Jan 23 / David Gall

EU AI Act Timeline 2026: Umsetzung in Deutschland

Der EU AI Act wird ab 2026 vom abstrakten „KI-Gesetz“ zur ganz konkreten Compliance‑Pflicht. Viele Unternehmen in Deutschland stehen vor denselben Fragen:

  • Wann gelten welche Anforderungen?
  • Wie setzt Deutschland die KI‑Verordnung national um (Aufsichtsbehörden, Verfahren, Bußgelder)?
  • Was müssen Unternehmen bis August 2026 konkret erledigen?

Gute Nachricht: Die Timeline ist klar strukturiert und wer jetzt systematisch vorgeht, kann sich rechtzeitig vorbereiten. In diesem Artikel erhalten Sie eine praxisnahe, faktenbasierte Übersicht zur EU AI Act Timeline 2026 mit Fokus auf der Umsetzung in Deutschland.

Kurzüberblick – Was ist der EU AI Act?

Der EU AI Act (Verordnung (EU) 2024/1689) ist die erste umfassende, horizontal geltende KI‑Regulierung weltweit. Ziel ist es, einen einheitlichen Rechtsrahmen für Entwicklung, Bereitstellung und Nutzung von KI‑Systemen im EU‑Binnenmarkt zu schaffen. 
Die Verordnung wurde am 12. Juli 2024 im Amtsblatt der EU veröffentlicht und ist am 1. August 2024 in Kraft getreten.
Für eine ausführliche, verständliche EU AI Act Erklärung (inkl. Pflichten, Risikoklassen und Rollen im Unternehmen) empfiehlt sich ein tieferer Einstieg, etwa über unseren Fachartikel EU AI Act Leitfaden 2026: Pflichten, Risiken und Umsetzung für Unternehmen

EU AI Act Timeline bis 2026 – die wichtigsten Meilensteine

Die Anforderungen des AI Act gelten nicht auf einen Schlag, sondern in gestaffelten Phasen über rund drei Jahre.
Eine detaillierte, regelmäßig aktualisierte Darstellung finden Sie hier.

Was ist bis August 2026 besonders wichtig?

Bereits seit Februar 2025 verboten: „Unacceptable‑Risk“-Praktiken (z. B. bestimmte manipulative oder social‑scoring‑basierte KI) sowie Pflichten zur KI‑Kompetenz (AI Literacy) für Nutzer:innen und Verantwortliche.

Ab August 2025: Pflichten für GPAI‑Modelle (z. B. Dokumentation, Transparenz, Training‑Daten‑Informationen).

Stichtag 2. August 2026: Die meisten operativen Pflichten für bestimmte KI‑Systeme gelten (z. B. Schulungspflicht, Konformitätsbewertung, Risikomanagement, technische Dokumentation, Human Oversight, Post‑Market‑Monitoring).

Für viele Organisationen wird 2026 damit zum entscheidenden Jahr, in dem Ai Act Pflichten für Unternehmen vollständig in die bestehende Governance und Compliance integriert sein müssen.

Nationale Umsetzung des AI Act in Deutschland

Obwohl der EU AI Act als Verordnung unmittelbar gilt, müssen die Mitgliedstaaten u. a.:

  • Nationale Aufsichtsstrukturen schaffen 
  • Marktüberwachungsbehörden und notifizierende Stellen benennen
  • Bußgeld‑ und Verfahrensregelungen ausdifferenzieren

Gesetz zur Durchführung der KI-Verordnung (KI-MIG)

In Deutschland dient das „Gesetz zur Durchführung der KI‑Verordnung“ (inkl. KI‑Marktüberwachungs- und Innovationsförderungsgesetz – KI‑MIG) der Umsetzung.

Es regelt insbesondere:

  • Benennung der national zuständigen Behörden („nationale KI‑Governance“)
  • Aufgaben, Kooperation und Informationsaustausch
  • Verfahrensfragen und Bußgeldrahmen

Bundesnetzagentur als zentrale KI-Marktüberwachungsbehörde

Die Bundesregierung hat sich für die Bundesnetzagentur (BNetzA) als zentrale KI‑Marktüberwachungsbehörde entschieden. 

