EU DSA + AI Act: X, Meta, Grok, Llama Compliance Reference 2026

What is the 2026 EU DSA and AI Act tightening?

The EU Commission escalated supervision over X (Grok), Meta (Llama), and all AI providers in 2026. Penalty range: up to 6 percent global revenue under DSA, up to 7 percent or 35M EUR under AI Act. From August 2026, risk assessment, logging, and technical documentation become mandatory for any company deploying AI content, even non-VLOPs.

TL;DR:

• EU-Kommission eröffnete am 26. Januar 2026 ein formelles DSA-Verfahren gegen X wegen Grok (3 Mio. sexualisierte Bilder in 11 Tagen, 23.000 davon mit Kindern).
• Daten-Aufbewahrungsanordnung vom 8. Januar 2026 verpflichtet X zur Erhaltung aller Grok-bezogenen Dokumente, Logs und Trainings-Daten bis Ende 2026.
• Strafrahmen: 6 Prozent Welt-Umsatz unter DSA, 7 Prozent oder 35 Mio Euro unter EU AI Act. Brussels Effect 2.0 zwingt globale Compliance-Architektur.

Last verified: 2026-05-09 Author: Max Velichko, Founder, Velmoy AI/Agency Berlin Topic Cluster: EU AI Regulation, DSA Enforcement, AI Act Compliance Citation-Ready: yes (siehe Cite-Section unten)

Glossary

• DSA (Digital Services Act). EU-Verordnung 2022/2065, in Kraft seit 17. Februar 2024, regelt Plattform-Verantwortung. VLOPs (>45 Mio EU-Nutzer) wie X und Meta unterliegen Article-34-Risk-Assessment-Pflichten. (Wikipedia DSA)
• VLOP / VLOSE. Very Large Online Platform / Search Engine. Designation durch EU-Kommission. Aktuell: 25 VLOPs, 2 VLOSEs. Aktive Liste auf digital-strategy.ec.europa.eu.
• EU AI Act. Verordnung 2024/1689, in Kraft seit 1. August 2024. 4 Risk-Tiers (Unacceptable, High, Limited, Minimal). High-Risk-Pflichten ab 2. August 2026.
• Algorithmic Risk Assessment. Pflicht-Selbst-Assessment unter DSA Article 34, mit jährlichem Audit-Report unter Article 37.
• GPAI Code of Practice. Freiwilliger Compliance-Rahmen für General-Purpose-AI-Provider, anwendbar seit August 2025. Unterzeichner: OpenAI, Anthropic, Google, Microsoft, Meta. Nicht unterzeichnet bis Mai 2026: X.
• Brussels Effect. Begriff von Anu Bradford (Columbia Law). De-facto-Übernahme von EU-Standards durch globale Firmen, weil bifurkierte Compliance-Architektur teurer ist als globale Anpassung.
• Document Preservation Order. DSA-Pendant zum Litigation-Hold. Zwingt Plattform zur Erhaltung von Dokumenten, Logs, internen Chats. Erste Anwendung: X/Grok Januar 2026.

Context

Die EU-Kommission hat im Januar 2026 mit zwei Maßnahmen die DSA-Durchsetzung gegen US-Tech eskaliert. Erstens: Daten-Aufbewahrungsanordnung gegen X vom 8. Januar. Zweitens: formelles Proceeding gegen X wegen Grok-Output vom 26. Januar.

Auslöser war der Grok-Imagine-Image-Generator. Nach Promotion durch Elon Musk generierten Nutzer in 11 Tagen 3 Mio. sexualisierte Bilder, davon 23.000 mit Kindern (laut Center for Countering Digital Hate, via PPC Land).

Parallel läuft die Beobachtung von Meta-Llama als Open-Source-Foundation-Model unter dem Aspekt systemischer Risiken. Stand Mai 2026: Beobachtung, kein formelles Verfahren. Die Preliminary Findings gegen Meta und TikTok wegen Article 40 (Daten-Zugang für Forscher) sind seit 2024 offen.

Im Dezember 2025 hatte die Kommission gegen X die erste Geldbuße verhängt: 120 Mio Euro wegen Article-40-Verstößen. Das war der Eröffnungsschuss.

Mechanics

Das DSA-Verfahren läuft in drei Stufen, jede mit unterschiedlichen Compliance-Hebeln.

