Der 132-Tage-Countdown

Am 2. August 2026 wird der EU AI Act scharf gestellt — und nur 8 von 27 EU-Mitgliedstaaten haben bisher überhaupt eine zuständige Aufsichtsbehörde benannt. Gleichzeitig hat die Trump-Administration am 20. März 2026 einen Gesetzgebungsentwurf vorgelegt, der einzelstaatliche AI-Regulierung in den USA aktiv unterdrücken will. Und China hat zum Jahreswechsel neue Pflicht-Standards für generative KI in Kraft gesetzt, inklusive verpflichtender Kennzeichnung aller KI-generierten Inhalte.

Für jedes Unternehmen, das AI-Produkte entwickelt oder einsetzt, bedeutet das: Drei Wirtschaftsräume, drei fundamental verschiedene Regulierungsphilosophien — und keines der drei Systeme ist fertig. Wer heute ein AI-Feature shipped, trifft Compliance-Entscheidungen unter maximaler Unsicherheit. Dieser Text sortiert, was Stand März 2026 gilt, was kommt und was das konkret für Produkt- und Engineering-Teams bedeutet.

EU: Das ambitionierteste Regelwerk der Welt — mit Verspätung

Der EU AI Act ist das weltweit erste umfassende KI-Gesetz. Sein Kernprinzip: Risikobasierte Regulierung. AI-Systeme werden in vier Kategorien eingeteilt — von „minimales Risiko“ (ein Spam-Filter) über „begrenztes Risiko“ (ein Chatbot, der sich als KI zu erkennen geben muss) und „hohes Risiko“ (AI in der Personalauswahl oder Kreditvergabe) bis „inakzeptables Risiko“ (Social Scoring, biometrische Echtzeit-Überwachung). Verbotene Praktiken gelten bereits seit Februar 2025. Die Regeln für General-Purpose-AI-Modelle wie GPT oder Claude sind seit August 2025 in Kraft.

Der große Stichtag ist der 2. August 2026: Ab dann gelten die Pflichten für Hochrisiko-AI-Systeme und die Transparenzvorschriften nach Artikel 50. Unternehmen brauchen dann Qualitätsmanagementsysteme, Risikobewertungen, technische Dokumentation und Konformitätsbewertungen. Wer das nicht hat, riskiert Geldbußen von bis zu 7 Prozent des globalen Jahresumsatzes.

Doch die Realität ist chaotischer als der Zeitplan suggeriert. Die europäischen Normungsorganisationen CEN und CENELEC haben die für 2025 geplanten technischen Standards nicht rechtzeitig fertiggestellt — sie sollen nun Ende 2026 kommen. Ohne diese Standards wissen Unternehmen nicht genau, wie Compliance konkret aussieht. Die Europäische Kommission hat deshalb im November 2025 das „Digital Omnibus“-Paket vorgeschlagen, das die Hochrisiko-Pflichten auf Dezember 2027 verschieben würde. Am 18. März 2026 hat der zuständige Parlamentsausschuss mit deutlicher Mehrheit (101 zu 9) zugestimmt. Die finale Verabschiedung erfordert aber noch eine Einigung zwischen Parlament, Rat und Kommission.

Wichtig für Nicht-EU-Unternehmen: Der AI Act hat extraterritoriale Wirkung — genau wie die DSGVO. Jedes Unternehmen, das AI-Systeme anbietet, die in der EU genutzt werden oder EU-Bürger betreffen, fällt unter die Regulierung.

USA: Innovation first — und Bundesstaaten unter Druck

Die USA gehen den entgegengesetzten Weg. Statt eines umfassenden Bundesgesetzes setzt die Trump-Administration auf maximale Deregulierung auf Bundesebene bei gleichzeitigem Zurückdrängen einzelstaatlicher Regulierung.

Am 11. Dezember 2025 unterzeichnete Präsident Trump eine Executive Order mit dem Titel „Ensuring a National Policy Framework for Artificial Intelligence“. Das Kernstück: Eine „AI Litigation Task Force“ im Justizministerium, die seit Januar 2026 aktiv einzelstaatliche AI-Gesetze vor Bundesgerichten anficht — mit dem Argument, sie behinderten den zwischenstaatlichen Handel verfassungswidrig. Zusätzlich wurde das Handelsministerium angewiesen, 42 Milliarden Dollar an Breitband-Fördermitteln an die Bedingung zu knüpfen, dass Bundesstaaten „belastende“ AI-Regulierung zurücknehmen.

