Alle Artikel
KI-Regulierung im Vergleich: EU, USA, UK, China (2026)
KI-Regulierung

KI-Regulierung im Vergleich: EU, USA, UK, China (2026)

Vergleich der globalen KI-Regulierung 2026, EU AI Act vs. USA, UK, China. Aktualisiert im Juni 2026 mit dem Digital-Omnibus-Deal zum AI Act (vereinbart, aber noch nicht in Kraft) und einer Strategie für Compliance über mehrere Rechtsräume.

Pedram Madani30 Min. Lesezeit
Teilen
Lesezeit30 Min.
ThemaKI-Regulierung
AktualisiertApr. 2026
Inhaltsverzeichnis

KI-Regulierung im Vergleich: EU, USA, UK, China, ein globaler Compliance-Leitfaden für 2026

Wenn Ihr KI-Produkt Nutzer in mehreren Ländern bedient, stehen Sie nicht vor einem regulatorischen Rahmen, sondern vor mehreren. Der EU AI Act, das Flickwerk der USA aus sektorspezifischen Regeln und Landesgesetzen, der von den Regulierern getragene, anpassungsfähige Ansatz des Vereinigten Königreichs und Chinas inhaltszentrierte und staatlich gesteuerte Regelungen gehen alle grundlegend verschieden an dieselbe Kernfrage heran: Wie sollten Regierungen die Risiken und den Nutzen künstlicher Intelligenz steuern?

Für Unternehmen, die KI-Systeme über Grenzen hinweg entwickeln oder einsetzen, sind die Unterschiede nicht akademisch. Ein Einstellungsalgorithmus, der in Singapur völlig rechtmäßig betrieben werden darf, kann in Brüssel eine Konformitätsbewertung verlangen, in New York ein algorithmisches Audit und in China eine Pflichtanmeldung bei der Cyberspace Administration of China. Diese Unterschiede zu verstehen, und die wachsenden Bereiche der Annäherung, ist für jede Organisation entscheidend, die eine tragfähige globale Compliance-Strategie aufbaut.

Sektorspezifische Regime legen sich dann über diese Rahmen. Das schärfste in der EU sind Medizinprodukte, wo der AI Act auf die MDR/IVDR trifft: siehe Ist meine medizinische KI Hochrisiko? und den Health-AI-Hub.

Dieser Leitfaden bietet einen ausführlichen Direktvergleich der vier folgenreichsten KI-Regulierungsregime der Welt, dazu praktische Hinweise, wie Sie ein einziges Compliance-Programm aufbauen, das mehrere Rechtsräume gleichzeitig erfüllt. Wenn Sie speziell beim EU AI Act neu sind, beginnen Sie mit unserem vollständigen Leitfaden zum EU AI Act, bevor Sie in diesen globalen Vergleich einsteigen.

Aktualisiert am 16. Juni 2026. Berücksichtigt den Digital Omnibus zum EU AI Act, eine vorläufige politische Einigung vom 7. Mai 2026, die von Coreper bestätigt (13. Mai) und am 2. Juni 2026 von den Ausschüssen IMCO und LIBE angenommen wurde, aber noch nicht in Kraft ist. Das Europäische Parlament hat sie in seiner Plenarsitzung in Straßburg am 16. Juni 2026 angenommen (423 dafür, 57 dagegen, 174 Enthaltungen); die förmliche Annahme durch den Rat und die Veröffentlichung im Amtsblatt stehen noch aus, bevor neue Daten wirksam werden. Bis dahin bleibt das rechtlich geltende Datum für eigenständige Hochrisiko-Systeme der 2. August 2026. Das vollständige Omnibus-Bild schlüsseln wir in unserer Analyse der AI-Act-Omnibus-Fristen und dem Statusupdate zum Trilog auf.

Ausblick Juni 2026: Der Digital Omnibus ist vereinbart, aber noch kein Gesetz

Die folgenreichste Entwicklung seit der Erstveröffentlichung dieses Leitfadens ist das Digital-Omnibus-Paket zum EU AI Act. Stand Juni 2026 ist es eine vorläufige politische Einigung (erzielt am 7. Mai 2026 zwischen Parlament und Rat, bestätigt von Coreper am 13. Mai, angenommen von den Ausschüssen IMCO und LIBE am 2. Juni 2026), aber es ist noch nicht in Recht gegossen und nicht in Kraft. Das Europäische Parlament hat am 16. Juni 2026 seine abschließende Bestätigung im Plenum gegeben (423 dafür, 57 dagegen, 174 Enthaltungen); die förmliche Annahme durch den Rat und die Veröffentlichung im Amtsblatt müssen folgen, bevor die neuen Daten rechtlich wirksam werden (bindend drei Tage nach Veröffentlichung). Für alle, die über mehrere Rechtsräume hinweg planen, zählen vier Punkte sofort:

  1. Die Hochrisiko-Frist würde von August 2026 auf Dezember 2027 verschoben, sobald die Verschiebung in Kraft ist. Der Omnibus würde eigenständigen Hochrisiko-Systemen (Anhang III) einen Aufschub auf den 2. Dezember 2027 gewähren und KI, die in sektorale Produkte eingebettet ist (Medizinprodukte, Maschinen, Fahrzeuge), eine Verschiebung vom 2. August 2027 auf den 2. August 2028. Aber Stand heute sind diese Aufschübe vereinbart, nicht erlassen: Das rechtlich geltende Datum für eigenständiges Hochrisiko bleibt der 2. August 2026. Planen Sie gegen die neuen Daten, aber gehen Sie erst mit der Veröffentlichung von ihnen als bindendem Recht aus.
  2. Die Kennzeichnung rückt vor, nicht zurück. Die Pflichten zur Kennzeichnung synthetischer Inhalte nach Artikel 50 gelten weiterhin ab dem 2. August 2026 (unverändert). Der Omnibus würde die Kennzeichnungs-Übergangsfrist für Systeme, die vor dem 2. August 2026 bereits auf dem Markt sind, bis zum 2. Dezember 2026 verlängern, dasselbe Übergangsdatum wie das neue Verbot nach Artikel 5 für KI-generierte, nicht einvernehmliche intime Bilder ("Nudifier"-Apps) und KI-generiertes Material über sexuellen Kindesmissbrauch. Wenn Sie generative KI auf den EU-Markt bringen, behandeln Sie die Frage der Kennzeichnungskonformität als Problem für 2026, nicht für 2027.
  3. Ausnahmen für KMU und kleine Mid-Caps sind breiter. Unternehmen mit weniger als 750 Beschäftigten und 150 Mio. EUR Umsatz erhielten reduzierte Pflichten bei Dokumentation, Konformitätsbewertung und Marktbeobachtung. Das verringert den Abstand zwischen der EU- und der UK-Regulierungslast für Start-ups, hebt ihn aber nicht auf.
  4. Die Verarbeitung personenbezogener Daten zur Bias-Erkennung ist jetzt ausdrücklich erlaubt, mit Schutzmaßnahmen (eine Ausnahme nach Artikel 9 DSGVO). Das nimmt eine wesentliche Hemmschwelle, Fairness-Bewertungen in Hochrisiko-Pipelines einzubauen.

Bis der Digital Omnibus die Annahme durch den Rat durchläuft und im Amtsblatt der EU veröffentlicht ist (das Europäische Parlament hat ihn am 16. Juni 2026 angenommen), bleiben die ursprünglichen Daten für 2026 rechtlich bindend. Beachten Sie außerdem, dass die Pflichten für GPAI-Modelle und die Durchsetzungsbefugnisse des AI Office weiterhin ab dem 2. August 2026 gelten, der Omnibus verschiebt sie nicht. Die realistische Haltung für den Rest von 2026 lautet: gegen die neuen Daten planen, aber die Compliance gegen die ursprünglichen dokumentieren, so lässt eine verzögerte Omnibus-Veröffentlichung Sie nicht ungeschützt.

