KI-Verordnung — Compliance-Prüfung

KI-Verordnung — Compliance-Prüfung

Zweck

Die EU-KI-Verordnung (VO EU 2024/1689, "AI Act") ist seit 1.8.2024 in Kraft, gestaffelt anwendbar. Dieses Skill prüft Anwendbarkeit, Risiko-Klasse und Pflichten für deutsche Unternehmen.

Eingaben

• Beschreibung des KI-Systems oder Modells (Zweck Funktion Daten Output)
• Rolle des Mandanten (Anbieter Betreiber Importeur Händler Bevollmächtigter)
• Einsatz-Bereich (öffentlich privat beruflich)
• Datenbasis (Trainingsdaten Quellen)
• Marktbezug (EU-Markt Bereitstellung)

Schritt 1 — Anwendungsbereich Art. 2 KI-VO

Sachlich

• KI-System Art. 3 Nr. 1 KI-VO — maschinengestütztes System mit autonomem Verhalten, Anpassung, Ausgabe-Erzeugung (Vorhersage Empfehlung Entscheidung)
• General Purpose AI Model Art. 3 Nr. 63 — universelles Modell (LLM Foundation Model)

Persönlich (Art. 2 Abs. 1)

• Anbieter mit Sitz / Niederlassung in Drittland, das KI in EU bereitstellt
• Betreiber mit Sitz / Aufenthalt in EU
• Drittländer-Anbieter wenn Output in EU verwendet
• Importeur Händler Bevollmächtigter mit EU-Bezug

Ausnahmen Art. 2 Abs. 3-12

• Reine Forschung
• Reine Privatnutzung
• Open-Source-Modelle mit Auflagen
• Nationale Sicherheit / Verteidigung
• Strafverfolgung mit Sonder-Regelungen

Schritt 2 — Rollen-Bestimmung Art. 3 Nrn. 3-7

Rolle	Definition	Hauptpflicht
Anbieter	Entwickelt KI oder lässt entwickeln und bringt in Verkehr	Vollständige KI-VO-Compliance
Betreiber	Verwendet KI unter eigener Aufsicht	Begrenzte Pflichten Transparenz Aufsicht
Importeur	EU-Niederlassung mit Import aus Drittland	Konformitätsprüfung
Händler	Lieferkette ohne Importeurs-Funktion	Sicherstellung Konformität
Bevollmächtigter	Repräsentant Drittland-Anbieter	Vertretung

Bei Modifikation Art. 25 KI-VO

• Wesentliche Änderung macht Betreiber zum Anbieter
• Fine-Tuning eines GPAI über Ausgangs-Zweck hinaus
• Re-Training

Schritt 3 — Risiko-Klassifikation

Stufe 1 — Verbotene Praktiken Art. 5 KI-VO

Geltungsbeginn 2.2.2025 — bereits aktiv.

Verbote (Auswahl):

• Subliminale Manipulation zum Schaden
• Ausnutzung Schwachstellen (Alter Behinderung soziale Lage)
• Social Scoring durch staatliche oder private Akteure
• Prädiktive Polizeiarbeit zur Profilierung
• Emotions-Erkennung am Arbeitsplatz und in Bildung (Ausnahmen medizinisch)
• Biometrische Kategorisierung nach sensitiven Merkmalen
• Real-Time-Biometrie im öffentlichen Raum durch Strafverfolgung (mit eng-bezeichneten Ausnahmen)
• Untargeted Scraping für Gesichtserkennungs-Datenbanken

Sanktion: bis EUR 35 Mio oder 7 Prozent Konzern-Jahresumsatz (höherer Betrag) Art. 99 Abs. 3

Stufe 2 — Hochrisiko-System Art. 6 + Anhang III

Geltungsbeginn 2.8.2026 (Anhang III), 2.8.2027 (Anhang I).

