Der AI Act im Jahr 2025 - Was bisher geschah...

Der EU AI Act 2025: Analyse der Implementierung, Kontroversen und globalen Positionierung

Einleitung: Vom Legislativakt zur gelebten Realität

Der im Mai 2024 vom Rat der Europäischen Union verabschiedete EU AI Act wurde als das weltweit erste umfassende Regelwerk zur Regulierung künstlicher Intelligenz (KI) positioniert. Basierend auf einem risikobasierten Ansatz, der KI-Systeme in vier Kategorien (von unannehmbarem Risiko bis minimalem Risiko) einteilt, verfolgt die Verordnung das duale Ziel, die Grundrechte der EU-Bürger zu schützen und gleichzeitig einen harmonisierten Rechtsrahmen für Innovation zu schaffen. Als Verordnung konzipiert, besitzt sie unmittelbare Geltung in allen Mitgliedstaaten, ohne dass eine nationale Umsetzung erforderlich wäre.

Der nachfolgende Beitrag versucht nun die Transformation dieser legislativen Theorie in die operative Praxis im Jahr 2025 zu analysieren. Während der AI Act am 1. August 2024 formell in Kraft trat, war das Jahr 2025 durch die ersten Phasen der gestaffelten Rechtswirksamkeit, die Etablierung einer neuen Governance-Architektur und, ganz entscheidend, durch erhebliche Implementierungshürden, eine Fragmentierung der Aufsicht und intensive politische Kontroversen geprägt. Daher kann 2025 schon jetzt als das Jahr gesehen werden, in dem die praktischen und politischen Durchsetzungsprobleme beginnen, die legislative Errungenschaft in Frage zu stellen.

 

Die Etablierung der Governance-Architektur

Die Governance-Bestimmungen der Verordnung in Kapitel VII traten am 2. August 2025 formell in Kraft. Dies operationalisierte die dreigliedrige Aufsichtsstruktur, bestehend aus dem Europäischen AI Office, dem AI Board und einem wissenschaftlichen Gremium unabhängiger Sachverständiger.

 

Das EU AI Office

Das EU AI Office wurde bereits durch einen Kommissionsbeschluss am 21. Februar 2024 eingerichtet und nahm am 2. August 2025 seine volle operative Tätigkeit auf. Es ist als integraler Bestandteil der Europäischen Kommission (Generaldirektion Kommunikationsnetze, Inhalte und Technologien) strukturiert. Die Kernzuständigkeit des AI Office liegt in der Überwachung und Durchsetzung der neuartigen Regeln für GPAI-Modelle sowie in der Sicherstellung einer kohärenten Anwendung der Verordnung in der gesamten Union, oft in Zusammenarbeit mit nationalen Behörden.¹ Bereits im Jahr 2025 war das AI Office hochaktiv. Es war federführend bei der Finalisierung des kontroversen „Code of Practice“ für GPAI-Modelle und veröffentlichte erste Leitlinien, etwa zur Auslegung der Verbote nach Artikel 5 (in Kraft seit 2. Februar 2025) sowie Meldevorlagen für schwerwiegende Vorfälle im Zusammenhang mit GPAI-Modellen (gültig ab November 2025).²

 

Das AI Board und das wissenschaftliche Gremium

Parallel zum AI Office nahm das AI Board am 2. August 2025 seine Arbeit auf. Dieses Gremium besteht aus hochrangigen Vertretern der Mitgliedstaaten und hat eine beratende sowie koordinierende Funktion. Es soll die Kommission und die Mitgliedstaaten bei einer „konsistenten und pragmatischen Anwendung“ des AI Act unterstützen. Als dritte Säule wurde die Einrichtung eines wissenschaftlichen Gremiums unabhängiger Sachverständiger im Sommer 2025 eingeleitet. Dessen definierte Aufgabe ist die wissenschaftlich-technische Beratung des AI Office, insbesondere bei der Bewertung der systemischen Risiken von GPAI-Modellen. Die Etablierung dieses Gremiums verlief jedoch schleppend. Berichten zufolge war die Arbeit des Gremiums Verzögerungen unterworfen, und ein Aufruf zur Einreichung von Bewerbungen für Experten lief bis Mitte September 2025. Dies indiziert, dass das Gremium Ende 2025 noch nicht voll funktionsfähig war.³

Die Governance-Struktur des AI Act startete 2025 somit mit einem signifikanten operativen Ungleichgewicht. Das zentralisierte, exekutive Organ war voll handlungsfähig und trieb die Agenda, insbesondere bei der GPAI-Regulierung, voran. Demgegenüber hinkten die als Korrektiv vorgesehenen Instanzen massiv hinterher: das unabhängige wissenschaftliche Gremium, dessen Expertise gerade für die GPAI-Bewertung essenziell ist, war verspätet, während die dezentralen Aufsichtsbehörden in den Mitgliedstaaten, zuständig für die Durchsetzung vor Ort, in Schlüsselländern wie Deutschland nicht einmal benannt waren. Dieses Machtvakuum konzentrierte die operative Autorität in der kritischen Anfangsphase der Implementierung stark bei der Europäischen Kommission.⁴

Quelle: Bild generiert von Gemini (Google AI)

 

Die gestaffelte Rechtswirksamkeit - Analyse der Implementierungsphasen 2025

2. Februar 2025 - Die Verbote

Die erste Welle der Rechtswirksamkeit trat am 2. Februar 2025 in Kraft. Seit diesem Datum gelten die Verbote für KI-Praktiken mit unannehmbarem Risiko (Kapitel II, Artikel 5). Von entscheidender Bedeutung ist, dass diese Verbote auch für Systeme gelten, die bereits vor diesem Datum in Verkehr gebracht wurden. Unternehmen waren somit gezwungen, ihre bestehenden Systeme einer sofortigen Re-Evaluierung zu unterziehen.⁵ Ebenfalls seit Februar 2025 gelten die Verpflichtungen zur „AI Literacy“ (KI-Kompetenz) nach Artikel 4, die Anbieter und Betreiber zu Schulungsmaßnahmen verpflichten.

2. Mai 2025 - Verpasste Frist: Der GPAI-Kodex

Gemäß Artikel 56(9) des AI Acts sollte der „Code of Practice“ für GPAI-Modelle bis zum 2. Mai 2025 fertiggestellt sein.⁶ Diese Frist wurde aufgrund der Komplexität und der kontroversen Verhandlungen mit der Industrie verpasst. Der finale Kodex wurde erst im Juli 2025 veröffentlicht.⁷

2. August 2025 - GPAI und Governance

Die zweite Welle der Rechtswirksamkeit trat am 2. August 2025 in Kraft. Seit diesem Datum gelten die Verpflichtungen für Anbieter von GPAI-Modellen (Kapitel V). Gleichzeitig wurden die Governance-Bestimmungen (Kapitel VII) sowie die Bestimmungen zu Vertraulichkeit und Sanktionen (Kapitel XII) rechtswirksam. Die Sanktionen sind drakonisch und reichen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes für Verstöße gegen die Verbote des Artikel 5.

Die gestaffelte Implementierung erzeugte 2025 einen „Compliance-Rückstau“, der durch eine Asynchronität von Rechtspflicht und Rechtsdurchsetzung gekennzeichnet ist. Seit Februar 2025 ist die Nutzung eines verbotenen Systems (Art. 5) rechtswidrig und kann theoretisch bestraft werden. Gleichzeitig, wie noch später ausgeführt wird, hatten zentrale Mitgliedstaaten wie Deutschland im August 2025 die für die Durchsetzung zuständige Aufsichtsbehörde noch nicht einmal benannt. Diese Fälle der Rechtswirksamkeit ohne Exekutive schuf eine Periode der Rechtsunsicherheit, die den Nährboden für Lobbying gegen die Bestimmungen des AI Acts bildete.⁸

 

