Mit dem KI-Gesetz hat die Europäische Union als erste große Rechtsordnung einen umfassenden Rahmen für den Einsatz künstlicher Intelligenz geschaffen. Das Gesetz ist seit August 2024 in Kraft und sieht einen Stufenplan für seine Anwendung vor. Besonders im Fokus stehen dabei sogenannte Hochrisiko-KI-Systeme, für die ursprünglich 2026 und 2027 zentrale Pflichten greifen sollten. Im Herbst 2025 hat die Europäische Kommission jedoch vorgeschlagen, Teile dieser Hochrisiko-Regeln zu verschieben und im Rahmen eines „Digital Omnibus“ mehrere Digitalgesetze – darunter auch das KI-Gesetz und die Datenschutzregeln – zu überarbeiten. Damit wird deutlich, dass die europäische KI-Regulierung selbst in der Umsetzungsphase noch in Bewegung ist.
Vom Vorzeigegesetz zum Stufenplan
Der AI Act ist am 1. August 2024 in Kraft getreten. Er folgt einem gestaffelten Zeitplan: Zunächst wurden einzelne Verbote – etwa für bestimmte Formen biometrischer Überwachung oder Social Scoring – und Pflichten zur „AI Literacy“ wirksam. Weitere Abschnitte, etwa für sogenannte General-Purpose-KI-Modelle, folgen 2025. Die Mehrzahl der Regeln sollte nach bisheriger Planung am 2. August 2026 und 2. August 2027 zur Anwendung kommen. Hochrisiko-KI-Systeme nach Anhang III – etwa im Bereich Kreditwürdigkeitsprüfung, Personalrekrutierung, kritische Infrastrukturen, Bildung oder Strafverfolgung – sollten ab August 2026 strengen Pflichten unterliegen. Dazu zählen ein systematisches Risikomanagement, technische Dokumentation, Transparenzauflagen, menschliche Aufsicht und Konformitätsbewertungen mit CE-Kennzeichnung.
Für Hochrisiko-KI, die als Sicherheitskomponente oder integrierter Bestandteil regulierter Produkte gilt – etwa Maschinen oder Medizinprodukte – war eine längere Übergangsfrist bis August 2027 vorgesehen. Damit verband die EU von Beginn an den Anspruch, technische Innovation und gemeinschaftlich definierte Schutzstandards miteinander zu verknüpfen.
Was „Hochrisiko-KI“ im EU-Recht bedeutet
Die Einstufung als Hochrisiko-KI knüpft im AI Act nicht an die verwendete Technologie, sondern an den Einsatzbereich an. Artikel 6 und Anhang III des Gesetzes definieren, in welchen Sektoren und Anwendungsfällen von einem erhöhten Risiko für Gesundheit, Sicherheit oder Grundrechte auszugehen ist. Dazu gehören unter anderem Systeme für Zugang zu Bildung, Beschäftigung, kritische Dienste, z. B. Energie, Wasser, Kreditvergabe, Strafverfolgung, Grenzkontrolle oder Justiz.
Für diese Systeme verlangt der Gesetzgeber vor Inverkehrbringen oder Einsatz einen strukturierten Nachweis, dass identifizierte Risiken kontrolliert werden können und dass Nutzer über den Charakter und Einsatz der Systeme informiert werden. Transparenzregeln, Dokumentationspflichten und Vorgaben zur Datenqualität sollen helfen, fehlerhafte oder diskriminierende Entscheidungen zu vermeiden oder zumindest nachvollziehbar zu machen. Damit verbindet die EU ihren Standardisierungsansatz eng mit Grundrechten und Sicherheit – ein Unterschied zu vielen rein innovations- oder industriepolitisch motivierten Maßnahmen in anderen Weltregionen.