Bereiche Anhang III:

1. Biometrie (außer eindeutige Identitäts-Überprüfung)
2. Kritische Infrastruktur
3. Bildung und Berufsausbildung
4. Beschäftigung und Personalverwaltung (z.B. Auswahl-Tools)
5. Zugang zu wesentlichen privaten/öffentlichen Diensten und Leistungen (Kredit-Scoring Sozialhilfe Notfall-Triage)
6. Strafverfolgung
7. Migration und Grenzkontrolle
8. Justiz und demokratische Prozesse

Pflichten Anbieter Hochrisiko:

• Risikomanagementsystem Art. 9
• Daten-Governance Art. 10
• Technische Dokumentation Art. 11
• Aufzeichnungs-Pflichten Art. 12
• Transparenz und Informations-Bereitstellung Art. 13
• Menschliche Aufsicht Art. 14
• Genauigkeit Robustheit Cybersicherheit Art. 15
• Konformitätsbewertungs-Verfahren Art. 43
• CE-Kennzeichnung
• Registrierung in EU-Datenbank Art. 71

Pflichten Betreiber Hochrisiko Art. 26:

• Verwendung gemäß Anweisung
• Menschliche Aufsicht durch geschultes Personal
• Eingangs-Daten relevant und repräsentativ
• Protokollierung
• Information Betroffener bei Entscheidungen
• DSFA-Pflicht Art. 27

Stufe 3 — Transparenz-System Art. 50 KI-VO

Geltungsbeginn 2.8.2026.

• Chatbots: Information dass Nutzer mit KI interagiert
• Synthetische Audio/Video/Bild/Text: Kennzeichnung als KI-erzeugt
• Deepfakes: Klarstellung
• Emotions-/Kategorisierungs-Systeme: Information Betroffener

Stufe 4 — Minimales Risiko

• Keine spezifischen Verpflichtungen
• Freiwillige Codes-of-Conduct

Schritt 4 — GPAI-Modelle Art. 51 ff. KI-VO

Geltungsbeginn 2.8.2025.

Standard-GPAI-Anbieter-Pflichten Art. 53

• Technische Dokumentation
• Information für nachgelagerte Anbieter
• Urheberrechts-Politik
• Zusammenfassung Trainingsdaten

GPAI mit systemischem Risiko Art. 55

• Schwelle: Trainings-Compute > 10^25 FLOPs oder Kommissions-Designation
• Zusätzliche Pflichten:
  • Modell-Bewertungen
  • Risiko-Bewertung und -Minderung
  • Schwerwiegende Vorfälle melden
  • Cybersicherheit

Schritt 5 — Zeitlicher Anwendungs-Plan

Datum	Anwendbar
1.8.2024	KI-VO in Kraft
2.2.2025	Kapitel I (Allgemein), Kapitel II (Verbotene Praktiken)
2.8.2025	GPAI-Modelle, Governance-Struktur, Sanktionen
2.8.2026	Hochrisiko Anhang III, Transparenz Art. 50, Reallabore
2.8.2027	Hochrisiko Anhang I (Produktsicherheits-Bezug)

Schritt 6 — Schnittstelle zur DSGVO

DSFA bei KI-Hochrisiko Art. 27 KI-VO iVm Art. 35 DSGVO

• Pflicht zur Grundrechte-Folgenabschätzung bei Betreibern bestimmter Hochrisiko-Systeme
• Bei personenbezogenen Daten zusätzlich DSGVO-DSFA
• Häufig kombinierbar als integrierte Bewertung

Automatisierte Entscheidungen Art. 22 DSGVO

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• Wenn KI-System automatisierte Entscheidung trifft mit rechtlicher / ähnlich erheblicher Wirkung → DSGVO-Verbot + Ausnahmen
• KI-VO und DSGVO parallel anwendbar

Datenschutz beim Training Art. 10 KI-VO

• Trainingsdaten-Governance — Verhältnis zu Art. 5 DSGVO (Datenminimierung Zweckbindung)

