Auf einen Blick
- Es gibt kein einziges globales KI-Gesetz. Compliance bedeutet, einen Flickenteppich regionaler und nationaler Regeln zu verfolgen, wobei die europäische KI-Verordnung den Ton angibt.
- Die KI-Verordnung der EU (
EU AI Act) ist das weltweite Referenzregime: risikobasiert gestuft, extraterritorial wirksam und mit Bußgeldern von bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bewehrt. - Die Vereinigten Staaten haben kein umfassendes Bundesgesetz. Sie funktionieren über einen sich schnell verändernden Flickenteppich einzelstaatlicher Gesetze, bei dem Colorado und Texas vorangehen.
- Freiwillige Normen,
ISO/IEC 42001und dasNIST AI RMF, bilden das Rückgrat, das einem einzigen Satz von Kontrollen erlaubt, mehreren Gesetzen zugleich zu genügen. - Die tragfähige Antwort ist kein weiterer Rechtstracker, sondern ein einziges Betriebsmodell: KI-Systeme erfassen, klassifizieren, Pflichten mit Kontrollen verknüpfen und Nachweise aufbewahren.

Was die KI-Verordnung 2026 umfasst
Wer sich mit der KI-Verordnung befasst, blickt in Wahrheit auf drei Regelebenen, die sich inzwischen überlagern. Die erste Ebene ist verbindliches Recht: Gesetze, die Sanktionen vorsehen, etwa die europäische KI-Verordnung, die einzelstaatlichen US-Gesetze oder die chinesischen Vorgaben zu Algorithmen und Inhalten. Die zweite Ebene bilden zertifizierbare Normen, allen voran ISO/IEC 42001, der internationale Standard für ein KI-Managementsystem, das eine akkreditierte Stelle prüfen kann. Die dritte Ebene umfasst freiwillige Rahmenwerke wie das NIST AI RMF und die OECD-Grundsätze, die zwar keine Gesetze sind, aber zunehmend prägen, was Aufsichtsbehörden und Kunden erwarten. Der Maßstab erklärt die Dringlichkeit. Anfang 2026 hatten mehr als 72 Länder über 1.000 KI-politische Initiativen gestartet, so eine vergleichende Regulierungsanalyse. Nur zwei Jurisdiktionen, die Europäische Union und Südkorea, haben ein umfassendes horizontales KI-Gesetz verabschiedet. Überall sonst wird KI durch eine Mischung aus Branchenregeln, Datenschutzrecht und engeren Gesetzen gegen Deepfakes, Einstellungsverfahren oder Wahlwerbung geregelt. In Deutschland begleiten das BSI und die Datenschutzaufsicht diese Entwicklung mit eigenen Leitlinien. Für ein Governance-Team folgt daraus eine praktische Einsicht: Die KI-Verordnung und ihre Pendants lassen sich nicht Gesetz für Gesetz lesen. Ein einziges KI-System, das über mehrere Märkte hinweg genutzt wird, kann zugleich die europäische KI-Verordnung, ein US-Bundesstaatsgesetz und eine Branchenaufsicht auslösen. Der weitere Verlauf dieses Leitfadens geht deshalb von der Landkarte der Regeln zu einer Arbeitsweise über, die allen standhält. Für Organisationen, die bei null beginnen, verwandelt die AI-Sigil-Plattform dieses Bild in ein einziges Pflichtenregister.
Die Weltkarte der KI-Gesetze
Die KI-Regulierung 2026 gruppiert sich in vier große Modelle. Jedes behandelt dieselbe Technologie anders, sodass das für Sie maßgebliche Modell davon abhängt, wo Ihre Systeme entwickelt, eingesetzt und genutzt werden.
Europäische Union: die KI-Verordnung
Die europäische KI-Verordnung ist das umfassendste geltende KI-Gesetz. Sie ordnet Systeme vier Risikostufen zu: inakzeptabel (verboten), hoch (streng reguliert), begrenzt (Transparenzpflichten) und minimal (weitgehend frei). Die Pflichten treten schrittweise in Kraft. Verbote und die Pflicht zur KI-Kompetenz galten zuerst, die Pflichten für KI mit allgemeinem Verwendungszweck (GPAI) gelten seit dem 2. August 2025, und die Kernpflichten für Hochrisikosysteme folgen später. Aufgrund der vorläufigen Digital-Omnibus-Einigung vom 7. Mai 2026 wurden die Pflichten für eigenständige Hochrisikosysteme nach Anhang III vom 2. August 2026 auf den 2. Dezember 2027 verschoben, wobei in Produkte eingebettete KI 2027 folgt, wie der offizielle Zeitplan zur Anwendung zeigt. Der Text reicht über die EU-Grenzen hinaus: Ein Anbieter oder Betreiber außerhalb der EU wird erfasst, sobald das Ergebnis des Systems in der Union verwendet wird. Die Bußgelder erreichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bei verbotenen Praktiken und bis zu 15 Millionen Euro oder 3 Prozent bei Hochrisiko-Verstößen, wie die Kurzzusammenfassung darlegt.
