KI-Regulierung weltweit: Wo die Rahmenwerke konvergieren, wo sie divergieren und was das für global tätige Akteure bedeutet
Während mehr als vierzig Rechtsordnungen um die Regulierung künstlicher Intelligenz wetteifern, konvergieren die Rahmenwerke auf einen gemeinsamen Satz von Problemen, während sie hinsichtlich der ihnen zugrunde liegenden Werte, Institutionen und Verbote scharf divergieren — und den Unterschied zu erkennen, ist inzwischen die zentrale Compliance-Kompetenz für jeden global tätigen Akteur.
29. Juni 2026 · Quantum Nexus Ventures FZCO
Die globale Regulierungslandschaft für KI hat sich innerhalb von vier Jahren von nahezu leer zu verwirrend gewandelt. Mehr als vierzig Rechtsordnungen verfügen inzwischen über verbindliche Vorschriften, Gesetzentwürfe oder formelle Governance-Rahmenwerke, die sich speziell mit künstlicher Intelligenz befassen. Wer ein KI-System über mehrere Märkte hinweg einsetzen will, sieht sich einem Flickenteppich von Pflichten gegenüber, die sich an manchen Stellen überschneiden, an anderen widersprechen und dasselbe Vokabular verwenden, um Unterschiedliches zu bezeichnen.
Dieser Artikel kartiert dieses Terrain in technischer Hinsicht. Ziel ist kein Überblick über jedes Rahmenwerk — das ergäbe eine Liste, kein Verständnis. Ziel ist es, herauszuarbeiten, wo die Rahmenwerke auf konzeptioneller Ebene tatsächlich übereinstimmen, wo sie in einer Weise divergieren, die reale Compliance-Konflikte erzeugt, und wie die strukturellen Bruchlinien der nächsten fünf Jahre aussehen.
Die maßgeblichen Rahmenwerke
Vor dem Vergleich zunächst die Rahmenwerke, die einen Vergleich lohnen:
EU AI Act (Regulation 2024/1689): horizontal, risikobasiert, verpflichtend, mit spezifischen Pflichten für Hochrisiko-Systeme nach Annex III, verbotenen Praktiken und einem eigenständigen Regime für KI-Modelle mit allgemeinem Verwendungszweck (GPAI), mit zusätzlichen Pflichten für Modelle, bei denen ein systemisches Risiko vermutet wird — vermutet, wenn die kumulierte Trainingsrechenleistung 10^25 FLOP übersteigt (Article 51). Er gilt in Phasen: verbotene Praktiken seit Februar 2025, GPAI-Pflichten seit August 2025, die meisten Hochrisiko-Pflichten (Annex III) ab dem 2. August 2026 und Hochrisiko-Systeme, die in regulierte Produkte eingebettet sind (Annex I), ab dem 2. August 2027. Eine "Digital Omnibus on AI"-Änderung — im Juni 2026 vom Europäischen Parlament und vom Rat angenommen und zum Zeitpunkt der Abfassung dieses Textes noch auf die Veröffentlichung im Amtsblatt wartend — würde den Annex-III-Termin auf den 2. Dezember 2027 verschieben.Quellen: EU AI Act (Reg. 2024/1689) · Article 51 · Digital Omnibus on AI
China: ein mehrschichtiges System — Algorithmic Recommendation Measures (2022), Deep Synthesis Provisions (2022), Generative AI Measures (2023), mit einem umfassenden KI-Gesetz in Vorbereitung. Sektor- und anwendungsspezifisch, geführt von der Cyberspace Administration of China (CAC), gemeinsam erlassen mit Stellen wie dem MIIT und dem Ministerium für öffentliche Sicherheit (die SAMR zeichnete die Regeln zur algorithmischen Empfehlung mit).
