EU-KI-Gesetz Compliance: 35 Mio. EUR Bußgelder bis August 2026 vermeiden

Der EU AI Act (Verordnung 2024/1689) ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenzsysteme, das für jedes Unternehmen gilt, das KI innerhalb der Europäischen Union entwickelt, auf den Markt bringt oder nutzt, unabhängig davon, wo das Unternehmen ansässig ist. Er etabliert eine vierstufige Risikoklassifizierung — verboten, hochriskant, begrenztes Risiko und minimales Risiko — mit Bußgeldern von bis zu 35 Mio. EUR oder 7% des globalen Jahresumsatzes bei den schwerwiegendsten Verstößen. Verbote unzulässiger KI-Praktiken traten im Februar 2025 in Kraft, während vollständige Pflichten für Hochrisiko-KI-Systeme nach Anhang III ab August 2026 gelten.

Unser Regulatory-Technology-Team kombiniert rechtliche Expertise im EU-KI-Gesetz mit praktischer Erfahrung in Informationssystemen, Daten-Governance und europäischer digitaler Regulierung.

Diese Dienstleistung ist Teil unserer Rechtsberatungspraxis.

Das Compliance-Fenster ist bereits geöffnet

Der AI Act ist keine zukünftige Regulierung. Seine ersten Pflichten — die Verbote unzulässiger KI-Praktiken — wurden im August 2025 durchsetzbar. Unternehmen, die KI in der Einstellung, Kreditvergabe, Kundeninteraktion oder einem anderen Prozess einsetzen, der Personen in der EU betrifft, unterliegen bereits der Durchsetzung. Die August-2026-Frist für Hochrisiko-KI-Systempflichten erscheint fern, aber Konformitätsbewertungen, technische Dokumentation und Risikomanagementsysteme erfordern Monate an Vorbereitungsarbeit. Unternehmen, die 2026 beginnen, werden nicht rechtzeitig fertig sein.

Das Inventarproblem

Der Ausgangspunkt ist immer das Inventar. Den meisten Organisationen fehlt ein vollständiges Bild aller KI-Systeme, die sie nutzen: HR-Tools mit automatisierten Screening-Algorithmen, Marketingplattformen mit Verhaltenssegmentierung, Kundenscoring-Systeme, Service-Chatbots, prädiktive Analysetools. Jedes muss innerhalb der Taxonomie der Verordnung klassifiziert werden, um zu bestimmen, welche Pflichten gelten. Fehlklassifizierung — insbesondere die Unterschätzung des Risikoniveaus — ist der häufigste Fehler und derjenige, der das größte Durchsetzungsrisiko erzeugt. Ein System, das Lebenslaufdaten verarbeitet, um Kandidaten zu reihen, ist unter Anhang III nahezu sicher hochriskant, unabhängig davon, wie der Anbieter es vermarktet.

Hochrisikosystem-Pflichten in der Praxis

Für als hochriskant klassifizierte Systeme sind die Pflichten erheblich. Der Anbieter muss detaillierte technische Dokumentation pflegen, ein Risikomanagementsystem implementieren, die Qualität der Trainingsdaten sicherstellen, Systemtransparenz und -interpretierbarkeit garantieren, wirksame menschliche Aufsichtsmechanismen entwickeln und das System vor der Vermarktung in der EU-Datenbank registrieren. Wir koordinieren diesen Prozess mit den Datenschutzpflichten der DSGVO, die sich erheblich überschneiden, wenn KI-Systeme personenbezogene Daten verarbeiten und koordinierte Folgenabschätzungen erfordern.

Die Vertragsebene

Der AI Act restrukturiert Vertragsbeziehungen entlang der KI-Lieferkette. Vereinbarungen mit KI-System-Anbietern müssen überprüft werden, um sicherzustellen, dass Verordnungspflichten korrekt zwischen Anbieter und Betreiber aufgeteilt sind, dass Zugriffsrechte auf die für die Compliance erforderliche technische Dokumentation vorhanden sind, und dass Verträge Szenarien schwerwiegender Vorfälle mit behördlicher Meldepflicht adressieren. Diese Vertragsüberprüfung ist ein integraler Bestandteil unseres Compliance-Service.

Compliance als Wettbewerbsvorteil aufbauen

KI-Governance ist das notwendige interne Komplement zur regulatorischen Compliance. Organisationen, die ihre KI-Systeme gut verwalten, vermeiden nicht nur Bußgelder: Sie bauen Vertrauenskapital bei Kunden, Partnern und Regulatoren auf, das in einem Markt, in dem algorithmische Intransparenz für institutionelle Käufer, Versicherer und Due-Diligence-Prüfer zunehmend inakzeptabel wird, echte Wettbewerbsvorteile erzeugt.

Regelungsrahmen: Verordnung (EU) 2024/1689 und ihre Anwendungsstruktur

Die Verordnung (EU) 2024/1689 (AI Act) ist am 1. August 2024 in Kraft getreten und gilt ab dem 2. August 2026 vollständig. Die zeitlich gestaffelten Pflichten im Überblick:

Artikel 5 — Verbotene KI-Praktiken (seit 2. Februar 2025 in Kraft): Der AI Act verbietet bestimmte KI-Anwendungen, deren Risiken als inakzeptabel eingestuft werden: Systeme, die durch Techniken der subliminalen Beeinflussung das Verhalten einer Person manipulieren; Systeme, die Schwächen oder Verletzlichkeiten spezifischer Personengruppen ausnutzen; biometrische Fernidentifizierungssysteme in öffentlich zugänglichen Räumen (mit engen Ausnahmen für Strafverfolgungsbehörden); Systeme, die Personenprofile auf Basis sozialer Bewertung erstellen (Social Scoring durch öffentliche Behörden); KI-gestützte Vorhersagepolizeiarbeit auf Basis von Persönlichkeitsmerkmalen.

Anhang III — Hochrisiko-KI-Systeme: Systeme, die in bestimmten kritischen Bereichen eingesetzt werden, gelten als hochriskant und unterliegen strengen Pflichten: biometrische Identifizierung und Kategorisierung; Management kritischer Infrastrukturen (Energie, Wasser, Verkehr); Bildung (automatische Beurteilung von Schülern, Prüfungsüberwachung); Beschäftigung (Bewerber-Screening, Auswahl, Leistungsüberwachung); Zugang zu wesentlichen öffentlichen und privaten Diensten (Kreditvergabe, Versicherung); Strafverfolgung; Migration und Asyl; Justiz und demokratische Prozesse.

Artikel 99 — Sanktionsrahmen: Verstöße gegen die verbotenen Praktiken (Artikel 5): bis zu 35 Mio. EUR oder 7 % des globalen Jahresumsatzes. Verstöße gegen Hochrisiko-Pflichten (Artikel 10–15): bis zu 15 Mio. EUR oder 3 % des globalen Jahresumsatzes. Vorlage falscher oder irreführender Informationen an notifizierende Behörden: bis zu 7,5 Mio. EUR oder 1 % des Umsatzes.

AESIA — Spanische KI-Aufsichtsbehörde: Spanien hat die Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) mit Sitz in La Coruña als nationale Marktüberwachungsbehörde und zuständige nationale Behörde nach dem AI Act eingerichtet. AESIA hat die Befugnis, Inspektionen durchzuführen, Unternehmen zur Vorlage von Dokumentation zu verpflichten und Sanktionen zu verhängen.

Praxisbeispiel: AI Act Compliance-Audit für ein HR-Tech-Unternehmen

Ein spanisches HR-Technology-Unternehmen mit 420 Mitarbeitern (28 Mio. EUR Jahresumsatz) nutzt sieben KI-gestützte Tools in seinen HR-Prozessen: einen CV-Screening-Algorithmus, ein Interviewanalyse-Tool (Gesichts- und Stimmanalyse), ein Leistungsbewertungssystem, einen Gehaltsempfehlungsalgorithmus, ein Mitarbeiterflukturationsprädiktor und zwei HRIS-Chatbots.

Ergebnis des KI-Inventar-Audits:

• CV-Screening-Algorithmus: hochriskant (Anhang III, Punkt 4 — Beschäftigung und Personalmanagement); vollständige Hochrisiko-Pflichten anwendbar.
• Interviewanalyse-Tool (Gesichts-/Stimmanalyse): potenziell verbotene Praktik (Artikel 5, Absatz 1, Buchstabe c — biometrische Kategorisierung); sofortiger Handlungsbedarf.
• Leistungsbewertungssystem: hochriskant (Anhang III, Punkt 4); Hochrisiko-Pflichten anwendbar.
• Gehaltsempfehlungsalgorithmus: begrenztes Risiko; Transparenzpflichten (Artikel 52).
• Fluktuationsprädiktor: begrenztes Risiko; keine Pflichten nach aktuellem Entwurf der Leitlinien.
• HRIS-Chatbots: begrenztes Risiko (Artikel 52 — Offenlegungspflicht gegenüber Nutzern).

Maßnahmenplan (35.000 EUR Compliance-Budget für 6 Monate): Sofortiger Stopp des Interviewanalyse-Tools bis zur rechtlichen Klärung durch AESIA; technische Dokumentation und Risikomanagementsystem für CV-Screening und Leistungsbewertungssystem; Implementierung menschlicher Aufsichtsmechanismen; EU-Datenbankregistrierung der hochriskanten Systeme vor August 2026.

ROI-Analyse: Das Bußgeldrisiko bei einem schwerwiegenden Verstoß (insbesondere das Interviewanalyse-Tool als verbotene Praktik) betrug schätzungsweise bis zu 1,96 Mio. EUR (7 % von 28 Mio. EUR). Die 35.000 EUR Compliance-Investition reduzierte dieses Risiko auf nahezu null.

Betroffene Branchen

Finanzdienstleistungen und Versicherungen: Kredit-Scoring-Modelle, automatisierte Kreditentscheidungen, Versicherungsprämienberechnungsalgorithmen und Betrugserkennungssysteme sind typischerweise hochriskant (Anhang III, Punkt 5). Banken und Versicherungsunternehmen, die bereits unter DORA und der Datenschutz-Grundverordnung reguliert sind, müssen den AI Act als drittes regulatorisches Regime in ihre Governance-Struktur integrieren.

Personalwesen und Rekrutierungsplattformen: Sämtliche Systeme, die Entscheidungen über Einstellung, Beförderung, Kündigung oder Aufgabenzuweisung beeinflussen, fallen unter Anhang III. Dies betrifft HR-Tech-Anbieter genauso wie deren Kunden als Betreiber.

Gesundheit und Medizintechnik: Medizinische KI-Systeme, die unter die MDR (Medical Device Regulation) fallen, haben Schnittstellen zum AI Act. Systeme zur Patientenrisikoschichtung oder zur Diagnoseunterstützung sind typischerweise hochriskant.

Bildung: Systeme zur automatischen Beurteilung von Schülern und Studenten, zur Verhaltensüberwachung in Prüfungen oder zur Zulassungsentscheidung fallen unter Anhang III.

Öffentliche Verwaltung: Systeme zur Risikobewertung im Sozialleistungsbereich, zur Steuerbewertung oder zur Kriminalitätsvorhersage unterliegen den strengsten Pflichten des AI Acts.

Unternehmensgrößen-Segmentierung

KMU und Startups (unter 50 Mitarbeiter): Der AI Act enthält in Artikel 62 spezifische Vereinfachungen für KMU: reduzierte Gebühren für die Registrierung in der EU-Datenbank; Zugang zu Regulatory Sandboxes; vereinfachte technische Dokumentation für bestimmte Pflichten. AESIA hat angekündigt, einen KMU-Leitfaden zur Verfügung zu stellen. Dennoch gelten die verbotenen Praktiken und die grundlegenden Hochrisiko-Pflichten für alle Unternehmen unabhängig von ihrer Größe.

Mittlere Unternehmen (50–249 Mitarbeiter): Typischerweise Betreiber (nicht Anbieter) von KI-Systemen. Hauptpflichten: KI-Inventar führen, Systeme klassifizieren, Betreiberpflichten nach Artikel 26 erfüllen (Nutzungsanweisungen befolgen, menschliche Aufsicht sicherstellen, Vorfälle melden). Kooperationspflicht mit Anbietern bezüglich Konformitätserklärungen.

Große Unternehmen (250+ Mitarbeiter) und Anbieter: Vollständige Hochrisiko-Pflichten für Anbieter: Konformitätsbewertung, technische Dokumentation, Registrierung in der EU-Datenbank, Qualitätsmanagementsystem. Post-Market-Monitoring und schwerwiegende Vorfallmeldung an AESIA.

Geografische Abdeckung

Der AI Act gilt extraterritorial: Ein außerhalb der EU ansässiges Unternehmen, dessen KI-System in der EU eingesetzt wird oder dessen Ergebnisse in der EU verwendet werden, unterliegt der Verordnung. Für spanische Unternehmen ist AESIA die primäre Aufsichtsbehörde. Für internationale Konzerne mit europäischen Tochtergesellschaften kann die zuständige Behörde nach dem Hauptniederlassungsprinzip variieren. Wir beraten sowohl spanische als auch internationale Unternehmen zu ihrer AI Act Compliance-Strategie in Spanien und EU-weit.

Häufige Fehler bei der AI Act Compliance

1. Das KI-Inventar auf selbst entwickelte Systeme beschränken: Die meisten Unternehmen nutzen KI als Kunden von SaaS-Plattformen, nicht als Anbieter. Als Betreiber tragen sie dennoch eigene Pflichten (Artikel 26): Sie müssen prüfen, ob das System für den vorgesehenen Zweck eingesetzt wird, menschliche Aufsicht sicherstellen und schwerwiegende Vorfälle melden.

2. Die Klassifizierung dem Anbieter überlassen: Der Anbieter klassifiziert sein System, aber der Betreiber ist mitverantwortlich. Eine Fehlklassifizierung durch den Anbieter entbindet den Betreiber nicht von Haftung, wenn er Kenntnis hätte haben müssen, dass das System hochriskant ist.

3. Hochrisiko-KI-Systeme ohne ausreichende menschliche Aufsicht einsetzen: Artikel 14 verlangt wirksame menschliche Aufsichtsmechanismen für Hochrisiko-Systeme: ein Mensch muss in der Lage sein, die Empfehlung des Systems zu überprüfen, zu korrigieren und gegebenenfalls außer Kraft zu setzen. Automatisierte Entscheidungen ohne reale menschliche Überprüfung sind ein typischer Verstoß.

4. Die DSGVO-Schnittstelle ignorieren: Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, erfordern häufig sowohl eine Datenschutz-Folgenabschätzung (DSFA nach DSGVO) als auch eine Konformitätsbewertung nach dem AI Act. Die Koordination beider Prozesse vermeidet redundante Arbeit und Lücken.

5. Auf die offizielle Leitlinienveröffentlichung warten: AESIA und die EU-Kommission werden Leitlinien zur Klassifizierung und Pflichten herausgeben, aber die Pflichten aus der Verordnung selbst sind bereits direkt anwendbar. Unternehmen, die auf vollständige Leitlinien warten, bevor sie mit der Compliance beginnen, werden die Fristen verpassen.

Nächste Schritte: AI Act Compliance in drei Phasen

Phase 1 (sofort): KI-Inventar erstellen und vorläufige Risikoklassifizierung durchführen. Identifizierung potentiell verbotener Praktiken (Artikel 5), die sofortigen Handlungsbedarf auslösen.

Phase 2 (0–6 Monate vor August 2026): Für hochriskante Systeme: Konformitätsbewertung, technische Dokumentation, Risikomanagementsystem und menschliche Aufsichtsmechanismen implementieren. EU-Datenbankregistrierung vorbereiten.

Phase 3 (laufend): Post-Market-Monitoring, Vorfallmeldeprozesse, jährliche Aktualisierung des KI-Registers und Schulungen für betroffene Mitarbeiter. Kontaktieren Sie uns für eine kostenlose Ersteinschätzung Ihrer KI-Systeme.

GPAI-Modelle: Besondere Anforderungen für Anbieter großer KI-Basismodelle

Artikel 51–56 des AI Acts enthält ein eigenes Regelungsregime für General-Purpose AI (GPAI)-Modelle — KI-Modelle wie GPT-4, Claude, Gemini oder Mistral, die für eine breite Palette von Aufgaben verwendet werden können:

Standardpflichten für alle GPAI-Modelle (Artikel 53): Technische Dokumentation; EU-Urheberrechts-Compliance-Politik; öffentlich zugängliche Zusammenfassung der Trainingsdaten. Diese Pflichten gelten für Anbieter — nicht für Unternehmen, die die Modelle als Kunden über APIs nutzen.

Systemische Risikostufe (Artikel 51): GPAI-Modelle mit systemischem Risiko (definiert als Modelle mit mehr als 10^25 FLOP an Rechenleistung für das Training, oder Modelle, die die Kommission explizit als systemisch riskant einstuft) haben zusätzliche Pflichten: Adversarial-Testing, Incident-Meldung an die Kommission, Cybersicherheitsmaßnahmen.

Relevanz für Betreiber: Wenn ein Unternehmen GPAI-Modelle in seine eigene Anwendung integriert (Fine-Tuning, RAG-Systeme, API-Integration), werden bestimmte Anbieter-Pflichten auf den Betreiber übertragen. Die Grenze zwischen Betreiber und Anbieter verschwimmt bei GPAI-basierten Produkten — ein kritischer Klassifizierungsbereich, den unsere Compliance-Analyse explizit adressiert.

KI-Lieferkette und Betreiberpflichten im Detail

Das häufig übersehene Kernelement des AI Acts ist die Unterscheidung zwischen Anbietern (Providers) und Betreibern (Deployers) und die spezifischen Pflichten jedes Akteurs:

Anbieter: Entwickelt oder vermarktet ein KI-System. Trägt die Hauptpflichten: Konformitätsbewertung, CE-Kennzeichnung, technische Dokumentation, Registrierung in der EU-Datenbank, Post-Market-Monitoring.

Betreiber: Setzt ein KI-System unter eigener Verantwortung ein. Pflichten nach Artikel 26: Verwendung des Systems gemäß der Verwendungsanleitung des Anbieters; menschliche Aufsicht sicherstellen; Informationen an Arbeitnehmer und betroffene Personen; schwerwiegende Vorfälle melden; eigene Risikobewertung bei Hochrisikosystemen durchführen.

Besonderes Risiko: Zweckänderung (Repurposing): Wenn ein Unternehmen ein KI-System für einen anderen Zweck als den vom Anbieter vorgesehenen einsetzt, wird es selbst zum Anbieter — mit allen damit verbundenen Pflichten. Ein Chatbot, der ursprünglich für Kundenservice entwickelt wurde und intern für HR-Screening verwendet wird, ist eine klassische Zweckänderung mit Compliance-Implikationen.

Vertragliche Absicherung: Unsere Compliance-Service schließt die Überprüfung und Anpassung bestehender KI-Lieferanten-Verträge ein, um sicherzustellen, dass: die Konformitätserklärung des Anbieters verfügbar ist; Zugriffsrechte auf technische Dokumentation vereinbart sind; Kündigungsrechte bei Verlust der Konformität bestehen; Informationspflichten des Anbieters bei regulatorischen Änderungen vertraglich gesichert sind.

Schulungen und KI-Governance-Kultur

Artikel 4 des AI Acts verpflichtet Anbieter und Betreiber sicherzustellen, dass ihr Personal über ausreichende KI-Kompetenz verfügt. Das bedeutet:

Mitarbeiter, die KI-Systeme auswählen oder beschaffen, müssen die Risikoklassifizierungssystematik des AI Acts verstehen. Mitarbeiter, die Hochrisikosysteme bedienen oder überwachen, müssen die menschlichen Aufsichtsanforderungen kennen und faktisch in der Lage sein, Systemempfehlungen zu hinterfragen und zu übersteuern. Führungskräfte und Vorstandsmitglieder müssen die Governance-Anforderungen und ihre persönliche Verantwortung verstehen.

Wir entwickeln und liefern KI-Act-Schulungsprogramme, die auf die jeweilige Rolle und das KI-Risikoprofil des Unternehmens zugeschnitten sind — von einem einstündigen Executive-Briefing bis zu einem vollständigen operativen Schulungsprogramm für Compliance-Teams und KI-Systemverantwortliche.

Regulatory Sandbox und AESIA-Kommunikation

Der AI Act sieht in Artikel 57–63 die Einrichtung von KI-Regulierungs-Sandboxes vor, die nationalen Regulierungsbehörden ermöglichen, Unternehmen einen kontrollierten Testrahmen für innovative KI-Systeme zu bieten, bevor sie vollständig den AI Act-Pflichten unterliegen. AESIA hat angekündigt, eine solche Sandbox einzurichten.

Für Unternehmen, die neuartige KI-Systeme entwickeln und Rechtssicherheit vor der Markteinführung anstreben, ist die Sandbox-Teilnahme eine wertvolle Option: Sie ermöglicht direkte Kommunikation mit AESIA über Klassifizierungsfragen und gibt Feedback darüber, ob das System als hochriskant eingestuft werden würde. Wir begleiten die Sandbox-Antragstellung und die Kommunikation mit AESIA.

AI Act und DSGVO: Koordinierte Compliance

Die Überschneidungen zwischen AI Act und DSGVO sind erheblich und für die meisten Unternehmen die komplexeste Dimension der KI-Compliance:

Datenschutz-Folgenabschätzungen (DSFA): Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, erfordern häufig sowohl eine DSGVO-DSFA als auch eine AI Act-Konformitätsbewertung. Statt zwei separate Prozesse durchzuführen, können diese koordiniert werden — gemeinsame Risikobewertung, geteilte Dokumentation, effizientere Nutzung von Ressourcen.

Automatisierte Entscheidungsfindung: DSGVO Artikel 22 schützt Personen vor rein automatisierten Entscheidungen mit erheblicher Auswirkung. Der AI Act ergänzt diesen Schutz durch die menschliche Aufsichtsanforderung für Hochrisiko-KI-Systeme. Beide Anforderungen müssen koordiniert implementiert werden.

Datensparsamkeit vs. AI-Training: DSGVO verlangt Datensparsamkeit; KI-Systeme benötigen große Datensätze für Training. Die Spannung zwischen diesen Anforderungen erfordert durchdachte Lösungen: synthetische Daten, föderiertes Lernen, Differential Privacy — Techniken, die wir in unsere Compliance-Beratung integrieren.

Vorfallsmeldung und schwerwiegende Ereignisse

Der AI Act verpflichtet Anbieter von Hochrisiko-KI-Systemen und Betreiber in bestimmten Konstellationen, schwerwiegende Vorfälle (Serious Incidents) an AESIA zu melden (Artikel 73). Ein schwerwiegender Vorfall ist definiert als ein Vorfall oder Fehlfunktion eines KI-Systems, der direkt oder indirekt zu folgenden Folgen führt oder führen könnte: Tod oder erhebliche Schädigung der Gesundheit einer Person; schwerwiegende Störung oder Ausfall kritischer Infrastruktur; Verletzung von Grundrechten; erhebliche Sachschäden oder Umweltschäden.

Die Meldepflicht hat strenge Fristen: unmittelbar nach Bekanntwerden des schwerwiegenden Vorfalls. Ein vorbereitetes Incident-Response-Protokoll, das die AESIA-Meldung einschließt, ist daher ein wesentliches Element der AI Act Compliance. Wir entwickeln dieses Protokoll als Teil unseres Compliance-Service.

Kosten und Zeitplanung der AI Act Compliance

Die Kosten der AI Act Compliance variieren erheblich je nach Anzahl und Risikostufe der eingesetzten KI-Systeme:

KI-Inventar und Erstklassifizierung (alle Unternehmen): 3.000–8.000 EUR (einmalig). Umfasst systematisches Inventar aller KI-Systeme, Risikoklassifizierung nach dem AI Act-Rahmenwerk und Identifizierung unmittelbarer Handlungsbedarfe.

