Stand: Juni 2026 · Wird beobachtet · Nächste Aktualisierung: September 2026
KI-Regulierung navigierbar gemacht
Der EU AI Act ist nicht das einzige Gesetz, das KI betrifft. DSGVO, Data Act, NIS2, Digitaler Omnibus, Betriebsverfassungsgesetz — die Landschaft wird dichter. Gleichzeitig ändern sich Fristen, Klassifikationen und Zuständigkeiten. Ich versuche zu verstehen, was wirklich relevant ist.
Diese Seite ist eine Navigationshilfe, keine Rechtsauskunft. Sie kartiert die Regulierungslandschaft, zeigt Fristen und Verbindungen — und verlinkt auf bestehende Deep Dives wo es detaillierter wird. Alle Quellen sind verlinkt.
Wann gilt was?
Die Fristen verschieben sich (Digitaler Omnibus), aber die Richtung ist klar. Wer nicht weiß ob sein KI-System Hochrisiko ist, kann auch nicht planen.
AI Act in Kraft
KI-Verordnung tritt in Kraft. Countdown für alle weiteren Fristen beginnt.
Verbotene Praktiken
Art. 5: Social Scoring, Verhaltensmanipulation, Emotionserkennung am Arbeitsplatz — sofort verboten.
Hochrisiko-Pflichten
Eigenständige Hochrisiko-KI-Systeme (z. B. HR-Tools, Kreditwürdigkeit) müssen alle Pflichten erfüllen: Konformitätsbewertung, Logging, Human Oversight.
Eingebettete Hochrisiko-Systeme
Hochrisiko-KI die Teil eines regulierten Produkts ist (Medizinprodukte, Maschinen) — Pflichten ab hier.
DSGVO, Data Act, NIS2
Überlappende Pflichten: DSGVO (Datenschutz), Datenzugang (Data Act), Cybersicherheit (NIS2) — alle bereits in Kraft.
Die Landkarte
Sechs relevante Regulierungen betreffen KI direkt. Sie überlappen sich, haben unterschiedliche Fristen und Bußgelder — und werden meist getrennt diskutiert, obwohl sie in der Praxis zusammenspielen.
In Kraft seit Feb 2025, Phasing bis 2028
Geltungsbereich: Alle KI-Systeme in der EU — risikobasiert (verboten, hochrisiko, allgemein)
Pflichten: Konformitätsbewertung, Transparenz, Logging, Human Oversight, Dokumentation, Risikomanagement
Bis zu 35 Mio € oder 7% des weltweiten Jahresumsatzes
Zum Deep Dive →DSGVO (GDPR)
In Kraft seit Mai 2018
Geltungsbereich: Alle Verarbeitungen personenbezogener Daten in der EU — auch wenn KI beteiligt ist
Pflichten: Löschrecht (Art. 17), Auskunftsrecht (Art. 15), Datenminimierung, Privacy by Design
Bis zu 20 Mio € oder 4% des weltweiten Jahresumsatzes
Data Act
In Kraft seit Jan 2024, anwendbar ab Sep 2025
Geltungsbereich: Datenzugang und -weitergabe — betrifft IoT-Daten, Produktdaten, Cloud-Anbieter
Pflichten: Datenweitergabepflichten, faire Vertragsbedingungen für Cloud, Portabilität
Bis zu 20 Mio € oder 4% des weltweiten Jahresumsatzes
NIS-2
In Kraft seit Jan 2023, national umgesetzt bis Okt 2024
Geltungsbereich: Cybersicherheit für kritische Infrastrukturen — inkl. Cloud-Dienste, KI-Plattformen
Pflichten: Risikomanagement, Meldepflichten, Supply-Chain-Sicherheit, Incident Response
Bis zu 10 Mio € oder 2% des weltweiten Jahresumsatzes
Digitaler Omnibus
Verabschiedet Juni 2025
Geltungsbereich: Änderungen an AI Act + BetrVG: Fristen-Verschiebung der Hochrisiko-Pflichten, KI-Kompetenz von Pflicht zu Empfehlung
Pflichten: Fristen-Novelle: Eigenständige Hochrisiko-KI ab 12/2027, eingebettete ab 8/2028
Über den AI Act. Keine eigenen Bußgelder.
BetrVG + Mitbestimmung
Laufend novelliert (Digitaler Omnibus)
Geltungsbereich: Alle KI-Systeme die Leistung/Verhalten messen können — Mitbestimmungspflichtig nach §87, §90, §95
Pflichten: Informationsrecht im Planungsstadium, Mitbestimmung bei Leistungs-/Verhaltenskontrolle, Auswahlkriterien bei KI-Personalentscheidungen
Keine gesetzlichen Bußgelder — aber Beschlussverfahren, Einstweilige Verfügung, Unterlassungsanspruch
Überlappungen: Der Compliance-Knoten
DSGVO und AI Act teilen viele Anforderungslogiken — aber kaum jemand betreibt ein integriertes System. Die Folge: Fachbereiche werden mit fünf verschiedenen Compliance-Prozessen überladen. Ein integriertes Datenschutz- und KI-Compliance-Managementsystem ist effizienter, aber braucht jemanden der beide Welten versteht.
