Das EU AI-Gesetz ist da, und die meisten Unternehmen sind nicht bereit
Ich verstehe es. Eine weitere Verordnung, ein weiteres Compliance-Problem. Aber das EU AI-Gesetz ist nicht nur eine weitere Checkbox-Übung wie die DSGVO. Dieses Gesetz hat wirklich Substanz, und die Strafen sind ernsthaft beängstigend.
Ich möchte erklären, was 2026 tatsächlich passiert, denn die meisten Berichterstattungen, die ich gesehen habe, vereinfachen es entweder oder verschleiern die wichtigen Punkte unter juristischem Fachjargon.
Der Zeitplan, den alle falsch interpretieren
Das Wichtigste ist — das EU AI-Gesetz trat nicht einfach an einem Datum in Kraft. Es wird in Phasen umgesetzt, und wir befinden uns genau in der schwierigen Phase:
Februar 2025: Verbotene KI-Praktiken werden illegal. Soziales Scoring, manipulative KI, die verletzliche Personen anvisiert, Echtzeit- biometrische Überwachung (mit engen Ausnahmen) — alles nicht mehr erlaubt.
August 2025: Allgemeine KI-Modelle (denken Sie an GPT, Claude, Gemini) müssen mit den Transparenzanforderungen beginnen.
August 2026: Das ist der große Zeitpunkt. Vollständige Anforderungen für hochriskante KI-Systeme treten in Kraft. Risikomanagement, Datenverwaltung, technische Dokumentation, menschliche Aufsicht, Genauigkeitstests — alles, was dazugehört.
Und hier ist der Teil, über den niemand spricht: Die EU hat die Frist zur Durchsetzung für hochriskante Systeme stillschweigend auf Dezember 2027 für einige Kategorien verschoben. Klingt nach einem Gewinn für große Tech-Unternehmen, oder? Aber es gibt einen Haken.
Die Änderung, die niemand bemerkt hat
Während alle die zeitliche Verlängerung feierten, hat die EU auch ausgeweitet, was als „hochriskant“ gilt. Also ja, Sie haben mehr Zeit — aber Sie haben auch mehr Arbeit.
Wenn Ihr KI-System einen dieser Bereiche berührt, herzlichen Glückwunsch, Sie sind wahrscheinlich jetzt hochriskant:
- Beschäftigung und Mitarbeiterverwaltung (Einstelltools, Leistungsüberwachung)
- Kreditbewertung und Finanzdienstleistungen
- Bildung und berufliche Weiterbildung
- Strafverfolgung und Grenzkontrolle
- Gesundheitswesen und medizinische Geräte
- Management kritischer Infrastrukturen
Und „berührt“ ist dabei sehr weit gefasst. Ein KI-Chatbot zur Sichtung von Bewerbungen? Hochriskant. Ein KI-Modell, das bei der Entscheidung über Kreditgenehmigungen hilft? Hochriskant. Sogar die Verwendung von KI zur Bewertung von Schüleraufsätzen könnte dazu zählen.
Die Strukturen der Strafen sind kein Scherz
Lasst uns über Zahlen sprechen, denn hier wird es ernst:
35 Millionen Euro oder 7 % des globalen Jahresumsatzes — für die Nutzung von verbotenen KI-Praktiken. Zur Einordnung: 7 % von Metas Umsatz wären etwa 8,5 Milliarden Dollar. Google? Ungefähr 19 Milliarden Dollar.
15 Millionen Euro oder 3 % des Umsatzes — für das Nichteinhalten der Anforderungen für hochriskante Systeme.
7,5 Millionen Euro oder 1,5 % des Umsatzes — für die Bereitstellung falscher Informationen an Aufsichtsbehörden.
Und bevor Sie denken, „sie werden das nie wirklich durchsetzen“ — denken Sie daran, was mit der DSGVO passiert ist. Jeder hat das Gleiche gesagt. Dann wurde Meta mit einer Strafe von 1,2 Milliarden Euro belegt. Amazon bekam 746 Millionen Euro. Die EU blufft nicht.
