KI-Gesetz (AI Act): Vollständiger Leitfaden für Unternehmen in Spanien — Pflichten, Fristen und Bußgelder nach der EU-KI-Verordnung

Der EU AI Act ist bereits in Kraft. Erfahren Sie, ob Ihr Unternehmen betroffen ist, welche Pflichten auf welcher Risikostufe gelten und welche Strafen bei Nichteinhaltung drohen.

Risikostufe meiner KI-Systeme bewerten

Das Problem

Die Verordnung (EU) 2024/1689, bekannt als AI Act, trat am 1. August 2024 in Kraft und gilt stufenweise je nach Risikostufe der KI-Systeme. Verbotene KI-Praktiken gelten seit dem 2. Februar 2025. Verpflichtungen für Hochrisiko-KI-Systeme gelten ab dem 2. August 2026. Pflichten für KI-Modelle mit allgemeinem Verwendungszweck (GPAI) gelten seit August 2025. Das Problem, mit dem die meisten Unternehmen in Spanien konfrontiert sind, ist dreifach: Sie wissen nicht, ob ihre KI-Systeme in den Geltungsbereich der Verordnung fallen, sie wissen nicht, wie sie die Risikostufe der von ihnen genutzten oder eingesetzten Systeme klassifizieren sollen, und sie wissen nicht, welche praktischen Verpflichtungen für sie gelten. Eine Fehlklassifizierung des Risikos kann entweder bedeuten, kritische Verpflichtungen zu übersehen, oder Bußgeldern von bis zu 35 Millionen Euro oder 7% des weltweiten Umsatzes für die schwersten Verstöße ausgesetzt zu sein. Der AI Act betrifft nicht nur Unternehmen, die KI-Systeme entwickeln. Er betrifft alle Unternehmen, die Drittanbieter-KI-Systeme in kritischen Prozessen einsetzen — Personalwesen, Kreditscoring, Verwaltung kritischer Infrastrukturen — und solche, die KI-Systeme nutzen, um Entscheidungen zu treffen oder zu unterstützen, die Einzelpersonen erheblich beeinflussen. Der Geltungsbereich ist erheblich breiter als die meisten Unternehmen annehmen.

Unsere Lösung

BMC bietet einen AI-Act-Compliance-Service, der dort ansetzt, wo Ihr Unternehmen heute steht. Wir beginnen mit einer Bestandsaufnahme der KI-Systeme und einer Risikoklassifizierung nach den Kriterien der Verordnung, führen dann eine Lückenanalyse gegenüber den anwendbaren Verpflichtungen durch und entwickeln den KI-Governance-Rahmen, den das Unternehmen für eine nachhaltige Compliance benötigt. Unser interdisziplinäres Team kombiniert auf Technologieregulierung und Datenschutz spezialisierte Juristen mit KI-Governance-Experten, die sowohl die technische Dimension — wie KI-Systeme funktionieren, wie sie dokumentiert werden, wie sie geprüft werden — als auch die rechtliche Dimension verstehen — welche Verpflichtungen die Verordnung auferlegt, wie Compliance nachgewiesen wird, welche Aufzeichnungen zu führen sind. Wir integrieren die AI-Act-Compliance mit der DSGVO (KI-Systeme, die personenbezogene Daten verarbeiten, erzeugen Verpflichtungen nach beiden Rahmenwerken), mit den harmonisierten Standards, die die Europäische Kommission entwickelt, und mit internationalen KI-Governance-Rahmenwerken wie dem NIST AI RMF.

Vorgehen

Wie wir vorgehen

Bestandsaufnahme und Klassifizierung von KI-Systemen

Wir identifizieren alle KI-Systeme, die das Unternehmen entwickelt, einsetzt oder in seinen Prozessen verwendet, und klassifizieren sie nach den vier Risikostufen des AI Act: inakzeptabel (verboten), hohes Risiko, begrenztes Risiko und minimales Risiko. Die Klassifizierung bestimmt, welche Verpflichtungen für jedes System und mit welcher Dringlichkeit gelten.

