Log in
Sign up
AI Regulatory Landscape 2026: An Operator's Playbook

Sections

KI-Regulierung 2026: Das Handbuch für Betreiber

Auf einen Blick

  • Der Suchbegriff „ai regulatory“ verweist auf zwei verschiedene Realitäten: zum einen die staatliche KI-Regulierung, zum anderen den Einsatz von KI innerhalb der Compliance-Funktion. Dieser Leitfaden behandelt die erste Bedeutung, die das Suchergebnis-Ranking 2026 fast vollständig prägt.
  • Vier Ankerregime bestimmen den Großteil der operativen Pflichten: die EU-KI-Verordnung (Verordnung 2024/1689), der US-amerikanische Flickenteppich aus Bundes-Leitlinien und Bundesstaatengesetzen, das pro-innovative sektorale Vorgehen des Vereinigten Königreichs und der chinesische Rahmen unter Führung der Cyberspace Administration of China.
  • Über den nationalen Regimen liegt nun eine völkerrechtliche Schicht: das Rahmenübereinkommen des Europarats zur KI, der erste rechtsverbindliche internationale KI-Vertrag, von der Europäischen Union am 15. Mai 2026 ratifiziert.
  • Zwei operative Standards halten das Bild beherrschbar: ISO/IEC 42001 als Grundgerüst eines KI-Managementsystems und das NIST AI Risk Management Framework als Kontroll-Bibliothek. Ein einziges KI-Managementsystem kann mehrere Aufsichten zugleich bedienen, sofern die Zuordnung sauber gemacht wird.
  • Die eigentliche Arbeit gliedert sich nach Pflichttyp: Transparenz, Risikomanagement, Konformitätsbewertung, Marktbeobachtung, Vorfallmeldung, Datengovernance. Das Land wechselt Fristen und Bußgeldobergrenzen, nicht aber die Struktur der Arbeit.

Was „ai regulatory“ 2026 tatsächlich bedeutet

Der Ausdruck „ai regulatory“ bündelt zwei voneinander unabhängige Geschichten. Die erste, die dieser Leitfaden behandelt, betrifft staatliche Regeln und völkerrechtlich verbindliche Abkommen, die regeln, wie Organisationen KI entwickeln, in Verkehr bringen, einsetzen und beaufsichtigen. Die zweite betrifft KI-Systeme, die innerhalb der Compliance-Funktion arbeiten, häufig unter dem Begriff RegTech geführt. Die Spitze der Suchergebnisse spiegelt nahezu ausschließlich die erste Lesart wider, mit globalen Trackern, Ländervergleichen und juristischen Fachbeiträgen.

Die schiere Menge überwältigt. Öffentlich verbreitete Zusammenfassungen sprechen mittlerweile von mehr als 900 aktiven KI-Vorschriften in 80 Jurisdiktionen. Diese Zahl wirkt einschüchternd, weil sie Richtlinien, sektorale Verordnungen, Erlasse und Leitlinien zusammenzählt. Compliance-Abteilungen erleben jedoch nicht 900 voneinander getrennte Vorhaben. Sie haben es mit einer Handvoll Ankerregime, einer überschaubaren Zahl wiederkehrender Pflichtfamilien und einigen übergreifenden Standards zu tun, die es ermöglichen, einen Kontrollsatz für mehrere Aufsichten zugleich zu nutzen.

Diese Perspektivverschiebung ist der eigentliche Gegenstand des Leitfadens. Die länderweise Aufzählung, der die meisten ranghohen Seiten folgen, bleibt als Nachschlagewerk nützlich, taugt jedoch nicht als operatives Modell. Es folgt der Blick des Betreibers: Ankerregime zuerst, völkerrechtliche Schicht danach, Pflichttypen drittens, Rollenaufteilung viertens, konvergentes operatives Rückgrat schließlich.