TL;DR, globale KI-Regulierung auf einen Blick

  • Keine zwei großen Rechtsräume regulieren KI gleich. Die EU hat ein umfassendes, horizontales Gesetz. Die USA verlassen sich auf bestehende Behörden und freiwillige Frameworks. Das UK delegiert an Sektorregulierer. China erlässt eng gefasste Regelungen im Tempo.
  • Der EU AI Act hat die breiteste extraterritoriale Reichweite. Er gilt für jedes Unternehmen, das ein KI-System auf dem EU-Markt bereitstellt oder dessen Systemergebnis in der EU genutzt wird, unabhängig davon, wo das Unternehmen seinen Sitz hat, ähnlich der globalen Reichweite der DSGVO.
  • Die USA haben kein einzelnes bundesweites KI-Gesetz. Die Compliance hängt davon ab, welche Bundesbehörde Ihren Sektor beaufsichtigt (FDA, SEC, FTC, EEOC) und in welchen Bundesstaaten Sie tätig sind (Colorado, Illinois und New York City haben jeweils eigene KI-bezogene Anforderungen).
  • Das UK vermeidet bewusst ein einzelnes KI-Gesetz. Stattdessen wenden bestehende Regulierer, die FCA, ICO, Ofcom, CMA, fünf übergreifende KI-Grundsätze innerhalb ihrer bestehenden Mandate an.
  • China reguliert KI-Inhalte und Algorithmen direkt. Drei bindende Regelungen steuern bereits algorithmische Empfehlungen, Deepfakes und generative KI, mit verpflichtender Anmeldung bei der Regierung.
  • Praktische Strategie: gegen den EU AI Act als höchsten gemeinsamen Nenner bauen, dann rechtsraumspezifische Anforderungen mit NIST AI RMF und ISO 42001 abbilden, um Lücken zu füllen.

Ist Ihr KI-System hochriskant?

Finden Sie es in 2 Minuten heraus, kostenlos, ohne Anmeldung.

Jetzt prüfen

Die vier großen Regulierungsansätze

Bevor wir jeden Rechtsraum im Detail betrachten, bietet die folgende Tabelle einen groben Vergleich der vier großen KI-Regulierungsregime, wie sie 2026 dastehen.

MerkmalEUUSAUKChina
Art des AnsatzesUmfassende, horizontale GesetzgebungSektorspezifisch, fragmentiertRegulierergetragen, prinzipienbasiertStaatlich gesteuert, inhaltszentriert
Zentrale GesetzgebungAI Act (Verordnung (EU) 2024/1689)Kein einzelnes bundesweites KI-Gesetz; Executive Orders, LandesgesetzeKein einzelner AI Act; bestehende RegulierungsbefugnisseRegelung zu algorithmischen Empfehlungen, Regelung zu Deep Synthesis, Regelung zu generativer KI
Risiko-FrameworkVierstufige Risikoklassifizierung (verboten → minimal)Variiert nach Sektor und BehördeFünf übergreifende Grundsätze, angewandt durch SektorreguliererAuf Inhaltsrisiko und soziale Stabilität ausgerichtet
Wichtigste DurchsetzungsstelleAI Office + nationale zuständige BehördenFTC, FDA, SEC, EEOC, Staats-AGsFCA, ICO, Ofcom, CMA, DRCFCyberspace Administration of China (CAC)
Extraterritorialer GeltungsbereichJa, gilt für Nicht-EU-Anbieter, die KI auf dem EU-Markt bereitstellenBegrenzt, überwiegend national, einige Landesgesetze reichen über den Bundesstaat hinausBegrenzt, überwiegend nationalJa, gilt für in China zugängliche Dienste
Höchststrafen35 Mio. EUR oder 7 % des weltweiten UmsatzesVariiert nach Behörde; die FTC kann erhebliche Bußgelder verhängen; Strafen der Bundesstaaten variierenVariiert nach Regulierer (z. B. ICO-DSGVO-Bußgelder bis 17,5 Mio. £ / 4 % Umsatz)Bußgelder, Diensteinstellung, strafrechtliche Haftung bei schweren Verstößen
Freiwillige StandardsHarmonisierte Normen in Entwicklung; ISO 42001 referenziertNIST AI RMF 1.0; ISO 42001 empfohlenDSIT-KI-Grundsätze; AISI-BewertungenNationale KI-Standards (TC260)

Diese Tabelle offenbart eine grundlegende Wahrheit: Es gibt keine einheitliche "globale KI-Regulierung". Jeder Rechtsraum spiegelt andere politische Prioritäten wider, Verbraucherschutz, Innovationsförderung, Inhaltskontrolle oder Grundrechte, und Organisationen, die international tätig sind, müssen sich in allen zurechtfinden.

Europäische Union: Umfassende, risikobasierte Regulierung

Der EU AI Act (Verordnung (EU) 2024/1689) ist der weltweit erste umfassende, verbindliche Rechtsrahmen für künstliche Intelligenz. Er trat am 1. August 2024 in Kraft, mit Pflichten, die zwischen Februar 2025 und August 2027 gestaffelt greifen. Einen detaillierten Zeitplan finden Sie in unserer EU-AI-Act-Compliance-Checkliste für 2026.

Risikobasierte vierstufige Klassifizierung

Der AI Act ordnet KI-Systeme nach ihrem möglichen Risiko für Gesundheit, Sicherheit und Grundrechte in vier Stufen ein:

RisikostufeRegulatorische BehandlungBeispiele
VerbotenGrundsätzlich untersagtSocial Scoring durch Regierungen, biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (mit engen Ausnahmen), manipulative unterschwellige Techniken
HochrisikoSchwere Compliance-PflichtenKI bei Einstellung und Rekrutierung, Kredit-Scoring, kritischer Infrastruktur, Strafverfolgung, Migrationssteuerung, Bildungsbewertung
Begrenztes RisikoTransparenzpflichtenChatbots, Emotionserkennungssysteme, Deepfake-Generatoren
Minimales RisikoKeine besonderen Pflichten (Verhaltenskodizes empfohlen)Spamfilter, KI-gestützte Videospiele, Bestandsverwaltung

Die Klassifizierungsregeln stehen in Artikel 6, und die verbotenen Praktiken sind in Artikel 5 definiert. Wenn Sie unsicher sind, wie Ihr System eingestuft ist, hilft Ihnen unser kostenloses Tool zur Risikoklassifizierung des AI Act, Ihre Pflichten in unter fünf Minuten zu bestimmen.

Extraterritorialer Geltungsbereich, der "Brüssel-Effekt"

Eines der folgenreichsten Merkmale des AI Act ist sein extraterritorialer Geltungsbereich, definiert in Artikel 2. Die Verordnung gilt für:

  • Anbieter (Entwickler) von KI-Systemen, die auf dem EU-Markt bereitgestellt oder in der EU in Betrieb genommen werden, unabhängig davon, wo der Anbieter niedergelassen ist.
  • Betreiber (Nutzer) von KI-Systemen, die sich in der EU befinden.
  • Anbieter und Betreiber in Drittländern, sofern das vom KI-System erzeugte Ergebnis in der EU genutzt wird.

Das bedeutet: Ein US-Unternehmen, das ein KI-Einstellungstool baut, das von einem deutschen Arbeitgeber genutzt wird, muss den AI Act einhalten, selbst wenn das Unternehmen kein Büro, keinen Server und keinen Beschäftigten in der Europäischen Union hat. Das entspricht dem extraterritorialen Modell der DSGVO und dürfte weithin einen "Brüssel-Effekt" erzeugen: Unternehmen werden weltweit nach dem EU-Standard bauen, statt getrennte Compliance-Programme für verschiedene Märkte zu unterhalten.

