Anforderung

Seit 2. Februar 2025 sind Provider und Deployer verpflichtet, sicherzustellen, dass ihr Personal und sonstige mit dem Betrieb und der Nutzung von KI-Systemen befasste Personen über ein ausreichendes Maß an KI-Kompetenz (AI Literacy) verfügen.

Was ist AI Literacy?

Art. 4 verlangt, dass Personen die KI-Systeme betreiben:

• Die Fähigkeiten und Grenzen der KI-Systeme verstehen
• Die möglichen Auswirkungen auf betroffene Personen erkennen
• In der Lage sind, KI-Systeme bestimmungsgemäß einzusetzen

Die Anforderung ist proportional — der erforderliche Kompetenzgrad hängt ab vom Kontext, der Risikostufe und den potenziellen Auswirkungen.

BAUER GROUP Umsetzung

Schulungskonzept

Nachweispflicht

Jede Schulungsteilnahme wird dokumentiert. Siehe: AI Literacy Schulungsnachweis

AI-Act-Rollen innerhalb der BAUER GROUP

Geschäftsleitung

• Finale Go/No-Go-Entscheidung für KI-Produkte im EU-Markt
• Strategische Positionierung (Vermeidung vs. Compliance)
• Ressourcenallokation für Compliance-Maßnahmen

Entwicklungsleitung

• Technische Umsetzung der Art. 8–15 Anforderungen (bei Hochrisiko)
• Integration von AI-Act-Checks in CI/CD-Pipeline
• Modellversionierung und -dokumentation
• Cybersicherheit (koordiniert mit CRA-Verantwortlichem)

Projektleitung

• KI-System-Inventar pflegen
• Risikoklassifizierung pro Produkt durchführen
• Technische Dokumentation erstellen und aktualisieren
• Konformitätsbewertung koordinieren

Alle Mitarbeitende mit KI-Kontakt

• AI Literacy Schulung absolvieren
• KI-Systeme bestimmungsgemäß einsetzen
• Auffälligkeiten und Incidents melden

Mapping auf CRA-Rollen

Anforderung

Hochrisiko-KI-Systeme müssen ein angemessenes Maß an Genauigkeit, Robustheit und Cybersicherheit aufweisen.

Genauigkeit

• Genauigkeitsgrade müssen in den Gebrauchsanweisungen deklariert werden
• Geeignete Metriken für den jeweiligen Verwendungszweck definieren und messen
• Genauigkeitslevel müssen für den bestimmungsgemäßen Zweck angemessen sein

Robustheit

• Widerstandsfähigkeit gegen Fehler, Störungen und Inkonsistenzen in der Betriebsumgebung
• Technische Redundanz (Backup-Systeme, Fail-Safe-Mechanismen)
• Robustheit gegen adversariale Angriffe (Adversarial ML)

Cybersicherheit

• Schutz gegen unbefugten Zugriff und Manipulation
• Model Poisoning, Data Poisoning und Adversarial Examples adressieren
• Maßnahmen zum Schutz der Vertraulichkeit, Integrität und Verfügbarkeit

BAUER GROUP Umsetzung

Verordnung (EU) 2024/1689

Der EU Artificial Intelligence Act (AI Act) ist die weltweit erste umfassende Regulierung für Künstliche Intelligenz. Die Verordnung trat am 1. August 2024 in Kraft und wird schrittweise bis 2. August 2027 vollständig anwendbar.

Abgrenzung zum Cyber Resilience Act (CRA)

Kernprinzipien des AI Act

Der AI Act verfolgt einen risikobasierten Ansatz mit vier Risikostufen:

1. Unannehmbares Risiko (verboten) — Art. 5
2. Hohes Risiko (streng reguliert) — Art. 6–49, Annex I + III
3. Begrenztes Risiko (Transparenzpflichten) — Art. 50
4. Minimales Risiko (unreguliert) — keine spezifischen Pflichten

Extraterritoriale Geltung

Der AI Act gilt für:

• Anbieter (Provider) die KI-Systeme im EU-Markt platzieren — unabhängig vom Sitz
• Betreiber (Deployer) die KI-Systeme in der EU professionell nutzen
• Importeure und Distributoren in der KI-Wertschöpfungskette
• Drittstaaten-Anbieter deren KI-System-Output in der EU verwendet wird

Dokumentationsstruktur

Diese Dokumentation ist in 10 Kapitel + Anhang gegliedert und steht in DE/EN/ZH zur Verfügung. Sie bildet das regulatorische Gegenstück zur bestehenden CRA-Dokumentation und adressiert alle Pflichten, die sich aus dem AI Act für die BAUER GROUP als Anbieter und Betreiber von KI-gestützten Systemen ergeben.

Aufwand nach Risikostufe

Entscheidungsregeln

Automatisch GO

• Minimales Risiko
• Begrenztes Risiko (Transparenzpflichten sind trivial)

Go/No-Go-Bewertung erforderlich

• Hochrisiko mit Selbstbewertung (Annex VI)

Automatisch NO-GO EU

• Hochrisiko mit Drittstellen-Bewertung (Annex VII)
• Jedes System, bei dem Compliance-Aufwand > 15% des 3-Jahres-Deckungsbeitrags

CRA-Synergien (Aufwandsreduktion)

Wenn ein Produkt bereits CRA-konform ist, reduziert sich der AI-Act-Mehraufwand erheblich:

Pflichten nach Risikostufe und Rolle

Minimales Risiko

Begrenztes Risiko (Transparenz)

Hochrisiko

* Deployer: vereinfachtes Risikomanagement gemäß Art. 26 ** Deployer: nur öffentliche Stellen

GPAI (nur Modell-Provider)

Wann erforderlich?

Eine Bewertung durch eine Notified Body (benannte Stelle) ist nur erforderlich für bestimmte Hochrisiko-Systeme, insbesondere biometrische Fernidentifikation und bestimmte Strafverfolgungs-KI.

Verfahren (Annex VII)

Das Verfahren umfasst die Bewertung von:

1. Qualitätsmanagementsystem — umfassende Prüfung des QMS durch die benannte Stelle
2. Technische Dokumentation — Prüfung auf Vollständigkeit und Plausibilität
3. Stichprobenprüfung — Tests am System selbst

Die benannte Stelle stellt bei positivem Ergebnis eine Bescheinigung aus.

Anforderung

Hochrisiko-KI-Systeme müssen die CE-Kennzeichnung tragen, um die Konformität mit dem AI Act anzuzeigen.

