Der EU AI Act im zweiten Jahr — Praxis-Bilanz

Die Verordnung (EU) 2024/1689 — gemeinhin der AI Act — wurde im Mai 2024 im Amtsblatt der Europäischen Union veröffentlicht und ist seither schrittweise in Kraft. Die Verbotsbestimmungen seit Februar 2025, die Pflichten für general-purpose AI-Modelle seit August 2025, die volle Hochrisiko-Klassifizierung wird im August 2026 wirksam, die Sanktionen folgen 2027. Wir stehen also genau in der Mitte des Inkrafttretens, und es ist der richtige Moment, eine vorläufige Bilanz zu ziehen — nicht im Modus der politischen Anklage, sondern im Modus der nüchternen Wirkungsanalyse.

Was verboten ist und ob es greift

Der AI Act verbietet seit Februar 2025 mehrere Anwendungsklassen unmissverständlich: Social Scoring durch öffentliche Stellen, biometrische Massenüberwachung im öffentlichen Raum in Echtzeit (mit eng begrenzten Ausnahmen für schwere Straftaten), Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen, manipulative KI-Systeme, die das Verhalten von Personen wesentlich verzerren, und die ungerichtete Sammlung biometrischer Daten aus dem Internet oder von Überwachungskameras (das war eine Spezialklausel gegen Geschäftsmodelle vom Typ Clearview AI).

Diese Verbote haben Wirkung gezeigt. Clearview AI hat 2024 sein europäisches Geschäft eingestellt. PimEyes, ein polnischer Anbieter biometrischer Personensuche, hat sich auf eine eingeschränkte europäische Variante reduziert, die nur noch eigene Bilder erkennt. Drei deutsche Bundesländer — Bayern, Hessen, Berlin — haben 2025 Pilotprojekte zur biometrischen Polizeiüberwachung gestoppt oder umgewidmet. Das sind keine Trivialitäten. Das sind Effekte, die ohne den AI Act nicht eingetreten wären, weil die DSGVO allein für sie keinen klaren Rechtsrahmen bereitstellte.

Wo die Verbote nicht greifen, liegt das selten an der Norm selbst, sondern an ihrer Ausnahme-Architektur. Die biometrische Echtzeitüberwachung ist erlaubt, wenn sie der Suche nach Opfern schwerer Straftaten, der Abwehr einer konkreten und gegenwärtigen Terrorgefahr oder der Lokalisierung von Verdächtigen schwerer Straftaten dient. Diese Ausnahmen sind in der Praxis dehnbar. Frankreich hat sie für die Olympischen Spiele 2024 ausgiebig genutzt. Das war europarechtlich gedeckt, politisch aber genau die Aushöhlung, vor der Bürgerrechtsorganisationen während des Gesetzgebungsverfahrens gewarnt hatten.

Hochrisiko und die Konformitäts-Architektur

Die Hochrisiko-Klassifizierung ist das eigentliche Herzstück des AI Act. Erfasst sind Systeme in acht Anwendungsbereichen: kritische Infrastruktur, Bildung, Beschäftigung (Recruiting, Mitarbeiterbewertung), öffentliche Dienstleistungen (Kreditbewertung, Sozialleistungen), Strafverfolgung, Migration und Grenzkontrolle, Rechtspflege und demokratische Prozesse, sowie biometrische Systeme jenseits der ohnehin verbotenen Anwendungen. Anbieter solcher Systeme müssen Risikomanagement-Systeme implementieren, Daten-Governance nachweisen, technische Dokumentationen vorhalten, Konformitätsbewertungen durchführen und im CE-Kennzeichnungs-Regime registrieren.

Was wir seit 2025 beobachten, ist ein Markteffekt, der über die unmittelbare Compliance hinausgeht: Eine Differenzierung zwischen Anbietern, die ihre Konformitäts-Architektur als Verkaufsargument aufstellen, und solchen, die sie als Belastung tragen. Deutsche Mittelständler im HR-Tech-Bereich — Personio, Kenjo, Avature — haben ihre Recruiting-Tools 2025 explizit als AI Act compliant zertifizieren lassen und nutzen das im Vertrieb. Amerikanische Anbieter wie HireVue oder Pymetrics haben sich teilweise vom europäischen Markt zurückgezogen oder ihre Funktionalität deutlich reduziert. Das ist ein Markteffekt zugunsten europäischer Anbieter, der politisch erwünscht war, aber in seinem Umfang die Erwartungen übertrifft.