Vereinigte Staaten: kein umfassendes (horizontales) bundesstaatliches KI-Gesetz zur Jahresmitte 2026. EO 14110 (2023) wurde im Januar 2025 aufgehoben (EO 14148) und durch EO 14179 ersetzt. Governance findet in der sektoralen Regulierung statt: Model-Risk-Leitlinien der Federal Reserve / OCC (SR 11-7), Durchsetzungsbefugnisse der FTC, das Rahmenwerk der FDA für KI/ML-basierte SaMD, FAA-Vorschriften für Luftfahrt-KI, Gesetzgebung auf Ebene der Bundesstaaten (Colorados AI Act (SB 24-205, seither durch SB 26-189 eingeschränkt), Texas' Responsible AI Governance Act (TRAIGA / HB 149, 2025), Illinois BIPA). Das freiwillige AI Risk Management Framework der NIST (NIST AI 100-1, 2023) sowie die separate Bias-Publikation SP 1270 (2022) bilden den freiwilligen Ausgangsstandard.Quellen: EO 14110 · Texas TRAIGA (HB 149) · Colorado SB 26-189 · NIST AI RMF
Vereinigtes Königreich: bewusste Nicht-Gesetzgebung. Das AI Security Institute (2023 als AI Safety Institute gegründet; im Februar 2025 umbenannt), sektorspezifische Leitlinien der Aufsichtsbehörden (ICO, FCA, CMA, Ofcom, CQC) und der International AI Safety Report. Die innovationsfreundliche Haltung hat sich seit dem Weißbuch von 2023 zu Politik verfestigt.Quellen: AI Security Institute
Kanada: AIDA (Teil von Bill C-27) verfiel auf der Order Paper, als das Parlament im Januar 2025 vertagt (prorogued) wurde, und wurde vor den Bundeswahlen 2025 nicht wiederbelebt — ein bundesstaatliches KI-Gesetz erforderte eine neue Gesetzgebung; in der Zwischenzeit gelten sektorspezifische Regeln und ein freiwilliger Kodex für generative KI.Quellen: Bill C-27 / AIDA (analysis)
Brasilien: Bill 2338/2023, im Dezember 2024 vom Bundessenat verabschiedet und derzeit in der Abgeordnetenkammer in Prüfung, folgt einer risikobasierten Architektur nach dem Vorbild des EU AI Act. Bei Verabschiedung wäre es das umfassendste KI-Rahmenwerk in Lateinamerika.Quellen: Brazil PL 2338/2023
Japan: ein zurückhaltend ausgestaltetes AI Promotion Act (2025) — verbindlich als 'Grundgesetz' der grundlegenden Politik, jedoch ohne Sanktionen, gestützt auf Leitlinien und freiwillige Einhaltung ('agile Governance') — ergänzt um einen Basic AI Plan und eine ausgeprägte Bilanz bei der Mitwirkung an Standards (ISO/IEC JTC 1/SC 42).Quellen: Japan AI Promotion Act
Singapur: Model AI Governance Framework (2019, aktualisiert 2020; 2024 auf generative KI erweitert), das Testinstrumentarium AI Verify, freiwillig und branchenorientiert. MAS FEAT-Leitlinien für KI im Finanzsektor.
Südkorea: AI Basic Act (formell das Framework Act on the Development of Artificial Intelligence and Establishment of Trust) — im Dezember 2024 verabschiedet, im Januar 2025 verkündet, ab Januar 2026 in Kraft — risikobasiert, mit Pflichten für 'hochwirksame KI' ('high-impact AI').Quellen: South Korea AI Basic Act
Vietnam: ein eigenständiges KI-Gesetz (Law No. 134/2025/QH15), in Kraft ab dem 1. März 2026, das die menschliche Aufsicht über KI-Entscheidungen als Kernprinzip verankert und für Hochrisiko-Systeme menschliche Aufsicht vorschreibt.Quellen: Vietnam AI Law
Europarat: Framework Convention on Artificial Intelligence (CETS 225, 2024) — der erste verbindliche internationale Vertrag über KI, offen für den Beitritt von Nichtmitgliedstaaten.Quellen: CoE Framework Convention (CETS 225)
Zonen der Konvergenz
1. Risikobasierte Stratifizierung
Die bedeutsamste strukturelle Konvergenz ist die Akzeptanz risikobasierter Ansätze als Ordnungsprinzip. Der EU AI Act, die Konvention des Europarats, der brasilianische Entwurf, Südkoreas Basic Act und sogar Chinas Maßnahmen staffeln allesamt die Pflichten nach den potenziellen Auswirkungen des KI-Systems. Systeme mit geringem Risiko unterliegen allenfalls Offenlegungspflichten; hochwirksame Systeme unterliegen einer Konformitätsbewertung, Dokumentation, menschlicher Aufsicht und einer Überwachung nach dem Inverkehrbringen.
