Europa reguliert Künstliche Intelligenz – und das weltweit als Erste. Der EU AI Act ist seit 2024 in Kraft und entfaltet seine Wirkung schrittweise bis August 2026. Doch gerade jetzt, in der heißen Phase der Umsetzung, tobt eine Debatte, die über Paragrafen und Bürokratie weit hinausgeht: Wie viel Vereinfachung verträgt ein Gesetz, das eigentlich unsere Grundrechte schützen soll? Und was bedeutet das konkret für Unternehmen, die KI einsetzen oder entwickeln? Dieser Artikel beleuchtet den aktuellen Stand der Umsetzung, die kritischen Streitpunkte – und warum du als KI-Anwender oder -Anbieter jetzt genau hinschauen solltest.
Was ist der EU AI Act – kurz erklärt
Der EU AI Act (auf Deutsch: EU-Gesetz über Künstliche Intelligenz, kurz: KI-Gesetz) ist die weltweit erste umfassende gesetzliche Regulierung für KI-Systeme. Das Gesetz verfolgt einen sogenannten risikobasierten Ansatz: Je größer das Risiko, das ein KI-System für Menschen oder die Gesellschaft darstellt, desto strenger sind die Anforderungen daran.
Konkret teilt das Gesetz KI-Systeme in vier Risikokategorien ein:
- Inakzeptables Risiko – diese Systeme sind verboten (z. B. Social Scoring, biometrische Echtzeit-Überwachung im öffentlichen Raum, Emotionserkennung am Arbeitsplatz)
- Hohes Risiko – strenge Auflagen, z. B. für KI in der Personalrekrutierung, im Gesundheitswesen oder in der Strafverfolgung
- Begrenztes Risiko – Transparenzpflichten, z. B. Kennzeichnung von KI-generierten Inhalten
- Minimales Risiko – weitgehend unreguliert, z. B. einfache Spam-Filter
Seit Februar 2025 sind Verbote für KI-Systeme mit inakzeptablem Risiko in Kraft. Ab dem 2. August 2026 gilt dann der Großteil aller Regelungen vollständig – inklusive der strengen Anforderungen für Hochrisiko-KI.
Der „Digital Omnibus“: Vereinfachung mit Risiken
Parallel zur schrittweisen Umsetzung des KI-Gesetzes hat die EU-Kommission einen Vorschlag vorgelegt, der unter dem Namen „Digital Omnibus on AI“ bekannt ist. Das Ziel klingt vernünftig: bürokratische Hürden senken, die Umsetzung für Unternehmen praktikabler machen. Schließlich ist die KI-Landschaft komplex, und gerade kleinere Unternehmen kämpfen mit dem Aufwand.
Klingt gut – aber die Reaktion der Datenschutzbehörden ließ nicht lange auf sich warten.
In einer gemeinsamen Stellungnahme vom 11. Februar 2026 warnten der Europäische Datenschutzausschuss (EDSA) und der Europäische Datenschutzbeauftragte (EDSB) ausdrücklich davor, dass bestimmte vorgeschlagene Änderungen den Schutz von Einzelpersonen untergraben könnten. Der EDSA ist dabei das Gremium, das die nationalen Datenschutzbehörden aller EU-Mitgliedstaaten vereint – in Deutschland also etwa die Landesdatenschutzbeauftragten. Der EDSB hingegen überwacht den Datenschutz innerhalb der EU-Institutionen selbst. Beide sprechen hier also mit großem Gewicht.
Auch der Bundesverband der Verbraucherzentralen (vzbv) kritisiert den Digital Omnibus scharf: „Eine Vereinfachung der digitalen Gesetze darf nicht zur Deregulierung auf Kosten unserer Grundwerte werden. Wenn die EU diese Regeln lockert, liefert sie den Unternehmen Schlupflöcher auf dem Silbertablett und schwächt gleichzeitig die Rechte der Verbraucherinnen und Verbraucher.“
Hochrisiko-KI: Weniger Registrierung, mehr Risiko?
Einer der konkretesten Streitpunkte betrifft die Registrierungspflicht für Hochrisiko-KI-Systeme. Der Digital Omnibus schlägt vor, dass Anbieter ihre Systeme nicht registrieren müssen, wenn sie selbst einschätzen, dass ihr System nicht als hochriskant gilt – auch wenn es objektiv in eine Hochrisikokategorie fällt.
EDSA und EDSB lehnen das klar ab. Ihre Argumentation: Diese Änderung würde die Rechenschaftspflicht erheblich untergraben und Anbietern einen pervertierten Anreiz geben, Ausnahmen zu reklamieren, nur um der öffentlichen Kontrolle zu entgehen. Transparenz und Nachweisbarkeit sind im Hochrisikobereich aber keine Bürokratie-Spielerei – sie sind der eigentliche Schutzmechanismus für betroffene Menschen.
Was gilt als Hochrisiko-KI? Beispiele sind:
- KI-Systeme in der Personalrekrutierung (z. B. automatisierte Bewerber-Auswahl)
- KI im Gesundheitswesen (z. B. Diagnoseunterstützung oder Behandlungsplanung)
- KI in der Strafverfolgung oder im Bildungsbereich
- KI-Systeme als Bestandteil von sicherheitskritischen Produkten (z. B. Medizinprodukte)
Für all diese Systeme gilt: Vor dem Inverkehrbringen ist eine Konformitätsbewertung durchzuführen, ein Qualitätsmanagement- und Risikomanagementsystem einzuführen, und in vielen Fällen ist auch eine Datenschutz-Folgenabschätzung sowie eine Grundrechte-Risikoanalyse erforderlich.
