Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über harmonisierte Vorschriften für künstliche Intelligenz — das KI-Gesetz — wurde am 12. August 2024 im Amtsblatt der Europäischen Union veröffentlicht und trat am 1. August 2024 in Kraft. Es ist der weltweit erste umfassende Regulierungsrahmen für KI und legt nach dem Risikoniveau jedes Systems differenzierte Pflichten mit einem schrittweisen Umsetzungszeitplan fest.
Das Risikoklassifizierungssystem des KI-Gesetzes
Das KI-Gesetz klassifiziert KI-Systeme in vier Kategorien, mit zunehmenden Pflichten, wenn das Risikoniveau steigt:
Verbotene KI-Praktiken (Artikel 5): Vollstreckbar seit dem 2. Februar 2025. Dazu gehören Social-Scoring-Systeme durch öffentliche Behörden, die eine differenzielle Behandlung in von der Datenerhebung unabhängigen Bereichen bedingen, biometrische Kategorisierungssysteme, die geschützte Merkmale (Rasse, politische Meinung, Religion, sexuelle Orientierung) ableiten, biometrische Echtzeit-Fernidentifizierung in öffentlichen Räumen für Strafverfolgungszwecke sowie subliminale Manipulationssysteme.
Hochrisikosysteme (Anhang III): Vollstreckbar ab dem 2. August 2026. Diese Kategorie umfasst KI-Systeme, die in kritischer Infrastruktur, Bildung, Beschäftigung, Zugang zu wesentlichen Dienstleistungen, Strafverfolgung, Grenzmanagement und Migration, Justizverwaltung eingesetzt werden.
Systeme mit begrenztem Risiko: Grundlegende Transparenzpflichten, vollstreckbar ab August 2026.
Systeme mit minimalem Risiko: Keine spezifischen KI-Gesetz-Pflichten.
Anhang-III-Hochrisikosysteme: Detaillierte Analyse
Anhang III des KI-Gesetzes listet acht Kategorien von Hochrisikosystemen auf, die für in Spanien tätige Unternehmen besonders relevant sind:
Beschäftigung und Personalmanagement. KI-Systeme für Rekrutierung und Auswahl — einschließlich Lebenslaufscreening, automatisierter Interviews und Kandidatenbewertung — sind hochriskant. Ebenso Systeme zur Leistungsbewertung, Beförderungs- oder Beendigungsentscheidungen.
Zugang zu wesentlichen Dienstleistungen. Systeme zur Bewertung der Kreditwürdigkeit natürlicher Personen, zur Versicherungszeichnung und zur Bewertung von Sozialleistungsanträgen sind hochriskant. Dies betrifft direkt den Bankensektor (Kreditscoring), die Versicherungsbranche und öffentliche Verwaltungen mit Leistungsmanagementsystemen.
Biometrie. KI-basierte Identifikationssysteme (Gesichtserkennung, Stimmerkennung, Ganganalyse) für die Zutrittskontrolle, Anwesenheitsüberwachung oder Fernidentitätsverifizierung sind hochriskant.
Kritische Infrastruktur. KI-Systeme zur Verwaltung von Stromnetzen, Wasserversorgung, Transport und Finanzen sind hochriskant.
Pflichten für Anbieter von Hochrisikosystemen
Die anspruchsvollsten Pflichten fallen auf Anbieter (Unternehmen, die Hochrisiko-KI-Systeme entwickeln oder auf den Markt bringen):
Risikomanagementsystem (Artikel 9): Ein kontinuierlicher, dokumentierter Prozess über den gesamten Lebenszyklus des Systems.
Daten-Governance (Artikel 10): Trainings-, Validierungs- und Testdaten müssen relevant, repräsentativ, ausreichend fehlerfrei und vollständig sein.
Technische Dokumentation (Artikel 11 und Anhang IV): Detaillierte Dokumentation des Systems vor der Bereitstellung.
Protokollierung (Artikel 12): Hochrisikosysteme müssen automatische Ereignisprotokolle erstellen, die die Rückverfolgbarkeit des Systembetriebs ermöglichen.
Transparenz und Informationen für Betreiber (Artikel 13): Der Anbieter muss dem Betreiber Bedienungsanleitungen mit Informationen zu den Fähigkeiten und Einschränkungen des Systems bereitstellen.
Menschliche Aufsicht (Artikel 14): Hochrisikosysteme müssen mit einer Mensch-Maschine-Schnittstelle konzipiert sein, die dem Betreiber ermöglicht, das System zu überwachen, zu verstehen, zu übersteuern, zu unterbrechen oder zu deaktivieren.
Genauigkeit, Robustheit und Cybersicherheit (Artikel 15): Angemessene Genauigkeitsniveaus, Robustheit gegen Fehler und Manipulation sowie Widerstandsfähigkeit gegen feindliche Angriffe.
Konformitätsbewertung und CE-Kennzeichnung
Die meisten in Anhang III aufgeführten Hochrisikosysteme erfordern vor der Bereitstellung eine Konformitätsbewertung. Für Systeme, die nicht einer vorherigen Harmonisierungsgesetzgebung unterliegen, kann die Konformitätsbewertung mittels Selbstbewertung durch den Anbieter durchgeführt werden.
Nach der Bewertung registriert der Anbieter das System in der EU-KI-Datenbank der Europäischen Kommission vor der Bereitstellung. Diese Registrierung ist eine unverzichtbare Voraussetzung für die Vermarktung des Systems in der EU.
Strafen: Bußgelder bis zu 35 Millionen Euro
Artikel 99 des KI-Gesetzes legt ein gestaffeltes Verwaltungssanktionsregime fest: bis zu 35 Millionen Euro oder 7 % des gesamten weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) für Verletzungen der Verbote nach Artikel 5; bis zu 15 Millionen Euro oder 3 % des Umsatzes für Verletzungen anderer Verordnungspflichten.
Bei BMC ist unser Rechtsteam auf das Mapping und die Implementierung der KI-Gesetz-Compliance spezialisiert. Mehr über unsere Legal-Compliance-Dienstleistungen erfahren.
