Künstliche Intelligenz: EU-Regulierung macht Fortschritte

Q: Welche Unternehmen sind vom EU-KI-Gesetz betroffen und wie funktioniert das Risikoklassifizierungssystem?

Das EU-KI-Gesetz, veröffentlicht im Amtsblatt im August 2024, gilt für jedes Unternehmen, das KI-Systeme in der EU entwickelt, einsetzt oder nutzt — unabhängig davon, wo das Unternehmen niedergelassen ist. Sein risikobasierter Rahmen klassifiziert KI-Systeme in vier Kategorien: verboten (z. B. Social Scoring, biometrische Echtzeitüberwachung in öffentlichen Räumen), hohes Risiko (Beschäftigungstools, Kreditscoring, Medizinprodukte, Rekrutierungssysteme), begrenztes Risiko (Chatbots, Emotionserkennung) und minimales Risiko. Anbieter von Hochrisiko-Systemen sehen sich den anspruchsvollsten Anforderungen gegenüber: Konformitätsbewertungen, Risikomanagementsysteme, detaillierte technische Dokumentation, Datenqualitätspflichten und obligatorische menschliche Aufsichtsmechanismen.

Q: Was ist die erste Compliance-Frist nach dem EU-KI-Gesetz und was müssen Unternehmen bis dahin tun?

Die Verbotsbestimmungen des KI-Gesetzes traten sechs Monate nach der Veröffentlichung in Kraft (Februar 2025). Anforderungen für Hochrisiko-Systeme in Anhang I gelten ab 24 Monaten nach der Veröffentlichung (August 2026), und jene in Anhang III ab 36 Monaten (August 2027). Unternehmen sollten damit beginnen, alle derzeit genutzten KI-Tools zu inventarisieren und nach Risikoklassen einzustufen. Anbieter von Hochrisiko-Systemen — einschließlich HR-Softwareanbieter mit automatisierter Vorauswahl, Kreditrisikotools oder Medizin-KI — müssen jetzt mit den Vorbereitungen für die Konformitätsbewertung beginnen, da die Dokumentations- und Governance-Anforderungen erheblich sind.

Q: Welche KI-Systeme gelten als hochriskant und welche Pflichten entstehen für Unternehmen, die sie nutzen?

Anhang III des KI-Gesetzes listet die für Unternehmen relevantesten Hochrisikosysteme auf. Die im spanischen Unternehmensumfeld häufigsten sind: CV-Screening-Systeme und Kandidatenbewertung im HR-Bereich, Kreditscoring- und Bonitätsbewertungssysteme, Systeme zur Aufgabenzuteilung oder Leistungsbewertung von Arbeitnehmern sowie Systeme, die den Zugang zu Versicherungen oder Finanzdienstleistungen bestimmen. Unternehmen, die diese Systeme betreiben, müssen wirksame menschliche Aufsicht sicherstellen, sie nicht so verändern, dass die Konformitätsbewertung beeinträchtigt wird, sie in der EU-KI-Datenbank registrieren (Artikel 71 der Verordnung) und schwere Vorfälle der Aufsichtsbehörde melden. Die Einhaltungsfrist für die meisten dieser Systeme ist August 2026.

Q: Wie sind die Sanktionen des KI-Gesetzes und wie verhalten sie sich im Vergleich zur DSGVO?

Das Sanktionsregime des KI-Gesetzes ist bei den schwersten Fällen strenger als das der DSGVO. Bußgelder für den Einsatz verbotener Systeme (inakzeptables Risiko) können 30 Millionen Euro oder 6 % des weltweiten Jahresumsatzes erreichen (je nachdem, welcher Betrag höher ist). Bei Verstößen gegen Hochrisikosystempflichten oder Transparenzpflichten sind Bußgelder von bis zu 20 Millionen Euro oder 4 % des globalen Umsatzes möglich. Für die Übermittlung unrichtiger Angaben an Behörden beträgt die Höchststrafe 10 Millionen Euro oder 2 %. Für KMU und Start-ups sieht die Verordnung proportionale Reduzierungen vor, beseitigt jedoch nicht die Haftung.

Q: Welche Pflichten haben Anbieter von KI-Allzweckmodellen (GPAI), beispielsweise solche, die Sprachmodelle in ihre Produkte integrieren?

Anbieter von KI-Allzweckmodellen (GPAI) — einschließlich Unternehmen, die Produkte auf Basis von Modellen wie GPT, Claude oder Gemini über API entwickeln — unterliegen dem KI-Gesetz ab August 2025 (12 Monate nach Inkrafttreten). Ihre Pflichten umfassen: technische Dokumentation zu Fähigkeiten und Einschränkungen des Modells zu erstellen und zu pflegen, die Richtlinien zur akzeptablen Nutzung des zugrunde liegenden Modellanbieters einzuhalten sowie Maßnahmen zur Erkennung und Verwaltung systemischer Risiken zu implementieren, wenn das Modell den Trainingskapazitätsschwellenwert überschreitet (10²³ FLOPs). Für die meisten Unternehmen, die Modelle über Drittanbieter-APIs integrieren, liegt die Hauptverantwortung beim Modellanbieter — das integrierende Unternehmen bleibt jedoch für seinen spezifischen Nutzungskontext verantwortlich.

Q: Was muss ein KMU konkret tun, um KI-Gesetz-compliant zu werden, ohne einen großen Compliance-Aufwand zu betreiben?

Für KMU ist der erste Pflichtschritt die KI-Inventarisierung: alle eingesetzten KI-Tools (intern entwickelt, gekauft oder API-integriert) dokumentieren und nach den Risikoebenen des KI-Gesetzes einordnen. Fallen keine in Anhang III, bestehen bis August 2027 nur Transparenzpflichten (Chatbots kennzeichnen, Deepfakes markieren). Fällt ein System in Anhang III — typisch: HR-Screening, Kreditbewertung — muss bis August 2026 eine Konformitätsbewertung vorliegen. Das KI-Gesetz sieht für KMU verhältnismäßig reduzierte Bußgelder und Unterstützungspflichten der nationalen KI-Regulierungsbehörde vor, befreit sie aber nicht von den grundlegenden Anforderungen.

Die Verordnung der Europäischen Union über Künstliche Intelligenz (KI-Gesetz), deren Verhandlung 2023 einen kritischen Punkt erreichte, ist die erste umfassende globale Regulierung für KI-Systeme. Ihre Verabschiedung durch das Europäische Parlament im März 2024 und Veröffentlichung im Amtsblatt im August 2024 — als Verordnung (EU) 2024/1689 — schuf einen unmittelbar anwendbaren Regulierungsrahmen in allen Mitgliedstaaten, der Unternehmen erfasst, die KI-Systeme in der EU entwickeln, vermarkten oder nutzen. Spanien muss wie andere Mitgliedstaaten vor Ablauf der vollständigen Anwendungsfristen seine nationale KI-Aufsichtsbehörde benennen.

Risikobasierter Ansatz

Das KI-Gesetz klassifiziert KI-Systeme in vier Kategorien entsprechend ihrem Risikoniveau mit verhältnismäßigen Pflichten auf jeder Stufe:

Unannehmbares Risiko (verboten): Systeme, die eine unvertretbare Bedrohung für Grundrechte darstellen, wie biometrische Massenüberwachung in Echtzeit in öffentlichen Räumen für Strafverfolgungszwecke, staatliche Social-Scoring-Systeme und subliminale Verhaltensmanipulation. Verbote für diese Kategorien galten sechs Monate nach dem Inkrafttreten der Verordnung — d. h. ab Februar 2025.
Hohes Risiko: Systeme, die erhebliche Schäden für Gesundheit, Sicherheit oder Grundrechte verursachen können. Sie unterliegen strengen Anforderungen vor der Markteinführung und müssen obligatorische Konformitätsbewertungsverfahren durchlaufen, bevor sie auf dem Markt angeboten oder in Betrieb genommen werden.
Begrenztes Risiko: Systeme, die primär Transparenzpflichten gegenüber Nutzern unterliegen, wie Chatbots und synthetische Inhaltsgeneratoren (Deepfakes). Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
Minimales Risiko: Die große Mehrheit der aktuellen KI-Anwendungen — Spam-Filter, Inhaltsempfehlungs-Engines, KI-betriebene Videospiele. Für diese bestehen keine spezifischen KI-Gesetz-Anforderungen, obwohl sich Unternehmen freiwillig an Verhaltenskodizes halten können.

Hochrisiko-Systeme

Anhang III des KI-Gesetzes listet die Hochrisiko-KI-Systeme auf. Die für in Spanien tätige Unternehmen relevantesten Kategorien umfassen:

Kritische Infrastruktur: KI-Systeme, die in der Verwaltung von Energie-, Wasser-, Verkehrs- oder Finanzinfrastrukturnetzen eingesetzt werden.
Bildung und Ausbildung: Systeme, die den Zugang zu Bildungseinrichtungen bestimmen oder Schülerleistungen bewerten.
Beschäftigung und Arbeitnehmerverwaltung: Systeme, die bei der Personalbeschaffung eingesetzt werden (Lebenslaufscreening, automatisierte Interviews), Leistungsbewertung oder Aufgabenzuteilung. Dies ist einer der Bereiche mit der größten praktischen Verbreitung unter mittelgroßen und großen Unternehmen.
Zugang zu wesentlichen Dienstleistungen: Kreditscoring-Systeme, Bonitätsbewertungstools oder Systeme, die den Zugang zu Versicherungen, Sozialleistungen oder öffentlichen Diensten bestimmen.
Strafverfolgung und Justiz: Systeme, die bei polizeilichen Ermittlungen oder Gerichtsentscheidungen unterstützen.
Grenzmanagement und Einwanderung: Biometrische oder Risikobewertungssysteme, die bei Grenzkontrollen eingesetzt werden.

Unternehmen, die Systeme in einer dieser Kategorien verwenden oder vermarkten, müssen vor der Markteinführung oder Inbetriebnahme Folgendes implementieren:

Ein dokumentiertes Risikomanagementsystem, das während des gesamten Lebenszyklus des Systems gepflegt und aktualisiert wird.
Datenqualitätsmaßnahmen für Trainings-, Validierungs- und Testdatensätze, die relevante Verzerrungen verhindern.
Vollständige technische Dokumentation zur Ermöglichung der Konformitätsbewertung.
Automatische Ereignisprotokollierungsfähigkeit (Audit-Logs) für die Marktbeobachtung nach der Einführung.
Ausreichende Transparenz und Information, damit Nutzer die Ergebnisse des Systems interpretieren können.
Effektive menschliche Aufsicht, einschließlich der Fähigkeit, in das System einzugreifen oder es abzuschalten.
Angemessene Robustheit, Genauigkeit und Cybersicherheit.

Vor der Markteinführung müssen Hochrisiko-Systeme gemäß Anhang III in der gemäß Artikel 71 der Verordnung eingerichteten EU-Datenbank registriert werden.

Anwendungszeitpläne

Die Verordnung (EU) 2024/1689 legte einen gestaffelten Anwendungsplan fest:

6 Monate nach Inkrafttreten (Februar 2025): Absolute Verbote (Kategorie unannehmbares Risiko).
12 Monate (August 2025): Pflichten für Anbieter von KI-Modellen für allgemeine Zwecke (GPAI), einschließlich großer Sprachmodelle.
24 Monate (August 2026): Volle Anwendung für die meisten Hochrisiko-Systeme aus Anhang III, einschließlich jener bei Beschäftigungsentscheidungen, Kreditbewertung und Zugang zu Dienstleistungen.
36 Monate (August 2027): Bestimmte Hochrisiko-Systeme aus Anhang II (Produkte, die bereits durch bereits bestehende sektorspezifische Sicherheitsgesetzgebung erfasst sind).

Implikationen für Unternehmen

Unternehmen müssen jetzt damit beginnen, ihre KI-Systeme zu kartieren, um festzustellen, welche Risikokategorie gilt. Diese Bestandsaufnahme muss umfassend sein: Sie erfasst nicht nur intern entwickelte Systeme, sondern auch von Anbietern erworbene Drittanbieter-Tools und über APIs integrierte KI-as-a-Service-Modelle.

Für Unternehmen, die als Anbieter von Hochrisiko-Systemen handeln, ist die regulatorische Belastung größer: Sie müssen die Konformität vor der Vermarktung sicherstellen, Registrierungen in der EU-Datenbank verwalten und Qualitäts- und Risikomanagementsysteme während des gesamten Produktlebenszyklus aufrechterhalten.

Für Unternehmen, die als Betreiber handeln — also Organisationen, die von Dritten entwickelte Hochrisiko-KI-Systeme in ihrem eigenen Betrieb nutzen — umfassen die Pflichten die Sicherstellung einer effektiven menschlichen Aufsicht, keine Modifikation von Systemen in einer Weise, die ihre Konformitätsbewertung verändert, und die Meldung schwerwiegender Vorfälle an die Aufsichtsbehörde.

Das Sanktionsregime ist erheblich: Bußgelder für den Einsatz verbotener Systeme können 30 Millionen € oder 6% des weltweiten Jahresumsatzes des Vorjahres erreichen. Bei Nichteinhaltung bei Hochrisiko-Systemen können Bußgelder 20 Millionen € oder 4% des weltweiten Umsatzes erreichen. Für KMU und Start-ups sieht die Verordnung verhältnismäßige Reduzierungen vor, eliminiert die Haftung jedoch nicht.

Empfohlene erste Schritte

Unabhängig von der Unternehmensgröße ist der erste Schritt immer Bestandsaufnahme und Risikoklassifizierung. Von dort aus sollten Unternehmen mit Systemen in Hochrisikokategorien oder die KI-Modelle für allgemeine Zwecke anbieten, so bald wie möglich mit der Anpassung ihrer technischen Dokumentation, Governance-Prozesse und Verträge mit Lieferanten und Kunden beginnen — dabei Haftungsklauseln im Lichte des neuen Regulierungsrahmens aktualisieren.

Bei BMC beraten wir bei der Anpassung an den KI-Regulierungsrahmen, einschließlich Systemklassifizierung, Konformitätsdokumentation und Implementierung von KI-Governance-Systemen, die den Pflichten der Verordnung (EU) 2024/1689 entsprechen. Sehen Sie sich unsere Compliance-Dienstleistungen an.

Regelungsrahmen: Schlüsselnormen der KI-Verordnung (EU) 2024/1689

Die Verordnung (EU) 2024/1689 — das sogenannte KI-Gesetz — ist in Bezug auf Umfang und Komplexität mit der DSGVO vergleichbar, unterscheidet sich aber in ihrer Methodik: anstatt von Datenverarbeitungsgrundsätzen geht sie von einem Risikostufenmodell aus, das für jede Art von KI-System spezifische Pflichten festlegt.

Artikel 5 — Verbotene KI-Praktiken: Der Artikel enthält eine abschließende Liste von KI-Anwendungen, die in der EU vollständig verboten sind. Dazu gehören Systeme für unterschwellige Beeinflussung ohne das Wissen der Person, Social-Scoring-Systeme staatlicher Behörden, biometrische Fernidentifizierung in Echtzeit im öffentlichen Raum (mit engen Ausnahmen), und Systeme, die kognitive Schwächen ausnutzen. Diese Verbote gelten ab dem 2. Februar 2025.

