- Published on
EU AI Act vs. UK: Zwei Wege der KI-Regulierung
- Authors
- Name
- Tails Azimuth
Wer KI-Systeme in mehreren Rechtsräumen betreibt, stößt schnell auf eine unbequeme Wahrheit: Der EU AI Act ist nicht der globale Standard, sondern einer von mehreren Ansätzen. Das Vereinigte Königreich hat sich nach dem Brexit bewusst gegen das EU-Modell entschieden und einen eigenen Weg eingeschlagen. Für Unternehmen mit Geschäft in beiden Räumen entsteht damit eine Doppel-Architektur, die man verstehen muss, bevor man sie nachweisbar bedient.
Dieser Beitrag stellt die beiden Regulierungsphilosophien gegenüber — nicht als akademischer Vergleich, sondern als Frage: Welche Nachweise muss ein Unternehmen vorhalten, wenn es Kunden in der EU und im UK hat?
Zwei gegensätzliche Grundphilosophien
Der EU AI Act (Verordnung (EU) 2024/1689) ist risikobasiert und horizontal. Er definiert ein einheitliches Regelwerk für alle Sektoren und staffelt die Pflichten nach Risikoklasse: verbotene Praktiken, Hochrisiko-Systeme, Systeme mit Transparenzpflichten und Systeme mit minimalem Risiko. Wer in eine Klasse fällt, kennt seine Pflichten unabhängig von der Branche. Das Gesetz wirkt extraterritorial: Auch Anbieter außerhalb der EU sind erfasst, sobald ihr System im EU-Markt in Verkehr gebracht oder dessen Output in der EU genutzt wird.
Das Vereinigte Königreich hat sich für das Gegenteil entschieden. Das Whitepaper „A pro-innovation approach to AI regulation" aus dem Jahr 2023 verzichtet bewusst auf ein eigenständiges KI-Gesetz. Statt einer zentralen Verordnung formuliert es sektorübergreifende Prinzipien, die von den bestehenden Fachaufsichten — etwa der Datenschutzbehörde ICO, der Finanzaufsicht FCA, der Wettbewerbsbehörde CMA oder der Arzneimittelbehörde MHRA — in ihrem jeweiligen Zuständigkeitsbereich ausgelegt und angewandt werden. Es gibt keinen zentralen KI-Regulator und keine einheitliche Risiko-Taxonomie.
Vereinfacht: Die EU schreibt ein Gesetz und verteilt die Pflichten nach Risiko. Das UK schreibt Prinzipien und überlässt die Konkretisierung den vorhandenen Aufsichten je Branche.
Die fünf UK-Prinzipien — und warum sie kein Gesetz sind
Der UK-Ansatz ruht auf fünf sektorübergreifenden Prinzipien, die Regulatoren in ihrem Bereich umsetzen sollen: Sicherheit und Robustheit; angemessene Transparenz und Erklärbarkeit; Fairness; Rechenschaft und Governance; sowie Anfechtbarkeit und Rechtsbehelf (Contestability and Redress).
Entscheidend ist die rechtliche Natur: Diese Prinzipien waren zunächst nicht-statutorisch angelegt — also kein unmittelbar bindendes Gesetz mit eigenem Bußgeldrahmen, sondern Leitplanken, die die Aufsichten über ihre jeweils bestehenden Befugnisse durchsetzen. Ein KI-System im Finanzsektor wird damit über die FCA-Regeln greifbar, eines im Gesundheitsbereich über die MHRA, eines mit Personendaten über die ICO und die UK-Datenschutzgesetzgebung. Die Sanktion entsteht nicht aus „dem KI-Gesetz", sondern aus dem jeweiligen Sektorrecht.
Für die Praxis heißt das: Im UK gibt es nicht den einen Compliance-Pfad, sondern so viele Pfade, wie es betroffene Aufsichten gibt. Wer den eigenen Anwendungsfall nicht sauber den richtigen Regulatoren zuordnet, übersieht Pflichten.
