EU AI Act 2026: Was sich seit Inkrafttreten verändert hat – ein Zwischenstand

Seit dem Inkrafttreten der KI-Verordnung (EU) 2024/1689 am 1. August 2024 hat sich die regulatorische Landschaft für Künstliche Intelligenz in Europa grundlegend verändert. Erste Verbote greifen, Pflichten für Anbieter allgemeiner KI-Modelle sind anwendbar, und die nationale Umsetzung nimmt Fahrt auf. Gleichzeitig hat die Europäische Kommission mit dem Digital Omnibus on AI einen Änderungsvorschlag vorgelegt, der zentrale Fristen verschiebt und die Umsetzung insbesondere für mittelständische Unternehmen erleichtern soll.

Für Unternehmen, die KI-Systeme entwickeln, einsetzen oder vertreiben, bedeutet das: Die Anforderungen werden konkreter, aber auch die Unsicherheit über den genauen Zeitplan nimmt zu. Dieser Beitrag ordnet die wichtigsten Entwicklungen der vergangenen zwölf Monate ein und gibt einen Überblick darüber, wo der EU AI Act im Frühjahr 2026 steht und was als Nächstes kommt.

1. Verbotene Praktiken und KI-Kompetenz: Die erste Umsetzungsstufe

Am 2. Februar 2025 traten die ersten materiellen Pflichten aus dem EU AI Act in Kraft: die Verbote unannehmbar riskanter KI-Praktiken nach Art. 5 sowie die Pflicht zur KI-Kompetenz (AI Literacy) nach Art. 4. Seit dem 2. August 2025 sind diese Bestimmungen auch sanktionsbewehrt – bei Verstößen gegen die Verbote drohen Bußgelder von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem welcher Betrag höher ist.

Zu den verbotenen KI-Praktiken gehören:

• KI-Systeme, die menschliches Verhalten durch subliminale Techniken oder täuschende Methoden manipulieren, wenn dies zu erheblichem Schaden führen kann
• Soziale Bewertungssysteme (Social Scoring) durch Behörden oder private Akteure, die zu unverhältnismäßiger Benachteiligung führen
• Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum für Strafverfolgungszwecke, mit eng definierten Ausnahmen
• Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
• Ungezieltes Scraping von Gesichtsbildern aus dem Internet oder aus Überwachungskameras
• Kategorisierung von Personen anhand biometrischer Daten zur Ableitung sensibler Merkmale wie ethnische Herkunft oder sexuelle Orientierung

Stand April 2026 sind keine öffentlichen Durchsetzungsmaßnahmen gegen Unternehmen bekannt. Es wird jedoch berichtet, dass mehrere Untersuchungen in den Bereichen Emotionserkennung am Arbeitsplatz und prädiktive Polizeiarbeit eingeleitet wurden. Art. 112 der KI-Verordnung verpflichtet die Kommission zu einer jährlichen Überprüfung der Verbotsliste. Die erste Bewertung war zum Jahrestag der Anwendbarkeit im Februar 2026 fällig. Eine erweiterte Verbotsliste ist bislang nicht veröffentlicht worden, die Kommission kann jedoch auf Basis neuer Erkenntnisse Änderungen im Wege delegierter Rechtsakte vorschlagen.

Die Pflicht zur KI-Kompetenz nach Art. 4 verlangt von Anbietern und Betreibern, dass ihre Mitarbeitenden und Auftragnehmer, die mit KI-Systemen arbeiten, über ein ausreichendes Maß an KI-Verständnis verfügen. Der Gesetzgeber lässt Unternehmen erheblichen Spielraum bei der Ausgestaltung – weder Inhalte noch Formate der Schulungen sind vorgegeben. Entscheidend ist jedoch, dass entsprechende Maßnahmen tatsächlich umgesetzt und dokumentiert werden. Unternehmen sollten dabei den Umfang an die konkreten Risiken und die Komplexität der eingesetzten KI-Systeme anpassen.