Anbringung

Die CE-Kennzeichnung wird angebracht auf:

1. Dem KI-System selbst (bei physischen Produkten) — sichtbar, lesbar, unauslöschlich
2. Der Verpackung — wenn Anbringung auf dem System nicht möglich
3. Der Begleitdokumentation — als letzter Rückfall

Regeln

• Muss vor Markteinführung angebracht werden
• Muss dem Format gemäß EU-Harmonisierungsrecht entsprechen (Mindesthöhe 5 mm)
• Bei Software ohne physisches Produkt: in der digitalen Dokumentation und ggf. in der UI

Synergien mit CRA

Wenn das Produkt bereits eine CRA-CE-Kennzeichnung trägt, wird die AI-Act-Konformität in dieselbe Erklärung integriert. Keine doppelte CE-Kennzeichnung erforderlich.

Anforderung

Provider von Hochrisiko-KI-Systemen müssen eine EU-Konformitätserklärung gemäß Annex V ausstellen, die bestätigt, dass das System die Anforderungen des AI Act erfüllt.

Inhalt (Annex V)

Die Erklärung muss mindestens enthalten:

• Name und Anschrift des Providers
• Eindeutige Identifikation des KI-Systems (Name, Typ, Seriennummer/Version)
• Erklärung, dass das System den Anforderungen des AI Act entspricht
• Verweis auf angewandte harmonisierte Normen oder andere technische Spezifikationen
• Ggf. Name und Kennnummer der benannten Stelle (bei Annex VII)
• Datum und Unterschrift

Single Source of Truth

Die EU-Konformitätserklärung wird aus der maschinenlesbaren Datei .compliance/ai-act-statement.json generiert. Damit ist sichergestellt, dass:

• Eine Quelle — JSON ist der einzige Ort, an dem Compliance-Daten gepflegt werden
• Konsistenz — Menschenlesbare DoC, CE-Kennzeichnung und EU-Datenbank-Registrierung nutzen dieselben Daten
• Automatisierung — Validierung und Generierung in der CI/CD-Pipeline

Siehe: Maschinenlesbares Format

Aufbewahrung

Die EU-Konformitätserklärung muss 10 Jahre nach Markteinführung aufbewahrt und auf Anfrage den zuständigen Behörden vorgelegt werden.

Template

Siehe: EU-Konformitätserklärung Template

Überblick

Hochrisiko-KI-Systeme müssen vor Markteinführung einer Konformitätsbewertung unterzogen werden. Der AI Act bietet zwei Wege:

Weg 1: Interne Kontrolle (Annex VI) — Selbstbewertung

Für die meisten Hochrisiko-KI-Systeme reicht eine Selbstbewertung durch den Provider. Dies umfasst:

• Überprüfung des QMS (Art. 17)
• Überprüfung der technischen Dokumentation
• Bestätigung der Konformität mit Art. 8–15

Weg 2: Drittstellenbewertung (Annex VII)

Nur erforderlich für bestimmte Annex-III-Systeme, insbesondere:

• Biometrische Fernidentifikation (Annex III Nr. 1)
• Kritische Infrastruktur (Annex III Nr. 2) — unter bestimmten Bedingungen
• Bestimmte Strafverfolgungs-Systeme (Annex III Nr. 6–7)

Verfahren bei Produkten mit EU-Harmonisierungsrecht

Wenn das KI-System eine Sicherheitskomponente eines bereits regulierten Produkts ist (Annex I), wird die AI-Act-Konformitätsbewertung in die bestehende Produktkonformitätsbewertung integriert.

Zweck

Maschinenlesbare Compliance-Daten ermöglichen:

• Automatisierte Publikation auf dem Compliance-Portal
• Programmatische Validierung in CI/CD-Pipelines
• Aggregation über alle KI-Systeme in einem zentralen Dashboard
• Behördenzugang via API für Marktaufsichtsbehörden
• Generierung der menschenlesbaren EU-Konformitätserklärung (Annex V)

JSON-Schema

Das AI Act Compliance Statement folgt einem definierten JSON-Schema:

{
  "$schema": "https://ai-act.app.bauer-group.com/schemas/ai-act-statement/v1.json",
  "schema_version": "1.0.0",

  "provider": {
    "name": "BAUER GROUP",
    "address": "[Vollständige Postanschrift]",
    "contact_email": "compliance@bauer-group.com",
    "website": "[URL]",
    "authorised_representative": null
  },

  "ai_system": {
    "name": "[Name des KI-Systems]",
    "version": "[X.Y.Z]",
    "type": "[standalone|embedded|gpai_based]",
    "description": "[Kurzbeschreibung des Einsatzzwecks]",
    "identifier": "AI-BGI-XXXX",
    "intended_purpose": "[Bestimmungsgemäße Verwendung gemäß Art. 13]",
    "deployer_type": "[internal|b2b|b2c|public_authority]"
  },

  "risk_classification": {
    "risk_level": "[minimal|limited|high_risk]",
    "annex_iii_category": "[1-8 oder null]",
    "annex_i_product": "[Annex-I-Referenz oder null]",
    "classification_rationale": "[Begründung der Einstufung]"
  },

  "conformity_assessment": {
    "procedure": "[annex_vi|annex_vii]",
    "notified_body": null,
    "assessment_date": "[YYYY-MM-DD]",
    "declaration_url": "[URL zur vollständigen DoC]",
    "declaration_date": "[YYYY-MM-DD]",
    "ce_marking": true,
    "ce_marking_placement": "[product|packaging|documentation|digital]"
  },

  "compliance": {
    "art_9_risk_management": true,
    "art_10_data_governance": true,
    "art_11_technical_documentation": true,
    "art_12_record_keeping": true,
    "art_13_transparency": true,
    "art_14_human_oversight": true,
    "art_15_accuracy_robustness": true,
    "art_17_qms": true
  },

  "transparency": {
    "ai_interaction_disclosed": true,
    "synthetic_content_labelled": false,
    "deployer_instructions_provided": true,
    "eu_database_registered": true,
    "eu_database_id": "[Registrierungsnummer oder null]"
  },

  "support_period": {
    "start_date": "[YYYY-MM-DD]",
    "end_date": "[YYYY-MM-DD]",
    "phase": "[active|monitoring|eol]",
    "post_market_monitoring": true
  },

  "harmonised_standards": [
    {
      "identifier": "[z.B. EN XXXXX:YYYY]",
      "description": "[Beschreibung]"
    }
  ],

  "metadata": {
    "generated_at": "[ISO 8601 Timestamp]",
    "generator": "[Tool oder manuell]",
    "statement_version": "[Version des Statements]",
    "regulation": "(EU) 2024/1689"
  }
}

