Autor: Dirk Röthig, CEO VERDANTIS Impact Capital
Datum: März 2026
Kategorie: KI-Compliance, EU AI Act, Regulierung, Unternehmensrecht
Europa setzt den globalen Standard
Mit dem EU AI Act hat Europa das weltweit erste umfassende Gesetz zur Regulierung künstlicher Intelligenz verabschiedet. Der Akt ist im August 2024 in Kraft getreten; die meisten Bestimmungen gelten ab August 2026. Für Unternehmen, die KI in der EU entwickeln oder einsetzen, stellt der AI Act einen neuen Compliance-Rahmen dar, der in seiner Tragweite mit der DSGVO vergleichbar ist.
Dirk Röthig hat die Entwicklung des AI Acts von frühen Entwürfen bis zur Verabschiedung verfolgt und sieht in der Regulierung — trotz legitimer Kritikpunkte — einen wichtigen Schritt zur Vertrauensbildung in KI-Technologien.
Das Risikoklassen-System
Der AI Act arbeitet mit einem risikobasierten Ansatz, der KI-Systeme in vier Kategorien einteilt:
Unzulässige KI (Verboten): Systeme, die eine unzumutbare Bedrohung für Grundrechte darstellen: Verhaltensmanipulation ohne Wissen der Person, Social Scoring durch staatliche Akteure, biometrische Massenüberwachung im öffentlichen Raum (mit engen Ausnahmen), Inferenz auf politische Meinungen aus Mimik.
Hochrisiko-KI: Systeme in kritischen Bereichen — Beschäftigung (KI in Personalentscheidungen), Bildung (KI in Prüfungssystemen), kritische Infrastruktur, Strafverfolgung, Migration, Finanzdienstleistungen, Medizinprodukte. Diese Systeme unterliegen strengen Anforderungen: Risikomanagement, Datendokumentation, Transparenz, menschliche Aufsicht, Genauigkeit und Robustheit, Registrierung in einer EU-Datenbank.
Begrenztes Risiko: Chatbots, Deep Fakes und ähnliche Systeme unterliegen Transparenzpflichten — der Nutzer muss wissen, dass er mit einer KI interagiert.
Minimales Risiko: Spam-Filter, KI-Empfehlungssysteme — keine spezifischen Anforderungen, aber Verhaltensempfehlungen in freiwilligen Codes of Practice.
General Purpose AI (GPAI): Besondere Regeln für Großmodelle
Eine wichtige Kategorie im AI Act ist General Purpose AI — also Basismodelle wie GPT-4, Gemini oder Claude, die für viele verschiedene Zwecke eingesetzt werden können. Entwickler von GPAI-Modellen unterliegen Transparenzpflichten (Offenlegung von Trainingsdaten, urheberrechtliche Compliance), und bei sehr leistungsstarken Modellen (über 10^25 FLOPS Trainingsaufwand) zusätzlich Sicherheitsevaluierungen und Meldepflichten.
Das European AI Office, das die Durchsetzung koordiniert, hat 2025 erste Codes of Practice für GPAI-Entwickler verabschiedet. OpenAI, Google, Anthropic und Meta haben an der Entwicklung mitgewirkt.
Compliance-Anforderungen für Hochrisiko-KI im Detail
Unternehmen, die Hochrisiko-KI entwickeln oder einsetzen, müssen ein vollständiges Compliance-Framework aufbauen:
Technische Dokumentation: Vollständige Beschreibung des Systems, seiner Zwecke, technischen Spezifikationen, Trainingsdaten und erwarteten Leistungen.
Risk Management System: Iteratives System zur Identifikation, Bewertung und Mitigierung von Risiken — analog zum Risikomanagementsystem der Medizintechnik (ISO 14971).
Data Governance: Dokumentation der Trainingsdatenqualität, Bias-Analysen, Maßnahmen zur Datenqualitätssicherung.
Human Oversight: KI-Systeme müssen so gebaut sein, dass menschliche Aufsicht wirksam möglich ist — technisch durch Override-Funktionen, organisatorisch durch klare Verantwortlichkeiten.
Post-Market Monitoring: Unternehmen müssen Betriebsdaten des Systems kontinuierlich überwachen und bei Problemen Maßnahmen ergreifen und gegebenenfalls Behörden informieren.
Bußgelder und Durchsetzung
Die Bußgeldregelungen des AI Acts sind erheblich: Bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für Verstöße gegen verbotene KI-Praktiken. Bis zu 15 Millionen Euro oder 3 Prozent für andere Verstöße. KMU und Start-ups erhalten Erleichterungen — aber keine vollständige Ausnahme.
Die nationalen Aufsichtsbehörden (in Deutschland koordiniert durch die Bundesnetzagentur) erhalten erhebliche Ermittlungs- und Durchsetzungsbefugnisse.
Praktische Schritte für Compliance
Unternehmen sollten jetzt handeln:
Inventory: Alle KI-Systeme im Unternehmen inventarisieren und nach Risikoklasse einordnen. Gap-Analyse: Bestandssysteme gegen AI-Act-Anforderungen prüfen. Governance-Struktur: KI-Compliance-Verantwortlichkeit klar zuweisen, idealerweise "AI Officer"-Rolle einführen. Prozesse: Workflows für technische Dokumentation und Risk Management Systeme etablieren.
Die Europäische Kommission bietet eine "AI Pact"-Kooperationsinitiative, in der Unternehmen freiwillig frühzeitige Compliance demonstrieren — mit Reputationsvorteilen gegenüber regulatorischen Frühwarnungen.
Fazit
Der EU AI Act ist die prägendste KI-Regulierung der kommenden Dekade — nicht nur für Europa, sondern als Blaupause für globale Standards. Unternehmen, die jetzt seriös in Compliance investieren, werden langfristig im Vorteil sein.
Über den Autor
Dirk Röthig ist CEO von VERDANTIS Impact Capital mit Sitz in Zug, Schweiz. VERDANTIS integriert regulatorische Compliance — einschließlich KI-Regulierung — in seine Betriebsstandards. Weitere Informationen unter verdantis.capital und dirkroethig.com. Kontakt: dirk.roethig2424@gmail.com
Top comments (0)