Das EU-Gesetz zur KI ist seit Jahren die bedeutendste Geschichte in der Regulierung von KI. Doch jetzt, da es tatsächlich umgesetzt wird, hat sich die Frage von „Was sagt es?“ zu „Was bedeutet es heute für mein Unternehmen?“ gewandelt.
Wo Wir Aktuell Stehen
Das EU-Gesetz zur KI ist schrittweise in Kraft getreten, und seit Anfang 2026 sind die wirkungsvollsten Bestimmungen nun in Kraft:
Verbotswürdige KI-Praktiken sind jetzt untersagt. Soziale Bewertungssysteme, biometrische Echtzeitüberwachung in öffentlichen Räumen (mit eingeschränkten Ausnahmen) und KI, die Menschen durch subliminale Techniken manipuliert, sind in der EU illegal.
Hochrisiko-KI-Systeme müssen strengen Anforderungen genügen: Risikobewertungen, Dokumentation, Mechanismen für menschliche Kontrolle, Datenmanagementstandards und Überwachung der Genauigkeit. Dies betrifft KI in den Bereichen Gesundheit, Bildung, Beschäftigung, Strafverfolgung und kritische Infrastrukturen.
Allgemein verwendbare KI-Modelle (wie GPT-4, Claude, Gemini) müssen den Anforderungen an Transparenz entsprechen. Die Anbieter müssen technische Dokumentation veröffentlichen, Urheberrechtsrichtlinien einhalten und Zusammenfassungen der Trainingsdaten bereitstellen.
Systematisch riskante Modelle — die leistungsstärksten KI-Systeme — stehen vor zusätzlichen Verpflichtungen: adversariale Tests, Vorfallsberichte, Cybersicherheitsmaßnahmen und Berichte über den Energieverbrauch.
Wer Wirklich Betroffen Ist
Die kurze Antwort: nahezu alle Unternehmen, die KI auf dem europäischen Markt nutzen.
KI-Anbieter (Unternehmen, die KI-Systeme entwickeln und verkaufen) tragen die schwerste Last der Compliance. Wenn Sie ein KI-basiertes Rekrutierungstool, ein medizinisches Diagnosesystem oder ein Kreditbewertungsmodell in der EU verkaufen, müssen Sie die Anforderungen für Hochrisiko einhalten.
KI-Nutzer (Unternehmen, die von anderen entwickelte KI-Systeme verwenden) haben weniger strenge, aber dennoch bedeutende Pflichten. Sie müssen angemessene menschliche Kontrolle gewährleisten, Probleme überwachen und Aufzeichnungen führen.
Unternehmen außerhalb der EU sind betroffen, wenn sie KI-Systeme oder -Dienste für Kunden in der EU anbieten. Kommt Ihnen das bekannt vor? Das hat die gleiche extraterritoriale Reichweite wie die DSGVO.
Die Realität der Compliance
Hier ist, was Unternehmen tatsächlich bewältigen müssen:
Die Anforderungen an die Dokumentation sind umfassend. Für hochrisiko-KI-Systeme benötigen Sie eine detaillierte technische Dokumentation, die das Ziel des Systems, seine Architektur, die Trainingsdaten, Testverfahren, Leistungsmetriken und bekannte Einschränkungen abdeckt. Die meisten Unternehmen haben diese Dokumentation nicht und kämpfen darum, sie zu erstellen.
Risikobewertungen sind subjektiv. Das Gesetz fordert „Bewertungen der Auswirkungen auf die Grundrechte“ für hochriskante KI-Systeme, aber es gibt wenig Orientierung, was eine angemessene Bewertung ausmacht. Die Unternehmen tun ihr Bestes und hoffen, dass die Aufsichtsbehörden zustimmen.
Die Strafen sind hoch. Bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes für die schwerwiegendsten Verstöße. Das reicht aus, um selbst die größten Technologiekonzerne aufmerksam zu machen.
