EU-KI-Gesetz tritt in Kraft: Strengste KI-Regulierung weltweit

Rund 400 Millionen Menschen in der Europäischen Union leben ab sofort unter dem Schutz des weltweit ersten verbindlichen Gesetzes für künstliche Intelligenz — und für Tausende Unternehmen beginnt damit eine Phase des Umbaus, die viele bereits als die tiefgreifendste Compliance-Herausforderung seit der DSGVO bezeichnen.

Was das Gesetz konkret bedeutet

Das EU-KI-Gesetz, offiziell als EU AI Act: Europas KI-Regulierung — ein globaler Präzedenzfall diskutiert, verfolgt einen risikobasierten Ansatz. Das heißt: Nicht jede Form von KI wird gleich streng reguliert, sondern der Grad der Regulierung richtet sich nach dem potenziellen Schaden, den ein KI-System anrichten kann. Dieses Prinzip klingt pragmatisch — in der Praxis bedeutet es jedoch erheblichen Aufwand für Unternehmen, die zunächst einmal selbst einschätzen müssen, in welche Kategorie ihre Systeme fallen.

Auf der untersten Stufe stehen KI-Anwendungen mit minimalem Risiko, etwa Spam-Filter oder einfache Empfehlungsalgorithmen in Streaming-Diensten. Diese unterliegen kaum neuen Auflagen. Größere Aufmerksamkeit gilt Systemen mit begrenztem Risiko — dazu zählen Chatbots, also Programme, die Nutzern das Gefühl vermitteln können, mit einem Menschen zu sprechen. Hier greift eine Transparenzpflicht: Nutzerinnen und Nutzer müssen klar darüber informiert werden, dass sie mit einer Maschine interagieren.

Die kritischste Kategorie — abseits der vollständig verbotenen Anwendungen — sind Hochrisiko-KI-Systeme. Darunter fallen unter anderem KI-gestützte Systeme zur Kreditvergabe, Bewerbungsauswahl, Strafverfolgung, medizinischen Diagnostik oder kritischen Infrastruktur. Anbieter solcher Systeme müssen künftig lückenlose technische Dokumentation vorlegen, menschliche Aufsicht sicherstellen, Datensätze auf Verzerrungen prüfen und ihre Produkte in offiziellen Datenbanken registrieren lassen.

Verbotene KI: Wo die EU eine rote Linie zieht

Bestimmte KI-Anwendungen sind im europäischen Rechtsraum schlicht verboten. Dazu gehört das sogenannte Social Scoring — also das Bewerten von Menschen anhand ihres Verhaltens durch staatliche Stellen, wie es in autoritären Regimen praktiziert wird. Ebenfalls untersagt sind KI-Systeme, die unbewusste Schwächen von Menschen ausnutzen, um deren Entscheidungen zu manipulieren. Und: Die anlasslose biometrische Echtzeit-Überwachung im öffentlichen Raum durch Strafverfolgungsbehörden ist grundsätzlich verboten — mit eng gefassten Ausnahmen etwa bei der Suche nach vermissten Kindern oder der Abwehr konkreter Terroranschläge.

Diese Verbote sind nicht zufällig gewählt. Sie adressieren Szenarien, die Bürgerrechtsorganisationen und Datenschützer seit Jahren als existenzielle Bedrohung demokratischer Gesellschaften einstufen. Der Gesetzgeber signalisiert damit: KI ist kein regulierungsfreier Raum — auch dann nicht, wenn die Technologie kommerziell attraktiv ist.

Sonderregeln für Basismodelle und generative KI

Eine der wichtigsten Neuerungen des EU AI Acts betrifft sogenannte Basismodelle — also besonders leistungsfähige KI-Systeme, die als Grundlage für viele verschiedene Anwendungen dienen. ChatGPT, Gemini oder Llama sind Beispiele für solche Systeme. Für sie gelten eigene, verschärfte Transparenz- und Sicherheitspflichten. Anbieter müssen unter anderem offenlegen, mit welchen Daten ihre Modelle trainiert wurden, und Urheberrechtsrisiken aktiv managen.