Lückenanalyse der Verpflichtungen

Für jedes identifizierte Hochrisiko-KI-System beurteilen wir die Compliance mit den Verpflichtungen der Verordnung: Trainings- und Eingabedaten, technische Dokumentation, Transparenz und Erklärbarkeit, menschliche Aufsicht, Genauigkeit und Robustheit, Systemcybersicherheit, Ereignisprotokollierung und Prüfbarkeit.

Compliance-Fahrplan

Wir entwickeln einen priorisierten Fahrplan zur Erreichung der Compliance: technische Dokumentation der Systeme, Konformitätsbewertung, Registrierung in der EU-Datenbank für Hochrisiko-KI-Systeme, Implementierung von Kontrollmechanismen für die menschliche Aufsicht und Anpassung von Verträgen mit KI-Lieferanten.

KI-Governance-Rahmen

Wir etablieren den organisatorischen KI-Governance-Rahmen: KI-Nutzungsrichtlinie, Bewertungsprozess für neue Systeme vor dem Einsatz, Rollen und Verantwortlichkeiten (einschließlich, wo anwendbar, einer KI-Beauftragten-Funktion), Mitarbeiterschulungen und Mechanismen zur periodischen Überwachung und Überprüfung des Rahmens.

35 Mio. €

Maximales Bußgeld (oder 7% des weltweiten Umsatzes) für verbotene KI-Praktiken

Aug. 2026

Anwendungsdatum für Verpflichtungen bei Hochrisiko-KI-Systemen

3 Risikostufen

Kategorien, die die Compliance-Verpflichtungen jedes Unternehmens bestimmen

Unseren Leitfaden herunterladen

Laden Sie unser AI-Act-Selbstbewertungstool herunter: klassifizieren Sie die Risikostufe Ihrer KI-Systeme in 15 Minuten

Der AI Act: das weltweit erste risikobasierte Rechtsrahmenwerk für KI

Die Verordnung (EU) 2024/1689 über künstliche Intelligenz, in Kraft seit dem 1. August 2024, ist das weltweit erste umfassende Rechtsrahmenwerk für künstliche Intelligenz. Anders als frühere sektorale Ansätze verfolgt der AI Act eine horizontale, risikobasierte Perspektive: Je höher das potenzielle Risiko eines KI-Systems für Grundrechte, Gesundheit und Sicherheit, desto größer die Verpflichtungen, die denen auferlegt werden, die es entwickeln oder einsetzen.

Die Verordnung gilt unmittelbar in allen EU-Mitgliedstaaten ohne nationale Umsetzung, was bedeutet, dass ihre Verpflichtungen in Spanien unabhängig davon gelten, ob nationales Umsetzungsrecht erlassen wurde. Die einzige relevante Ausnahme betrifft die vollen Durchsetzungsbefugnisse der nationalen Aufsichtsbehörde (AESIA), die einen nationalen Rechtsrahmen erfordern.

Zeitplan der AI-Act-Anwendung: was bereits verpflichtend ist

Der AI Act gilt nicht auf einmal. Er hat einen gestaffelten Zeitplan des Inkrafttretens, der wichtig zu verstehen ist:

1. August 2024 — Inkrafttreten: Die Verordnung ist geltendes Recht. Akteure müssen mit der Vorbereitung beginnen.

2. Februar 2025 — Verbote: Inakzeptable KI-Praktiken — unterschwellige Manipulation, Sozialscoring, Emotionserkennung in Arbeits- und Bildungsumgebungen, Echtzeit-Biometrie ohne Ausnahmen — sind ab diesem Datum verboten. Jedes Unternehmen, das diese Systeme betreibt, hätte sie einstellen müssen.

2. August 2025 — GPAI: KI-Modelle mit allgemeinem Verwendungszweck haben ab diesem Datum Dokumentations-, Transparenz- und Urheberrechtsverpflichtungen.

2. August 2026 — Hochrisikosysteme (Anhang III): Hochrisiko-KI-Systeme, die ab diesem Datum auf den Markt gebracht werden, müssen alle Kapitel-III-Verpflichtungen vor dem Einsatz erfüllen.

2. August 2027 — Eingebettete Hochrisikosysteme (Anhang I): Hochrisiko-KI-Systeme, die Komponenten von Produkten sind, die bereits durch andere EU-Richtlinien reguliert werden (Maschinen, Medizinprodukte, Luftfahrtprodukte), haben ein zusätzliches Jahr zur Anpassung.

Die vier Risikostufen und ihre praktischen Implikationen

Der AI Act klassifiziert KI-Systeme in vier Risikokategorien, jede mit einem unterschiedlichen Verpflichtungsregime:

Inakzeptables Risiko (verboten): Systeme, die wegen unzumutbarer Kompromittierung der Grundrechte verboten sind. Kein Unternehmen darf sie betreiben. Wenn ein interner Prozess solche Techniken verwendet, muss er vor Februar 2025 modifiziert worden sein.

Hohes Risiko: Systeme mit erheblichem potenziellem Einfluss auf Einzelpersonen in kritischen Bereichen. Am stärksten reguliert: verpflichtende technische Dokumentation, Konformitätsbewertung, europäische Registrierung, verpflichtende menschliche Aufsicht. Der Anhang-III-Katalog umfasst Situationen, die viele Unternehmen in Nicht-Technologiebranchen möglicherweise nicht als “Hochrisiko-KI” identifiziert haben — wie CV-Screening-Tools oder Kreditscoring-Systeme.

Begrenztes Risiko: Systeme, die mit Menschen interagieren — Chatbots, KI-generierte Inhalte — mit Transparenzpflichten: Nutzer müssen wissen, dass sie mit KI interagieren, dass Inhalte KI-generiert sind oder dass ihr Bild oder ihre Stimme KI-manipuliert wurde (Deepfakes). Generative Modelle wie Text-zu-Bild-Tools oder Kundendienst-Chatbots fallen in diese Kategorie.

Minimales Risiko: Die große Mehrheit der KI-Anwendungen — Spam-Filter, Inhaltsempfehlungen, KI-Produktivitätstools — fällt in diese Kategorie. Sie haben keine spezifischen Verpflichtungen nach dem AI Act, obwohl Unternehmen, die sie entwickeln, freiwilligen Verhaltenskodizes beitreten können.

Hochrisiko-KI-Systeme in Nicht-Technologiebranchen

Eine der häufigsten Überraschungen für Unternehmen ist die Entdeckung, dass sie Hochrisiko-KI-Systeme verwenden, ohne sie als solche identifiziert zu haben. Beispiele aus Anhang III des AI Act:

Personalwesen: Jedes KI-System, das bei der Kandidatenauswahl, der Leistungsbewertung, der Beförderungsverwaltung oder der Überwachung des Mitarbeiterverhaltens eingesetzt wird, ist nach dem AI Act hohes Risiko. Dies umfasst CV-Screening-Tools, KI-gestützte Videointerviewanalyse-Systeme und Produktivitätsanalyseplattformen.

Banken und Kredit: Kreditscoring-Systeme, Kreditwürdigkeitsbewertung und Betrugserkennungsmodelle, die bestimmen, ob eine Person Zugang zu einem Kredit hat oder zu welchen Konditionen, sind hohes Risiko.

Versicherung: KI-Systeme, die bei der Policenzeichnung, der Schadensbewertung oder der Prämienpreisgestaltung basierend auf KI-generierten Risikoprofilen eingesetzt werden, sind hohes Risiko.

Öffentliche Dienste und Verwaltung: KI-Systeme, die den Zugang von Einzelpersonen zu öffentlichen Leistungen bestimmen oder Sozialhilfeentscheidungen treffen, sind hohes Risiko.

KI-Governance: über einmalige Compliance hinaus

Der AI Act kann nicht als einmaliges Compliance-Projekt angegangen werden. Er erfordert die Einrichtung einer KI-Governance-Funktion innerhalb der Organisation, die in der Lage ist:

Neue KI-Systeme vor dem Einsatz zu bewerten
Eine aktuelle Bestandsaufnahme der KI-Systeme und ihrer Risikoklassifizierung zu führen
Den Lebenszyklus von Hochrisiko-KI-Systemen zu verwalten (einschließlich wesentlicher Änderungen, die eine neue Konformitätsbewertung auslösen)
Mitarbeiter zu schulen, die KI-Systeme nutzen oder beaufsichtigen
Vorfälle und Kommunikation mit AESIA zu verwalten
Die Compliance von KI-Lieferanten zu überwachen

BMC hilft Unternehmen, diese KI-Governance-Funktion verhältnismäßig zu ihrer Größe und Komplexität aufzubauen.

Die Datenschutzdimension: AI Act und DSGVO gemeinsam

Hochrisiko-KI-Systeme, die personenbezogene Daten verarbeiten, lösen gleichzeitig Verpflichtungen nach dem AI Act und der DSGVO aus. Der wichtigste Schnittpunkt ist die Datenschutz-Folgenabschätzung (DSFA), die die DSGVO bei risikoreicher Verarbeitung personenbezogener Daten verlangt.

Gemäß Leitlinien der AEPD und des Europäischen Datenschutzausschusses sollte die DSFA eines Hochrisiko-KI-Systems mit der AI-Act-Konformitätsbewertung integriert werden. Das bedeutet, dass keine zwei separaten Bewertungen durchgeführt werden sollten, sondern ein integrierter Prozess, der sowohl die Risiken für die Rechte und Freiheiten von Einzelpersonen (DSGVO) als auch die Sicherheits- und Funktionsrisiken des KI-Systems (AI Act) adressiert.

AI Act und Beschaffung: Was von KI-Lieferanten zu fordern ist

Der AI Act hat erhebliche Auswirkungen auf die Art und Weise, wie Unternehmen KI-Systeme beschaffen. Wenn ein Unternehmen ein Drittanbieter-KI-System in einem Hochrisikokontext einsetzt, wird es zum Betreiber mit eigenen Compliance-Verpflichtungen. Um diesen Verpflichtungen nachzukommen, benötigt es die Zusammenarbeit und Informationen des Anbieters.

Verträge mit KI-Lieferanten sollten nun routinemäßig Folgendes umfassen: Zugang zur technischen Dokumentation, die ausreicht, um Regulierungsverpflichtungen zu erfüllen, Benachrichtigungsrechte bei wesentlichen Systemänderungen, Informationen über Trainingsdaten und Modellbeschränkungen, Unterstützung bei Konformitätsbewertungsprozessen und vertragliche Garantien bezüglich der Compliance mit dem EU-AI-Act.

BMC berät Unternehmen zu den AI-Act-Bestimmungen, die in Lieferantenverträge aufgenommen werden müssen, und unterstützt bei der Überprüfung bestehender KI-Lieferantenvereinbarungen, um Lücken und Nachverhandlungsprioritäten zu identifizieren.

FAQ

Häufig gestellte Fragen

Welche Unternehmen betrifft der AI Act?

Der AI Act betrifft vier Kategorien von Akteuren: (1) Anbieter, die KI-Systeme entwickeln und auf dem EU-Markt bereitstellen; (2) Betreiber, die Drittanbieter-KI-Systeme in ihrer beruflichen Tätigkeit einsetzen; (3) Einführer von KI-Systemen, die außerhalb der EU entwickelt wurden; und (4) Händler von KI-Systemen. Der entscheidende Punkt ist, dass der AI Act nicht nur Technologieunternehmen betrifft, die KI entwickeln: Er betrifft jedes Unternehmen, das KI-Systeme in seinen Prozessen einsetzt — einschließlich CV-Screening-Tools, Kreditscoring-Systeme, kundenorientierte Chatbots oder prädiktive Analysetools — wenn diese Systeme ein gewisses Maß an Autonomie aufweisen und Ergebnisse erzeugen, die relevante Entscheidungen beeinflussen.