Die vier Ankerregime

Die EU-KI-Verordnung, Verordnung 2024/1689

Die EU-KI-Verordnung ist am 1. August 2024 in Kraft getreten und wird am 2. August 2026 vollständig anwendbar. Die einzelnen Bestimmungen werden gestaffelt aktiv. Verbotene KI-Praktiken und Pflichten zur KI-Kompetenz gelten seit dem 2. Februar 2025. Governance-Vorschriften und Pflichten für KI-Modelle für allgemeine Zwecke gelten seit dem 2. August 2025. Das Regime für Hochrisiko-Systeme, einschließlich Qualitätsmanagementsystem, Konformitätsbewertung und Marktbeobachtungspflichten, wird ab dem 2. August 2026 vollständig durchsetzbar.

Die Architektur ist risikobasiert und kennt vier Stufen. Verbotene Praktiken umfassen unter anderem Social Scoring durch staatliche Stellen, ungezieltes Abgreifen von Gesichtsbildern und Emotionserkennung an Arbeitsplätzen und Bildungseinrichtungen, jeweils mit eng gefassten Ausnahmen. Hochrisiko-Systeme, in Anhang III für Anwendungsfelder wie Beschäftigung, Kreditscoring, biometrische Identifizierung, kritische Infrastruktur und Strafverfolgung benannt, unterliegen einem strukturierten Pflichtenkatalog zu Datengovernance, technischer Dokumentation, menschlicher Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Systeme mit begrenztem Risiko, vor allem solche, die mit natürlichen Personen interagieren oder synthetische Inhalte erzeugen, sind transparenzpflichtig. Systeme mit minimalem Risiko, also der Großteil der betrieblichen KI, unterliegen nur freiwilligen Verhaltenskodizes.

Die Sanktionen reichen bei verbotenen Praktiken bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist. Andere Verstöße sinken auf 15 Millionen Euro oder 3 Prozent, falsche Angaben an Behörden auf 7,5 Millionen oder 1 Prozent. Die Aufsicht teilen sich die nationalen zuständigen Behörden mit dem neu geschaffenen Büro für Künstliche Intelligenz bei der Europäischen Kommission.

Vereinigte Staaten: föderaler Flickenteppich und Bundesstaatengesetze

Die Vereinigten Staaten folgen einer anderen Logik. Es gibt kein einzelnes Bundesgesetz zur KI. Statt dessen wenden sektorale Aufsichtsbehörden bestehende Gesetze (Verbraucherschutz, Beschäftigung, Finanzwesen, Gesundheit) auf KI-Anwendungen an, während einzelne Bundesstaaten gezielte Gesetze verabschieden. Die legislative Aktivität hat 2025 und 2026 deutlich zugenommen, wie der White & Case Global Regulatory Tracker und das NCSL-Verzeichnis zeigen, die Dutzende Gesetze zu automatisierten Entscheidungssystemen, generativen KI-Hinweisen, Deepfakes im Wahlkampf und behördlicher KI-Nutzung dokumentieren.

Die Bundesebene bleibt überwiegend exekutiv. Präsidiale Anordnungen prägen Beschaffungsstandards, behördliche Risikobewertungen und Offenlegungspflichten. Unabhängige Behörden, darunter die Federal Trade Commission, die Equal Employment Opportunity Commission, das Consumer Financial Protection Bureau, die Food and Drug Administration für Medizinprodukte und die National Highway Traffic Safety Administration für autonome Fahrzeuge, wenden ihren bestehenden Instrumentenkasten auf KI-Fälle an. Compliance-Arbeit in den USA wohnt mehr als anderswo in den sektoralen Handbüchern und weniger in einem horizontalen KI-Gesetz.

