Künstliche Intelligenz: EU-Regulierung macht Fortschritte

Q: Welche Unternehmen sind vom EU-KI-Gesetz betroffen und wie funktioniert das Risikoklassifizierungssystem?

Das EU-KI-Gesetz, veröffentlicht im Amtsblatt im August 2024, gilt für jedes Unternehmen, das KI-Systeme in der EU entwickelt, einsetzt oder nutzt — unabhängig davon, wo das Unternehmen niedergelassen ist. Sein risikobasierter Rahmen klassifiziert KI-Systeme in vier Kategorien: verboten (z. B. Social Scoring, biometrische Echtzeitüberwachung in öffentlichen Räumen), hohes Risiko (Beschäftigungstools, Kreditscoring, Medizinprodukte, Rekrutierungssysteme), begrenztes Risiko (Chatbots, Emotionserkennung) und minimales Risiko. Anbieter von Hochrisiko-Systemen sehen sich den anspruchsvollsten Anforderungen gegenüber: Konformitätsbewertungen, Risikomanagementsysteme, detaillierte technische Dokumentation, Datenqualitätspflichten und obligatorische menschliche Aufsichtsmechanismen.

Q: Was ist die erste Compliance-Frist nach dem EU-KI-Gesetz und was müssen Unternehmen bis dahin tun?

Die Verbotsbestimmungen des KI-Gesetzes traten sechs Monate nach der Veröffentlichung in Kraft (Februar 2025). Anforderungen für Hochrisiko-Systeme in Anhang I gelten ab 24 Monaten nach der Veröffentlichung (August 2026), und jene in Anhang III ab 36 Monaten (August 2027). Unternehmen sollten damit beginnen, alle derzeit genutzten KI-Tools zu inventarisieren und nach Risikoklassen einzustufen. Anbieter von Hochrisiko-Systemen — einschließlich HR-Softwareanbieter mit automatisierter Vorauswahl, Kreditrisikotools oder Medizin-KI — müssen jetzt mit den Vorbereitungen für die Konformitätsbewertung beginnen, da die Dokumentations- und Governance-Anforderungen erheblich sind.

Die Verordnung der Europäischen Union über Künstliche Intelligenz (KI-Gesetz), deren Verhandlung 2023 einen kritischen Punkt erreichte, ist die erste umfassende globale Regulierung für KI-Systeme. Ihre Verabschiedung durch das Europäische Parlament im März 2024 und Veröffentlichung im Amtsblatt im August 2024 — als Verordnung (EU) 2024/1689 — schuf einen unmittelbar anwendbaren Regulierungsrahmen in allen Mitgliedstaaten, der Unternehmen erfasst, die KI-Systeme in der EU entwickeln, vermarkten oder nutzen. Spanien muss wie andere Mitgliedstaaten vor Ablauf der vollständigen Anwendungsfristen seine nationale KI-Aufsichtsbehörde benennen.

Risikobasierter Ansatz

Das KI-Gesetz klassifiziert KI-Systeme in vier Kategorien entsprechend ihrem Risikoniveau mit verhältnismäßigen Pflichten auf jeder Stufe:

Unannehmbares Risiko (verboten): Systeme, die eine unvertretbare Bedrohung für Grundrechte darstellen, wie biometrische Massenüberwachung in Echtzeit in öffentlichen Räumen für Strafverfolgungszwecke, staatliche Social-Scoring-Systeme und subliminale Verhaltensmanipulation. Verbote für diese Kategorien galten sechs Monate nach dem Inkrafttreten der Verordnung — d. h. ab Februar 2025.
Hohes Risiko: Systeme, die erhebliche Schäden für Gesundheit, Sicherheit oder Grundrechte verursachen können. Sie unterliegen strengen Anforderungen vor der Markteinführung und müssen obligatorische Konformitätsbewertungsverfahren durchlaufen, bevor sie auf dem Markt angeboten oder in Betrieb genommen werden.
Begrenztes Risiko: Systeme, die primär Transparenzpflichten gegenüber Nutzern unterliegen, wie Chatbots und synthetische Inhaltsgeneratoren (Deepfakes). Nutzer müssen darüber informiert werden, dass sie mit einem KI-System interagieren.
Minimales Risiko: Die große Mehrheit der aktuellen KI-Anwendungen — Spam-Filter, Inhaltsempfehlungs-Engines, KI-betriebene Videospiele. Für diese bestehen keine spezifischen KI-Gesetz-Anforderungen, obwohl sich Unternehmen freiwillig an Verhaltenskodizes halten können.

Hochrisiko-Systeme

Anhang III des KI-Gesetzes listet die Hochrisiko-KI-Systeme auf. Die für in Spanien tätige Unternehmen relevantesten Kategorien umfassen:

Kritische Infrastruktur: KI-Systeme, die in der Verwaltung von Energie-, Wasser-, Verkehrs- oder Finanzinfrastrukturnetzen eingesetzt werden.
Bildung und Ausbildung: Systeme, die den Zugang zu Bildungseinrichtungen bestimmen oder Schülerleistungen bewerten.
Beschäftigung und Arbeitnehmerverwaltung: Systeme, die bei der Personalbeschaffung eingesetzt werden (Lebenslaufscreening, automatisierte Interviews), Leistungsbewertung oder Aufgabenzuteilung. Dies ist einer der Bereiche mit der größten praktischen Verbreitung unter mittelgroßen und großen Unternehmen.
Zugang zu wesentlichen Dienstleistungen: Kreditscoring-Systeme, Bonitätsbewertungstools oder Systeme, die den Zugang zu Versicherungen, Sozialleistungen oder öffentlichen Diensten bestimmen.
Strafverfolgung und Justiz: Systeme, die bei polizeilichen Ermittlungen oder Gerichtsentscheidungen unterstützen.
Grenzmanagement und Einwanderung: Biometrische oder Risikobewertungssysteme, die bei Grenzkontrollen eingesetzt werden.

Unternehmen, die Systeme in einer dieser Kategorien verwenden oder vermarkten, müssen vor der Markteinführung oder Inbetriebnahme Folgendes implementieren:

Ein dokumentiertes Risikomanagementsystem, das während des gesamten Lebenszyklus des Systems gepflegt und aktualisiert wird.
Datenqualitätsmaßnahmen für Trainings-, Validierungs- und Testdatensätze, die relevante Verzerrungen verhindern.
Vollständige technische Dokumentation zur Ermöglichung der Konformitätsbewertung.
Automatische Ereignisprotokollierungsfähigkeit (Audit-Logs) für die Marktbeobachtung nach der Einführung.
Ausreichende Transparenz und Information, damit Nutzer die Ergebnisse des Systems interpretieren können.
Effektive menschliche Aufsicht, einschließlich der Fähigkeit, in das System einzugreifen oder es abzuschalten.
Angemessene Robustheit, Genauigkeit und Cybersicherheit.

Vor der Markteinführung müssen Hochrisiko-Systeme gemäß Anhang III in der gemäß Artikel 71 der Verordnung eingerichteten EU-Datenbank registriert werden.

Anwendungszeitpläne

Die Verordnung (EU) 2024/1689 legte einen gestaffelten Anwendungsplan fest:

6 Monate nach Inkrafttreten (Februar 2025): Absolute Verbote (Kategorie unannehmbares Risiko).
12 Monate (August 2025): Pflichten für Anbieter von KI-Modellen für allgemeine Zwecke (GPAI), einschließlich großer Sprachmodelle.
24 Monate (August 2026): Volle Anwendung für die meisten Hochrisiko-Systeme aus Anhang III, einschließlich jener bei Beschäftigungsentscheidungen, Kreditbewertung und Zugang zu Dienstleistungen.
36 Monate (August 2027): Bestimmte Hochrisiko-Systeme aus Anhang II (Produkte, die bereits durch bereits bestehende sektorspezifische Sicherheitsgesetzgebung erfasst sind).

Implikationen für Unternehmen

Unternehmen müssen jetzt damit beginnen, ihre KI-Systeme zu kartieren, um festzustellen, welche Risikokategorie gilt. Diese Bestandsaufnahme muss umfassend sein: Sie erfasst nicht nur intern entwickelte Systeme, sondern auch von Anbietern erworbene Drittanbieter-Tools und über APIs integrierte KI-as-a-Service-Modelle.

Für Unternehmen, die als Anbieter von Hochrisiko-Systemen handeln, ist die regulatorische Belastung größer: Sie müssen die Konformität vor der Vermarktung sicherstellen, Registrierungen in der EU-Datenbank verwalten und Qualitäts- und Risikomanagementsysteme während des gesamten Produktlebenszyklus aufrechterhalten.

Für Unternehmen, die als Betreiber handeln — also Organisationen, die von Dritten entwickelte Hochrisiko-KI-Systeme in ihrem eigenen Betrieb nutzen — umfassen die Pflichten die Sicherstellung einer effektiven menschlichen Aufsicht, keine Modifikation von Systemen in einer Weise, die ihre Konformitätsbewertung verändert, und die Meldung schwerwiegender Vorfälle an die Aufsichtsbehörde.

Das Sanktionsregime ist erheblich: Bußgelder für den Einsatz verbotener Systeme können 30 Millionen € oder 6% des weltweiten Jahresumsatzes des Vorjahres erreichen. Bei Nichteinhaltung bei Hochrisiko-Systemen können Bußgelder 20 Millionen € oder 4% des weltweiten Umsatzes erreichen. Für KMU und Start-ups sieht die Verordnung verhältnismäßige Reduzierungen vor, eliminiert die Haftung jedoch nicht.

Empfohlene erste Schritte

Unabhängig von der Unternehmensgröße ist der erste Schritt immer Bestandsaufnahme und Risikoklassifizierung. Von dort aus sollten Unternehmen mit Systemen in Hochrisikokategorien oder die KI-Modelle für allgemeine Zwecke anbieten, so bald wie möglich mit der Anpassung ihrer technischen Dokumentation, Governance-Prozesse und Verträge mit Lieferanten und Kunden beginnen — dabei Haftungsklauseln im Lichte des neuen Regulierungsrahmens aktualisieren.

Bei BMC beraten wir bei der Anpassung an den KI-Regulierungsrahmen, einschließlich Systemklassifizierung, Konformitätsdokumentation und Implementierung von KI-Governance-Systemen, die den Pflichten der Verordnung (EU) 2024/1689 entsprechen. Sehen Sie sich unsere Compliance-Dienstleistungen an.

artificial-intelligence ai-act UE compliance

← Zurück zu Publikationen

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen

Risikobasierter Ansatz

Hochrisiko-Systeme

Anwendungszeitpläne

Implikationen für Unternehmen

Empfohlene erste Schritte

Verwandte Leistungen

Fusionen & Übernahmen (M&A)

Unternehmensbewertungen

ESG & Nachhaltigkeit

Verwandte Artikel

Europawahl 2024: Auswirkungen auf die Unternehmensagenda

Jahresbericht Strategie 2025: Golden Visa abgeschafft, KI-Gesetz in Kraft und ZEC als differenzierte Chance

Spanien Budget 2026: Auswirkungsanalyse

Möchten Sie mehr erfahren?

Configuración de cookies