Der AI Act ist eine im August 2024 in Kraft getretene EU-Verordnung zur Regulierung von Künstlicher Intelligenz. Weltweit ist sie die erste derart umfangreiche gesetzliche Regelung. Ihre Vorgaben sind mit entsprechenden Übergangsfristen zu erfüllen. KI-Systeme mit inakzeptablem Risiko verbietet der AI Act.
Der AI Act ist die Verordnung der EU zur Regulierung von Künstlicher Intelligenz.
Die deutsche Bezeichnung für den Artificial Intelligence Act, kurz AI Act, lautet KI-Verordnung oder Verordnung über Künstliche Intelligenz. Es handelt sich um einen Rechtsakt der Europäischen Union zur Regulierung von Künstlicher Intelligenz. Weltweit ist sie die erste derart umfassende Verordnung dieser Art. Der AI Act soll die gesetzlichen Rahmenbedingungen für die KI-Nutzung in der Europäischen Union schaffen und sie in sichere Bahnen lenken. Die KI-Verordnung stellt eine Art Balanceakt zwischen Innovation und Risikoschutz dar. Sie verfolgt einen risikobasierten Ansatz und enthält konkrete Vorgaben für die Bereitstellung und den Umgang mit Künstlicher Intelligenz. Die KI-Systeme werden in verschiedene Risikoklassen eingeteilt. KI-Systeme mit inakzeptablem Risiko verbietet der AI Act.
Die Ausarbeitung des AI Act begann im Rahmen der EU-Digitalstrategie schon vor einigen Jahren. Im Mai 2024 verabschiedeten die 27 Mitgliedstaaten der EU schließlich die Verordnung. Nach der Veröffentlichung des Rechtsakts im Amtsblatt der EU im Juli 2024 (Verordnung (EU) 2024/1689) trat der AI Act am 1. August 2024 in der Europäischen Union offiziell in Kraft. Die Vorgaben der Verordnung sind mit entsprechenden Übergangsfristen schrittweise zu erfüllen. Die Mitgliedstaaten sind für die Überwachung und Durchsetzung der Vorgaben verantwortlich. Ein eigenes European Artificial Intelligence Board soll sie dabei unterstützen. Für Verstöße gegen die Vorgaben sieht der Artificial Intelligence Act die Möglichkeit der Verhängung von Strafen wie Bußgeldern vor.
Die dem AI Act zugrundeliegende Definition für Künstliche Intelligenz
Künstliche Intelligenz ist ein sehr weit gefasster Begriff und wird teils recht unterschiedlich definiert. Allgemein versteht man unter Künstlicher Intelligenz die Fähigkeit von Maschinen (beziehungsweise Computern) unter Nachahmung menschlicher Fähigkeiten, autonom Aufgaben zu bearbeiten, Problemstellungen zu lösen oder Entscheidungen zu treffen. Um klarzustellen, auf welche Technologien und Systeme sich der AI Act bezieht und wie sich KI von traditioneller Software abgrenzt, enthält der AI Act im Kapitel 3 (Begriffsbestimmungen) eine Definition, was unter KI und einem KI-System zu verstehen ist. Die Definition ist allgemein gehalten und weit gefasst. Ein KI-System ist laut AI Act ein maschinengestütztes System, das mit unterschiedlichem Grad an Autonomie ohne menschliches Eingreifen arbeitet. Es ist anpassbar und leitet ab, wie es Ausgaben (zum Beispiel Vorhersagen, Entscheidungen, Empfehlungen oder Inhalte) aus den Eingaben generiert. Die Ausgaben des KI-Systems können sowohl virtuelle als auch physische Umgebungen beeinflussen.
Der Artificial Intelligence Act soll die gesetzlichen Rahmenbedingungen für den Einsatz und die Entwicklung von Künstlicher Intelligenz in der EU schaffen. Der AI Act lenkt die Entwicklung, Bereitstellung und Nutzung von KI-Systemen in sichere Bahnen. Ziel ist es, die Grundrechte der EU-Bürger zu wahren, Rechtssicherheit herzustellen und Sicherheitsstandards für den Betrieb von KI-Systemen und den Umgang mit KI-Anwendungen festzulegen, ohne dass die Entwicklung von KI und KI-Innovationen zu stark eingeschränkt werden. Insgesamt sollen das Vertrauen in die Technologie und die Akzeptanz von Künstlicher Intelligenz gestärkt werden. Durch Künstliche Intelligenz verursachte Risiken oder Schäden sollen verhindert oder minimiert werden. Die in der EU bereits vorhandenen Regeln für den Anwendungsbereich der Künstlichen Intelligenz werden harmonisiert. Insgesamt soll der AI Act dazu beitragen, dass sich KI in der EU zum Vorteil der Wirtschaft, Wissenschaft und Bevölkerung weiterentwickelt.
Anwendungsbereich des AI Act
Kapitel 1 des AI Act legt den Anwendungsbereich fest. Von den Regeln und Vorgaben der Verordnung sind demnach sowohl Betreiber als auch Nutzer von Künstlicher Intelligenz betroffen. Unter anderem nennt der AI Act als Anwendungsbereiche Anbieter, Betreiber, Einführer, Händler, Produkthersteller und Bevollmächtigte von Anbietern von KI-Systemen in der EU. Damit sind juristische Personen wie Unternehmen, Behörden oder andere Einrichtungen von den Vorgaben des AI Act betroffen, sobald sie KI-Systeme in der EU anbieten, in Verkehr bringen, betreiben oder nutzen. Auch natürliche Personen in der EU sind als Nutzer von KI-Systemen vom AI Act betroffen. Prinzipiell gilt das Marktortprinzip. Es bedeutet, dass die Verordnung Anwendung findet, sobald Künstliche Intelligenz auf den EU-Markt gerichtet ist, auch wenn der Anbieter seinen Sitz in einem Drittland hat. Nicht in den Anwendungsbereich des AI Act fallen KI-Systeme, die ausschließlich zu militärischen Zwecken, zu Verteidigungszwecken oder für Belange der nationalen Sicherheit zum Einsatz kommen.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Der Artificial Intelligence Act verfolgt einen risikobasierten Ansatz. KI-Systeme werden in verschiedene Risikostufen eingeteilt. Die Anforderungen an die KI-Systeme sind von den jeweiligen Risikostufen abhängig. Die Vorgaben werden mit steigendem Risiko strenger. Folgende Risikostufen werden vom AI Act definiert:
- KI-Systeme mit inakzeptablem Risiko
- KI-Systeme mit hohem Risiko
- KI-Systeme mit begrenztem Risiko
- KI-Systeme mit niedrigem oder keinem Risiko
KI-Systeme mit inakzeptablem Risiko (zum Beispiel Social Scoring, manipulative KI-Systeme oder Systeme zur biometrischen Echtzeitfernidentifizierung im öffentlichen Raum) sind unverhältnismäßig riskant für die Grundrechte und die Sicherheit der EU-Bürger und grundsätzlich verboten. Hohes Risiko liegt bei KI-Systemen vor, die in sensiblen oder systemkritischen Bereichen zum Einsatz kommen (zum Beispiel in Flugzeugen oder in der Energieversorgung). Ein begrenztes Risiko haben KI-Systeme in weniger kritischen Bereichen (zum Beispiel Chatbots im Kundensupport). KI-Systeme mit geringem oder keinem Risikopotenzial sind beispielsweise Videospiele oder KI-basierte Spamfilter und Suchalgorithmen.
Anforderungen des AI Act
Die vom AI Act gestellten Anforderungen an die KI-Systeme und ihre Anbieter, Betreiber, Einführer, Händler, Hersteller oder Nutzer sind abhängig von der jeweiligen Risikostufe. KI-Systeme mit inakzeptablem Risiko sind grundsätzlich verboten. Für KI-Systeme mit hohem Risiko gelten unter anderem diese Anforderungen:
- Konformitätsbewertung durch eine unabhängige Stelle
- Einrichtung eines Risikomanagementsystems
- Einhaltung von Daten-Governance-Verfahren
- Einhaltung von Datenqualitätskriterien
- Führen einer angemessenen technischen Dokumentation
- automatische Aufzeichnung der KI-Vorgänge und KI-Ereignisse
- transparente Information der Nutzer
- wirksame menschliche Beaufsichtigung der KI-Systeme durch natürliche Personen
- angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit
Bei KI-Systemen mit einem begrenzten Risiko sind hauptsächlich Transparenzpflichten zu erfüllen. Keine speziellen Anforderungen sieht der AI Act für KI-Systeme mit niedrigem oder keinem Risiko vor.
Für generative KI-Anwendungen wie generative Sprach- oder Bildmodelle und Chatbots wurde der Begriff GPAI (General Purpose AI) geschaffen. Solche Anwendungen unterliegen speziellen, von der Risikokategorisierung abweichenden Anforderungen. Die Sonderregelung ist eine Reaktion auf die schnelle Verbreitung generativer KI während der Ausarbeitung des AI Act. Anforderungen für GPAI umfassen zum Beispiel Kennzeichnungspflichten für KI-generierte Inhalte, die Bereitstellung von technischen Unterlagen und Gebrauchsanweisungen, die Veröffentlichung einer Zusammenfassung der für das Training verwendeten Inhalte oder die Informationspflicht, dass ein Anwender mit einem KI-System und nicht mit einem Menschen interagiert. Für GPAI-Modelle, die ein systemisches Risiko darstellen, sind weitere Anforderungen zu erfüllen wie die Durchführung von Modellbewertungen und Tests oder das Verfolgen und Melden von schwerwiegenden Vorfällen.
Der weitere Fahrplan zur Anwendung des AI Act und mögliche Sanktionen
In Kraft getreten ist der AI Act am 1. August 2024. Die Vorgaben gelten allerdings nicht sofort, sondern finden zeitlich gestaffelt in mehreren Schritten Anwendung. Die Übergangsfristen erstrecken sich über mehrere Jahre. Verbote für KI-Systeme mit inakzeptablem Risiko greifen ab Februar 2025. Die Auflagen für KI-Systeme mit allgemeinem Verwendungszweck gelten nach zwölf Monaten, einige der weiteren Vorgaben erst nach zwei beziehungsweise drei Jahren. Darunter insbesondere einige Regelungen für Hochrisikosysteme. Bis zum August 2025 müssen die EU-Mitgliedstaaten auch die zuständigen nationalen Behörden zur Überwachung der Vorgaben benannt haben. Verstöße gegen den AI Act können ebenfalls zeitlich gestaffelt ab 2025 mit Geldstrafen oder rechtlichen Konsequenzen geahndet werden. Es sind Geldstrafen von bis zu 35 Millionen Euro oder bis zu sieben Prozent des weltweiten Jahresumsatzes eines Unternehmens möglich.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/3f/8d/3f8d46b4a7fd9b48db0788c0bde6936b/0128970278v2.jpeg "Der Gemeinde- und Städtebund warnt, dass Hacker nahezu täglich die IT-Systeme unserer Gemeinden und Städte angreifen. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c9/bb/c9bb4fcdc1ff2bc6a6ab37eef7f3677a/0129082547v2.jpeg "Die Cyberangriffe auf Luxshare könnten schwerwiegende Auswirkungen auf Apple haben, da vertrauliche Produktpläne und Fertigungsdaten nicht nur die Wettbewerbsfähigkeit von Apple gefährden, sondern auch potenzielle Sicherheitsrisiken in bereits ausgelieferten Produkten schaffen. (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/79/d6/79d6de3a752cac1ebb8120ccd01f7a41/0121277360v2.jpeg "Der EU AI Act soll Innovationen nicht im Keim ersticken – im Gegenteil. Durch Klarheit und das damit verbundene Vertrauen soll die Entwicklung von KI gefördert sowie die öffentliche Akzeptanz erhöht werden. (Bild: Franklin - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/50/d7/50d7fe52fecf5c07fbb17b637be4a279/0115138647v2.jpeg "Der Datenschutz möchte und wird ein gewichtiges Wort bei der Gestaltung und Nutzung von KI mitreden. Neben dem AI Act der EU werden die Vorgaben der DSGVO eine zentrale Rolle spielen. (Bild: phonlamaiphoto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/aa/65/aa6500f12b4eaf7dd14021f702f36e58/0120815249v2.jpeg "Unternehmen, die aus der DSGVO-Implementierung gelernt haben, können dieses Wissen nun für den AI-Act und DORA nutzen, um die Compliance sicherzustellen. (Bild: lucadp - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/13/22/132224f0d72ae526daa0035c6ca8d613/0121006947v1.jpeg "Die EQS Group unterstützt Unternehmen mit dem „EQS Privacy Cockpit\" bei der Einhaltung der Vorgaben der DSGVO und des EU AI Acts. (Bild: Gerd Altmann)")
:quality(80)/p7i.vogel.de/wcms/cd/ac/cdac1328cfee52c80f43df46997a2c48/0125459108v1.jpeg "Anwendungen mit Künstlicher Intelligenz müssen hohen Qualitätsanforderungen entsprechen, damit sie vertrauenswürdig sind, meint BSI-Präsidentin Claudia Plattner. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/a5/f3/a5f3ac35f88b389e2e8815f3d8021dec/0125654614v1.jpeg "Henna Virkkunen, Executive Vice-President für Technologische Souveränität, Sicherheit und Demokratie. (Bild: European Union 2025)")