Die praktische Folge: Jede Compliance-Architektur, die für die Risikostufen des EU AI Act aufgebaut wurde, lässt sich konzeptionell weitgehend auf diese Rahmenwerke übertragen. Die Stufen sind nicht identisch — die Definitionen von "Hochrisiko" divergieren erheblich —, aber die zugrunde liegende Logik ist gemeinsam.
2. Menschliche Aufsicht als Nicht-Verhandelbares
Jedes maßgebliche Rahmenwerk, einschließlich der sektorspezifischen US-Leitlinien, verlangt, dass folgenreiche KI-Entscheidungen einer menschlichen Aufsicht unterliegen, die in der Lage ist, das System zu übersteuern. Der EU AI Act (Article 14), Vietnams KI-Gesetz, die US-Leitlinien zum Model Risk Management (die Anforderungen an eine unabhängige Validierung nach SR 11-7) und die Konvention des Europarats konvergieren hier allesamt.Quellen: Article 14
Die technischen Anforderungen unterscheiden sich, doch die strukturelle Anforderung ist dieselbe: Ein Mensch muss in der Lage sein, die Ausgaben des KI-Systems in bedeutsamer Weise zu überprüfen und zu übersteuern, bevor sie verbindliche Folgen entfalten. "Bedeutsam" ist das entscheidende Wort. Ein Mensch, der das System nicht gedanklich zu übertreffen vermag — dem die fachliche Tiefe fehlt, um dessen Ausgaben kritisch zu bewerten —, erfüllt zwar die formale, nicht aber die funktionale Anforderung. Dies ist ebenso sehr ein Problem des organisatorischen Designs wie ein Compliance-Problem.
3. Transparenz und Erklärbarkeit
Alle maßgeblichen Rahmenwerke verlangen eine gewisse Form von Transparenz gegenüber betroffenen Personen und, soweit einschlägig, gegenüber Aufsichtsbehörden. Der Umfang variiert: Der EU AI Act verlangt Dokumentation, Protokollierung und eine Betriebsanleitung; die US-amerikanische Federal Trade Commission behandelt nicht erklärbare KI-Entscheidungen als potenziell irreführend; Chinas Generative AI Measures verlangen die Offenlegung KI-generierter Inhalte; die Konvention des Europarats führt Transparenz als Kernprinzip.
Der implizierte technische Standard — dass die Ausgaben eines Systems auf identifizierbare Eingaben und Argumentationsschritte zurückführbar sein müssen — ist über die Rechtsordnungen hinweg gemeinsam. Der geforderte Grad technischer Granularität unterscheidet sich. Der EU AI Act sieht Prüfprotokolle vor, die eine nachträgliche Rekonstruktion von Entscheidungen ermöglichen. Die US-Leitlinien zum Model Risk verlangen eine unabhängige Validierung der Modelllogik. Beide fordern dasselbe: die Fähigkeit, unter Prüfung zu erklären, warum das System eine bestimmte Ausgabe erzeugt hat.
4. Eng gefasste Verbote
Eine engere, aber echte Zone der Konvergenz: Social-Scoring-Systeme, die Einzelpersonen über verschiedene Kontexte hinweg zum Zweck einer allgemeinen gesellschaftlichen Steuerung bewerten, sind sowohl im EU AI Act (Article 5) als auch dem Grundsatz nach in der Konvention des Europarats verboten oder stark eingeschränkt. Unterschwellige Manipulation unterhalb der Schwelle des bewussten Wahrnehmens ist in den meisten Rahmenwerken gleichermaßen verboten. Die biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen ist durch die EU sowie durch Datenschutzrahmenwerke in mehreren Rechtsordnungen eingeschränkt.
Die Konvergenz ist hier bedeutsam, aber begrenzt: Was in einer Rechtsordnung verboten ist, ist in einer anderen oft erlaubt oder sogar vorgeschrieben (siehe: Chinas Einsatz von Gesichtserkennungsinfrastruktur zu Zwecken der öffentlichen Sicherheit, den der EU AI Act für entsprechende Einsätze in der EU verbieten würde).