2. GPAI-Pflichten und der Code of Practice

Mit dem 2. August 2025 wurden die Pflichten für Anbieter von KI-Modellen mit allgemeinem Verwendungszweck (General-Purpose AI, GPAI) nach Art. 53 anwendbar. Betroffen sind alle GPAI-Modelle, die ab diesem Datum auf dem EU-Markt bereitgestellt werden. Für bereits zuvor verfügbare Modelle gilt eine Übergangsfrist bis zum 2. August 2027.

Bereits am 10. Juli 2025 hatte die Europäische Kommission den General-Purpose AI Code of Practice veröffentlicht. Dieser freiwillige Verhaltenskodex wurde in einem mehrmonatigen Konsultationsprozess mit Anbietern, der Zivilgesellschaft und Wissenschaft erarbeitet und umfasst drei Kapitel:

• Transparenz: Anforderungen an die Dokumentation von Modellfähigkeiten, technischen Spezifikationen und die Erstellung sogenannter System Cards, die wesentliche Modellinformationen strukturiert zusammenfassen.
• Urheberrecht: Maßnahmen zur Wahrung von Urheber- und verwandten Schutzrechten, insbesondere im Hinblick auf die Verwendung geschützter Inhalte für das Training von KI-Modellen.
• Sicherheit: Anforderungen an eine verantwortungsvolle Bereitstellung, einschließlich Risikobewertungen, Red-Teaming-Verfahren und Schutzmaßnahmen gegen Missbrauch.

Der Code of Practice ist rechtlich nicht bindend, wird von der Kommission und dem KI-Ausschuss jedoch als geeignetes Mittel zum Nachweis der Regelkonformität anerkannt. Er fungiert damit als eine Art „Safe Harbour“, bis harmonisierte Normen vorliegen. Für die Praxis bedeutet das: Anbieter, die den Code of Practice einhalten, können davon ausgehen, dass die Kommission dies bei der Bewertung der Compliance berücksichtigt.

Die eigentliche Durchsetzung der GPAI-Pflichten durch die Kommission beginnt am 2. August 2026 – ein Jahr nach Anwendbarkeit der Pflichten. Die Durchsetzungsbefugnisse umfassen Informationsanforderungen, Zugang zu Modellen und im äußersten Fall den Rückruf von Modellen.

3. Der Digital Omnibus on AI: Fristverschiebung und Vereinfachung

Am 19. November 2025 hat die Europäische Kommission den Digital Omnibus on AI vorgelegt – einen Änderungsvorschlag zur KI-Verordnung, der die Umsetzung erleichtern und zentrale Fristen für Hochrisiko-KI-Systeme verschieben soll. Der Vorschlag reagiert auf Erfahrungen der ersten Umsetzungsmonate und auf Rückmeldungen aus Wirtschaft, Verwaltung und Zivilgesellschaft.

Die wesentlichen Elemente des Digital Omnibus:

• Fristverschiebung für Hochrisiko-KI: Die Pflichten für eigenständige Hochrisiko-KI-Systeme nach Anhang III (u. a. biometrische Systeme, KI in der Personalauswahl, im Bildungswesen, in der Kreditwürdigkeitsprüfung) sollen nicht mehr am 2. August 2026, sondern am 2. Dezember 2027 greifen. Für in regulierte Produkte eingebettete KI-Systeme nach Anhang I ist der 2. August 2028 vorgesehen.
• Erleichterungen für den Mittelstand: Die Kommission schlägt vor, die Kategorie der „Small Mid-Caps“ auf den AI Act auszudehnen. Nach dem Kommissionsvorschlag umfasst diese Kategorie Unternehmen mit bis zu 750 Mitarbeitenden und bis zu 150 Millionen Euro Umsatz. Das Europäische Parlament plädiert für höhere Schwellen (bis 1.000 Mitarbeitende, 200 Millionen Euro Umsatz). Die endgültige Definition wird im Trilog festgelegt. Diese Unternehmen sollen vereinfachte Dokumentationspflichten erhalten.
• Erweiterung der Verbotsliste: Nicht einvernehmlich erstellte intime Darstellungen (sogenannte Deepfake-Pornografie) und KI-generierte Darstellungen von Kindesmissbrauch sollen als verbotene Praktiken in Art. 5 aufgenommen werden. Sowohl der Rat als auch das Parlament unterstützen diese Erweiterung.
• Stärkung des AI Office: Das AI Office der Kommission soll als zentrale Durchsetzungs- und Koordinierungsstelle weiter ausgebaut werden.