Vereinigtes Königreich: pro-innovativer sektoraler Ansatz

Das Vereinigte Königreich hat sich entschieden, KI nicht horizontal zu regeln. Der pro-innovative Ansatz leitet KI-Vorschriften durch die bestehenden Aufsichtsbehörden (Information Commissioner’s Office, Competition and Markets Authority, Financial Conduct Authority, Ofcom und weitere), gestützt auf fünf übergreifende Prinzipien: Sicherheit, Transparenz, Fairness, Verantwortlichkeit und Anfechtbarkeit. Das UK AI Safety Institute führt Modellevaluierungen durch und veröffentlicht seine Befunde.

Am 21. Oktober 2025 wurde eine Konsultation zum UK AI Growth Lab eröffnet, einem Programm wirtschaftsweiter Regulierungs-Sandkästen, in denen KI-Produkte unter gezielten regulatorischen Anpassungen getestet werden können, mit anschließendem Transfer erfolgreicher Pilotanwendungen in dauerhafte Rechtsänderungen. Der Trend weg von einem einzelnen KI-Gesetz und hin zu einer iterativen, sektoralen Steuerung ist damit bestätigt.

China: generative Regeln unter Führung der CAC

Der chinesische Rahmen wird von der Cyberspace Administration of China (CAC) gestaltet und durch mehrere Instrumente umgesetzt. Die Vorläufigen Maßnahmen zur Verwaltung generativer KI-Dienste, seit August 2023 in Kraft, regeln Anbieterpflichten zu rechtmäßigen Trainingsdaten, Kennzeichnung von Inhalten, Nutzereinwilligung und Ausrichtung an gesellschaftlichen Werten. Die Vorschriften zu algorithmischen Empfehlungen (2022) und zur tiefen Synthese (2023) ergänzen Kennzeichnungs- und Registrierungspflichten für Empfehlungssysteme und synthetische Medien. Für den chinesischen Markt erstellte generierte Inhalte müssen sichtbar und in Metadaten mit einem Wasserzeichen versehen sein. Anbieter sind verpflichtet, ihre Algorithmen im CAC-Register einzutragen und vor dem Einsatz eine Sicherheitsbewertung vorzulegen.

Das chinesische Regime ist von den vier Ankerregimen am stärksten inhaltspräskriptiv. Es betrifft primär Organisationen, die KI-Produkte direkt auf dem chinesischen Markt platzieren, und ist für andere vor allem ein vertraglicher Sorgfaltspunkt in der Lieferkette.

Die völkerrechtliche Schicht: das Europarats-Rahmenübereinkommen zur KI

Über den nationalen Regimen liegt nun eine weitere Schicht. Das Rahmenübereinkommen des Europarats über Künstliche Intelligenz und Menschenrechte, Demokratie und Rechtsstaatlichkeit (SEV Nr. 225) ist der erste internationale Vertrag, der ausschließlich der KI-Governance gewidmet und für seine Vertragsparteien rechtsverbindlich ist. Er verpflichtet die Unterzeichner, sicherzustellen, dass KI-Tätigkeiten über den gesamten Lebenszyklus mit Menschenrechten, Demokratie und Rechtsstaatlichkeit vereinbar sind.

Die Europäische Union hat die Konvention am 15. Mai 2026 auf der 135. Sitzung des Ministerkomitees in Chișinău (Republik Moldau) ratifiziert. Weitere Unterzeichner sind das Vereinigte Königreich, die Vereinigten Staaten, Kanada, Japan, die Schweiz, Norwegen, Israel, die Ukraine, Andorra, Georgien, Island, Liechtenstein, Montenegro, San Marino und Uruguay. Das Übereinkommen tritt am ersten Tag des Monats in Kraft, der drei Monate nach der fünften Ratifikation folgt, von denen mindestens drei durch Mitgliedstaaten des Europarats erfolgen müssen.

Die Konvention verdoppelt die EU-KI-Verordnung nicht. Sie setzt eine völkerrechtliche Untergrenze für Grundrechteschutz, Nichtdiskriminierung, Transparenz, Aufsicht, Verantwortlichkeit und Rechtsbehelfe, die die Vertragsparteien in nationales Recht umsetzen müssen. Für Organisationen mit Aktivitäten in mehreren Vertragsstaaten reduziert dieser Boden das Risiko grundlegender Divergenzen zu grundrechtlichen Pflichten und schafft Klarheit über die menschenrechtliche Basis, die jedes KI-Governance-Programm einhalten muss.