Sensible Daten und Bias-Korrektur: Ein heikles Paradoxon
Ein besonders kniffliger Punkt ist die Nutzung sogenannter besonderer Kategorien personenbezogener Daten – also Informationen wie Gesundheitsdaten, ethnische Herkunft, Religion oder sexuelle Orientierung. Diese Daten genießen nach der DSGVO besonderen Schutz und dürfen nur unter sehr engen Voraussetzungen verarbeitet werden.
Das Problem: Wer KI-Systeme auf Vorurteile (auf Englisch: Bias) hin überprüfen und korrigieren möchte, kommt oft nicht um diese Datenkategorien herum. Einfaches Beispiel: Um zu prüfen, ob ein KI-Modell bei der Kreditvergabe bestimmte Bevölkerungsgruppen benachteiligt, muss man im Datensatz wissen, welcher Gruppe jemand angehört.
Das KI-Gesetz in Verbindung mit der DSGVO stellt hier weiterhin hohe rechtliche Hürden auf. Unternehmen, die Bias-Korrekturen vornehmen wollen, müssen diese Verarbeitung sorgfältig prüfen, dokumentieren und rechtlich absichern – ein Selbstläufer ist das nicht.
KI-Kompetenz: Pflicht bleibt Pflicht
Seit Februar 2025 verpflichtet der AI Act Unternehmen ausdrücklich dazu, für ausreichende KI-Kompetenz bei ihren Beschäftigten zu sorgen. Das klingt vielleicht zunächst nach einer weichen Empfehlung – ist es aber nicht. Es handelt sich um eine verbindliche Anforderung, die Unternehmen nachweisbar erfüllen müssen.
Was bedeutet das in der Praxis? Mitarbeiterinnen und Mitarbeiter, die KI-Systeme einsetzen, entwickeln oder beaufsichtigen, sollen verstehen, wie diese Systeme funktionieren, wo ihre Grenzen liegen und welche Risiken sie mit sich bringen. Staatliche Förderprogramme oder die Teilnahme an sogenannten Reallaboren (also regulierten Testumgebungen, in denen KI unter erleichterten Bedingungen erprobt werden kann) entbinden Anbieter dabei ausdrücklich nicht von dieser Eigenverantwortung.
Kurzum: Du kannst an einem staatlich geförderten KI-Pilotprojekt teilnehmen – und trotzdem dafür verantwortlich sein, dass dein Team weiß, was es tut.
Die Rolle der Aufsichtsbehörden: Unabhängigkeit als Grundvoraussetzung
Eine funktionierende KI-Regulierung steht und fällt mit ihren Aufsichtsbehörden. In Deutschland soll nach einem aktuellen Gesetzentwurf der Bundesregierung (beschlossen im Februar 2026) primär die Bundesnetzagentur als zuständige Behörde für den AI Act fungieren.
Auf EU-Ebene ist zusätzlich das Amt für künstliche Intelligenz (englisch: AI Office) als neue Institution entstanden. Hier fordern EDSA und EDSB, dass dessen Rolle klar definiert und von der unabhängigen Datenschutzaufsicht abgegrenzt sein muss. Das ist keine formale Kleinigkeit: Wenn eine Behörde theoretisch die KI-Systeme der EU-Institutionen selbst beaufsichtigen soll, aber gleichzeitig Teil dieser Institutionen ist, entsteht ein offensichtlicher Interessenkonflikt. Die Unabhängigkeit der Aufsicht ist deshalb keine bürokratische Fußnote, sondern ein fundamentales Prinzip – ähnlich wie die Unabhängigkeit eines Richters.
Ab August 2026 gelten die Transparenzregeln vollständig. KI-generierte Inhalte müssen dann gekennzeichnet werden, Deep Fakes sind zu markieren, und Unternehmen, die Hochrisiko-KI einsetzen, müssen Erklärbarkeit nachweisen können. Intransparenz wird dann nicht mehr nur ein ethisches Problem, sondern ein handfestes Geschäftsrisiko mit Bußgeldern und möglichem Marktausschluss.
Was das für dich bedeutet: Governance jetzt aufbauen
Der EU AI Act ist kein abstraktes Brüsseler Papier mehr. Er ist Realität – und er wird zunehmend scharf gestellt. Der Schutz der Grundrechte ist dabei nicht nur ein politisches Versprechen, sondern das erklärte Qualitätsmerkmal europäischer KI. Wer darauf setzt, schafft langfristig Vertrauen bei Kunden, Partnern und Behörden.
Was Unternehmen jetzt konkret angehen sollten:
- KI-Inventar erstellen: Welche KI-Systeme werden eingesetzt? Welche Risikokategorie treffen sie?
- Governance-Strukturen aufbauen: Wer ist intern für KI-Compliance verantwortlich?
- Dokumentation und Transparenz sicherstellen: Für Hochrisiko-KI gelten ab August 2026 strenge Nachweis- und Registrierungspflichten
- KI-Kompetenz entwickeln: Schulungen für relevante Mitarbeiterinnen und Mitarbeiter sind Pflicht, keine Kür
- DSGVO und AI Act zusammendenken: Beide Regelwerke müssen parallel eingehalten werden
Der Weg zur rechtssicheren KI ist kein Selbstläufer. Aber wer die Anforderungen ernst nimmt und früh handelt, hat gegenüber Wettbewerbern, die auf Zeit spielen, einen klaren Vorteil.
Hast du in deinem Unternehmen oder deiner Organisation bereits konkrete Schritte unternommen, um den Anforderungen des EU AI Acts gerecht zu werden – oder bist du noch am Anfang? Schreib es in die Kommentare: Vor welcher Herausforderung stehst du gerade am meisten?