Vollständige Hochrisiko-Compliance (pro System): 15.000–40.000 EUR (einmalig). Umfasst technische Dokumentation, Konformitätsbewertung, Risikomanagementsystem-Implementierung, Registrierung in der EU-Datenbank und menschliche Aufsichtsmechanismen.

Laufende Compliance (jährlich): 5.000–15.000 EUR. Umfasst Post-Market-Monitoring, jährliche KI-Register-Aktualisierung, Schulungen und Überwachung regulatorischer Entwicklungen (AESIA-Leitlinien, Kommissionsleitlinien, harmonisierte Normen).

Vertragsüberprüfung KI-Lieferkette: 2.000–5.000 EUR (einmalig für typisches KMU mit 3–5 KI-Lieferanten). Umfasst Überprüfung bestehender Lieferantenverträge und Empfehlungen für Nachverhandlungen.

Der Zeitplan für die Hochrisiko-Compliance-Implementierung beträgt typischerweise 4–8 Monate. Für die August-2026-Frist empfehlen wir den Projektstart spätestens Anfang 2026, um ausreichend Zeit für Nachbesserungen nach dem internen Audit zu haben. Kontaktieren Sie unser Team für eine kostenlose Ersteinschätzung Ihrer KI-Systeme.

Harmonisierte Normen und technische Spezifikationen

Der AI Act sieht in Artikel 40 vor, dass Hochrisiko-KI-Systeme, die im Einklang mit harmonisierten Normen entwickelt wurden, die Konformitätsvermutung für die abgedeckten Anforderungen genießen. Die Europäische Kommission hat CEN-CENELEC mit der Entwicklung relevanter harmonisierter Normen beauftragt. Zu erwartende Normen:

• ISO/IEC 42001 (KI-Managementsystem): Bereits veröffentlicht; analog zu ISO 27001 für Informationssicherheit. Bietet einen Rahmen für das KI-Governance-System.
• ISO/IEC 5338 (Lebenszyklusnormen für KI-Systeme): Prozesse und Dokumentationsanforderungen für KI-System-Entwicklung.
• ISO/IEC 23894 (Risikomanagement für KI): Spezifische Risikobewertungsmethodik für KI-Systeme.

Bis harmonisierte Normen von der EU-Kommission als konformitätsvermutend anerkannt werden, müssen Unternehmen direkt gegen die Anforderungen der Verordnung testen. Wir verfolgen die Entwicklung der Normlandschaft aktiv und integrieren die aktuellen Normen in unsere Compliance-Bewertungen.

Marktüberwachung und Durchsetzung durch AESIA

Die Agencia Española de Supervisión de la Inteligencia Artificial (AESIA) hat seit ihrer Gründung 2024 ihre Kapazitäten zur Marktüberwachung aufgebaut. AESIA hat folgende Durchsetzungsbefugnisse:

Marktüberwachung: AESIA kann Dokumenten-Vorlageanforderungen an Anbieter und Betreiber stellen; Prüfungen und Kontrollen an Systemen durchführen; den Zugang zu nicht-konformen KI-Systemen auf dem spanischen Markt einschränken oder verbieten.

Sanktionsverfahren: Für Verstöße gegen die AI-Act-Anforderungen kann AESIA Sanktionsverfahren einleiten, die zu den in Artikel 99 vorgesehenen Bußgeldern führen. Das Sanktionsverfahren folgt den allgemeinen Grundsätzen des spanischen Verwaltungsrechts (Gesetz 39/2015).

Kooperation mit der AEPD: Bei Fällen, die sowohl AI Act als auch DSGVO betreffen (Hochrisiko-KI-Systeme mit personenbezogenen Daten), koordiniert AESIA mit der Agencia Española de Protección de Datos (AEPD), um kohärente Durchsetzung sicherzustellen.

Für Unternehmen, die AESIA-Anfragen erhalten oder ein Sanktionsverfahren befürchten, bieten wir spezialisierte Verteidigung und Begleitung der Kommunikation mit AESIA.