Das Handbuch des Betreibers: Pflichten nach Typ

Die meisten veröffentlichten Vergleiche enden mit der länderweisen Aufzählung. Genau dort beginnt die Arbeit. Quer durch die vier Ankerregime und die OECD-KI-Grundsätze, denen im April 2026 49 Staaten beigetreten waren, kehren dieselben Pflichtfamilien mit lokalen Variationen wieder.

Transparenzpflichten

Offenlegungspflichten ziehen sich durch alle Regime. Nach der EU-KI-Verordnung müssen Anbieter von Systemen, die mit Menschen interagieren, die künstliche Natur des Gegenübers offenlegen, sofern sie nicht offensichtlich ist. Betreiber von Emotionserkennungs- oder biometrischen Kategorisierungssystemen müssen die betroffenen Personen unterrichten. Anbieter und Betreiber generativer KI sind verpflichtet, synthetische oder manipulierte Inhalte als solche zu kennzeichnen, mit technisch detektierbaren Mitteln. China verlangt eine doppelte Markierung, sichtbar und in den Metadaten. Die USA ergänzen Bundesstaatengesetze über Offenlegungen bei automatisierten Entscheidungssystemen in Beschäftigung und Verbraucherbeziehungen. Der Kontrollsatz ist identisch: ein Inventar nutzerseitiger KI-Oberflächen, Offenlegungsvorlagen je Oberfläche, Wasserzeichen-Pipelines für generative Ausgaben und ein Aktualisierungsprozess bei jeder wesentlichen Systemveränderung.

Risikomanagement und Konformitätsbewertung

Artikel 9 der EU-KI-Verordnung verlangt für Hochrisiko-KI ein dokumentiertes Risikomanagementsystem, das über den gesamten Lebenszyklus aufgebaut, umgesetzt, dokumentiert und gepflegt wird. Die Konformitätsbewertung mit oder ohne Einbindung einer benannten Stelle entscheidet über das Inverkehrbringen. Die Struktur ähnelt der Produktsicherheit: vorhersehbare Risiken identifizieren, bewerten, Maßnahmen treffen, Restrisiko prüfen, nach wesentlichen Änderungen erneut bewerten. Das NIST AI Risk Management Framework, Januar 2023, und das generative KI-Profil (NIST AI 600-1) vom Juli 2024 liefern die operative Sprache: vier Kernfunktionen (Govern, Map, Measure, Manage) und zwölf generative-KI-spezifische Risikokategorien. Wer das RMF als Kontroll-Bibliothek übernimmt, kommt einem belastbaren System nach Artikel 9 sehr nahe.

Marktbeobachtung und Vorfallmeldung

Mit der Markteinführung enden die Pflichten nicht. Artikel 72 der EU-KI-Verordnung verlangt von Anbietern ein der Art und den Risiken des Systems angemessenes Marktbeobachtungssystem, mit dokumentierter Datenerhebung, Auswertung und Korrekturmaßnahmen. Artikel 73 verpflichtet zur Meldung schwerwiegender Vorfälle an die Marktaufsichtsbehörden der jeweils betroffenen Mitgliedstaaten. Andere Regime gehen weniger formal vor, erwarten aber vergleichbare Mechanismen: die britische Leitlinie fordert von regulierten Stellen den Nachweis fortlaufender Aufsicht; US-sektorale Aufsichten nutzen eigene Vorfallmeldewege (FDA-Meldungen bei unerwünschten Geräteereignissen, Meldungen operationeller Risiken an die Bankenaufsicht). Der operative Steuerungspunkt ist gleich: eine Rückkopplungsschleife von der Produktion zur Konstruktion, eine Schwere-Rubrik für Vorfälle und ein an die zuständigen Behörden gekoppelter Meldekalender.