Das Problem: Während Washington bremst, regulieren die Bundesstaaten längst. Allein 2025 wurden über 700 einzelstaatliche AI-Gesetzesvorlagen eingebracht. Kaliforniens Transparenzgesetze gelten seit Januar 2026. Colorados AI Act — der Schutz vor algorithmischer Diskriminierung bei Hochrisiko-Systemen vorschreibt — tritt im Juni 2026 in Kraft. Für Unternehmen entsteht ein regulatorischer Albtraum: Wer AI-gestützte Einstellungstools in fünf Bundesstaaten einsetzt, muss fünf verschiedene Definitionen von algorithmischer Diskriminierung beachten.

China: Kontrolle als Ordnungsprinzip

Chinas Regulierungsansatz ist der am wenigsten bekannte — und für westliche Unternehmen der am schwersten zu navigierende. Statt eines einzelnen Gesetzes reguliert China durch ein Bündel sektorspezifischer Vorschriften, die alle ein gemeinsames Ziel verfolgen: staatliche Kontrolle über KI-Systeme bei gleichzeitiger Förderung der nationalen KI-Industrie.

Seit September 2025 gelten verpflichtende Kennzeichnungsregeln für alle KI-generierten Inhalte — sowohl sichtbare als auch unsichtbare Wasserzeichen. Seit November 2025 sind drei nationale Sicherheitsstandards für generative KI in Kraft. Und im Oktober 2025 hat China KI erstmals in sein Cybersicherheitsgesetz aufgenommen.

Besonders bemerkenswert: Ende 2025 veröffentlichte China einen Entwurf zur Regulierung von KI-Companions und Chatbots, der Suchtprävention in den Mittelpunkt stellt. KI-Companion-Apps müssten regelmäßige Pop-up-Warnungen anzeigen, nach zwei Stunden zur Pause auffordern und emotionale Abhängigkeit erkennen und melden. Das zeigt eine Regulierungsrichtung, die in EU und USA noch kaum diskutiert wird.

Großbritannien: Der Dritte Weg — noch ohne Gesetz

Großbritannien hat sich nach dem Brexit bewusst gegen ein AI-Gesetz nach EU-Vorbild entschieden. Stattdessen setzt die Regierung auf einen „Pro-Innovation“-Ansatz: Bestehende Regulierungsbehörden (Finanzaufsicht, Datenschutzbehörde, Wettbewerbsaufsicht) sollen fünf nicht-bindende Prinzipien in ihren jeweiligen Bereichen anwenden — Sicherheit, Transparenz, Fairness, Verantwortlichkeit und Anfechtbarkeit.

Im Oktober 2025 kündigte die Regierung ein „AI Growth Lab“ an: eine branchenübergreifende Sandbox, in der Unternehmen AI-Produkte unter erleichterten regulatorischen Bedingungen testen können. Ein echtes AI-Gesetz wird frühestens in der zweiten Hälfte 2026 erwartet. Für internationale Unternehmen ist der britische Markt damit aktuell der regulatorisch einfachste — aber auch der unsicherste.

Was das für Ihr Unternehmen bedeutet

Die globale AI-Regulierungslandschaft 2026 lässt sich auf eine unbequeme Formel bringen: Maximale Divergenz bei minimaler Reife. Kein Regelwerk ist fertig, aber alle verlangen bereits Handeln. Drei Empfehlungen:

Erstens: AI-Inventar jetzt aufbauen. Egal ob der EU-Stichtag August 2026 oder Dezember 2027 wird — wer nicht weiß, welche AI-Systeme im Einsatz sind und welche Risikoklasse sie haben, kann keine Compliance-Strategie entwickeln. Über die Hälfte der Organisationen haben das laut Analysten noch nicht getan.

Zweitens: Auf den strengsten Standard designen. Transparenzpflichten, Dokumentationspflichten und menschliche Aufsicht bei Hochrisiko-Entscheidungen werden in allen drei großen Märkten verlangt — nur in unterschiedlicher Ausprägung. Wer diese Anforderungen in die Produktarchitektur einbaut, statt sie nachzurüsten, spart langfristig.

Drittens: Regulatorisches Monitoring institutionalisieren. Die nächsten 12 Monate bringen mehr regulatorische Änderungen als die letzten fünf Jahre zusammen. Das Digital Omnibus, die US-Preemption-Klagen, Chinas neue Cybersecurity-Regeln, Südkoreas AI Basic Act, Japans AI Promotion Act — die Schlagzahl ist enorm. Ohne dediziertes regulatorisches Monitoring fliegt man blind.

Die gute Nachricht: Die internationale Koordination nimmt Fahrt auf. Die UN hat einen „Global Dialogue on AI Governance“ gegründet. Die OECD-AI-Prinzipien gelten in 44 Ländern als Orientierungsrahmen. Bindende internationale Standards gibt es noch nicht — aber der Druck wächst. Wer heute eine saubere, dokumentierte, transparente AI-Architektur baut, wird in zwei Jahren nicht bereuen, zu früh angefangen zu haben.