Das EU-Gesetz über KI ist da, und die meisten Unternehmen sind nicht bereit.
Hören Sie, ich verstehe. Noch eine Vorschrift, noch eine Kopfschmerz für die Compliance. Aber das EU-Gesetz über KI ist nicht nur eine weitere Checkbox-Übung wie die DSGVO. Dieses Gesetz hat wirklich Gewicht, und die Geldstrafen sind ehrlich gesagt beängstigend.
Lassen Sie mich erklären, was tatsächlich 2026 passiert, denn die meisten Berichterstattungen, die ich gesehen habe, übervereinfachen oder vergraben wichtige Informationen unter juristischem Fachjargon.
Der Zeitplan, den alle falsch verstehen
Hier ist der Punkt: Das EU-Gesetz über KI tritt nicht einfach an einem bestimmten Datum in Kraft. Es wird in Phasen eingeführt, und wir stecken mitten im komplizierten Teil:
Februar 2025: Verbotene KI-Praktiken werden illegal. Soziale Bewertung, manipulative Ansprache vulnerabler Personen durch KI, biometrische Echtzeitüberwachung (mit einigen begrenzten Ausnahmen) — all das ist ausgeschlossen.
August 2025: Allgemeine KI-Modelle (denken Sie an GPT, Claude, Gemini) müssen beginnen, die Transparenzanforderungen zu erfüllen.
August 2026: Hier wird es ernst. Die vollständigen Anforderungen für KI-Systeme mit hohem Risiko treten in Kraft. Risikomanagement, Daten-Governance, technische Dokumentation, menschliche Aufsicht, Genauigkeitstests — das alles muss erfüllt werden.
Und hier ist der Teil, über den niemand spricht: Die EU hat heimlich die Frist für die Umsetzung von Hochrisiken auf Dezember 2027 für bestimmte Kategorien verschoben. Das scheint ein Sieg für große Tech-Unternehmen zu sein, oder? Es gibt jedoch einen Haken.
Die Veränderung, die niemand bemerkt hat
Während alle die Fristverlängerung feierten, hat die EU auch ausgeweitet, was als „Hochrisikosystem“ gilt. Also ja, Sie haben mehr Zeit — aber Sie haben auch mehr Arbeit.
Wenn Ihr KI-System einen dieser Bereiche berührt, herzlichen Glückwunsch, Sie gelten wahrscheinlich jetzt als hoch riskant:
- Beschäftigung und Management von Arbeitnehmern (Rekrutierungstools, Leistungsmonitoring)
- Kreditscoring und Finanzdienstleistungen
- Bildung und berufliche Weiterbildung
- Gesetzesvollzug und Grenzkontrollen
- Gesundheit und medizinische Geräte
- Management kritischer Infrastrukturen
Und „berühren“ bedeutet dabei viel Arbeit. Einen KI-Chatbot für die Filterung von Bewerbungen nutzen? Hoch riskant. Ein KI-Modell betreiben, das bei der Genehmigung von Krediten hilft? Hoch riskant. Selbst die Verwendung von KI zur Bewertung von Schüleraufsätzen könnte in diese Kategorie fallen.
Die Struktur der Geldstrafen ist kein Scherz
Lassen Sie uns über Zahlen sprechen, denn hier wird es ernst:
35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes — für die Nutzung verbotener KI-Praktiken. Zum Kontext: 7 % der Einnahmen von Meta würden etwa 8,5 Milliarden Dollar ausmachen. Google? Etwa 19 Milliarden.
15 Millionen Euro oder 3 % des Umsatzes — für die Nichteinhaltung der Anforderungen an Systeme mit hohem Risiko.
7,5 Millionen Euro oder 1,5 % des Umsatzes — für die Bereitstellung falscher Informationen an die Aufsichtsbehörden.
Und bevor Sie denken „die werden das nie wirklich durchsetzen“ — denken Sie daran, was mit der DSGVO passiert ist. Jeder hat dasselbe gesagt. Dann bekam Meta eine Strafe von 1,2 Milliarden Euro. Amazon erhielt 746 Millionen Euro. Die EU blufft nicht.