Pflichten für GPAI-Modelle

Der AI Act hat eine eigene Kategorie für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) eingeführt, Foundation Models und Large Language Models, die sich für viele nachgelagerte Aufgaben anpassen lassen. Nach Artikel 51 müssen Anbieter von GPAI-Modellen:

  • Technische Dokumentation pflegen und bereitstellen, einschließlich der Trainings- und Testprozesse.
  • Informationen und Dokumentation an nachgelagerte Anbieter geben, die das GPAI-Modell in ihre KI-Systeme integrieren.
  • Eine Richtlinie zur Einhaltung des Urheberrechts aufstellen, einschließlich der EU-Urheberrechtsrichtlinie.
  • Eine hinreichend detaillierte Zusammenfassung der Trainingsdaten veröffentlichen.

GPAI-Modelle mit systemischem Risiko, derzeit definiert als Modelle, die mit mehr als 10²⁵ FLOPs Rechenleistung trainiert werden, unterliegen zusätzlichen Pflichten, darunter Adversarial Testing, Meldung von Vorfällen und Cybersecurity-Schutz. Eine vollständige Aufschlüsselung der GPAI-Pflichten finden Sie in unserem Leitfaden zu Pflichten für KI-Modelle mit allgemeinem Verwendungszweck.

Durchsetzung und Sanktionen

Das Sanktionsregime des EU AI Act zählt zu den strengsten der Welt. Höchstbußgelder sind:

  • 35 Millionen EUR oder 7 % des weltweiten Jahresumsatzes für verbotene KI-Praktiken.
  • 15 Millionen EUR oder 3 % des weltweiten Jahresumsatzes für Verstöße gegen Hochrisiko-Anforderungen.
  • 7,5 Millionen EUR oder 1 % des weltweiten Jahresumsatzes für die Übermittlung falscher Informationen an Behörden.

Die Durchsetzung ist zwischen dem EU AI Office (für Pflichten von GPAI-Modellen) und den von jedem Mitgliedstaat benannten nationalen zuständigen Behörden aufgeteilt. Die Durchsetzungsarchitektur wird in Artikel 99 beschrieben.

Warum es wichtig ist

Der EU AI Act ist über Europas Grenzen hinaus bedeutsam wegen seiner Größenordnung und seines Anspruchs. Mit 450 Millionen Verbrauchern im Binnenmarkt und einer Regulierungstradition, die bereits den globalen Datenschutz (DSGVO) und die Produktsicherheit geprägt hat, ist der AI Act auf dem Weg, die faktische globale Grundlinie für AI Governance zu werden. Unternehmen, die den AI Act einhalten, werden es deutlich leichter haben, die Anforderungen in den meisten anderen Rechtsräumen zu erfüllen.

Vereinigte Staaten: Sektorspezifisch und innovationsorientiert

Die Vereinigten Staaten gehen die KI-Regulierung grundlegend anders an: Statt ein einzelnes umfassendes Gesetz zu erlassen, verlassen sie sich auf bestehende Bundesbehörden, freiwillige Frameworks und eine zunehmend aktive Gesetzgebung auf Ebene der Bundesstaaten. Die zugrunde liegende Philosophie stellt Innovation und wirtschaftliche Wettbewerbsfähigkeit in den Vordergrund, mit Regulierung, die auf konkrete Schäden zielt statt auf KI als Technologiekategorie.

Kein umfassendes bundesweites KI-Gesetz

Stand Mai 2026 haben die Vereinigten Staaten kein verbindliches, horizontales bundesweites KI-Gesetz, das mit dem EU AI Act vergleichbar wäre. Die bundesweite KI-Governance wird geprägt durch:

  • Executive Orders: Die Executive Order 14110 aus der Biden-Ära (Oktober 2023), die Berichtspflichten für Entwickler leistungsfähiger KI-Modelle einführte, wurde im Januar 2025 aufgehoben und durch die Executive Order 14179 ersetzt, "Removing Barriers to American Leadership in Artificial Intelligence", die die Bundespolitik in Richtung Deregulierung wendete. Im Dezember 2025 erließ Präsident Trump eine weitere Anordnung, "Ensuring a National Policy Framework for Artificial Intelligence", die den Attorney General anwies, eine AI Litigation Task Force einzurichten, um Landesgesetze zu KI anzufechten, die als unvereinbar mit der Bundespolitik gelten. Das zeigt, wie stark die bundesweite KI-Politik der USA von Regierungshandeln abhängt, Anordnungen können durch nachfolgende Regierungen geändert oder aufgehoben werden.
  • NIST AI Risk Management Framework (AI RMF 1.0): Veröffentlicht im Januar 2023, bietet das AI RMF einen freiwilligen, strukturierten Ansatz, um KI-Risiken über den Lebenszyklus zu steuern. Es gliedert das Risikomanagement in vier Funktionen, Govern, Map, Measure, Manage, und ist zum wichtigsten Referenzrahmen für Organisationen geworden, die einen systematischen Zugang zu AI Governance in den USA suchen.
  • Behördenspezifische Leitlinien: Einzelne Behörden haben innerhalb ihrer bestehenden Mandate verbindliche oder halbverbindliche Leitlinien erlassen, ohne auf neue Gesetzgebung zu warten.

Durchsetzungslandschaft der Bundesbehörden

BehördeBereichKI-spezifische Maßnahmen
FTCVerbraucherschutz, unlautere/irreführende PraktikenDurchsetzung gegen irreführende KI-Aussagen; Leitlinien zu algorithmischer Fairness; Befugnis nach Section 5 des FTC Act
FDAMedizinprodukte, Gesundheits-KIFramework für KI/ML-basierte Software as a Medical Device (SaMD); Vorabprüfung für KI-Diagnosetools
SECFinanzdienstleistungen, InvestmentVorgeschlagene Regeln zu prädiktiver Datenanalyse in der Tätigkeit von Broker-Dealern und Anlageberatern
EEOCDiskriminierung im BeschäftigungsverhältnisLeitlinien zu KI-gestützten Einstellungstools nach Title VII; Fokus auf Disparate Impact
HHS/OCRGesundheitswesen, BürgerrechteKI-Nichtdiskriminierungsanforderungen im Gesundheitswesen nach Section 1557
CFPBVerbraucher-FinanzdienstleistungenPflicht zur Adverse-Action-Mitteilung, wenn KI in Kreditentscheidungen genutzt wird

Die praktische Folge ist, dass US-KI-Compliance sektorabhängig ist. Ein Gesundheits-KI-Unternehmen steht unter FDA-Aufsicht; eine KI-Einstellungsplattform unter EEOC-Prüfung; ein verbrauchernaher Chatbot fällt unter FTC-Zuständigkeit. Organisationen müssen ermitteln, welche Behörden Aufsichtsbefugnis über ihren konkreten Anwendungsfall haben.

