Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz — das KI-Gesetz — wurde am 12. August 2024 im Amtsblatt der Europäischen Union (L 2024/1689) veröffentlicht. Es ist der weltweit erste umfassende Regulierungsrahmen für künstliche Intelligenz und das Ergebnis von mehr als drei Jahren legislativer Verhandlungen seit dem Vorschlag der Europäischen Kommission vom 21. April 2021.
Warum das KI-Gesetz ein regulatorischer Wendepunkt ist
Das KI-Gesetz verfolgt einen grundlegend anderen Ansatz als die meisten früheren Technologieverordnungen: Statt die Technologie selbst zu regulieren, reguliert es das Risiko, das KI-Systeme basierend auf ihrer Nutzung erzeugen. Dieser risikobasierte Ansatz bedeutet, dass das Niveau der Verpflichtungen nicht davon abhängt, ob ein System maschinelles Lernen, Computer Vision oder natürliche Sprachverarbeitung verwendet, sondern vom Kontext und Zweck, in dem es eingesetzt wird.
Das andere definierende Merkmal des KI-Gesetzes ist seine extraterritoriale Anwendung: Die Verordnung gilt für in der EU niedergelassene Anbieter und für außerhalb der EU niedergelassene Anbieter, wenn ihre KI-Systeme auf dem EU-Markt bereitgestellt werden, wenn ihre Systeme in der EU genutzt werden oder wenn die Outputs ihrer Systeme in der EU verwendet werden. Folglich unterliegen US-amerikanische, asiatische und andere Technologieunternehmen, die auf dem europäischen Markt tätig sind, dem KI-Gesetz unter denselben Bedingungen wie europäische Unternehmen.
Struktur und Architektur der Verordnung
Das KI-Gesetz umfasst 113 Artikel und 13 Anhänge, gegliedert in zwölf Kapitel. Seine Struktur spiegelt die Architektur des Risikoklassifizierungssystems wider:
Kapitel I: Allgemeine Bestimmungen, Definitionen und Anwendungsbereich.
Kapitel II (Artikel 5): Verbotene KI-Praktiken. Legt die Liste der KI-Anwendungen fest, die unter keinen Umständen in der EU durchgeführt werden dürfen.
Kapitel III und IV: Hochrisikosysteme. Kapitel III legt die Pflichten für Anbieter und Betreiber von Hochrisikosystemen fest; Kapitel IV reguliert Hochrisikosysteme, die Komponenten von Produkten sind, die von EU-Harmonisierungsgesetzen erfasst werden (Medizinprodukte, Maschinen, Flugzeuge usw.).
Kapitel V: KI-Allzweckmodelle (GPAI). Reguliert Foundation Models wie GPT-4, Gemini, Claude und Llama, mit differenzierten Pflichten für Standard-GPAI-Modelle und solche mit systemischen Risiken.
Kapitel VII: Governance. Etabliert die Aufsichtsstruktur: das KI-Amt (AI Office) der Europäischen Kommission und die nationalen KI-Aufsichtsbehörden.
Kapitel XII (Artikel 99): Sanktionen.
Die Spanische KI-Aufsichtsbehörde (AESIA)
Spanien war der erste Mitgliedstaat, der eine spezifische KI-Aufsichtsbehörde schuf: die Spanische Agentur für die Aufsicht über Künstliche Intelligenz (Agencia Española de Supervisión de la Inteligencia Artificial, AESIA), eingerichtet durch Königliches Dekret 729/2023 vom 22. August, mit Sitz in A Coruña. Die AESIA fungiert als nationale zuständige Behörde für die Anwendung des KI-Gesetzes in Spanien und ist Anlaufstelle für das KI-Amt der Europäischen Kommission.
Die AESIA hat Befugnisse zur Untersuchung potenzieller Verstöße gegen das KI-Gesetz, Verhängung von Verwaltungssanktionen, Registrierung von in Spanien entwickelten oder vermarkteten Hochrisiko-KI-Systemen und Teilnahme an den Kooperationsmechanismen des Europäischen KI-Ausschusses.