Was das konkret für Unternehmen bedeutet
Drei Unterschiede sind für die operative Vorbereitung am wichtigsten.
Erstens die Klassifizierung. Unter dem EU AI Act ist die erste und folgenreichste Frage: In welche Risikoklasse fällt mein System? Diese Einstufung bestimmt, ob die volle Hochrisiko-Pflichtenkette greift. Im UK gibt es diese formale Klassifizierung nicht — stattdessen ist die Leitfrage, welche Sektorregulatoren betroffen sind und welche bestehenden Vorgaben deren Praxis bereits enthält.
Zweitens die Nachweislogik. Der EU AI Act verlangt für Hochrisiko-Systeme dokumentierte, prüfbare Belege: technische Dokumentation, Risikomanagement, Logging, menschliche Aufsicht, Konformitätsbewertung. Der UK-Ansatz ist outcome-orientierter formuliert — die Prinzipien beschreiben Ergebnisse wie Fairness oder Erklärbarkeit, nicht zwingend eine vorgeschriebene Aktenstruktur. Das wirkt zunächst leichter, verlagert die Last aber auf das Unternehmen: Es muss selbst belegen können, dass es die Prinzipien erfüllt — vor einer Aufsicht, die kein einheitliches Prüfraster vorgibt.
Drittens die Zeitachse. Der EU AI Act hat ein hartes Forcing Event: Mit der EU-AI-Act-Enforcement zum 2. Dezember 2027 (Digital Omnibus) wird die Durchsetzung greifbar. Wer EU-Kunden bedient, plant rückwärts von diesem Datum. Der UK-Pfad kennt diesen einen Stichtag nicht; er entwickelt sich über die einzelnen Aufsichten und deren Leitlinien fort.
Der gemeinsame Nenner: nachweisbares Vertrauen
So unterschiedlich die beiden Systeme aussehen — der operative Kern ist derselbe. Ob ein Unternehmen einer EU-Konformitätsbewertung gegenübersteht oder einer UK-Sektoraufsicht, die Fairness und Erklärbarkeit sehen will: In beiden Fällen muss es belegen, wie sein KI-System funktioniert, welche Risiken adressiert wurden und wer wofür verantwortlich ist. Die Form des Nachweises unterscheidet sich, die Notwendigkeit des Nachweises nicht.
Genau hier setzt eine Trust-Infrastructure an, statt zwei getrennte Compliance-Projekte zu führen. Wer Evidenz — Audit-Trails, Provenance, Verantwortlichkeiten, Risikobewertungen — als durchgehende Schicht aufbaut, kann dieselbe Substanz gegenüber unterschiedlichen Rechtsräumen in unterschiedlicher Form ausspielen. Ein Reifegradmodell wie AIMS (ISO 42001 × CMMI v3) liefert dafür den Rahmen: Es beschreibt nicht eine Jurisdiktion, sondern die Managementsystem-Reife, aus der heraus sich sowohl EU-Konformität als auch UK-Prinzipientreue nachweisen lassen. Compliance wird damit zur Folge belastbarer Evidenz, nicht zum getrennten Sonderprojekt je Land.
Für Unternehmen mit mehreren Rechtsräumen lohnt der direkte Vergleich der Systeme. Eine vertiefte Gegenüberstellung der europäischen Ansätze — inklusive der Schweizer Lage außerhalb der EU — finden Sie auf ki-regulierung.ch.
Fazit
EU AI Act und UK-Ansatz sind keine Varianten desselben Modells, sondern zwei Philosophien: zentrale risikobasierte Verordnung gegen dezentrale prinzipienbasierte Sektorregulierung. Wer beide Räume bedient, sollte nicht zweimal von vorn anfangen, sondern eine gemeinsame Evidenz-Basis aufbauen und sie pro Rechtsraum in die geforderte Form bringen. Das ist nachweisbar, audit-ready — und skaliert mit jedem weiteren Markt.
Mehr zur AEGIRA Trust-Platform: aegira.ai