Schritt 7 — Konformitätsbewertungs-Verfahren Hochrisiko Art. 43

Selbst-Bewertung

• Mehrheit der Anhang-III-Systeme
• Anbieter dokumentiert Konformität intern

Benannte Stelle

• Für Biometrie sowie bei Abweichung von harmonisierten Normen
• TÜV / VdS / sonstige akkreditierte Stelle

CE-Kennzeichnung

• Nach erfolgreicher Konformitätsbewertung
• Anbringung am System

Registrierung Art. 71

• EU-Datenbank Hochrisiko-Systeme
• Öffentlich einsehbar (mit Ausnahmen)

Schritt 8 — Aufsicht und Sanktionen in Deutschland

Marktüberwachungs-Behörden

• BNetzA koordiniert (KI-Aufsichts-Stelle)
• BfDI für Hochrisiko in datenschutz-sensiblen Bereichen
• BaFin Finanz-KI
• Bundeskartellamt wettbewerbs-relevante KI

Sanktionen Art. 99 KI-VO

Verstoß	Höchst-Strafe
Verbotene Praktiken Art. 5	EUR 35 Mio oder 7 % Konzernumsatz
Verstoß gegen Hochrisiko-Pflichten	EUR 15 Mio oder 3 % Konzernumsatz
Falsche Informationen an Behörden	EUR 7,5 Mio oder 1 % Konzernumsatz

Verbandsklage

• Konsumenten-Schutzverbände
• Aufsichtsbehörden-Klage

Schritt 9 — Konkrete Prüfungs-Sequenz

1. Anwendungsbereich — Ist KI-System / GPAI vorliegend?
2. Rolle — Anbieter Betreiber Importeur Händler?
3. Verbotene Praktiken — Art. 5 prüfen → ggf. Stopp
4. Hochrisiko — Anhang III Tatbestand erfüllt?
5. Transparenz — Art. 50 Pflicht?
6. GPAI — Modell mit systemischem Risiko?
7. Compliance-Plan mit Fristen
8. DSGVO-Kompatibilität parallel

Schritt 10 — Compliance-Programm-Bausteine

Governance

• KI-Compliance-Officer
• KI-Risiko-Kataster
• Lieferanten-Pflichten (KI-Klauseln in Verträgen)

Dokumentation

• Technische Dokumentation pro System
• Aufzeichnungen Operations
• Vorfalls-Register

Schulung

• Personal das Hochrisiko-KI betreibt
• AI Literacy Art. 4 KI-VO

Schritt 11 — Verzahnung mit anderen Skills

• dsfa-erstellung — bei personenbezogenen Daten kombinierte Folgenabschätzung
• avv-prüfung — wenn KI durch Dienstleister
• drittlandstransfer-prüfung — bei Cloud-KI außerhalb EU
• anwendungsfall-triage — wenn KI-VO-Bezug → hier herleiten
• mandantendaten-ki (Kanzlei-intern) — bei eigener KI-Nutzung

Ausgabe

• ki-vo-pruefung-{system}.md mit Risiko-Klassifikation und Pflichten-Plan
• Compliance-Roadmap mit Fristen-Linie
• Lieferanten-Anforderungen
• DSFA-Schnittstelle
• Aufsichts-Korrespondenz-Vorbereitung

Quellen

• VO (EU) 2024/1689 (KI-Verordnung)
• DSGVO Art. 22 35
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.
• BNetzA-Verlautbarungen (KI-Aufsicht)
• EDSA Empfehlungen zu KI und Datenschutz
• EU-Kommission KI-Leitlinien
• Lambrecht/Stürner KI-Verordnung

Aktuelle Rechtsprechung (v14.2)

• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe über offizielle oder frei zugängliche Quelle mit Gericht, Entscheidungsform, Datum, Aktenzeichen und tragender Aussage verifizieren.

