Hochrisiko

EU AI Act Frist 2. August 2030: Public-Sector-Bestandssysteme

Stand: Mai 2026 · Innopulse Consulting GmbH, Zug

Auf einen Blick

Der 2. August 2030 ist die letzte Übergangsfrist des EU AI Act: Alle Hochrisiko-KI-Systeme in Behörden, die vor Inkrafttreten in Betrieb waren, müssen bis zu diesem Datum AI-Act-konform werden. Public-Sector-Legacy-Systeme erhalten damit eine 4-Jahres-Übergangsfrist gegenüber privatwirtschaftlichen Bestandssystemen.

Der 2. August 2030 ist der letzte Stichtag im Zeitplan des EU AI Act und betrifft ausschliesslich den öffentlichen Sektor. Art. 111 Abs. 2 EU AI Act gewährt Behörden einen erweiterten Übergang für Hochrisiko-KI-Systeme, die vor dem 2. August 2026 bereits in Betrieb waren. Hintergrund: Behörden-IT-Systeme haben deutlich längere Lebenszyklen, schwierigere Beschaffungs-Prozesse und tiefer eingebettete Compliance-Strukturen als private Software. Eine sofortige Anwendung der Hochrisiko-Pflichten ab 2026 hätte zu Versorgungs-Stops bei kritischen öffentlichen Diensten geführt — Sozialleistungs-Eligibility, Migration, Justiz-Recherche, Strafverfolgung. Ab 2030 gibt es jedoch keine Ausnahmen mehr: Jedes Hochrisiko-KI-System in einer öffentlichen Stelle, ob neu beschafft oder seit Jahren im Einsatz, muss alle Provider- und Deployer-Pflichten erfüllen — inkl. FRIA nach Art. 27, EU-DB-Eintrag und Konformitätsbewertung.

Wer fällt unter Art. 111 Abs. 2?

Die Frist 2030 betrifft "Bestandssysteme" in Behörden:

Hochrisiko-KI-Systeme nach Annex III, die vor dem 2. August 2026 in Betrieb waren
öffentliche Stellen oder Auftragnehmer für öffentliche Stellen
in Behörden auf EU-, Bundes-, Länder- und Kommunal-Ebene

Beispiele: - Sozialleistungs-Algorithmen (Annex III Nr. 5) - Migrations-Risk-Assessments (Annex III Nr. 7) - Predictive-Policing-Tools (Annex III Nr. 6) - Bildungs-Bewertungs-Systeme an staatlichen Schulen (Annex III Nr. 3) - Justiz-Recherche-KI (Annex III Nr. 8)

Privatwirtschaftliche Bestandssysteme haben keine verlängerte Frist — sie müssen bereits ab 2. August 2026 konform sein, ausser sie stoppen die Inverkehrbringung.

Was muss bis 2030 getan werden?

Innerhalb des 4-Jahres-Fensters (2026-2030) müssen Behörden:

**Inventar:** Vollständige Liste aller Hochrisiko-KI-Systeme erstellen
**Gap-Assessment:** Pro System: Welche Art. 9-15-Pflichten sind erfüllt, welche nicht?
**Beschaffungs-Anpassung:** Neue Verträge mit AI-Act-Konformitätsklauseln
**Provider-Engagement:** Bei Drittanbieter-Systemen: Compliance-Roadmap einfordern
**Konformitätsbewertung:** Modul A oder Modul H (je nach Annex-III-Kategorie)
**EU-DB-Eintrag:** Für jedes System individuell
**FRIA-Bericht:** Vorgeschrieben für alle öffentlichen Hochrisiko-Deployer (Art. 27)
**Schulung:** Operator-Training nach Art. 4 + Art. 14 (menschliche Aufsicht)

Empfehlung: 2026-2027 Inventar + Gap, 2027-2029 Anpassung + Konformitätsbewertung, 2029-2030 Final-Compliance.

Warum gerade 4 Jahre Übergang für Behörden?