5. KI mit allgemeinem Verwendungszweck / Basismodelle
Die GPAI-Pflichten in Chapter V (Articles 51-56) des EU AI Act und Chinas Generative AI Measures sind die ersten verbindlichen Rahmenwerke, die sich speziell mit Basismodellen befassen und nicht bloß mit deren nachgelagerten Einsätzen. Beide verlangen Fähigkeitsbewertungen, Bewertungen des systemischen Risikos für die leistungsfähigsten Modelle sowie Transparenz über die Trainingsdaten. Die US-amerikanische EO 14110 (inzwischen aufgehoben) konzentrierte sich ähnlich auf Modelle oberhalb einer Rechenleistungsschwelle.
Die Konvergenz ist konzeptioneller Natur: Aufsichtsbehörden weltweit ringen mit dem Umstand, dass das für spezifische Anwendungen konzipierte risikobasierte Rahmenwerk zusammenbricht, wenn ein einzelnes Modell Tausenden von Anwendungen zugrunde liegt. Die technische Antwort — Rechenleistungsschwellen als erste Näherung für Fähigkeit, mit nachgelagerten Bewertungen — wurde von der EU übernommen und war im US-Ansatz vorhanden, bevor dieser aufgehoben wurde.
Zonen der Divergenz
1. Verbindlich vs. freiwillig / horizontal vs. sektorspezifisch
Der EU AI Act ist horizontal (gilt über alle Sektoren hinweg), verpflichtend und wird von nationalen Marktüberwachungsbehörden mit erheblicher Bußgeldbefugnis durchgesetzt (bis zu €35M or 7% des weltweiten Umsatzes bei Verstößen gegen verbotene Praktiken). Das Vereinigte Königreich hat kein Äquivalent und hat sich ausdrücklich dagegen entschieden, eines zu schaffen. Die USA verfügen über kein bundesstaatliches horizontales KI-Gesetz. Japan, Singapur und Australien halten an freiwilligen Rahmenwerken fest.Quellen: Article 99
Dies ist kein geringfügiger verfahrensrechtlicher Unterschied. Er entscheidet darüber, ob Compliance eine rechtliche Pflicht oder eine reputationsbedingte Wahl ist, wer sie durchsetzt und wie hoch die tatsächlichen Kosten der Nichteinhaltung sind. Ein global eingesetztes KI-System, das in der EU eingesetzt wird, unterliegt für bestimmte Anwendungen einer verpflichtenden Konformitätsbewertung. Dasselbe System, das nur in Singapur eingesetzt wird, unterliegt einer freiwilligen Checkliste.
2. Die Achse Grundrechte vs. nationale Sicherheit
Der EU AI Act beruht auf einem grundrechtlichen Fundament. Seine Hochrisiko-Kategorien werden durch ihr Potenzial definiert, Gesundheit, Sicherheit und Grundrechte zu beeinträchtigen. Seine Verbote sind im Sinne der Menschenwürde und der Autonomie gefasst. Die Rechtsgrundlage ist die Binnenmarktregulierung, doch der Werterahmen ist die EU-Grundrechtecharta.
Chinas Rahmenwerk beruht auf einem anderen Wertefundament: gesellschaftliche Stabilität, nationale Sicherheit und die korrekte politische Ausrichtung von Inhalten. Die Generative AI Measures verlangen, dass KI-generierte Inhalte mit den "core socialist values" im Einklang stehen und nicht "die Staatsgewalt untergraben". Die Deep Synthesis Provisions zielen darauf ab, Desinformation zu kontrollieren, die die öffentliche Ordnung destabilisieren könnte.
Dies sind nicht bloß oberflächlich unterschiedliche Ansätze zu demselben Ziel. Sie verkörpern grundlegend verschiedene Vorstellungen davon, wozu KI-Governance dient. Ein System, das für die Einhaltung der EU-Anforderungen konzipiert ist — die Verbote bestimmter Praktiken der Inhaltemoderation umfassen, welche die politische Meinungsäußerung einschränken —, kann strukturell unvereinbar mit den chinesischen Anforderungen an eben diese Moderation sein. Dies ist kein Dokumentationsproblem; es ist ein architektonisches.
