EU AI Act Enforcement-Deadline — 2. August 2026 Jetzt prüfen →
Hochrisiko

EU AI Act Frist 2. August 2026: Hochrisiko nach Annex III

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Der 2. August 2026 ist der zentrale Stichtag des EU AI Act. Ab diesem Datum gelten alle Hochrisiko-Pflichten nach Annex III: Risikomanagement, Daten-Governance, technische Dokumentation, Logging, Transparenz, menschliche Aufsicht, Genauigkeit, Konformitätsbewertung mit CE-Kennzeichen, EU-Datenbank-Eintrag, FRIA für Deployer. Recruiting, Kreditscoring, Bildung, Justiz, Migration im Fokus.

Der 2. August 2026 ist der wichtigste Stichtag des EU AI Act für die meisten KMU und Konzerne. Ab diesem Datum greifen alle Pflichten für Hochrisiko-KI-Systeme nach Annex III — also für die acht praxisrelevantesten Bereiche: Biometrie, kritische Infrastruktur, Bildung und Berufsausbildung, Beschäftigung und HR, essentielle private und öffentliche Dienstleistungen (insb. Kreditscoring, Versicherungs-Tarifierung, Notfall-Triage), Strafverfolgung, Migration und Grenzkontrolle, Justiz und demokratische Prozesse. Wer in diesen Bereichen KI einsetzt — als Provider oder als Deployer — muss bis zum 2. August 2026 alle 9 Hochrisiko-Pflichten erfüllt haben: Risikomanagement (Art. 9), Daten-Governance (Art. 10), technische Dokumentation (Art. 11), Logging (Art. 12), Transparenz für Deployer (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15), Konformitätsbewertung und CE-Kennzeichen (Art. 43), EU-Datenbank-Eintrag (Art. 49). Deployer haben zusätzlich die Pflicht zur Grundrechte-Folgenabschätzung (FRIA) nach Art. 27.

Welche KI-Systeme sind betroffen?

Annex III listet 8 Kategorien Hochrisiko:

  1. **Biometrie:** Remote-Biometric-Identification, Biometrische Kategorisierung, Emotionserkennung
  2. **Kritische Infrastruktur:** Sicherheitskomponenten in Strassenverkehr, Wasser, Gas, Strom, Heizung, kritischer digitaler Infrastruktur
  3. **Bildung:** Zulassung, Bewertung, Lernverhalten, Proctoring (Erkennung verbotener Hilfsmittel)
  4. **Beschäftigung und HR:** Recruiting (CV-Screening, Ranking), Beförderung, Kündigung, Aufgabenzuweisung, Performance-Monitoring
  5. **Essentielle Dienste:** Kreditscoring, Versicherungs-Tarifierung (Leben/Gesundheit), Notfall-Triage, Sozialleistungs-Eligibility
  6. **Strafverfolgung:** Risk-Assessment, Lie-Detection, Beweis-Bewertung, Predictive Policing zu Personen, Profiling
  7. **Migration:** Lie-Detection, Risk-Assessment für Migration/Asyl, Visum-Antragsprüfung, Identitäts-Verifikation
  8. **Justiz:** Recherche-Hilfen für Gerichte, Wahlmanipulations-Tools, Wahl-Verhaltens-Beeinflussung

Achtung: Art. 6 Abs. 3 Carve-out kann Annex-III-Systeme von Hochrisiko ausnehmen, wenn sie nur prozedural unterstützen, nicht material beeinflussen.

Die 9 Hochrisiko-Pflichten im Überblick

Für Provider von Hochrisiko-KI ab 2. August 2026:

  1. **Art. 9 Risikomanagement:** Lifecycle-Risk-Management-System, dokumentiert
  2. **Art. 10 Daten-Governance:** Trainings-, Validation-, Test-Daten relevant, repräsentativ, fehlerfrei
  3. **Art. 11 Technische Dokumentation:** Annex IV — komplette Modell-Dokumentation
  4. **Art. 12 Logging:** Automatisches Logging über Lifetime des Systems
  5. **Art. 13 Transparenz für Deployer:** Klare Instruktionen, Capabilities, Limitationen
  6. **Art. 14 Menschliche Aufsicht:** Operator kann Output verstehen und eingreifen
  7. **Art. 15 Genauigkeit, Robustheit, Cybersicherheit:** Definierte Metriken, dokumentiert
  8. **Art. 43 Konformitätsbewertung:** Modul A (Internal Control) oder Modul H (Notified Body bei Biometrie)
  9. **Art. 49 EU-Datenbank-Eintrag:** Vor Inverkehrbringen

Für Deployer (Anwender) zusätzlich: Art. 27 FRIA (Grundrechte-Folgenabschätzung) bei öffentlichen Stellen oder bei Annex III Nr. 5(b)/5(c) Use-Cases.

