Hauptanalyse
Regulierung7 Min.

Frist des EU AI Acts im August und US-Bundesstaatliche Gesetze schaffen ein beispielloses regulatorisches Mosaik

Im August 2026 tritt der EU AI Act mit seinen ersten verbindlichen Verpflichtungen für Hochrisikosysteme in Kraft. Parallel dazu haben vier US-Bundesstaaten KI-Gesetze, die mit der Bundesstrategie der Trump-Administration in Konflikt stehen. Für Unternehmen bedeutet Compliance jetzt, mit widerstreitenden Jurisdiktionen umzugehen.

August 2026 markiert einen beispiellosen regulatorischen Wendepunkt für Unternehmen, die künstliche Intelligenz entwickeln oder implementieren. An diesem Datum treten spezifische Transparenzanforderungen und Regeln für Hochrisikosysteme unter dem EU AI Act in Kraft, der ersten umfassenden Gesetzgebung zur KI, die weltweit verbindlich ist. Parallel dazu haben vier US-Bundesstaaten bereits KI-Gesetze in Kraft, wobei Colorado, Kalifornien und New York Verpflichtungen auferlegen, die direkt mit der Bundesstrategie der Trump-Administration kollidieren.


Das Ergebnis ist ein regulatorisches Mosaik, das kein multinationales Unternehmen ignorieren kann, und das juristische und compliance Teams dringend kartografieren müssen.


EU AI Act: Was sich im August ändert


Die europäische Verordnung folgt einem schrittweisen Implementierungsplan. Im August 2026 müssen Unternehmen:


  • Transparenzanforderungen für KI-Systeme einhalten, die mit Nutzern interagieren (Chatbots, Content-Synthesesysteme)
  • Kontrollen für Hochrisikosysteme in Kategorien wie Kreditvergabe, Rekrutierung, Bildung und kritische Infrastruktur implementieren
  • Den Kodex für die Kennzeichnung von KI-generierten Inhalten einhalten, dessen endgültiger Text im Juni 2026 veröffentlicht werden soll.

    • Die Europäische Kommission wird im Laufe des Jahres zusätzliche Leitlinien veröffentlichen, einschließlich der Schnittstelle zwischen dem AI Act und der DSGVO, eine nach wie vor offene Frage, die den Umgang mit personenbezogenen Daten zum Training von Modellen direkt beeinflusst. Mitgliedsstaaten benennen Aufsichtsbehörden mit unterschiedlichen Aggressivitätsgraden: Italien hat beispielsweise spezifische Schutzmaßnahmen für unter 14-Jährige zusätzlich zum Grundtext der Verordnung eingeführt.


    Ein relevantes Unsicherheitsmoment: Vorschläge der Kommission vom November 2025 könnten die Frist für Hochrisikosysteme von August 2026 auf Dezember 2027 verlängern, wobei die Verhandlungen noch im Gange sind.


    USA: Vier Gesetze in Kraft, wachsende bundesstaatliche Spannungen


    Das amerikanische Umfeld ist volatiler. Vier Bundesstaaten haben wirksame KI-Gesetzgebung oder stehen kurz davor, in Kraft zu treten:


  • Kalifornien, SB 53 (Sicherheitsrahmen für Entwickler von Grenz-KI, in Kraft seit Januar 2026) und AB 2013 (Transparenz über Trainingsdaten)
  • Colorado, Colorado AI Act (Schutzmaßnahmen gegen algorithmische Diskriminierung, in Kraft ab dem 30. Juni 2026)
  • New York, RAISE Act (Sicherheitsrahmen und Berichterstattung bei Vorfällen)
  • Texas, Texas RAIGA (Gesetz über verantwortungsvolle KI-Governance)

    • Im März 2026 veröffentlicht die Trump-Administration den National Policy Framework for Artificial Intelligence, der einen einheitlichen bundesstaatlichen Rahmen vorschlägt, der staatliche Gesetzgebung überlagern würde. Das Justizministerium erhielt die Anweisung, als "belastend" identifizierte Staatsgesetze anzufechten, mit Fokus auf Kalifornien, New York, Colorado und Illinois.


    Der kritische Punkt: Eine Executive Order hat keine Macht, staatliche Gesetze aufzuheben. Nur der Kongress oder die Gerichte können dies tun. Solange Gerichtsverfahren und bundesstaatliche Gesetzgebung nicht konsolidiert sind, bleiben die staatlichen Gesetze anwendbar und durchsetzbar.


    Durchsetzung: Generalstaatsanwälte gehen in die Offensive


    Das Durchsetzungsumfeld hat sich erheblich verstärkt. Im Jahr 2025 intensivierten Bundesstaatsanwälte ihre Maßnahmen gegen KI-Systeme in den Bereichen Wohnen, Kredit und Beschäftigung. Im Jahr 2026 bleibt der Trend, mit parteiübergreifenden Arbeitsgruppen, die speziell zum Schutz von Minderjährigen auf KI-Plattformen gegründet wurden.


    Die SEC hat KI-basierte Bedrohungen und operationale Resilienz als Prüfprioritäten für 2026 identifiziert. Der Markt für Cyber-Versicherungen verlangt spezifische Sicherheitskontrollen für KI als Voraussetzung für die Deckung, einschließlich adversarialer red-teaming und Risikobewertungen auf Modellebene.


    Was die Aufsichtsräte jetzt tun müssen


    Das Fehlen einheitlicher bundesstaatlicher Regeln in den USA bedeutet, dass Compliance heute separate Infrastrukturen je nach Jurisdiktion erfordert, ein relevanter Betriebskostenfaktor, der berücksichtigt werden muss. Organisationen mit Operationen in mehreren Märkten stehen vor der Notwendigkeit:


    1. Alle KI-Systeme nach Risikokategorie (gemäß der Taxonomie des EU AI Act) zu kartografieren

    2. Interne Verantwortliche für die KI-Governance mit formellem Mandat zu benennen

    3. Protokolle zur Risikoabschätzung vor der Bereitstellung eines als hochriskant eingestuften Systems zu etablieren

    4. Den legislativen Fortschritt auf Bundesebene in den USA zu überwachen, um den Zeitpunkt zu identifizieren, an dem die bundesstaatliche Vorherrschaft Realität wird, oder nicht.


    Das derzeit am meisten unterschätzte Risiko ist die Komplexität, mit der gleichzeitigen Einhaltung von Regimes, die an einigen Stellen widersprüchlich sind. Unternehmen, die die Regulierung von KI als einmaliges Compliance-Projekt und nicht als permanente organisatorische Fähigkeit behandeln, wiederholen den Fehler des GDPR, jedoch mit viel kürzeren Anpassungsfenstern.

    Hauptanalyse