Der Rat der EU hat am 13. März 2026 unter der zyprischen Ratspräsidentschaft seine Verhandlungsposition angenommen. Zentrale Forderung: feste Fristen statt der von der Kommission vorgeschlagenen offenen Terminierung. Das Europäische Parlament folgte am 26. März 2026 mit deutlicher Mehrheit (569 zu 45 Stimmen bei 23 Enthaltungen) und unterstützt die Fristen Dezember 2027 und August 2028.

Die Trilog-Verhandlungen zwischen Rat, Parlament und Kommission haben Ende März begonnen. Ein zweiter Trilog ist für den 28. April 2026 angesetzt. Die zyprische Ratspräsidentschaft strebt eine Einigung bis Mai 2026 an – unter Zeitdruck, denn ohne verabschiedeten Omnibus würden die ursprünglichen Hochrisiko-Fristen am 2. August 2026 greifen. Die breite Übereinstimmung zwischen Rat und Parlament lässt eine zügige Einigung erwarten.

4. Nationale Umsetzung: Unterschiedliches Tempo in den Mitgliedstaaten

Die Mitgliedstaaten sind verpflichtet, nationale Aufsichtsstrukturen einzurichten und die Verordnung in ihre Verwaltungspraxis zu integrieren. Die Frist für die Benennung nationaler zuständiger Behörden war der 2. August 2025. Der Stand der Umsetzung variiert erheblich.

Deutschland hat am 11. Februar 2026 einen Kabinettsentwurf für das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) beschlossen. Die Bundesnetzagentur wird als zentrale KI-Aufsichtsbehörde fungieren und durch eine neu geschaffene unabhängige KI-Marktüberwachungskammer (UKIM) unterstützt. Der Entwurf befindet sich derzeit im parlamentarischen Verfahren. Deutschland hat damit die Frist vom August 2025 zwar überschritten, zeigt aber einen klaren institutionellen Fahrplan.

Finnland gehört zu den am weitesten fortgeschrittenen Mitgliedstaaten bei der nationalen Umsetzung. Seit dem 1. Januar 2026 sind die Gesetze über die Befugnisse der Aufsichtsbehörden in Kraft. Die Marktüberwachung ist auf mehrere sektorale Behörden verteilt, mit der Kommunikationsbehörde Traficom als zentraler Anlaufstelle. Ein eigenständiges Sanktionsgremium für Bußgelder über 100.000 Euro wurde eingerichtet. Ergänzende Regelungen, etwa zu regulatorischen Sandboxes und der Hochrisiko-Datenbank, werden bis August 2026 erwartet.

Frankreich hat die Datenschutzbehörde CNIL als zuständige Stelle benannt, verfügt jedoch Stand April 2026 noch nicht über vollständig designierte nationale Aufsichtsstrukturen – mehr als fünf Monate nach Ablauf der Frist vom August 2025. Die CNIL steht vor der Herausforderung, Expertise in den Bereichen Datenwissenschaft, maschinelles Lernen und Cybersicherheit aufzubauen.

Der Grad der nationalen Umsetzung unterscheidet sich deutlich: Während einige Mitgliedstaaten wie Finnland, Belgien und Polen bereits operative Aufsichtsstrukturen aufgebaut haben, fehlten in anderen Ländern zum Jahreswechsel 2025/2026 noch die gesetzlichen Grundlagen oder die formelle Benennung der zuständigen Behörden. Für Unternehmen, die grenzüberschreitend tätig sind, ergibt sich daraus eine zusätzliche Komplexität: Die Aufsichtslandschaft ist fragmentiert, und die Auslegung einzelner Bestimmungen kann von Mitgliedstaat zu Mitgliedstaat variieren.