Feldübersicht

Pflichtfelder

Optionale Felder

Generierungsfluss

.compliance/ai-act-statement.json (Single Source of Truth)
    ↓
    ├─→ EU-Konformitätserklärung (PDF/HTML — Annex V)
    ├─→ CE-Kennzeichnung (Produkt, Verpackung, Dokumentation)
    ├─→ EU-Datenbank-Registrierung (Art. 49)
    ├─→ Compliance-Dashboard (zentrale Aggregation)
    └─→ Deployer-Information (Gebrauchsanweisung Art. 13)

Validierung

CI/CD-Pipeline

# Beispiel: GitHub Actions Step
- name: Validate AI Act Statement
  run: |
    npx ajv validate \
      -s schemas/ai-act-statement-v1.schema.json \
      -d .compliance/ai-act-statement.json

Validierungsregeln

Vollständiges Beispiel

{
  "$schema": "https://ai-act.app.bauer-group.com/schemas/ai-act-statement/v1.json",
  "schema_version": "1.0.0",

  "provider": {
    "name": "BAUER GROUP",
    "address": "Musterstraße 1, 12345 Musterstadt, Deutschland",
    "contact_email": "compliance@bauer-group.com",
    "website": "https://bauer-group.com",
    "authorised_representative": null
  },

  "ai_system": {
    "name": "BAUER Predictive Maintenance Engine",
    "version": "1.2.0",
    "type": "embedded",
    "description": "KI-basierte vorausschauende Wartung für Baumaschinen-Hydrauliksysteme",
    "identifier": "AI-BGI-0042",
    "intended_purpose": "Vorhersage von Wartungsbedarf auf Basis von Sensordaten (Vibration, Temperatur, Druck) zur Vermeidung ungeplanter Ausfälle",
    "deployer_type": "b2b"
  },

  "risk_classification": {
    "risk_level": "high_risk",
    "annex_iii_category": 2,
    "annex_i_product": "Maschinenverordnung (EU) 2023/1230",
    "classification_rationale": "Sicherheitskomponente in Annex-I-Produkt (Baumaschine) — Art. 6 Abs. 1"
  },

  "conformity_assessment": {
    "procedure": "annex_vi",
    "notified_body": null,
    "assessment_date": "2026-07-15",
    "declaration_url": "https://ai-act.app.bauer-group.com/systems/AI-BGI-0042/doc",
    "declaration_date": "2026-07-15",
    "ce_marking": true,
    "ce_marking_placement": "documentation"
  },

  "compliance": {
    "art_9_risk_management": true,
    "art_10_data_governance": true,
    "art_11_technical_documentation": true,
    "art_12_record_keeping": true,
    "art_13_transparency": true,
    "art_14_human_oversight": true,
    "art_15_accuracy_robustness": true,
    "art_17_qms": true
  },

  "transparency": {
    "ai_interaction_disclosed": false,
    "synthetic_content_labelled": false,
    "deployer_instructions_provided": true,
    "eu_database_registered": true,
    "eu_database_id": "EU-AI-DB-2026-004217"
  },

  "support_period": {
    "start_date": "2026-07-15",
    "end_date": "2031-07-15",
    "phase": "active",
    "post_market_monitoring": true
  },

  "harmonised_standards": [
    {
      "identifier": "ISO/IEC 42001:2023",
      "description": "AI Management System"
    },
    {
      "identifier": "ISO/IEC 23894:2023",
      "description": "AI Risk Management"
    }
  ],

  "metadata": {
    "generated_at": "2026-07-15T09:00:00Z",
    "generator": "manual",
    "statement_version": "1.0.0",
    "regulation": "(EU) 2024/1689"
  }
}

Schema-Versionierung

Querverweise

Pflicht

Provider müssen Hochrisiko-KI-Systeme vor Markteinführung in der EU-Datenbank (Art. 71) registrieren.

Registrierungsinhalte (Annex VIII)

Sektion A — Provider-Informationen

• Name, Anschrift, Kontaktdaten
• Ggf. Name des Bevollmächtigten

Sektion B — System-Informationen

• Bezeichnung und Version des KI-Systems
• Status (auf dem Markt / zurückgezogen)
• Beschreibung des bestimmungsgemäßen Zwecks
• Risikoklassifizierung
• Mitgliedstaaten, in denen das System angeboten wird
• URL der Gebrauchsanweisungen
• Verweis auf EU-Konformitätserklärung

Zeitpunkt

• Hochrisiko-Systeme: Registrierung vor Markteinführung (Art. 49 Abs. 1)
• Nicht-Hochrisiko Annex-III-Systeme: Registrierung vor Markteinführung (Art. 49 Abs. 2)

Zugang

Die EU-Datenbank wird von der Kommission betrieben und ist öffentlich zugänglich (mit Ausnahme bestimmter Strafverfolgungs-Informationen).

Interne Kontrolle (Annex VI)

Die Selbstbewertung ist das Standard-Konformitätsbewertungsverfahren für Hochrisiko-KI-Systeme (sofern keine Drittstelle erforderlich).

Schritt 1: QMS-Überprüfung

Bestätigung, dass das QMS (Art. 17) implementiert ist und die Anforderungen erfüllt.

Schritt 2: Technische Dokumentation

Überprüfung, dass die technische Dokumentation (Art. 11, Annex IV) vollständig und aktuell ist.

Schritt 3: Konformitätsprüfung

Systematische Prüfung gegen alle Anforderungen der Art. 8–15:

Schritt 4: EU-Konformitätserklärung

Nach erfolgreicher Selbstbewertung: EU-Konformitätserklärung (Art. 47) ausstellen.

Schritt 5: CE-Kennzeichnung

CE-Kennzeichnung anbringen (Art. 48).

Schritt 6: Registrierung

In EU-Datenbank registrieren (Art. 49).

EU AI Office

Das AI Office wurde am 24. Januar 2024 per Kommissionsbeschluss eingerichtet und ist seit 2. August 2025 operativ.

Aufgaben

• Durchsetzung der GPAI-Regeln (Art. 88–94)
• Koordinierung der einheitlichen Anwendung des AI Act
• Unterstützung der Mitgliedstaaten
• Verwaltung der EU-Datenbank
• Überwachung systemischer Risiken durch GPAI-Modelle
• Veröffentlichung von Leitlinien und Best Practices

AI Board

Das AI Board besteht aus Vertretern der Mitgliedstaaten und berät die Kommission. Es ist seit August 2025 operativ.

Aufgaben

• Konsistente Anwendung des AI Act sicherstellen
• Best Practices zwischen Mitgliedstaaten austauschen
• Kommission bei delegierten Rechtsakten beraten
• Koordinierung der nationalen Behörden

Relevanz für BAUER GROUP

Das AI Office und der AI Board sind primär für die regulatorische Infrastruktur relevant. Direkte Interaktion der BAUER GROUP mit diesen Gremien ist nur in Sonderfällen zu erwarten (z.B. bei Anfragen zu spezifischen Klassifizierungsfragen oder bei GPAI-bezogenen Themen).