Für sogenannte GPAI-Modelle mit systemischem Risiko — also besonders leistungsstarke Systeme, die gesellschaftliche Infrastrukturen potenziell beeinflussen können — gelten noch strengere Pflichten, darunter verpflichtende Sicherheitsbewertungen und Meldepflichten bei schwerwiegenden Vorfällen. Diese Regelung ist direkt auf Anbieter wie OpenAI, Google oder Meta zugeschnitten, auch wenn das Gesetz keine Unternehmen namentlich nennt.

Wer muss handeln — und wie schnell?

Die Frage, die in Rechtsabteilungen und IT-Abteilungen europaweit gestellt wird, lautet: Wann gilt was für wen? Die Antwort ist komplex, weil das EU-KI-Gesetz gestaffelte Fristen vorsieht. Die Verbote der höchsten Risikoklasse sind bereits nach sechs Monaten wirksam. Regeln für Hochrisiko-Systeme in bestimmten Bereichen gelten nach zwölf Monaten, in anderen erst nach 36 Monaten. Für Basismodelle gilt eine Frist von zwölf Monaten ab Inkrafttreten.

Laut einer Analyse des Branchenverbands Bitkom sind mehr als 70 Prozent der deutschen Unternehmen, die KI einsetzen, noch nicht ausreichend auf die neuen Anforderungen vorbereitet. Der Aufwand ist erheblich: Compliance-Dokumentation, technische Prüfverfahren, interne Schulungen, rechtliche Einschätzungen — all das kostet Zeit und Geld, das insbesondere kleinere Unternehmen und Start-ups kaum kurzfristig mobilisieren können.

Das Marktforschungsunternehmen Gartner schätzt, dass bis zum Ende des Jahrzehnts mehr als 80 Prozent aller Unternehmens-KI-Anwendungen in Europa unter die Hochrisiko-Kategorie oder spezielle Transparenzpflichten fallen werden — eine Entwicklung, die den Beratungs- und Technologiemarkt rund um KI-Compliance erheblich antreiben dürfte (Quelle: Gartner). IDC prognostiziert, dass europäische Unternehmen allein für KI-Governance und Compliance in den nächsten Jahren Milliarden Euro investieren werden — ein neues Marktsegment entsteht quasi aus dem Gesetz heraus (Quelle: IDC).

Der globale Kontext: Europa allein gegen den Rest?

Das EU-KI-Gesetz entsteht nicht im Vakuum. Während Europa verbindliche Regeln einführt, verfolgen andere Weltregionen grundlegend andere Ansätze. In den Vereinigten Staaten war die Regulierungslage bereits unter der Biden-Administration vergleichsweise zurückhaltend — unter der neuen Regierung wurde dieser Kurs noch deutlicher in Richtung freiwilliger Industriestandards verschoben. Ein detaillierter Vergleich der transatlantischen Ansätze findet sich im Artikel zur KI-Regulierung in den USA unter Trump.

China verfolgt einen dritten Weg: staatliche Kontrolle über KI-Inhalte, verbunden mit massiver staatlicher Förderung der eigenen KI-Industrie. Das macht internationale Vergleiche schwierig — und zeigt, dass sich weltweit drei konkurrierende Regulierungsphilosophien herausbilden: der europäische Grundrechtsansatz, der amerikanische Marktansatz und der chinesische Staatssteuerungsansatz.

Ob der sogenannte Brüssel-Effekt — also die Tendenz, dass EU-Regeln aufgrund der Marktgröße Europas faktisch zum globalen Standard werden — auch bei der KI-Regulierung greift, bleibt abzuwarten. Bei der DSGVO war dieses Phänomen klar beobachtbar. Statista-Daten zufolge ist Europa nach wie vor einer der bedeutendsten KI-Märkte weltweit, was dem Gesetz Gewicht verleiht, das über die EU-Grenzen hinausreicht (Quelle: Statista).

Wer verstehen will, wie es zur Verabschiedung dieses Regelwerks kam und welche politischen Kompromisse dahinterstecken, findet im Rückblick auf den Moment, als die EU sich auf weltweit erstes KI-Gesetz einigt, wichtige Hintergrundinformationen.

