Log in
Sign up
Gouache illustration of a heavy stone legal seal carved with overlapping continental borders, symbolising the global compliance landscape for artificial intelligence laws

Sections

Gesetze zur künstlichen Intelligenz im Jahr 2026: die globale Compliance-Landkarte

Auf einen Blick

  • Die Vereinigten Staaten verfügen 2026 weiterhin über kein umfassendes Bundesgesetz zur künstlichen Intelligenz. Ein Präsidialerlass vom Dezember 2025 beansprucht den Vorrang des Bundes gegenüber einzelstaatlichen Gesetzen, die KI-Modelle zur Änderung wahrheitsgemäßer Ausgaben zwingen würden, und das Leitgesetz Colorados SB 24-205 wurde im April 2026 von einem Bundesrichter ausgesetzt.
  • Die KI-Verordnung der EU wird am 2. August 2026 zum globalen Referenzpunkt, wenn die Pflichten für Hochrisiko-Systeme greifen und die Kommission ihre Bußgelder verhängen kann.
  • Drei Rollen, nicht drei Flaggen, entscheiden über Ihre Pflichten: Anbieter, Betreiber und Anbieter von KI-Modellen mit allgemeinem Verwendungszweck. Die gleiche Rolle bringt ähnliche Pflichten mit sich, ob Sie in die EU, nach Korea oder nach Brasilien liefern.
  • ISO/IEC 42001 und das NIST AI Risk Management Framework bilden den operativen Nenner, der die meisten Rechtsordnungen in einem Zug abdeckt.
  • AI Sigil übersetzt diese Landkarte in operative Kontrollen, Nachweise und ein KI-Inventar, sodass der Weg vom Verordnungstext zum prüfungsreifen Dossier zum Arbeitsablauf wird, nicht zum Forschungsprojekt.

Die rechtliche Landkarte der KI im Jahr 2026

Das globale Bild ist heute zweipolig. Auf der einen Seite strukturieren umfassende risikobasierte Regime die KI-Pflichten anhand der Verwendung eines Systems: die KI-Verordnung der EU, das koreanische AI Basic Act mit Wirkung vom 22. Januar 2026 und das brasilianische PL 2338/2023. Auf der anderen Seite stützt sich ein sektorales und einzelstaatliches Geflecht auf bestehenden Verbraucherschutz, Bürgerrechte und Finanzaufsicht, um KI-Risiken abzudecken: Vereinigte Staaten, Vereinigtes Königreich und Kanada auf Bundesebene. Die praktische Folge ist, dass Unternehmen, die KI in mehrere Märkte liefern, ein einheitliches internes Compliance-Modell benötigen, das in beide Regimetypen einrasten kann. Geographie steuert nicht mehr den Inhalt der Pflichten. Die Rolle in der KI-Wertschöpfungskette tut es. Deshalb ist auch der Präsidialerlass vom Dezember 2025 zur nationalen KI-Politik so bedeutsam. Er signalisiert, dass die Vereinigten Staaten einer einzelstaatlichen Zersplitterung entgegentreten und sich auf die sektoralen Bundesbehörden stützen werden, vornehmlich FTC, EEOC, CFPB und HHS. Der Erlass weist die Exekutive an, einzelstaatliche Gesetze zu identifizieren, die Modelle zur Änderung wahrheitsgemäßer Ausgaben zwingen würden, und gerichtlich gegen sie vorzugehen.

Die KI-Verordnung der EU als globaler Maßstab

Die KI-Verordnung trat am 1. August 2024 in Kraft und gilt nach einem gestaffelten Zeitplan. Ihre Struktur ruht auf vier Risikostufen und einem parallelen Regime für KI-Modelle mit allgemeinem Verwendungszweck.

