Compliance-Fristen 2026, 2027, 2028: alle EU/DACH-Termine

· · Kategorie: Übergreifend · Compliance-Kit
Praxis-Hinweis: Dieser Artikel ist praxisorientierte Compliance-Dokumentation, keine Rechtsberatung. Wir sind Compliance-Spezialist, keine Anwaltskanzlei. Für rechtsverbindliche Auskünfte konsultieren Sie eine zugelassene Rechtsanwältin oder einen Rechtsanwalt.

TL;DR

  • 18 EU/DACH-Compliance-Fristen für DSGVO, EU AI Act, NIS2, HinSchG, AGG und Pay Transparency, geordnet nach Datum
  • Bereits abgelaufen: BSI-Registrierungsfrist NIS2 (06.03.2026); HinSchG-Anonyme-Bearbeitungs-Pflicht (01.01.2025)
  • Top-Frist 2026: EU Pay Transparency Stellenanzeigen-Pflicht (07.06.2026)
  • Top-Frist 2026: EU AI Act Hochrisiko-KI Anhang III (02.08.2026 rechtsverbindlich; Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen)
  • Bußgeldrisiko-Top-3: EU AI Act (35 Mio./7% Umsatz), NIS2 (10 Mio./2% Umsatz), DSGVO (20 Mio./4% Umsatz)

Methodik

Diese Roadmap aggregiert die Compliance-Fristen aus DSGVO, EU AI Act (KI-VO 2024/1689), NIS2-RL 2022/2555 + NIS2UmsuCG, HinSchG, AGG + EntgTranspG-Reform und EU Pay Transparency-RL 2023/970. Stand: 02. Mai 2026 (Digital-Omnibus-Vorschlag 19.11.2025 noch nicht beschlossen).

Wir aktualisieren diese Liste vierteljährlich. Bei kurzfristigen Änderungen (Trilog-Ergebnis, BAG-Urteil): Newsletter abonnieren.

Fristen 2026

Kurzantwort: Im Jahr 2026 stehen sechs zentrale Compliance-Fristen an: NIS2 BSI-Registrierung (06.03.2026, abgelaufen), Start der NIS2-Aufsichtspraxis (01.04.2026), EU Pay Transparency (07.06.2026), AT EntgleichV (voraussichtlich 01.07.2026), AT NISG (01.10.2026) sowie EU AI Act Anhang III (02.08.2026, rechtsverbindlich; Digital-Omnibus-Verschiebung auf 02.12.2027 noch nicht beschlossen).

06. März 2026 — NIS2: BSI-Registrierungsfrist

Status: ABGELAUFEN. Wesentliche und wichtige Einrichtungen mussten sich bis zum 06.03.2026 beim BSI registrieren (§33 BSIG). Wer das versäumt hat, sollte unverzüglich nachholen — die Registrierung ist Voraussetzung für sämtliche weiteren Compliance-Maßnahmen.

01. April 2026 — DE NIS2UmsuCG: Aufsichtspraxis startet

BSI hat die operative Aufsichtspraxis aufgenommen. Erste Audit-Anfragen sind seit 04/2026 dokumentiert.

07. Juni 2026 — EU Pay Transparency Directive

Pflicht für ALLE Arbeitgeber (auch <100 MA): Gehaltsspanne in Stellenanzeigen, Auskunftsrecht, Verbot der Gehaltsfrage. Vollständige Anleitung. DE-Umsetzung verzögert; EU-Recht greift dennoch via Anwendungs-Vorrang.

01. Juli 2026 — AT EntgleichV (Pay Transparency Österreich)

Voraussichtlicher Anwendungsbeginn der österreichischen Umsetzung der RL 2023/970. Begutachtungsentwurf 03/2026 wird voraussichtlich mit minimalen Änderungen verabschiedet.

01. Oktober 2026 — AT NISG 2026

Anwendungsbeginn des österreichischen NIS2-Umsetzungsgesetzes. Betroffen: ca. 4.500 Einrichtungen in AT.

Fristen 2027

Kurzantwort: 2027 wird durch Pay-Transparency-Pflichten und EU AI Act geprägt: voraussichtliche DE EntgTranspG-Reform (01.01.2027 Auskunftsrecht), erste Pay-Gap-Berichte für Arbeitgeber mit 250+ Beschäftigten (07.06.2027) und Ende der GPAI-Übergangsfrist (02.08.2027). Die Hochrisiko-KI-Pflichten (Anhang III) verschieben sich nur, falls der Digital-Omnibus-Vorschlag im Trilog beschlossen wird (geplant 02.12.2027).

