Zum Inhalt springen
10.19Fortgeschritten7 min

EU-AI-Act-Implementation-Tracker 2026-2027: Fristen, Pflichten und der Stand der Umsetzung

Blck Alpaca·
Definition

Der EU-AI-Act-Implementation-Tracker bündelt die verbindlichen Umsetzungs-Fristen der KI-Verordnung (EU 2024/1689) für 2026 und 2027. Kernpunkte: Art.-50-Transparenzpflichten ab 2. August 2026, technische Kennzeichnung generativer Inhalte bis 2. Dezember 2026, Annex-III-Hochrisiko ab 2. Dezember 2027, Annex-I-Produktsicherheits-KI ab 2. August 2028. Stand 2026, viele Termine provisorisch.

Auf einen Blick

  • Art. 50 (Transparenz für Chatbots, Voice-Agents, Deepfakes, synthetische Inhalte) gilt ab 2. August 2026; die technische Kennzeichnung und Wasserzeichen müssen bis 2. Dezember 2026 operativ sein (Gnadenfrist durch den Digital Omnibus von sechs auf drei Monate verkürzt).
  • Der Digital Omnibus (politische Einigung 7. Mai 2026) hat Annex-III-Hochrisiko auf 2. Dezember 2027 und Annex-I-Produktsicherheits-KI auf 2. August 2028 verschoben - rechtlich gilt das aber erst mit förmlicher Verabschiedung vor dem 2. August 2026.
  • Bereits geltend und NICHT verschoben: Art. 5 (Verbote) und Art. 4 (KI-Kompetenz) seit 2. Februar 2025, GPAI-Pflichten (Art. 51-55) seit 2. August 2025; GPAI-Bußgelder (Art. 101) ab 2. August 2026.
  • Bußgelder reichen von 7,5 Mio. EUR / 1,5 Prozent (u.a. Art. 4) über 15 Mio. EUR / 3 Prozent (Art. 26, Art. 50) bis 35 Mio. EUR / 7 Prozent des Weltjahresumsatzes (Art. 5).
  • Living Document: Alle 2027er-Termine und nationalen Umsetzungsgesetze (KI-MIG in DE, AT-Implementierungsakt) sind Stand 2026 provisorisch und vor jeder Entscheidung pro Quartal zu verifizieren.

Der EU-AI-Act-Implementation-Tracker fasst die verbindlichen Umsetzungs-Meilensteine der KI-Verordnung (Regulation (EU) 2024/1689) für die Jahre 2026 und 2027 zusammen. Die zentralen Anker: Die Transparenzpflichten nach Artikel 50 gelten ab dem 2. August 2026, die technische Kennzeichnung generativer Inhalte muss bis 2. Dezember 2026 stehen, und die Annex-III-Hochrisiko-Pflichten greifen - nach dem Digital Omnibus - erst ab 2. Dezember 2027. Alle Angaben Stand 2026; viele Termine sind provisorisch.

Dieser Artikel ist als Living Document angelegt: Die KI-VO befindet sich 2026 mitten in der Implementierungsphase, der sogenannte Digital Omnibus hat mehrere Fristen verschoben, und nationale Umsetzungsgesetze in Deutschland und Österreich sind noch nicht final. Wir kennzeichnen daher konsequent, was bereits gilt und was provisorisch ist.

Drei Schnellantworten für Entscheider

  • Was ist sofort relevant? Art.-50-Transparenz ab 2. August 2026, technische Kennzeichnung/Wasserzeichen bis 2. Dezember 2026. Wer Chatbots, Voice-Agents oder generative KI im Kundenkontakt einsetzt, ist betroffen - unabhängig vom Hochrisiko-Status.
  • Was wurde verschoben? Durch den Digital Omnibus (politische Einigung 7. Mai 2026) rutscht Annex-III-Hochrisiko auf 2. Dezember 2027, Annex-I-Produktsicherheits-KI auf 2. August 2028. Rechtswirksam wird das erst mit förmlicher Verabschiedung vor dem 2. August 2026.
  • Was bleibt unberührt? Verbote (Art. 5) und KI-Kompetenz (Art. 4) seit 2. Februar 2025, GPAI-Pflichten seit 2. August 2025, das gesamte Bußgeld-Regime. Die Verschiebung ist kein Freibrief, KI-Governance aufzuschieben.

Der Implementation-Tracker: Datum, Pflicht, Status

Die folgende Tabelle bildet die zentralen Meilensteine der KI-VO-Implementierung für den Zeitraum 2026-2028 ab. Der Status spiegelt den Stand 2026 nach der politischen Einigung zum Digital Omnibus wider. Provisorische Daten sind ausdrücklich markiert.

Datum

Pflicht / Meilenstein

Status (Stand 2026)

  1. Feb 2025

Art. 5 Verbote + Art. 4 KI-Kompetenz

In Kraft

  1. Aug 2025

GPAI-Pflichten (Art. 51-55), Governance-Kapitel (AI Office, AI Board), Großteil der Penalty-Regelungen

In Kraft

  1. Feb 2026

Kommissions-Leitlinien zur Hochrisiko-Klassifizierung (Art. 6(5)) fällig

Überfällig / noch ausstehend

  1. Aug 2026

Art. 50 Transparenz, Art. 26 Deployer-Pflichten, Art. 27 FRIA, Art. 73 Meldepflicht, volles Bußgeld-Regime, GPAI-Bußgelder (Art. 101)

Geltungsbeginn; durch Omnibus teilweise überlagert

  1. Dez 2026

Art. 50 technische Kennzeichnung / Wasserzeichen (Gnadenfrist auf 3 Monate verkürzt); Marktrücknahme NCII/CSAM-Tools (9. Verbot)

Provisorisch (Omnibus-abhängig)

  1. Aug 2027

Compliance-Deadline für GPAI-Modelle, die vor dem 2. Aug 2025 in Verkehr gebracht wurden (Art. 111(3)); KI-Reallabore (Sandboxes) einzurichten

Provisorisch

  1. Dez 2027

Annex-III-Hochrisiko-Pflichten (verschoben von 2. Aug 2026)

Provisorisch (Omnibus-abhängig)

  1. Aug 2028

Annex-I-Produktsicherheits-KI (verschoben von 2. Aug 2027)

Provisorisch (Omnibus-abhängig)

Hinweis zur Lesart: Solange der Digital Omnibus nicht förmlich verabschiedet ist (das EU-Parlament und der Rat haben sich zur Annahme vor dem 2. August 2026 verpflichtet), bleiben die ursprünglichen Daten - insbesondere der 2. August 2026 für Annex III - der gesetzliche Default. Für jede Compliance-Roadmap ist das eine kritische Absicherung.

Was der Digital Omnibus ändert - und was nicht

Die politische Einigung vom 7. Mai 2026 ist das wichtigste Implementierungs-Ereignis des Jahres. Sie verschiebt den Großteil der materiellen Hochrisiko-Pflichten:

  • Annex III (eigenständige Hochrisiko-Systeme) - etwa KI im Personalwesen (CV-Screening, Leistungsbewertung), Kreditwürdigkeitsprüfung, Versicherungs-Pricing, Bildung, kritische Infrastruktur - von 2. August 2026 auf 2. Dezember 2027.
  • Annex I (KI als Sicherheitskomponente regulierter Produkte) - Medizinprodukte, Maschinen, Aufzüge - von 2. August 2027 auf 2. August 2028. Zusätzlich verengt der Omnibus die Definition der "Sicherheitskomponente".
  • KI-Reallabore (Sandboxes): nationale Behörden müssen diese bis 2. August 2027 einrichten (verschoben von 2. August 2026).

