Die Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 über harmonisierte Vorschriften für Künstliche Intelligenz – der AI Act – wurde am 12. August 2024 im Amtsblatt der Europäischen Union veröffentlicht (L 2024/1689). Er ist der erste umfassende globale Regulierungsrahmen für Künstliche Intelligenz und das Ergebnis von mehr als drei Jahren Gesetzgebungsverhandlungen seit der Veröffentlichung des Kommissionsvorschlags am 21. April 2021.
Warum der AI Act einen regulatorischen Wendepunkt darstellt
Der AI Act verfolgt einen grundlegend anderen Ansatz als die meisten bisherigen Technologieregulierungen: Er reguliert nicht die Technologie selbst, sondern das Risiko, das KI-Systeme auf Basis ihrer Verwendung erzeugen. Dieser risikobasierte Ansatz bedeutet, dass die Höhe der Pflichten nicht davon abhängt, ob ein System maschinelles Lernen, Computer Vision oder Verarbeitung natürlicher Sprache nutzt, sondern vom Kontext und Zweck seines Einsatzes.
Das andere prägende Merkmal des AI Act ist seine extraterritoriale Anwendung: Die Verordnung gilt für in der EU niedergelassene Anbieter und für außerhalb der EU niedergelassene, wenn ihre KI-Systeme in der EU auf dem Markt bereitgestellt werden, wenn ihre Systeme in der EU genutzt werden oder wenn die Ergebnisse ihrer Systeme in der EU genutzt werden.
Struktur und Architektur der Verordnung
Der AI Act umfasst 113 Artikel und 13 Anhänge, gegliedert in zwölf Kapitel. Seine Struktur spiegelt die Architektur des Risikoklassifizierungssystems wider:
Kapitel I: Allgemeine Bestimmungen, Definitionen und Anwendungsbereich.
Kapitel II (Artikel 5): Verbotene KI-Praktiken. Legt die Liste der KI-Verwendungen fest, die in der EU unter keinen Umständen durchgeführt werden dürfen.
Kapitel III und IV: Hochriskante Systeme. Kapitel III legt die Pflichten für Anbieter und Betreiber hochriskanter Systeme fest; Kapitel IV reguliert hochriskante Systeme, die Bestandteile von Produkten sind, die unter die EU-Harmonisierungsgesetzgebung fallen.
Kapitel V: KI-Modelle für allgemeine Zwecke (GPAI). Reguliert Basismodelle wie GPT-4, Gemini, Claude und Llama mit differenzierten Pflichten für Standard-GPAI-Modelle und solche mit systemischen Risiken.
Kapitel VII: Governance. Legt die Aufsichtsstruktur fest: das KI-Büro der Europäischen Kommission und die nationalen KI-Aufsichtsbehörden.
Kapitel XII (Artikel 99): Sanktionen.
Die spanische KI-Aufsichtsbehörde (AESIA)
Spanien war der erste Mitgliedstaat, der eine spezifische KI-Aufsichtsbehörde schuf: die Agencia Española de Supervisión de la Inteligencia Artificial (AESIA), gegründet durch das Königliche Dekret 729/2023 vom 22. August, mit Sitz in A Coruña. Die AESIA fungiert als nationale zuständige Behörde für die Anwendung des AI Act in Spanien und ist der Ansprechpartner für das KI-Büro der Europäischen Kommission.
Die AESIA hat Befugnisse zur Untersuchung potenzieller AI-Act-Verstöße, zur Verhängung von Verwaltungssanktionen, zur Registrierung hochriskanter in Spanien entwickelter oder vermarkteter KI-Systeme und zur Teilnahme an den Kooperationsmechanismen des Europäischen KI-Ausschusses.
KI-Modelle für allgemeine Zwecke (GPAI): Pflichten ab August 2025
Kapitel V des AI Act führt ein spezifisches Regime für Anbieter von KI-Modellen für allgemeine Zwecke ein, anwendbar ab 2. August 2025. GPAI-Modelle sind KI-Systeme, die auf großen Datenmengen trainiert wurden und eine breite Palette von Aufgaben erfüllen können (Textgenerierung, Bilder, Code, Audio, Schlussfolgerungen) und in KI-Systeme von Drittanbietern integriert werden.
Alle GPAI-Modellanbieter müssen: (i) aktuelle technische Dokumentation erstellen und pflegen; (ii) KI-Systemanbietern, die ihr Modell integrieren, die erforderlichen Informationen und technische Dokumentation bereitstellen; (iii) eine Urheberrechts-Compliance-Politik umsetzen; und (iv) eine ausreichend detaillierte Zusammenfassung der verwendeten Trainingsinhalte veröffentlichen.