01. Januar 2027 — DE EntgTranspG-Reform (voraussichtlich)

Erwartete deutsche Umsetzung der RL 2023/970. Stand 04/2026: Referentenentwurf BMAS angekündigt für Q3/2026, Verabschiedung erwartet Mitte/Ende 2026, Anwendungsbeginn 01.01.2027 (Auskunftsrecht; Berichtspflichten 7.6.2027).

07. Juni 2027 — EU Pay Transparency: erste Berichte (250+ MA)

Erste Pay-Gap-Berichte fällig für Arbeitgeber mit 250+ Beschäftigten. Inhalt: Median-Vergleich, Quartilsverteilung, Pay Gap pro Tätigkeitsgruppe (Art. 9).

02. August 2027 — EU AI Act: GPAI Übergangsfrist endet

Anbieter von GPAI-Modellen, die vor 02.08.2025 in Verkehr gebracht wurden, müssen nun den vollen Pflichtenkatalog (Art. 53–55) erfüllen.

02. August 2026 — EU AI Act: Hochrisiko-KI Anhang III (rechtsverbindlich)

Stand 02.05.2026 rechtsverbindlich. Digital-Omnibus-Vorschlag 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, NOCH NICHT beschlossen. Pflichten für Hochrisiko-KI-Systeme nach Anhang III: Risikomanagement (Art. 9), Data Governance (Art. 10), Technische Dokumentation (Art. 11), Logging (Art. 12), Transparenz (Art. 13), menschliche Aufsicht (Art. 14), Genauigkeit/Robustheit/Cybersecurity (Art. 15), QMS (Art. 17), Konformitätsbewertung (Art. 43), EU-Datenbank-Eintrag (Art. 49), FRIA für Betreiber (Art. 27).

Fristen 2028

Kurzantwort: 2028 betrifft vor allem KI in regulierten Produkten: Die EU-AI-Act-Pflichten für Anhang I (Maschinen, Spielzeug, Medizinprodukte, Aufzüge, Druckgeräte) sind ab 02.08.2027 rechtsverbindlich; der Digital-Omnibus-Vorschlag würde sie auf 02.08.2028 verschieben (Trilog läuft, nicht beschlossen).

02. August 2027 — EU AI Act: Anhang I (regulierte Produkte, rechtsverbindlich)

Pflichten für KI in Produkten, die unter EU-Harmonisierungsrechtsvorschriften (Anhang I) fallen — Maschinen, Spielzeug, Medizinprodukte, Aufzüge, Druckgeräte etc. Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.08.2028 — Trilog läuft, nicht beschlossen.

Dauer-Aufgaben (jährlich)

Kurzantwort: Acht Pflichten sind nicht einmalig, sondern jährlich oder periodisch zu erbringen: VVT- und TOM-Aktualisierung (DSGVO Art. 30/32), NIS2 Risikoanalyse-Update und GF-Schulung (§30/§38 BSIG), AI-Literacy-Schulung (Art. 4 EU AI Act), HinSchG-Meldestellen-Audit (§22 HinSchG ab 1.1.2026), AGG-Mitarbeiterschulung (§12 AGG, alle 2-3 Jahre) und Pay-Gap-Berichte ab 250 MA (Art. 9 RL 2023/970, ab 7.6.2027).

PflichtRechtsgrundlageHäufigkeit
VVT-AktualisierungArt. 30 DSGVOjährlich + bei Änderungen
TOM-ReviewArt. 32 DSGVOjährlich + nach Vorfällen
NIS2 Risikoanalyse-Update§30 Abs. 2 BSIGjährlich + bei wesentlichen Änderungen
NIS2 GF-Schulung§38 Abs. 3 BSIGregelmäßig (Praxis: 1-2× jährlich)
AI-Literacy-SchulungArt. 4 EU AI Actjährlich + bei neuen Systemen
HinSchG Meldestellen-Audit§22 HinSchG (ab 1.1.2026)jährlich
AGG Mitarbeiter-Schulung§12 Abs. 2 AGGalle 2-3 Jahre
Pay-Gap-Bericht (250+ MA)Art. 9 RL 2023/970jährlich (ab 7.6.2027)

Priorisierung nach Bußgeldrisiko

Kurzantwort: Höchstes Bußgeldrisiko trägt der EU AI Act mit bis zu 35 Mio. EUR oder 7 % Jahresumsatz (Art. 5 verbotene Praktiken), gefolgt von DSGVO (20 Mio. EUR / 4 % Umsatz) und NIS2 für wesentliche Einrichtungen (10 Mio. EUR / 2 % Umsatz, plus persönliche GF-Innenhaftung nach §38 Abs. 5 BSIG). HinSchG-Verstöße sind mit bis zu 500.000 EUR (juristische Personen) sanktioniert.