3. Extraterritorialität und der Brussels Effect
Der EU AI Act gilt für KI-Systeme, die auf dem EU-Markt in Verkehr gebracht werden oder deren Ausgaben in der EU verwendet werden, unabhängig davon, wo der Anbieter niedergelassen ist. Dies ist in Article 2 ausdrücklich geregelt. Ein Anbieter in Dubai, der ein KI-System einsetzt, das von EU-Kunden genutzt wird, ist ein Pflichtiger des EU AI Act.
Die US-Regulierung hat eine engere extraterritoriale Reichweite: Sie gilt für regulierte Einheiten in bestimmten Sektoren (Banken, Hersteller von Medizinprodukten, verbraucherorientierte Unternehmen, die der Zuständigkeit der FTC unterliegen) und nicht für die Technologie als solche. China verfügt in seinen Rahmenwerken zur Datensicherheit und Netzsicherheit über einige extraterritoriale Bestimmungen, doch die KI-spezifischen Maßnahmen sind stärker binnenorientiert.
Das praktische Ergebnis: Der EU AI Act fungiert als faktischer globaler Standard für jeden Anbieter, der seinen EU-Kundenstamm nicht abgrenzen kann. Dies ist der Brussels Effect in Aktion — die Compliance-Kosten für den Aufbau einer separaten, nur für die EU bestimmten Architektur übersteigen die Kosten, weltweit EU-konform zu bauen.
4. Technische Standards und Konformitätsbewertung
Der EU AI Act stützt sich zum Nachweis der Konformität auf harmonisierte technische Standards von CEN/CENELEC und ISO/IEC. ISO/IEC 42001 (KI-Managementsysteme) und verwandte Standards unter ISO/IEC JTC 1/SC 42 bilden die primäre Referenz. Eine Konformitätsbewertung durch Dritte ist für Hochrisiko-Systeme in bestimmten Kategorien nach Annex III verpflichtend.
Die USA stützen sich auf NIST-Rahmenwerke (AI RMF, SP 1270), die für die meisten Sektoren freiwillig sind. Die Methodiken sind kompatibel, aber nicht gleichwertig. Eine Zertifizierung nach ISO 42001 erfüllt nicht automatisch die Ausrichtung am NIST AI RMF; die Ausrichtung erfordert einen gesonderten Nachweis.
Für global tätige Akteure entsteht dadurch ein Problem der Standardnavigation. Der Aufbau nach ISO 42001 ist der sicherste Weg zur EU-Konformität. Der Aufbau nach dem NIST AI RMF erfüllt die Anforderungen der US-Bundesbeschaffung und bietet eine starke reputationsbezogene Positionierung. Die Rahmenwerke sind einander hinreichend ergänzend, sodass beides umsetzbar ist, dies jedoch eine bewusste Zuordnung (Mapping) erfordert, die derzeit manuell erfolgen muss.
5. Verboten vs. vorgeschrieben: Das Biometrie-Problem
Der EU AI Act verbietet die biometrische Echtzeit-Fernidentifizierung in öffentlich zugänglichen Räumen durch Strafverfolgungsbehörden, mit eng gefassten Ausnahmen. Nach Article 14(5) darf bei Systemen zur biometrischen Fernidentifizierung aufgrund einer Identifizierung erst dann eine Maßnahme ergriffen werden, wenn diese von mindestens zwei fachkundigen Personen gesondert überprüft und bestätigt wurde — vorbehaltlich einer Ausnahme für bestimmte Anwendungen in der Strafverfolgung, der Migration und der Grenzkontrolle. Gesichtserkennung in der öffentlichen Infrastruktur ist in den meisten Anwendungen verboten.Quellen: Article 14(5)
Mehrere Rechtsordnungen erlauben nicht nur, sondern schreiben genau diese Infrastruktur für bestimmte Anwendungen vor: Grenzkontrolle, Überwachung der öffentlichen Sicherheit, nationale Sicherheit. Ein Anbieter, der biometrische KI-Systeme verkauft, sieht sich je nach Einsatzrechtsordnung tatsächlich unvereinbaren Pflichten gegenüber. Dies lässt sich nicht durch Dokumentation oder Prozesse lösen; es erfordert eine Produktsegmentierung.