Kritik aus der Industrie: Innovation versus Schutz

Nicht alle begrüßen das neue Regelwerk. Aus der europäischen Tech-Branche und von Venture-Capital-Investoren kommen kritische Stimmen: Das Gesetz sei zu komplex, zu bürokratisch und drohe, innovative Unternehmen in regulatorischen Verfahren zu ersticken, während US-amerikanische und chinesische Konkurrenten ungehindert weiterentwickeln. Insbesondere die Definition von Hochrisiko-Systemen wird als zu weit gefasst kritisiert — und die Selbsteinstufungspflicht für Unternehmen als rechtlich unsicher.

Bitkom warnt, dass insbesondere Start-ups und mittelständische Unternehmen ohne eigene Rechtsabteilungen erhebliche Schwierigkeiten haben werden, die neuen Anforderungen fristgerecht zu erfüllen (Quelle: Bitkom). Die EU-Kommission hat daraufhin angekündigt, Leitfäden, Mustervorlagen und ein Netzwerk von Regulierungssandboxen bereitzustellen — also geschützte Testräume, in denen Unternehmen ihre KI-Systeme unter behördlicher Begleitung erproben können, bevor sie die volle Compliance-Last tragen müssen.

Parallelen zu anderen Regulierungsdebatten drängen sich auf: Auch beim CrowdStrike-Ausfall, der weltweite IT-Systeme lahmlegte, zeigte sich, wie eng verflochten digitale Infrastruktur und gesellschaftliche Verwundbarkeit geworden sind — und wie dringend Aufsichtsmechanismen für kritische Technologien tatsächlich sein können. Das EU-KI-Gesetz ist in diesem Sinne auch eine Reaktion auf eine Welt, in der Software-Fehler oder algorithmische Entscheidungen millionenfach in Echtzeit wirken.

Was jetzt auf Unternehmen zukommt

Für Unternehmen, die KI einsetzen oder entwickeln, ergibt sich aus dem Inkrafttreten des Gesetzes ein konkreter Handlungsbedarf — unabhängig davon, ob man das Regelwerk für sinnvoll hält oder nicht. Zunächst geht es darum, alle eingesetzten KI-Systeme zu inventarisieren und zu klassifizieren. Dieser Schritt klingt banal, ist in der Praxis jedoch anspruchsvoll, weil viele Unternehmen KI-Komponenten in eingekaufter Software nutzen, ohne sich dessen vollständig bewusst zu sein.

Im nächsten Schritt müssen für Hochrisiko-Systeme technische Dokumentationen erstellt, interne Kontrollmechanismen eingeführt und — sofern nicht bereits vorhanden — Prozesse für die menschliche Aufsicht über automatisierte Entscheidungen etabliert werden. Unternehmen, die KI-Systeme in den europäischen Markt einführen wollen, ohne ihren Sitz in der EU zu haben, sind ebenso betroffen: Das Gesetz gilt nach dem Marktortprinzip, also überall dort, wo die Auswirkungen eines KI-Systems europäische Nutzerinnen und Nutzer treffen.

Die neue Regulierungsrealität für KI fügt sich ein in eine breitere Digitalisierungsdebatte in Europa. Ähnlich wie der Übergang von veralteten Technologiestandards — etwa das Ende älterer Mobilfunkgenerationen, wie es der Artikel über A1 Telekom Austria, die den 2G-Mobilfunkstandard beendet, dokumentiert — markiert das EU-KI-Gesetz einen Epochenwechsel: Technologie, die bislang weitgehend ungezähmt operierte, wird in einen rechtlichen Rahmen eingebettet, der gesellschaftliche Werte verbindlich macht.

Ob dieser Rahmen am Ende innovationsfreundlich genug gestaltet werden kann, um Europa im globalen KI-Wettbewerb nicht zu benachteiligen, wird sich in den kommenden Jahren zeigen. Was feststeht: Die Ära unregulierter KI in Europa ist beendet — und die Uhr für Unternehmen, die handeln müssen, läuft bereits.