Daten- und Modellgovernance

Trainings-, Validierungs- und Testdatensätze für Hochrisiko-Systeme müssen relevant, repräsentativ, fehlerfrei und vollständig sein. Artikel 10 der EU-KI-Verordnung legt spezifische Datengovernance-Pflichten fest, darunter die Prüfung und Minderung von Verzerrungen. China verlangt eine rechtmäßige Herkunft der Trainingsdaten. Das US-Arbeitsrecht verlangt eine arbeitsplatzbezogene, sachlich begründete Auswahllogik beim Einsatz von KI im Recruiting. ISO/IEC 42001 fasst dieselben Fragen in den Klauseln zu KI-Wirkungsbewertung, Datenqualität und Lieferantenaufsicht zusammen. Der Konvergenzpunkt ist einfach: ein dokumentierter Datenlebenszyklus, Rückverfolgbarkeit von der Quelle bis zum Modell, regelmäßige Verzerrungsprüfung und Sorgfalt gegenüber Datenhändlern und Modellanbietern.

Wer macht was: ein Rollenbaum

Die EU-KI-Verordnung kennt fünf operative Rollen: Anbieter, Betreiber, Einführer, Händler und Produkthersteller. Die Pflichten richten sich nach der Rolle, die eine Organisation für ein konkretes System einnimmt. Dieselbe Organisation kann Anbieter eines Systems, Betreiber eines anderen und Händler eines dritten sein. Die Rollen je System, nicht je juristischer Einheit, zu kartieren, ist der erste Arbeitsschritt.

Ein Anbieter bringt ein KI-System unter eigenem Namen auf den Unionsmarkt. Anbieter tragen den schwersten Pflichtensatz für Hochrisiko-Systeme: Konstruktionskontrollen, Qualitätsmanagementsystem, technische Dokumentation, Konformitätsbewertung, Konformitätserklärung, CE-Kennzeichnung, Marktbeobachtung, Vorfallmeldung und Abhilfemaßnahmen.

Ein Betreiber setzt ein KI-System in eigener Verantwortung ein, in der Regel im Rahmen einer geschäftlichen oder öffentlichen Tätigkeit. Zu den Betreiberpflichten zählen der weisungsgemäße Einsatz, die menschliche Aufsicht, die Überwachung der Ausgaben, die Aufbewahrung von Protokollen, die Grundrechte-Folgenabschätzung, wenn nach Artikel 27 verlangt, und die Information betroffener Personen über automatisierte Entscheidungen.

Ein Einführer oder Händler übernimmt Prüfpflichten: vor dem Inverkehrbringen muss er sicherstellen, dass der Anbieter seinen Pflichten nachgekommen ist, dass die Konformitätserklärung vorliegt, das CE-Kennzeichen angebracht und die Nutzungsanleitung vollständig ist.

Ein Anbieter eines KI-Modells für allgemeine Zwecke, geregelt in den Artikeln 53 und 55, muss eine hinreichend detaillierte Zusammenfassung der Trainingsinhalte veröffentlichen, die Modellkarte dokumentieren, das EU-Urheberrecht beachten und, wenn das Modell ein systemisches Risiko im Sinne der Schwelle nach Artikel 51 aufweist, adversariale Tests durchführen, schwerwiegende Vorfälle an das KI-Büro melden und Cybersicherheit auf Modell- und Infrastrukturebene gewährleisten.

Sektorale Schichten verschwinden dabei nicht. Eine Bank, die ein Hochrisiko-Kreditscoring-System einsetzt, trägt zugleich Betreiberpflichten der KI-Verordnung und das gesamte Aufsichtsrecht der Bankenaufsicht und des Verbraucherschutzes. Ein Medizinproduktehersteller mit KI-Komponenten kombiniert die Anbieterpflichten der KI-Verordnung mit der Medizinprodukteverordnung.