Ebenso wichtig ist, was der Omnibus ausdrücklich nicht anfasst: Art. 4 (KI-Kompetenz), Art. 5 (Verbote), die GPAI-Regeln (Art. 51-55), die Art.-50-Transparenz (nur die technische Gnadenfrist wurde auf drei Monate, Ende 2. Dezember 2026, verkürzt) sowie das Bußgeld-Regime. Führende Kanzleien warnen konsistent davor, die Verschiebung als Einladung zu lesen, KI-Governance zu pausieren. Neu hinzugekommen ist ein 9. Verbot: KI-Systeme zur Erzeugung nicht-einvernehmlicher intimer Inhalte und KI-generierten Materials sexuellen Kindesmissbrauchs ("Nudification Apps") müssen bis 2. Dezember 2026 vom EU-Markt genommen werden.

Art. 50: Die Transparenzpflichten im Detail

Für die meisten DACH-Unternehmen - und insbesondere für Marketing-Agenturen - ist Art. 50 die operativ relevanteste Frist 2026, weil sie unabhängig vom Hochrisiko-Status greift. Die Verordnung kennt vier Pflichten:

Artikel

Auslöser

Adressat

Pflicht

50(1)

KI-System interagiert direkt mit Menschen

Anbieter

Offenlegung, dass mit KI interagiert wird (außer offensichtlich)

50(2)

Erzeugung synthetischer Audio-, Bild-, Video- oder Textinhalte

Anbieter

Maschinenlesbare Kennzeichnung als künstlich erzeugt

50(3)

Emotionserkennung oder biometrische Kategorisierung

Deployer

Information der betroffenen Personen

50(4)

Deepfakes bzw. KI-generierter Text zu Themen öffentlichen Interesses

Deployer

Offenlegung der KI-Erzeugung (Ausnahme bei redaktioneller Kontrolle)

Praktisch heißt das: Wer einen Chatbot oder Voice-Agent betreibt, muss die KI-Disclosure sicherstellen (die "offensichtlich aus dem Kontext"-Ausnahme wird eng ausgelegt - eine menschlich klingende Stimme muss sich offenlegen). Wer generative Inhalte ausspielt, braucht maschinenlesbare Kennzeichnung. Für Deepfake-ähnliche Produkt- oder Influencer-Videos gilt die Deployer-Offenlegung in vollem Umfang.

GPAI-Pflichten: bereits scharf gestellt

Die Pflichten für General-Purpose-AI-Modelle (Art. 51-55) gelten seit dem 2. August 2025 und betreffen die Modell-Ebene unter praktisch jedem Agenten-Stack. Wichtige Eckdaten: Die GPAI-Bußgelder (Art. 101, bis 15 Mio. EUR oder 3 Prozent) werden ab dem 2. August 2026 durchsetzbar - dieser Termin wurde vom Omnibus ausdrücklich unverändert bestätigt. Altmodelle, die vor dem 2. August 2025 in Verkehr gebracht wurden (etwa GPT-4-Klasse), haben bis zum 2. August 2027 Zeit, vollständig konform zu werden (Art. 111(3)).

Die Unterscheidung GPAI versus GPAI-mit-systemischem-Risiko richtet sich nach der Rechenleistung: Ab 10 hoch 25 FLOP kumulativem Trainingsaufwand wird systemisches Risiko vermutet (Art. 51(2)). Die Unterzeichnung des GPAI Code of Practice (10. Juli 2025) schafft eine Compliance-Vermutung - und ist laut Art. 99(7) ein direkter Milderungsgrund im Bußgeldverfahren.

Konkretes Praxisbeispiel: Voice-Agent im Kundenservice

Ein DACH-Mittelständler plant für Oktober 2026 einen Voice-Agent für die eingehende Service-Hotline. Welche Fristen sind bindend?