Die Risikostufen

Verbotene Praktiken nach Artikel 5 untersagen manipulative oder ausbeuterische KI, Social Scoring durch öffentliche Stellen, das ungezielte Auslesen von Gesichtsbildern, Emotionserkennung am Arbeitsplatz und in Schulen sowie weitgehend die biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum. Diese Verbote gelten seit dem 2. Februar 2025. Hochrisiko-KI-Systeme sind in Anhang III aufgelistet und umfassen unter anderem die biometrische Identifizierung, kritische Infrastrukturen, Bewertungen im Bildungs- und Berufsbildungsbereich, Personalauswahl und -management, den Zugang zu wesentlichen Diensten, die Strafverfolgung, Migration sowie die Justizverwaltung und demokratische Prozesse. Die Hochrisiko-Pflichten greifen ab dem 2. August 2026. KI-Systeme mit begrenztem Risiko lösen Transparenzpflichten nach Artikel 50 aus: Nutzerinnen und Nutzer müssen wissen, dass sie mit einer KI interagieren, und synthetische Inhalte müssen maschinenlesbare Kennzeichnungen tragen. Die Karenzfrist für synthetische Inhalte endet am 2. Dezember 2026. KI-Modelle mit allgemeinem Verwendungszweck unterliegen seit dem 2. August 2025 Dokumentations- und Urheberrechtstransparenzpflichten, unabhängig davon, ob sie auf dem Unionsmarkt platziert werden. Modelle mit systemischem Risiko sehen sich zusätzlichen Pflichten zur Modellbewertung, zu Red-Teaming-Übungen und zur Meldung schwerwiegender Vorfälle gegenüber.

Pflichten von Anbietern und Betreibern

Ein Anbieter eines Hochrisiko-Systems in der EU muss einen Risikomanagementprozess betreiben, eine technische Dokumentation gemäß Anhang IV führen, Datenqualität und Daten-Governance sicherstellen, Transparenz und menschliche Aufsicht einbauen, ein Konformitätsbewertungsverfahren durchlaufen, das System gegebenenfalls in der EU-Datenbank registrieren und eine Post-Market-Überwachung betreiben. Ein Betreiber muss die menschliche Aufsicht im Betrieb gewährleisten, die Gebrauchsanweisungen des Anbieters befolgen, eine Grundrechte-Folgenabschätzung nach Artikel 27 durchführen, wo erforderlich, und automatisierte Vorgänge protokollieren. Rat und Parlament haben sich am 7. Mai 2026 auf ein Vereinfachungspaket verständigt, das Überschneidungen mit dem sektoralen Produktsicherheitsrecht reduzieren und die GPAI-Dokumentation klarstellen soll. Die risikobasierte Struktur, die Stichtage im August 2026 und die Rollenkategorien bleiben unverändert.

Sanktionen

Die höchsten verwaltungsrechtlichen Geldbußen erreichen 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, für verbotene Praktiken. Andere Verstöße können mit bis zu 15 Millionen Euro oder 3 Prozent geahndet werden. Irreführende Angaben gegenüber Behörden werden mit bis zu 7,5 Millionen Euro oder 1 Prozent belegt. Die Durchsetzungsbefugnisse der Kommission gegenüber GPAI-Anbietern gelten ab dem 2. August 2026.

Die Vereinigten Staaten: Bundesvorrang trifft sektorale Durchsetzung

2026 existiert kein umfassendes Bundesgesetz zur KI. Der Congressional Research Service beschreibt die Bundesebene als geschichtete Sammlung aus Präsidialerlassen, Behördenregeln und sektoralen Statuten.

Maßnahmen auf Bundesebene

Der 2023 unterzeichnete Präsidialerlass 14110 wurde Anfang 2025 aufgehoben. Der Erlass vom Dezember 2025 zur nationalen KI-Politik trat an seine Stelle. Er weist den Generalbundesanwalt an, einzelstaatliche KI-Gesetze zu bewerten, die mit Bundesinteressen kollidieren, insbesondere solche, die Modelle zur Änderung wahrheitsgemäßer Ausgaben zwingen. Dieser Erlass ist die unmittelbare Ursache der bundesgerichtlichen Aussetzung des Colorado SB 24-205 am 27. April 2026. Die Durchsetzung auf Bundesebene läuft über allgemeine Behörden. Die Federal Trade Commission wendet Section 5 des FTC Act auf unfaire oder täuschende KI-Praktiken an. Die Equal Employment Opportunity Commission setzt Titel VII und den Americans with Disabilities Act auf KI-gestützte Personalentscheidungen an. Das Consumer Financial Protection Bureau beaufsichtigt KI im Kreditgeschäft und in der Bonitätsprüfung. Das Department of Health and Human Services wendet HIPAA und Section 1557 auf klinische Entscheidungsunterstützung an.