Was das bedeutet, wenn Sie KI-Produkte entwickeln
Hier ist meine ehrliche Einschätzung, was Sie jetzt tatsächlich tun sollten:
1. Bestimmen Sie Ihre Risikoklassifizierung. Tun Sie dies ernsthaft zuerst. Die meisten Unternehmen, mit denen ich gesprochen habe, haben nicht einmal diesen grundlegenden Schritt gemacht. Die EU bietet ein Klassifizierungsrahmen — nutzen Sie ihn.
2. Dokumentation ist nicht mehr optional. Sie benötigen technische Dokumentation für Ihre KI-Systeme. Keine README-Datei — tatsächliche Dokumentation, die Trainingsdaten, Modellarchitektur, Testmethoden und bekannte Einschränkungen abdeckt.
3. Mechanismen zur menschlichen Aufsicht. Jedes hochriskante System benötigt eine Möglichkeit, dass Menschen eingreifen, überstimmen oder es abschalten können. Wenn Ihre KI autonom läuft und keinen Notaus-Schalter hat, ist das ein Problem.
4. Transparenzanforderungen sind umfangreicher, als Sie denken. Benutzer müssen wissen, wann sie mit KI interagieren. Deepfakes müssen gekennzeichnet werden. KI-generierte Inhalte müssen offengelegt werden. Dies gilt sogar, wenn Sie nicht in der EU sind — falls EU-Bürger Ihr Produkt nutzen, sind Sie betroffen.
Der globale Ripple-Effekt
Hier ist, was das für alle interessant macht, nicht nur für Unternehmen in der EU. So wie die DSGVO zum de facto globalen Datenschutzstandard wurde, beeinflusst das EU AI-Gesetz bereits die Regulierung weltweit:
Japan entwickelt sein eigenes KI-Governance-Rahmenwerk, stark inspiriert von dem Ansatz der EU. Das Vereinigte Königreich verfolgt einen spezifischeren Ansatz, beobachtet die EU jedoch genau. Selbst US-Bundesstaaten wie Kalifornien und Colorado erlassen KI-Gesetze, die Konzepte aus dem EU-Gesetz übernehmen.
Wenn Sie KI-Produkte für einen globalen Markt entwickeln, ist das EU AI-Gesetz effektiv Ihr Mindestmaßstab. Sie können entweder proaktiv konform sein oder später hektisch reagieren. Ich habe gesehen, wie der DSGVO-Wirbelwind für die meisten Unternehmen ausging — es war nicht schön.
Meine Vorhersage für den Rest von 2026
Wir werden noch in diesem Jahr die ersten Durchsetzungsmaßnahmen sehen. Das EU AI-Büro ist bereits personell besetzt und führt vorläufige Untersuchungen durch. Die einfach zu ergreifenden Maßnahmen werden offensichtliche Verstöße sein — Unternehmen, die verbotene KI-Praktiken nutzen und die Nachricht nicht bekommen haben, oder Anbieter allgemeiner KI, die ihre Transparenzberichte nicht veröffentlicht haben.
Die wirkliche Welle der Durchsetzung wird 2027-2028 treffen, wenn die Anforderungen für hochriskante Systeme vollständig in Kraft sind. Aber bis dahin werden die Unternehmen, die sich 2025-2026 vorbereitet haben, in Ordnung sein. Diejenigen, die gewartet haben? Die werden die großen Schecks ausstellen müssen.
Fangen Sie jetzt an. Nicht, weil ich Sie erschrecken möchte — sondern weil richtig durchgeführte Compliance Ihre KI-Systeme tatsächlich verbessert. Bessere Dokumentation bedeutet besseres Debugging. Bessere Aufsicht bedeutet weniger katastrophale Fehler. Bessere Transparenz bedeutet mehr Vertrauen der Nutzer.
Das EU AI-Gesetz ist nicht nur eine regulatorische Bürde. Es ist ein Ansporn, KI verantwortungsvoll zu entwickeln. Und ehrlich gesagt? Davon könnten wir mehr gebrauchen.
🕒 Published: