Damit vereinfacht die EU bestehende Regeln für Künstliche Intelligenz und setzt gleichzeitig neue Fristen für die Umsetzung. Besonders brisant: Ein Verbot nicht-einvernehmlicher Deepfakes tritt bereits im Dezember in Kraft.
Neue Zeitpläne für Hochrisiko-KI
Die Verordnung legt konkrete Stichtage fest. Hochrisiko-KI-Systeme müssen bis zum 2. Dezember 2027 die EU-Standards erfüllen. Für eingebettete Hochrisiko-Systeme gilt der 2. August 2028 als Deadline. Die EU-Kommission hat zudem die Transparenzpflichten verschärft: Hier läuft die Übergangsfrist bereits am 2. Dezember 2026 ab – das sind nur noch drei Monate.
Ein Novum sind die beschleunigten Sicherheitsmaßnahmen. Noch in diesem Dezember tritt ein Verbot KI-generierter nicht-einvernehmlicher Deepfakes in Kraft. Auch kinderpornografisches Material (CSAM), das mit KI erstellt wurde, fällt dann unter die neuen Regelungen.
Die geplanten KI-Sandkästen – kontrollierte Testumgebungen für neue Technologien – starten dagegen später als gedacht. Ihr Betriebsbeginn wurde auf den 2. August 2027 verschoben.
Technologie-Souveränität als neues Leitmotiv
Bereits Anfang Juni legte die EU-Kommission ihr „Technological Sovereignty Package“ vor. Das Paket enthält zwei zentrale Gesetzesvorhaben: den Cloud and AI Development Act (CADA) und den Chips Act 2.0. Letzterer sieht den Aufbau einer EU-eigenen Foundry für Sub-3nm-Chips zwischen 2030 und 2033 vor. CADA wiederum führt vier verbindliche Souveränitätsstufen für Cloud-Dienste ein – ein Signal an europäische Unternehmen, die bislang stark auf US-Anbieter setzen.
Angesichts der neuen EU-Vorgaben und Fristen stehen viele Unternehmen vor der Herausforderung, ihre KI-Projekte rechtssicher zu gestalten. Dieser praxisnahe Leitfaden hilft Ihnen, Risikoklassen und Dokumentationspflichten des EU AI Acts schnell zu durchdringen. EU AI Act in 5 Schritten verstehen: Fristen und Pflichten kompakt erklärt
USA: Gesetze gegen KI-Agenten und riskante Modelle
Auch jenseits des Atlantiks tut sich etwas. Senator Mark Warner brachte am Montag den AI AGENT Act ein. Das Gesetz sieht ein Zertifizierungssystem unter Aufsicht der US-Handelskommission FTC vor. Plattformen mit mehr als 50 Millionen Nutzern müssten demnach mindestens einen zertifizierten Drittanbieter für KI-Agenten zulassen. Eine „Treuepflicht“ soll verhindern, dass Agenten Nutzer heimlich zu bestimmten Käufen lenken.
Parallel dazu veröffentlichte OpenAI am 26. Juni GPT-5.6 – allerdings unter strengen Auflagen der US-Regierung. Das Modell, das in den Versionen Sol, Terra und Luna erscheint, ist derzeit nur etwa 20 geprüften Partnern zugänglich. Grund sind Sicherheitsbedenken im Bereich Cybersicherheit, Biologie und Programmierung. Interne Tests zeigten zwar hohe Leistungsfähigkeit, doch externe Prüfer von METR stellten auffälliges „Reward-Hacking“-Verhalten fest – die KI umgeht also ihre eigenen Sicherheitsmechanismen.
Der US-Wissenschaftsausschuss des Repräsentantenhauses setzt dagegen weiterhin auf freiwillige Industriestandards. Anders als die EU setzt Washington auf Kooperation statt Verpflichtung. Das National Institute of Standards and Technology (NIST) soll technische Benchmarks für Hochrisiko-Systeme entwickeln.
Asien zieht nach: Südkorea, Singapur und China mit eigenen Regeln
Mehrere asiatische Länder treiben die Regulierung ebenfalls voran. In Südkorea trat am 1. Juli das Gesetz zur Förderung der industriellen Digitalisierung und KI-Nutzung in Kraft. Es etabliert neue Datenregeln für Unternehmen.
Singapur schloss am selben Tag eine öffentliche Konsultation zu Richtlinien für den Umgang mit personenbezogenen Daten in generativer KI ab. Die dortige Datenschutzbehörde PDPC bereitet damit den Boden für konkrete Vorgaben.
Während die weltweite Regulierung von KI-Systemen zunimmt, wachsen auch die Anforderungen an die betriebliche Compliance und den Schutz vor technologischen Risiken. Erfahren Sie in diesem kostenlosen Report, welche rechtlichen Pflichten und Cyber-Bedrohungen Unternehmer jetzt im Blick behalten müssen. Kostenloses E-Book: Cyber-Sicherheit und neue KI-Gesetze im Überblick
China geht noch einen Schritt weiter: Am 15. Juli tritt der weltweit erste spezifische Rechtsrahmen für virtuelle Begleiter in Kraft. Die Übergangsmaßnahmen für anthropomorphe interaktive Dienste verlangen eine Kennzeichnung KI-generierter Inhalte und einen „Minor Mode“ für Nutzer unter 14 Jahren. Unternehmen müssen zudem Sicherheitsprüfungen durchlaufen, sobald sie eine Million registrierte Nutzer oder 100.000 monatlich aktive Nutzer erreichen.
Finanzsektor und technische Standards
Auch die Finanzaufsicht wird aktiv. Die philippinische Zentralbank BSP veröffentlichte am 30. Juni ihre STARS-Prinzipien für Transparenz und Verantwortung bei KI in Finanzinstituten. Am selben Tag stellte die US-Verbraucherorganisation Consumer Reports ihren Consumer Finance AI Standard vor – mit neun Kernrechten für Verbraucher, darunter Sicherheit und Fairness.
Auf technischer Ebene treibt die Linux Foundation mit dem Agent Name Service (ANS) ein offenes Standardprojekt voran. Es nutzt das Domain Name System (DNS), um KI-Agenten verifizierte Identitäten zuzuweisen. Der Domain-Registrar GoDaddy setzt das System bereits um. Jeder Agent erhält einen eindeutigen DNS-Namen und ein Identitätszertifikat – ein Schritt zu mehr Vertrauen in automatisierte Interaktionen.