Artikel 6 und Anhang III — Hochrisiko-KI-Systeme: Ein KI-System gilt als hochriskant, wenn es in Sektoren eingesetzt wird, die in Anhang III aufgeführt sind: biometrische Identifizierung, kritische Infrastrukturen, Bildung und Berufsausbildung, Beschäftigung und Personalmanagement, Zugang zu wesentlichen Dienstleistungen (Kreditvergabe, Sozialversicherung, Versicherung), Strafverfolgung, Migrationsverwaltung und Rechtspflege. Für Hochrisikosysteme gelten strenge Anforderungen an Datenverwaltung, technische Dokumentation, Transparenz, menschliche Aufsicht, Genauigkeit und Cybersicherheit.

Artikel 52 — Transparenzpflichten bei bestimmten KI-Systemen: Auch KI-Systeme mit niedrigerem Risiko können spezifischen Transparenzpflichten unterliegen. Chatbots müssen ihren Nutzern mitteilen, dass sie mit einer KI interagieren. Systeme zur Erkennung von Emotionen oder zur biometrischen Kategorisierung müssen die Verarbeitung offenlegen. Deepfakes — synthetische Bilder, Videos oder Audioaufnahmen, die real wirkende Personen oder Ereignisse darstellen — müssen als künstlich erzeugt gekennzeichnet werden, es sei denn, der Kontext macht dies offensichtlich (Satire, Kunst).

Das Sanktionsregime der KI-Verordnung ist in drei Stufen gegliedert. Der Einsatz verbotener KI-Systeme nach Art. 5 kann zu Bußgeldern von bis zu 35 Millionen € oder 7 % des weltweiten Jahresumsatzes führen — der höhere Betrag ist maßgebend. Verstöße gegen Hochrisiko-Anforderungen (Art. 6 bis 49) können Bußgelder von bis zu 15 Millionen € oder 3 % des Umsatzes nach sich ziehen. Falsche, unvollständige oder irreführende Angaben gegenüber Aufsichtsbehörden sind mit bis zu 7,5 Millionen € oder 1 % des Umsatzes sanktioniert. Für KMU und Start-ups sind geringere Obergrenzen vorgesehen — die Verordnung verpflichtet die nationalen Marktüberwachungsbehörden und das Europäische KI-Büro, die Verhältnismäßigkeit der Sanktionen zu berücksichtigen — jedoch ohne vollständige Haftungsfreistellung. Unternehmen sollten deshalb von Anfang an eine risikobasierte Compliance-Strategie entwickeln, die Prioritäten gemäß der tatsächlichen Risikoeinstufung der eingesetzten Systeme setzt. Der erste Schritt ist dabei immer eine vollständige Bestandsaufnahme aller KI-Systeme im Unternehmen — intern entwickelte, von Dritten erworbene und über APIs integrierte — gefolgt von ihrer Klassifizierung nach den Risikoebenen der Verordnung.

artificial-intelligence ai-act UE compliance

← Zurück zu Publikationen

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen

Strategie

Steuerberatung

Rechtsberatung

Geschäftsbetrieb

Publikationen

Artikel und Analysen

Berichte und Whitepaper

Tools

Künstliche Intelligenz: EU-Regulierung macht Fortschritte

Risikobasierter Ansatz

Hochrisiko-Systeme

Anwendungszeitpläne

Implikationen für Unternehmen

Empfohlene erste Schritte

Regelungsrahmen: Schlüsselnormen der KI-Verordnung (EU) 2024/1689

Verwandte Leistungen

Geldwäscheprävention (AML)

Verwandte Artikel

Spanien Budget 2026: Auswirkungsanalyse

Energiesektor: Grüne Transformation und Investitionen 2025

Unternehmensbewertung Spanien: Vollständiger Leitfaden

Möchten Sie mehr erfahren?

BMC kontaktieren

Termin bestätigt