Die Durchsetzung ist ungleichmäßig. Jeder EU-Mitgliedstaat bestimmt seine eigene Durchsetzungsbehörde, und einige sind besser ausgestattet als andere. Das schafft Unsicherheit darüber, wie die Regeln konsistent angewendet werden.
Was Unternehmen Wirklich Tun
Basierend auf dem, was ich auf dem Markt sehe:
Große Technologiefirmen (Google, Microsoft, Meta, OpenAI, Anthropic) haben Teams, die sich der Einhaltung des EU-KI-Gesetzes widmen, und investieren massiv in Dokumentation, Tests und Governance-Prozesse. Sie behandeln das wie die DSGVO 2.0 — kostspielig, aber machbar.
Mittlere KI-Unternehmen haben es schwieriger. Sie haben die Compliance-Pflichten, aber nicht die Ressourcen der großen Technologiefirmen. Viele engagieren Berater, was teuer ist. Manche überlegen, ob der europäische Markt die Kosten der Compliance rechtfertigt.
Startups befinden sich in der schwierigsten Lage. Die Compliance-Kosten, die für Google handhabbar sind, können für ein 10-köpfiges Startup fatal sein. Einige entscheiden sich, zunächst in den USA oder Asien zu starten und später die EU-Compliance anzugehen.
Unternehmen ohne KI, die KI-Tools verwenden, sind sich oft nicht ihrer Verpflichtungen bewusst. Ein Unternehmen, das einen KI-Chatbot für den Kundenservice oder ein KI-Tool für die Rekrutierung nutzt, könnte nicht realisieren, dass es unter dem Gesetz Deploymentsverpflichtungen hat.
Die Kritiken
Das EU-KI-Gesetz hat nicht nur Befürworter:
„Es ist zu vorschreibend.“ Die detaillierten Anforderungen könnten schnell veraltet sein, während sich die KI-Technologie weiterentwickelt. Eine Regulierung, die für die KI von heute entworfen wurde, könnte für die von nächstem Jahr keinen Sinn ergeben.
„Es erstickt Innovation.“ Europäische KI-Unternehmen argumentieren, dass sie im Vergleich zu amerikanischen und chinesischen Wettbewerbern benachteiligt sind, die mit geringeren Regulierungen konfrontiert sind. Einige Talente und Investitionen in KI wandern in Jurisdiktionen mit weniger Einschränkungen.
„Es ist an manchen Stellen zu vage.“ Obwohl sie Hunderte von Seiten umfasst, lässt das Gesetz viele wichtige Fragen an zukünftige Richtliniendokumente und Normungsorganisationen offen. Die Unternehmen wünschen sich eine Klarheit, die noch nicht vorhanden ist.
„Es geht nicht weit genug.“ Zivilgesellschaftliche Organisationen argumentieren, dass die Ausnahmen (wie die Ausnahmen für die Strafverfolgungsbehörden in Bezug auf biometrische Überwachung) zu weit gefasst sind und dass das Gesetz die individuellen Rechte besser schützen sollte.
Was Als Nächstes Passieren Wird
Das Büro für KI der EU erstellt detaillierte Richtlinien, harmonisierte Standards und Verhaltenskodizes, die die Lücken schließen werden. Die ersten Durchsetzungsmaßnahmen werden wahrscheinlich Ende 2026 oder Anfang 2027 kommen und wichtige Präzedenzfälle schaffen.
Ob Sie es mögen oder nicht, das EU-KI-Gesetz ist nun die umfassendste KI-Regulierung der Welt und gestaltet die Art und Weise, wie KI global entwickelt und bereitgestellt wird. So wie die DSGVO zur de-facto globalen Norm für Datenschutz geworden ist, wird das KI-Gesetz voraussichtlich die Regulierung von KI weltweit beeinflussen.
Unternehmen, die jetzt in Compliance investieren, werden einen Vorsprung haben. Diejenigen, die es ignorieren, werden einen harten Wachruf erleben, wenn die Durchsetzung tatsächlich beginnt.
🕒 Published: