Whistleblower-Schutz für KI-Sicherheitsforscher: Was der EU AI Act ab August 2026 wirklich ändert

Ab August 2026 fallen mutmaßliche Verstöße gegen den EU AI Act explizit unter den europäischen Whistleblower-Schutz. Was das konkret bedeutet, welche Meldekanäle jetzt verpflichtend werden und warum der rechtliche Rahmen allein nicht reicht – eine Einordnung ohne Schönfärberei.

Kein neues Gesetz, aber ein echter Systemwechsel

Wer in den vergangenen Wochen Pressemitteilungen zur EU-KI-Regulierung verfolgt hat, könnte den Eindruck gewonnen haben, Brüssel habe einen völlig neuen Rechtsakt speziell für Whistleblower in der KI-Sicherheit aus dem Boden gestampft. Das stimmt so nicht. Was tatsächlich passiert, ist präziser und strukturell interessanter: Zwei bereits bestehende Rechtssäulen werden so zusammengeführt, dass KI-Sicherheitsforscher erstmals einen klar definierten, europaweit harmonisierten Schutzrahmen erhalten.

Säule eins ist die Richtlinie (EU) 2019/1937 zum Schutz von Hinweisgebern, die seit dem 16. Dezember 2019 in Kraft ist und Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldekanäle verpflichtet. Säule zwei ist Artikel 87 des EU AI Act, der mutmaßliche Verstöße gegen die KI-Verordnung ab dem 2. August 2026 explizit in diesen Schutzrahmen einbezieht. Das ist kein kleines redaktionelles Detail. Es bedeutet: Wer als Beschäftigter, Auftragnehmer oder Consultant eines KI-Unternehmens intern Alarm schlägt, weil ein Hochrisiko-System nicht dem AI Act entspricht, steht ab diesem Datum unter demselben rechtlichen Schutzschirm wie jemand, der Finanzmarktbetrug meldet.

Meine Einschätzung: Dieser Schritt ist überfällig. KI-Sicherheit war bislang ein Bereich, in dem interne Kritik zwar moralisch geadelt, aber rechtlich kaum abgesichert war. Wer in einem Unternehmen darauf hingewiesen hat, dass das eigene Modell systemische Risiken trägt, hat das auf eigenes Karriererisiko getan.

Was Artikel 87 EU AI Act wirklich regelt

Artikel 87 ist knapp formuliert, hat aber weitreichende praktische Konsequenzen. Er erlaubt jeder natürlichen oder juristischen Person, Verstöße gegen den EU AI Act bei der zuständigen nationalen Marktüberwachungsbehörde zu melden. Für Personen im beruflichen Kontext – also Beschäftigte, ehemalige Mitarbeiter, Bewerber, Auftragnehmer, Zulieferer, Anteilseigner – greift zusätzlich der volle Schutz der Whistleblower-Richtlinie: Vertraulichkeit der Identität, Verbot von Repressalien und, das ist entscheidend, eine Beweislastumkehr. Nicht der Hinweisgeber muss nachweisen, dass er wegen seiner Meldung benachteiligt wurde, sondern das Unternehmen muss belegen, dass eine nachfolgende Kündigung, Versetzung oder Gehaltskürzung nichts mit der Meldung zu tun hatte.

Für KI-Sicherheitsforscher, die häufig als Freelancer oder externe Consultants arbeiten, ist das Contractor-Modell relevant: Sie sind explizit in den Schutzbereich einbezogen. Wer dagegen als völlig unabhängiger Forscher ohne jede vertragliche Bindung zum betreffenden Unternehmen tätig ist, hat zwar Meldewege – aber eben nicht automatisch alle arbeitsrechtlichen Schutzmechanismen. Diese Lücke ist real und sollte nicht kleingeredet werden.

Was der Artikel nicht abdeckt: Rechtswidrige Methoden zur Beweissicherung. Wer sich in Systeme einhackt, um Belege für ein gefährliches KI-System zu beschaffen, genießt keinen Schutz. Die Grenze ist eindeutig – und praktisch relevant, weil KI-Sicherheitsforschung oft genau in Grauzonen operiert, in denen der Unterschied zwischen autorisierten Tests und unbefugtem Zugriff dünn ist.

Interne Meldekanäle: Was KI-Unternehmen jetzt aufbauen müssen

Die Whistleblower-Richtlinie verpflichtet Unternehmen ab 50 Beschäftigten zur Einrichtung interner Meldesysteme. Für KI-Unternehmen konkretisiert sich das im Kontext des AI Act zu einer ernsthaften Governance-Anforderung. Ein funktionierendes internes Hinweisgebersystem für eine KI-Firma sieht anders aus als ein Standard-Compliance-Tool aus dem Regal.