Die Verbote des Artikel 5 in der Praxis

Das Inkrafttreten der Verbote für KI mit inakzeptablem Risiko am 2. Februar 2025 markierte den ersten Praxistest der Verordnung. Die unmittelbare Veröffentlichung von Kommissionsleitlinien zur Auslegung dieser Verbote nur zwei Tage später (4. Februar 2025) unterstreicht den hohen Grad an rechtlicher Unsicherheit, der diese Bestimmungen umgibt. Entgegen der öffentlichen Wahrnehmung sind die Verbote des Artikel 5 juristisch „weich“, da sie durch unbestimmte Rechtsbegriffe und weitreichende Ausnahmen gekennzeichnet sind.⁹

Zivilgesellschaftliche Organisationen wie AlgorithmWatch kritisierten die Entwürfe der Kommissionsleitlinien scharf. Sie warnten, das Gesetz sei voller schwerwiegender Schlupflöcher. Die Kernkritik lautet, dass bestimmte Verbote, wie z.B. bei Predictive Policing, präzisiert und erweitert werden müssten und dass die Regulierung sich nicht an technischer Komplexität, sondern an potenziellen Folgeschäden orientieren müsse.¹⁰

Das Inkrafttreten der Verbote war somit nicht das Ende dieser Praktiken, sondern der Beginn einer intensiven juristischen Auseinandersetzung um deren Auslegung. Während Gerichtsentscheidungen Ende 2025 noch ausstanden, zeigten sich erste Tendenzen bei der behördlichen Durchsetzung, da nationale Datenschutzbehörden (DPAs) begannen die Verzögerungen nationaler Umsetzung und das daraus resultierende Governance-Vakuum zu nutzen, um die Zuständigkeiten an sich zu ziehen. In Spanien kündigte die Datenschutzbehörde (AEPD) an, dass sie auf Basis ihrer bestehenden Befugnisse aus der DSGVO gegen verbotene KI-Systeme nach Art. 5 vorgehen könne, die personenbezogene Daten verarbeiten, sogar noch bevor AEPD formell zur KI-Aufsichtsbehörde ernannt wird. Dies bedeutet, dass die Durchsetzung des AI Acts stark in Richtung Datenschutzrecht gelenkt wird.¹¹

 

Das Epizentrum der Kontroverse 2025: Die Regulierung von GPAI

Während GPAI-Modelle bisher lediglich als eine von vier Risikostufen mit Transparenzpflichten eingeschätzt wurden, entwickelte sich dieses Thema 2025 zur zentralen Kontroverse über die Zukunft des AI Acts. Seit dem 2. August 2025 unterliegen Anbieter von GPAI-Modellen den Verpflichtungen nach Artikel 53, d.h. primär technische Dokumentation und Einhaltung des EU-Urheberrechts. Anbieter von GPAI-Modellen mit systemischem Risiko unterliegen zusätzlich den verschärften Pflichten nach Artikel 55, d.h. Bewertung systemischer Risiken, rigorose Tests und Cybersicherheit.

Um diese abstrakten gesetzlichen Pflichten zu konkretisieren, sieht Artikel 56 einen freiwilligen Verhaltenskodex (CoP - Code of Practice) vor, der sich zunehmend zu einem Konfliktherd entwickelt hat. Dessen Einhaltung gewährt Anbietern eine Konformitätsvermutung (presumption of compliance), was den Verwaltungsaufwand und die Rechtsunsicherheit massiv reduziert.¹² Dieser von Experten entwickelte Kodex verpasste seine ursprüngliche Frist (2. Mai 2025) und wurde erst am 10. Juli 2025 vom AI Office veröffentlicht und als adäquat bestätigt.¹³ Unmittelbar nach der Veröffentlichung kam es zum Eklat, der die „Big Tech“-Industrie spaltete. Während Google (Alphabet) am 30. Juli 2025 ankündigte, den Kodex unterzeichnen zu wollen¹⁴, und Microsoft den Verhaltenskodex ausdrücklich befürwortet hat15, verweigerte Meta (Facebook) die Unterzeichnung des CoP¹⁶. Die Zustimmung Googles erfolgte jedoch unter scharfem Vorbehalt, da Vertreter von Google öffentlich die Sorge äußerten, der AI Act und der Kodex würden Europas Entwicklung und Einsatz von AI verlangsamen sowie die Wettbewerbsfähigkeit gefährden.¹⁷ Meta bezeichnete den Kodex als zweideutig, exzessiv und als Bedrohung für das Wachstum. Meta betonte, man werde sich zwar an den AI Act halten, jedoch nicht an den freiwilligen Kodex.¹⁸

