Hochrisiko-KI-Systeme: Vorbereitung auf die Compliance mit Anhang III der EU-KI-Verordnung

Hochrisiko-KI-Systeme werden durch Anhang III der EU-KI-Verordnung (Verordnung 2024/1689) als KI-Systeme definiert, die in acht kritischen Bereichen eingesetzt werden: Biometrie, Management kritischer Infrastruktur, allgemeine und berufliche Bildung, Beschäftigung und Arbeitnehmerverwaltung, Zugang zu wesentlichen privaten Dienstleistungen (einschließlich Kreditscoring), Strafverfolgung, Migration und Asylverwaltung sowie Rechtspflege und demokratische Prozesse. Anbieter dieser Systeme müssen eine Konformitätsbewertung durchführen, eine detaillierte technische Dokumentation pflegen, ein Risikomanagementsystem nach Artikel 9 implementieren, eine menschliche Aufsicht gewährleisten und das System vor dem Einsatz in der EU-KI-Datenbank registrieren. Ab August 2026 können nicht konforme Hochrisiko-KI-Systeme nicht mehr rechtmäßig auf dem EU-Markt platziert oder verwendet werden, mit Bußgeldern bis zu 15 Millionen EUR oder 3 % des weltweiten Umsatzes.

Unser KI-Verordnungs-Compliance-Team kombiniert rechtliche Expertise in der Verordnung mit technischer Erfahrung in Machine-Learning-Systemen, algorithmischer Risikobewertung und Zertifizierungsprozessen für regulierte Produkte.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Die Anhang-III-Realitätsprüfung

Anhang III der KI-Verordnung ist die Liste, die die meisten Unternehmen kennen müssen und die wenigsten sorgfältig gelesen haben. Acht Kategorien von KI-Systemen – von Kreditscoring bis Bewerberscreening, Management kritischer Infrastruktur und biometrischer Identifizierung – unterliegen einem Pflichtensystem, das erheblich anspruchsvoller ist als der Rest der Verordnung. Die Frage ist nicht theoretisch: Wenn Ihre Organisation KI nutzt, um Entscheidungen über Personen in einem dieser Kontexte zu treffen oder zu beeinflussen, gelten die Pflichten ab August 2026 direkt für Sie.

Klassifizierung ist nicht offensichtlich

Die Klassifizierung als hochriskant hängt nicht nur von der Technologie ab, sondern vom spezifischen Einsatz. Ein Gesichterkennungssystem, das intern für die Zugangskontrolle in einer Einrichtung genutzt wird, ist möglicherweise nicht hochriskant; dasselbe System zur Identifizierung von Personen im öffentlichen Raum wahrscheinlich schon. Ein Machine-Learning-Modell, das Führungskräfte bei der Vorbereitung von Leistungsbewertungen unterstützt, liegt möglicherweise in einem Graubereich; dasselbe Modell, das Scores generiert, die direkt Beförderungen oder Entlassungen bestimmen, fällt wahrscheinlich unter Anhang III. Die Klassifizierungsbestätigung ist der erste Service, den wir erbringen, weil sie die Grundlage für alles Folgende bildet.

Die technische Dokumentationsanforderung

Die nach Anhang IV erforderliche technische Dokumentation ist umfangreich und spezifisch. Es handelt sich nicht um ein generisches Beschreibungsdokument, sondern um eine Reihe technischer Nachweise, die abdecken, wie das System funktioniert, auf welchen Daten es trainiert wurde, wie seine Leistung bewertet wurde, welche Verzerrungen erkannt und wie sie gemindert wurden und wie die menschliche Aufsicht im operativen Einsatz gewährleistet wird. Die Erstellung dieser Dokumentation erfordert die Zusammenarbeit zwischen dem Rechtsteam und dem technischen Team, das das System entwickelt oder integriert hat – ein Prozess, den wir von Anfang bis Ende koordinieren.

Integration von KI-Verordnungs- und DSGVO-Pflichten

Für Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten – was praktisch alle Bewerberscreening-, Finanzscoring- und biometrischen Identifizierungssysteme einschließt – muss die KI-Verordnungs-Compliance mit den DSGVO- und Datenschutzpflichten koordiniert werden. Die Grundrechte-Folgenabschätzung nach der KI-Verordnung und die Datenschutz-Folgenabschätzung (DSFA) nach der DSGVO sind nicht redundant, überschneiden sich aber: Ein integrierter Prozess vermeidet Doppelarbeit und stellt sicher, dass die beiden Compliance-Rahmen gegenseitig konsistent sind.

Marktüberwachung als laufende Pflicht

Die Marktüberwachung ist vielleicht die am meisten unterschätzte KI-Verordnungspflicht für Hochrisikosysteme. Compliance zum Zeitpunkt des Einsatzes ist nicht ausreichend: Die Verordnung verlangt ein kontinuierliches System zur Sammlung und Analyse von Daten über den tatsächlichen Systembetrieb. Das bedeutet die Definition von Leistungs- und Fairnessindikatoren, die Festlegung von Alarmschwellenwerten, die Überprüfungen auslösen, und die Führung von Aufzeichnungen, die belegen, dass das System weiterhin entsprechend der ursprünglichen Konformitätsbewertung betrieben wird. Wir entwickeln diese Überwachungssysteme so, dass sie operativ praktikabel sind, ohne technische Teams unverhältnismäßig zu belasten.

Regelungsrahmen: EU-KI-Verordnung und spanische Umsetzung

Verordnung (EU) 2024/1689 (EU-KI-Verordnung — AI Act): Trat am 1. August 2024 in Kraft; schrittweise Anwendung: verbotene KI-Praktiken (Art. 5) ab Februar 2025; GPAI-Modellregeln (Art. 51–56) ab August 2025; Hochrisiko-KI-Pflichten (Kapitel III, inkl. Anhang III) ab August 2026; restliche Anforderungen ab August 2027.

Anhang III — Acht Hochrisikokategorien: (1) Biometrische Identifizierung und Kategorisierung; (2) Kritische Infrastruktur (Energie, Wasser, Transport); (3) Allgemeine und berufliche Bildung; (4) Beschäftigung und Arbeitnehmerverwaltung; (5) Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen (Kreditscoring, Sozialleistungen); (6) Strafverfolgung; (7) Migration und Asylverwaltung; (8) Rechtspflege und demokratische Prozesse.

Art. 9 Risikomanagementsystem: Kontinuierlicher Prozess (nicht einmalig) über den gesamten Systemlebenszyklus. Muss bekannte und vorhersehbare Risiken identifizieren und bewerten; Risikomaßnahmen anwenden; residuale Risiken akzeptieren oder ablehnen. Dokumentationspflicht über den gesamten Prozess.

Anhang IV Technische Dokumentation: Zwölf spezifische Kategorien: allgemeine Beschreibung, Designspezifikation, Informationen zu Trainingsdaten, Leistungsmetriken, Maßnahmen zur menschlichen Aufsicht, technische Robustheit, Cybersicherheitsmaßnahmen, Beschreibung wesentlicher Änderungen über den Lebenszyklus.

Art. 99 Sanktionen: Verbotene KI-Praktiken: bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes. Hochrisiko-KI-Pflichtverstöße: bis zu 15 Mio. EUR oder 3 %. Falsche Informationen an Behörden: bis zu 7,5 Mio. EUR oder 1 %. Bußgelder für KMU sind relativ niedriger angesetzt (die Prozentsätze bleiben, aber die absoluten Obergrenzen sind reduziert).

AESIA (Agencia Española de Supervisión de la Inteligencia Artificial): Spanische Marktüberwachungsbehörde für den AI Act. Zuständig für Inspektionen, Sanktionsverfahren und Koordination mit dem Europäischen KI-Amt (EUAI Office) in Brüssel.

Praxisbeispiel mit Zahlen: Finanzdienstleistungsunternehmen mit Hochrisiko-Kreditscoring-KI

Ausgangssituation: Ein Finanzdienstleistungsunternehmen (320 Mitarbeiter, 85 Mio. EUR Umsatz) setzte seit vier Jahren ein Machine-Learning-Modell für die Kreditwürdigkeitsbewertung von Privatkunden ein. Das Modell war intern entwickelt worden und verarbeitete ca. 12.000 Kreditanträge pro Jahr. Keine Klassifizierungsprüfung unter dem AI Act war durchgeführt worden.

Diagnose: Das Kreditscoring-System fiel eindeutig unter Anhang III, Kategorie 5 (Zugang zu wesentlichen privaten Dienstleistungen). Als Hochrisiko-KI-System erforderte es: vollständige Anhang-IV-Dokumentation (nicht vorhanden); Risikomanagementsystem nach Art. 9 (nicht implementiert); Registrierung in der EU-KI-Datenbank vor Weiterverwendung ab August 2026; menschliche Aufsicht für alle Ablehnungsentscheidungen; Grundrechte-Folgenabschätzung (Art. 27) als öffentlicher Dienstleister.

Compliance-Plan: Phase 1 (3 Monate): Retroaktive Anhang-IV-Dokumentation auf Basis des internen Wissens des Entwicklungsteams; Bias-Analyse mit SHAP-Werten für Identifizierung diskriminatorischer Muster; Art.-9-Risikoregister. Phase 2 (2 Monate): Menschliche Aufsichtsverfahren für Ablehnungen über 5.000 EUR; Protokollierungssystem für automatische Entscheidungen; Marktüberwachungssystem mit vierteljährlichen Fairness-Reports. Phase 3 (1 Monat): EU-Datenbankregistrierung; Grundrechte-Folgenabschätzung; interne Schulung für das Kreditteam.

Gesamtkosten Compliance-Projekt: 45.000 EUR (rechtliche und technische Beratung). Kosten der Nicht-Compliance ab August 2026: Bußgeldrisiko bis zu 15 Mio. EUR oder 3 % Umsatz. Nutzen: Vermeidung von Sanktionsrisiken; Dokumentation für CNMV-/BdE-Regulatoren als Nachweis regulatorischer Sorgfalt.

Betroffene Branchen: Hochrisiko-KI in der Praxis

Finanzsektor: Kreditscoring (Anhang III.5), Betrugserkennungssysteme, algorithmische Kreditentscheidungen. Auch unter DORA und EBA-Leitlinien zu KI und ML in der Finanzdienstleistung reguliert.

Personalwesen und Recruiting: KI für Bewerberscreening, Leistungsbewertung, Beförderungsentscheidungen fallen unter Anhang III.4. Häufig unterschätzt: HR-Analytics-Tools der Anbieter Workday, SAP SuccessFactors, Oracle HCM können Hochrisiko-KI einbetten.

Gesundheitswesen: Medizinische Bildgebungsdiagnose, klinische Entscheidungsunterstützung, Triagealgorithmen für öffentliche Gesundheitsdienstleister fallen möglicherweise unter Anhang III.5. Koordination mit der MDR (Medical Device Regulation) erforderlich.

Bildung: Prüfungsüberwachung (Proctoring), automatisierte Bewertung, Lernpfad-Empfehlungssysteme können unter Anhang III.3 fallen, wenn sie über reine Lernunterstützung hinausgehen und Zugang zu Bildungswegen beeinflussen.

Öffentliche Verwaltung: Sozialleistungsberechnungssysteme, Risikopriorisierungssysteme für Inspektionen, automatisierte Entscheidungsunterstützung für Verwaltungsakte. Die öffentliche Verwaltung unterliegt denselben AI-Act-Pflichten wie private Unternehmen.

Unternehmensgrößen-Segmentierung: Compliance-Aufwand und Kosten

KMU und Startups (bis 50 Mitarbeiter): Der AI Act sieht spezifische KMU-Erleichterungen vor: vereinfachte Dokumentationsformate, ermäßigte Gebühren für Regulierungs-Sandbox-Teilnahme, proportionale Bußgelder. Allerdings bleiben die materiellen Pflichten für Hochrisiko-KI dieselben. Typische Compliance-Kosten für ein KMU mit einem Hochrisiko-KI-System: 8.000–20.000 EUR.

Mittlere Unternehmen (50–250 Mitarbeiter): Oft mehrere KI-Systeme in verschiedenen Geschäftsbereichen; Klassifizierung aller KI-Systeme als erster Schritt; koordinierter Compliance-Plan für alle Hochrisiko-Systeme. Typische Kosten: 20.000–60.000 EUR für vollständige Compliance mehrerer Systeme.

Große Unternehmen (250+ Mitarbeiter): Komplexes KI-Portfolio mit internen und extern beschafften Systemen. Als Betreiber extern entwickelter Hochrisiko-KI-Systeme tragen auch Betreiber Pflichten (Art. 26). Koordination mit Anbietern für Dokumentationstransparenz. Typische Kosten: 80.000–250.000 EUR für umfassendes KI-Governance-Programm.

Geografische Abdeckung und AESIA-Interaktion

AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) ist für alle in Spanien tätigen Anbieter und Betreiber von KI-Systemen zuständig, unabhängig von ihrem Sitz. Für Unternehmen mit Sitz in Spanien ist die AESIA die primäre Aufsichtsbehörde; für Unternehmen mit Sitz außerhalb der EU, die ihre KI-Systeme im spanischen Markt einsetzen, gelten die One-Stop-Shop-Regeln des AI Act.