Quelle: Integriertes Datenschutz- und KI-Compliance-Managementsystem (KB, 471 conn), Digitaler Omnibus (KB, 463 conn)
Klassifikation: Wo steht mein System?
Die zentrale Frage für jedes Unternehmen: Ist mein KI-System verboten, hochrisiko oder allgemein? Die Antwort entscheidet über Umfang der Pflichten, Fristen und Bußgelder.
Verboten (Art. 5)
Diese KI-Praktiken sind ab Aug 2026 ohne Ausnahme verboten:
- Social Scoring durch Behörden
- Verhaltensmanipulation (unterschwellige Beeinflussung)
- Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen
- Biometrische Echtzeit-Fernidentifizierung im öffentlichen Raum (Ausnahmen: Strafverfolgung mit Richtervorbehalt)
Hochrisiko (Art. 6 + Anhang III)
Diese KI-Systeme unterliegen den strengsten Pflichten:
- HR-Tools: Einstellung, Beförderung, Kündigung
- Kreditwürdigkeit, Bonität, Versicherungsprämien
- Zugang zu Bildung, Berufsausbildung
- Kritische Infrastruktur (Verkehr, Energie, Wasser)
- Strafverfolgung, Migration, Asyl
- KI in Medizinprodukten (eingebettet) — ab 2028
- Biometrische Kategorisierung (ableitung von Rasse, Religion, sexueller Orientierung) — verboten
Allgemeine KI-Systeme
Alle anderen KI-Systeme mit geringen Pflichten:
- Transparenz: Kennzeichnung als KI (Chatbots, KI-generierte Inhalte)
- Dokumentation: Technische Dokumentation für Behörden auf Anfrage
- KI-Kompetenz: Mitarbeiter müssen KI verstehen können (vom Omnibus abgeschwächt zu Empfehlung)
- Bewertung: Keine Konformitätsbewertung nötig
Unsicher, ob Hochrisiko?
Die Hochrisiko-Klassifikation nach Art. 6 + Anhang III erfordert eine eigenständige Prüfung pro System. Ein System fällt nur dann nicht unter Hochrisiko, wenn es einem der folgenden Ausschlusskriterien genügt:
- Das System führt keine Profilerstellung von natürlichen Personen durch
- Das System ist ein reiner Vorverarbeitungsschritt (keine Entscheidungsunterstützung)
- Das System wurde nicht speziell für einen Hochrisiko-Anwendungsfall trainiert
- Der Output wird ausschließlich von Menschen überprüft und entschieden
Quelle: KI-Verordnung Klassifizierung: Verboten, Hochrisiko, Allgemein (KB), Hochrisiko-Klassifizierung nach Art. 6 + Anhang III
„Die Regulierungsdichte steigt exponentiell — aber die wenigsten Unternehmen haben einen Überblick, was für sie gerade relevant ist. Der EU AI Act ist nicht das einzige Thema, aber er ist das sichtbarste. Die eigentliche Herausforderung ist das Zusammenspiel: DSGVO + AI Act + Data Act + NIS2 ergeben eine fragmentierte Compliance-Landschaft, die keiner mehr allein überblickt — geschweige denn betreibt."
Ralf Kruse, EnableChange — Analyse der AI-Org Knowledge Base (Juni 2026)
Neue Rollen, neue Verantwortung
Die Regulierungslandschaft erzeugt nicht nur Pflichten — sie schafft auch neue Funktionen in Organisationen. Wer diese Rollen früh besetzt, hat einen Compliance-Vorteil.
Data & AI Legal Officer
Neue Rolle an der Schnittstelle von Recht und KI. Datenschutzbeauftragter allein reicht nicht mehr — AI Act + DSGVO + Data Act + NIS2 + BetrVG erfordern Koordination.
Quelle: Data und AI Legal Officer (KB, 419 conn)
Compliance-Managementsystem
Statt fünf getrennter Systeme für jedes Gesetz: integrierte Compliance-Struktur. DSGVO und AI Act teilen viele Anforderungslogiken — gemeinsames System ist effizienter und praxistauglicher.
Quelle: Integriertes Datenschutz- und KI-Compliance-Managementsystem (KB, 471 conn)
Betriebsrat als Mitgestalter
Keine reine Zustimmungsrolle. Der Betriebsrat hat Informations-, Beratungs- und Mitbestimmungsrechte bei KI — wenn diese Rechte aktiv genutzt werden. KI-Register als Transparenz-Instrument.