Landesgesetze, das entstehende Flickwerk

Die bedeutendste Gesetzgebungstätigkeit in den USA findet auf Ebene der Bundesstaaten statt. Mehrere Staaten haben KI-spezifische Gesetze erlassen oder treiben sie voran:

  • Colorado AI Act: Ursprünglich am 17. Mai 2024 als erstes umfassendes US-Landesgesetz zur Regulierung von "Hochrisiko-KI-Systemen" bei folgenreichen Entscheidungen unterzeichnet, wurde er 2026 wesentlich geändert (Gouverneur Polis unterzeichnete die Änderung am 14. Mai 2026). Die Änderung verschob das Inkrafttreten vom 30. Juni 2026 auf den 1. Januar 2027 und verengte den Anwendungsbereich auf die Offenlegung automatisierter Entscheidungstechnologie (ADMT), Vorabhinweis, Offenlegung nach nachteiligem Ergebnis und einen begrenzten Katalog von Verbraucherrechten. Die im ursprünglichen Gesetz enthaltenen Anforderungen an Sorgfaltspflicht, Risikomanagement-Programm und Folgenabschätzung wurden gestrichen.
  • New York City Local Law 144: Verlangt jährliche Bias-Audits für automatisierte Beschäftigungsentscheidungstools, die von Arbeitgebern in New York City genutzt werden. Die Auditergebnisse müssen öffentlich veröffentlicht werden.
  • Illinois Biometric Information Privacy Act (BIPA): Zwar nicht KI-spezifisch, aber die strengen Einwilligungsanforderungen von BIPA für die Erhebung biometrischer Daten wirken sich direkt auf KI-Systeme aus, die Gesichtserkennung, Stimmabdruckanalyse oder andere biometrische Verarbeitung nutzen.
  • California SB 53 (TFAIA): Kaliforniens vielbeachteter Sicherheitsentwurf für große KI-Modelle, SB 1047, wurde im September 2024 von Gouverneur Newsom mit einem Veto belegt. Das derzeitige Frontier-AI-Gesetz des Staates ist SB 53, der Transparency in Frontier Artificial Intelligence Act (TFAIA), im September 2025 unterzeichnet und seit dem 1. Januar 2026 in Kraft. Es verlangt von Frontier-Entwicklern, Governance-Frameworks und Transparenzberichte zu veröffentlichen, kritische Sicherheitsvorfälle zu melden, und erweitert den Schutz von Whistleblowern. Kalifornien bleibt der aktivste Staat in der KI-Politik, mit zusätzlichen Maßnahmen zu Kennzeichnung und Deepfake-Offenlegung.
  • Texas TRAIGA (HB 149): Der Texas Responsible Artificial Intelligence Governance Act, im Juni 2025 unterzeichnet und seit dem 1. Januar 2026 in Kraft, verbietet KI, die dazu genutzt wird, menschliches Verhalten zu manipulieren, biometrische Identifikatoren ohne Einwilligung zu erfassen, rechtswidrige Diskriminierung zu betreiben oder bestimmte explizite Inhalte zu erzeugen, und fügt Offenlegungspflichten für staatliche Stellen sowie einen regulatorischen Sandkasten hinzu. Die Durchsetzung liegt ausschließlich beim Texas Attorney General.

Das Flickwerk der Bundesstaaten schafft Compliance-Komplexität für Unternehmen, die landesweit tätig sind. Ein Unternehmen, das dasselbe KI-System in New York, Colorado und Illinois einsetzt, kann drei verschiedenen Pflichtenbündeln gegenüberstehen, Bias-Audits, Folgenabschätzungen und Anforderungen an die biometrische Einwilligung, von denen keines harmonisiert ist.

NIST AI Risk Management Framework

Obwohl freiwillig, ist das NIST AI RMF dem am nächsten gekommen, was in den Vereinigten Staaten ein nationaler KI-Compliance-Standard wäre. Seine vier Kernfunktionen lassen sich recht gut auf die Anforderungen des EU AI Act abbilden:

NIST-AI-RMF-FunktionZweckEntsprechung im EU AI Act
GovernKI-Governance-Strukturen und Verantwortlichkeit aufbauenAI Governance und Qualitätsmanagement (Art. 9, 17)
MapKI-Risiken erkennen und in den Kontext setzenRisikomanagement-System (Art. 9), Definition des Verwendungszwecks
MeasureErkannte Risiken bewerten und vergleichenTest, Validierung, Leistungskennzahlen (Art. 9, 15)
ManageRisiken priorisieren und angehenKorrekturmaßnahmen, Marktbeobachtung (Art. 20, 72)

Organisationen, die ein Governance-Framework aufbauen, das NIST AI RMF auf die Anforderungen des EU AI Act abbildet, sind gut aufgestellt, um Compliance in beiden Rechtsräumen zu belegen.

Vereinigtes Königreich: Regulierergetragene, anpassungsfähige Governance

Das Vereinigte Königreich hat sich bewusst dagegen entschieden, ein einzelnes KI-Gesetz nach dem Vorbild des EU AI Act zu erlassen. Stattdessen veröffentlichte die britische Regierung im März 2023 ein innovationsfreundliches KI-Weißbuch, das einen Rahmen von Grundsätzen darlegt, die bestehende Sektorregulierer in ihren Bereichen anwenden sollen.

Fünf übergreifende Grundsätze

Der Regulierungsansatz des UK beruht auf fünf Grundsätzen, die alle Sektorregulierer auslegen und durchsetzen sollen:

  1. Sicherheit, Absicherung und Robustheit, KI-Systeme sollten zuverlässig und sicher funktionieren.
  2. Angemessene Transparenz und Erklärbarkeit, Nutzer sollten verstehen, wann sie mit KI interagieren und wie Entscheidungen getroffen werden.
  3. Fairness, KI sollte keine diskriminierenden Ergebnisse erzeugen oder gesetzliche Rechte untergraben.
  4. Verantwortlichkeit und Governance, für KI-Ergebnisse müssen klare Verantwortungslinien bestehen.
  5. Anfechtbarkeit und Abhilfe, Einzelne sollten KI-gestützte Entscheidungen, die sie betreffen, anfechten können.

Diese Grundsätze sind bewusst übergeordnet und nicht vorschreibend. Die Regierung hat ausdrücklich erklärt, dass sie keinen starren, einheitlichen Regulierungsrahmen schaffen will, mit dem Argument, dass Sektorregulierer besser aufgestellt sind, um die spezifischen Risiken zu verstehen, die KI in ihren Bereichen mit sich bringt.

Sektorregulierer und die DRCF

Die folgenden Regulierer sind für die Anwendung der fünf KI-Grundsätze zuständig:

ReguliererBereichKI-Schwerpunkte
ICO (Information Commissioner's Office)Datenschutz, PrivatsphäreKI und Verarbeitung personenbezogener Daten, algorithmische Fairness, KI-generiertes Profiling
FCA (Financial Conduct Authority)FinanzdienstleistungenKI im Handel, Kredit-Scoring, Verbraucherkommunikation
OfcomKommunikation, Online-SicherheitKI-generierte Inhalte, Empfehlungsalgorithmen, Deepfake-Regulierung
CMA (Competition & Markets Authority)WettbewerbMarktkonzentration bei KI-Foundation-Models, wettbewerbswidriges Verhalten
MHRAGesundheitsprodukteKI-gestützte Medizinprodukte und Diagnostik

Das Digital Regulation Cooperation Forum (DRCF), bestehend aus ICO, FCA, Ofcom und CMA, koordiniert übergreifende KI-Regulierungsfragen, um widersprüchliche Leitlinien zu vermeiden.

AI Safety Institute

Das UK gründete im November 2023 das AI Safety Institute (AISI), zunächst mit Fokus auf die Bewertung von Frontier-KI-Modellen. AISI führt Tests fortgeschrittener KI-Modelle vor dem Einsatz durch, veröffentlicht Sicherheitsbewertungen und trägt zu internationalen KI-Sicherheitsstandards bei. Obwohl AISI keine regulatorische Durchsetzungsbefugnis hat, sind seine Bewertungen einflussreich und werden zunehmend in Beschaffung und Governance-Frameworks referenziert.