Unser Team begleitet Unternehmen in Madrid, Málaga, Las Palmas und ganz Spanien. Für internationale Unternehmen koordinieren wir mit spezialisierten KI-Recht-Kanzleien in Irland, Deutschland und den Niederlanden für gruppenweite AI-Act-Compliance.

Häufige Fehler Top 5: Hochrisiko-KI-Compliance-Fallen

1. System als nicht hochriskant klassifizieren, weil es “nur unterstützt”: Der AI Act unterscheidet nicht zwischen Entscheidungsunterstützung und automatischer Entscheidung in Bezug auf die Klassifizierung. Ein System, das Kreditentscheidungen “empfiehlt” und in der Praxis in >95 % der Fälle gefolgt wird, ist Hochrisiko. Die funktionale Betrachtung des tatsächlichen Einsatzes ist entscheidend.

2. Compliance beim Kauf delegieren: “Der Anbieter ist verantwortlich” — ein häufiger Irrtum. Als Betreiber tragen Unternehmen eigenständige Pflichten: menschliche Aufsicht, Grundrechte-Folgenabschätzung, Aufbewahrung von Protokollen, Meldung schwerwiegender Vorfälle. Der Anbietervertrag ersetzt nicht die eigene Compliance.

3. Einmalige Dokumentation statt kontinuierlichem Risikoregister: Der AI Act erfordert ein kontinuierliches Risikomanagementsystem (Art. 9), nicht ein einmaliges Dokument. Jede wesentliche Änderung des Systems (neue Trainingsdaten, geänderte Schwellenwerte, neue Anwendungsfälle) kann eine Neuklassifizierung oder Anpassung des Risikomanagements erfordern.

4. DSGVO und AI Act separat behandeln: Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, unterliegen beiden Rahmen. Eine DSFA ohne Berücksichtigung der KI-Act-Anforderungen ist unvollständig; umgekehrt deckt die Anhang-IV-Dokumentation nicht alle DSGVO-Anforderungen ab. Integrierte Compliance ist effizienter und robuster.

5. Marktüberwachung als Einführungsphase behandeln: Viele Unternehmen implementieren Compliance für die Inbetriebnahme, vernachlässigen aber die laufende Marktüberwachung. AESIA kann auch laufende Systeme prüfen; ein dokumentiertes Marktüberwachungssystem zeigt proaktive regulatorische Sorgfalt und schützt bei AESIA-Inspektionen.

AI Act Compliance-Kalender: Wichtige Fristen für Hochrisiko-KI

Die schrittweise Anwendung des AI Acts erfordert einen strukturierten Compliance-Zeitplan:

Für bestehende Systeme (Before 2024): Für Hochrisiko-KI-Systeme, die bereits vor dem Inkrafttreten des AI Acts in Betrieb waren, gilt eine Übergangsfrist bis August 2027 — sofern sie seit dem 2. August 2024 nicht wesentlich geändert wurden. Wesentliche Änderungen setzen die volle AI-Act-Compliance-Pflicht sofort in Kraft. Die Definition einer “wesentlichen Änderung” (Art. 28 AI Act) ist eng und schließt neue Trainingsdaten, veränderte Schwellenwerte und neue Anwendungsfälle ein.

EU-Datenbankregistrierung: Pflicht für Hochrisiko-KI

Anbieter von Hochrisiko-KI-Systemen müssen diese vor dem Inverkehrbringen in der EU-KI-Datenbank registrieren (Art. 49 AI Act). Diese Datenbank wird von der Europäischen Kommission verwaltet und ist teilweise öffentlich zugänglich.

Erforderliche Informationen für die Registrierung: Name und Kontaktdaten des Anbieters; allgemeine Beschreibung des KI-Systems und seines Zwecks; Hochrisikokategorie (Anhang III); EU-Datenbank-Registrierungsnummer (nach Registrierung automatisch vergeben); Status der Konformitätsbewertung; Informationen über angewendete harmonisierte Normen.

Betreiber-Registrierung: Betreiber von Hochrisiko-KI-Systemen aus Anhang III (außerdem Einrichtungen in den Bereichen Strafverfolgung, Migration und Grenzschutz sowie Justiz) müssen die Systeme in der Datenbank ebenfalls als Betreiber registrieren. Dies schafft eine öffentlich einsehbare Transparenz über den Einsatz von Hochrisiko-KI-Systemen in kritischen Bereichen.