Drei Hauptgründe:

Beschaffungs-Zyklen: EU-weite Ausschreibungen dauern oft 12-24 Monate; Verträge laufen 5-7 Jahre. Sofortige AI-Act-Pflicht würde laufende Verträge brechen.
Versorgungs-Sicherheit: Sozialleistungen, Migrations-Bearbeitung, Justiz dürfen nicht stillstehen wegen Compliance-Frist.
Budgets: Öffentliche Haushalte müssen Compliance-Investitionen mehrjährig planen — Single-Year-Funding für AI-Act-Anpassung ist meist nicht möglich.

Die 4-Jahres-Frist erlaubt Behörden, Compliance in normale Beschaffungs-Erneuerungen zu integrieren, statt parallele Compliance-Projekte zu starten.

Was passiert nach dem 2. August 2030?

Ab 2030 gibt es keine Ausnahmen mehr:

Jedes Hochrisiko-KI-System in einer öffentlichen Stelle muss voll AI-Act-konform sein
Bei Verstoss: Bussgelder nach Art. 99 (für öffentliche Stellen reduziert nach Mitgliedstaats-Recht)
Beschwerden an die nationale Aufsichtsbehörde möglich (BNetzA, RTR)
Bürger können sich auf Art. 85 berufen (Recht auf Erklärung individueller Entscheidungen)

Empfehlung an Behörden: Nicht erst 2029 starten. Realistisch ist eine 3-Jahres-Vorbereitung — also Beginn spätestens 2027.

Häufige Fragen

Gilt die 2030-Frist auch für Schweizer Behörden?

Schweizer Behörden unterliegen nicht direkt dem EU AI Act, sondern dem revDSG und allfälligen sektoralen KI-Regelungen. Indirekt relevant: CH-Behörden, die Daten an EU-Stellen weitergeben oder EU-Bürger betreffen, müssen DSGVO-konform sein. Eine Bundes-KI-Regulierung ist im Vernehmlassungs-Prozess.

Müssen wir als Kommune sofort handeln, obwohl wir bis 2030 Zeit haben?

Ja. 4 Jahre klingen viel, aber Beschaffungs-Anpassung, Provider-Engagement und Konformitätsbewertung dauern realistisch 18-24 Monate. Ab 2027 sollte ein klares Compliance-Programm laufen, sonst wird 2030 eng. Insbesondere FRIA-Berichte sind aufwändig.

Welche Systeme müssen wir zuerst priorisieren?

Nach Risiko: (1) Annex III Nr. 5 — Sozialleistungs-/Eligibility-Systeme (höchste Bürger-Wirkung); (2) Annex III Nr. 7 — Migrations-Tools; (3) Annex III Nr. 6 — Strafverfolgung. Sortierung nach Anzahl betroffener Bürger und Schwere der Entscheidung.

Was ist mit KI-gestützten Verwaltungs-Chatbots ohne Hochrisiko?

Diese fallen meist unter "begrenztes Risiko" (Art. 50 Transparenz). Pflicht: Hinweis "Sie chatten mit einer KI", aber keine Hochrisiko-Pflichten. Für solche Systeme keine 2030-Frist relevant — sie müssen bereits ab 2026 (oder schon Februar 2025 für KI-Kompetenz) compliant sein.

Relevante Rechtsgrundlagen

Art. 111 Abs. 2 EU AI ActArt. 26-27 EU AI ActAnnex III EU AI Act

Klassifizieren Sie Ihre KI-Systeme — kostenlos

In 5 Minuten Risiko-Klasse, FRIA-Pflicht und Compliance-Aufwand für jedes KI-System.

Kostenloser EU AI Act Quick-Check →

Innopulse Consulting GmbH — EU AI Act Compliance

Verfasst auf Basis der Verordnung (EU) 2024/1689, EDPB-Guidelines und CJEU-Rechtsprechung (C-634/21 SCHUFA, C-203/22 Dun & Bradstreet). Gotthardstrasse 30, 6300 Zug, Schweiz · UID CHE-219.727.921.

Hinweis: Technische Orientierung — kein Ersatz für anwaltliche Rechtsberatung.

Alle Fristen Quick-Check