  • Art. 50(1) ab 2. August 2026: Der Agent muss sich am Gesprächsbeginn als KI zu erkennen geben. Bereits beim Go-Live im Oktober 2026 ist die Offenlegung Pflicht.
  • Art. 4 seit 2. Februar 2025: Die mit dem System betrauten Mitarbeitenden brauchen ein dokumentiertes KI-Kompetenz-Programm. Verstoß-Risiko: bis 7,5 Mio. EUR oder 1,5 Prozent.
  • Art. 26(7) - Mitbestimmung: Vor Inbetriebnahme sind Betriebsrat (DE, u.a. nach § 87 Abs. 1 Nr. 6 BetrVG) bzw. Personalvertretung (AT) zu informieren und zu konsultieren. Das addiert typischerweise 3-6 Monate zur Rollout-Timeline.
  • Hochrisiko-Prüfung: Solange der Agent reines Triage/Routing leistet und keine Entscheidungen über den Zugang zu essenziellen Diensten trifft, bleibt er außerhalb von Annex III. Greift er auf HR- oder Kreditdaten zu, kann er in Annex III(4) oder III(5) kippen - dann wäre ab 2. Dezember 2027 das volle Hochrisiko-Regime einschlägig.

Rechnerisch ist die kritischste Frist also nicht 2027, sondern der 2. August 2026 für die Transparenz plus die parallel laufende Mitbestimmung, die bei einem Oktober-Go-Live spätestens im Frühjahr 2026 angestoßen werden muss.

Nationale Umsetzung in DACH (Stand 2026, provisorisch)

  • Deutschland: Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) liegt als Kabinettsentwurf vom 11. Februar 2026 vor; das parlamentarische Verfahren läuft. Vorgesehen ist die Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde und SPoC, die DAkkS als notifizierende Stelle. Enactment wird für H2 2026 erwartet.
  • Österreich: Die KI-Servicestelle bei RTR/KommAustria ist bislang beratend/koordinierend; ein dedizierter Implementierungsakt ist in Vorbereitung, die Behördenbenennung nach Art. 70 war Anfang 2026 noch unvollständig. Sektoral flankiert die FMA den Finanzbereich.
  • Schweiz: Kein direktes AI-Act-Bußgeld; FINMA (Guidance 08/2024) und Swissmedic bleiben sektoral zuständig, das NCSC verantwortet die Cyber-Incident-Meldung. Ein Umsetzungsgesetz zur Europarats-KI-Konvention soll bis Ende 2026 in die Vernehmlassung gehen. Über Art. 2(1)(c) sind Schweizer Unternehmen erfasst, deren KI-Ausgaben in der EU genutzt werden.

Hinweis: Diese redaktionelle Einordnung ersetzt keine Rechtsberatung. Insbesondere alle 2027er-Termine, der Digital Omnibus und die nationalen Umsetzungsgesetze sind Stand 2026 provisorisch und sollten vor jeder Entscheidung pro Quartal verifiziert werden.

Für Agenturen und B2B: Compliance jetzt operationalisieren

Für Marketing-Agenturen verschiebt sich die naheliegendste Pflicht nach vorn: Wer für Kunden Chatbots, Voice-Agents oder generative Kampagnen-Assets baut, trägt ab 2. August 2026 die Transparenz- und ab 2. Dezember 2026 die Kennzeichnungs-Verantwortung mit - und beim White-Label-Modell kann die "Rebranding"-Falle des Art. 25 die volle Anbieter-Rolle auslösen. Für B2B-Entscheider gilt: Die verschobenen Hochrisiko-Fristen sind kein Grund zur Entwarnung, sondern ein Planungsfenster. Wir bei Blck Alpaca begleiten DACH-Unternehmen dabei, ihren Agenten-Bestand zu inventarisieren, Fristen pro System zu mappen und Transparenz-, Kennzeichnungs- sowie Mitbestimmungs-Prozesse rechtzeitig aufzusetzen. Sprechen Sie uns für einen strukturierten Compliance-Check an, bevor die Fristen 2026 bindend werden.