Bußgeldrahmen

Der AI Act sieht abgestufte Sanktionen vor, die seit 2. August 2025 anwendbar sind:

Es gilt jeweils der höhere Betrag.

KMU-Privilegierung

Für KMU und Start-ups gelten die niedrigeren der genannten Beträge (absolut vs. prozentual).

Weitere Maßnahmen

Neben Geldbußen können Marktüberwachungsbehörden:

• Marktrücknahme des KI-Systems anordnen
• Korrekturmaßnahmen erzwingen (Nachbesserung, Retraining)
• Inbetriebnahme untersagen bis zur Konformität
• Warnungen aussprechen

BAUER GROUP Risikobewertung

Das Bußgeldrisiko ist proportional zum Verstoß. Für die BAUER GROUP gilt:

Zuständigkeit

Die Durchsetzung des AI Act erfolgt auf zwei Ebenen:

EU-Ebene

• AI Office (innerhalb der EU-Kommission) — zuständig für GPAI-Modelle und systemische Risiken
• AI Board — Koordinierungsgremium der Mitgliedstaaten

Nationale Ebene

• Marktüberwachungsbehörden — zuständig für Hochrisiko-KI und sonstige Pflichten
• Notifizierende Behörden — Überwachung der benannten Stellen (Notified Bodies)

Jeder Mitgliedstaat musste bis 2. August 2025 seine zuständigen Behörden benennen.

Deutschland

In Deutschland liegt die Zuständigkeit voraussichtlich bei:

• Bundesnetzagentur (BNetzA) als zentrale Marktüberwachungsbehörde für den AI Act
• Ggf. sektorale Behörden für spezifische Anwendungsbereiche

Befugnisse der Behörden (ab August 2026)

• Zugang zu KI-Systemen und deren Dokumentation
• Zugang zu Source Code (unter bestimmten Bedingungen)
• Zugang zu Trainingsdaten und Testdaten
• Anordnung von Korrekturmaßnahmen
• Marktrücknahme und Rückruf
• Verhängung von Bußgeldern

Struktur

Die BAUER GROUP integriert AI Governance in die bestehende Unternehmensstruktur. Kein separater Governance-Apparat.

Verantwortlichkeiten

Prozesse

1. Neues Produkt mit KI: Prüfschema Art. 5 → Risikoklassifizierung → Go/No-Go → (bei Go) Compliance-Umsetzung
2. Bestehendes Produkt + KI-Erweiterung: Wie Neues Produkt, aber Prüfung ob Risikostufe sich ändert
3. Interne KI-Nutzung: AI Literacy sicherstellen, Deployer-Pflichten beachten
4. Jährlicher Review: KI-Inventar aktualisieren, Klassifizierungen prüfen, Schulungen durchführen

Dokumentationshierarchie

ai-act.docs.bauer-group.com  (diese Seite)
  └── Regulatorische Dokumentation (öffentlich)
       ├── Allgemeine Compliance-Darstellung
       ├── Templates und Formulare
       └── Referenz auf CRA-Dokumentation

Interne Dokumente (nicht öffentlich)
  ├── KI-System-Inventar (produktspezifisch)
  ├── Go/No-Go-Entscheidungsprotokolle
  ├── Risikoklassifizierungen (produktspezifisch)
  └── Schulungsnachweise

KI-System-Inventar

Jede Organisation sollte ein Inventar aller KI-Systeme führen, die sie entwickelt, einsetzt oder vertreibt. Dies ist keine explizite Pflicht des AI Act, aber Voraussetzung für die korrekte Risikoklassifizierung und Compliance-Bewertung.

Inventar-Felder

Template: KI-System-Inventar

EU-Datenbank-Registrierung (Art. 49)

Pflicht zur Registrierung

Vor Markteinführung oder Inbetriebnahme müssen Provider folgende Systeme in der EU-Datenbank registrieren:

• Hochrisiko-KI-Systeme (Art. 49 Abs. 1)
• Nicht-Hochrisiko-eingestufte Annex-III-Systeme (Art. 49 Abs. 2)

Deployer müssen registrieren, wenn sie öffentliche Stellen sind oder im Auftrag öffentlicher Stellen handeln.

Registrierungsinhalte

Die erforderlichen Angaben sind in Annex VIII definiert:

• Sektion A: Informationen des Providers
• Sektion B: Informationen zum Hochrisiko-KI-System
• Sektion C: Informationen des Deployers (nur öffentliche Stellen)

Nutzung von GPAI-Modellen

Die BAUER GROUP nutzt GPAI-Modelle (LLMs) in verschiedenen Kontexten:

Pflichten als Deployer

Als professioneller Nutzer von KI-Systemen hat die BAUER GROUP folgende Deployer-Pflichten:

Allgemein (alle KI-Systeme)

• AI Literacy (Art. 4) — Personal mit KI-Kontakt muss ausreichend geschult sein

Bei Hochrisiko-KI (falls eingesetzt)

• Bestimmungsgemäßer Einsatz gemäß Anbieteranweisungen
• Menschliche Aufsicht sicherstellen
• Input-Datenqualität kontrollieren
• Logs mindestens 6 Monate aufbewahren
• Risiken und schwerwiegende Vorfälle an Provider und Behörden melden
• Bei Einsatz am Arbeitsplatz: Arbeitnehmer informieren

Bei Transparenzpflichten (Art. 50)

• Kennzeichnung von KI-generierten Inhalten
• Offenlegung von KI-Interaktionen (Chatbots)

Vendor Due Diligence

Bei Auswahl von GPAI-Anbietern prüft die BAUER GROUP:

• Ist der GPAI-Provider in der EU-Datenbank registriert?
• Stellt der Provider die erforderliche Dokumentation (Annex XII) bereit?
• Gibt es einen benannten EU-Bevollmächtigten (bei Drittstaaten-Providern)?
• Erfüllt der Provider seine Urheberrechts-Pflichten?

Definition

GPAI-Modelle sind KI-Modelle, die für eine Vielzahl unterschiedlicher Aufgaben eingesetzt werden können (z.B. Large Language Models wie GPT, Claude, Gemini). Sie werden nicht für einen spezifischen Zweck trainiert, sondern können nach dem Training für verschiedene downstream-Aufgaben adaptiert werden.

Abgrenzung GPAI-Modell vs. GPAI-System

Systemisches Risiko (Art. 51)

Ein GPAI-Modell hat systemisches Risiko, wenn:

• Kumulative Rechenleistung für Training > 10²⁵ FLOPS, ODER
• Die EU-Kommission das Modell entsprechend einstuft (aufgrund hoher Fähigkeiten/Auswirkungen)

Provider von GPAI-Modellen mit systemischem Risiko haben zusätzliche Pflichten (Art. 55).