5. Normen und Orientierungshilfen: Wann kommt die praktische Grundlage?

Die praktische Umsetzung des EU AI Act hängt maßgeblich von harmonisierten europäischen Normen und ergänzenden Orientierungshilfen der Kommission ab. Ohne diese fehlt Unternehmen die konkrete technische Grundlage, um Konformität nachzuweisen.

CEN/CENELEC, die europäischen Normungsorganisationen, haben im Oktober 2025 ein Beschleunigungspaket verabschiedet, um zentrale Normen bis zum vierten Quartal 2026 bereitzustellen. Der gemeinsame Technische Ausschuss JTC 21 „Artificial Intelligence“ umfasst über 300 Experten aus mehr als 20 Ländern, organisiert in fünf Arbeitsgruppen zu den Themen Vertrauenswürdigkeit, Risikomanagement, Qualitätsmanagement, Konformitätsbewertung und Spezialgebiete wie Datensätze, Verzerrung und Cybersicherheit.

Die erste harmonisierte Norm, prEN 18286 zum Qualitätsmanagementsystem für die Zwecke des EU AI Act, befand sich bis Januar 2026 in der öffentlichen Konsultation. Die Verabschiedung wird für das vierte Quartal 2026 erwartet. Weitere Normen zu Risikomanagement und Konformitätsbewertung befinden sich in der Entwicklung.

Parallel arbeitet die Kommission an einem Code of Practice zur Kennzeichnung und Markierung KI-generierter Inhalte gemäß Art. 50. Ein erster Entwurf wurde am 17. Dezember 2025 veröffentlicht, die finale Fassung wird für Juni 2026 erwartet. Damit steht die Orientierungshilfe rechtzeitig vor dem Anwendungsdatum für Transparenzpflichten am 2. August 2026 zur Verfügung. Für die spezifischen Wasserzeichen-Anforderungen nach Art. 50 Abs. 2 fordert das Europäische Parlament eine Frist bis zum 2. November 2026; die Kommission hatte eine längere Übergangsfrist bis Februar 2027 vorgeschlagen. Die endgültige Frist hängt vom Ergebnis der Trilog-Verhandlungen ab.

Fazit: Handlungsfähigkeit trotz Planungsunsicherheit

Der EU AI Act ist kein statisches Regelwerk. In weniger als zwei Jahren seit Inkrafttreten hat sich die regulatorische Realität mehrfach verändert: Verbote greifen, GPAI-Pflichten sind in Kraft, und der Digital Omnibus verschiebt die Fristen für Hochrisiko-KI voraussichtlich um mehr als ein Jahr. Gleichzeitig fehlen für viele Anforderungen noch die konkreten technischen Normen, an denen sich Unternehmen orientieren können.

Für Unternehmen ergibt sich daraus eine doppelte Anforderung. Einerseits müssen bereits geltende Pflichten umgesetzt sein: die Verbote nach Art. 5, die KI-Kompetenzpflicht nach Art. 4 und die GPAI-Vorgaben nach Art. 53. Andererseits bleibt die konkrete Planung für Hochrisiko-KI-Systeme mit Unsicherheit behaftet, solange der Digital Omnibus nicht verabschiedet ist.

Die Empfehlung lautet: Nicht auf die verschobenen Fristen warten, sondern die gewonnene Zeit nutzen. Unternehmen, die jetzt ihre KI-Systeme inventarisieren, eine Risikoklassifizierung durchführen, Governance-Strukturen aufbauen und die Konformitätsbewertung vorbereiten, werden unabhängig vom genauen Anwendungsdatum besser aufgestellt sein. Die regulatorische Richtung ist klar – der Zeitplan mag sich verschieben, die Substanz der Anforderungen nicht.

Lesen Sie mehr zum Thema!

• EU AI Act – Die vier Risikoklassen im Überblick
• Compliance-Strategien für Hochrisiko-KI im Unternehmen