EU-KI-Behörde startet erste Kontrollen bei KI-Riesen

Die EU-KI-Behörde hat ihre ersten offiziellen Ermittlungen gegen Anbieter von Hochrisiko-KI-Modellen eingeleitet. Damit wird freiwilliges Sicherheitstesten zur gesetzlichen Pflicht – und löst bereits transatlantische Spannungen aus.

Vom freiwilligen Test zur gesetzlichen Pflicht

Die Regulierung Künstlicher Intelligenz in Europa tritt in eine neue Phase ein. Seit dieser Woche überprüft die neu geschaffene EU-KI-Behörde erstmals offiziell, ob Anbieter sogenannter Frontier-Modelle die Sicherheitsvorgaben einhalten. Konkret geht es um KI-Systeme, die als „systemisch riskant“ eingestuft sind. Für deren Entwickler ist das intensive Sicherheitstesten, bekannt als Red Teaming, nun keine freiwillige Maßnahme mehr, sondern eine strikte gesetzliche Verpflichtung.

Die Behörde fordert detaillierte technische Dokumentationen, die belegen, dass die Tests bestimmten Standards genügen. Dabei wird simuliert, wie die Modelle auf Cyberangriffe, Manipulationsversuche oder das Hervorrufen von Vorurteilen reagieren. „Die Schonfrist für die KI-Governance ist vorbei“, kommentiert ein Branchenkenner. Große Tech-Konzerne stehen nun unter Druck, ihre Widerstandsfähigkeit nachzuweisen.

Die EU hat die Regeln für KI deutlich verschärft — verpflichtendes Red Teaming, umfassende Dokumentation und empfindliche Sanktionen sind jetzt Realität. Der kostenlose Umsetzungsleitfaden zur EU‑KI‑Verordnung erläutert kompakt, welche Pflichten Entwickler und Anbieter jetzt erfüllen müssen, wie Sie Ihr System korrekt klassifizieren und welche Nachweise Auditoren erwarten. Ein praktischer Check‑Plan hilft Compliance‑Teams, Lücken schnell zu schließen. KI‑Umsetzungsleitfaden jetzt herunterladen

Code of Practice als strenger Maßstab

Grundlage für die neuen Kontrollen ist der Ende 2025 finalisierte GPAI Code of Practice. Dieses Dokument gilt als technische Roadmap für die Konformität mit dem EU-KI-Gesetz. Wer sich an die Richtlinien hält, genießt eine „Vermutung der Konformität“. Doch die Anforderungen an das Red Teaming sind überraschend detailliert.

Der Code schreibt vor, dass die Tests kontinuierlich und sich entwickelnd sein müssen – nicht nur eine einmalige Prüfung vor der Veröffentlichung. Entwickler müssen zudem den Energieverbrauch des Modelltrainings offenlegen, Zusammenfassungen der Trainingsdaten bereithalten und sichere Testumgebungen für unabhängige Überprüfungen vorhalten. Für Unternehmen wie Microsoft, Alphabet (Google) und Meta bedeutet das: Ihre internen Sicherheitsteams müssen sich strikt an die EU-Standards anpassen.

Transatlantischer Tech-Konflikt droht

Die entschlossene Haltung Brüssels hat bereits politische Wellen geschlagen. Die US-Regierung hat scharfe Kritik an den EU-Ermittlungen geäußert. Amerikanische Beamte sehen in den strengen Vorgaben, besonders den als invasiv empfundenen Modellbewertungen, eine potenzielle Innovationsbremse.

Als Reaktion prüfen die USA offenbar gegenzusteuern – mit möglichen Section-301-Untersuchungen und Strafzöllen. Multinationale Tech-Konzerne sitzen damit zwischen den Stühlen: Hier die strengen Sicherheitsvorgaben der EU, dort der protektionistische Kurs Washingtons. Marktbeobachter sehen, dass dieser regulatorische Konflikt bereits heute Geschäftsentscheidungen beeinflusst. Viele Unternehmen ziehen ihre Compliance-Audits nun vor, um den ungestörten Zugang zum europäischen Markt zu sichern.

Hohe Kosten und Marktkonzentration befürchtet

Die Aufwertung des Red Teaming zur gesetzlichen Pflicht markiert einen Reifeprozess der gesamten KI-Branche. Was früher Aufgabe interner Sicherheitsteams war, ist nun ein Compliance-Thema für die Vorstandsetage – vergleichbar mit einer Finanzprüfung.

Experten warnen vor den Folgen: Die Compliance-Kosten werden voraussichtlich stark steigen. Der Aufbau und Betrieb der geforderten Test-Workflows und sicheren Evaluierungsumgebungen erfordert spezialisiertes Personal und teure Infrastruktur. Dies könnte zu einer Zwei-Klassen-Gesellschaft im KI-Markt führen: Auf der einen Seite hochregulierte Frontier-Modelle der Tech-Giganten, auf der anderen kleinere, weniger riskante Systeme. Die Macht könnte sich damit bei den wenigen Unternehmen konzentrieren, die sich die aufwendige Einhaltung aller Vorgaben leisten können.

Countdown bis August 2026 läuft

Die aktuellen Ermittlungen sind erst der Anfang. Der kritische Termin steht am 2. August 2026. Ab dann kann die EU-KI-Behörde bei Verstößen gegen die GPAI-Regeln Bußgelder von bis zu 3 Prozent des weltweiten Umsatzes eines Unternehmens verhängen.

Bis zu diesem Stichtag wird die Branche mit einer Flut regulatorischer Aktivitäten rechnen müssen. Ein besonderer Konfliktherd wird voraussichtlich die genaue Definition der geforderten Zusammenfassungen der Trainingsdaten sein. Hier drohen Rechtsstreits zum Schutz proprietärer Datensätze. Unternehmen, die es bis Mitte 2026 nicht schaffen, Red Teaming fest in ihre Prozesse zu integrieren, riskieren nicht nur hohe Geldstrafen. Sie laufen Gefahr, vom EU-Markt komplett ausgeschlossen zu werden.

PS: Die Uhr läuft — Übergangsfristen und mögliche Prüfungen machen jetzt Handeln notwendig. Holen Sie sich den kostenlosen Leitfaden zur EU‑KI‑Verordnung: Er erklärt verständlich Kennzeichnungspflichten, Dokumentationspflichten und erste Schritte für ein rechtskonformes Red Teaming. Ideal für Vorstände, Security‑ und Legal‑Teams, die den EU‑Marktzugang sichern wollen. Jetzt kostenlosen KI‑Leitfaden sichern