Was sind Hochrisiko-KI-Systeme und welche Verpflichtungen haben sie?

Anhang III des AI Act listet KI-Systeme auf, die standardmäßig als hohes Risiko gelten: biometrische Systeme, Systeme zur Verwaltung kritischer Infrastrukturen, Bildungssysteme, die den Zugang oder die Ergebnisse bestimmen, Beschäftigungssysteme (Rekrutierung, Leistungsbewertung, Personalmanagement), Systeme für wesentliche öffentliche und private Dienste (Kreditscoring, Versicherungsbewertung), Strafverfolgungssysteme, Justizadministrationssysteme und demokratische Prozesse. Verpflichtungen für diese Systeme umfassen: Implementierung eines Risikomanagementsystems, Gewährleistung der Datenqualität beim Training, Erstellung technischer Dokumentation, Garantie menschlicher Aufsicht, Einhaltung definierter Genauigkeits- und Robustheitsniveaus sowie Registrierung des Systems in der EU-Datenbank vor dem Einsatz.

Welche KI-Praktiken sind seit Februar 2025 verboten?

Seit dem 2. Februar 2025 sind folgende KI-Systeme in der EU verboten: unterschwellige oder manipulative Techniken zur Beeinflussung des menschlichen Verhaltens über die Wahrnehmung der Person hinaus; Techniken zur Ausnutzung von Schwachstellen spezifischer Gruppen (Alter, Behinderung); Sozialscoring-Systeme durch öffentliche Behörden; Echtzeit-Fernerkennung biometrischer Daten im öffentlichen Raum (mit engen Strafverfolgungsausnahmen); Emotionserkennungssysteme in Arbeits- und Bildungsumgebungen; biometrische Kategorisierung zur Ableitung sensibler Merkmale (Rasse, sexuelle Orientierung, Religion, politische Ansichten); und KI-Systeme zur Kriminalitätsvorhersage basierend auf individuellem Profiling.

Was sind KI-Modelle mit allgemeinem Verwendungszweck (GPAI) und welche Verpflichtungen haben sie?

KI-Modelle mit allgemeinem Verwendungszweck (GPAI) sind KI-Modelle — wie Großsprachmodelle (LLMs) — die in der Lage sind, eine breite Palette verschiedener Aufgaben zu erfüllen. Ihre Verpflichtungen gelten seit August 2025 und umfassen: Vorbereitung und Pflege aktueller technischer Dokumentation, Bereitstellung von Informationen für Anbieter, die das Modell in ihre Systeme integrieren, Einhaltung der EU-Urheberrechtspolitik und Veröffentlichung einer Zusammenfassung der verwendeten Trainingsdaten. Für GPAI mit systemischem Risiko (die leistungsfähigsten Modelle, derzeit definiert als mehr als 10^25 FLOPs Trainingsrechenlast) gelten zusätzliche Verpflichtungen: Gegnerangriffsbewertung, Meldung schwerwiegender Vorfälle an die Europäische Kommission, Gewährleistung der Modell-Cybersicherheit und Angabe des Energieverbrauchs.

Was sind die Strafen nach dem AI Act?

Der AI Act legt drei Bußgeldebenen fest: (1) bis zu 35 Millionen Euro oder 7% des weltweiten Jahresumsatzes (je nachdem, was höher ist) für die Nichteinhaltung der verbotenen inakzeptablen KI-Praktiken; (2) bis zu 15 Millionen Euro oder 3% für die Nichteinhaltung anderer Verpflichtungen der Verordnung; (3) bis zu 7,5 Millionen Euro oder 1,5% für die Bereitstellung unkorrekter, unvollständiger oder irreführender Informationen gegenüber Behörden. Für KMU und Start-ups verlangt die Verordnung, dass Strafen unter Berücksichtigung der proportionalen Auswirkungen berechnet werden. Nationale Aufsichtsbehörden können auf Systeme, Daten und Dokumentation der Unternehmen zugreifen.