Innovationsorientiert vs. vorsorgend

Der Ansatz des UK ist ausdrücklich innovationsorientiert und steht im Gegensatz zur stärker vorsorgenden Haltung der EU. Zentrale Unterschiede sind:

AspektEU-AnsatzUK-Ansatz
GesetzgebungUmfassende verbindliche RegulierungPrinzipienbasiert, weitgehend nicht gesetzlich
Compliance-LastErheblich bei Hochrisiko-KILeichter, sektorabhängig
DurchsetzungZentrales AI Office + nationale BehördenVerteilt über bestehende Regulierer
InnovationshaltungRegulatorische Sandkästen als SicherheitsventilRegulierung als Innovationsförderer
AnpassungsgeschwindigkeitLangsam (Gesetzesänderung erforderlich)Schnell (regulatorische Leitlinien lassen sich rasch aktualisieren)

Der UK-Ansatz hat Vorteile bei Flexibilität und Anpassungsgeschwindigkeit, schafft aber Unsicherheit für Unternehmen, die klare, kodifizierte Regeln bevorzugen. Er birgt auch das Risiko regulatorischer Fragmentierung, wenn verschiedene Sektorregulierer die fünf Grundsätze uneinheitlich auslegen.

China: Staatlich gesteuert und inhaltszentriert

China hat den am stärksten gezielten und schnellen Ansatz zur KI-Regulierung gewählt und eine Reihe verbindlicher Regelungen erlassen, die auf konkrete KI-Anwendungen abzielen, besonders solche mit Bezug zu Inhaltskontrolle, sozialer Stabilität und Datensouveränität. Anders als das umfassende Modell der EU oder der fragmentierte Ansatz der USA besteht Chinas Strategie darin, konkrete KI-Anwendungsfälle schnell und iterativ zu regulieren.

Drei verbindliche KI-Regelungen

China hat in rascher Folge drei wichtige KI-spezifische Regelungen erlassen:

RegelungInkrafttretenAnwendungsbereich
Provisions on the Management of Algorithmic Recommendations in Internet Information Services1. März 2022Algorithmische Empfehlungssysteme in Internetplattformen
Provisions on the Management of Deep Synthesis in Internet Information Services (Deep-Synthesis-Regelung)10. Januar 2023KI-generierte oder KI-veränderte Inhalte: Deepfakes, synthetische Medien, Voice Cloning
Interim Measures for the Management of Generative AI Services (Generative-KI-Regelung)15. August 2023Generative KI-Dienste, die der Öffentlichkeit in China angeboten werden

Jede Regelung wird von der Cyberspace Administration of China (CAC) verwaltet, oft gemeinsam mit dem Ministerium für Wissenschaft und Technologie und dem Ministerium für Industrie und Informationstechnologie.

Zentrale regulatorische Anforderungen

Chinas KI-Regelungen teilen mehrere charakteristische Merkmale:

  • Verpflichtende Algorithmus-Anmeldung: Organisationen, die algorithmische Empfehlungssysteme oder generative KI-Dienste in China einsetzen, müssen ihre Algorithmen über das Algorithm Filing System bei der CAC registrieren. Dazu gehört die Offenlegung der grundlegenden Logik, des Verwendungszwecks und der Funktionsweise des Algorithmus.
  • Pflichten zur Inhaltskontrolle: KI-generierte Inhalte müssen den "zentralen sozialistischen Werten" entsprechen und dürfen keine Inhalte enthalten, die die Staatsmacht untergraben, die nationale Einheit schwächen, Terrorismus fördern oder gegen andere Inhaltsbeschränkungen verstoßen. Das ist ein grundlegend anderes regulatorisches Ziel als der Fokus der EU auf Grundrechte oder der Fokus der USA auf Verbraucherschutz.
  • Kennzeichnung: Die Deep-Synthesis-Regelung verlangt, dass KI-generierte Inhalte klar gekennzeichnet werden, auch durch technische Kennzeichnung. Das entspricht den Transparenzpflichten nach Artikel 50 des EU AI Act, ist aber von anderen politischen Zielen getrieben.
  • Sicherheitsbewertungen: Generative KI-Dienste müssen vor der Bereitstellung für die Öffentlichkeit eine Sicherheitsbewertung durchlaufen, einschließlich der Bewertung von Trainingsdatenquellen und Ausgabesicherheit.
  • Datensouveränität: Trainingsdaten müssen Chinas Personal Information Protection Law (PIPL) und Data Security Law (DSL) entsprechen. Grenzüberschreitende Datentransfers unterliegen strengen Beschränkungen, besonders für Daten, die als "wichtig" eingestuft sind oder personenbezogene Daten chinesischer Einwohner betreffen.

Sozialkredit und algorithmische Governance

Chinas KI-Regelungen bestehen im breiteren Kontext seines Sozialkreditsystems und seiner digitalen Governance-Infrastruktur. Algorithmische Empfehlungssysteme von Internetplattformen, von Produktvorschlägen im E-Commerce bis zum Ranking von Nachrichten-Feeds, unterliegen Nutzerrechten, darunter die Möglichkeit, personalisierte Empfehlungen abzuwählen und Erklärungen algorithmischer Entscheidungen zu verlangen.

Zwar ähneln diese Nutzerrechte oberflächlich europäischen Transparenzanforderungen, doch wirken sie innerhalb eines Regulierungsrahmens, in dem der Staat die übergeordnete Befugnis behält, algorithmische Ergebnisse im Interesse der sozialen Stabilität zu lenken.

Folgen für ausländische Unternehmen

Ausländische Unternehmen, die KI-Dienste anbieten, die in China zugänglich sind, unterliegen direkten regulatorischen Pflichten. Die Generative-KI-Regelung gilt für Dienste, die "der Öffentlichkeit innerhalb des Hoheitsgebiets der Volksrepublik China bereitgestellt werden", worunter cloudbasierte KI-Dienste fallen, die für chinesische Nutzer zugänglich sind. Die Compliance erfordert:

  • Algorithmus-Anmeldung bei der CAC.
  • Konformität der Trainingsdaten mit PIPL und DSL.
  • Inhaltsausgaben im Einklang mit den chinesischen Inhaltsvorschriften.
  • Kooperation bei regulatorischen Prüfungen und Audits.

Für viele westliche Unternehmen erzeugt die Erfüllung chinesischer Inhaltskontrollanforderungen einen direkten Konflikt mit den regulatorischen Erwartungen der EU und der USA an Meinungsfreiheit und Nichtdiskriminierung. Das ist einer der schwierigsten Aspekte echter Compliance über mehrere Rechtsräume hinweg.

Weitere nennenswerte Rechtsräume

Über die vier großen Regulierungsregime hinaus entwickeln mehrere andere Rechtsräume aktiv KI-Governance-Frameworks:

RechtsraumFrameworkStatus (2026)Zentrale Merkmale
KanadaArtificial Intelligence and Data Act (AIDA, Teil 3 von Bill C-27)Erlassen; Umsetzung läuftRisikobasierte Klassifizierung; strafrechtliche Sanktionen für rücksichtslosen KI-Einsatz mit schwerem Schaden; gilt für "high-impact" KI-Systeme
BrasilienPL 2338/2023 (KI-Regulierungsrahmen)In gesetzgeberischer BeratungRechtebasierter Ansatz; beeinflusst sowohl vom EU AI Act als auch von der brasilianischen Datenschutztradition (LGPD)
JapanAI Guidelines for Business (freiwillig)In KraftFreiwillig, von der Industrie getragen; Betonung der "Social Principles of Human-Centric AI"; keine verbindliche Gesetzgebung
SüdkoreaAI Basic Act2025 erlassenRisikobasiertes Framework; KI-Folgenabschätzungen für Hochrisiko-Systeme; verpflichtende Transparenz
SingapurModel AI Governance Framework (2. Ausg.)In Kraft (freiwillig)Praktische, industriefreundliche Anleitung; freiwillige Übernahme; Betonung von Erklärbarkeit und Fairness-Tests
OECDOECD AI Principles (2019, aktualisiert 2024)Von 46+ Ländern übernommenNicht bindende internationale Grundsätze; grundlegender Einfluss auf EU AI Act und NIST AI RMF

Die OECD AI Principles verdienen besondere Erwähnung, da sie dem am nächsten kommen, was einem globalen Konsens zu AI Governance entspricht. Von über 46 Ländern befürwortet, darunter alle G7-Mitglieder, haben die Grundsätze, menschenzentrierte Werte, Transparenz, Robustheit, Verantwortlichkeit und inklusives Wachstum, sowohl den EU AI Act als auch das NIST AI RMF direkt beeinflusst.