Im Bildungsbereich ist die Wirkung diffuser. Bettermarks, Sofatutor, Simpleclub: deutsche EdTech-Anbieter, die adaptive Lernsysteme einsetzen, fallen in den Hochrisiko-Bereich, weil sie über den Bildungsweg von Schüler:innen mitentscheiden können. Die Konformitätspflichten sind hier so umfangreich, dass kleinere Anbieter klagen, die Last sei nicht skalierbar. Das ist nicht ganz falsch — aber es ist auch nicht das Argument, das die Verordnung kippen sollte. Die Lösung liegt in der Auslegungspraxis: Welche EdTech-Anwendungen sind tatsächlich entscheidungsrelevant, welche sind nur unterstützende Empfehlungssysteme? Das ist eine Frage, die die nationalen Marktüberwachungsbehörden — in Deutschland die Bundesnetzagentur — noch klären müssen.

Die general-purpose AI-Lücke

Der schwierigste Punkt der Verordnung ist die Behandlung von general-purpose AI — also Modellen wie GPT-5, Claude, Gemini, Llama, die nicht für eine spezifische Anwendung trainiert sind, sondern als Plattformen für beliebige Folge-Anwendungen dienen. Der AI Act führt für sie eine eigene Kategorie ein, mit Transparenzpflichten (Modell-Karten, Trainingsdaten-Zusammenfassungen, Urheberrechts-Konformität) und, für Modelle oberhalb einer Schwelle systemischer Risiken (10^25 FLOPS Trainingsrechenleistung), zusätzlichen Pflichten zur Risikoabschätzung und zum Incident Reporting.

Was hier funktioniert: Die Modell-Karten-Anforderung wird befolgt. OpenAI, Anthropic, Google, Mistral: alle haben ihre Modell-Dokumentationen 2025 erweitert, um den europäischen Pflichten zu genügen. Die Trainingsdaten-Zusammenfassungen sind dünn, aber sie existieren. Das EU AI Office in Brüssel hat eine erste Klassifizierungs-Liste systemisch-relevanter Modelle veröffentlicht.

Was nicht funktioniert: Die Definition von general-purpose AI ist technisch unscharf. Ein feingetuntes Modell auf Open-Source-Basis — Llama 3 mit deutscher Rechtsterminologie nachtrainiert — ist nach dem Wortlaut entweder ein general-purpose AI-Modell mit eigenen Pflichten oder ein Hochrisiko-Anwendungsfall mit ganz anderen Pflichten oder beides oder nichts. Diese Unsicherheit hat den Markt für europäische Fine-Tuning-Dienstleister gebremst, der politisch eigentlich gewünscht ist. Das ist ein handwerklicher Defekt der Verordnung, der durch Auslegungsleitlinien des AI Office behebbar wäre — bisher aber nicht ausreichend behoben ist.

Die fehlende Sanktionspraxis

Es ist Mai 2026, und es gibt nach unserem Kenntnisstand kein einziges verhängtes Bußgeld unter dem AI Act. Das hat formale Gründe — die Sanktionsbestimmungen werden erst 2027 voll wirksam — aber es hat auch strukturelle Gründe. Die nationalen Marktüberwachungsbehörden sind in vielen Mitgliedstaaten erst 2025 eingerichtet worden oder noch im Aufbau. Die Bundesnetzagentur in Deutschland hat ihre KI-Aufsicht erst seit Januar 2026 voll besetzt. Beschwerden gibt es, Verfahren werden vorbereitet, aber die operative Praxis ist noch nicht angelaufen.

Das ist das eigentliche Risiko der Verordnung: Nicht, dass sie zu hart wäre, sondern dass sie im entscheidenden Moment nicht durchsetzbar ist. Ein Rechtsrahmen ohne Sanktionspraxis ist Spielfeld-Markierung, nicht Regelwerk. Brüssel ist sich dessen bewusst — das AI Office hat 2025 begonnen, mit den nationalen Behörden eine gemeinsame Durchsetzungsstrategie zu erarbeiten. Ob das bis 2027 reicht, ist offen.

Unser Befund: Der AI Act ist eine ambitionierte Verordnung, die in ihren Verboten Wirkung zeigt, in ihren Hochrisiko-Bestimmungen Marktdifferenzierung schafft, in ihrer general-purpose AI-Regelung handwerklich nachgebessert werden muss und in ihrer Durchsetzungspraxis noch keine Substanz hat. Sie ist mehr als das nichts, das ihre Kritiker hätten haben wollen. Sie ist weniger als das harte Regelwerk, das ihre Befürworter versprachen. Das ist, in der europäischen Regulierungspraxis, oft genau der Punkt, an dem aus einer Verordnung tatsächlich Recht wird — durch Auslegung, Präzedenz, Aushandlung. Es ist die unspektakuläre Phase. Und sie ist die wichtige.