KI-Allzweckmodelle (GPAI): Pflichten ab August 2025
Kapitel V des KI-Gesetzes führt ein spezifisches Regime für Anbieter von KI-Allzweckmodellen ein, das ab dem 2. August 2025 gilt. GPAI-Modelle sind KI-Systeme, die mit großen Datenmengen trainiert werden und eine Vielzahl von Aufgaben ausführen können (Textgenerierung, Bilder, Code, Audio, Reasoning) und die in KI-Systeme Dritter integriert werden.
Alle GPAI-Modellanbieter müssen: (i) technische Dokumentation erstellen und aktuell halten; (ii) KI-Systemanbietern, die ihr Modell integrieren, die Informationen und technische Dokumentation bereitstellen, die diese Anbieter zur Erfüllung ihrer eigenen Pflichten benötigen; (iii) eine Richtlinie zur Einhaltung des Urheberrechts umsetzen; und (iv) eine ausreichend detaillierte Zusammenfassung der verwendeten Trainingsinhalte veröffentlichen.
Anbieter von GPAI-Modellen mit systemischen Risiken — definiert als Modelle, die mit einer Rechenleistung von mehr als 10^25 Gleitkommaoperationen trainiert werden — haben zusätzliche Pflichten: Modellevaluierung, Beurteilung und Minderung systemischer Risiken, Meldung schwerwiegender Vorfälle an die Kommission und Cybersicherheitsmaßnahmen.
Compliance-Roadmap für Unternehmen, die KI einsetzen
Für Unternehmen, die KI-Systeme einsetzen — die große Mehrheit der in Spanien tätigen Unternehmen — beginnt der KI-Gesetz-Compliance-Prozess mit drei grundlegenden Schritten:
(1) Inventar der eingesetzten KI-Systeme, das sowohl intern entwickelte als auch von Dritten erworbene Systeme umfasst. Dieses Inventar sollte HR-Tools mit KI-Funktionen, CRM-Systeme mit automatisiertem Scoring, Kundenservice-Chatbots, Betrugserkennungssysteme und alle anderen KI-gestützten Funktionen abdecken.
(2) Klassifizierung jedes Systems gemäß dem KI-Gesetz-Risikorahmen: verboten, hochriskant (Anhang III), begrenztes Risiko oder minimales Risiko.
(3) Bewertung der anwendbaren Pflichten basierend auf der Rolle des Unternehmens (Anbieter, Importeur, Händler oder Betreiber) in Bezug auf jedes System und Erstellung eines Compliance-Plans mit definierten Zeitplänen.
Für Unternehmen, die Tools Dritter einsetzen — HR-Software mit KI-Funktionen, automatisiertes CRM-Scoring, Kundenservice-Chatbots, Betrugserkennungssysteme — ist der kritische Schritt zu prüfen, ob der Software-Anbieter seine Pflichten als Anbieter unter dem KI-Gesetz erfüllen und die notwendigen Informationen an den Betreiber (das Nutzerunternehmen) übermitteln wird, damit dieser seine Pflichten bezüglich der überwachten Nutzung erfüllen kann.
Die dringendsten Compliance-Maßnahmen vor dem 2. August 2026 sind: Durchführung des KI-Inventars, Klassifizierung aller Hochrisikosysteme, Aktualisierung der Datenschutz-Folgenabschätzungen (DSFA) zur Einbeziehung KI-spezifischer Risiken und Einrichtung von Verfahren zur menschlichen Aufsicht für alle bereits im Einsatz befindlichen Hochrisikosysteme.
Bei BMC kann unser Rechtsteam Ihnen helfen, ein praktisches KI-Gesetz-Compliance-Programm aufzubauen — vom ersten Inventar bis hin zu Dokumentations- und Aufsichtsverfahren. Mehr über unsere KI-Gesetz-Compliance-Dienstleistungen erfahren.