Wie verhält sich der AI Act zur DSGVO?

AI Act und DSGVO sind komplementäre Rahmenwerke, die gleichzeitig gelten, wenn ein KI-System personenbezogene Daten verarbeitet. Die DSGVO bleibt das Referenzrahmenwerk für den Schutz personenbezogener Daten. Der AI Act fügt eine Regulierungsschicht hinzu, die das KI-System selbst regelt, unabhängig davon, ob es personenbezogene Daten verarbeitet. In der Praxis sind viele Hochrisiko-KI-Systeme auch stark auf personenbezogene Daten angewiesen (Rekrutierung, Kreditscoring), was Verpflichtungen nach beiden Rahmenwerken auslöst: AI-Act-Konformitätsbewertung + DSGVO-Datenschutz-Folgenabschätzung, AI-Act-Technikdokumentation + DSGVO-Verarbeitungsverzeichnis, AI-Act-menschliche Aufsicht + Betroffenenrechte nach DSGVO. Bestehende Datenschutzbeauftragte (DSB) sollten ihre Funktion auf die AI-Act-Dimension ausdehnen.

Welche Rolle spielen das Europäische KI-Büro und Spaniens AESIA bei der Compliance?

Das KI-Büro der Europäischen Kommission ist die Aufsichtsbehörde für GPAI-Modelle und hat eine koordinierende Rolle auf EU-Ebene. In Spanien ist die Spanische Agentur für die Aufsicht über Künstliche Intelligenz (AESIA), gegründet 2024, die nationale Aufsichtsbehörde für den AI Act. AESIA überwacht die Compliance von Anbietern und Betreibern mit Sitz in Spanien, untersucht Vorfälle und Beschwerden und verhängt die Strafen der Verordnung. AESIA arbeitet mit der AEPD (spanische Datenschutzbehörde) in Fällen zusammen, in denen AI Act und DSGVO überschneiden.

Was sollte mein Unternehmen tun, wenn es Drittanbieter-KI-Tools wie ChatGPT, Copilot oder SaaS-Lösungen mit integrierter KI nutzt?

Wenn Ihr Unternehmen Drittanbieter-KI-Tools in seinen Prozessen verwendet, hat es den Status eines Betreibers nach dem AI Act. Ihre Verpflichtungen als Betreiber umfassen: (1) Verwendung des KI-Systems gemäß den Anweisungen des Anbieters; (2) Sicherstellung, dass Mitarbeiter, die es nutzen, eine angemessene Schulung erhalten; (3) Pflege von Aktivitätsprotokollen, wo das System dies erfordert; und (4) Implementierung menschlicher Aufsicht. Wenn das KI-Tool in einem Hochrisikokontext nach Anhang III verwendet wird — zum Beispiel wenn Sie ein KI-System zur Bewertung von Bewerbungen oder für Kreditentscheidungen nutzen — sind die Verpflichtungen anspruchsvoller, selbst wenn Sie das System nicht selbst entwickelt haben. Wir empfehlen, die spezifischen KI-Anwendungsfälle Ihres Unternehmens zu prüfen und deren Risikostufe zu klassifizieren.

Machen Sie den ersten Schritt

Fordern Sie eine unverbindliche Beratung an und entdecken Sie, was wir für Ihr Unternehmen tun können.

Kostenlose Beratung

Beratung

Bewertung und Analyse

Transformation

Governance und Übergang

Steuerstrategie

Compliance

Sonderregelungen

Vermögen und Streitigkeiten

Handels- und Gesellschaftsrecht

Insolvenz und Restrukturierung

Personal und Compliance

Streitigkeiten und Beilegung

Cybersicherheit

Datenschutz und KI

Finanzen und Berichtswesen

Gesellschaftsservices

Wachstum

Risiko und Resilienz

Artikel und Analysen

Berichte und Whitepaper

Tools

Branchen