Warum? Weil die typischen Sicherheitsbedenken in KI-Entwicklungsumgebungen hochspezialisiert sind: manipulierte Trainingsdaten, fehlerhafte Risikoklassifizierungen, undokumentierte Modelländerungen, die ein Hochrisiko-System de facto zu einem anderen machen als dem zertifizierten. Wer solche Bedenken meldet, braucht einen Kanal, der technisch kompetente Erstbewertungen ermöglicht und nicht beim unternehmensinternen Datenschutzbeauftragten landet, der mit neuronalen Netzen wenig anfangen kann.

Die praktischen Anforderungen: Das System muss digitale, verschlüsselte Meldungen ermöglichen, anonyme Eingaben zulassen, eine Bestätigung des Eingangs innerhalb von sieben Tagen liefern und binnen drei Monaten Rückmeldung über ergriffene Maßnahmen geben. Das ist der Standard der Richtlinie – und er gilt auch für KI-spezifische Meldungen. Anbieter wie NAVEX oder SECJUR bieten entsprechende Plattformen an, die DSGVO-konform, auditierbar und auf KI-Governance zugeschnitten werden können. Aber die Technologie ist nicht das Problem. Das Problem ist die interne Kultur.

Das EU AI Office als externe Anlaufstelle

Parallel zu den internen Kanälen hat die EU-Kommission Ende November 2025 ein spezielles Whistleblower-Tool für das EU AI Office veröffentlicht. Es richtet sich primär an Anbieter von Modellen mit allgemeinem Verwendungszweck (GPAI-Modelle) und ermöglicht die direkte, vertrauliche Meldung von KI-Verstößen an eine europäische Behörde – ohne den Umweg über das eigene Unternehmen oder nationale Stellen.

Das ist konzeptionell wichtig, weil gerade bei großen Foundation-Modellen die national zuständigen Behörden oft überfordert oder zuständigkeitsmäßig unklar sind. Ein zentraler europäischer Kanal schafft zumindest eine Anlaufstelle. Ob das Tool in der Praxis funktioniert, ist eine andere Frage. Belastbare Daten zur Anzahl eingegangener Meldungen, zu Reaktionszeiten oder zu abgeschlossenen Verfahren gibt es noch nicht. Das Tool ist neu, und seine Wirksamkeit bleibt vorerst zu bewerten.

KI-Sicherheitsforscher, die externe Verstöße aufdecken – etwa bei Hochrisiko-Systemen in der Gesundheitsversorgung oder Kreditvergabe – können sich nach nationalem Recht zusätzlich an Marktüberwachungsbehörden und Datenschutzbehörden wenden. Der EU AI Act und die GPAI-Kodizes, die Transparenzpflichten für Foundation-Modelle verschärfen, schaffen hier ein dichter werdendes Netz an Kontrollinstanzen, das theoretisch ineinandergreift. Wie gut die Koordination zwischen EU AI Office und nationalen Behörden funktioniert, wird sich in den nächsten zwei Jahren zeigen.

Unternehmensverantwortung: Compliance-Pflicht oder echte Meldekultur?

Hier liegt das eigentliche Problem. Der rechtliche Rahmen für Whistleblower in der KI-Sicherheit wird besser. Aber die Frage, ob KI-Sicherheitsforscher diesen Rahmen tatsächlich nutzen, hängt nicht von Artikel 87 ab, sondern davon, ob Unternehmen Meldungen als Angriff oder als Frühwarnsystem behandeln.

Die Compliance-Perspektive betont zu Recht, dass interne Hinweisgebersysteme kostspielige Verstöße gegen den EU AI Act verhindern können, bevor eine externe Behörde eingreift und Konsequenzen zieht. Für Anbieter von Hochrisiko-KI-Systemen, die ab August 2026 unter voller AI-Act-Aufsicht stehen, ist das kein Randthema. Ein nicht gemeldeter Fehler in einem Risikoklassifizierungsmodell kann regulatorische Verfahren auslösen, die teurer sind als jede interne Korrektur.

Aber die KI-Sicherheits-Community weist auf eine Lücke hin, die das Recht nicht schließt: informelle Repressalien. Rechtlich sind Vergeltungsmaßnahmen nach der Meldung verboten. Praktisch kann ein Hinweisgeber trotzdem aus informellen Netzwerken ausgeschlossen werden, keine neuen Aufträge mehr bekommen oder in der Branche als „schwieriger“ Kandidat gelten. Diese Art von Karriereschaden ist schwer nachweisbar und in der Beweislastumkehr des Art. 87 nicht vollständig erfasst. Hier fehlen noch belastbare Daten – und vor allem brancheneigene Mechanismen, die über rechtliche Minimalanforderungen hinausgehen.

Was der Schutz für externe Sicherheitsforscher konkret bedeutet

KI-Sicherheitsforschung findet selten in sauberen Beschäftigungsverhältnissen statt. Viele der Menschen, die Schwachstellen in großen Sprachmodellen entdecken, Trainingsdaten auf Biases untersuchen oder systemische Risiken in autonomen Entscheidungssystemen aufdecken, sind unabhängig tätig, arbeiten für Universitäten oder NGOs oder veröffentlichen ihre Erkenntnisse direkt. Für diese Gruppe ist das regulatorische Bild gemischt.

Artikel 87 EU AI Act erlaubt Meldungen durch jede natürliche Person. Das Whistleblower-Tool des EU AI Office steht grundsätzlich offen. Aber der Schutz vor Repressalien – der Kern der Whistleblower-Richtlinie – greift am stärksten für Menschen in beruflichen Beziehungen zu Unternehmen. Wer als externer Forscher ohne Vertragsbindung Verstöße meldet, kann das tun, riskiert aber bei möglichen Gegenmaßnahmen (etwa Klagen wegen vermeintlicher Geheimnisverrat) weniger rechtlichen Rückhalt.

Die Richtlinie (EU) 2019/1937 schützt in bestimmten Konstellationen auch öffentliche Offenlegung – also Veröffentlichungen in der Presse oder in der Forschung – wenn interne und externe Meldungen ignoriert wurden oder unmittelbare Gefahr für das öffentliche Interesse besteht. Das ist jedoch ausdrücklich das letzte Mittel, nicht der erste Schritt. Wer direkt an die Öffentlichkeit geht, ohne vorher interne oder externe Kanäle zu versuchen, riskiert den Schutz zu verlieren.

Die GPAI-Dimension: Foundation-Modelle im Fokus

Besondere Aufmerksamkeit verdient, dass das Whistleblower-Tool des EU AI Office explizit auf Anbieter von GPAI-Modellen ausgerichtet ist. Das sind die Foundation-Modelle, also die großen Sprachmodelle und Multimodal-Systeme, die als Basis für Hunderte nachgelagerte Anwendungen dienen. Systemische Risiken bei diesen Modellen – Jailbreaks, strukturelle Verzerrungen, fehlende Sicherheitsarchitektur – sind genau das, was KI-Sicherheitsforscher typischerweise untersuchen.

Der EU AI Act und die GPAI-Kodizes verpflichten Anbieter solcher Modelle zu umfassendem Risikomanagement und Transparenz gegenüber dem EU AI Office. Wer intern feststellt, dass ein Anbieter diese Pflichten verletzt, hat jetzt einen klar definierten Weg, das zu melden – ohne auf nationalen Goodwill oder persönliche Netzwerke angewiesen zu sein. Das ist ein echter Fortschritt gegenüber dem Status quo vor 2026.

Parallel dazu verdichten sich die Regelungen rund um Whistleblowing und den EU AI Act in einem Tempo, das viele Unternehmen noch nicht vollständig antizipiert haben. Die Implementierungsfrist für die vollständigen AI-Act-Anforderungen für Hochrisiko-Systeme läuft bis August 2026 – parallel zur vollständigen Anwendbarkeit des Whistleblower-Schutzes für KI-Verstöße. Wer jetzt noch kein funktionierendes internes Meldesystem für KI-Sicherheitsbedenken hat, ist bereits hinter dem Zeitplan.

Praxis-Szenarien: Wann greift der Schutz, wann nicht?

Um den abstrakten Rahmen greifbarer zu machen, lohnt ein Blick auf typische Situationen, die ab August 2026 unter die neuen Regeln fallen könnten. Dabei handelt es sich um vorsichtige Einschätzungen, keine Rechtsberatung – die Auslegung durch Gerichte und Behörden wird sich erst in den kommenden Jahren konkretisieren.