Die BNetzA bündelt KI‑Expertise zur Durchführung der EU‑Verordnung und wird als zentrale Aufsichts- und Beratungsstelle aufgebaut. Sie ist bereits heute Marktüberwachungsbehörde für bestimmte Technikbereiche und erweitert diese Rolle auf KI‑Systeme im Sinne der KI‑Verordnung. Damit zeichnet sich die AI Act Aufsichtsbehörde in Deutschland klar ab, auch wenn sektorale Behörden (z. B. Datenschutzaufsicht, Medizinprodukte, Finanzaufsicht) weiterhin eine wichtige Rolle spielen.

EU AI Act & harmonisierte Normen – Rolle von Standards und ISO/IEC 42001

Der AI Act folgt dem New Legislative Framework (NLF) der EU: Für viele technische Anforderungen sollen harmonisierte Normen entwickelt werden, an denen sich Konformitätsbewertungen orientieren. 

CEN-CENELEC & JTC 21

Die europäischen Normungsorganisationen CEN und CENELEC haben mit dem Joint Technical Committee 21 (JTC 21) ein zentrales Gremium zur KI‑Standardisierung geschaffen.

Ziele sind u. a.:
  • Entwicklung harmonisierter Normen zur Unterstützung des EU AI Act,
  • Berücksichtigung europäischer Anforderungen (z. B. DSGVO, Grundrechte),
  • Bereitstellung von Leitlinien für andere Normungsgremien.

Warum harmonisierte Normen für Unternehmen wichtig sind

Wenn ein Unternehmen eine einschlägige harmonisierte Norm einhält, genießt es eine Vermutung der Konformität mit den entsprechenden Anforderungen des AI Act, ein wichtiger Hebel für effizientere AI Act Konformitätsbewertung. 

Praktische Vorteile:
  • Klarere technische Soll‑Vorgaben,
  • bessere Vorbereitung auf Audits und Marktüberwachung,
  • erleichterte Nachweise in der technischen Dokumentation

ISO/IEC 42001 als KI-Managementsystem

Parallel entsteht mit ISO/IEC 42001 ein internationaler Standard für AI Managementsysteme, der u. a. Governance, Risikomanagement und kontinuierliche Verbesserung von KI‑Systemen adressiert

Viele Expert:innen sehen Synergien:
ISO/IEC 42001 kann als Managementsystem‑Rahmen dienen, der bei der operationalen Umsetzung der AI‑Act‑Anforderungen (Risikomanagement, Governance, Monitoring) unterstützt. 

Für Unternehmen bedeutet das: Wer heute ein strukturiertes KI‑Risikomanagement und KI‑Governance‑Richtlinien aufbaut – idealerweise im Sinne von ISO/IEC 42001 – ist für die AI‑Act‑Pflichten ab 2026 wesentlich besser aufgestellt.

Was bedeutet die EU AI Act Timeline 2026 konkret für Unternehmen?

  • Ab 2026 werden aus abstrakten Konzepten konkrete Prüfgegenstände für Aufsicht, Auditor:innen und interne Revision.


Typische Themen sind u. a.:

Risikoklassifizierung & Anwendungsbereich
  • Welche Ihrer KI‑Systeme sind hochrisiko im Sinne des AI Act?
  • Unterliegen GPAI‑Modelle im Unternehmen eigenen Pflichten?

KI‑Risikomanagement-Prozess
  • Systematische Erfassung, Bewertung und Behandlung von Risiken (Bias, Sicherheit, Compliance, Grundrechte).

KI‑Governance & Rollen
  • Klare Verantwortlichkeiten (z. B. Rolle eines AI Officer), Gremien, Reporting‑Wege.
  • Richtlinien & Muster

Datenqualität & Dokumentation 
  • Anforderungen an Datenqualität, Nachvollziehbarkeit und Protokollierung.
  • Vollständige technische Dokumentation und Konformitätsbewertung für Hochrisiko‑Systeme.

Human Oversight & Monitoring
  • Einrichtung und Dokumentation von Human Oversight
  • Post‑Market‑Monitoring und Vorfallmeldung

Praktische Schritte bis 2. August 2026

Schritt 1: KI‑Inventar & Anwendungsbereich klären

  • Vollständige Liste aller KI‑Systeme & KI‑Funktionen im Unternehmen („KI‑Register“).
  • Zuordnung zu Geschäftsprozessen (z. B. HR‑Recruiting, Kredit‑Scoring, Produktion, Marketing, Healthcare‑Software etc.).
  • Erste Einschätzung der Risikoklassen, z. B. mithilfe unseres kostenlosen Selbsttest in nur zwei Minuten:
Schritt 2: Risiko- & Gap‑Analyse gegenüber AI Act

  • Mapping bestehender Prozesse auf AI‑Act‑Pflichten, u. a.:
  • Risikomanagement, Datenqualität, Governance, Transparenz, IT‑Sicherheit.
  • Schnittstellen zu DSGVO (Rechtsgrundlagen, Betroffenenrechte) und NIS2 (Sicherheitsmaßnahmen, Meldungen).

