Am 2. August 2026 wird der EU AI Act in seiner zentralen Stufe wirksam. Ab diesem Stichtag gelten die strengen Vorgaben für Hochrisiko-KI in der gesamten Europäischen Union. Die Verordnung 2024/1689 ist bereits am 1. August 2024 in Kraft getreten und wird seitdem in mehreren Phasen scharfgeschaltet. Verbotene Praktiken wie Social Scoring sind seit dem 2. Februar 2025 untersagt. Pflichten für große Sprachmodelle wie ChatGPT, Gemini oder Claude greifen seit dem 2. August 2025. Im Sommer 2026 kommt die nächste Welle. In Deutschland übernimmt die Bundesnetzagentur die zentrale Marktüberwachung. Hier erfährst du, was sich konkret für dich ändert, wo du dich beschweren kannst und welche Bußgelder drohen, wenn Anbieter sich nicht an die Regeln halten.
Risikoklassen und was sie bedeuten
Der EU AI Act sortiert KI-Systeme in vier Risikoklassen. Je größer der potenzielle Schaden, desto strenger sind die Pflichten. Diese Pyramide ist das Herzstück der Verordnung und entscheidet, ob ein System verboten ist, Auflagen erfüllen muss oder frei genutzt werden darf.
| Risikoklasse | Beispiele | Pflichten |
|---|---|---|
| Verboten | Social Scoring durch Behörden, Emotionserkennung am Arbeitsplatz, ungezielte Gesichtserkennung im öffentlichen Raum | Verbot des Inverkehrbringens und der Nutzung |
| Hochrisiko | Bewerber-Scoring, Kreditprüfung, kritische Infrastruktur, medizinische Diagnose, Schulnoten-KI | Risikomanagement, Dokumentation, menschliche Aufsicht, CE-Konformität |
| Begrenztes Risiko | Chatbots, Deepfakes, KI-generierte Texte und Bilder | Kennzeichnungspflicht und Transparenz |
| Minimales Risiko | Spam-Filter, KI in Videospielen, Empfehlungssysteme im Handel | keine spezifischen AI-Act-Pflichten |
Verboten sind seit Februar 2025 unter anderem KI-Systeme, die menschliches Verhalten unterschwellig manipulieren, Schwächen schutzbedürftiger Personen ausnutzen oder Behörden eine Bewertung der Vertrauenswürdigkeit von Bürgerinnen und Bürgern erlauben. Auch das massenhafte Auslesen von Gesichtsbildern aus dem Internet zum Aufbau von Erkennungsdatenbanken ist nicht mehr erlaubt. Hochrisiko-Systeme, die du im Alltag berührst, sind etwa Software, die Bewerbungen vorsortiert, Bonität bewertet oder ärztliche Diagnosen unterstützt. Solche Systeme dürfen weiter eingesetzt werden, müssen aber strenge Auflagen erfüllen.
Zeitplan: Was ab wann gilt
Der EU AI Act tritt in Etappen in Kraft. Die Europäische Kommission hat den 1. August 2024 als formellen Startschuss festgelegt, ab dem die einzelnen Pflichten gestaffelt scharfgeschaltet werden. Das soll Unternehmen Zeit geben, ihre Prozesse anzupassen, gibt aber auch dir als Verbraucher klare Stichtage, ab denen du auf bestimmte Standards bestehen kannst.
| Phase | Stichtag | Was passiert |
|---|---|---|
| Inkrafttreten | 1. August 2024 | Verordnung 2024/1689 wird offiziell wirksam |
| Verbotene Praktiken | 2. Februar 2025 | Social Scoring, Manipulation, Massenüberwachung untersagt |
| GPAI-Pflichten | 2. August 2025 | Regeln für ChatGPT, Gemini, Claude und ähnliche Modelle gelten |
| Hochrisiko-Systeme | 2. August 2026 | Volle Anwendung für eigenständige Hochrisiko-KI |
| Eingebettete Hochrisiko-KI | 2. August 2027 | Übergangsfrist für KI in regulierten Produkten endet |
Der wichtigste Termin für die meisten Verbraucher ist der 2. August 2026. Ab diesem Tag müssen Anbieter von Hochrisiko-Systemen ein dokumentiertes Risikomanagement vorweisen, eine technische Dokumentation pflegen, ihre Trainingsdaten auf Qualität prüfen und menschliche Aufsicht ermöglichen. Wer eine KI-Software kauft oder nutzt, kann sich darauf verlassen, dass diese Anforderungen erfüllt sind. Für eingebettete Systeme, etwa KI in Medizingeräten oder Maschinen, läuft die Frist noch ein Jahr länger bis zum 2. August 2027.