Szenario eins: Der interne Entwickler. Eine Softwareingenieurin arbeitet bei einem Unternehmen, das ein KI-System zur automatisierten Kreditwürdigkeitsprüfung entwickelt. Sie stellt fest, dass das System bestimmte Bevölkerungsgruppen systematisch benachteiligt und dass das interne Testprotokoll diesen Befund bewusst nicht dokumentiert. Sie meldet dies über den internen Hinweisgeberkanal. Ab August 2026 greift hier der volle Schutz: Vertraulichkeit, Verbot von Repressalien, Beweislastumkehr. Das Unternehmen muss nachweisen, dass eine eventuelle spätere Kündigung nichts mit dieser Meldung zu tun hat.

Szenario zwei: Der externe Auftragnehmer. Ein freiberuflicher KI-Auditor wird für einen zeitlich begrenzten Prüfauftrag engagiert und entdeckt dabei, dass das geprüfte Hochrisiko-System nie die vorgeschriebene Konformitätsbewertung nach Art. 43 EU AI Act durchlaufen hat. Er meldet dies direkt an die zuständige nationale Marktüberwachungsbehörde. Als Auftragnehmer fällt er in den Schutzbereich der Richtlinie – sofern er die Meldung in gutem Glauben und auf Basis vernünftiger Anhaltspunkte erstattet hat.

Szenario drei: Die unabhängige Forscherin. Eine Universitätsforscherin ohne jede vertragliche Bindung zu einem Unternehmen veröffentlicht eine Studie, die strukturelle Sicherheitslücken in einem weit verbreiteten GPAI-Modell dokumentiert. Sie nutzt das Whistleblower-Tool des EU AI Office, um die Ergebnisse parallel zu melden. Hier ist die rechtliche Absicherung schwächer: Der Schutz vor Repressalien ist auf berufliche Kontexte zugeschnitten. Klagen wegen Verleumdung oder Geheimnisverrats müsste sie auf andere Weise abwehren – etwa über Pressefreiheit oder wissenschaftliche Privilegien, die vom AI Act nicht direkt adressiert werden.

Diese Szenarien zeigen: Der neue Rahmen ist kein Freifahrtschein, aber er schafft für eine klare Mehrheit der professionell tätigen KI-Sicherheitsforscher erstmals eine belastbare Grundlage, auf der Meldungen sicherer erstattet werden können als zuvor.

Handlungsschritte für KI-Unternehmen und Forscher

Für Unternehmen ergibt sich ein klarer Fahrplan. Erstens: Das bestehende interne Hinweisgebersystem muss explizit auf KI-Sicherheitsbedenken und AI-Act-Verstöße ausgeweitet werden – inklusive technisch kompetenter Erstbewertung von Meldungen. Zweitens: Alle Beschäftigten, Auftragnehmer und externen Berater müssen über die verfügbaren Meldewege informiert werden. Drittens: Dokumentation ist Pflicht. Wenn ein Unternehmen nach einer Meldung Maßnahmen ergreift oder bewusst nicht ergreift, muss das nachvollziehbar sein – wegen der Beweislastumkehr.

Für KI-Sicherheitsforscher gilt: Den internen Weg zuerst. Das klingt unbefriedigend, wenn man einem Unternehmen nicht traut. Aber rechtlich ist es der sicherere Einstieg. Wer direkt an Behörden geht, sollte das Whistleblower-Tool des EU AI Office kennen und dokumentieren, was gemeldet wurde und wann. Öffentliche Offenlegung ist der letzte Schritt, nicht der erste – das hat rechtliche Konsequenzen, die man kennen sollte, bevor man handelt.

Und für alle, die jetzt fragen, ob der Schutz vor informellen Repressalien ausreicht: Die ehrliche Antwort lautet nein, noch nicht. Der rechtliche Rahmen ist stärker als je zuvor. Die Branchenkultur holt erst langsam auf.

Was bleibt

Europa hat einen strukturell wichtigen Schritt gemacht: KI-Sicherheitsbedenken sind keine moralische Frage mehr, sondern eine rechtlich geschützte Handlung. Aber Gesetze sind Papier, solange Unternehmen Meldesysteme als Compliance-Checkbox behandeln statt als echten Frühwarnmechanismus. Die entscheidende Frage ist nicht, ob es einen Kanal gibt, sondern ob Menschen ihn tatsächlich nutzen, ohne ihre Karriere dabei zu riskieren. Wird Ihr Unternehmen diese Frage mit einem System beantworten, das nur auf dem Papier existiert – oder mit einer Kultur, die Hinweise ernst nimmt?