Schritt 3: KI‑Governance und Richtlinien etablieren

Aufbau oder Weiterentwicklung von:

  • KI‑Governance-Richtlinien (z. B. Nutzung von generativer KI, Kennzeichnungspflichten ai act kennzeichnung transparenzpflichten).
  • Zuständigkeiten (z. B. AI Officer, KI‑Steuerungsgremium, Schnittstellen zu Datenschutz, Informationssicherheit, Compliance).
  • Einbindung von HR, Betriebsrat & Legal
Schritt 4: Schulung & Awareness – EU AI Act Pflichtschulung

Ohne KI‑Kompetenz der Mitarbeitenden lassen sich die neuen Pflichten kaum wirksam umsetzen.

Hier setzen die Online‑Schulungen von Certurio an:
  • EU AI Act Pflichtschulung alle relevanten Rollen (Mitarbeitende, HR, Führungskräfte, Technik).
  • Inhalte u. a.: EU AI Act Erklärung, Risikoklassen, Anwendungsbereich,
  • Pflichten für Unternehmen
  • KI‑Risikomanagement & Governance 
  • Schnittstellen zu DSGVO Vorlagen, Checklisten und praxisnahe Beispiele.


Formate: flexibles Online‑Training / E‑Learning.
Mit Teilnahmezertifikat, audit‑relevant und geeignet als Baustein einer AI‑Officer Ausbildung bzw. zur Vorbereitung auf eine interne AI Officer Rolle.

Certurio bringt dabei TÜV‑zertifizierte Expertise, Harvard‑Wissen und hohe Praxisnähe zusammen – ein wichtiger Mehrwert, wenn Sie sich gezielt auf Prüfungen und Audits vorbereiten möchten.

FAQ zur EU AI Act Timeline 2026 & Umsetzung in Deutschland

Ab wann gilt der EU AI Act für mein Unternehmen?

  • Der AI Act gilt als Verordnung bereits seit 1. August 2024.
  • Seit 2. Februar 2025 sind Verbote unvertretbarer KI‑Praktiken und AI‑Literacy‑Pflichten wirksam. 
  • Für die meisten KI‑Systeme werden die Pflichten ab 2. August 2026 relevant.

Wer ist in Deutschland Aufsichtsbehörde für den AI Act?

Nach dem deutschen Umsetzungskonzept soll die Bundesnetzagentur zentrale KI‑Marktüberwachungsbehörde und notifizierende Behörde werden. Je nach Sektor bleiben zusätzlich spezialisierte Aufsichtsbehörden zuständig (z. B. Datenschutzaufsicht, Finanz- oder Medizinprodukteaufsicht). 

Welche Bußgelder drohen bei Missachtung des EU AI Act?

Bußgelder von bis zu 35 Millionen Euro oder 7% des Jahresumsatzes.
Empty space, drag to resize
Unser vollständiges FAQ zum Thema EU AI Act finden Sie hier.

Fazit – Warum die nächsten 18 Monate entscheidend sind

Die EU AI Act Timeline 2026 macht deutlich:
  • Der rechtliche Rahmen steht und die Umsetzung in Deutschland läuft auf Hochtouren. 
  • Mit der Bundesnetzagentur als geplanter zentraler Marktüberwachungsbehörde wird klar, dass KI‑Systeme künftig intensiv reguliert und überwacht werden.
  • Für Unternehmen werden 2025/2026 die Jahre, in denen KI‑Compliance vom „Nice‑to‑have“ zur Pflicht wird.


Wer jetzt:
  • den Anwendungsbereich klärt,
  • ein belastbares KI‑Inventar & Risikomanagement aufbaut,
  • Governance, Richtlinien und Rollen definiert und
  • seine Mitarbeitenden mit einer strukturierten EU AI Act Pflichtschulung befähigt,

wird den Stichtag 2. August 2026 nicht als Risiko, sondern als Bestätigung der eigenen Professionalität erleben.
Created with