BAUER GROUP Perspektive

Die BAUER GROUP ist derzeit kein GPAI-Modell-Provider. Eine zukünftige Eigenentwicklung von Modellen ist nicht ausgeschlossen. Unsere aktuelle Rolle ist:

• GPAI-Deployer — wir nutzen GPAI-Modelle (Claude, GPT, etc.) als Tools
• Potenziell System-Provider — wenn wir GPAI-Modelle in Kundenprodukte integrieren

Die GPAI-Provider-Pflichten (Art. 53, 55) treffen nicht die BAUER GROUP, sondern Anthropic, OpenAI etc. Die Verantwortung verschiebt sich erst, wenn wir ein GPAI-basiertes System unter eigenem Namen als Hochrisiko-System in den EU-Markt bringen.

Pflichten für ALLE GPAI-Modell-Provider

Seit 2. August 2025 müssen GPAI-Modell-Provider:

1. Technische Dokumentation erstellen und pflegen (Annex XI)
2. Informationen und Dokumentation an downstream-Provider bereitstellen (Annex XII), damit diese das Modell verstehen und ihre Pflichten erfüllen können
3. Urheberrechtsrichtlinie einhalten — eine Policy zum Schutz von Urheberrechten etablieren
4. Zusammenfassung der Trainingsdaten veröffentlichen (nach EU AI Office Template)

Zusätzliche Pflichten bei systemischem Risiko (Art. 55)

Provider von GPAI-Modellen mit systemischem Risiko müssen zusätzlich:

• Modellevaluierungen durchführen (inkl. adversariales Testing)
• Systemische Risiken bewerten und mindern
• Schwerwiegende Vorfälle an das AI Office melden
• Cybersicherheit des Modells gewährleisten

Open-Source-Ausnahme

GPAI-Modelle unter freier und offener Lizenz (Parameter, Architektur, Nutzung öffentlich zugänglich) müssen nur die Punkte 3 und 4 erfüllen — es sei denn, sie weisen systemisches Risiko auf.

Relevanz für BAUER GROUP

Kriterium

Ein GPAI-Modell wird als systemisch riskant eingestuft, wenn:

• Die kumulative Rechenleistung für das Training 10²⁵ FLOPS übersteigt (Annex XIII), ODER
• Die EU-Kommission es per Beschluss einstuft

Provider müssen die Kommission innerhalb von 2 Wochen benachrichtigen, wenn ihr Modell dieses Kriterium erfüllt.

Betroffene Modelle (Stand März 2026)

Modelle, die nach aktuellem Kenntnisstand als systemisch riskant gelten oder gelten könnten:

• GPT-4/4o (OpenAI)
• Claude 3.5/4 (Anthropic)
• Gemini Ultra/Pro (Google)
• Llama 3.1 405B (Meta)

BAUER GROUP Relevanz

Keine direkte. Die BAUER GROUP ist Nutzer dieser Modelle, nicht Provider. Die Pflichten des Art. 55 treffen die jeweiligen Modell-Anbieter.

Indirekte Relevanz: Die BAUER GROUP sollte im Rahmen der Anbieterauswahl (Vendor Due Diligence) prüfen, ob der GPAI-Provider seine Pflichten erfüllt. Dies reduziert das eigene Haftungsrisiko bei Integration in Kundenprodukte.

Anforderung

Trainings-, Validierungs- und Testdatensätze für Hochrisiko-KI-Systeme unterliegen spezifischen Anforderungen an Data Governance.

Datenanforderungen

Datensätze müssen:

• Relevant sein für den bestimmungsgemäßen Zweck
• Hinreichend repräsentativ sein, insbesondere für betroffene Personengruppen
• Soweit möglich fehlerfrei und vollständig sein
• Geeignete statistische Eigenschaften aufweisen (auch bezüglich geografischer, verhaltensbezogener und funktionaler Aspekte)

Data Governance Maßnahmen

Provider müssen dokumentieren:

• Datenherkunft und Erhebungsmethoden
• Datenaufbereitungsprozesse (Labeling, Bereinigung, Anreicherung)
• Bias-Bewertung und ergriffene Gegenmaßnahmen
• Maßnahmen zur Erkennung und Behebung von Datenlücken und -mängeln
• Datenschutzrechtliche Grundlage (DSGVO-Konformität)

BAUER GROUP Umsetzung

Anforderung

Hochrisiko-KI-Systeme müssen so konzipiert sein, dass sie von natürlichen Personen wirksam beaufsichtigt werden können.

Anforderungen an die Aufsicht

Personen, denen die Aufsicht übertragen wird, müssen in der Lage sein:

1. Die relevanten Fähigkeiten und Grenzen des Systems zu verstehen und dessen Betrieb ordnungsgemäß zu überwachen
2. Sich der möglichen Tendenz bewusst zu bleiben, sich automatisch auf den System-Output zu verlassen (Automation Bias)
3. Den Output des Systems korrekt zu interpretieren
4. Zu entscheiden, das System nicht zu nutzen oder den Output zu ignorieren, überschreiben oder rückgängig zu machen
5. Das System mit einem Stopp-Mechanismus sicher zu unterbrechen

BAUER GROUP Umsetzung

Überblick

Hochrisiko-KI-Systeme unterliegen dem vollständigen Pflichtenkatalog des AI Act. Art. 8 bestimmt, dass diese Systeme die Anforderungen der Art. 9–15 erfüllen müssen unter Berücksichtigung ihres Verwendungszwecks und des allgemein anerkannten Stands der Technik.

Anforderungskatalog

Integration mit CRA-Compliance

Art. 8 Abs. 2 erlaubt ausdrücklich die Integration in bestehende Compliance-Prozesse:

„um Kohärenz zu gewährleisten, Doppelarbeit zu vermeiden und zusätzlichen Aufwand zu minimieren, können Anbieter die erforderlichen Tests, Berichte und Dokumentationen in bereits bestehende Verfahren integrieren"

Die BAUER GROUP nutzt diese Möglichkeit, um AI-Act-Dokumentation soweit möglich in das bestehende CRA-QMS und die CRA-technische-Dokumentation einzugliedern.

Anforderung

Hochrisiko-KI-Systeme müssen technisch so konzipiert sein, dass Ereignisse automatisch protokolliert werden (Logging).