Vereinigte Staaten: Bundeslücke und Flickenteppich der Staaten
Die Vereinigten Staaten haben kein umfassendes KI-Bundesgesetz. Stattdessen legen die Bundesstaaten fest. Im Dezember 2025 erließ das Weiße Haus eine Verfügung zu einem nationalen KI-Politikrahmen, der die Hindernisse durch einzelstaatliche Gesetze begrenzen soll, was eine Frage der Vorrangwirkung hinzufügt, ohne den Flickenteppich zu beseitigen. Solange dies nicht geklärt ist, müssen Akteure in mehreren Staaten jedem einzelnen gerecht werden.
Asien-Pazifik: umfassende und inhaltszentrierte Modelle
Südkoreas KI-Rahmengesetz trat am 22. Januar 2026 in Kraft und machte das Land nach der EU zur zweiten Jurisdiktion mit einem umfassenden KI-Gesetz. China setzt ein anderes Modell durch, das auf verbindlichen Vorgaben beruht: Registrierung von Algorithmen bei der Cyberspace-Verwaltung, verpflichtende Kennzeichnung KI-generierter Inhalte und Sicherheits-Selbstbewertungen. Singapur und Japan setzen eher auf Rahmenwerke und Testwerkzeuge als auf harte Gesetze.
Vereinigtes Königreich und prinzipienbasierte Regime
Das Vereinigte Königreich hat einen prinzipienbasierten, von den Aufsichtsbehörden geführten Ansatz ohne eigenes KI-Gesetz gewählt und stützt sich auf bestehendes Recht, wie ein Vergleich der großen Regime 2026 zeigt. Mehrere weitere Volkswirtschaften folgen diesem anpassungsfähigen Muster, das die Regeln flexibel hält, aber der Organisation mehr Auslegung überlässt.
Welche Regeln für Sie gelten
Bevor Sie einen Gesetzestext lesen, beantworten Sie zwei Fragen: Welche Rolle spielen Sie, und wo wird das Ergebnis genutzt. Diese beiden Achsen entscheiden über die meisten Ihrer Pflichten. Die Rolle ist die erste Achse. Die europäische KI-Verordnung und die meisten daran angelehnten Gesetze trennen den Anbieter, der ein System entwickelt oder in Verkehr bringt, vom Betreiber, der es in eigener Verantwortung nutzt. Der Anbieter trägt die schwerere Last: technische Dokumentation, Konformitätsbewertung und Registrierung. Der Betreiber übernimmt leichtere, aber reale Pflichten. Nach Artikel 26 muss ein Betreiber ein Hochrisikosystem gemäß den Anweisungen des Anbieters einsetzen, die menschliche Aufsicht kompetenten Personen übertragen, den Betrieb überwachen und bei Risiken aussetzen sowie die automatisch erzeugten Protokolle mindestens sechs Monate aufbewahren, wie die Zusammenfassung der Verordnung festhält. Viele Organisationen sind zugleich Betreiber fremder Werkzeuge und Anbieter eigener Systeme und tragen daher beide Pflichtenbündel. Das Territorium ist die zweite Achse. Die extraterritoriale Reichweite bedeutet, dass es nicht darauf ankommt, wo Sie ansässig sind, sondern wo das Ergebnis des Systems landet. Wird es in der EU genutzt, kann die KI-Verordnung greifen. Betrifft eine Entscheidung eine Person in Colorado oder Texas, kann das dortige Gesetz greifen. Branchenspezifische Überlagerungen fügen eine dritte Schicht hinzu: Finanzwesen, Gesundheit und Beschäftigung haben eigene KI-relevante Regeln, unabhängig vom horizontalen Gesetz. Eine kurze Prüfliste zur Anwendbarkeit: Listen Sie jedes KI-System auf, vermerken Sie, ob Sie es bereitstellen oder betreiben, notieren Sie jeden Markt, in dem sein Ergebnis genutzt wird, und markieren Sie jede regulierte Branche, die berührt wird. Diese eine Tabelle sagt Ihnen, welche der in diesem Leitfaden genannten Regeln für Sie aktiv sind, und sie wird zum Gerüst des unten beschriebenen Betriebsmodells. Ein strukturiertes Register für das KI-Risikomanagement macht daraus eine wiederholbare Übung statt einer einmaligen Tabelle.
