Der AI Act ist längst Realität. Nur die Umsetzung ist es oft noch nicht. Seit dem 1. August 2024 ist der AI Act in Kraft. Seit dem 2. Februar 2025 gelten bereits die Verbote bestimmter KI-Praktiken und die Vorgaben zur KI-Kompetenz. Seit dem 2. August 2025 greifen die Governance-Regeln und die Pflichten für General-Purpose-AI-Modelle. Nach geltendem Recht folgt die allgemeine Anwendbarkeit am 2. August 2026; für bestimmte Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind, läuft die Übergangszeit bis zum 2. August 2027.
In Deutschland hat die Bundesregierung am 11. Februar 2026 den Gesetzentwurf zur nationalen Durchführung beschlossen. Der Deutsche Bundestag hat den Entwurf am 20. März erstmals beraten und am 23. März öffentlich im Ausschuss angehört. Die Bundesnetzagentur wird als zentrale Instanz für die Umsetzung diskutiert. Die Regulierungsfrage ist also nicht mehr theoretisch. Sie hat bereits einen Terminkalender.
Bildquelle: KI-generiert | Beschreibung: Symbolbild für Regulierung“
Die Grundidee des AI Act ist risikobasiert und menschenzentriert, und zwar erfreulich unromantisch: verboten, hochriskant, transparenzpflichtig oder minimal riskant. Im Zentrum stehen nicht technische Spielereien, sondern der Schutz von Sicherheit, Grundrechten und menschlicher Kontrolle. Zugleich ist nicht jede Software mit Statistik, Regeln oder Automatisierung automatisch ein KI-System im Sinne der Verordnung. Neben herkömmlicher Software, die nachträglich um KI-Funktionen erweitert wird, gibt es auch reine KI-Systeme, die von vornherein unter den Rechtsrahmen fallen können. Gerade deshalb hat die Europäische Kommission Leitlinien zur Definition des KI-Systems veröffentlicht, damit Unternehmen den Anwendungsbereich nicht nach Bauchgefühl, sondern nach Rechtsbegriff prüfen.
Verboten sind unter anderem schädliche Manipulation, die Ausnutzung von Vulnerabilitäten, Social Scoring, ungezieltes Scraping von Gesichtern aus Internet- oder CCTV-Material zur Erweiterung von Gesichtsdatenbanken, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen sowie bestimmte Formen biometrischer Kategorisierung. Diese Verbote gelten bereits seit dem 2. Februar 2025.
Für Unternehmen entscheidender ist oft die mittlere Zone des Unbehagens: Hochrisiko-Anwendungen in Beschäftigung, Bildung, Zugang zu wesentlichen privaten und öffentlichen Diensten, Biometrie, Migration, Strafverfolgung, Justiz oder kritischer Infrastruktur unterliegen strengen Anforderungen an Risikomanagement, Datenqualität, Logging, Dokumentation, menschliche Aufsicht, Genauigkeit, Robustheit und Cybersicherheit. Hinzu kommen Transparenzpflichten, etwa wenn Menschen mit KI interagieren oder wenn Deepfakes sowie bestimmte KI-generierte Inhalte klar kenntlich gemacht werden müssen.
Wer heute noch sagt, der AI Act beginne „eigentlich erst 2026“, verwechselt Kalender mit Rechtslage. DDie Pflicht zur KI-Kompetenz gilt bereits: Unternehmen müssen sicherstellen, dass die jeweils mit KI-Systemen befassten Mitarbeitenden und sonstigen für sie handelnden Personen über einen ausreichenden Kenntnisstand verfügen – risikobasiert, kontextbezogen und passend zur tatsächlichen Nutzung der Systeme.
Praktisch bedeutet das: kein Pflichtzertifikat, keine staatlich verordnete Einheits-Schulung, aber sehr wohl dokumentierte Maßnahmen. Die Kommission sagt ausdrücklich, dass interne Aufzeichnungen genügen, dass für Artikel 4 keine bestimmte neue Governance-Struktur vorgeschrieben ist und dass selbst Mitarbeitende, die generative KI nur für Werbetexte oder Übersetzungen nutzen, über systemspezifische Risiken wie Halluzinationen informiert werden sollten. Die Beaufsichtigung und Durchsetzung dieser Pflicht startet ab August 2026.
Für Anbieter von General-Purpose-AI-Modellen gelten die Pflichten sogar schon seit August 2025. Dazu gehören technische Dokumentation, Informationen für nachgelagerte Systemanbieter, urheberrechtliche Policies und Zusammenfassungen der Trainingsinhalte; bei Modellen mit systemischem Risiko kommen zusätzliche Pflichten zu Bewertung, Meldung und Sicherheit hinzu. Praktisch folgt daraus für Unternehmen, die solche Modelle einkaufen oder in eigene Produkte integrieren: Beschaffung, Vertragswerk und Produktverantwortung müssen die nötigen Informationsflüsse absichern, sonst wird aus „wir nutzen nur ein Modell von außen“ sehr schnell eine erstaunlich interne Baustelle.