Kennzeichnungspflicht für KI-Inhalte
Artikel 50 der Verordnung verpflichtet Anbieter, KI-generierte Inhalte klar zu kennzeichnen. Die Pflicht greift ab dem 2. August 2026 vollumfänglich. Drei Kategorien von Inhalten sind betroffen, und du wirst sie im Alltag häufig wiedererkennen. Erstens müssen Chatbots und virtuelle Assistenten dir mitteilen, dass du nicht mit einem Menschen sprichst. Zweitens müssen synthetische Medien wie Deepfakes als künstlich erkennbar sein. Drittens müssen automatisch erstellte Texte, die öffentlich verbreitet werden, mit einem Hinweis versehen sein, sofern sie sich auf Themen von öffentlichem Interesse beziehen.
Die Kennzeichnung erfolgt in zwei Formen. Für Menschen muss sie sichtbar sein, etwa durch ein Wasserzeichen, ein Label im Bild oder einen Hinweis im Text. Für Maschinen muss sie maschinenlesbar sein, also in Metadaten wie XMP, IPTC oder EXIF verankert sein. Auf diese Weise sollen Plattformen, Suchmaschinen und Faktenchecker erkennen können, was synthetisch ist. Verstöße gegen diese Pflicht sind ein Wettbewerbsverstoß und können neben EU-Bußgeldern auch Abmahnungen nach deutschem Wettbewerbsrecht nach sich ziehen.
Wichtig zu wissen: Wenn du selbst Bilder mit ChatGPT oder Gemini erzeugst und privat verwendest, bist du nicht verpflichtet, sie zu kennzeichnen. Sobald du die Inhalte aber veröffentlichst, etwa auf Social Media, in einem Newsletter oder auf einer Webseite, greifen die Pflichten. Eine Kennzeichnung wie der Hinweis "KI-generiert" oder "synthetisches Bild" reicht in der Regel aus. Bei Werbung und in journalistischen Kontexten gelten zusätzlich nationale Regeln, die die Verbraucherschutzbehörden überwachen.
Was sich bei ChatGPT, Gemini und Claude ändert
Große Sprachmodelle gelten im EU AI Act als General-Purpose AI, kurz GPAI. Die Schwelle liegt bei einer Trainingsleistung von mehr als 10 hoch 23 Rechenoperationen, die alle marktrelevanten Modelle deutlich überschreiten. Seit dem 2. August 2025 müssen Anbieter wie OpenAI, Anthropic und Google deshalb eine technische Dokumentation pflegen, eine öffentliche Zusammenfassung ihrer Trainingsdaten veröffentlichen und das EU-Urheberrecht beachten. Für besonders leistungsfähige Modelle gelten zusätzlich erhöhte Sorgfaltspflichten, etwa eine systematische Risikoabschätzung und Meldepflichten für schwerwiegende Vorfälle.
Im März 2026 hat die EU-Kommission einen Entwurf für die Durchführungsverordnung vorgelegt, der die Prüf- und Sanktionsverfahren detailliert regelt. Ab dem 2. August 2026 hat die Kommission über das EU-Büro für KI volle Durchsetzungsbefugnisse. Sie kann Modelle zurückrufen, Änderungen anordnen und Bußgelder verhängen. In der Praxis bedeutet das für dich als Nutzer: Antworten von Sprachmodellen sollten klar als KI-generiert erkennbar sein, Trainingsdaten sind auf Anfrage transparent zu machen und urheberrechtlich geschützte Inhalte dürfen nur unter bestimmten Bedingungen genutzt werden.