US-Bundesstaatsgesetze: die beweglichste Front
Die häufigste Frage hinter der KI-Verordnung ist eine amerikanische: Welche Staaten regeln KI. Das Tempo ist hoch. Die Staaten verabschiedeten 2025 insgesamt 145 KI-Gesetze, so die Gesetzgebungsübersicht der NCSL, und 29 Staaten haben 2026 Gesetze erlassen, wobei mehr als 38 Staaten inzwischen mindestens ein engeres KI-Gesetz besitzen, oft mit Blick auf Deepfakes oder Wahlinhalte, wie ein Zwischenbericht zur Jahresmitte 2026 zeigt. Zwei Staaten zeigen, wie schnell sich der Boden verschiebt. Colorado hatte mit SB 24-205 ein breites Verbraucherschutzgesetz verabschiedet, wirksam zum 30. Juni 2026 nach einer Verschiebung vom 1. Februar 2026. Im Mai 2026 hob der Staat es auf und ersetzte es durch das engere Gesetz SB 26-189 zu automatisierter Entscheidungstechnik, wirksam zum 1. Januar 2027, wie die Kanzlei Cooley nachzeichnet. Texas wählte mit dem Texas Responsible AI Governance Act (TRAIGA, HB 149) einen anderen Weg, unterzeichnet am 22. Juni 2025 und wirksam zum 1. Januar 2026, der eine kurze Liste verbotener Nutzungen sowie Regeln für staatliche KI umfasst, wie ein Leitfaden Staat für Staat darlegt. Die Lehre für Compliance-Teams lautet, dass einzelstaatliche Gesetze bewegliche Ziele sind. Geltungstermine verschieben sich, Anwendungsbereiche verengen sich, Definitionen ändern sich von Sitzung zu Sitzung. Den Text zu verfolgen ist notwendig, aber nicht ausreichend. Bestand hat eine Kontrollschicht, die ein neues Gesetz aufnehmen kann, ohne alles neu zu bauen, worum es im nächsten Abschnitt geht.
Vom Gesetzestext zu operativen Kontrollen
Hier hören die meisten Rechtstracker auf, und hier muss ein Governance-Team beginnen. Gesetze beschreiben Ergebnisse, sie laufen nicht in Ihrem Unternehmen. Um die KI-Verordnung in tägliche Praxis zu übersetzen, nutzen Sie ein Betriebsmodell in vier Schritten. Schritt eins ist die Bestandsaufnahme. Man steuert nicht, was man nicht sieht. Bauen Sie ein einziges Register jedes KI-Systems auf, einschließlich fremder Werkzeuge und still eingeführter Anwendungen, damit Schatten-KI nicht außerhalb des Perimeters bleibt. Jeder Eintrag hält Zweck, genutzte Daten, Verantwortliche und die Märkte fest, in denen das Ergebnis verwendet wird. Das AI-Sigil-Register ist darauf ausgelegt, diese Quelle der Wahrheit zu sein. Schritt zwei ist die Klassifizierung. Auf Basis dieses Registers ordnen Sie jedes System nach Risiko und Rolle ein. Verknüpfen Sie es mit den Stufen der KI-Verordnung, kennzeichnen Sie, ob Sie Anbieter oder Betreiber sind, und markieren Sie die betroffenen Jurisdiktionen. Die Klassifizierung wandelt die Anwendbarkeitstabelle des vorigen Abschnitts in eine priorisierte Arbeitslast. Schritt drei ist die Kontrollzuordnung. Das ist der Punkt, der die Ökonomie der Compliance verändert. Die meisten Regeln verlangen dieselben grundlegenden Verhaltensweisen: Risikobewertung, Daten-Governance, menschliche Aufsicht, Protokollierung, Transparenz und Vorfallmanagement. Statt einen Kontrollsatz je Gesetz zu schreiben, definieren Sie eine einzige Kontrollbibliothek und verknüpfen jede Kontrolle mit den Pflichten, die sie über mehrere Gesetze hinweg erfüllt. Eine einzige Kontrolle zur menschlichen Aufsicht kann der KI-Verordnung, einem US-Bundesstaatsgesetz und einer internen Richtlinie zugleich genügen. Schritt vier ist der Nachweis. Aufsichtsbehörden und Prüfer akzeptieren keine Absichten, sondern Spuren. Jede Kontrolle braucht einen Verantwortlichen, eine Frequenz und aufbewahrte Nachweise: Bewertungen, Freigaben, Protokolle und Genehmigungen. Wird der Nachweis während der Arbeit erfasst, wird eine Prüfung zur Abfrage statt zum Wettlauf. Es geht hier um Abdeckung und Vollständigkeit der Kontrollen, nicht um eine einzige gewichtete Kennzahl.
Normen als Rückgrat der Compliance: ISO 42001 und NIST AI RMF
Die Kontrollbibliothek aus Schritt drei muss nicht erfunden werden. Zwei Normen liefern sie bereits, und ihr Einsatz erlaubt einem einzigen Programm, vielen Gesetzen zu genügen. ISO/IEC 42001 ist der internationale Standard für ein KI-Managementsystem. Er ist zertifizierbar: Eine akkreditierte Stelle kann Ihr Programm prüfen und ein von Kunden und Aufsichtsbehörden anerkanntes Zertifikat ausstellen. Er liefert die Governance-Struktur: Richtlinie, Rollen, Risikoprozess, Kontrollen und kontinuierliche Verbesserung. Das NIST AI RMF ist ein freiwilliges US-Rahmenwerk um vier Funktionen herum, nämlich steuern, abbilden, messen und bewältigen, und stärker im praktischen Wie der Risikoarbeit. Beide greifen ineinander: ISO/IEC 42001 liefert das prüfbare Managementsystem, das NIST AI RMF die Risikomethode darin, wie ein verständlicher Vergleich der drei Regime beschreibt. Der Gewinn ist die Wiederverwendung über Jurisdiktionen hinweg. Das NIST veröffentlicht Zuordnungstabellen von seinem Rahmenwerk zur OECD-Empfehlung und zu ISO/IEC 42001, und beide Normen richten sich eng an den Erwartungen der KI-Verordnung an Risikomanagement, Dokumentation und Aufsicht aus. Bauen Sie Ihre Kontrollbibliothek um diese Normen, und ein großer Teil Ihrer Pflichten aus der KI-Verordnung, den US-Bundesstaatsgesetzen und den asiatisch-pazifischen Regimen wird durch dieselben Nachweise abgedeckt. Sie pflegen ein Programm, nicht eines je Gesetz. AI Sigil liefert seine Kontrollbibliothek bereits mit ISO/IEC 42001 und dem NIST AI RMF verknüpft, genau aus diesem Grund.
Ein Betriebsmodell für KI-Compliance aufbauen
Die Teile zusammenzufügen ergibt einen Leitfaden, der neue Gesetze überdauert. Beginnen Sie mit dem Register als einziger Quelle der Wahrheit für jedes genutzte KI-System. Legen Sie Risikostufen darüber, damit Hochrisikosysteme die meiste Aufmerksamkeit erhalten. Teilen Sie Ihre Kontrollen in zwei Gruppen: grundlegende Kontrollen, die für die gesamte Organisation gelten, etwa eine KI-Richtlinie oder ein KI-Kompetenzprogramm, und Systemkontrollen für einen bestimmten Anwendungsfall, etwa Verzerrungstests oder menschliche Aufsicht für ein Einstellungsmodell. Governance braucht einen festen Ort. Übertragen Sie einem Ausschuss oder einer verantwortlichen Person echte Befugnis, Hochrisikonutzungen zu genehmigen, Vorfälle zu prüfen und Nachweise abzuzeichnen. Legen Sie eine Überwachungsfrequenz fest, damit Kontrollen nach einem Zeitplan erneut bestätigt und nicht einmal geprüft und dann vergessen werden, denn die KI-Verordnung wie auch Ihre eigenen Systeme verändern sich zwischen zwei Überprüfungen. Der Vorteil dieses Modells ist, dass ein neues Gesetz zur Aktualisierung wird, nicht zum Projekt. Wenn das nächste Bundesstaatsgesetz oder der nächste delegierte Rechtsakt kommt, verknüpfen Sie dessen Anforderungen mit bereits laufenden Kontrollen, schließen Lücken und machen weiter. Das ist der Unterschied zwischen dem Nachlaufen hinter dem Gesetzestext und dem Betrieb eines Governance-Programms. Die AI-Sigil-Plattform ist darauf ausgelegt, diese Schleife von Anfang bis Ende zu betreiben, vom Register bis zum Nachweis.