6. Durchsetzungsarchitektur
Der EU AI Act schafft eine dezentrale Durchsetzungsstruktur: Jeder Mitgliedstaat benennt eine nationale zuständige Behörde, während das Europäische KI-Büro die GPAI-Aufsicht und grenzüberschreitende Fälle wahrnimmt. Bußgelder werden nach der Schwere des Verstoßes bemessen.
China setzt über die CAC (Inhalte/generative KI), das MIIT (allgemeine Fertigung und industrielle KI), die SAMR (verbraucherorientiert) und Sektoraufsichtsbehörden durch — eine fragmentierte, mehrbehördliche Struktur mit erheblichen Überschneidungen. Die Durchsetzung war rasch und folgenreich; die Bußgelder der CAC für Verstöße gegen die algorithmische Empfehlung waren erheblich und wurden zügig verhängt.
Die USA verfügen über keine primäre KI-Durchsetzungsbehörde. Die Durchsetzung durch die FTC stützt sich auf die Befugnis nach Section 5 (unlautere oder irreführende Handlungen); die Finanzaufsichtsbehörden nutzen bestehende Aufsichtsbefugnisse; die Generalstaatsanwälte der Bundesstaaten werden zunehmend aktiv. Die Durchsetzungspraxis ist eher adversarial und reaktiv als vorausschauend und systematisch.
Strukturelle Bruchlinien
Der Rückstand der Rahmenwerke.
Jedes Governance-Rahmenwerk ist rückblickend: Es kodifiziert Risiken, die bereits verstanden wurden, ausgehend von Technologie, die bereits eingesetzt wurde. Der Regulierungszyklus für eine umfassende KI-Gesetzgebung beträgt vom Entwurf bis zur Durchsetzung 5 bis 7 Jahre. Der Technologiezyklus für bedeutende Fähigkeitssprünge beträgt 12 bis 18 Monate. Diese Lücke ist struktureller, nicht vorübergehender Natur. Rahmenwerke werden stets eine frühere Version der Technologie regulieren, für die sie konzipiert wurden.
Die Lücke bei der Durchsetzungskapazität.
Wie Praktiker in diesem Bereich festgestellt haben, wurde der EU AI Act für die institutionelle Infrastruktur der EU konzipiert. Konformitätsbewertungsstellen, Marktüberwachungsbehörden, juristische Berufe, die in technischen Standards bewandert sind — diese existieren in den EU-Mitgliedstaaten. Für Rechtsordnungen, die Rahmenwerke nach EU-Vorbild ohne gleichwertige institutionelle Kapazität übernehmen, wird die Durchsetzung theoretisch. Das Gesetz liest sich korrekt; nichts geschieht.
Divergenz des Vokabulars.
"Transparenz", "Rechenschaftspflicht", "Fairness", "menschliche Aufsicht" tauchen in praktisch jedem Rahmenwerk auf. Sie bedeuten in jedem etwas anderes. Transparenz bedeutet im EU AI Act eine technische Dokumentation und Prüfprotokolle, die für eine Überprüfung durch Dritte ausreichen. Transparenz bedeutet in Chinas Maßnahmen, den Nutzern gegenüber offenzulegen, dass Inhalte KI-generiert sind. Transparenz bedeutet im Kontext der US-amerikanischen FTC, Verbraucher nicht zu täuschen. Die Einhaltung aller drei kann drei verschiedene Umsetzungen von etwas erfordern, das "Transparenz" genannt wird.
Das ungelöste GPAI-Problem.
Das GPAI-Regime der EU und Chinas Generative AI Measures sind die einzigen verbindlichen Rahmenwerke, die sich unmittelbar mit Basismodellen befassen. Der Rest der Welt beobachtet oder wartet. Das grundlegende Problem — dass ein einzelnes Modell Tausenden von Anwendungen zugrunde liegt, jede mit ihrem eigenen Risikoprofil — hat keine saubere regulatorische Lösung. Rechenleistungsschwellen sind eine erste Näherung, die mit zunehmender Effizienz versagen wird. Fähigkeitsbewertungen sind schwer zu standardisieren. Das Problem der GPAI-Governance ist tatsächlich ungelöst, und die Rahmenwerke, die sich daran versucht haben, haben unterschiedliche und teilweise unvereinbare Ansätze gewählt.