Extraterritorialer Geltungsbereich: Wann ausländische Gesetze für Sie gelten

Eine der praktisch wichtigsten Fragen für jedes Unternehmen, das KI über Grenzen hinweg einsetzt, lautet: Welche ausländischen Gesetze gelten für mich? Die Antwort hängt von der konkreten Regelung und der Art Ihrer Tätigkeiten ab.

AuslöserEU AI ActUSA (Bund)USA (Bundesstaat)UKChina
KI-System auf dem lokalen Markt bereitgestelltJa, Artikel 2Nicht zutreffend (kein Bundesgesetz)Variiert je BundesstaatJa (wenn für UK-Nutzer bereitgestellt)Ja
KI-Ergebnis von lokalen Einwohnern genutztJa, auch wenn der Anbieter außerhalb der EU sitztBegrenztVariiertBegrenztJa
Keine lokale Niederlassung erforderlichRichtig, keine EU-Präsenz nötigNicht zutreffendVariiert (NYC LL144 gilt für NYC-Arbeitgeber)Gilt grundsätzlich für in UK ansässige BetreiberRichtig, keine chinesische Präsenz nötig
Bevollmächtigter erforderlichJa, Nicht-EU-Anbieter müssen einen benennenNicht zutreffendNeinDerzeit nichtFormal nicht, aber in der Praxis oft lokaler Partner erforderlich

Kernaussage zur extraterritorialen Reichweite

Der EU AI Act und die chinesischen Regelungen haben die breiteste extraterritoriale Reichweite. Wenn Ihr KI-System von EU-Einwohnern genutzt wird oder für chinesische Nutzer zugänglich ist, unterliegen Sie wahrscheinlich den Regeln dieser Rechtsräume, unabhängig davon, wo Ihr Unternehmen seinen Sitz hat. US-Regelungen sind überwiegend territorial, aber Landesgesetze wie der Colorado AI Act können Unternehmen erfassen, die Einwohner dieser Staaten bedienen. UK-Regelungen sind weitgehend territorial und gelten für Betreiber im UK, doch die Datenschutzdurchsetzung der ICO hat durch die UK-DSGVO extraterritoriale Dimensionen.

Praktische Compliance-Strategie über mehrere Rechtsräume

Getrennte Compliance-Programme für jeden Rechtsraum aufzubauen, ist für die meisten Organisationen nicht tragbar. Der wirksamere Ansatz besteht darin, ein einziges, geschichtetes Compliance-Programm aufzubauen, verankert am höchsten gemeinsamen Nenner, dem EU AI Act, und dann bei Bedarf rechtsraumspezifische Anforderungen zu ergänzen.

Schritt 1: Am EU AI Act verankern

Der EU AI Act stellt die umfassendsten und detailliertesten Anforderungen jeder derzeitigen KI-Regulierung. Eine Organisation, die den AI Act vollständig einhält, hat damit standardmäßig etwa 70-80 % der Anforderungen in anderen Rechtsräumen adressiert, weil der AI Act verlangt:

  • Risikoklassifizierung und -management (Artikel 6, Artikel 9)
  • Technische Dokumentation (Artikel 11)
  • Mechanismen der menschlichen Aufsicht (Artikel 14)
  • Transparenz gegenüber Nutzern (Artikel 50)
  • Genauigkeit, Robustheit und Cybersecurity (Artikel 15)
  • Qualitätsmanagementsysteme (Artikel 17)
  • Marktbeobachtung (Artikel 72)
  • Konformitätsbewertung (Artikel 43)

Schritt 2: NIST AI RMF abbilden, um US-spezifische Lücken zu füllen

Organisationen, die in den Vereinigten Staaten tätig sind, sollten ihre EU-AI-Act-Compliance-Dokumentation auf die Struktur des NIST AI RMF abbilden. Da NIST freiwillig ist, geht es nicht um rechtliche Compliance, sondern darum, Sorgfalt zu belegen gegenüber US-Regulierern im Fall einer Durchsetzungsmaßnahme oder eines Rechtsstreits. Ein starkes AI-Governance-Framework sollte beides abdecken.

Anforderung EU AI ActZuordnung NIST AI RMFZusätzliche US-Maßnahme erforderlich
Risikomanagement-System (Art. 9)Map → Measure-FunktionSektorspezifische Risikobewertungen (FDA, EEOC)
Technische Dokumentation (Art. 11)Map → Govern-FunktionModel Cards pflegen, abgestimmt auf NIST AI 100-1
Menschliche Aufsicht (Art. 14)Map → Manage-FunktionHuman-in-the-Loop für EEOC-Verteidigung dokumentieren
Bias-Tests (Art. 10)Map → Measure-FunktionNYC-LL144-Bias-Audits, Colorado-ADMT-Offenlegungen (ab 1. Jan. 2027)
Transparenz (Art. 50)Map → Govern-FunktionFTC-Belegpflicht für KI-Marketingaussagen

Schritt 3: Rechtsraumspezifische Pflichten aufsetzen

Auf die EU-AI-Act-Grundlinie und die NIST-Zuordnung setzen Sie die rechtsraumspezifischen Anforderungen, die von keinem der beiden Frameworks erfasst werden:

  • China: Algorithmus-Anmeldung, Prüfung der Inhaltskonformität, Sicherheitsbewertung, PIPL-Anforderungen an die Datenlokalisierung.
  • UK: Sektorspezifische Zusammenarbeit mit Regulierern (die FCA benachrichtigen, wenn Sie im Finanzsektor tätig sind, die ICO bei datenintensiven KI-Systemen).
  • US-Bundesstaaten: NYC-Bias-Audit (Local Law 144), Colorado-ADMT-Offenlegung (ab 1. Jan. 2027), California-SB-53-Frontier-Modell-Transparenz, Texas-TRAIGA-Pflichten, Illinois-BIPA-Einwilligung zur Biometrie.

Schritt 4: ISO 42001 als Management-System-Standard übernehmen

ISO/IEC 42001:2023 (KI-Managementsystem) bietet einen international anerkannten Rahmen, um ein KI-Managementsystem aufzubauen, zu pflegen und laufend zu verbessern. Eine Zertifizierung nach ISO 42001 liefert einen Beleg für systematische AI Governance, der über Rechtsräume hinweg anerkannt wird und die Zusammenarbeit mit Regulierern in jedem Markt vereinfachen kann.

Schritt 5: Eine Funktion zur regulatorischen Beobachtung einrichten

Die globale KI-Regulierungslandschaft entwickelt sich rasch. Organisationen brauchen eine eigene Funktion, ob eine Person, ein Team oder ein externer Anbieter, um regulatorische Entwicklungen über ihre Tätigkeitsräume hinweg zu verfolgen und das Compliance-Programm entsprechend zu aktualisieren.