Was das bedeutet, wenn Sie KI-Produkte entwickeln
Hier ist meine ehrliche Meinung dazu, was Sie gerade jetzt wirklich tun sollten:
1. Bestimmen Sie Ihre Risikoklassifizierung. Ernsthaft, machen Sie das zuerst. Die meisten Unternehmen, mit denen ich gesprochen habe, haben nicht einmal diesen grundlegenden Schritt gemacht. Die EU bietet einen Klassifizierungsrahmen — nutzen Sie ihn.
2. Dokumentation ist nicht mehr optional. Sie benötigen technische Dokumentation für Ihre KI-Systeme. Keine README-Datei — eine echte Dokumentation, die die Trainingsdaten, die Modellarchitektur, die Testmethodik und bekannte Einschränkungen abdeckt.
3. Mechanismen zur menschlichen Aufsicht. Jedes Hochrisikosystem benötigt eine Möglichkeit für Menschen, einzugreifen, Übersteuerungen vorzunehmen oder es zu stoppen. Wenn Ihre KI autonom arbeitet, ohne einen Notaus-Schalter, ist das ein Problem.
4. Die Transparenzanforderungen sind breiter, als Sie denken. Die Benutzer müssen wissen, wann sie mit KI interagieren. Deepfakes müssen gekennzeichnet werden. Von KI generierte Inhalte müssen offengelegt werden. Dies gilt selbst, wenn Sie sich nicht in der EU befinden — wenn EU-Bürger Ihr Produkt verwenden, sind Sie betroffen.
Die globale Auswirkung
Hier ist, was es für alle interessant macht, nicht nur für Unternehmen in der EU. So wie die DSGVO zum globalen Standard für Datenschutz geworden ist, beeinflusst das EU-Gesetz über KI bereits die Regulierung weltweit:
Japan entwickelt sein eigenes KI-Governance-Rahmenwerk, stark inspiriert von der EU-Ansatz. Das Vereinigte Königreich verfolgt einen sektor-spezifischeren Ansatz, steht der EU jedoch nahe. Selbst US-Staaten wie Kalifornien und Colorado erlassen KI-Gesetze, die Konzepte aus dem EU-Gesetz entleihen.
Wenn Sie KI-Produkte für einen globalen Markt entwickeln, ist das EU-Gesetz über KI in der Tat Ihr Minimalreferenzpunkt. Sie können entweder proaktiv compliant sein oder später diskutieren. Ich habe gesehen, wie das Chaos der DSGVO für die meisten Unternehmen verlief — es war nicht schön.
Meine Vorhersage für den Rest von 2026
Wir werden vor Ende dieses Jahres die ersten Durchsetzungsaktionen sehen. Das EU-Büro für KI ist bereits eingerichtet und führt erste Ermittlungen durch. Die offensichtlichsten Verstöße werden eklatante Verletzungen sein — Unternehmen, die verbotene KI-Praktiken nutzen und nicht die Memo erhalten haben, oder Anbieter von allgemeinen KI, die ihre Transparenzberichte nicht veröffentlicht haben.
Die eigentliche Welle der Durchsetzung wird 2027-2028 kommen, wenn die Anforderungen an Hochrisiken vollständig in Kraft sind. Aber bis dahin werden die Unternehmen, die 2025-2026 mit der Vorbereitung begonnen haben, in der Regel sein. Die, die gewartet haben? Das werden diejenigen sein, die sehr große Schecks ausstellen müssen.
Fangen Sie jetzt an. Nicht, weil ich Ihnen Angst machen will — sondern weil eine gut gemachte Compliance Ihre KI-Systeme tatsächlich besser macht. Eine bessere Dokumentation bedeutet besseres Debugging. Eine bessere Aufsicht bedeutet weniger katastrophale Misserfolge. Eine bessere Transparenz bedeutet mehr Vertrauen der Benutzer.
Das EU-Gesetz über KI ist nicht nur eine regulatorische Last. Es ist ein Motor für den verantwortungsvollen Aufbau von KI. Und ehrlich gesagt? Wir könnten davon mehr brauchen.
🕒 Published: