EU, USA, China: Wer reguliert wirklich strenger und was das mit Innovation zu tun hat
"Europa reguliert, Amerika innoviert, China kopiert." Der Satz ist griffig, er wird auf Konferenzen zuverlässig beklatscht, und er ist in allen drei Teilen falsch. Wer sich die tatsächlichen Rechtsrahmen der drei Blöcke nebeneinanderlegt, sieht ein völlig anderes Bild.
China reguliert digitale Technologie enger als die EU, die USA regulieren nicht weniger, sondern unübersichtlicher, und die europäische Regeldichte ist an den Stellen, an denen sie Unternehmen wirklich trifft, gerade dabei, planbarer zu werden. Dieser Beitrag legt die Standards nebeneinander und ordnet danach ein, was daraus für die Innovationsdebatte folgt.
Drei Regulierungsmodelle, drei Logiken
Die drei Rechtsräume unterscheiden sich weniger im Ausmaß der Regulierung als in ihrem Zweck.
Die EU reguliert grundrechtsbasiert und horizontal. Schutzgut ist die Person, adressiert wird jede Branche, das Instrument ist die unmittelbar geltende Verordnung mit Risikostufen und Nachweispflichten. Das erzeugt Aufwand, aber auch einen einheitlichen Binnenmarktstandard.
Die USA regulieren sektoral und föderal zersplittert. Es gibt kein allgemeines Bundesdatenschutzgesetz, dafür HIPAA für Gesundheitsdaten, GLBA für Finanzdaten, COPPA für Kinder und rund zwanzig einzelstaatliche Datenschutzgesetze mit abweichenden Schwellenwerten. Bei KI kommt seit Ende 2025 ein offener Konflikt zwischen Bundesebene und Bundesstaaten dazu.
China reguliert staatszentriert und sicherheitsgetrieben. Schutzgut ist primär die nationale Sicherheit und die Kontrolle über Datenmacht, erst nachgelagert das Individuum. Das Instrument ist die Genehmigung: Wer einen generativen KI-Dienst öffentlich anbietet, muss ihn vorab bei der Cyberspace Administration registrieren lassen.
Der Vergleich im Überblick
Datenschutz und Datenrecht
| Bereich | EU | USA | China |
|---|---|---|---|
| Allgemeines Datenschutzrecht | DSGVO (VO 2016/679), unmittelbar geltend, alle Sektoren | Kein Bundesgesetz; rund 20 Landesgesetze (CCPA/CPRA, VCDPA, CPA u. a.) | PIPL (seit 11/2021), sektorübergreifend |
| Sektorrecht | ePrivacy-RL, Data Act (VO 2023/2854), Data Governance Act | HIPAA, GLBA, FCRA, COPPA, FTC Act Sec. 5 | Data Security Law (DSL) mit Datenklassifizierung "core"/"important" |
| Aufsicht | Unabhängige Aufsichtsbehörden, EDSA | FTC, State Attorneys General, California Privacy Protection Agency | CAC, staatlich weisungsgebunden |
| Sanktionsrahmen | Bis 20 Mio. EUR oder 4 % Weltjahresumsatz (Art. 83 DSGVO) | Uneinheitlich, teils pro Verstoß, teils Zivilklagen | Bis 50 Mio. RMB oder 5 % Jahresumsatz (Art. 66 PIPL) |
| Drittlandtransfer | Art. 44 ff. DSGVO, Angemessenheitsbeschluss, SCC, TIA | Keine Ausfuhrbeschränkung, aber Executive Order 14117 zu "countries of concern" | Security Assessment, CN-SCC oder Zertifizierung; Lokalisierungspflicht für CII-Betreiber |
Informationssicherheit und kritische Infrastruktur
| Bereich | EU | USA | China |
|---|---|---|---|
| Basisrechtsakt | NIS2-RL (2022/2555), national umgesetzt (in Österreich NISG 2024) | Kein horizontales Gesetz; CISA 2015, CIRCIA 2022 (Meldepflicht), sektorale Vorgaben | Cybersecurity Law (CSL), novelliert mit Wirkung 1.1.2026 |