Faktische Updates (Stand 05/2026)

• Stufenweise Anwendung KI-VO (Art. 113): 02.02.2025 — Verbote Art. 5 und Art. 4 KI-Kompetenz; 02.08.2025 — GPAI-Pflichten Art. 51-55, Sanktionsregime Art. 99; 02.08.2026 — Hochrisiko Anhang III, Art. 50 Transparenzpflichten; 02.08.2027 — Hochrisiko Anhang I. Quelle: VO (EU) 2024/1689, eur-lex.europa.eu/eli/reg/2024/1689/oj.
• EDSA-Schnittstelle KI-VO / DSGVO: EDSA-Stellungnahme 28/2024 (Modelle, die mit personenbezogenen Daten trainiert wurden) — verbindliche Auslegungshilfe zur DSGVO-Grundlage bei KI-Training und -Deployment. Quelle: edpb.europa.eu.
• GPAI Code of Practice: seit 2025 verfuegbar; Anbieter, die zeichnen, geniessen Vermutung der Compliance (Art. 56 KI-VO). Live-Status der Saeulen (Transparenz, Urheberrecht, Safety/Security) ueber digital-strategy.ec.europa.eu pruefen.
• EU AI Office: seit Anfang 2025 voll operativ; zustaendig fuer GPAI, Koordination mit nationalen Behoerden, Code of Practice.
• Nationale Aufsicht Deutschland: Bundesnetzagentur (BNetzA) als koordinierende KI-Aufsichtsbehoerde; sektorale Zustaendigkeiten (BfDI, BaFin, BAuA, Bundeskartellamt) bleiben bestehen. Konkretisierende Gesetzgebung (KI-Marktueberwachungsgesetz / KI-VO-Durchfuehrungsgesetz) live ueber bundestag.de pruefen.
• Schnittstelle Art. 22 DSGVO / KI-VO: Bei automatisierten Einzelentscheidungen mit erheblicher Wirkung (Scoring, Personalauswahl, Kredit) parallele Pruefung Art. 22 DSGVO + Art. 26 KI-VO + ggf. FRIA Art. 27 KI-VO erforderlich.
• Rechtsprechung: keine Entscheidung aus Modellwissen zitieren; vor Ausgabe ueber curia.europa.eu verifizieren.

Triage zu Beginn

1. Ist das System ein KI-System im Sinne von Art. 3 Nr. 1 KI-VO?
2. Welche Risikoklasse liegt vor? (Verboten Art. 5 / Hochrisiko Art. 6 iVm Anhang III / Begrenzt Art. 50 / Minimal)
3. Wer ist der Mandant: Anbieter / Betreiber / Importeur / Händler?
4. Geltungsbereich: Übergangsfrist beachten (Verbotene Praktiken ab 02.02.2025; Hochrisiko ab 02.08.2026)?

Output-Template — KI-VO-Compliance-Check

Adressat: Compliance-Abteilung / Management — Tonfall: sachlich-juristisch

KI-VO Compliance-Check [DATUM]
System: [SYSTEMNAME]
Mandant-Rolle: Anbieter / Betreiber / Importeur / Haendler

Einstufung:
Ist KI-System (Art. 3 Nr. 1 KI-VO): ja / nein
Risikoklasse: Verboten / Hochrisiko / Begrenzt / Minimal
Rechtsgrundlage: Art. [X] KI-VO [Anhang I/III/...Nr. X]

Anwendbarer Zeitplan:
Erste Pflichten ab: [DATUM]

Kernpflichten:
| Pflicht                        | Norm        | Status     |
|-------------------------------|-------------|------------|
| Konformitaetsbewertung        | Art. 43 ff. |            |
| Technische Dokumentation      | Art. 11     |            |
| Menschliche Aufsicht          | Art. 14     |            |
| Transparenz gegenueber Nutzern| Art. 13/50  |            |
| DSGVO/DSFA (Schnittstelle)    | Art. 35 DSGVO|           |

Ergebnis: Konform / Anpassungsbedarf (bis [DATUM]) / Verboten