02.08.2026 — was am Enforcement-Start des EU AI Act passiert
Compliance · 10 min · Stand: Mai 2026
Hard Date: 2. August 2026 — Enforcement-Start nach Art. 113 lit. b der Verordnung (EU) 2024/1689. Diese Deadline lässt sich nicht verschieben durch nationale Verzögerungen.
Was ändert sich am 2. August 2026 konkret?
Bis dahin galten viele Teile des EU AI Act bereits — aber ohne aktiven Strafrahmen. Ab dem Enforcement-Datum greifen drei Blöcke parallel:
1. Governance-Strukturen werden operativ
- Nationale Aufsichtsbehörden (Market Surveillance Authorities) müssen benannt sein
- Notified Bodies für Konformitätsbewertung von High-Risk-Systemen sind akkreditiert
- Das European AI Office (Brüssel) übernimmt die Aufsicht über General-Purpose AI
- EU AI Board und Advisory Forum starten formell
2. GPAI-Pflichten (Art. 51-55) gelten verbindlich
- Anbieter von General-Purpose AI Modellen (z.B. GPT, Llama, Mistral) müssen technische Dokumentation vorhalten
- Modelle mit systemischem Risiko (FLOPS-Schwelle 10^25) brauchen zusätzliche Risikobewertung + Cybersicherheit-Nachweise
- Transparenzpflicht: Trainings-Daten-Zusammenfassung muss veröffentlicht werden
- Copyright-Compliance gegenüber EU-Urheberrecht (Text-und-Data-Mining-Opt-Out)
3. Strafrahmen für Art. 4 (KI-Kompetenz) wird durchsetzbar
- Art. 4 (KI-Kompetenz) gilt rechtlich seit 02.02.2025 — aber ohne Strafdurchsetzung
- Ab 02.08.2026: Behörden können Verstöße ahnden mit bis zu EUR 15 Mio. oder 3% Umsatz
- Auch Art. 5 (Verbote) wird durchsetzbar mit bis zu EUR 35 Mio. oder 7% Umsatz
Wer ist betroffen?
| Rolle | Was ab 02.08.2026 verpflichtend ist |
|---|---|
| KMU als Deployer | Nachweisbare KI-Kompetenz für alle Mitarbeitenden, die mit KI arbeiten. KI-Inventar pflichtig. |
| KMU als Provider | Wer eigene KI-Funktionen in Produkten anbietet, braucht Risiko-Klassifizierung pro System. |
| GPAI-Anbieter | Volle technische Dokumentation, Copyright-Statement, Trainingsdaten-Summary. |
| Behörden / öffentliche Stellen | Zusätzlich: Fundamental-Rights-Impact-Assessment (Art. 27) für High-Risk-Systeme. |
6 Schritte für KMUs bis zum 02.08.2026
- 1. KI-Inventar erstellen
Welche KI-Tools werden eingesetzt? ChatGPT, Copilot, KI-Buchhaltung, KI-Übersetzer, Chatbot, Recruiting-KI — alles erfassen mit Hersteller, Zweck, Datenfluss.
- 2. Risikoklasse pro System bestimmen
Verboten (Art. 5), High-Risk (Anhang III), Limited-Risk (Transparenzpflicht), Minimal-Risk. Vorlage: EU AI Act Risikoklassen.
- 3. KI-Kompetenz-Schulung dokumentieren
Wer wurde wann zu welchem Thema geschult? Schulungsprotokolle, Teilnahmebestätigungen, jährliche Auffrischung.
- 4. Transparenz-Pflichten implementieren
Chatbots, KI-generierte Inhalte (Bilder, Texte, Videos) sind kennzeichnungspflichtig. Disclaimer-Texte vorbereiten.
- 5. DPIA / Risikobewertung pro High-Risk-System
Wenn personenbezogene Daten verarbeitet werden: Datenschutz-Folgenabschätzung. Bei High-Risk-KI zusätzlich KI-spezifische Risikobewertung.
- 6. Menschliche Aufsicht sicherstellen
Art. 14 verlangt für High-Risk: KI-Entscheidungen müssen von Menschen überprüft werden können. Eskalationspfade definieren.