Compliance-Szenarien aus der Praxis

Szenario 1: US-SaaS-Unternehmen verkauft KI-HR-Tools in Europa

Praxisbeispiel: Ein SaaS-Unternehmen mit Sitz in San Francisco entwickelt ein KI-gestütztes Tool zum Screening von Lebensläufen und verkauft es an Enterprise-Kunden in den Vereinigten Staaten und Europa. Das Tool nutzt maschinelles Lernen, um Bewerber anhand der prognostizierten Arbeitsleistung zu ranken.

Regulatorische Analyse:

  • EU AI Act: Das Tool ist ein Hochrisiko-KI-System nach Anhang III, Abschnitt 4(a), KI, die bei der Rekrutierung und Auswahl natürlicher Personen genutzt wird. Das US-Unternehmen ist Anbieter nach dem AI Act und muss den vollen Katalog der Hochrisiko-Pflichten erfüllen, einschließlich Konformitätsbewertung, technischer Dokumentation, Risikomanagement-System, Bias-Tests und Mechanismen der menschlichen Aufsicht. Das Unternehmen muss zudem nach Artikel 2 einen Bevollmächtigten in der EU benennen. Höchststrafe bei Nichteinhaltung: 15 Millionen EUR oder 3 % des weltweiten Umsatzes.
  • US-Bund: Das Tool fällt unter die Zuständigkeit der EEOC. Jeder Disparate Impact auf geschützte Gruppen nach Title VII könnte eine Durchsetzungsmaßnahme auslösen. Das Unternehmen sollte Validierungsstudien und Analysen zum nachteiligen Effekt dokumentieren.
  • NYC Local Law 144: Wenn ein in New York City ansässiger Arbeitgeber das Tool nutzt, muss das Tool ein jährliches unabhängiges Bias-Audit durchlaufen, und die Auditergebnisse müssen öffentlich veröffentlicht werden.
  • Colorado AI Act: Ab dem 1. Januar 2027 muss das Unternehmen, wenn in Colorado ansässige Arbeitgeber das Tool einsetzen, die Betreiber bei den ADMT-Offenlegungspflichten unterstützen, Vorabhinweis und Offenlegung nach nachteiligem Ergebnis nach der verengten Änderung von 2026 (die ursprünglichen Anforderungen zu Sorgfaltspflicht und Folgenabschätzung wurden gestrichen).

Praktischer Ansatz: Bauen Sie das Compliance-Programm um die Hochrisiko-Anforderungen des EU AI Act herum auf, die die meisten US-Anforderungen standardmäßig erfüllen. Ergänzen Sie das NYC-Bias-Audit und die Colorado-ADMT-Offenlegungen (ab 1. Januar 2027) als zusätzliche Pflichten. Nutzen Sie die NIST-AI-RMF-Dokumentation, um US-Regulierern gegenüber Sorgfalt zu belegen.

Szenario 2: Europäisches Unternehmen nutzt ein chinesisches generatives KI-Modell

Praxisbeispiel: Eine in Berlin ansässige Marketingagentur integriert ein generatives KI-Modell eines chinesischen Technologieunternehmens in ihren Content-Workflow. Das Modell wird per API angesprochen und erzeugt Marketingtexte für die europäischen Kunden der Agentur.

Regulatorische Analyse:

  • EU AI Act: Der chinesische Modellanbieter unterliegt den GPAI-Modellpflichten nach Artikel 51, weil das Modell durch die API-Integration auf dem EU-Markt bereitgestellt wird. Die Berliner Agentur hat als Betreiber eigene Pflichten, darunter Transparenz gegenüber Endnutzern und die Einhaltung der Transparenzpflichten nach Artikel 50. Wenn der erzeugte Inhalt mit von Menschen erzeugtem Inhalt verwechselt werden könnte, muss die Agentur seine KI-generierte Natur offenlegen.
  • Chinesische Generative-KI-Regelung: Der chinesische Modellanbieter muss die Algorithmus-Anmeldung und eine Sicherheitsbewertung bei der CAC abgeschlossen haben. Trainingsdaten müssen PIPL entsprechen. Inhaltsausgaben müssen im Einklang mit den chinesischen Inhaltsvorschriften stehen, was Spannungen erzeugen kann, wenn das Modell zur Erzeugung von Inhalten für europäisches Publikum genutzt wird, besonders bei Themen, die die chinesische Regierung als sensibel betrachtet.
  • DSGVO: Wenn personenbezogene Daten von EU-Personen durch das chinesische Modell verarbeitet werden (einschließlich per Prompt übermittelter Daten), gelten die DSGVO-Beschränkungen für grenzüberschreitende Datentransfers. Ein angemessener Übermittlungsmechanismus (wie Standardvertragsklauseln) ist erforderlich.

Praktischer Ansatz: Die Berliner Agentur sollte gründliche Sorgfaltsprüfungen zum Compliance-Status des chinesischen Modellanbieters sowohl nach dem EU AI Act als auch nach chinesischen Regelungen durchführen. Schließen Sie Auftragsverarbeitungsvereinbarungen ab, die die Übermittlung personenbezogener Daten an das Modell untersagen. Setzen Sie Prozesse zur Ausgabekontrolle um, damit KI-generierte Inhalte die EU-Transparenzanforderungen erfüllen.

Szenario 3: Globales Unternehmen setzt KI über alle vier Rechtsräume ein

Praxisbeispiel: Ein Fortune-500-Finanzdienstleister mit Hauptsitz in London setzt KI-Systeme in seinem Betrieb im UK, in der EU, in den USA und in China ein. Zu den KI-Anwendungen gehören Kreditrisiko-Scoring (EU und UK), Betrugserkennung (USA), algorithmischer Handel (UK und USA), Kundenservice-Chatbots (alle Rechtsräume) und Geldwäsche-Screening (alle Rechtsräume).

Regulatorische Analyse:

  • EU AI Act: Kreditrisiko-Scoring ist Hochrisiko nach Anhang III. Das Unternehmen ist sowohl Anbieter (für eigene KI-Systeme) als auch Betreiber (für zugekaufte Systeme). Die volle Einhaltung des Hochrisiko-Rahmens ist erforderlich, einschließlich Konformitätsbewertung und Grundrechte-Folgenabschätzungen.
  • UK: Die FCA beaufsichtigt KI in Finanzdienstleistungen. Das Unternehmen muss die Einhaltung der fünf KI-Grundsätze innerhalb des bestehenden Regulierungsrahmens der FCA belegen, einschließlich der Consumer Duty und der Verantwortlichkeitsanforderungen des Senior Managers and Certification Regime (SM&CR).
  • USA: Die SEC beaufsichtigt algorithmischen Handel und hat Regeln zu prädiktiver Datenanalyse vorgeschlagen. Das CFPB verlangt Adverse-Action-Mitteilungen bei KI-gestützten Kreditentscheidungen. Für verbrauchernahe Tätigkeiten gelten Anforderungen der Bundesstaaten.
  • China: In China zugängliche Kundenservice-Chatbots fallen unter die Generative-KI-Regelung, wenn sie generative KI nutzen. Geldwäsche-KI muss Chinas Data Security Law hinsichtlich grenzüberschreitender Transfers von Finanzdaten einhalten.

Praktischer Ansatz: Richten Sie eine zentrale AI-Governance-Funktion ein, die an den Chief Risk Officer berichtet. Bauen Sie den Compliance-Rahmen um den EU AI Act als höchsten gemeinsamen Nenner. Nutzen Sie die ISO-42001-Zertifizierung, um allen Regulierern systematische Governance zu belegen. Pflegen Sie eine Regulierungsmatrix, die jedes KI-System auf seine geltenden Rechtsräume und konkreten Anforderungen abbildet. Arbeiten Sie proaktiv mit Sektorregulierern zusammen, besonders mit FCA und SEC, statt auf Durchsetzung zu warten.