Häufige Fragen
Welche Gesetze regeln KI? Die Gesetze, die KI regeln, sind die verbindlichen Rechtstexte für Entwicklung und Nutzung, ergänzt um Normen und Rahmenwerke, die Erwartungen prägen. Das klarste verbindliche Gesetz ist die europäische KI-Verordnung. Hinzu kommen die US-Bundesstaatsgesetze, die chinesischen Vorgaben zu Algorithmen und Inhalten sowie Südkoreas Rahmengesetz. Daneben stehen zertifizierbare Normen wie ISO/IEC 42001 und freiwillige Rahmenwerke wie das NIST AI RMF, die keine Gesetze sind, aber oft entscheiden, was Aufsichtsbehörden und Kunden akzeptieren. Welche US-Bundesstaaten haben KI-Gesetze? Mehr als 38 US-Bundesstaaten besitzen mindestens ein KI-Gesetz, und 29 Staaten haben 2026 Gesetze erlassen. Viele davon zielen auf enge Themen wie Deepfakes oder Wahlinhalte. Eine kleinere Gruppe verfügt über breite, sektorübergreifende Regeln, wobei Colorado und Texas die bekanntesten Beispiele sind. Da sich Geltungstermine und Anwendungsbereiche häufig ändern, ist die Zahl eher als beweglicher Wert denn als feste Liste zu lesen. Gibt es ein globales KI-Gesetz? Nein. Es gibt kein einziges globales KI-Gesetz und keine Weltaufsicht. Der nächste Bezugspunkt ist die europäische KI-Verordnung, weil ihre extraterritoriale Reichweite viele nicht-europäische Organisationen zur Einhaltung zwingt und weil andere Regierungen ihre risikobasierte Struktur übernehmen. Globale Normen wie ISO/IEC 42001 schaffen ebenfalls eine gemeinsame Grundlage, sind aber freiwillig statt verbindlich. Was ist die KI-Verordnung und für wen gilt sie? Die KI-Verordnung ist das umfassende KI-Gesetz der Europäischen Union. Sie sortiert Systeme nach Risikostufen und legt den Hochrisikonutzungen die schwersten Pflichten auf. Sie gilt für Anbieter und Betreiber, auch außerhalb der EU, wenn das Ergebnis des Systems in der Union genutzt wird. Die Bußgelder erreichen bis zu 35 Millionen Euro oder 7 Prozent des weltweiten Umsatzes bei verbotenen Praktiken. Welche neuen KI-Gesetze gibt es 2026? 2026 trat Südkoreas Rahmengesetz in Kraft, das texanische TRAIGA wurde zum 1. Januar wirksam, und Colorado ersetzte sein ursprüngliches Gesetz durch ein engeres Gesetz zu automatisierten Entscheidungen mit Geltung ab 2027. Die EU verschob zudem Teile des Hochrisiko-Zeitplans auf Dezember 2027. Zugleich verabschiedeten Dutzende US-Bundesstaaten engere Maßnahmen und hielten die Landschaft in ständiger Bewegung. Wie erfüllt man KI-Gesetze über mehrere Länder hinweg? Der effiziente Weg ist ein einziges Betriebsmodell statt eines Projekts je Gesetz. Erfassen Sie jedes KI-System, klassifizieren Sie es nach Risiko und Rolle, verknüpfen Sie die Pflichten mit einer Kontrollbibliothek auf Basis von ISO/IEC 42001 und dem NIST AI RMF und bewahren Sie für jede Kontrolle Nachweise auf. Da diese Normen sich an den meisten Gesetzen ausrichten, erfüllen dieselben Kontrollen und Nachweise mehrere Regime zugleich, sodass ein neues Gesetz zur Aktualisierung statt zum Neubau wird.
Fazit
Das prägende Merkmal der KI-Verordnung und ihres Umfelds 2026 ist die Fragmentierung. Kein einziges globales Regelwerk, eine europäische KI-Verordnung, die vorangeht und zugleich ihren eigenen Zeitplan verschiebt, und ein Flickenteppich der US-Bundesstaaten, der sich von Sitzung zu Sitzung ändert. Gesetz für Gesetz Schritt halten zu wollen ist ein aussichtsloses Rennen. Organisationen, die konform bleiben, behandeln den Flickenteppich als dauerhafte Bedingung und begegnen ihm mit Struktur: einem einzigen KI-Register, klarer Risikoklassifizierung, einer mit ISO/IEC 42001 und dem NIST AI RMF verknüpften Kontrollbibliothek und Nachweisen, die während der Arbeit erfasst werden. Dieses Betriebsmodell macht aus jedem neuen Gesetz eine handhabbare Aktualisierung statt eines Feuerwehreinsatzes. Um es auf einer einzigen Plattform aufzubauen, vom Register bis zum prüfbaren Nachweis, beginnen Sie mit AI Sigil.