Folgen für global tätige Akteure
Bauen Sie zum EU AI Act als Compliance-Untergrenze.
Für jeden Akteur mit Exposition gegenüber dem EU-Markt ist der EU AI Act das anspruchsvollste horizontale Rahmenwerk und dasjenige, das am ehesten unmittelbare Durchsetzungsfolgen nach sich zieht. Ein System, das nach seinen Anforderungen gebaut ist, wird in den meisten anderen Rechtsordnungen übererfüllt sein.
Segmentieren Sie dort, wo Rechtsordnungen architektonisch unvereinbar sind.
Biometrie in öffentlichen Räumen, Inhaltemoderation für politische Meinungsäußerung, dem Social Scoring nahestehende Anwendungen — diese erfordern eine echte Produktsegmentierung, keine Prozessanpassung. Keine einzelne Architektur erfüllt die Verbote der EU und die Vorschriften Chinas gleichzeitig.
Investieren Sie in Menschen, die die technisch-rechtliche Lücke überbrücken können.
Die Rahmenwerke konvergieren in diesem Punkt, auch wenn sie es unterschiedlich ausdrücken: Governance ist keine Dokumentationsübung. Ein System, dessen Prüfpfad von jemandem, der sowohl seine technische Funktionsweise als auch seinen regulatorischen Kontext versteht, nicht rekonstruiert werden kann, ist nicht regiert, sondern archiviert. Der Mangel besteht nicht an Rahmenwerken; er besteht an Menschen, die sich in beidem zurechtfinden können.
Behandeln Sie GPAI-Pflichten als Vorreiter, nicht als Ausnahme.
Die GPAI-spezifischen Bestimmungen des EU AI Act und Chinas Generative AI Measures sind die ersten Versuche, KI auf der Modellebene statt auf der Anwendungsebene zu regulieren. Dieser Ansatz wird sich ausbreiten. Organisationen, die Basismodelle nutzen — auch über eine API —, sollten diese Pflichten jetzt verstehen, denn die Compliance-Architektur auf Anwendungsebene, die sie aufbauen, muss möglicherweise Anforderungen auf Modellebene aufnehmen, die es in ihrer Rechtsordnung noch nicht gibt.
Verfolgen Sie Standards, nicht nur Gesetze.
ISO/IEC 42001, das NIST AI RMF und die im Rahmen von CEN/CENELEC entwickelten technischen Standards werden zunehmend bestimmen, was "Compliance" operativ bedeutet. Gesetze legen Anforderungen in allgemeiner Form fest; Standards spezifizieren, wie die Erfüllung dieser Anforderungen technisch aussieht. Die Standardlandschaft bewegt sich schneller als die gesetzgeberische und verdient von Governance-Teams mehr Aufmerksamkeit, als ihr üblicherweise zuteilwird.
Die globale Regulierungslandschaft für KI konvergiert nicht auf ein einziges Rahmenwerk. Sie konvergiert auf einen Satz gemeinsamer Probleme — Risikostratifizierung, menschliche Aufsicht, Erklärbarkeit, Governance von Basismodellen —, während sie hinsichtlich der Werte, die diese Rahmenwerke schützen sollen, der institutionellen Architekturen, die sie durchsetzen, und der konkreten Verbote und Vorschriften, die sie auferlegen, divergiert. Für global tätige Akteure besteht die praktische Kompetenz nicht darin, zu wissen, welches Rahmenwerk anwendbar ist. Sie besteht darin, zu wissen, wann die Rahmenwerke tatsächlich vereinbar sind und wann nicht, und Systeme zu bauen, die den Unterschied erkennen können.
Dies ist ein Meinungs- und Thought-Leadership-Beitrag. Er stellt keine Rechts- oder Finanzberatung dar.
Weitere Beiträge
4. Juli 2026
Der epistemische Engpass: Warum KI Ingenieuren 10X bringt und Juristen 3X29. Juni 2026
Rechts-KI in Indien einsetzen: Was das Gesetz verlangt, was die Regierung will und wie die Datenlage tatsächlich aussieht28. Juni 2026
Die Multi-Modell-Kette ist eine Rechtsstruktur, nicht bloß eine Architektur