Anbieter von GPAI-Modellen mit systemischen Risiken – definiert als Modelle, die mit einer Rechenleistung über 10^25 Gleitkommaoperationen trainiert wurden – haben zusätzliche Pflichten: Modellbewertung, systemische Risikoabschätzung und -minderung, Meldung schwerwiegender Vorfälle an die Kommission und Cybersicherheitsmaßnahmen.
Compliance-Fahrplan für Unternehmen, die KI einsetzen
Für Unternehmen, die KI-Systeme einsetzen – die große Mehrheit der in Spanien tätigen Unternehmen –, beginnt der AI-Act-Compliance-Prozess mit drei Grundschritten:
(1) Inventarisierung aller eingesetzten KI-Systeme, sowohl intern entwickelter als auch von Dritten erworbener. Dieses Inventar sollte HR-Tools mit KI-Funktionen, CRM-Systeme mit automatisiertem Scoring, Kundenservice-Chatbots, Betrugserkennung und alle anderen KI-gesteuerten Funktionalitäten umfassen.
(2) Klassifizierung jedes Systems nach dem Risikorahmen des AI Act: verboten, hochriskant (Anhang III), begrenztes Risiko oder minimales Risiko.
(3) Bewertung der anwendbaren Pflichten auf Basis der Unternehmensrolle und Erstellung eines Compliance-Plans mit definierten Zeitrahmen.
Für Unternehmen, die Drittanbieter-Tools nutzen – HR-Software mit KI-Funktionen, automatisiertes CRM-Scoring, Kundenservice-Chatbots, Betrugserkennungssysteme –, ist der kritische Schritt, zu überprüfen, ob der Softwareanbieter seine Pflichten als Anbieter nach dem AI Act erfüllen wird und dem Betreiber (dem Nutzerunternehmen) die notwendigen Informationen übermittelt, damit dieser seine eigenen Aufsichtspflichten erfüllen kann.
Die dringlichsten Compliance-Maßnahmen vor dem 2. August 2026 sind: das KI-Inventar durchzuführen, alle hochriskanten Systeme zu klassifizieren, Datenschutz-Folgenabschätzungen (DSFA) zu aktualisieren und menschliche Aufsichtsverfahren für bereits in Betrieb befindliche hochriskante Systeme einzurichten.
Bei BMC hilft unser Rechtsteam Ihnen, ein praxistaugliches AI-Act-Compliance-Programm aufzubauen – vom ersten Inventar bis zur Dokumentation und Aufsichtsverfahren. Mehr zu unseren AI-Act-Compliance-Leistungen.
Häufige Fehler bei der AI-Act-Compliance für spanische Unternehmen
Fehler 1: Das KI-Inventar als einmalige Übung betrachten. Der AI Act knüpft an Systeme an, die „auf dem Markt bereitgestellt oder in Betrieb genommen” werden – er gilt also für KI-Tools, die in den Geschäftsbetrieb integriert sind. Jedes Mal, wenn ein Unternehmen ein neues SaaS-Tool mit KI-Funktionalität abonniert, entsteht ein neuer Inventarposten. Ohne einen kontinuierlichen Governance-Prozess für das KI-Tool-Onboarding werden Organisationen schrittweise unkatalogisierte, potenziell hochriskante Einsätze ansammeln.
Fehler 2: Annehmen, dass AI-Act-Pflichten den KI-Entwickler und nicht den Nutzer treffen. Der AI Act unterscheidet zwischen Anbietern (Entwickler, die KI-Systeme auf den Markt bringen), Betreibern (Unternehmen, die KI-Systeme in ihren Betrieb einsetzen) und Einführern oder Händlern. Ein spanisches Unternehmen, das ein in den USA entwickeltes KI-Rekrutierungstool zur Überprüfung von Bewerbungen nutzt, ist ein Betreiber und hat eigene Pflichten: Sicherstellung menschlicher Aufsicht bei KI-gestützten Einstellungsentscheidungen und Führen von Systemnutzungsprotokollen.
Fehler 3: Datenschutz-Folgenabschätzungen (DSFA) nicht um KI-Risiken zu aktualisieren. Hochriskante KI-Systeme mit personenbezogenen Daten erfordern sowohl eine DSFA nach der DSGVO (Verordnung (EU) 2016/679, in Spanien umgesetzt durch das Organgesetz 3/2018, LOPDGDD) als auch eine Konformitätsbewertung nach dem AI Act. Unternehmen, die DSFA für ihre KI-Einsätze durchgeführt, aber nicht um den AI-Act-Risikorahmen aktualisiert haben, werden Dokumentationslücken aufweisen.