Eine konkrete Folge zeigt sich bei Bildgeneratoren. Microsoft Copilot, Google Gemini und ChatGPT haben ihre Bildausgaben mit unsichtbaren Wasserzeichen versehen, die als C2PA-Metadaten gespeichert werden. Plattformen wie YouTube, TikTok und LinkedIn lesen diese Metadaten aus und blenden bei KI-Bildern automatisch einen Hinweis ein. Wer als Anbieter die Pflicht ignoriert, riskiert hohe Strafen.
Bußgelder und Beschwerderecht
Der EU AI Act sieht ein dreistufiges Bußgeldsystem vor. Es orientiert sich an der Schwere des Verstoßes und richtet sich nach dem globalen Jahresumsatz. Wer gegen die Verbote aus Artikel 5 verstößt, etwa Social Scoring betreibt oder Emotionserkennung am Arbeitsplatz einsetzt, zahlt bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Vorjahresumsatzes, je nachdem, was höher ist. Damit übertreffen die Strafen sogar das Niveau der DSGVO.
| Art des Verstoßes | Maximales Bußgeld |
|---|---|
| Verbotene KI-Praktiken (Art. 5) | 35 Mio. Euro oder 7 % Jahresumsatz |
| Pflichten für Hochrisiko-Systeme | 15 Mio. Euro oder 3 % Jahresumsatz |
| Falsche oder unvollständige Angaben | 7,5 Mio. Euro oder 1 % Jahresumsatz |
| Pflichten für GPAI-Modelle | bis 3 % Jahresumsatz |
In Deutschland wird die Bundesnetzagentur (BNetzA) zur zentralen Marktüberwachungsbehörde. Das KI-Marktüberwachungs- und Innovationsförderungsgesetz (KI-MIG) regelt die Zuständigkeiten und schafft eine Koordinierungsstelle bei der BNetzA. Bei der Behörde wird zudem eine unabhängige KI-Marktüberwachungskammer eingerichtet. Spezialisierte Behörden, etwa die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) für Finanz-KI oder das Kraftfahrt-Bundesamt für Fahrzeug-KI, behalten ihre Zuständigkeit für ihre Sektoren.
So setzt du deine Rechte durch
Du hast ab dem 2. August 2026 mehrere konkrete Möglichkeiten, gegen problematische KI-Anwendungen vorzugehen. Der Weg über die Bundesnetzagentur ist der zentrale Anlaufpunkt. Bei der Behörde entsteht ein zentrales Beschwerdeportal, über das alle Eingaben laufen. Die BNetzA leitet deine Beschwerde an die zuständige Fachbehörde weiter, sodass du nicht selbst recherchieren musst, wer sich um deinen Fall kümmert.
Konkret kannst du dich beschweren, wenn dir folgende Situationen begegnen. Eine Bewerbung wurde von einer KI abgelehnt, ohne dass du eine Begründung oder die Möglichkeit zur Überprüfung durch einen Menschen erhältst. Ein Versicherer oder eine Bank verweigert dir einen Vertrag und stützt sich dabei auf einen automatisierten Score. Du erkennst auf Social Media oder in Werbung KI-generierte Inhalte, die nicht als solche gekennzeichnet sind. Dein Arbeitgeber setzt eine Software ein, die deine Emotionen oder deine Aufmerksamkeit am Bildschirm überwacht.
Daneben hast du nach Artikel 86 das Recht auf Erläuterung. Wenn ein Hochrisiko-System eine Entscheidung über dich trifft, die rechtliche Wirkung entfaltet oder dich erheblich beeinträchtigt, kannst du eine verständliche Erklärung verlangen. Du kannst zudem auf den klassischen Wegen vorgehen: Verbraucherzentralen unterstützen bei Streitigkeiten mit Anbietern, der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) ist zuständig, wenn personenbezogene Daten betroffen sind, und Wettbewerbsverbände können Verstöße gegen Kennzeichnungspflichten abmahnen. Wer ab dem Sommer 2026 eine KI-gestützte Entscheidung erhält, sollte die Begründung schriftlich anfordern, die Datenquellen nachfragen und im Zweifel den Weg zur BNetzA gehen.