Das konvergente Betriebsmodell: ISO/IEC 42001 und NIST AI RMF

Dass das Betreiberhandbuch oben strukturiert, aber umfangreich wirkt, ist Absicht. Der Ertrag entsteht, sobald ein einzelnes Programm mehrere Aufsichten zugleich bedient. Zwei freiwillige Standards machen diese Konvergenz möglich.

ISO/IEC 42001:2023 ist die erste internationale Norm für ein KI-Managementsystem (AIMS). Sie bietet eine Plan-Do-Check-Act-Struktur, die Praktikern aus ISO 9001 und ISO 27001 vertraut ist, jedoch auf KI zugeschnitten: KI-Politik, Führungsverantwortung, Planung (mit KI-System-Wirkungsbewertung), Ressourcen, Betrieb, Leistungsbewertung, kontinuierliche Verbesserung. Die europäische Fassung EN ISO/IEC 42001:2026 tritt in die europäische harmonisierte Standardlandschaft ein, was insofern zählt, als Konformität mit einem harmonisierten Standard eine Konformitätsvermutung gegenüber zahlreichen Anforderungen der EU-KI-Verordnung begründet.

Das NIST AI Risk Management Framework übernimmt die Kontroll-Schicht. Vier Funktionen (Govern, Map, Measure, Manage), in Kategorien und Unterkategorien aufgegliedert, liefern eine feinkörnige Bibliothek, die sich sauber auf die Risikomanagementpflichten der EU-KI-Verordnung, auf Chinas Inhaltsregeln, auf US-sektorale Aufsichten und auf die OECD-Grundsätze abbilden lässt. Das generative KI-Profil (NIST AI 600-1) fügt zwölf generativ-spezifische Risikokategorien hinzu (CBRN-Informationen, Konfabulation, gefährliche oder gewalttätige Inhalte, Datenschutz, Umweltauswirkungen, schädliche Verzerrungen, Mensch-KI-Konfiguration, Informationsintegrität, Informationssicherheit, geistiges Eigentum, obszöne Inhalte, Wertschöpfungskette), die jeweils auf konkrete RMF-Maßnahmen verweisen. NIST arbeitet derzeit zusätzlich an einem Profil zur kritischen Infrastruktur (Konzeptpapier April 2026) und an einem Profil zur Interoperabilität von KI-Agenten, das für Ende 2026 angekündigt ist.

Ein tragfähiges operatives Modell stützt sich auf ISO 42001 als Rückgrat und auf NIST AI RMF als Kontrollbibliothek. Einmal erfasste Nachweise (Datenlinienprotokolle, Wirkungsbewertungen, Überwachungslogs, Vorfallmeldungen, Schulungsnachweise) lassen sich anschließend abbilden auf die technische Dokumentation nach Anhang IV der EU-KI-Verordnung, auf die am 19. Februar 2026 veröffentlichte OECD-Sorgfaltsleitlinie für verantwortungsvolle KI, auf die Transparenz- und Verantwortlichkeitsverpflichtungen des Europarats-Rahmenübereinkommens und auf die kommenden europäischen harmonisierten Standards von CEN-CENELEC, darunter die Entwürfe prEN 18228 und prEN 18282 zu KI-Risikomanagement und KI-Cybersicherheitsterminologie.

Dieses konvergente Modell beantwortet auch die Frage der Skalierung. Die 900 in 80 Jurisdiktionen gezählten Vorschriften sind nicht 900 verschiedene Architekturen. Sie sind weitgehend Variationen derselben Pflichtfamilien mit unterschiedlichen Fristen, Bußgeldgrenzen und Verfahrensregeln. Ein gut gebautes AIMS macht aus jeder neuen Vorschrift eine Konfigurationsfrage statt eines Neubaus. Für deutsche Anwender liefern zudem das BSI für Cybersicherheit, der BfDI für Datenschutz und die BNetzA für digitale Dienste Auslegungsraster, die ein gepflegtes AIMS in die nationale Aufsichtslandschaft einbettet.