Einzelstaatliche und kommunale Gesetze

Die einzelstaatliche Aktivität erreichte 2024 und 2025 ihren Höhepunkt und ist seither unter Bundesdruck zurückgegangen. Die meistzitierten Maßnahmen sind:

  • Colorado SB 24-205, das erste umfassende einzelstaatliche KI-Gesetz. Es sollte am 1. Februar 2026 in Kraft treten, wurde durch SB 25B-004 auf den 30. Juni 2026 verschoben und am 27. April 2026 von einem Bundesrichter ausgesetzt. Die Legislative Colorados verabschiedete vom 7. bis 9. Mai 2026 ein Ersatzgesetz, SB 189.
  • Local Law 144 von New York City, das einen jährlichen Bias-Audit und eine Bewerberbenachrichtigung für automatisierte Personalauswahl-Tools verlangt.
  • Illinois Artificial Intelligence Video Interview Act, der die Einwilligung für die KI-Analyse von Vorstellungsgesprächen vorschreibt.
  • California SB 53, das von Entwicklern großer KI-Modelle eine Offenlegung verlangt.
  • Tennessee ELVIS Act, der Stimme und Ähnlichkeit gegen KI-Klonen schützt.
  • Utah Artificial Intelligence Policy Act, der Offenlegungspflichten für generative KI in regulierten Berufen ergänzt.

Die einzelstaatlichen Gesetze überleben in engeren Bereichen: Bias-Audits, Deepfake-Offenlegung, Schutz von Stimme und Ähnlichkeit. Umfassende einzelstaatliche Regime sehen sich dagegen einem schwierigeren Bundesgegenwind ausgesetzt.

Der Rest der Welt: vergleichbar, aber nicht identisch

Ein Rundblick bestätigt, dass rollenbasierte Pflichten gut reisen. Das Vereinigte Königreich betreibt ein prinzipienbasiertes Regime ohne KI-Gesetz. Bestehende Aufsichtsbehörden, die Competition and Markets Authority, die Financial Conduct Authority, das Information Commissioner’s Office und Ofcom, wenden fünf gemeinsame Prinzipien auf die KI in ihren Sektoren an. Das ICO besitzt die schärfsten Zähne, mit Bußgeldern von bis zu 17,5 Millionen Pfund oder 4 Prozent des weltweiten Jahresumsatzes nach der UK GDPR. China verfügt über den dichtesten Stapel KI-spezifischer Regeln. Die Algorithmen-Empfehlungsregeln (2022), die Bestimmungen zu Deep Synthesis (2023) und die vorläufigen Maßnahmen für generative KI-Dienste (2023) sehen Kennzeichnung, Registrierung und Inhaltsmoderation vor. Anbieter melden ihre Algorithmen bei der Cyberspace Administration of China und wenden eine realnamenbezogene Identitätsprüfung an. Japan ist von einer Soft-Law-KI-Strategie zu einem Gesetz, dem AI Promotion Act 2025, übergegangen. Das Regime betont Innovation und freiwillige Einhaltung der Leitlinien des Ministry of Economy, Trade and Industry. Harte Pflichten betreffen die Transparenz generativer KI und das öffentliche Beschaffungswesen. Brasilien berät über PL 2338/2023, einen risikobasierten Entwurf, der die europäische Struktur mit angepassten Schwellen widerspiegelt. Eine Verabschiedung wird für 2026 mit einer Übergangsperiode erwartet. Südkorea erließ den AI Basic Act, das mit Wirkung vom 22. Januar 2026 zum ersten umfassenden KI-Gesetz Asiens wurde. Es führt eine Kategorie hochwirksamer KI ein, die in groben Zügen der EU-Hochrisikokategorie entspricht, und verlangt Risikomanagement, Transparenz und Folgenabschätzung. Kanada hat seine Bundesaktivität pausiert: der im Bill C-27 gebündelte Artificial Intelligence and Data Act fiel mit der parlamentarischen Vertagung. Das québecer Loi 25 regelt weiterhin automatisierte Entscheidungen, die Einzelpersonen erheblich betreffen. In Deutschland bleiben das BSI für die Cybersicherheit, die BfDI für den Datenschutz auf Bundesebene und die BNetzA für Telekommunikation und digitale Dienste die sektoralen Bezugsbehörden bei der Anwendung der EU-Verordnung.