Häufig gestellte Fragen

Welche KI-Regulierung ist die strengste?

Der EU AI Act stellt die umfassendsten und detailliertesten Pflichten, besonders für Hochrisiko-KI-Systeme. Seine Kombination aus verpflichtenden Konformitätsbewertungen, umfangreichen Dokumentationsanforderungen und Bußgeldern bis zu 35 Millionen EUR oder 7 % des weltweiten Umsatzes macht ihn zum anspruchsvollsten Rahmen für regulierte KI-Systeme. Chinas Regelungen sind allerdings wohl restriktiver bei Inhaltskontrolle und staatlicher Aufsicht über algorithmische Systeme, mit verpflichtender staatlicher Anmeldung und Inhaltsabgleich, die in westlichen Regulierungsrahmen keine Entsprechung haben.

Gilt der EU AI Act für US-Unternehmen?

Ja. Der EU AI Act gilt für jedes Unternehmen, unabhängig davon, wo es seinen Sitz hat, das ein KI-System auf dem EU-Markt bereitstellt oder dessen KI-Systemergebnis in der EU genutzt wird. Ein US-Unternehmen, dessen KI-Produkt von Kunden in einem EU-Mitgliedstaat genutzt wird, muss die geltenden Vorschriften einhalten. Der Geltungsbereich ist in Artikel 2 definiert. Diese extraterritoriale Reichweite entspricht dem Ansatz der DSGVO beim Datenschutz.

Kann ich alle vier Rechtsräume mit einem Compliance-Programm einhalten?

In der Praxis ja, aber mit Einschränkungen. Ein Compliance-Programm, das auf dem EU AI Act als Grundlinie aufbaut, deckt die meisten Anforderungen in anderen Rechtsräumen ab. Bestimmte Pflichten sind jedoch rechtsraumspezifisch und lassen sich nicht allein durch EU-Compliance erfüllen: US-Bias-Audits auf Ebene der Bundesstaaten, chinesische Algorithmus-Anmeldung und sektorspezifische Zusammenarbeit mit UK-Regulierern erfordern alle gezielte Maßnahmen. Der empfohlene Ansatz ist ein geschichtetes Compliance-Programm mit ISO 42001 als Managementsystem und dem EU AI Act als inhaltlicher Grundlinie, ergänzt um rechtsraumspezifische Module.

Wie unterscheidet sich Chinas Ansatz von dem der EU?

Der grundlegendste Unterschied ist das regulatorische Ziel. Der EU AI Act ist darauf ausgelegt, Grundrechte zu schützen, Rechtssicherheit zu schaffen und vertrauenswürdige Innovation zu fördern. Chinas KI-Regelungen sind in erster Linie darauf ausgelegt, Inhaltskontrolle, soziale Stabilität und staatliche Aufsicht über algorithmische Entscheidungen zu wahren. Praktisch bedeutet das: Chinesische Regelungen konzentrieren sich stark darauf, was KI-Systeme sagen dürfen (Inhaltskontrolle), während die EU sich darauf konzentriert, wie KI-Systeme arbeiten (Prozess und Risikomanagement). Beide haben extraterritoriale Reichweite, aber die Compliance-Anforderungen lassen sich oft schwer vereinbaren, besonders bei der Inhaltskontrolle, wo chinesische Anforderungen mit EU-Grundsätzen zur Meinungsfreiheit kollidieren können.

Was sollte ich priorisieren, wenn ich gerade erst mit Compliance über mehrere Rechtsräume beginne?

Beginnen Sie mit drei Maßnahmen: (1) Klassifizieren Sie Ihre KI-Systeme unter dem Risiko-Framework des EU AI Act mit einem Tool wie unserer AI-Act-Bewertung. (2) Bilden Sie Ihre regulatorische Exposition ab, indem Sie ermitteln, welche Rechtsräume Ihre KI-Systeme berühren, nicht nur, wo Sie eingetragen sind, sondern wo sich Ihre Nutzer, betroffenen Personen und KI-Ergebnisse befinden. (3) Bauen Sie Ihr Governance-Framework mit unserem Leitfaden zum AI-Governance-Framework auf und richten Sie es von Anfang an sowohl am EU AI Act als auch am NIST AI RMF aus. Das gibt Ihnen ein solides Fundament, das sich bei Bedarf auf weitere Rechtsräume erweitern lässt.

Wird es je eine einheitliche globale KI-Regulierung geben?

Auf absehbare Zeit ist das unwahrscheinlich. Die OECD AI Principles stellen den engsten internationalen Konsens dar, aber sie sind nicht bindend und übergeordnet. Die EU, die USA, das UK und China haben grundlegend verschiedene Governance-Philosophien, vorsorgende Regulierung, innovationsorientiert, anpassungsfähige Governance und staatliche Kontrolle, die tief sitzende Unterschiede in politischen Systemen und Prioritäten widerspiegeln. Der realistischere Verlauf ist eine regulatorische Annäherung bei den Grundsätzen (Transparenz, Fairness, Verantwortlichkeit), verbunden mit fortdauernder Divergenz bei den Details (Durchsetzungsmechanismen, Inhaltsanforderungen, Sanktionsregime). Organisationen sollten sich auf eine dauerhaft mehrere Rechtsräume umfassende Landschaft einstellen und ihre Compliance-Programme entsprechend aufbauen.

Fazit

Die globale KI-Regulierung im Jahr 2026 ist geprägt von Annäherung bei den Grundsätzen und Divergenz bei der Umsetzung. Der EU AI Act, der sektorspezifische Ansatz der USA, die regulierergetragene Governance des UK und Chinas inhaltszentrierte Regelungen erkennen alle an, dass KI-Systeme Aufsicht brauchen, doch sie sind sich tief uneins darüber, wie diese Aufsicht aussehen soll, wer sie leisten soll und welche Werte sie schützen soll.

Für Organisationen, die über Grenzen hinweg tätig sind, sind die praktischen Folgen klar:

  1. Bauen Sie gegen den EU AI Act als globale Grundlinie. Er ist der umfassendste Rahmen, und seine Anforderungen zu erfüllen adressiert den Großteil der Pflichten anderswo.
  2. Bilden Sie NIST AI RMF und ISO 42001 ab, um eine strukturierte Governance-Schicht zu schaffen, die Sorgfalt über Rechtsräume hinweg belegt.
  3. Pflegen Sie rechtsraumspezifische Compliance-Module für Pflichten, die sich nicht allein durch EU-Compliance erfüllen lassen, besonders chinesische Inhaltsanforderungen und US-Vorgaben auf Ebene der Bundesstaaten.
  4. Investieren Sie in regulatorische Beobachtung. Die Landschaft entwickelt sich rasch; Brasilien, Südkorea, Kanada und andere treiben eigene Frameworks voran, die neue Pflichten für Ihre KI-Systeme mit sich bringen können.
  5. Nutzen Sie die Risikoklassifizierung des EU AI Act als Ausgangspunkt. Unser kostenloses Tool zur Risikoklassifizierung des AI Act und die Compliance-Checkliste für 2026 helfen Ihnen, in Minuten eine Grundlinie zu schaffen.

Die Organisationen, die sich in dieser Landschaft am erfolgreichsten bewegen, sind jene, die Compliance über mehrere Rechtsräume nicht als Last, sondern als Wettbewerbsvorteil behandeln, indem sie Vertrauen schaffen, regulatorisches Risiko senken und Kunden, Investoren und Regulierern weltweit belegen, dass ihre KI-Systeme verantwortungsvoll entwickelt und eingesetzt werden.

KI-Regulierung
Global
EU AI Act
USA
UK
China
Vergleich
International