Metas Weigerung stellt eine direkte strategische Herausforderung an den gesamten Durchsetzungsmechanismus der Kommission dar. Der Plan des AI Office basierte darauf, den CoP als skalierbaren Compliance-Pfad zu etablieren. Meta entkoppelt nun den freiwilligen Kodex vom mandatorischen Gesetz und zwingt das AI Office, die Konformität von Metas Modellen direkt anhand des abstrakten Gesetzestextes von Art. 53/55 zu prüfen. Dies ist für die neue Behörde ein ressourcenintensiver und juristisch hochriskanter Weg.¹⁹ Diese Auseinandersetzung politisierte die gesamte Implementierung. Die technische Kritik am CoP, die auch von Industrieverbänden wie der CCIA²⁰ und europäischen Konzernen wie Siemens, SAP und Airbus geteilt wurde²¹, mündete in der politischen Forderung nach einem Stopp der Verordnung oder zumindest einer Regulierungspause („potential EU AI Act pause“).²²

 

Nationale Umsetzungsstrategien im Vergleich

Obwohl der AI Act als Verordnung konzipiert ist, die unmittelbar gilt und Harmonisierung zum Ziel hat, erfordert sie von den Mitgliedstaaten die Benennung zuständiger nationaler Behörden und Marktüberwachungsbehörden. Die Frist hierfür war der 2. August 2025. In der Praxis führte dieser Prozess 2025 zu einem paradoxen Ergebnis. Statt Harmonisierung entstand eine tiefgreifende regulatorische Fragmentierung. Bereits im November 2024 hatten nur 3 von 27 Mitgliedstaaten ihre zuständigen Behörden klar benannt.²³

 

Österreich

Österreichs Umsetzungsstrategie im Jahr 2025 war von Verzögerungen und einem Mangel an regulatorischer Klarheit geprägt. Obwohl das Land proaktiv eine „KI-Servicestelle“ (AI Service Desk) bei der Rundfunk und Telekom Regulierungs-GmbH (RTR-GmbH) eingerichtet hat, dient diese primär als Informations- und Anlaufstelle für Unternehmen. Entscheidend ist, dass Österreich die Frist vom 2. August 2025 zur Benennung der zentralen Marktüberwachungsbehörde und der notifizierenden Behörde nicht eingehalten hat. Ein entsprechendes nationales Durchführungsgesetz, das ursprünglich für das erste Quartal 2025 erwartet wurde, ist bisher auch noch nicht verabschiedet. Zwar wurde im November ein „KI-Umsetzungsplan“ sowie eine Liste von 19 Stellen zum Schutz der Grundrechte (gemäß Artikel 77) veröffentlicht, die Kernzuständigkeit für die Marktaufsicht blieb jedoch vakant.²⁴ Diese regulatorische Unsicherheit trifft auf eine Wirtschaft, die laut Studien (z.B. McKinsey „State of AI in Austria 2025“) bei der AI-Reife (AIQ-Score 30) hinter dem EU-Durchschnitt (34) zurückliegt. Lediglich 20 % der österreichischen Unternehmen gaben an, eine ausformulierte KI-Strategie zu besitzen.²⁵

 

Deutschland

Deutschland hat die Frist vom 2. August 2025 zur Benennung seiner Aufsichtsbehörde verpasst. Dieser Zustand führte zu massiver Rechtsunsicherheit bei Unternehmen und scharfer Kritik von Datenschützern, die vor einer Kontrolllücke und fehlenden Ansprechpartnern warnten. Die politische Debatte in Deutschland im Rahmen des KI-Marktüberwachungs-Gesetzes ist aktuell noch nicht abgeschlossen und dreht sich um die Zuständigkeit: die Bundesnetzagentur, die Datenschutzbehörden oder eine neu zu gründende Behörde.²⁶

 