Häufige Fragen

Wer reguliert KI in den Vereinigten Staaten? Es gibt keinen einzelnen KI-Regulierer. Sektorale Behörden wenden bestehendes Recht an: die Federal Trade Commission für Verbraucherschutz, die Equal Employment Opportunity Commission für Beschäftigung, das Consumer Financial Protection Bureau für Kredit, die Food and Drug Administration für medizinische KI, die National Highway Traffic Safety Administration für autonome Fahrzeuge und so fort. Bundesstaatliche Gesetzgeber verabschieden engere Gesetze zu automatisierten Entscheidungen, generativen KI-Offenlegungen oder behördlicher Nutzung. Das Weiße Haus steuert die Politik durch exekutive Anordnungen, die Bundesbehörden und die Beschaffung binden. Das Ergebnis ist geschichtet, nicht zentralisiert.

Wird KI überhaupt reguliert werden? Sie wird es bereits. Die EU-KI-Verordnung, das Europarats-Rahmenübereinkommen, der chinesische Rahmen, Dutzende US-Bundesstaatengesetze und die sektorale Anwendung bestehender Gesetze ergeben ein wirksames Regulierungsumfeld. Die Frage ist nicht mehr, ob KI reguliert wird, sondern wie die geltenden Pflichten operativ umgesetzt werden.

Was ist ein KI-Regulierer? Im Sinne der EU-KI-Verordnung sind dies die von den Mitgliedstaaten benannten nationalen zuständigen Behörden, die KI-Systeme auf ihrem Markt beaufsichtigen, sowie das KI-Büro der Europäischen Kommission, das die Aufsicht über Modelle für allgemeine Zwecke koordiniert. In Deutschland ist die Verteilung mehrgleisig: BSI, BfDI und sektorale Aufsichten greifen je nach Sachverhalt. Anderswo bezeichnet „KI-Regulierer“ meist die sektorale Behörde, die ihr Instrumentarium auf KI-Fälle anwendet. Die Europarats-Konvention schafft keinen einheitlichen Supervisor und überlässt die nationale Umsetzung den Vertragsparteien.

Gibt es heute Regeln für KI? Ja. Die verbotenen Praktiken und die KI-Kompetenzpflichten der EU-KI-Verordnung gelten seit dem 2. Februar 2025, die Pflichten für Modelle für allgemeine Zwecke seit dem 2. August 2025. Chinas Vorläufige Maßnahmen zu generativer KI gelten seit August 2023. Mehrere US-Bundesstaatengesetze zu automatisierten Entscheidungen in Beschäftigung, Finanzwesen und Versicherung sind durchsetzbar. Sektorale Regeln in Gesundheit, Finanzwesen und Verbraucherschutz greifen kraft bestehender Kompetenzen.

Welches KI-Gesetz sieht die höchsten Bußgelder vor? Die EU-KI-Verordnung mit einer Obergrenze von 35 Millionen Euro oder 7 Prozent des weltweiten Jahresumsatzes, je nachdem, welcher Betrag höher ist, bei Verstoß gegen die verbotenen Praktiken. Weitere Verstöße liegen bei 15 Millionen oder 3 Prozent. US-Bundesstaatengesetze und sektorale Durchsetzung folgen anderen Strukturen, häufig pro Verstoß oder umsatzbezogen, jedoch auf niedrigerem absoluten Niveau.

Müssen Start-ups die EU-KI-Verordnung beachten? Ja, in proportionaler Weise. Die Verordnung sieht ausdrücklich vereinfachte Wege für KMU und Start-ups vor: vereinfachte Konformitätsbewertungspfade, dedizierter Zugang zu Regulierungs-Sandkästen, reduzierte Verwaltungsgebühren bei benannten Stellen. Die materiellen Pflichten bleiben bestehen: verbotene Praktiken, Transparenz, Konstruktion von Hochrisiko-Systemen, soweit einschlägig, sowie GPAI-Pflichten für Entwickler von Foundation-Modellen.

