Der AI Act (EU-Verordnung 2024/1689) ist die erste umfassende Regulierung künstlicher Intelligenz in der EU. Ein spanisches KMU mit Hochrisiko-KI-Systemen muss eine spezifische Compliance bis spätestens Q3 2026 dokumentieren.
Welche Pflichten gelten nach dem EU AI Act für ein spanisches KMU?
Sechs Säulen, wenn das KMU Hochrisiko-KI-Systeme nach Anhang III betreibt. (1) Klassifikation aller eingesetzten oder entwickelten KI-Systeme. (2) Risikomanagementsystem, das den gesamten Lebenszyklus dokumentiert. (3) Datenverwaltung mit Qualitäts- und Bias-Kontrollen. (4) Technische Dokumentation gemäß Anhang IV der Verordnung. (5) Menschliche Aufsicht mit definierter Verantwortlichkeit. (6) Robustheit, Cybersecurity und Genauigkeit nachgewiesen. Bei reinem Bezug eines Drittanbieter-Systems verschiebt sich ein Großteil der Pflichten auf den Anbieter, aber das KMU behält Pflichten als Deployer.
Wie viel kostet die Erfüllung des AI Act in einem spanischen KMU 2026?
Die Bandbreite hängt von der Anzahl der Hochrisiko-Systeme ab. Für ein KMU mit ein oder zwei Anhang-III-Systemen: 20.000 € bis 60.000 € im ersten Compliance-Jahr (externe Beratung 12.000 €, interne Schulung 4.000 €, technische Dokumentation 8.000 €, Aufsichtssysteme und Monitoring 6.000 €, Rest in Werkzeugen und Restaufwand). Ab dem zweiten Jahr: 8.000 € bis 18.000 € für laufende Wartung. Im Vergleich zu möglichen Sanktionen (bis 35 Millionen Euro) ist die Investition asymmetrisch günstig.
Welche KI-Systeme fallen unter Anhang III "hohes Risiko"?
Acht Bereiche. (1) Biometrische Identifikation und Kategorisierung. (2) Verwaltung kritischer Infrastrukturen. (3) Bildung und Berufsausbildung (Bewertung von Lernenden). (4) Beschäftigung und Personal (Auswahl, Werbung, Bewertung, Entlassung). (5) Zugang zu wesentlichen Diensten (Kredit-Scoring, Sozialleistungen, Notfälle). (6) Strafverfolgung. (7) Migration, Asyl und Grenzkontrolle. (8) Justiz und demokratische Prozesse. Wenn Ihr KMU in einem dieser Bereiche tätig ist, ist die KI nach Anhang III wahrscheinlich hochriskant.
Realer Fall: Beratung mit 18 Mitarbeitenden implementiert AI-Act-Compliance in 90 Tagen
Personalvermittlungsberatung in Madrid, 18 Mitarbeitende, jährlicher Umsatz 1,8 Millionen Euro. Eingesetzte KI: kommerzielles Vorauswahltool von Kandidaten (Anhang III, Bereich Beschäftigung). Ausgangslage: keine spezifische Dokumentation, keine formale Aufsicht, fehlende Information gegenüber Bewerbern. 90-Tage-Plan: Tag 1–15 Klassifikation und Lückenanalyse. Tag 16–45 technische Dokumentation gemäß Anhang IV, Anpassung des Vertrags mit dem KI-Anbieter, Datenpolitik. Tag 46–70 internes Schulungsprogramm, Aufsichtsprotokoll, Implementierung von Bias-Monitoring. Tag 71–90 Information an Bewerber, Beschwerdesystem, interne Audit-Vorbereitung. Endinvestition: 38.000 €. Ergebnis: bestandenes externes Audit, fortgesetzte Geschäftstätigkeit ohne Beanstandung.
Welche Schritte folgt ein AI-Act-Compliance-Projekt in 90 Tagen?
Vier Phasen. Phase 1 (Tag 1–15) Klassifikation und Bestandsaufnahme: alle KI-Systeme inventarisieren, jedes klassifizieren (verboten, hoch, begrenzt, minimal), Anhang-III-Systeme priorisieren. Phase 2 (Tag 16–45) Technische Dokumentation: Anhang-IV-Dokumentation erstellen, Datenpolitiken, Risikomanagementsystem, Sicherstellung der Anbieterverträge. Phase 3 (Tag 46–70) Aufsicht und Schulung: menschliche Aufsicht implementieren, intern schulen, kontinuierliches Bias-Monitoring etablieren. Phase 4 (Tag 71–90) Transparenz und Audit-Vorbereitung: Endnutzer informieren, Beschwerdekanal einrichten, interne Audit-Simulation durchführen, Restpunkte korrigieren.
FAQ
Gilt der AI Act, wenn ich nur ChatGPT in der Verwaltung benutze? ChatGPT für allgemeine Aufgaben ist generative KI mit begrenztem Risiko. Sie haben Transparenzpflichten gegenüber Endnutzern, aber nicht den vollen Pflichtenkatalog des Anhangs III.
Was passiert, wenn ich eine Drittanbieter-KI nutze, ohne sie zu entwickeln? Sie sind Deployer. Sie behalten Pflichten zur menschlichen Aufsicht, Information der Betroffenen und Vertragspflege mit dem Anbieter. Ein Großteil der technischen Last liegt beim Anbieter.
Müssen wir alle KI-Systeme bei einer spanischen Behörde registrieren? Hochrisiko-Systeme nach Anhang III müssen in der von der Verordnung vorgesehenen EU-Datenbank registriert werden, mit nationaler Zuständigkeit in Spanien bei der AESIA (Agencia Española de Supervisión de la Inteligencia Artificial) mit Sitz in A Coruña.
Welche Beziehung besteht zur DSGVO? Beide Verordnungen ergänzen sich. AI Act regelt das KI-System, DSGVO regelt die verarbeiteten personenbezogenen Daten. Compliance erfordert die Erfüllung beider Verordnungen.
Miniglossar
Anhang III: Anhang der Verordnung, der die acht Hochrisiko-Bereiche auflistet. Anhang IV: Anhang, der die Mindestanforderungen der technischen Dokumentation spezifiziert. Deployer: Stelle, die ein KI-System in ihre Tätigkeit integriert (im Unterschied zum Provider, der es entwickelt). AESIA: spanische Behörde für die Aufsicht der KI mit Sitz in A Coruña. Generative KI: Modelle, die Inhalte erzeugen (Text, Bild, Audio); für sie gelten Transparenz- und Urheberrechtspflichten.
Offizielle Quellen
Verordnung (EU) 2024/1689 vom 13. Juni 2024, veröffentlicht im Amtsblatt der EU. Leitlinien und Standards der Europäischen Kommission. Spanische Aufsichtsbehörde: AESIA (Agencia Española de Supervisión de la Inteligencia Artificial). Verbindung zur DSGVO: Verordnung (EU) 2016/679. Verbindung zu produktsicherheitsrechtlichen Vorschriften gemäß Verweis im AI Act.