Mindestanforderungen

Die automatische Protokollierung muss umfassen:

• Nutzungszeiträume (Start/Ende jeder Nutzung)
• Referenzdatenbank gegen die Input-Daten geprüft werden
• Input-Daten, die zu einer Suche geführt haben
• Identifikation der an der menschlichen Aufsicht beteiligten Personen

Aufbewahrungsfristen

• Provider: Logs aufbewahren, soweit unter ihrer Kontrolle
• Deployer: Logs mindestens 6 Monate aufbewahren (Art. 26 Abs. 6)

BAUER GROUP Umsetzung

Vollständiger Pflichtenkatalog

Art. 16 fasst alle Pflichten zusammen, die ein Provider von Hochrisiko-KI-Systemen erfüllen muss:

Aufbewahrungsfristen

• Technische Dokumentation: 10 Jahre nach Markteinführung (Art. 18)
• Automatische Logs: Soweit unter Kontrolle des Providers (Art. 19)
• EU-Konformitätserklärung: 10 Jahre (Art. 47)

Post-Market-Monitoring

Provider müssen ein Post-Market-Monitoring-System einrichten (Art. 72), proportional zur Risikostufe. Für Hochrisiko-KI muss dieses System aktiv und systematisch relevante Daten über die Leistung des Systems sammeln und analysieren.

Anforderung

Provider von Hochrisiko-KI-Systemen müssen ein dokumentiertes QMS implementieren und aufrechterhalten.

QMS-Bestandteile (Art. 17 Abs. 1)

Das QMS muss umfassen:

1. Strategie zur Einhaltung regulatorischer Anforderungen
2. Konformitätsbewertungsverfahren (Design, Prüfung, Validierung)
3. Technische Spezifikationen und Standards
4. Datenmanagement (Erhebung, Analyse, Labeling, Speicherung, Filterung, Aggregation, Aufbewahrung)
5. Risikomanagement (Art. 9)
6. Post-Market-Monitoring (Art. 72)
7. Incident-/Schwachstellen-Meldung (Art. 73)
8. Kommunikation mit Behörden, Betreibern und anderen Stakeholdern
9. Änderungsmanagement — Verfahren und Maßnahmen bei Systemänderungen
10. Schulungs- und Unterstützungsprogramme für Personal

BAUER GROUP Umsetzung

Das AI-Act-QMS wird als Erweiterung des bestehenden CRA-QMS implementiert, nicht als separates System.

Anforderung

Provider von Hochrisiko-KI-Systemen müssen ein Risikomanagementsystem als kontinuierlichen iterativen Prozess über den gesamten Lebenszyklus implementieren.

Pflichtbestandteile

Das Risikomanagementsystem muss:

1. Bekannte und vorhersehbare Risiken identifizieren und analysieren — bei bestimmungsgemäßem Einsatz und bei vorhersehbarem Missbrauch
2. Risiken bewerten, die bei bestimmungsgemäßer Nutzung und bei vorhersehbarem Missbrauch entstehen können
3. Geeignete Risikominderungsmaßnahmen entwickeln und umsetzen
4. Restrisiken bewerten und dokumentieren — unter Berücksichtigung der Risikominderungsmaßnahmen
5. Testen — vor Markteinführung und während des Lebenszyklus, um sicherzustellen, dass das System wie vorgesehen funktioniert

Testanforderungen

• Tests gegen vorab definierte Metriken und Schwellenwerte
• Berücksichtigung des bestimmungsgemäßen Zwecks
• Testing auf Verzerrungen (Bias) in Bezug auf betroffene Personengruppen
• Unabhängig vom Datenformat: strukturiert, unstrukturiert, gemischt

BAUER GROUP Umsetzung (Minimaler Ansatz)

Anforderung

Die technische Dokumentation muss vor Markteinführung erstellt werden und aktuell gehalten werden. Sie dient dem Nachweis der Konformität gegenüber Behörden.

Inhalt gemäß Annex IV

Die technische Dokumentation muss mindestens umfassen:

Allgemeine Beschreibung

• Bestimmungsgemäßer Zweck des KI-Systems
• Name und Kontaktdaten des Providers
• Interaktion mit Hardware oder anderer Software
• Versionen der relevanten Software und Firmware
• Beschreibung der Schnittstellen (API, UI)

Design und Entwicklung

• Design-Spezifikationen (Architektur, Algorithmen, Modellstruktur)
• Designentscheidungen und -annahmen (inkl. Risikobewertung)
• Beschreibung des Trainings-, Validierungs- und Testprozesses
• Trainingsdaten-Dokumentation (Herkunft, Umfang, Merkmale)
• Verwendete Metriken und Schwellenwerte

Monitoring und Testing

• Testpläne und -ergebnisse
• Validierungsmethodik
• Cybersicherheitsmaßnahmen (→ CRA-Synergien)
• Erklärbarkeits-/Interpretierbarkeitsmaßnahmen

Änderungsmanagement

• Dokumentation aller wesentlichen Änderungen nach Markteinführung
• Versionierung und Änderungshistorie

BAUER GROUP Umsetzung

Die technische Dokumentation wird als Erweiterung der bestehenden CRA-technischen-Dokumentation erstellt. Gemeinsame Abschnitte (Produktbeschreibung, Sicherheitsarchitektur, Update-Mechanismus) werden referenziert, nicht dupliziert.

Template: Wird produktspezifisch bereitgestellt.

Anforderung

Hochrisiko-KI-Systeme müssen so konzipiert sein, dass ihr Betrieb für Deployer hinreichend transparent ist. Provider müssen Gebrauchsanweisungen bereitstellen.

Gebrauchsanweisungen müssen enthalten

• Name und Kontaktdaten des Providers
• Leistungsmerkmale, Fähigkeiten und Einschränkungen des Systems
• Bestimmungsgemäßer Zweck
• Maßnahmen zur menschlichen Aufsicht und deren Umsetzung
• Erwartete Lebensdauer und Wartungsmaßnahmen
• Technische Spezifikationen der Input-Daten
• Erklärbarkeit des Outputs soweit relevant
• Etwaige bekannte Risiken für Gesundheit, Sicherheit, Grundrechte
• Angaben zur Genauigkeit (Art. 15) inkl. Metriken

BAUER GROUP Umsetzung

Gebrauchsanweisungen werden als Abschnitt der bestehenden Produktdokumentation erstellt. Für B2B-Kunden als technisches Datenblatt, ergänzt um AI-Act-spezifische Abschnitte (Einschränkungen, bekannte Risiken, Oversight-Empfehlungen).