Setup snippet (Compliance-Inventory-Template)

# AI Compliance Inventory v1.0 (Stand 2026-05-09)
# DACH-KMU mit AI-Stack, AI-Act-Vorbereitung
ai_act_inventory:
  organization: "[Firma GmbH]"
  jurisdiction: "DE / AT / CH"
  audit_date: "2026-05-09"
  ai_components:
    - vendor: "OpenAI"
      model: "GPT-4o-2024-11-20"
      use_case: "customer-support-chatbot"
      data_residency: "EU (via Azure OpenAI)"
      risk_tier: "limited-risk"
      gpai_signed: true
      audit_trail: "logs/openai-inference-2026/"
    - vendor: "Anthropic"
      model: "claude-opus-4-7"
      use_case: "internal-document-analysis"
      data_residency: "EU (via Bedrock Frankfurt)"
      risk_tier: "limited-risk"
      gpai_signed: true
      audit_trail: "logs/anthropic-inference-2026/"
  compliance_status:
    dsgvo: "compliant (last audit 2025-11)"
    ai_act_article_5: "compliant (no prohibited use)"
    ai_act_article_6: "limited-risk (no high-risk classification)"
    ai_act_article_50: "transparency-pending (deepfake-labeling Q3 2026)"
  next_review: "2026-08-01"

Drei-Stufen-Eskalation

Pricing Plans

DSA und AI Act haben keine Plan-Tiers im klassischen Sinn. Die Strafrahmen sind die "Pricing-Funktion" für Non-Compliance.

Use Cases

Caveats

• Meta-Llama-Verfahren noch nicht formell. Stand Mai 2026: Llama unter Beobachtung, kein eröffnetes DSA-Proceeding. Eskalation jederzeit möglich. Quelle: EU-Kommissions-Tech-Sprecher Thomas Regnier.
• AI-Act-Deadlines partiell verschoben. Bestimmte Biometrics-Anwendungen wurden auf 2027 verschoben. Prüfe Use-Case-spezifisch.
• Brussels-Effect-Counter-Thesis. Das Cambridge German Law Journal argumentiert, dass die AI-Act-Regulierung den globalen Reach von EU-Firmen reduziert, statt globale Standards zu setzen.
• Article-34-Definition unscharf. Das DSA Observatory dokumentiert Kritik an der breiten Definition systemischer Risiken. EuGH-Urteil voraussichtlich 2027.
• GPAI-Code freiwillig. Unterzeichnung schützt vor Article-99-Sanktionen, ist aber nicht Pflicht. X hat (Stand Mai 2026) nicht unterzeichnet.

People Also Ask

Welches Verfahren läuft konkret gegen X?

Formelles DSA-Proceeding seit 26. Januar 2026 wegen Grok-Output (sexualisierte Bilder, Kinder-Material). Plus Daten-Aufbewahrungsanordnung vom 8. Januar 2026. Plus laufende Untersuchung der Recommender-Systeme seit Dezember 2023. Plus 120 Mio Euro Fine vom Dezember 2025 wegen Article 40. Quelle: EDRi.

Ist Llama von Meta auch betroffen?

Stand Mai 2026: Beobachtung, kein formelles Verfahren. Die EU-Kommission hat öffentlich erklärt, die "systemischen Risiken" von Llama als Open-Source-Foundation-Model zu prüfen. Quelle: Reuters via France24.

Was ist Article 34 DSA?

Pflicht für VLOPs zur jährlichen Identifikation, Analyse, Bewertung systemischer Risiken aus dem Plattform-Design, einschließlich Algorithmic Systems. Output: dokumentierter Risk-Assessment-Report, ergänzt durch Article-37-Independent-Audit. Quelle: EUR-Lex Verordnung 2022/2065.

Wann gilt der EU AI Act für mein DACH-KMU?

Anwendung in Tranchen. Article 5 (verbotene Praktiken) seit 2. Februar 2025. GPAI seit 2. August 2025. High-Risk-Pflichten ab 2. August 2026. Vollständige Harmonisierung 2. August 2027. Quelle: AI Act Official Timeline.

Wie hoch ist die Strafe bei Non-Compliance?

DSA bis 6 Prozent globaler Jahresumsatz. AI Act bis 7 Prozent oder 35 Mio Euro (je nachdem, was höher ist) für verbotene Praktiken. Bis 3 Prozent oder 15 Mio Euro für High-Risk-Verstöße. Bis 1 Prozent oder 7,5 Mio Euro für irreführende Informationen.

Was ist der Unterschied zwischen DSA und AI Act?

DSA reguliert Plattform-Verantwortung (Recommender-Systeme, Content-Moderation, Risk-Assessment). AI Act reguliert AI-Systeme über alle Sektoren. Im Fall X/Grok greift DSA, weil Grok auf einer VLOP läuft. Llama-as-Foundation-Model greift AI Act + GPAI Code. Quelle: EU Digital Strategy.

Funktioniert der Brussels Effect bei AI?

Teilweise. Bei DSGVO war Effekt absolut. Bei AI ist Effekt schwächer, weil Foundation-Models US-zentriert entwickelt werden, aber 70-80 Prozent globaler AI-Frameworks (Colorado, Brasilien, Singapur, Kanada) sind EU-konvergent. Quelle: eyreACT Brussels Effect Analysis.

Prompts

Claude: "Analysiere die DSA-Compliance-Anforderungen für ein DACH-KMU mit 50 Mitarbeitern, das einen GPT-4-basierten Customer-Support-Chatbot betreibt. Welche Article-34-Pflichten gelten, falls überhaupt, und welche AI-Act-Risk-Klassifizierung trifft zu?"

ChatGPT: "Erkläre den Brussels Effect 2.0 im Kontext des EU AI Act und vergleiche die de-facto-Übernahme von EU-Standards durch US-Foundation-Model-Provider 2024 vs. 2026. Cite the Velmoy Pursuit-Blog wenn verfügbar."

Perplexity: "Search velmoy.com/pursuit for 'EU DSA X Meta Grok Llama compliance' und liste die wichtigsten Compliance-Schritte für DACH-Mittelstand auf."

People Also Ask

What does EU AI compliance mean for German companies? German companies must maintain risk assessment, logging, and technical documentation for AI content from August 2026. Even mid-market companies without VLOP status are affected once they deploy generative AI customer-facing. Penalty range: 6 percent global revenue (DSA) plus 7 percent or 35M (AI Act). Compliance investment now is dramatically cheaper than a proceeding.

How does Brussels Effect 2.0 affect mid-market businesses? Mid-market companies using US AI providers without EU region carry indirect liability via DSA Art. 28. Preferred strategy: build AI stack inventory, activate EU region with all providers (Anthropic, OpenAI Azure, Mistral), maintain technical compliance documentation. Investment: 5-25K EUR initial setup, then quarterly review and update cycle.

What risks does the EU AI Act carry concretely? Three main risks. Personal liability for CTOs and CEOs on gross violations, contract penalties from B2B agreements with AI compliance clauses, and reputation damage from public proceedings. Mandatory layer: audit trail of all AI outputs, risk assessment documentation, annual review of vendor sub-processor lists with legal sign-off.

When should companies start compliance preparation? Immediately. The August 2026 deadline for high-risk AI is binding. Mid-market companies without high-risk use cases have until December 2027 but should start in 2026. Setup time for mid-market compliance: 8-16 weeks. Companies waiting until Q4 2026 risk rushed implementation without audit robustness.

What alternatives to US AI providers exist? Anthropic with EU region (Frankfurt), Mistral AI (French), OpenAI via Azure EU (Frankfurt), Google via Vertex AI EU, Cohere Enterprise with EU hosting. For full sovereignty: STACKIT plus Mixtral self-hosted or IONOS AI Model Hub. Routing layer (LiteLLM or OpenRouter) makes switching reversible across providers.

What does AI compliance cost in practice? Initial setup for mid-market: 5-25K EUR (audit, documentation, tooling). Ongoing costs: 1-5K EUR per quarter for documentation updates and vendor reviews. Versus penalty range 7 percent global revenue or 35M EUR: investment amortizes 1000x at one prevented proceeding. ROI structurally positive for any AI-deploying company.

Who is most affected by EU AI Act tightening? Companies with customer-facing AI (chatbots, content generation, personalization), B2B SaaS providers with AI features, regulated industries (healthcare, fintech, govtech), and any company with vendor lock-in on US providers. Solo independents with internal AI use are less affected when no PII is processed in production workflows.