Warum sensible Entscheidungen nicht vollautomatisiert werden dürfen
KI-Systeme, die für Kreditwürdigkeit, Bonitätsprüfung, Bewerbungs- oder Personalauswahl verwendet werden — also Systeme mit großer Tragweite für individuelle Rechte und Chancen — zählen nach dem EU AI Act zu den Hochrisiko-Anwendungen. Der AI Act fordert für solche Systeme ausdrücklich menschliche Kontrolle: Automatisierte Entscheidungen müssen durch Menschen überwacht werden können, damit Risiken für Grundrechte, Diskriminierung, Fehler oder Missbrauch minimiert werden können. Zudem ist bei Kredit- oder Bonitäts-Entscheidungen nach europäischem Recht laut Rechtsprechung des Court of Justice of the European Union entscheidend, dass eine rein automatisierte Bewertung nicht ohne menschliche Prüfung ausreicht — etwa weil Algorithmen und Datensätze Verzerrungen enthalten können.
Auch abseits von KI gibt es gesetzlich vorgeschriebene Bereiche, in denen Entscheidungen mit erheblicher Wirkung nicht automatisiert getroffen werden dürfen, sondern zwingend einer menschlichen Prüfung unterliegen. So lässt sich im deutschen Glücksspiel-Sektor beispielsweise eine OASIS Spielersperre aufheben, indem ein schriftlicher Antrag gestellt wird; eine automatische Beendigung ist nicht vorgesehen, sondern das zuständige Regierungspräsidium prüft und entscheidet den Vorgang manuell. Ebenso verlangt das europäische Verbraucher- und Datenschutzrecht, dass bei wichtigen Entscheidungen über Verträge oder Bonität — etwa bei der Ablehnung eines Kredit-, Leasing- oder Mobilfunkvertrags — keine vollautomatisierte Entscheidung ohne menschliche Überprüfung getroffen werden darf. Verbraucher haben Anspruch darauf, dass ein zuständiger Mitarbeiter den Fall prüft und die Entscheidung nachvollziehbar begründet.
Damit wird deutlich, dass Entscheidungsprozesse mit erheblichen Auswirkungen auf Rechte oder Zugang zu Dienstleistungen nicht vollautomatisiert umgesetzt werden dürfen — eine vollständige Automatisierung wäre mit den Anforderungen an Transparenz, Nachvollziehbarkeit und Schutz individueller Rechte unvereinbar.
Regulatorische Dynamik und internationale Einordnung
Mit dem „Digital Omnibus“ hat die Europäische Kommission im November 2025 vorgeschlagen, zentrale Vorgaben für Hochrisiko-KI später wirksam werden zu lassen: Statt August 2026 sollen die strengeren Pflichten frühestens im Dezember 2027 vollständig greifen, ergänzt durch einen Endtermin für die endgültige Anwendung. Ziel ist es, Unternehmen mehr Umsetzungszeit zu geben, Überschneidungen zwischen Digitalgesetzen zu reduzieren und die Wettbewerbsfähigkeit zu stärken. Die Reaktionen darauf fallen geteilt aus. Wirtschaftsverbände begrüßen die Entlastung, während zivilgesellschaftliche Organisationen kritisieren, dass Hochrisiko-KI dadurch länger ohne vollständige Schutzmechanismen genutzt werden kann. Die Debatte fällt in eine Phase, in der KI-Systeme zunehmend in Alltags- und Verwaltungsprozesse einfließen und die EU parallel an praktischen Leitlinien wie einem Kodex für General-Purpose-KI arbeitet.
Im globalen Vergleich zeigen sich deutliche Unterschiede: Die EU setzt auf einheitliche Mindeststandards und einen risikobasierten Ordnungsrahmen, die USA verfolgen einen stärker marktorientierten Ansatz mit Deregulierungsakzenten und einem Nebeneinander einzelstaatlicher Regeln, während China sektorale Spezialvorgaben und staatlich gesteuerte Industriepolitik kombiniert. So entsteht ein heterogenes weltweites Regulierungsumfeld, in dem der europäische Standardisierungsanspruch klar heraussticht.