Ausgangslage

Die BAUER GROUP (BGI) ist ein IT- und Engineering-Dienstleister mit Fokus auf Softwareentwicklung, Infrastruktur, Embedded Systems und KI-gestützte Workflows für B2B-Kunden. Wir sind:

• Primär Deployer — wir nutzen KI-Systeme Dritter (LLMs, ML-Dienste) als Werkzeuge in unseren Prozessen
• Gelegentlich Provider — wenn wir KI-Komponenten in Kundenprodukte integrieren und unter eigenem Namen vertreiben
• Derzeit kein GPAI-Modell-Anbieter — eine zukünftige Eigenentwicklung von Modellen ist jedoch nicht ausgeschlossen

Strategische Grundsätze

1. Vermeidung vor Compliance

Der effizienteste Weg zur AI-Act-Konformität ist, keine regulierten KI-Systeme im EU-Markt zu platzieren, wenn der Aufwand unverhältnismäßig ist. Konkret:

• Produkte mit KI-Komponenten, die unter Annex III (Hochrisiko) fallen, werden einzeln bewertet
• Übersteigt der Compliance-Aufwand den erwarteten 3-Jahres-Deckungsbeitrag, wird das Produkt nicht im EU-Binnenmarkt angeboten
• Alternative: Vertrieb in Drittmärkten ohne AI-Act-Geltung

2. Minimaler Overhead bei Compliance

Wo wir KI-Produkte im EU-Markt anbieten:

• Maximale Nutzung von Selbstbewertung (Annex VI) statt Drittstellen-Bewertung (Annex VII)
• Integration in bestehende CRA-Compliance-Prozesse (QMS, technische Dokumentation)
• Template-basierte Dokumentation — einmal erstellen, für jedes Produkt adaptieren
• Keine überflüssige Governance-Bürokratie

3. Transparenz mit Augenmaß

• Chatbots und KI-generierte Inhalte werden korrekt gekennzeichnet
• Deepfake-Erzeugung ist kein Geschäftsfeld
• AI Literacy Schulungen werden als Teil der regulären Onboarding-Prozesse abgebildet

Betroffene Produkte (Stand März 2026)

Rollen im AI Act

Der AI Act unterscheidet verschiedene Rollen in der KI-Wertschöpfungskette, analog zum CRA-Modell der Wirtschaftsakteure:

Provider (Anbieter) — Art. 3 Nr. 3

Natürliche oder juristische Person, die ein KI-System entwickelt oder entwickeln lässt und es unter eigenem Namen oder Marke in Verkehr bringt oder in Betrieb nimmt.

Pflichten (Kurzform):

• Konformitätsbewertung vor Markteinführung
• Technische Dokumentation + QMS
• CE-Kennzeichnung + EU-Konformitätserklärung
• Registrierung in EU-Datenbank
• Post-Market-Monitoring
• Korrekturmaßnahmen und Meldepflichten

Deployer (Betreiber) — Art. 3 Nr. 4

Natürliche oder juristische Person, die ein KI-System in professioneller Eigenschaft einsetzt (nicht der Endverbraucher).

Pflichten (Kurzform):

• Bestimmungsgemäßer Einsatz gemäß Anbieteranweisungen
• Menschliche Aufsicht sicherstellen
• Input-Datenqualität gewährleisten
• Logs aufbewahren (mind. 6 Monate)
• Risiken und Incidents an Anbieter melden
• Arbeitnehmer über KI-Einsatz informieren (bei Hochrisiko)

Importeur — Art. 23

Bringt KI-Systeme von Drittstaaten-Anbietern im EU-Markt in Verkehr. Muss sicherstellen, dass der Anbieter die Konformitätsbewertung durchgeführt hat.

Distributor — Art. 24

Macht KI-Systeme auf dem EU-Markt verfügbar, ohne Provider oder Importeur zu sein. Sorgfaltspflichten hinsichtlich Konformität.

BAUER GROUP Rollenzuordnung

Bevollmächtigte Vertreter (Art. 22)

Drittstaaten-Provider müssen vor Markteinführung einen Bevollmächtigten in der EU benennen. Für die BAUER GROUP (Sitz in Deutschland) entfällt diese Pflicht bei Eigenentwicklungen.

Prinzip

Jedes KI-System der BAUER GROUP durchläuft vor EU-Markteinführung eine Aufwand-Nutzen-Bewertung. Der AI Act sieht zwar keine solche Bewertung vor, aber als Unternehmen entscheiden wir autonom, welche Produkte wir wo vertreiben.

Entscheidungsmatrix

┌─────────────────────────────────────────────┐
│ Enthält das Produkt eine KI-Komponente?     │
│                                             │
│   NEIN → AI Act nicht anwendbar → GO        │
│   JA   ↓                                   │
├─────────────────────────────────────────────┤
│ Fällt das System unter Art. 5 (verboten)?   │
│                                             │
│   JA   → Produkt nicht entwickeln → STOP    │
│   NEIN ↓                                   │
├─────────────────────────────────────────────┤
│ Risikoklassifizierung (Art. 6, Annex III)   │
│                                             │
│   MINIMAL → GO (keine Pflichten)            │
│   BEGRENZT → GO (nur Transparenzpflichten)  │
│   HOCH ↓                                   │
├─────────────────────────────────────────────┤
│ Aufwand-Nutzen-Bewertung Hochrisiko         │
│                                             │
│   Compliance-Aufwand ≤ 15% des              │
│   3J-Deckungsbeitrags → GO                  │
│                                             │
│   Compliance-Aufwand > 15% des              │
│   3J-Deckungsbeitrags → NO-GO EU            │
│   → Prüfung Drittmarkt-Vertrieb            │
└─────────────────────────────────────────────┘

Compliance-Aufwand Hochrisiko (geschätzt)

Bei einem internen Stundensatz von 120 EUR bedeutet das 32.160–64.320 EUR einmalig plus 12.480–24.960 EUR/Jahr — ohne externe Beratung, ohne Notified-Body-Kosten.

Schwellwert-Kalkulation

Beispiel: Produkt mit KI-Komponente, erwarteter 3-Jahres-Deckungsbeitrag 200.000 EUR.

• 15%-Schwelle: 30.000 EUR
• Geschätzter Compliance-Aufwand (Minimum): ~57.000 EUR (3 Jahre)
• Ergebnis: NO-GO EU — Vertrieb nur in Drittmärkten

Alternativen bei NO-GO EU

1. KI-Komponente entfernen — regelbasierte Alternative implementieren
2. Drittmarkt-Vertrieb — APAC, MENA, Lateinamerika
3. KI-Komponente als Optional Feature — EU-Version ohne KI, Vollversion für Drittmärkte
4. Warten auf Vereinfachung — Digital Omnibus / delegierte Rechtsakte abwarten

Dokumentationspflicht

Jede Go/No-Go-Entscheidung wird im Entscheidungsprotokoll-Template dokumentiert und archiviert.

Was ist ein KI-System?