Quelle: KI-Register als Betriebsrats-Informationsinstrument (KB, 420 conn)
Führungskraft als Haftungssubjekt
D&O-Versicherung und KI: Wer gibt KI-gestützte Entscheidungen frei? Wer trägt die Verantwortung wenn Datenqualität zu Fehlentscheidungen führt? Die Organhaftung ist das letzte große Tabuthema — und wird 2026/27 relevant.
Quelle: The AI Hiring Reckoning (KB, 348 conn)
Internationale Fragmentierung
Die Regulierungsansätze unterscheiden sich fundamental. Für Unternehmen die in mehreren Märkten aktiv sind, entsteht ein Compliance-Dilemma: Jede Region verlangt etwas anderes.
🇪🇺EU— Risikobasiert, sektorenübergreifend▾
Klare Kategorien + Bußgelder. Tendenz zur Überregulierung aus US-Sicht, aber klarer als jeder andere Ansatz.
Risiken: Höhere Compliance-Kosten, Fragmentierung durch nationale Umsetzung, Bürokratie-Risiko für Innovation
🇺🇸USA— Sektoral, prinzipienbasiert▾
Kein umfassendes KI-Gesetz. Einzelne Sektoren regulieren: FTC (Verbraucherschutz), DOE (Energie), FDA (Gesundheit). Executive Orders (wechselhaft).
Risiken: Rechtsunsicherheit, Bundesstaat-Fragmentierung (CA, CO, NY), politische Kehrtwenden nach Wahlen
🇨🇳China— Spezifisch, zentralisiert▾
Getrennte Regulierungen für Algorithmen, synthetische Inhalte, Empfehlungssysteme. Zentrale Überwachung und Zensur.
Risiken: Staatliche Kontrolle, eingeschränkter Zugang für ausländische Anbieter, plötzliche Regeländerungen
🇬🇧UK— Innovationsfreundlich, prinzipienbasiert▾
Bewusster Gegenentwurf zur EU: sechs Prinzipien statt detaillierter Regeln. Schwerpunkt auf Aufsicht (CMA, Ofcom, ICO).
Risiken: Abweichung von EU-Standard erschwert Marktzugang, weniger Schutz bei Hochrisiko-Systemen
EU als regulatorischer Exportschlager
Der EU AI Act setzt den globalen Standard — andere Regionen orientieren sich daran (Brussels Effect). Gleichzeitig treiben Fragmentierung und geopolitische Spannungen die Kosten für multinationale Unternehmen in die Höhe.
Quelle: Fragmentierung der globalen AI-Regulierung (KB), Internationale Regulierungszusammenarbeit (KB)
Tiefer eintauchen
Diese Seite ist der Überblick. Für die Details gibt es eigene Deep Dives — und einige Themen sind noch in Planung.
EU AI Act — Deployer Guide
Was der AI Act von Unternehmen als Einsatzenden verlangt: Pflichten, Fristen, Strafen.
Zum Deep Dive →Hochrisiko-Systeme
Welche Systeme als Hochrisiko gelten, was Deployer konkret tun müssen.
Zum Deep Dive →KI-Richtlinie
Wie eine gute KI-Richtlinie aussieht — und warum Verbote Shadow AI erzeugen.
Zum Deep Dive →AI Governance — Überblick
Der übergreifende Governance-Rahmen mit EU AI Act, vier Einstiegsschritten.
Zum Deep Dive →KI-Haftung
Organhaftung, D&O-Versicherung, Produkthaftung — wer trägt die Verantwortung bei KI-Entscheidungen?
Nächster SchrittKI in der Organisation
AI Operating Models: zentral, dezentral, hybrid — wer hat das Mandat für Data & AI Governance?
In Planung
Diese Seite lebt — und ich bin nicht fertig
Die regulatorische Landschaft entwickelt sich schneller, als ich sie kartieren kann. Der Digitale Omnibus hat Fristen verschoben, die BaFin präzisiert ihre Erwartungen (Orientierungshilfe Dez 2025), und die CEN/CENELEC-harmonisierten Normen sind immer noch nicht fertig. Diese Seite wird sich mit der Landschaft verändern.
Datenbasis: AI-Org Knowledge Base mit 3.257 Nodes, Stand Juni 2026. Schwerpunkt-Regulatorik-Konzepte: 97 identifiziert, Top-Konzepte (Regulierungsflut, Digitaler Omnibus, Compliance-Stack, AI Governance Cycle) mit bis zu 808 Verbindungen.
Update-Rhythmus: Quartalsweise. Nächste Aktualisierung: September 2026.
Fehlt eine Regulierung? Eine Perspektive aus einer Branche? Schreib mir.
Haftungsausschluss: Alle Angaben ohne Gewähr. Rechtliche Einschätzungen ersetzen keine anwaltliche Beratung. Diese Seite ist eine Navigationshilfe, keine Rechtsauskunft.