Bildquelle: KI-generiert | Beschreibung: Symbolbild für Überwachung“
Man braucht jetzt keine feierliche AI-Taskforce mit großem Pathos und kleinem Ergebnis. Man braucht vor allem eine Reihenfolge.
Hinzu kommt: Die EU arbeitet weiter an Standards, Leitlinien und an der Vereinfachungsdiskussion rund um den digitalen Omnibus. Das ist kein Anlass zu warten. Im Gegenteil: Gerade jetzt sollte eine belastbare Grundordnung aufgebaut werden, damit spätere Präzisierungen nicht auf chaotische Prozesse treffen, sondern auf eine Organisation, die ihre Systeme wenigstens beim Namen nennen kann.
Bildquelle: KI-generiert | Beschreibung: Symbolbild für Regulierung“
Der deutsche Entwurf trägt den Namen KI-Marktüberwachungs- und Innovationsförderungs-Gesetz, kurz KI-MIG. Nach der Entwurfsbegründung soll die Bundesnetzagentur eine zentrale Rolle in der Marktüberwachung übernehmen, vor allem für die Bereiche aus Anhang III. Daneben bleibt es aber bei sektoraler Aufsicht, wo bereits fachrechtliche Zuständigkeiten bestehen. Für sektoral regulierte Produktbereiche bleiben also die bestehenden Behördenstrukturen maßgeblich; im Finanzbereich soll etwa die Bundesanstalt für Finanzdienstleistungsaufsicht zuständig sein, wenn der KI-Einsatz in direktem Zusammenhang mit regulierten Finanztätigkeiten steht.
Außerdem soll die Bundesnetzagentur eine zentrale KI-Servicestelle einrichten; der Gesetzentwurf sieht daneben Beratungs-, Schulungs- und Vernetzungsaufgaben sowie eine unabhängige KI-Marktüberwachungskammer für bestimmte Hochrisiko-Systeme vor. Das ist der eigentliche Punkt: Deutschland bewegt sich sichtbar aus der Debatte in die Verwaltungspraxis. Unternehmen sollten deshalb nicht auf den magischen Moment vollständiger Rechtsromantik warten, sondern die organisatorische Vorarbeit längst begonnen haben.
Er gilt schon, aber gestaffelt. Seit Februar 2025 gelten Verbote bestimmter Praktiken sowie die Regeln zur KI-Kompetenz. Seit August 2025 gelten die Regeln für GPAI-Modelle. Der große Anwendungsblock folgt nach geltendem Recht im August 2026, während bestimmte in regulierte Produkte eingebettete Hochrisiko-Systeme erst im August 2027 folgen. Parallel liegt ein Vereinfachungsvorschlag der Kommission auf dem Tisch, der Teile der Hochrisiko-Zeitlinie an verfügbare Standards und Support-Tools knüpfen würde; dieser Vorschlag ist aber eben ein Vorschlag und nicht die geltende Rechtslage.
Nicht automatisch. Für Artikel 4 sagt die Kommission ausdrücklich, dass keine bestimmte Governance-Struktur vorgeschrieben ist. Bei Hochrisiko-Systemen müssen Betreiber allerdings menschliche Aufsicht organisatorisch zuweisen und befähigen. Mit anderen Worten: Das Gesetz verlangt nicht zwingend eine neue Visitenkarte, wohl aber eine klare Verantwortung.
Ja, auch dann ist das Thema nicht erledigt. Die Kommission nennt ausdrücklich den Fall, dass Mitarbeitende generative KI etwa für Werbetexte oder Übersetzungen nutzen; auch dann sollten sie über spezifische Risiken, etwa Halluzinationen, informiert werden. Zertifikate sind dafür nicht vorgeschrieben, interne Nachweise und passende Guidance aber sehr wohl sinnvoll.
Ja, der AI Act sieht dafür Transparenzpflichten vor. Artikel 50 betrifft unterschiedliche Konstellationen, darunter interaktive Systeme, generative Systeme und Deepfakes. Die Transparenzregeln werden ab August 2026 praktisch relevant; parallel entwickelt das AI Office einen freiwilligen Code of Practice für Marking und Labelling KI-generierter Inhalte, um die Umsetzung zu erleichtern.
Der AI Act verlangt vor allem etwas, das in Unternehmen notorisch unterbewertet wird: Ordnung. Nicht die dekorative Ordnung von Strategiefolien, sondern die operative Ordnung von Inventaren, Zuständigkeiten, Dokumentation, Transparenz und Schulung. Genau dort verläuft die eigentliche Trennlinie zwischen „Wir schauen uns das später an“ und belastbarer KI-Nutzung im Sommer 2026.
Wer diese Ordnung nicht erst herstellen möchte, wenn Fristen, Rückfragen und interne Überraschungen gleichzeitig vor der Tür stehen, sollte jetzt anfangen. Oder, noch besser: nicht allein.