Timeline bis Enforcement
| Datum | Status |
|---|---|
| 02.02.2025 | Art. 4 (KI-Kompetenz) + Art. 5 (Verbote) bereits in Kraft — ohne Strafdurchsetzung |
| 02.08.2025 | Governance-Regeln + GPAI-Pflichten gelten |
| 02.08.2026 | ENFORCEMENT-START — vollständige Anwendung, Strafrahmen aktiv |
| 02.08.2027 | High-Risk-KI in regulierten Produkten (Anhang I) verpflichtend konform |
Faustregel für KMUs: Wenn dein Unternehmen ChatGPT, Copilot oder vergleichbare KI-Tools im Arbeitsalltag nutzt, brauchst du bis zum 02.08.2026 mindestens: (a) ein dokumentiertes KI-Inventar, (b) Schulungsnachweise für alle Mitarbeitenden, (c) eine schriftliche Risikoeinschätzung pro System.
Häufige Missverständnisse
„Wir sind zu klein, das gilt nicht für uns."
Falsch. Es gibt keine KMU-Ausnahme von Art. 4. Reduzierte Strafhöchstbeträge ja, aber die Pflicht selbst gilt unabhängig von Unternehmensgröße.
„Wir nutzen nur ChatGPT, das ist doch kein KI-System nach AI Act."
Falsch. Sobald du ChatGPT geschäftlich einsetzt, bist du Deployer eines KI-Systems im Sinne der Verordnung — Art. 4 greift.
„Ein Online-Kurs reicht als Nachweis."
Nur teilweise. Der EU AI Act verlangt Schulung passend zur Rolle und zum Kontext — ein generischer 30-min-Kurs ist meist zu dünn. Buchhaltung, HR und Entwicklung brauchen unterschiedliche Inhalte.
„Erst wenn eine Behörde fragt, müssen wir reagieren."
Riskant. Bei einem Datenschutz-Vorfall mit KI-Beteiligung würde fehlende Dokumentation als verschärfender Umstand gewertet — auch ohne anlasslose Prüfung.
Was AI Engineering empfiehlt
Aus Sicht des AI Engineering Wiki ist die Reihenfolge wichtig: Erst das KI-Inventar, dann die Schulung, dann die Risikoeinschätzung. Wer mit der Risikobewertung beginnt, ohne zu wissen welche Systeme im Einsatz sind, dokumentiert auf Verdacht und verbringt mehr Zeit als nötig. Self-hosted Open-Source-Modelle (z.B. via Ollama) reduzieren die DSGVO-Last erheblich und vereinfachen die Risikobewertung — gleichzeitig bleibt die Pflicht zur KI-Kompetenz-Schulung bestehen, unabhängig vom Deployment-Ort.
Weiterführend in unserem Wiki
- • KI-Kompetenz nach Art. 4 — Praxis-Guide
- • EU AI Act — Vollständige Übersicht
- • EU AI Act Compliance Checkliste
- • VerifyWise — Open-Source-Tool für AI-Compliance
- • EDPS Guidelines — Was der EU-Datenschutzbeauftragte für KI vorgibt
- • DPIA — Datenschutz-Folgenabschätzung für KI
- • EU AI Act Readiness Check (interaktiv)
Weitere Inhalte auf den AI Engineering Plattformen
- • Hub: Kuratierte Skills und MCP Server für AI-Compliance-Workflows — hub.ai-engineering.at
- • YouTube: Video-Erklärungen zu EU AI Act und Compliance — @AIEngineering-at
- • LinkedIn: Updates zu Compliance-Deadlines — Jörg Fuchs auf LinkedIn
- • GitHub: Open-Source-Vorlagen und Audit-Templates — github.com/AI-Engineering-at
Quellen
War dieser Artikel hilfreich?
Nächster Schritt: Compliance in den Betrieb bringen
Nutze fertige DSGVO-Templates, Checklisten und Praxis-Guides für AI-Systeme, die dokumentiert und auditierbar sein müssen.
- Lokal und self-hosted gedacht
- Dokumentiert und auditierbar
- Aus eigener Runtime entwickelt
- Made in Austria