Häufig gestellte Fragen

Ab wann gelten die Transparenzpflichten nach Artikel 50?
Die materiellen Transparenzpflichten des Art. 50 (Offenlegung bei Chatbots, Voice-Agents, Emotionserkennung, Deepfakes und synthetischen Inhalten) gelten ab dem 2. August 2026. Für die technische Umsetzung - maschinenlesbare Kennzeichnung und Wasserzeichen generativer Ausgaben - hat der Digital Omnibus die Gnadenfrist von sechs auf drei Monate verkürzt; sie endet am 2. Dezember 2026. Stand 2026.
Wurden die Hochrisiko-Fristen durch den Digital Omnibus verschoben?
Ja. Nach der politischen Einigung vom 7. Mai 2026 gelten Annex-III-Hochrisiko-Pflichten erst ab 2. Dezember 2027 (statt 2. August 2026) und Annex-I-Produktsicherheits-KI ab 2. August 2028 (statt 2. August 2027). Wichtig: Die Verschiebung wird erst mit der förmlichen Verabschiedung des Omnibus vor dem 2. August 2026 rechtlich wirksam - bis dahin bleiben die ursprünglichen Daten der gesetzliche Default.
Welche Pflichten gelten bereits und wurden nicht verschoben?
Nicht verschoben sind: Art. 5 (verbotene Praktiken) und Art. 4 (KI-Kompetenz) seit 2. Februar 2025, die GPAI-Pflichten Art. 51-55 seit 2. August 2025, die Art.-50-Transparenz (nur die technische Gnadenfrist endet im Dezember 2026), die Bußgeld-Systematik sowie GPAI-Bußgelder (Art. 101) ab 2. August 2026. Der Omnibus betrifft ausschließlich die materiellen Hochrisiko-Pflichten.
Wie hoch sind die Bußgelder bei Verstößen?
Die KI-VO kennt drei Stufen (Art. 99): bis 35 Mio. EUR oder 7 Prozent des weltweiten Jahresumsatzes für verbotene Praktiken (Art. 5); bis 15 Mio. EUR oder 3 Prozent u.a. für Deployer-Pflichten (Art. 26) und Transparenz (Art. 50); bis 7,5 Mio. EUR oder 1,5 Prozent für Falschauskünfte und allgemeine Verstöße inklusive Art. 4 (KI-Kompetenz). Für KMU und - laut Omnibus - Small Mid-Caps gilt jeweils der niedrigere Betrag.
Wer ist in Deutschland und Österreich die zuständige Behörde?
In Deutschland soll die Bundesnetzagentur (BNetzA) zentrale Marktüberwachungsbehörde und SPoC werden; der KI-MIG-Kabinettsentwurf datiert vom 11. Februar 2026, das parlamentarische Verfahren läuft. In Österreich fungiert die KI-Servicestelle bei RTR/KommAustria bislang als Beratungs- und Koordinationsstelle; ein dedizierter Implementierungsakt ist in Vorbereitung. Beides ist Stand 2026 provisorisch.
Ersetzt dieser Tracker eine Rechtsberatung?
Nein. Dieser Tracker ist eine redaktionelle Einordnung auf Basis öffentlich verfügbarer Quellen (Stand 2026) und keine Rechtsberatung. Viele Fristen - insbesondere alle 2027er-Termine, der Digital Omnibus und die nationalen Umsetzungsgesetze - sind provisorisch. Für verbindliche Aussagen zu Ihrer konkreten Konstellation ziehen Sie bitte spezialisierte juristische Beratung hinzu.

Tiefer einsteigen?

Erhalte neue Analysen direkt ins Postfach – oder sieh dir an, wie wir dieses Wissen für Unternehmen umsetzen.

Newsletter abonnierenUnsere Services
VorherigerA2A-Adoption-Prognose 2026–2028: Wer macht mit, wer nichtNächsterAGI und Agenten: Was für Praktiker relevant ist (und was Hype)