| Kritische Infrastruktur | NIS2 (18 Sektoren), CER-RL (2022/2557) für physische Resilienz | Presidential Policy Directive 21 / NSM-22, 16 Sektoren, überwiegend freiwillig | CII-Regime mit Lokalisierungspflicht und Sicherheitsüberprüfung von Beschaffung |
| Finanzsektor | DORA (VO 2022/2554) inkl. TLPT und Register of Information | GLBA Safeguards Rule, SEC Cyber Disclosure Rules, FFIEC | Sektorale Vorgaben der PBoC und CBIRC |
| Produktsicherheit | Cyber Resilience Act (VO 2024/2847), Pflichten ab 12/2027 | Freiwilliges US Cyber Trust Mark | MLPS 2.0 (Multi-Level Protection Scheme), verpflichtende Einstufung |
| Meldefristen | 24 h Frühwarnung, 72 h Meldung (Art. 23 NIS2) | 72 h (CIRCIA), 24 h bei Ransomware-Zahlung | Novellierte CSL mit verschärftem Meldregime, teils 1 h bei schweren Vorfällen |
| Sanktionsrahmen | Bis 10 Mio. EUR oder 2 % Umsatz (wesentliche Einrichtungen) | Sektoral, überwiegend aufsichtsrechtlich | Bußgeldobergrenze mit der Novelle von 1 Mio. auf 10 Mio. RMB angehoben |
Künstliche Intelligenz
| Bereich | EU | USA | China |
|---|---|---|---|
| Zentraler Rechtsakt | KI-VO (VO 2024/1689), geändert durch den Digital Omnibus on AI (Juli 2026) | Kein Bundesgesetz; EO 14179, EO 14365 (Preemption), TAKE IT DOWN Act | Kein Gesamtgesetz, aber dichtes Regelwerk der CAC |
| Regelungsansatz | Risikobasiert: verbotene Praktiken, Hochrisiko, Transparenz, GPAI | Deregulierung auf Bundesebene bei gleichzeitiger Landesgesetzgebung | Genehmigungs- und Inhaltskontrolle |
| Marktzugang | Konformitätsbewertung, keine Vorabgenehmigung | Keine Vorabkontrolle | Filing-Pflicht bei der CAC; bis Ende 02/2026 waren 796 generative Dienste registriert |
| Kennzeichnung | Art. 50 KI-VO, Kennzeichnungspflicht mit Übergangsfrist bis 2.12.2026 | Kein bundesweiter Standard, einzelne Landesgesetze (z. B. Kalifornien) | Verpflichtende sichtbare und maschinenlesbare Kennzeichnung seit 09/2025, Norm GB 45438-2025 |
| Fristen Hochrisiko | Aufgeschoben auf 2.12.2027 (Anhang III) bzw. 2.8.2028 (Anhang I) | Entfällt | Laufende Sicherheitsbewertung, kein Stichtag |
| Landes- bzw. Bundesstaatenebene | Vollharmonisierung durch Verordnung | Kalifornien (SB 53, AB 2013), Texas (TRAIGA), Illinois, Colorado ab 01/2027; dazu Klagen der DOJ AI Litigation Task Force | Provinzielle Pilotregelungen ergänzend |
Normen und freiwillige Rahmenwerke
| Bereich | EU | USA | China |
|---|---|---|---|
| ISMS | ISO/IEC 27001:2022 als De-facto-Nachweis für NIS2 und DORA | ISO 27001, NIST CSF 2.0, NIST SP 800-53, SOC 2 | GB/T 22080 (ISO-27001-Adaption), MLPS-Einstufung verpflichtend |
| Datenschutzmanagement | ISO/IEC 27701:2025, Zertifizierung nach Art. 42 DSGVO | NIST Privacy Framework | GB/T 35273 (Personal Information Security Specification) |
| KI-Management | ISO/IEC 42001:2023, harmonisierte Normen zur KI-VO in Arbeit | NIST AI RMF 1.0 (freiwillig) | TC260-Standards, teils verpflichtend |
| Verbindlichkeit | Freiwillig, aber Vermutungswirkung bei harmonisierten Normen | Freiwillig, faktischer Marktstandard | Nationale GB-Normen teils zwingend |
Was der Vergleich zeigt
Drei Befunde springen ins Auge.
Erstens reguliert China nicht weniger, sondern anders und in Teilen enger. Ein generativer KI-Dienst braucht in China eine behördliche Registrierung, bevor er öffentlich angeboten werden darf. In der EU braucht er das nicht. Wer die These vertritt, Regulierung verhindere KI-Fortschritt, muss erklären, warum ausgerechnet der Rechtsraum mit Vorabgenehmigung, Inhaltsfilter und verpflichtender Wasserzeichen-Norm zu den führenden KI-Standorten zählt.
Zweitens ist der US-Rahmen für Unternehmen nicht einfacher, sondern unsicherer. Wer in den USA ein KI-Produkt ausrollt, muss kalifornisches, texanisches und illinoisisches Recht parallel prüfen, dazu je nach Sektor HIPAA oder GLBA, und muss zusätzlich damit rechnen, dass die Bundesregierung genau diese Landesgesetze gerade beklagt. Der Aufwand verschwindet nicht, er wird nur von der Verordnung zur Rechtsabteilung verschoben. Für ein europäisches KMU ist eine Verordnung mit klaren Risikoklassen billiger als eine Landkarte aus fünfzig Rechtsordnungen.
Drittens ist die EU-Regulierung nachjustierbar. Der Digital Omnibus on AI wurde am 16. Juni 2026 vom Parlament und am 29. Juni 2026 vom Rat angenommen, am 8. Juli unterzeichnet und tritt im Juli 2026 in Kraft. Er verschiebt die Hochrisiko-Pflichten auf Dezember 2027 beziehungsweise August 2028, präzisiert den Begriff der Sicherheitskomponente und streicht Registrierungspflichten für Systeme, die aufgrund eng umgrenzter Aufgaben nicht hochriskant sind. Ein starres System hätte das nicht getan.
Warum EU-Regulierung kein Innovationshemmnis ist
Die Behauptung, europäische Regulierung bremse Innovation, wird selten belegt und meist nur behauptet. Wo sie belegt wird, verwechselt sie Korrelation mit Kausalität.
Der europäische Rückstand ist älter als die Regulierung. Der Abstand bei Wagniskapital, bei der Skalierung von Wachstumsunternehmen und bei Rechenzentrumskapazität besteht seit den frühen 2000er-Jahren, also lange vor DSGVO, NIS2 und KI-VO. Die Ursachen sind gut dokumentiert: fragmentierte Kapitalmärkte, fehlende Kapitalmarktunion, 27 nationale Insolvenz- und Gesellschaftsrechte, hohe Energiekosten, eine öffentliche Beschaffung, die europäische Anbieter systematisch benachteiligt. Keine dieser Ursachen verschwindet, wenn man die DSGVO abschafft.
Rechtssicherheit ist ein Standortvorteil, kein Kostenfaktor. Ein Anbieter, der ein Produkt einmal nach KI-VO und DSGVO baut, kann es in 27 Mitgliedstaaten verkaufen. Ein Anbieter, der dasselbe Produkt in den USA ausrollt, prüft es gegen ein bewegliches Ziel aus Landesgesetzen und laufenden Verfahren. Vollharmonisierung ist genau das, was Draghi für andere Bereiche fordert, und im Digitalrecht liefert die EU sie bereits.
Compliance ist im B2B-Geschäft zum Verkaufsargument geworden. Jede größere Ausschreibung im DACH-Raum fragt heute nach ISO 27001, nach Auftragsverarbeitungsvertrag, nach NIS2-Betroffenheit, nach Datenstandort. Anbieter, die das sauber beantworten, gewinnen Aufträge gegen billigere Konkurrenz. Regulierung erzeugt hier keinen Aufwand ohne Gegenwert, sie erzeugt einen Markt. Der Aufstieg europäischer Cloud- und Kollaborationsanbieter in den letzten drei Jahren ist ohne DSGVO und Schrems II nicht erklärbar.
Der Brüssel-Effekt senkt die Grenzkosten europäischer Anbieter. Wenn Drittstaaten DSGVO-ähnliche Gesetze erlassen, wird das europäische Produkt exportfähig, ohne umgebaut zu werden. Der Vorwurf, die EU exportiere ihre Regeln, ist aus Sicht eines europäischen Anbieters kein Vorwurf, sondern eine Beschreibung eines Wettbewerbsvorteils.
Regulierung verhindert Fehlinvestitionen. Die Verbote in Art. 5 KI-VO treffen Geschäftsmodelle, die in Europa ohnehin weder gesellschaftlich noch gerichtlich Bestand hätten: Social Scoring, ungezieltes Scraping von Gesichtsbildern, Emotionserkennung am Arbeitsplatz gehen einfach nicht. Kapital, das nicht in solche Modelle fließt, ist nicht verlorenes Kapital, sondern umgeleitetes.
Was dagegen vorgebracht wird
Die Debatte ist nicht einseitig, und redlich bleibt nur, wer die Gegenargumente nennt.
Der Draghi-Bericht verweist auf über 100 digitalbezogene EU-Rechtsakte und mehr als 270 aktive Regulierungsbehörden in den Mitgliedstaaten und sieht darin einen realen Wettbewerbsnachteil. Empirische Arbeiten finden nach Inkrafttreten der DSGVO Rückgänge bei Datenhaltung und Rechenaufwand europäischer Unternehmen gegenüber US-Vergleichsgruppen sowie eine höhere Marktkonzentration, weil Fixkosten der Compliance große Anbieter begünstigen. Institute wie das ITIF argumentieren, das Vorsorgeprinzip verlagere Teile der KI-Wertschöpfungskette aus der EU heraus.
Diese Einwände treffen einen wahren Kern, aber einen anderen als den behaupteten. Sie sprechen gegen Fragmentierung, Vollzugsdefizite und Öffnungsklauseln, nicht gegen Schutzniveau. Die DSGVO erlaubt den Mitgliedstaaten in rund 15 Bereichen eigene Regeln, und genau daraus entsteht ein Gutteil der beklagten Komplexität. Die Antwort darauf ist mehr Harmonisierung, nicht weniger Regulierung. Der Digital Omnibus geht in diese Richtung.
Was das praktisch bedeutet
Für Unternehmen im DACH-Raum ergibt sich daraus eine nüchterne Arbeitsagenda.
Ein integriertes Managementsystem trägt weiter als Einzelprojekte. Wer ISO 27001 sauber betreibt, deckt große Teile von NIS2 und DORA mit ab und hat für ISO 42001 bereits die Struktur. Die Anhänge unterscheiden sich, der Rahmen aus Kontext, Risiko, Kontrollen und interner Auditierung nicht.
Die aufgeschobenen Fristen der KI-VO sind kein Grund zur Pause. Die Pflichten selbst wurden nicht entschärft, nur zeitlich gestreckt. Wer die gewonnene Zeit für Inventarisierung und Risikoeinstufung der eingesetzten KI-Systeme nutzt, steht Ende 2027 gut da. Wer sie ignoriert, hat dasselbe Problem später.
Für Produkte mit US- oder China-Bezug lohnt eine frühe Rechtsraumentscheidung. Ein EU-konformes Produkt lässt sich in der Regel für den US-Markt anpassen. Umgekehrt ist der Weg deutlich teurer.
Fazit
Der Vergleich der drei Rechtsräume stützt die verbreitete Erzählung nicht. China reguliert digitale Technologie mit Genehmigungsvorbehalt und Inhaltskontrolle strenger als die EU. Die USA regulieren nicht weniger, sondern verteilt auf Bundesstaaten, Sektorgesetze und Gerichte, mit entsprechend höherer Unsicherheit. Die EU hat den einzigen der drei Rahmen, der horizontal, vorhersehbar und binnenmarktweit gilt.
Europas Innovationsschwäche hat Ursachen. Sie liegen in der Kapitalversorgung, in der Fragmentierung des Binnenmarkts, in Energiekosten und in der öffentlichen Beschaffung. Die DSGVO gehört nicht dazu. Wer Regulierung abbaut, ohne diese Ursachen anzugehen, verliert das Schutzniveau und gewinnt keine Innovation.
Transparenzhinweis: Dieser Beitrag wurde unter anderem mit Unterstützung generativer KI (Claude Opus 4.8, Anthropic) recherchiert und vor Veröffentlichung redaktionell geprüft.