Italien

Italien verfolgte einen diametral entgegengesetzten, proaktiven Ansatz. Die Regierung erließ ein umfassendes eigenes nationales KI-Gesetz (Legge Nr. 132/2025), das am 10. Oktober 2025 in Kraft trat.²⁷ Dieses Gesetz ergänzt den AI Act und führt zusätzliche nationale Regeln („Gold-Plating“) ein. Dazu gehören erweiterte Transparenzpflichten für Arbeitgeber beim Einsatz von KI am Arbeitsplatz und ein neuer Straftatbestand für die unrechtmäßige Verbreitung von KI-generierten Inhalten (Deepfakes), der mit ein bis fünf Jahren Haft bestraft wird. Die Benennung der Aufsichtsbehörden wurde durch das Gesetz an die Regierung delegiert.²⁸

 

Frankreich und Spanien

Frankreich kündigte im September 2025 einen nationalen Aufsichtsplan an, der auf eine Aufteilung der Zuständigkeiten zwischen bestehenden Regulierungsbehörden wie der Datenschutzbehörde, der Wettbewerbsbehörde und der Medienaufsicht hinauszulaufen scheint.²⁹ Spanien, das die Einrichtung einer dedizierten KI-Behörde (AESIA) plant, sah sich mit einer proaktiven Zuständigkeitserklärung seiner Datenschutzbehörde (AEPD) konfrontiert.³⁰

Diese Entwicklungen untergraben das Kernziel eines harmonisierten Binnenmarktes. Ein Anbieter von AI, der 2025 in der EU tätig ist, sieht sich einem regulatorischen Vakuum in Deutschland, zusätzlichen Strafgesetzen in Italien und einem sektoralen Patchwork in Frankreich gegenüber.

 

Der “Brussels Effect” auf dem Prüfstand

Die Hoffnung, der AI Act werde einen „Brussels Effect“ auslösen und de facto zum globalen Standard werden, bleibt im Jahr 2025 stark umstritten. So insistiert etwa der Politikwissenschaftler Ben Crum, der AI Act sei kein klassischer „Brussels Effect“. Er geht davon aus, dass AI, anders als frühere Regulierungsthemen wie z.B. der Datenschutz, von fundamentaler Unsicherheit und existenziellem Risiko geprägt sei. Crum schlägt vor, den AI Act nicht als globalen Standard, sondern als experimentelle Regulierung zu verstehen, ein regionaler Ansatz unter vielen, der sich kooperativ weiterentwickeln müsste.³¹

Die EU befindet sich 2025 in einer geopolitischen Zwickmühle, da sie mit ihrem Weg der menschenzentrierten Regulierung isoliert ist. Während die USA auf aktive Deregulierung setzen und unter Präsident Trump bereits erste AI-Sicherheitsauflagen wieder gekippt wurden, forciert China die staatliche Technologieentwicklung.³² Wenn US-Unternehmen wie Meta beginnen, EU-Compliance-Mechanismen wie den Verhaltenskodex offen abzulehnen, und die US-Regierung dies durch Deregulierung politisch deckt, erodiert die globale Normsetzungsmacht der EU. Aus Sicht der USA bleibt das bisherige Paradigma „the U.S. innovates, and the EU regulates“ auch im Jahr 2025 weitgehend bestehen.³³

Quelle: Bild generiert von Gemini (Google AI)

 

Der AI Act im Alltag 2025: Erste sichtbare Implikationen

Im Alltag der Bürger und Unternehmen im Jahr 2025 sind die Auswirkungen des AI Act zweigeteilt, in Transparenz für Bürger gem. Artikel 50 und Pflichten für Unternehmen gem. Artikel 4 & 5. Der AI Act agiert somit gleichzeitig als Verbraucherschutz-Informationsgesetz und als Teil des Arbeits- und Organisationsrechts.