Pflichtenkarte: Anbieter gegenüber Betreiber gegenüber GPAI-Anbieter

Die tiefste praktische Einsicht aus der rechtsordnungsübergreifenden Lektüre lautet, dass sich die Pflichten nach Rolle gruppieren. Anbieter von KI-Systemen tragen die schwerste Dokumentationslast. Über die KI-Verordnung der EU, das koreanische AI Basic Act und den Geist der sektoralen US-Durchsetzung hinweg müssen sie:

  • Einen Risikomanagementprozess über den gesamten Lebenszyklus des Systems betreiben.
  • Eine technische Dokumentation pflegen, die Designentscheidungen, Trainingsdaten-Governance, Bewertungsergebnisse und bekannte Grenzen nachvollzieht.
  • Eine Daten-Governance anwenden, die Herkunft, Repräsentativität und Bias-Kontrollen umfasst.
  • Auf Transparenz gegenüber dem Betreiber hin entwerfen, mit Gebrauchsanweisungen, Zweckbestimmung und bekannten Beschränkungen.
  • Vor dem Inverkehrbringen eine Konformitäts- oder Folgenabschätzung durchführen.
  • Eine Post-Market-Überwachung betreiben und schwerwiegende Vorfälle den Behörden melden.

Betreiber tragen die operativen Pflichten:

  • Das System ausschließlich innerhalb des vom Anbieter festgelegten Zwecks einsetzen.
  • Eine risikoangemessene menschliche Aufsicht aufrechterhalten.
  • Eine Grundrechte-Folgenabschätzung durchführen, wo erforderlich, beispielsweise nach Artikel 27 der KI-Verordnung für öffentliche Stellen und bestimmte private Betreiber von Hochrisiko-Systemen.
  • Automatisierte Ausgaben protokollieren, um Audit und Vorfallreaktion zu ermöglichen.
  • Betroffene informieren, wenn KI wesentlich an einer Entscheidung beteiligt ist, soweit das nationale Recht es verlangt.

Anbieter von KI-Modellen mit allgemeinem Verwendungszweck liegen über beiden Schichten:

  • Modelldesign, eine Übersicht der Trainingsdaten und die urheberrechtliche Haltung dokumentieren.
  • Nachgelagerte Anbieter mit Modellkarten und Fähigkeitszusammenfassungen unterstützen.
  • Für Modelle mit systemischem Risiko Modellbewertungen, Red-Teaming, Cybersicherheitsbewertungen und Meldungen schwerwiegender Vorfälle vornehmen.

Ein Unternehmen kann mehrere Rollen gleichzeitig einnehmen. Ein SaaS-Anbieter, der ein offenes Modell feinabstimmt und in ein Recruiting-Tool integriert, ist gleichzeitig Anbieter, Betreiber und nachgelagerter GPAI-Integrator. Jede Pflicht greift in ihrer eigenen Spalte.

Sanktionen im direkten Vergleich

Die Quantifizierung der Exposition klart die Priorisierung:

  • KI-Verordnung der EU: bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes für verbotene Praktiken; bis zu 15 Millionen Euro oder 3 Prozent für Hochrisiko- und GPAI-Verstöße; bis zu 7,5 Millionen Euro oder 1 Prozent für irreführende Angaben gegenüber Behörden.
  • Vereinigte Staaten, sektoraler Bund: FTC-Bußgelder skalieren mit der Zahl der Verstöße und können mit Gewinnabschöpfung kombiniert werden; EEOC-Rechtsmittel umfassen Nachzahlungen, Wiedereinstellung und Schadensersatz; CFPB-Vergleiche überschreiten im Finanzdienstleistungssektor häufig 10 Millionen US-Dollar.
  • Vereinigtes Königreich, ICO: bis zu 17,5 Millionen Pfund oder 4 Prozent des weltweiten Jahresumsatzes.
  • China, CAC: Untersagungen, öffentliche Tadel, umsatzbezogene Bußgelder und persönliche Haftung der gesetzlichen Vertreter.
  • Korea, AI Basic Act: Bußgelder bis zu 30 Millionen Won für Verfahrensverstoße und proportionale Bußgelder für materielle Verstöße, mit Reputationssanktionen über ein öffentliches Register.

