößen
Der EU AI Act sieht vor, die Einhaltung der Vorschriften durch Verhängung von Sanktionen und anderweitigen Maßnahmen durchzusetzen. Dies soll durch die Festlegung wirksamer, verhältnismäßiger und abschreckender Sanktionen für Verstöße gegen die Verordnung gewährleistet werden.
Verstöße von Anbietern der KI-Modelle können mit Bußgeldern bis zu 15 Mio. Euro oder 3% des Jahresumsatzes geahndet werden. Dabei sind alle Umstände des Einzelfalles zu berücksichtigen. Insbesondere die Art, Schwere und Dauer des Verstoßes, seine Folgen (z.B. Anzahl der betroffenen Personen, Schadenshöhe) und Größe des Datenanbieters sollten hierfür in Erwägung gezogen werden. Regulierungsbehörden wie die Bundesnetzagentur sind dazu berufen, die Einhaltung der Verordnung künftig zu überwachen, um Verstößen wirksam entgegenzuwirken.
Fahrplan der KI-Verordnung
Die KI-VO (KI-Verordnung bzw. AI Act) trat am 01.08.2024 in Kraft, wird aber phasenweise umgesetzt und gilt innerhalb der EU unmittelbar:
Inkrafttreten der KI-Verordnung
Kapitel I (Allgemeine Bestimmungen wie etwa Artikel 4 zur KI-Kompetenz) und Kapitel II (Verbotene Praktiken im KI-Bereich, Artikel 5 KI-Verordnung) des AI Acts finden Anwendung
Kapitel III Abschnitt 4, Kapitel V, Kapitel VII und Kapitel XII sowie Artikel 78 mit Ausnahme des Artikels 101 gelten.
Anbieter von General-Purpose-Modellen (GPAI, dt.: „Allzweck-KI“) müssen Inhalte technisch kennzeichnen (z.B. durch Metadaten, Wasserzeichen). GPAI, die vor dem 2. August 2025 auf den Markt gebracht wurden, müssen Maßnahmen ergreifen, um bis zum 2. August 2027 KI-verordnungskonform zu sein. Die Sanktionsvorschriften der KI-Verordnung werden anwendbar (Artt. 99, 100 AI Act)
Die restlichen Bestimmungen der KI-Verordnung erlangen nun Geltung, mit Ausnahme der Regeln für Hochrisiko-Systeme. So müssen alle Anbieter gewährleisten, dass KI-generierte Inhalte klar erkennbar sind, wenn sie veröffentlicht werden (insbesondere Stimmen, die echt wirken, Texte, Bilder und Videos); insbesondere Transparenzpflichten sind zu beachten (Art. 50 AI Act)
Artikel 6 Absatz 1 und die entsprechenden Pflichten gemäß AI Act gelten und somit finden die Vorschriften und Regeln zu sog. Hochrisiko-Systemen Anwendung
FAQ zum Fahrplan des AI Act
Gilt der AI Act im Unternehmen schon oder ist 2026 erst der Startpunkt?
Er gilt bereits in Teilen. Seit dem 1. August 2024 ist die Verordnung in Kraft, seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken und die Pflicht zu Maßnahmen zur KI-Kompetenz, und seit dem 2. August 2025 greifen zusätzliche Regeln für GPAI-Modelle und die Governance-Struktur.
Gilt die Kennzeichnungspflicht für KI-Inhalte schon seit August 2025?
Hier ist präzise zu unterscheiden. Seit dem 2. August 2025 gelten Pflichten für Anbieter von General-Purpose-AI-Modellen. Für die Transparenzpflichten des Art. 50 AI Act, insbesondere bei Deepfakes und bestimmten KI-generierten oder KI-manipulierten Inhalten, bleibt nach dem derzeit geltenden Rechtsstand der 2. August 2026 der maßgebliche Anwendungszeitpunkt.
Verschiebt der Digital Omnibus den Fahrplan bereits verbindlich?
Nein. Der Digital Omnibus ist nach heutigem Stand ein Gesetzgebungsvorschlag. Solange daraus keine verbindliche Neufassung geworden ist, bleibt der geltende Zeitplan des AI Act der maßgebliche Ausgangspunkt.
Einordnung, Quellen und nächste Anschlussfragen
Was davon heute praktisch fortgilt
Der Beitrag bleibt als Zeitachsen-Text belastbar. Für die Unternehmenspraxis ist inzwischen jedoch wichtiger, den Kalender mit Rollen, Produktkontext, Transparenzpflichten, Dokumentation und internen Zuständigkeiten zusammenzudenken. Wer den nächsten Schritt nicht nur nach Daten, sondern nach Einsatzmodell bewerten will, findet die übergreifende Vertiefung im KI-Recht für Unternehmen.
Offizielle Quellen und weiterführende Hinweise
Weitere Artikel zu diesem Thema
Zuständige Rechtsanwälte bei ITMR
Jean Paul P. Bohne, LL.M., MM
Fachanwalt für IT-Recht, Fachanwalt für Urheber- und Medienrecht sowie AI Officer | KI-Beauftragter [DEKRA]. Naheliegend bei KI-Governance, Verträgen, Schutzrechten und der Einordnung anspruchsvoller KI-Projekte.
Dr. Alexander Pleh
Fachanwalt für IT-Recht sowie AI Officer | KI-Beauftragter [DEKRA]. Naheliegend bei techniknaher AI-Act-Umsetzung, Dokumentationsfragen und der Verankerung von KI in IT- und Organisationsprozessen.
KI-Recht: Wann ist der AI Act wie anwendbar - der Fahrplan