Für Bürger als Konsumenten von Medien sind die „weichen“ Transparenzpflichten des Artikel 50 am sichtbarsten. Bei der Nutzung von Chatbots müssen Nutzer informiert werden, dass sie mit einem KI-System interagieren. Künstlich erzeugte oder manipulierte Audio-, Bild- oder Videoinhalte müssen als solche gekennzeichnet werden.³⁴ Angesichts globaler Sorgen vor Desinformation und neuer nationaler Gesetze treibt die EU-Kommission dieses Thema aktiv voran und hat am 5. November 2025 die Arbeit an einem separaten „Verhaltenskodex zur Kennzeichnung von KI-generierten Inhalten“ aufgenommen.³⁵

Für Unternehmen als Betreiber und Arbeitgeber ist die Wirkung hart und obligatorisch. Die, laut Artikel 4 (AI Literacy), seit Februar 2025 geltende Pflicht zur Sicherstellung von „AI-Kompetenz“ bei Personal, das KI-Systeme (insb. Hochrisiko-Systeme) betreibt, schafft einen neuen Compliance- und Bildungssektor. Unternehmen sind verpflichtet in Schulungen zu investieren und Governance-Strukturen aufzubauen. Trotz dieser gesetzlichen Verpflichtung zum Aufbau der AI-Kompetenz in Unternehmen, zeigt eine neue repräsentative Umfrage des Digitalverbands Bitkom, dass in Deutschland nur 20% der Beschäftigten eine AI-Schulung erhalten und sogar 70% der Firmen die AI-Schulungspflicht gänzlich ignorieren.³⁶

Für Unternehmen kommt auch das Verbot hinzu, Emotionserkennung am Arbeitsplatz und in Bildungseinrichtungen einzusetzen (Artikel 5 - Verbot der Emotionserkennung), das seit Februar 2025 rechtsverbindlich ist und den Einsatz entsprechender HR- oder Bildungssoftware illegal macht.

 

Conclusio und Ausblick: Die Zukunftssicherheit des AI Acts

Das Jahr 2025 markierte den Übergang des AI Acts von einer legislativen Ambition in eine operative Realität. Der 2024 beschriebene Meilenstein wurde 2025 durch vier Schlüsselfaktoren auf die Probe gestellt. Die (1) Etablierung einer zentralen Governance (AI Office), wird durch die (2) dezentrale Fragmentierung durch nationale Verzögerungen konterkariert. Das (3) Inkrafttreten erster Rechtsfolgen ist nahezu unwirksam, weil deren Durchsetzung mangels Behörden unsicher ist. Hinzu kommt der (4) strategische Konflikt mit globalen GPAI-Anbietern, der den Zeitplan und den Kern der Regulierung bedroht und in Frage stellt.

Daher plant die Europäische Kommission zentrale Teile ihres historischen Gesetzes zur Regulierung künstlicher Intelligenz bereits jetzt abzuschwächen bzw. deren Einführung zu verzögern. Dies geschieht als Reaktion auf massiven Druck von US-Technologiekonzernen und der US-Regierung. So erwägt die EU eine Schonfrist für Unternehmen, das Aussetzen von Geldstrafen bis August 2027 sowie bestimmte Vereinfachungen und Ausnahmen. Über diese Maßnahmen soll noch im November 2025 entschieden werden, um die Wettbewerbsfähigkeit der EU gegenüber den USA und China zu stärken und Bedenken der Industrie über zu hohe Compliance-Kosten und Innovationshemmnisse auszuräumen. Während Wirtschaftsvertreter die Pläne als notwendigen Schritt begrüßen, um Innovationen in Europa nicht abzuwürgen, sind Bürgerrechts- und Datenschutzorganisationen alarmiert, weil sie davor warnen, dass diese Änderungen die Sicherheitsstandards aushöhlen und den Schutz der Bürger schwächen könnten.³⁷

Der AI Act droht also operativ zu scheitern, noch bevor seine wichtigsten Bestimmungen für Hochrisiko-KI-Systeme im Jahr 2026 überhaupt in Kraft treten. Die Implementierung der vermeintlich einfacheren Governance- und GPAI-Regeln im Jahr 2025 sollte die Vorbereitungsphase sein. Diese ist in wesentlichen Teilen misslungen. Wenn die EU bereits an der Etablierung der Struktur scheitert, ist ernsthaft in Zweifel zu ziehen, wie sie 2026 die kommenden Inhalte durchsetzen will.