Die Zahlen variieren, doch die operativen Kosten dominieren das Bild: jedes Regime erzwingt denselben Nachweisstapel, und das Unternehmen, das diesen Stapel auf Abruf vorlegen kann, gewinnt Audits überall.

Warum ISO/IEC 42001 und NIST AI RMF die operativen Nenner sind

Die Konvergenz zwischen den Regimen ist kein Zufall. Die Regulierungsbehörden auf beiden Seiten des Atlantiks haben sich beim Verfassen ihrer Regeln auf dieselbe technische Literatur gestützt, und diese Literatur hat sich in zwei Normen verdichtet. ISO/IEC 42001:2023 legt ein KI-Managementsystem fest, das strukturell mit ISO/IEC 27001 für Informationssicherheit und ISO 9001 für Qualität identisch ist. Eine Organisation, die ein AIMS nach ISO/IEC 42001 betreibt, verfügt bereits über eine KI-Politik, einen definierten Anwendungsbereich, einen Prozess zur Risiko- und Folgenabschätzung, einen Kontrollkatalog mit Anhang A, eine Lieferantenaufsicht und einen internen Auditzyklus. Unabhängige Analysen schätzen, dass dies rund 70 Prozent der Hochrisiko-Dokumentationspflichten der KI-Verordnung abdeckt. Das NIST AI Risk Management Framework in Version 1.0, veröffentlicht im Januar 2023, organisiert die Vertrauenswürdigkeit von KI um vier Funktionen: Govern, Map, Measure, Manage. Das im Juli 2024 veröffentlichte Generative AI Profile (NIST AI 600-1) legt 12 generative KI-Risikokategorien und mehr als 400 konkrete Minderungsmaßnahmen über das Kernframework. Koreanische und singapurische Regulierer zitieren das NIST AI RMF in ihren eigenen Leitlinien. Die sektoralen US-Aufseher orientieren sich daran als zumutbaren Vergleichsmaßstab. Zwei künftige europäische harmonisierte Normen vervollständigen das Bild. CEN-CENELEC prEN 18228 behandelt das KI-Risikomanagement und prEN 18282 die KI-Cybersicherheit. Nach Veröffentlichung verleihen sie europäischen Anbietern von Hochrisiko-Systemen eine Vermutung der Konformität mit den entsprechenden Artikeln der KI-Verordnung. Die operative Konsequenz lautet: eine Organisation, die ein ernsthaftes ISO/IEC 42001-AIMS betreibt, es auf die Funktionen des NIST AI RMF abbildet und ihre Kontrollen in einem einzigen KI-Inventar belegt, hat 80 Prozent der Arbeit erledigt, die sie für die Compliance in der EU, unter der sektoralen US-Durchsetzung, in Korea, im Vereinigten Königreich und unter den in Vorbereitung befindlichen Regimen in Brasilien und Japan benötigt. Die verbleibenden 20 Prozent betreffen jurisdiktionsspezifische Dokumentation, Registrierungen und Meldungen.

Compliance-Checkliste 2026 für KI-Anbieter und KI-Betreiber

Am 2. August 2026 muss jedes KI-System, das auf dem Unionsmarkt platziert ist oder Nutzer in der Union betrifft, das Hochrisiko-Regime einhalten, sofern es in Anhang III fällt, und das GPAI-Regime, sofern es einschlägig ist. Die Mindestbewegung, um pünktlich auszuliefern:

  1. Inventar. Bauen Sie ein einziges KI-Inventar auf, das jedes KI-System, jede Modellvariante, jeden Einsatzkontext und jeden Datensatz auflistet. Das Inventar ist das Rückgrat jedes künftigen Audits.
  2. Klassifizieren. Für jeden Inventareintrag bestimmen Sie Ihre Rolle (Anbieter, Betreiber, GPAI-Anbieter, Importeur, Händler) und die Risikostufe nach der KI-Verordnung (verboten, hoch, begrenzt, minimal, GPAI, GPAI mit systemischem Risiko). Wiederholen Sie die Klassifizierung unter dem koreanischen AI Basic Act und jedem einschlägigen US-Landesgesetz.
  3. Dokumentieren. Für jeden Hochrisiko- und GPAI-Eintrag erstellen Sie eine technische Dokumentation gemäß Anhang IV. Verwenden Sie die Kontrollen aus Anhang A der ISO/IEC 42001 als Rückgrat und vervollständigen Sie die EU-spezifischen Abschnitte (Zweck, Genauigkeitsmetriken, vorhersehbare Fehlanwendungen).
  4. Bewerten. Führen Sie für Hochrisiko-Systeme im Kontext des Artikel 27 eine Grundrechte-Folgenabschätzung durch. Verwenden Sie die Bewertung für die Bias-Audits nach NYC Local Law 144, die algorithmische Nichtdiskriminierungspflicht nach Colorado-Vorbild und die koreanische Folgenabschätzung weiter.
  5. Konform sein. Schließen Sie den Konformitätsbewertungsweg für jedes Hochrisiko-System ab. Für die meisten Anhang-III-Systeme ist es der Weg der internen Kontrolle; für biometrische Identifizierung und bestimmte kritische Infrastruktursysteme ist eine benannte Stelle erforderlich.
  6. Registrieren. Tragen Sie jedes registrierungspflichtige Hochrisiko-System in die EU-Datenbank ein. Tragen Sie öffentliche Betreiber in die entsprechende Unterdatenbank ein.
  7. Schulen. Schulen Sie das Personal auf das KI-Kompetenzniveau, das Artikel 4 der KI-Verordnung seit dem 2. Februar 2025 verlangt. Schulen Sie die Betreiber in den Gebrauchsanweisungen des Anbieters.
  8. Kennzeichnen. Setzen Sie maschinenlesbare Kennzeichnungen für synthetische Inhalte bis zum 2. Dezember 2026 um, dem Ende der Karenzfrist nach Artikel 50.
  9. Überwachen. Betreiben Sie eine Post-Market-Überwachung für jedes Hochrisiko-System im Feld. Führen Sie die Meldung schwerwiegender Vorfälle über einen einzigen Eingang.
  10. Auditieren. Takten Sie den internen Auditzyklus so, dass jede AIMS-Kontrolle mindestens einmal pro Jahr geprüft wird und die Ergebnisse in die Managementbewertung einfließen.

Die meisten dieser Schritte sind in Seoul, Brasilia oder Brüssel identisch. Die Unterschiede liegen in den Registern, der Formulierung der Folgenabschätzungsvorlagen und der Sprache der Nutzerhinweise.

Häufige Fragen

Gibt es 2026 ein KI-Gesetz in den Vereinigten Staaten? Es gibt kein umfassendes Bundesstatut. KI wird über FTC, EEOC, CFPB, HHS und andere sektorale Behörden reguliert sowie über ein schrumpfendes Geflecht einzelstaatlicher Gesetze. Der bundesgerichtliche Erlass vom Dezember 2025 zur nationalen KI-Politik beansprucht den Vorrang gegenüber einzelstaatlichen Gesetzen, die Modelle zur Änderung wahrheitsgemäßer Ausgaben zwingen würden, und hat die Aussetzung des Colorado SB 24-205 bereits ausgelöst. Welches KI-Gesetz ist 2026 am strengsten? Die KI-Verordnung der EU sieht die höchsten Verwaltungsbußen vor, bis zu 7 Prozent des weltweiten Jahresumsatzes für verbotene Praktiken, und gilt extraterritorial, wenn KI Personen in der Union betrifft. Das koreanische AI Basic Act ist strukturell ähnlich, mit niedrigeren Zahlen. Das chinesische Regime ist inhaltlich am vorschreibendsten, beschränkt jedoch seine grenzüberschreitende Reichweite. Welches Gesetz gilt, wenn ich ein Modell in den USA baue und in der EU verkaufe? Beide. Die KI-Verordnung gilt extraterritorial nach Artikel 2 Absatz 1 Buchstabe c, wenn die Ausgaben des Systems in der Union genutzt werden. Sie werden in der Union zum Anbieter, unabhängig vom Entwicklungsort des Modells. Das sektorale US-Recht bleibt parallel anwendbar. Ab wann verhängt die KI-Verordnung Geldbußen? Geldbußen für verbotene Praktiken stehen seit dem 2. August 2025 zur Verfügung. Die Durchsetzungsbefugnisse der Kommission gegenüber GPAI-Anbietern gelten ab dem 2. August 2026. Die Durchsetzung gegenüber Hochrisiko-Systemen beginnt ebenfalls am 2. August 2026. Müssen kleine Unternehmen die KI-Verordnung einhalten? Ja, sobald sie ein Hochrisiko-System auf dem Unionsmarkt platzieren oder betreiben. Die Verordnung enthält Verhältnismäßigkeitsklauseln und Ausnahmen für freie und offene KI-Komponenten außerhalb des Hochrisikobereichs, befreit kleine Unternehmen jedoch nicht von den Hochrisiko-Pflichten. Das Vereinfachungspaket vom Mai 2026 ergänzt zusätzliche Verhältnismäßigkeitsmaßnahmen. Worin unterscheiden sich Anbieter und Betreiber von KI? Der Anbieter hat das System entwickelt oder entwickeln lassen und bringt es unter seinem Namen in Verkehr. Der Betreiber setzt ein KI-System in einem professionellen Kontext ein. Dasselbe Unternehmen kann beides sein, dann gelten beide Pflichtensets. Macht eine Zertifizierung nach ISO/IEC 42001 mich konform mit der KI-Verordnung? Nein, aber sie bringt Sie sehr weit. ISO/IEC 42001 deckt rund 70 Prozent der Hochrisiko-Dokumentationspflichten ab. Die Konformitätsbewertung nach der KI-Verordnung, die EU-Registrierung und die Transparenzpflichten nach Artikel 50 bleiben eigenständige Aufgaben. Die künftigen harmonisierten Normen prEN 18228 und prEN 18282 werden einen Teil der verbleibenden Lücke schließen.