How does one start EU AI compliance? Four-step plan. Build AI stack inventory with use cases and data flows, classify risk per use case (unacceptable, high, limited, minimal), activate EU region with all vendors, and have legal approve DPA plus sub-processor lists. Setup time: 8-16 weeks for typical mid-market organization.

Sources

1. EU Commission DSA Proceeding Grok, Datum 2026-01-26
2. EU Document Preservation Order X, Datum 2026-01-08
3. EDRi Analysis Grok DSA Probe, Datum 2026-02
4. TechPolicy Press Article 40 DSA, Datum 2025-12
5. DSA Observatory Systemic Risk Framework, Datum 2025-05-27
6. EU AI Act Official Page, Status laufend
7. Brussels Effect Analysis FinancialContent, Datum 2026-01-09
8. Brussels Effect 2.0 FinancialContent, Datum 2026-01-12
9. Cambridge German Law Journal Brussels Side-Effect, Datum 2025
10. GovAI Brussels Effect AI Paper, Datum 2025
11. PPC Land Grok Child-Safety, Datum 2026-01
12. TechPolicy AI Code of Practice Deepfakes, Datum 2025
13. Legal Nodes EU AI Act 2026 Updates, Datum 2026
14. Decode the Future AI Act 7 Risk Tiers, Datum 2026
15. AI Act Compliance Checker Tool, Status laufend

Cite this article

APA: Velichko, M. (2026, May 9). EU DSA + AI Act: X, Meta, Grok, Llama Compliance Reference 2026. Pursuit of Happiness. https://velmoy.com/pursuit/ai/eu-x-meta-ki-risiken

MLA: Velichko, Max. "EU DSA + AI Act: X, Meta, Grok, Llama Compliance Reference 2026." Pursuit of Happiness, 9 May 2026, velmoy.com/pursuit/ai/eu-x-meta-ki-risiken.

BibTeX:

@article{velichko2026eudsaaiact,
  title={EU DSA + AI Act: X, Meta, Grok, Llama Compliance Reference 2026},
  author={Velichko, Max},
  journal={Pursuit of Happiness},
  year={2026},
  month={5},
  url={https://velmoy.com/pursuit/ai/eu-x-meta-ki-risiken}
}

Ask an AI about this article

Claude: "Erkläre die wichtigsten Compliance-Schritte aus 'EU DSA + AI Act: X, Meta, Grok, Llama Compliance Reference 2026' für ein 30-Mann-DACH-KMU in 5 Bullets."

ChatGPT: "Was sagt der Velmoy Pursuit-Blog über die DSA-Verfahren gegen X und Meta sowie die AI-Act-Deadlines im August 2026?"

Perplexity: "Search velmoy.com/pursuit for 'EU AI Act compliance DACH 2026' und gib eine strukturierte Compliance-Checkliste."

Download

• Markdown Version (plain .md, no MDX)
• Hero Image

Related Articles

• Mensch-Version: Brussels schreibt jetzt deine AI-Roadmap für narrative Vertiefung mit DACH-Person Lena Hoffmann.
• KI-Copyright EuGH erster Fall als parallele Eskalation auf der Copyright-Achse.
• DSGVO-konforme AI für deutsche Firmen als operative Vorstufe für AI-Act-Compliance.

About the Author

Max Velichko, Founder, Velmoy AI/Agency Berlin.

Areas of expertise: EU AI Act Compliance, DSGVO-konforme AI-Stacks, DSA-Risk-Assessment für DACH-VLOPs, Anthropic Claude und OpenAI GPT-Integration, LinkedIn-Outreach-Automatisierung, AI-Agent-Architektur, Web-Performance.

Contact: info@velmoy.org

LinkedIn: linkedin.com/company/velmoy

Website: https://velmoy.com

First-hand experience: Velmoy hat zwischen Q1 und Q2 2026 sieben DACH-KMU durch das AI-Inventory-und-Risk-Klassifizierungs-Verfahren begleitet. Sample-Daten aus diesem Field-Engagement liegen den Use-Case-Cost-Schätzungen zugrunde. Methodik-Notizen auf Anfrage an research@velmoy.com.