Harmonisierte Normen und Technische Spezifikationen

Der AI Act verweist auf harmonisierte Normen, die von europäischen Normungsorganisationen (CEN, CENELEC) entwickelt werden. Die Einhaltung dieser Normen schafft eine Vermutung der Konformität mit den entsprechenden AI-Act-Anforderungen.

ISO/IEC 42001 (KI-Managementsystem): Erste international anerkannte Norm für KI-Managementsysteme. Unternehmen, die ISO/IEC 42001 implementieren und zertifizieren lassen, bauen eine starke Grundlage für AI-Act-Compliance auf, auch wenn die Norm nicht automatisch die vollständige AI-Act-Compliance garantiert.

ISO/IEC 23894 (KI-Risikomanagement): Spezifische Richtlinien für das Risikomanagement von KI-Systemen — komplementär zu Art. 9 AI Act und dem allgemeinen Risikorahmen.

NIST AI Risk Management Framework: US-amerikanische Norm, die international anerkannt wird und für multinationale Unternehmen nützlich ist, die gleichzeitig AI-Act-Compliance und US-regulatorische Anforderungen erfüllen müssen.

Wir begleiten Unternehmen bei der Implementierung dieser Normen als Teil eines integrierten AI-Act-Compliance-Programms, das regulatorische Anforderungen mit operativer Effizienz verbindet. Kontaktieren Sie unser KI-Recht-Team für eine kostenlose Erst-Klassifizierungsanalyse Ihrer KI-Systeme.

Menschliche Aufsicht bei Hochrisiko-KI: Praktische Anforderungen

Art. 14 AI Act verpflichtet Anbieter, sicherzustellen, dass Hochrisiko-KI-Systeme von kompetenten natürlichen Personen wirksam beaufsichtigt werden können. Diese Anforderung hat konkrete operative Implikationen:

Wirksame Interventionsmöglichkeit: Die menschliche Aufsicht muss real und effektiv sein — nicht nur formal. Ein System, das in der Praxis Entscheidungen in Echtzeit ohne realistische Möglichkeit der menschlichen Überprüfung trifft, erfüllt die Anforderung nicht. Dies gilt insbesondere für KI-Systeme, die in großem Umfang Kreditentscheidungen oder HR-Entscheidungen generieren.

Kompetenz der Aufsichtsperson: Die Person, die das System beaufsichtigt, muss die Fähigkeiten haben, die Systemausgaben zu verstehen und kritisch zu beurteilen. Für Kreditscoring-Systeme bedeutet dies, dass die Kreditanalysten, die Systemempfehlungen prüfen, ausreichend über die Funktionsweise des Modells geschult sind, um abweichende Entscheidungen treffen zu können.

Dokumentation der Aufsicht: Entscheidungen, bei denen ein menschlicher Aufseher von der KI-Empfehlung abgewichen ist, müssen dokumentiert werden — diese Dokumentation ist eine wichtige Grundlage für die Marktüberwachung und zeigt, dass das Aufsichtssystem tatsächlich funktioniert.

Schwerwiegende Vorfälle: Meldepflichten nach AI Act

Art. 73 AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen, schwerwiegende Vorfälle an die zuständige Marktüberwachungsbehörde (AESIA für Spanien) zu melden:

Definition schwerwiegender Vorfall: Ein Vorfall, der direkt oder indirekt zum Tod oder zu schweren Verletzungen von Personen, zu erheblichen Sachschäden oder zu erheblichen Auswirkungen auf die Gesundheit, Sicherheit oder Grundrechte von Personen führt oder hätte führen können.

Meldung innerhalb von 15 Tagen: Sobald ein Anbieter von einem schwerwiegenden Vorfall Kenntnis erlangt, muss er ihn innerhalb von 15 Tagen an die AESIA melden. Für Vorfälle, die ein unmittelbares Risiko für die öffentliche Sicherheit darstellen, kann eine schnellere Meldung erforderlich sein.

Betreiberpflichten: Betreiber, die von einem schwerwiegenden Vorfall Kenntnis erhalten, müssen den Anbieter sofort informieren, das System außer Betrieb nehmen oder einschränken (falls sicherheitsrelevant) und bei der Untersuchung des Vorfalls kooperieren.

Ein robustes Incident-Response-Protokoll für Hochrisiko-KI-Systeme — das den Erkennungsprozess, die interne Eskalation, die AESIA-Meldung und die externe Kommunikation (falls notwendig) regelt — ist eine operative Notwendigkeit für Betreiber und Anbieter gleichermaßen.