Fazit

KI-Gesetze 2026 Land für Land zu lesen, ist ein verlorenes Spiel. Dieselben Pflichten reisen über Rechtsordnungen hinweg und gruppieren sich um drei Rollen. Die Organisationen, die ihre Audits in diesem Jahr gewinnen, sind diejenigen, die ein einziges KI-Inventar, einen einzigen Risiko- und Folgenabschätzungsprozess, ein einziges Kontrollset und eine einzige Nachweisbibliothek aufgebaut und auf diese Wirbelsäule die KI-Verordnung der EU, die sektorale US-Durchsetzung, das koreanische AI Basic Act, die chinesischen Regeln und die britischen Prinzipien projiziert haben. AI Sigil arbeitet genau auf dieser Wirbelsäule. Die Plattform übersetzt Regulierungstexte in KI-Inventareinträge, Rollenklassifizierung, Kontrollen, Nachweise, Audit-Pfade und Dokumentationsdossiers, die Konformitätsbewertungen bestehen. Wenn die nächsten zwölf Monate daran gemessen werden, was Sie an einem Prüfungstag vorlegen können, ist der Moment, KI-Compliance zum Arbeitsablauf statt zum Forschungsprojekt zu machen, jetzt.

Dr. Anna Hoffmann

Gesetze zur künstlichen Intelligenz im Jahr 2026: die globale Compliance-Landkarte

Anbieter, Betreiber oder GPAI-Anbieter? So greifen KI-Verordnung, US-Recht, NIST AI RMF und ISO/IEC 42001 im Jahr 2026 ineinander, mit Checkliste.

KI-Governance-Rahmenwerk: Der vollständige Leitfaden

NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Grundsätze im Vergleich. Erfahren Sie, welches Rahmenwerk Ihr Unternehmen braucht und wie Sie alle gemeinsam einsetzen.

Human-in-the-Loop vs. Human-on-the-Loop: Leitfaden zur KI-Aufsicht

Human-in-the-Loop oder Human-on-the-Loop: sieben Entscheidungsachsen, Artikel 14 der KI-Verordnung und Verankerung in ISO/IEC 42001.

KI-Governance-Frameworks: NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Prinzipien im Vergleich (2026)

NIST AI RMF, ISO/IEC 42001, EU-KI-Verordnung und OECD-KI-Prinzipien im Vergleich, mit Control-Mapping und Entscheidungsbaum zur Framework-Wahl.

ISO 42001 deckt die KI-Verordnung nicht ab: der echte Konformitäts-Baukasten

Eine ISO-42001-Zertifizierung allein macht Sie nicht KI-Verordnungs-konform. Das ist der vollständige Baukasten harmonisierter Normen und seine operative Umsetzung.