EU AI Act 2025: Was Mittelständler JETZT wissen müssen
Der AI Act ist da - mit Strafen bis 35 Mio. €. Erfahren Sie, welche KI-Tools Sie noch nutzen dürfen, was ab August 2025 gilt und wie Sie in 90 Tagen compliant werden. Inklusive Praxis-Beispiele und ROI-Rechnung.
1. Warum Sie keine Zeit mehr haben
Stand: 27. Juli 2025
Während Sie die nächste interne Mail zu „KI? Erstmal abwarten…” formulieren, laufen bereits verbindliche Fristen: Seit dem 2. Februar 2025 gelten die Verbote bestimmter KI-Praktiken – und die Pflicht zur KI-Kompetenz („AI Literacy”) für alle Anbieter und Betreiber¹. In wenigen Tagen, am 2. August 2025, treten zusätzlich die Governance-Regeln und Pflichten für General-Purpose-AI (GPAI)-Modelle in Kraft³. Für viele Unternehmen ist das der erste echte Compliance-Härtetest.
Was Sie selten klar gesagt bekommen: Die Strafen sind spürbar höher als bei der DSGVO. Bei verbotenen Praktiken drohen bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes. Für andere Verstöße liegen die Korridore bei 7,5 Millionen Euro oder 1,5%².
Ihr Wettbewerb nutzt die Zeit: Die EU hat am 10. Juli 2025 einen freiwilligen GPAI-Verhaltenskodex veröffentlicht²³, der einen pragmatischen Pfad zur Erfüllung der GPAI-Pflichten bietet. Anbieter wie OpenAI kündigten ihre Teilnahme an²⁹, während Meta öffentlich ausschert²⁷ – was zeigt, dass sich jetzt die Spielregeln und Positionierungen am Markt sortieren. Wer früh Klarheit schafft, gewinnt Geschwindigkeit und Vertrauen.
In den nächsten 15 Minuten zeigen wir Ihnen:
- Die konkreten Fristen bis 2027
- Risikostufen mit Beispielen für Produktion & Handel
- Was DSGVO vs. AI Act praktisch bedeutet
- Einen 90-Tage-Fahrplan zur Compliance
- Beispiele & Benchmarks (ROI, Produktivität)
- Wie Sie Compliance in einen Wettbewerbsvorteil drehen
Alles DSGVO- und AI-Act-konform, praxisnah und ohne leere Versprechen – genau unser Ansatz bei hafen.io.
2. Das Problem: Der AI Act trifft Sie härter als gedacht
„Wir nutzen ja nur ChatGPT.” Das reicht nicht als Argument. Der AI Act unterscheidet Rollen (z.B. Provider/Anbieter vs. Deployer/Betreiber) und Risikostufen. Auch bei „nur Nutzung” tragen Sie Pflichten – von Transparenz nach Art. 50 (Nutzer informieren, Kennzeichnung synthetischer Inhalte)¹⁰ bis hin zu AI-Literacy-Maßnahmen für Mitarbeitende⁸.
Was bedeuten diese Rollen konkret für Ihr Unternehmen?
Der AI Act definiert klare Rollen in der KI-Lieferkette – ähnlich wie Sie es vom Produkthaftungsrecht kennen, aber mit KI-spezifischen Besonderheiten:
Provider/Anbieter sind diejenigen, die KI-Systeme entwickeln und auf den Markt bringen – egal ob Sie die KI selbst programmiert oder in Auftrag gegeben haben. Als Anbieter tragen Sie die Hauptverantwortung: Konformitätsbewertung, technische Dokumentation, Risikomanagement und CE-Kennzeichnung bei Hochrisiko-KI. Beispiel: Ein Softwarehaus, das eine KI-basierte Qualitätskontrolle entwickelt und verkauft.
Deployer/Betreiber sind die Nutzer der KI in ihrem Geschäftsbetrieb. Ihre Pflichten sind überschaubarer: Sie müssen die KI gemäß Bedienungsanleitung nutzen, Logs aufbewahren (mindestens 6 Monate), schwere Vorfälle melden und bei Hochrisiko-KI für menschliche Aufsicht sorgen. Beispiel: Ihr Produktionsbetrieb, der die gekaufte Qualitätskontroll-KI einsetzt.
Importeure bringen KI-Systeme von außerhalb der EU auf den EU-Markt. Sie müssen prüfen, ob der Anbieter alle Pflichten erfüllt hat, bevor sie die KI verkaufen. Händler/Distributoren verkaufen die KI weiter und müssen ebenfalls die Konformität überprüfen.
Achtung Rollenwechsel: Sobald Sie eine KI wesentlich modifizieren, unter Ihrem Namen verkaufen oder den Verwendungszweck ändern, werden Sie automatisch zum Anbieter – mit allen damit verbundenen Pflichten! Beispiel: Sie passen ChatGPT so stark an Ihre Prozesse an und verkaufen diese Lösung weiter → Sie sind jetzt Anbieter, nicht mehr nur Betreiber.
Praxis-Tipp: Klären Sie vertraglich genau, wer welche Rolle innehat und wer für Compliance verantwortlich ist – besonders bei Cloud-Lösungen und API-Nutzung kann das schnell unklar werden.
Versteckte Risiken im Status quo:
- Schatten-KI: Private Accounts, unsaubere Datenflüsse, fehlende Kennzeichnung von KI-Inhalten → Risiko von Art. 50-Verstößen¹²
- Bild-/Video-KI ohne Labeling → Kennzeichnungspflicht für synthetische Inhalte greift¹¹
- Emotionserkennung (z.B. in HR-Tools) → in Schule & Arbeit verboten⁶
- Biometrie, Social Scoring, Predictive Policing → ab 2. Februar 2025 verboten⁵ (mit engen Strafverfolgungs-Ausnahmen für Echtzeit-Biometrie)
Deutsche Besonderheiten:
Häufig wird „Compliance” als Grund gegen Pilotierung genutzt. Der AI Act bietet aber Sandboxes und SME-Unterstützung – jedes EU-Land muss spätestens bis 2. August 2026 mindestens eine nationale KI-Sandbox betreiben²¹. Außerdem müssen die Mitgliedstaaten zuständige Behörden bis 2. August 2025 benennen³. Wer früh startet, kann geförderte Testumgebungen nutzen.
Weckruf: Die EU bestätigt den Zeitplan ohne Pause trotz Lobby-Druck³⁷. Parallel erleichtert der freiwillige GPAI-Kodex die Auslegung²⁴. Abwarten erhöht das Risiko – und die Umstellungskosten.
3. Die Lösung: Ihr pragmatischer Compliance-Fahrplan
3.1 Die 4 Risikostufen – mit Praxisbeispielen
| Stufe | Bedeutung | Beispiele Produktion & Handel | Kernauswirkungen |
|---|---|---|---|
| Unzulässig | Verbotene Praktiken nach Art. 5 | Emotionserkennung bei Mitarbeitenden; Social Scoring; ungezieltes Scraping von Gesichtsbildern; rein profilbasierte Kriminalitätsprognosen | Sofort stoppen (seit 02.02.2025). Hohe Bußgelder. |
| Hochriskant | Annex III oder Sicherheitskomponente/Produkt (Annex I) | Qualitätsprüf-KI als Sicherheitskomponente in Maschinen; biometrische Systeme; HR-Screening/Leistungsbewertung; Kreditwürdigkeit/Versicherung | Strenge Anforderungen (Risikomanagement, Datenqualität, Logging, Human Oversight, Genauigkeit, Konformitätsbewertung, Registrierung). Start 02.08.2026; für produktregulierte Sicherheitskomponenten 02.08.2027. |
| Begrenzt | Transparenzpflichten (Art. 50) | Chatbots im Kundenservice, Text-/Bild-Generatoren, Emotion/Biometrie-Transparenz | Nutzer informieren, Kennzeichnung synthetischer Inhalte; ggf. Einwilligung bei Emotion/Biometrie. |
| Minimal | Geringes Risiko | Spam-Filter, KI-unterstützte Tabellen, viele interne Assistenten | Frei nutzbar, Best Practices empfohlen. |
Quellen: EP² & Commission Timeline³, Art. 5⁵,⁶, Art. 6¹³, Annex III¹³, Art. 50¹⁰,¹¹,¹²
Hinweis für Fertiger & Maschinenbauer: Wird KI als Sicherheitskomponente in ein reguliertes Produkt integriert (z.B. Maschinen-, Medizin-, Fahrzeugrecht), greifen die Hochrisiko-Regeln ab 02.08.2027⁴ – zusätzlich zu sektoralen Konformitätsverfahren.
3.2 Welche Tools Sie weiter nutzen können (und welche nicht)
Chat-Assistenten (z.B. Business-Accounts von GPT, Claude, Gemini, Copilot):
- In der Regel begrenzt riskant → Transparenz & Kennzeichnung sicherstellen¹⁰, AI-Literacy schulen⁸, Richtlinien & Protokollierung einführen
HR-Screening, Leistungsbewertung, Kredit/Versicherung:
- Hochrisiko (Annex III)¹³ → strenge Pflichten, ggf. FRIA (Grundrechte-Folgenabschätzung) vor Einsatz¹⁴
Emotionserkennung am Arbeitsplatz / in Bildung:
- Verboten⁶
Biometrische Kategorisierung (z.B. Rückschlüsse auf Religion/Politik/Sexualität):
- Verboten⁶
Qualitätskontrolle/Visionsysteme in der Produktion:
- Kann hochrisikorelevant werden, wenn Sicherheitsfunktion oder Annex-III-Kontext; sonst häufig „begrenzt/minimal”. Einzelfallprüfung nach Art. 6 empfohlen¹³
3.3 DSGVO vs. AI Act – die wichtigsten Unterschiede
- DSGVO schützt personenbezogene Daten; Pflicht zur DPIA bei hohem Datenschutz-Risiko
- AI Act reguliert KI-Systeme unabhängig davon, ob personenbezogene Daten verarbeitet werden. Fokus auf Gesundheit/Sicherheit & Grundrechte; u.a. FRIA für bestimmte Betreiber von Hochrisiko-Systemen (z.B. öffentliche Stellen/öffentliche Dienste, Kredit/Versicherung)¹⁴. FRIA ergänzt ggf. die DPIA.
Praxis-Tipp: Wenn eine DPIA vorliegt, bauen Sie die FRIA darauf auf (Mapping der Risiken, zusätzliche Grundrechts-Dimensionen, Meldepflicht an Marktaufsicht berücksichtigen)¹⁴. Das senkt Aufwand und vermeidet Doppelarbeit.
Was bedeuten DPIA und FRIA konkret?
Die DPIA (Datenschutz-Folgenabschätzung) kennen Sie vielleicht schon aus der DSGVO. Sie müssen diese durchführen, wenn Ihre Datenverarbeitung voraussichtlich hohe Risiken für Personen birgt – etwa bei der Verarbeitung von Gesundheitsdaten oder bei automatisierten Entscheidungen. Die DPIA dokumentiert, welche Daten Sie wie verarbeiten und welche Schutzmaßnahmen Sie ergreifen.
Die FRIA (Grundrechte-Folgenabschätzung) ist das neue Pendant aus dem AI Act. Sie geht über den Datenschutz hinaus und prüft, ob Ihre KI-Anwendung Grundrechte wie Gleichbehandlung, Meinungsfreiheit oder faire Arbeitsbedingungen gefährdet. Pflicht ist sie für öffentliche Stellen und bei KI-Systemen für Kreditbewertungen oder Versicherungen. Der Clou: Haben Sie bereits eine DPIA, können Sie darauf aufbauen – müssen aber die zusätzlichen Grundrechts-Aspekte ergänzen und das Ergebnis der Marktaufsicht melden.
3.4 Transparenz & Kennzeichnung (Art. 50)
- Interaktion mit KI: Nutzer informieren, außer es ist offensichtlich¹²
- Synthetische Inhalte (Text/Bild/Video/Audio): Kennzeichnen¹¹
- Emotionserkennung & biometrische Kategorisierung: Transparenz & Einwilligung¹² – wobei viele Biometrie-Einsätze ohnehin verboten bzw. nur in engen Ausnahmen zulässig sind
3.5 AI Literacy (Art. 4)
Anbieter und Betreiber müssen „in angemessenem Umfang AI-Kompetenz” sicherstellen – seit 02.02.2025 anwendbar⁸. Inhalte richten sich nach Kontext, Zielgruppe und Einsatz. Typische Bausteine: Risiken, Grenzen, Prompting, Ausgabenprüfung, Bias, Haftung, Dokumentation⁹.
Rechtlicher Hinweis: AI-Literacy ist keine „Kann-Vorschrift”. Sie ist eine Pflicht für alle, die KI bereitstellen oder einsetzen⁸,⁹ – und damit ein schneller Quick-Win zur Risikoreduktion.
4. Die Umsetzung: In 90 Tagen compliant
Woche 1–2: Bestandsaufnahme
-
KI-Inventar (30–120 Min je Bereich):
- Systeme, Use Cases, Datenquellen
- Rollen (Provider/Importer/Händler/Betreiber)
- Modell-Typ (GPAI/feinabgestimmt/Eigenentwicklung)
- Risiko-Hypothese (verboten/hoch/begrenzt/minimal)
-
Risikobewertung je Use Case:
- Art. 5-Check⁵,⁶ → sofort stoppen?
- Annex III-Treffer¹³? Sicherheitskomponente?
- Art. 50-Transparenz¹⁰,¹¹,¹²? DSGVO-Bezug + DPIA/FRIA-Bedarf prüfen¹⁴
-
Quick Wins markieren:
- Begrenzt/minimal → mit Richtlinien, Logging & Schulung schnell legal nutzbar
Praxis-Tipp: Starten Sie mit einem Kanban-Board: Spalten = „Verbote stoppen”, „Hochrisiko (Plan)”, „Transparenz+Literacy”, „Fertig”. So behalten Sie Geschwindigkeit und Governance im Blick.
Monat 1: Grundlagen schaffen
- Richtlinien & Prozesse: KI-Policy, Prompt-Richtlinien, Freigaben, Kennzeichnung, Vorlagen für Transparenzhinweise
- AI-Literacy Trainings: Rollenbasiert (Management, Fachbereiche, IT/Datenschutz). Dokumentation der Teilnahme⁸,⁹
- Technik-Grundlagen: Business-Accounts, Logging, Zugriff, Datenklassifizierung, Prompt-Schutz, Content-Labeling. Bei GPAI-Eigenbetrieb: Blick in den GPAI-Kodex²³,²⁴
Monat 2–3: Implementierung
Hochrisiko-Vorbereitung:
- Risikomanagement, Daten-Governance, Tests, Genauigkeit, Robustheit
- Technische Dokumentation (Anhang IV), QMS, Konformitätsbewertung, Registrierung (Art. 49)¹⁶
- FRIA für betroffene Betreibergruppen vor Erstnutzung¹⁴; ggf. Meldung an Marktaufsicht¹⁵
GPAI-Pflichten (ab 02.08.2025)²³:
- Transparenz zu Trainingsinhalten (Aggregat), Urheberrecht, Sicherheits-/Red-Team-Prüfungen
- Für systemische Risiken strengere Vorgaben
- Kodex als „Comply-by-Design” nutzen²⁴
Monitoring & Post-Market:
- Metriken, Vorfallprozesse, Updates, Aufbewahrung von Logs¹⁷
- Templates der Kommission werden erwartet¹⁸
Stolpersteine & Plan B
- „AI-ready”-Marketing: Achten Sie auf konkrete Nachweise (Transparenzinfos, DPA/AVV, Sicherheitsberichte, Teilnahme am GPAI-Kodex²⁴). Keine reinen Versprechen akzeptieren
- Biometrie/Emotion in HR & Bildung: Nicht erlaubt – bleibt verboten⁶.
- Unklare High-Risk-Abgrenzung: Art. 6-Dokumentation erstellen¹³; bei Zweifel konservativ planen oder Sandbox/Behörden-Feedback einholen²¹
5. Metriken & ROI
- Durchschnittlicher Gen-KI-ROI: 3,7× je investiertem Dollar; Top-Leader bis 10,3׳³ (IDC „Business Opportunity of AI 2024”, Microsoft-gesponsert)
- Produktivität:
- +66% im Schnitt über drei Studien³⁰
- +59% mehr Business-Dokumente/Stunde³⁰
- +13,8% mehr Support-Tickets/Stunde³¹
- +126% mehr Software-Projekte/Woche³²
- Copilot-ROI (SMB): 132%–353%³⁵ (Forrester TEI, 2024)
Einordnung: Studien zeigen große Effekte – aber nur, wenn Prozesse, Qualitätssicherung und Schulung sitzen. Genau das fordert der AI Act: klare Verfahren, Monitoring, Kompetenzen. Wer Compliance ernst nimmt, realisiert den ROI schneller und nachhaltiger.
6. Zukunftssicherung: Nach der Compliance kommt die Chance
-
Skalierung: Ab 02.08.2026 werden die meisten Pflichten scharf gestellt³. Unternehmen mit sauberer Basis (Inventar, Policy, Literacy, Transparenz, Monitoring) können neue Use Cases schneller live bringen – und Sandboxes für innovative Hochrisiko-Vorhaben nutzen²¹
-
Team-Entwicklung: AI-Literacy ist Pflicht⁸ – machen Sie daraus ein kontinuierliches Schulungsprogramm mit Rollenprofilen (Endnutzer, Power-User, Reviewer, Owner)
-
Marktentwicklung: GPAI-Kodex setzt de-facto Standards (Transparenz, Copyright, Safety)²³. Beobachten Sie, welche Anbieter zeichnen²⁴ – das reduziert Ihr Rechts- und Integrationsrisiko
7. Ihre Sofortmaßnahmen (Diese Woche)
Die 3 wichtigsten Schritte jetzt:
-
Verbote prüfen & stoppen (Art. 5)⁵,⁶: Emotionserkennung in HR/Bildung, Social Scoring, biometrische Kategorisierung, Scraping von Gesichtsbildern
-
AI-Literacy starten (Art. 4)⁸: Kurztraining für alle Nutzer, Nachweis dokumentieren
-
Transparenz durchsetzen (Art. 50)¹⁰,¹¹,¹²: Hinweise bei Chatbots, Kennzeichnung synthetischer Inhalte, Verfahren schriftlich fixieren
Kosten-Check (Orientierung):
| Posten | Typische Bandbreite |
|---|---|
| Basis-Setup Richtlinien, Inventar, Trainings (10–50 MA) | 3.000–12.000 € |
| GPAI-Governance (Nutzung) | meist intern + geringe Toolkosten |
| Hochrisiko-Vorbereitung (ohne Notified Body) | 10.000–40.000 € |
| Notified-Body-Bewertungen (falls nötig) | projektspezifisch |
| Bußgelder bei Verstößen | bis 35 Mio. € / 7% (Verbote)² bzw. 7,5 Mio. € / 1,5%² |
Quellen zu Bußgeldern & Fristen: EP², Skadden, Commission³
Warnung: Ab sofort verboten (Auszug Art. 5)⁵,⁶
- Emotionserkennung am Arbeitsplatz/Schule
- Biometrische Kategorisierung sensibler Merkmale
- Social Scoring
- Rein profilbasierte Kriminalitätsprognosen
- Ungezieltes Scraping von Gesichtsbildern⁷
- Manipulative/sub-liminale Techniken mit erheblichem Schaden
- Echtzeit-biometrische Fernidentifikation in öffentlichen Räumen (nur enge Strafverfolgungs-Ausnahmen mit Genehmigung)
Zeitplan der AI-Act-Umsetzungsphasen
| Datum | Was gilt |
|---|---|
| 12.07.2024 | Veröffentlichung im Amtsblatt (Regulation (EU) 2024/1689)¹ |
| 01.08.2024 | Inkrafttreten³ |
| 02.02.2025 | Verbote (Art. 5) + AI-Literacy (Art. 4) gelten³,⁸,⁹ |
| 02.08.2025 | Governance-Regeln & Pflichten für GPAI-Modelle gelten³; Signatar-Liste des GPAI-Kodex ab 01.08.2025²⁴ |
| 02.08.2026 | Großer Teil der übrigen Pflichten, inkl. Annex-III-Hochrisiko-Systeme (Biometrie, HR, Bildung, kritische Infrastrukturen etc.)³,⁴ |
| 02.08.2026 | Nationale KI-Sandboxes müssen operativ sein²¹ |
| 02.08.2027 | Annex-I-produktregulierte Hochrisiko-Systeme & bestehende GPAI-Modelle müssen konform sein³,⁴; das gesamte Regelwerk greift |
Tabellen-Überblick
Risikostufen-Matrix (typische Mittelstands-Use-Cases)
| Use Case | Stufe | Kernauswirkung |
|---|---|---|
| Interner Schreib-Copilot, Recherche | Begrenzt/Minimal | Transparenzhinweis intern, AI-Literacy, Review-Prozess⁸,¹⁰ |
| Kundenchatbot auf Website | Begrenzt | Nutzer informieren, Gesprächsprotokolle/QA¹⁰ |
| Bild-/Video-Generierung fürs Marketing | Begrenzt | Synthetische Inhalte kennzeichnen¹¹; Urheberrecht prüfen |
| HR-Screening/Leistungsbewertung | Hochrisiko (Annex III) | Strenge Pflichten, ggf. FRIA¹³,¹⁴ |
| Visionsystem als Sicherheitskomponente einer Maschine | Hochrisiko (Annex I) | Pflichten ab 02.08.2027³,⁴; Konformität + Registrierung |
| Emotionserkennung bei Mitarbeitenden | Verboten | Sofort stoppen⁶ |
Tool-Vergleich: „AI-Act-ready” – worauf achten?
| Kriterium | Warum wichtig |
|---|---|
| Transparenzdokumente (Modell, Trainingsquellen in Aggregat, Evaluierungen) | Erleichtert Nachweisführung, v.a. bei GPAI-Integration²³ |
| Urheberrechts-Policy / Opt-out-Respekt | Schwerpunkt des GPAI-Kodex²³,²⁴ |
| Sicherheits-/Red-Team-Berichte | Erwartet für GPAI-Modelle; Risiko-Nachweis²³ |
| Teilnahme am GPAI-Kodex | Liefert „Pfad der guten Praxis”; Signatar-Liste ab 01.08.2025²⁴ |
Wie wir Sie bei hafen.io unterstützen
Bei hafen.io unterstützen wir Sie persönlich – praxisnah, DSGVO- & AI-Act-konform:
- Kostenloser AI-Act Quick-Check: Wir prüfen in 60 Minuten Ihr KI-Inventar, Risiken und Quick Wins
- 90-Tage-Programm zur Compliance: Inventar → Richtlinien & Literacy → Transparenz → GPAI/Hochrisiko-Vorbereitung
Jetzt Termin für den AI-Act-Check vereinbaren →
Bei hafen.io haben wir dafür eine bewährte Lösung: schlank starten, Risiken sauber dokumentieren, Quick Wins realisieren – und parallel die Pflichten erfüllen. Lassen Sie uns sprechen.
Quellenverzeichnis
¹ EUR-Lex: Regulation (EU) 2024/1689, Amtsblatt 12.07.2024
² European Parliament: Artificial intelligence Act: deal on comprehensive rules for trustworthy AI, 06.12.2023
³ European Commission – Digital Strategy: Application timeline, 2025
⁴ AI Act Explorer (FLI): Implementation Timeline, 28.02.2024
⁵ European Commission – Digital Strategy: AI Act – Shaping Europe’s digital future, 2025
⁶ AI Act Explorer: Article 5: Prohibited AI Practices, 2024
⁷ ai-act-law.eu: Recital 43 – Banning AI facial recognition for mass surveillance, 2024
⁸ European Commission – Digital Strategy: Application timeline / Art.4, 2025
⁹ Mayer Brown: EU AI Act: Ban on certain AI practices and requirements for AI literacy come into effect, 31.01.2025
¹⁰ WilmerHale: Limited-Risk AI—A Deep Dive Into Article 50 of the EU’s AI Act, 28.05.2024
¹¹ EU AI Act (euaiact.com): Key Issue 5: Transparency Obligations, 2024
¹² EU AI Act (euaiact.com): Art. 50 Transparency Obligations, 2024
¹³ AI Act Explorer: High-level summary / Annex III, 2024
¹⁴ DLA Piper – Technology’s Legal Edge: Fundamental Rights Impact Assessments under the EU AI Act, 07.03.2024
¹⁵ ENNHRI: ENNHRI calls on the Commission to ensure effective FRIAs, April 2025
¹⁶ Freshfields: Artificial Intelligence Act – overview, 2025
¹⁷ WilmerHale: WilmerHale’s Guide to the European Union’s AI Act (PDF), 14.04.2025
¹⁸ WilmerHale Blog: EU AI Act published in the Official Journal—Critical Milestones, 16.07.2024
¹⁹ White & Case: AI Watch: Global regulatory tracker – Germany, Mai 2025
²⁰ White & Case: AI Watch: Global regulatory tracker – European Union, Juli 2025
²¹ AI Act Explorer: AI Regulatory Sandbox Approaches, 02.05.2025
²² Autoriteit Persoonsgegevens – AI sandbox (context), AP (NL), 2025
²³ European Commission – Press corner: General-Purpose AI Code of Practice now available, 10.07.2025
²⁴ European Commission – Digital Strategy: The General-Purpose AI Code of Practice, 10.07.2025
²⁵ Wall Street Journal: EU Lays Out AI Code of Practice to Guide Companies on Compliance, 12.07.2025
²⁶ Reuters: Code of practice … may come end 2025, EU says, 03.07.2025
²⁷ The Verge: Meta snubs the EU’s voluntary AI guidelines, 21.07.2025
²⁸ ITPro: Meta isn’t playing ball with the EU on the AI Act, 21.07.2025
²⁹ OpenAI: The EU Code of Practice and future of AI in Europe, 11.07.2025
³⁰ Nielsen Norman Group: AI Improves Employee Productivity by 66%, 16.07.2023
³¹ Nielsen Norman Group: AI Tools Raise the Productivity of Customer-Support Agents, 16.07.2023
³² Nielsen Norman Group: AI Tools Make Programmers More Productive, 16.07.2023
³³ IDC (InfoBrief, Microsoft gesponsert): 2024 Business Opportunity of AI, November 2024
³⁴ Microsoft Blog: IDC’s 2024 AI opportunity study: Top five AI trends to watch, 12.11.2024
³⁵ Forrester (PDF, Microsoft): The Projected Total Economic Impact of Microsoft 365 Copilot for SMB, 17.10.2024
³⁶ Forrester (PDF): The Total Economic Impact of Microsoft 365 Copilot, März 2025
³⁷ IAPP: European Commission holds firm on AI Act implementation timeline, Juli 2025
³⁸ IAPP: EU AI Act: Next Steps for Implementation, Januar 2025
³⁹ White & Case: AI Watch – Germany, Mai 2025
⁴⁰ European Parliament: Artificial intelligence Act – deal … (PDF), 06.12.2023