VerordnungMax. BußgeldPraxis-Risiko
EU AI Act Art. 535 Mio. EUR / 7 % UmsatzHOCH (verbotene Praktiken)
DSGVO Art. 8320 Mio. EUR / 4 % UmsatzHOCH (Aufsichtsanfragen häufig)
EU AI Act sonst.15 Mio. EUR / 3 % UmsatzMITTEL (greift ab 02.08.2026; Vorschlag DO: 02.12.2027 — nicht beschlossen)
NIS2 wesentliche Einr.10 Mio. EUR / 2 % UmsatzHOCH + GF-Innenhaftung §38 Abs. 5
NIS2 wichtige Einr.7 Mio. EUR / 1,4 % UmsatzMITTEL
Pay Transparencynach nat. Recht (BE: 187k €)STEIGEND
HinSchG §4050.000 € / 500.000 € (jur. Pers.)MITTEL — anonyme Bearbeitung Pflicht seit 01.01.2025
AGG §15typisch 1–3 Brutto-Monatsgehälter pro Kläger:ineinzelfallabhängig; bei systematischer KI-Diskriminierung Klägeranzahl-Multiplikation möglich

Häufig gestellte Fragen

Was passiert, wenn ich eine Frist verpasse?
Es kommt auf die Verordnung an. NIS2 (BSI-Registrierungsfrist 06.03.2026 abgelaufen): Bußgelder bis 10 Mio. EUR möglich. DSGVO: Aufsichtsverfahren, bis 4% Jahresumsatz. AGG (§12): Haftungs-Privileg entfällt. EU AI Act: ab 02.08.2025 (GPAI) bzw. 02.08.2026 (Hochrisiko, rechtsverbindlich; Vorschlag Digital Omnibus 19.11.2025: Verschiebung auf 02.12.2027 — Trilog läuft, nicht beschlossen): bis 35 Mio. EUR oder 7% Umsatz.
Verschiebt der Digital Omnibus die EU-AI-Act-Fristen?
Stand 02.05.2026: Die EU-Kommission hat am 19.11.2025 den Digital-Omnibus-Vorschlag vorgestellt — Trilog läuft, NICHT beschlossen. Geplant: Anhang III (Hochrisiko-KI) Verschiebung auf 02.12.2027 (statt 02.08.2026), Anhang I (KI in regulierten Produkten) auf 02.08.2028. Bis zur Annahme bleibt 02.08.2026 die rechtsverbindliche Frist. Art. 5 (verbotene Praktiken), Art. 4 (AI Literacy) und GPAI-Pflichten bleiben bei den ursprünglichen Daten (02.02.2025 bzw. 02.08.2025).
Welche Frist sollte ich PRIORITÄR adressieren?
Nach Bußgeldrisiko und zeitlicher Nähe: (1) NIS2 BSI-Registrierung — falls noch nicht erfolgt, sofort nachholen. (2) EU Pay Transparency 7.6.2026 — Stellenanzeigen-Pflicht greift unmittelbar. (3) HinSchG-Anonyme-Bearbeitungs-Pflicht (01.01.2025, in Kraft) + Wirksamkeits-Selbstprüfung als Best-Practice. (4) Art. 4 EU AI Act — KI-Kompetenz-Schulung war bereits 02.02.2025 fällig.

Quellen

  1. Verordnung (EU) 2024/1689 (KI-VO); Digital Omnibus Vorschlag 19.11.2025 (Trilog laufend, nicht beschlossen)
  2. Richtlinie (EU) 2022/2555 (NIS2), DE NIS2UmsuCG (BGBl. 2025 I Nr. 301)
  3. Verordnung (EU) 2016/679 (DSGVO)
  4. Hinweisgeberschutzgesetz (HinSchG, BGBl. 2023 I Nr. 140)
  5. Allgemeines Gleichbehandlungsgesetz (AGG)
  6. Richtlinie (EU) 2023/970 (Pay Transparency), ABl. L 132/21
  7. BSI: NIS2-Registrierungs-Statistik 03/2026
  8. EU-Kommission, Digital Omnibus Vorschlag, 19.11.2025

Verwandte Artikel

AGG · Pillar

EU Pay Transparency 2026: Pflichten ab 7.6.2026

Schwellenwerte, Auskunftsrecht, Joint Pay Assessment.

 AGG · NewsArticle

Algorithmische Diskriminierung im Recruiting

Rechtslage 2026: § 22 AGG-Beweislastumkehr, EU AI Act Anhang III, Art. 26.

 Glossar

Compliance-Glossar

100 Begriffe definiert mit Verordnungs-Bezug.

Werkzeuge & Selbsttests

Bussgeld-Rechner Berechnen Sie das potenzielle Bussgeld-Risiko fuer Ihr Unternehmen. Compliance-Fristen-Kalender 2026-2028 Alle relevanten Compliance-Deadlines (DSGVO, AI Act, NIS2, HinSchG, AGG).