Ersetzt ISO/IEC 42001 die EU-KI-Verordnung? Nein. ISO/IEC 42001 ist ein freiwilliger Managementsystem-Standard. Die EU-KI-Verordnung ist verbindliches Recht. Der Standard ist vor allem als Umsetzungsrahmen nützlich, der Compliance unter der KI-Verordnung und vergleichbaren Regimen operativ handhabbar macht. Eine Zertifizierung kann ein Signal für Governance-Reife sein, ersetzt aber niemals die gesetzlichen Pflichten.

Fazit: vom Tracker zum Betriebsmodell

Der Ländertracker hatte seine Zeit. Er taugte, solange KI-Regulierung neu, spärlich und ungleich verteilt war. 2026 ist er der falsche Rahmen. Mit über 900 aktiven Regeln in 80 Jurisdiktionen, einem verbindlichen internationalen Vertrag und im Quartalstakt erscheinenden harmonisierten Standards hat keine Compliance-Abteilung die Kapazität, jede neue Vorschrift als eigenständiges Projekt zu behandeln.

Das Betriebsmodell setzt sich durch. Verankerung in den vier Regimen, die den Großteil regulierter KI-Tätigkeit abdecken. Andere Länder als Überlagerung behandeln. Arbeit nach Pflichttyp organisieren. ISO/IEC 42001 als Rückgrat und NIST AI RMF als Kontrollbibliothek nutzen. Nachweise einmal erfassen, mehrfach zuordnen.

AI Sigil liefert genau dieses Rückgrat für regulierte Branchen: Konformitätsbewertung zur EU-KI-Verordnung, ISO/IEC-42001-Managementsystem, NIST-AI-RMF-Kontrollen in einer einzigen GRC-Plattform, die jede neue Regel aufnimmt, ohne dass der Bau neu gedacht werden muss.

Dr. Anna Hoffmann

KI-Regulierung 2026: Das Handbuch für Betreiber

KI-Pflichten nach Typ kartieren. Transparenz, Risiko, Marktbeobachtung in EU-KI-Verordnung, NIST, ISO 42001, Europarat-KI-Konvention.

KI-Governance-Tools 2026: Die Compliance-Plattform und das Tool-Umfeld

KI-Governance-Tools bilden zwei Ebenen: eine compliance-native Plattform und ergänzende Werkzeuge. Zuordnung nach Ihrer Rolle unter EU AI Act, ISO 42001 und NIST AI RMF.

Die europäische KI-Verordnung: ein operatives Handbuch für Anbieter und Betreiber

Die europäische KI-Verordnung, nach Rolle entschlüsselt. Anbieter, Betreiber, GPAI: wer muss was bis wann mit welchem Governance-Artefakt liefern.

Gesetze zur künstlichen Intelligenz im Jahr 2026: die globale Compliance-Landkarte

Anbieter, Betreiber oder GPAI-Anbieter? So greifen KI-Verordnung, US-Recht, NIST AI RMF und ISO/IEC 42001 im Jahr 2026 ineinander, mit Checkliste.

KI-Governance-Rahmenwerk: Der vollständige Leitfaden

NIST AI RMF, ISO 42001, EU-KI-Verordnung und OECD-Grundsätze im Vergleich. Erfahren Sie, welches Rahmenwerk Ihr Unternehmen braucht und wie Sie alle gemeinsam einsetzen.

Human-in-the-Loop vs. Human-on-the-Loop: Leitfaden zur KI-Aufsicht

Human-in-the-Loop oder Human-on-the-Loop: sieben Entscheidungsachsen, Artikel 14 der KI-Verordnung und Verankerung in ISO/IEC 42001.