Was muss bis 2. August 2026 dokumentiert sein?

Ein vollständiges Compliance-Paket umfasst:

  • Risikomanagement-Plan (Art. 9)
  • Daten-Governance-Statement (Art. 10)
  • Technische Dokumentation nach Annex IV (Art. 11)
  • Logging-Architektur (Art. 12)
  • User-Manual / Deployer-Information (Art. 13)
  • Human-Oversight-Protokoll (Art. 14)
  • Performance-/Robustness-/Cybersecurity-Reports (Art. 15)
  • EU-Konformitätserklärung (Art. 47)
  • CE-Kennzeichen-Anbringung (Art. 48)
  • EU-Datenbank-Eintrag (Art. 49) — vor Inverkehrbringen
  • FRIA-Bericht (Art. 27, Deployer-seitig)

KMU-Tipp: Beginnen Sie 12 Monate vorher (also: spätestens jetzt im Mai 2026). Die Konformitätsbewertung bei Notified Bodies dauert oft 3-6 Monate.

Welche Bussgelder drohen ab August 2026?

Verstösse gegen Hochrisiko-Pflichten (Art. 16-29) werden ab 2. August 2026 voll sanktioniert:

  • bis zu 15 Mio. EUR oder 3 % weltweiter Jahresumsatz (Art. 99 Abs. 4)
  • KMU-Reduktion proportional zur Grösse
  • Aufsicht: BNetzA (DE), RTR (AT), AI Office (EU für GPAI/cross-border)

In der Praxis erwartet die Kommission eine Übergangs- / Warnphase 2026/2027 — analog zum DSGVO-Start 2018. Bussgelder über 1 Mio. EUR im ersten Jahr sind unwahrscheinlich, ausser bei systematischen Verstössen oder Art. 5-Praktiken.

Häufige Fragen

Wir setzen ChatGPT für Recruiting ein — was müssen wir bis August 2026 tun?
Sie sind Deployer eines GPAI-Modells in einem Annex-III-Use-Case (Annex III Nr. 4 lit. a). Pflichten: FRIA nach Art. 27, Logging der Outputs, menschliche Aufsicht (Art. 14 Spiegel-Pflicht), KI-Kompetenz (Art. 4), Transparenz gegen Bewerber (Art. 26 Abs. 11). OpenAI als Provider muss seinerseits die GPAI-Pflichten erfüllen.
Müssen wir als KMU mit Recruiting-KI eine eigene EU-Datenbank-Eintragung machen?
Nein. EU-Datenbank-Eintrag (Art. 49) ist Provider-Pflicht. Wenn Sie Customer einer ATS-Lösung sind (z.B. Workday, Personio), muss der Anbieter den Eintrag machen. Sie als Deployer haben Art. 26-Pflichten — aber keinen DB-Eintrag.
Was passiert, wenn unser Anbieter bis August 2026 nicht compliant ist?
Sie als Deployer haften für die Nutzung. Empfehlung: Im Vertrag eine AI-Act-Compliance-Garantie einfordern, mit Kündigungsrecht bei Verstoss. Ohne Provider-CE-Kennzeichen darf das System nicht in Verkehr gebracht oder genutzt werden — der Deployer ist mitverantwortlich.
Welche Use-Cases fallen unter Art. 6 Abs. 3 Carve-out?
Eng begrenzte prozedurale Aufgaben, Verbesserung früherer menschlicher Tätigkeit ohne Ersatz, Pattern-Detection ohne Entscheidung, vorbereitende Aufgaben. Achtung: Profiling natürlicher Personen schliesst den Carve-out immer aus. Ein Beispiel: Ein FAQ-Chatbot für Bewerber-Fragen ohne Entscheidungs-Funktion fällt nicht unter Annex III Nr. 4.

Relevante Rechtsgrundlagen

Annex III EU AI ActArt. 6 EU AI ActArt. 9-15 EU AI ActArt. 26-29 EU AI ActArt. 27 FRIAArt. 43 EU AI ActArt. 49 EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →
Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle FristenQuick-Check