Kontaktieren Sie unser Spezialistenteam für AI-Act-Compliance für eine kostenlose Erstbewertung Ihrer KI-Systeme unter Anhang III.

Koordination AI Act, DSGVO und sektorspezifische Regulierung

Hochrisiko-KI-Systeme in regulierten Sektoren unterliegen einem mehrschichtigen Regulierungsrahmen, der koordiniert werden muss:

Finanzsektor (DORA + EBA-Leitlinien + AI Act): Für Finanzinstitute, die KI in Risikomodellen, Scoring-Systemen oder algorithmischen Entscheidungsprozessen einsetzen, müssen AI-Act-Anforderungen (Anhang III.5) mit DORA-IKT-Risikomanagement (Art. 6-16 DORA) und EBA-Leitlinien zu KI und ML in der Finanzbranche koordiniert werden. Die technische Dokumentation nach Anhang IV ergänzt die DORA-IKT-Drittanbieter-Risikoanalyse.

Gesundheitswesen (MDR + AI Act): KI-Systeme in Medizinprodukten fallen gleichzeitig unter die EU-Medizinprodukteverordnung (MDR, Verordnung 2017/745) und unter den AI Act, wenn sie als eigenständige Software (SaMD — Software as a Medical Device) eingesetzt werden. CE-Kennzeichnung nach MDR und nach AI Act müssen koordiniert werden; in manchen Fällen überschneiden sich die technischen Dokumentationsanforderungen.

Beschäftigung und HR (Arbeitnehmerschutz + AI Act): KI-Systeme für Bewerberscreening und Leistungsbewertung (Anhang III.4) unterliegen zusätzlich den arbeitsrechtlichen Transparenz- und Informationsrechten. In Spanien müssen Arbeitnehmer über den Einsatz von KI-Systemen informiert werden, die ihre Beschäftigung beeinflussen (ET Art. 64 — Informationspflicht gegenüber dem Betriebsrat).

Kostentransparenz: AI-Act-Compliance-Honorare

Klassifizierungsanalyse (Inventarisierung und Anhang-III-Check): 2.500–8.000 EUR für eine vollständige Inventarisierung der KI-Systeme eines Unternehmens und ihre Klassifizierung unter dem AI Act. Ergebnis: klarer Compliance-Status jedes Systems und priorisierter Aktionsplan.

Vollständiges Compliance-Projekt für ein Hochrisiko-KI-System: 15.000–45.000 EUR umfasst Klassifizierungsbestätigung, Anhang-IV-Dokumentation, Art.-9-Risikomanagementsystem, Konformitätsbewertung, EU-Datenbankregistrierung und Marktüberwachungssystem-Design.

Laufendes AI-Compliance-Monitoring: 1.500–4.000 EUR/Monat für kontinuierliche Überwachung auf neue AESIA-Leitlinien und Normenentwicklungen, jährliche Compliance-Review und Incident-Response-Bereitschaft.

Kontaktieren Sie unser KI-Rechtsteam für eine kostenlose Erstklassifizierung Ihrer KI-Systeme und einen Compliance-Fahrplan bis August 2026.

Regulatorische Sandbox: AI-Act-Test-Möglichkeiten in Spanien

Der AI Act sieht in Art. 57–63 regulatorische Sandboxen vor — kontrollierte Umgebungen, in denen innovative KI-Systeme vor ihrer Markteinführung unter Aufsicht der Regulatoren getestet werden können.

AESIA Sandbox-Programm: Die AESIA koordiniert Spaniens AI-Act-Sandbox-Programm. Für Unternehmen, die innovative Hochrisiko-KI-Systeme entwickeln und regulatory clarity vor der Markteinführung wünschen, bietet die Sandbox die Möglichkeit, das System unter Regulatorenaufsicht zu testen, ohne vollständige AI-Act-Compliance vorweisen zu müssen.

Vorteile der Sandbox-Teilnahme: Direkter Dialog mit der AESIA über die Klassifizierung und Compliance-Anforderungen des konkreten Systems; Schutz vor Sanktionen während der Testphase; beschleunigte Markteinführung nach positiver Sandbox-Bewertung; Prä-Compliance-Signal für Investoren und Kunden.

Wer qualifiziert: Innovative KMU und Startups, die neue KI-Lösungen in regulierten Bereichen entwickeln; Unternehmen, die über ihre Klassifizierung unsicher sind; Forschungseinrichtungen und Universitäten mit KI-Anwendungen in kritischen Bereichen. Wir begleiten Sandbox-Anträge und die Kommunikation mit der AESIA während der Testphase.