EU AI Act: GPAI-Durchsetzung ab 2. August 2026 und was der Digital Omnibus verschoben hat
Ab August beginnt die aktive Durchsetzung der GPAI-Pflichten. Ein nüchterner Überblick, was jetzt gilt, was der Digital Omnibus vom Mai 2026 verschoben hat und welche Fristen bleiben.
Der EU AI Act gilt seit August 2024, doch viele seiner Pflichten greifen gestaffelt. Ein Datum sticht heraus: Am 2. August 2026 beginnt die aktive Durchsetzung gegenüber Anbietern von General-Purpose-AI-Modellen (GPAI) durch das EU AI Office, und parallel werden die nationalen Sanktionsregime wirksam. In Deutschland greift dazu das KI-Maßnahmen- und Innovationsgesetz (KI-MIG). Wer KI einsetzt oder bereitstellt, sollte den Stichtag kennen, aber auch die jüngsten Verschiebungen.
Was am 2. August 2026 beginnt
Die Pflichten für GPAI-Modelle sind seit August 2025 anwendbar. Was im August 2026 dazukommt, ist die Durchsetzung: Ein Jahr nach Anwendbarkeit erhält das AI Office die Befugnisse, sie auch tatsächlich zu vollziehen. Dazu gehören Informationsanforderungen, der Zugang zu Modellen und, als äußerstes Mittel, der Rückruf eines Modells. Aus einer Pflicht auf dem Papier wird damit eine durchsetzbare Pflicht.
Für die meisten Unternehmen ist nicht die Rolle des GPAI-Anbieters relevant, sondern die des Betreibers oder Anbieters nachgelagerter Systeme. Auch sie sollten wissen, welche Transparenz- und Dokumentationspflichten zu welchem Zeitpunkt greifen.
Was der Digital Omnibus vom Mai 2026 verschoben hat
Am 7. Mai 2026 hat die EU mit dem sogenannten Digital Omnibus einzelne Teilpflichten zeitlich gestreckt. Das ändert nichts am August-Stichtag für die GPAI-Durchsetzung, verschiebt aber andere Bausteine:
- Hochrisiko-Systeme nach Anhang III: verschoben auf den 2. Dezember 2027.
- Hochrisiko-Systeme nach Anhang I: verschoben auf den 2. August 2028.
- Transparenzpflichten nach Artikel 50 (etwa Kennzeichnung von KI-generierten Inhalten): verschoben auf den 2. Dezember 2026.
- KI-Reallabore: verschoben auf den 2. August 2027.
Diese Streckung ist kein Freibrief. Sie verschafft Zeit für die anspruchsvolleren Hochrisiko-Anforderungen, lässt aber die GPAI-Durchsetzung und die nationalen Sanktionen zum August unberührt.
Was das praktisch heißt
Drei Aufgaben sind unabhängig vom genauen Datum sinnvoll. Erstens eine Bestandsaufnahme: Welche KI-Systeme setzt das Unternehmen ein oder stellt es bereit, und in welche Risikoklasse fallen sie? Ohne diese Klarheit lässt sich keine Frist sinnvoll planen. Zweitens die Transparenz: Ab Dezember 2026 verlangt Artikel 50, dass bestimmte KI-Interaktionen und KI-generierte Inhalte erkennbar gemacht werden. Drittens die Dokumentation, denn die Durchsetzung ab August stützt sich darauf, dass Pflichten nicht nur erfüllt, sondern auch belegt sind.
Dieser letzte Punkt verbindet den AI Act mit den übrigen Compliance-Regimen. Ob NIS2, DORA oder AI Act: Die wiederkehrende Anforderung ist eine nachvollziehbare, auditierbare Spur dessen, was ein System tut und wer es verantwortet. Eine Plattform, die diese Spur ohnehin als Nebenprodukt des Betriebs erzeugt, erleichtert die Vorbereitung, gleich für welches Regime. Die Aufgabe selbst bleibt jedoch dieselbe: erst wissen, was man betreibt, dann belegen, dass es den Regeln entspricht.
Der 2. August 2026 ist kein abstrakter Termin. Er ist der Punkt, an dem die GPAI-Pflichten Zähne bekommen. Was der Digital Omnibus verschoben hat, betrifft die Hochrisiko-Schiene, nicht diesen Kern.