Art. 3 Abs. 1 AI Act definiert ein KI-System als:

Ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie arbeiten kann und das nach dem Einsatz Anpassungsfähigkeit zeigen kann, und das für explizite oder implizite Ziele aus den empfangenen Eingaben ableitet, wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen erzeugt werden, die physische oder virtuelle Umgebungen beeinflussen können.

Abgrenzung: Was ist KEIN KI-System?

Folgende Software fällt nicht unter den AI Act:

• Regelbasierte Systeme ohne Lernkomponente (klassische If-Then-Logik)
• Einfache statistische Methoden (Regression, Mittelwertberechnung)
• Konventionelle Datenbanksysteme und Suchfunktionen
• Standard-Automatisierungssoftware (RPA ohne ML-Komponente)
• Rein mathematische Optimierungsalgorithmen

Räumlicher Geltungsbereich

Der AI Act gilt für:

Ausnahmen

Der AI Act gilt nicht für:

• KI-Systeme ausschließlich für militärische oder Verteidigungszwecke
• KI-Systeme für Forschung und Entwicklung (vor Markteinführung)
• Privatpersonen, die KI für rein persönliche, nicht-professionelle Aktivitäten nutzen
• KI-Systeme aus Drittstaaten, deren Output nicht in der EU genutzt wird
• Open-Source-KI unter bestimmten Bedingungen (Art. 2 Abs. 12) — außer bei Hochrisiko oder verbotenen Praktiken

BAUER GROUP Produkt-Screening

Für jedes BAUER GROUP Produkt ist zu prüfen:

1. Enthält das Produkt eine KI-Komponente? → Wenn nein: AI Act nicht anwendbar, Ende.
2. Wird das Produkt im EU-Markt angeboten? → Wenn nein: AI Act nicht anwendbar (außer Output-Nutzung in EU).
3. Welche Risikostufe? → Siehe Risikoklassifizierung.
4. Go/No-Go? → Siehe Entscheidungsrahmen.

Stufenweise Anwendbarkeit

Der AI Act wird schrittweise anwendbar. Für die BAUER GROUP sind folgende Fristen operativ relevant:

Operative Timeline BAUER GROUP

Bereits abgeschlossen (Q1 2025)

• AI Literacy: Grundlegende Schulung aller Mitarbeitenden mit KI-Kontakt
• Prüfung des Produktportfolios gegen den Verbotskatalog (Art. 5)
• Erstellung KI-System-Inventar (Entwurf)

Laufend (2025–2026)

• Risikoklassifizierung aller identifizierten KI-Systeme
• Go/No-Go-Bewertung für Hochrisiko-Kandidaten
• Aufbau Transparenz-Hinweise für begrenzte Risiko-Systeme
• Dokumentation dieser Compliance-Seite

Frist 02.08.2026

• Konformitätsbewertung für alle Hochrisiko-Systeme (sofern Go-Entscheidung)
• EU-Datenbank-Registrierung
• CE-Kennzeichnung
• QMS-Nachweis

Prüfung pro Verbotsgrund

1. Unterschwellige Manipulation

Verbot: KI-Systeme, die durch unterschwellige Techniken (nicht bewusst wahrnehmbar) oder absichtlich manipulative Techniken das Verhalten einer Person wesentlich beeinflussen, sodass diese Person oder eine andere Person Schaden erleidet.

BAUER GROUP Prüfung: Keine BAUER GROUP Produkte nutzen unterschwellige Beeinflussung. KI-Empfehlungssysteme (falls vorhanden) sind transparent und verfolgen keine manipulativen Ziele.

Status: ✅ Nicht betroffen

2. Ausnutzung von Schwächen

Verbot: KI-Systeme, die Schwächen aufgrund von Alter, Behinderung oder besonderer sozialer/wirtschaftlicher Situation gezielt ausnutzen.

BAUER GROUP Prüfung: B2B-Fokus. Keine Produkte, die vulnerable Gruppen adressieren.

Status: ✅ Nicht betroffen

3. Social Scoring

Verbot: Bewertung oder Klassifizierung natürlicher Personen aufgrund ihres Sozialverhaltens über einen Zeitraum, die zu ungerechtfertigter oder unverhältnismäßiger Behandlung führt.

BAUER GROUP Prüfung: Keine Scoring-Systeme für natürliche Personen.

Status: ✅ Nicht betroffen

4–8. Weitere Verbote

Status aller weiteren Verbotsgründe: ✅ Nicht betroffen — keine Produkte in den Bereichen Kriminalitätsprognose, Gesichtserkennung, Emotionserkennung am Arbeitsplatz, biometrische Kategorisierung oder Echtzeit-Fernidentifikation.

Überblick

Seit 2. Februar 2025 sind bestimmte KI-Praktiken in der EU verboten. Verstöße werden mit Geldbußen bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet (je nachdem, welcher Betrag höher ist).

Verbotskatalog

Art. 5 verbietet KI-Systeme, die:

1. Unterschwellige Manipulation einsetzen, um das Verhalten von Personen wesentlich zu beeinflussen und ihnen Schaden zuzufügen
2. Schwächen ausnutzen — aufgrund von Alter, Behinderung oder sozialer/wirtschaftlicher Lage
3. Social Scoring durchführen — Bewertung natürlicher Personen aufgrund ihres Sozialverhaltens, die zu ungerechtfertigter Benachteiligung führt
4. Kriminalitätsprognosen allein auf Basis von Profiling erstellen (ohne konkrete Verdachtsmomente)
5. Gesichtserkennungsdatenbanken durch ungezieltes Scraping aus dem Internet oder Überwachungskameras aufbauen
6. Emotionserkennung am Arbeitsplatz oder in Bildungseinrichtungen einsetzen (Ausnahmen: medizinische/sicherheitsrelevante Zwecke)
7. Biometrische Kategorisierung nach sensiblen Merkmalen (Rasse, politische Meinung, Gewerkschaftszugehörigkeit, sexuelle Orientierung, Religion) durchführen
8. Echtzeit-Fernidentifikation in öffentlich zugänglichen Räumen für Strafverfolgungszwecke nutzen (enge Ausnahmen: vermisste Personen, Terrorabwehr, schwere Straftaten)

BAUER GROUP Relevanz

Dieses Ergebnis wird jährlich und bei jeder neuen Produktentwicklung mit KI-Komponente überprüft.

Vorgehen

Bei jeder neuen Produktentwicklung oder wesentlichen Änderung eines bestehenden Produkts mit KI-Komponente ist folgende Prüfung durchzuführen:

Schritt 1: Art. 5 Schnellprüfung

Für jeden der acht Verbotsgründe: Kann das Produkt bei bestimmungsgemäßem Einsatz ODER bei vorhersehbarem Missbrauch unter diesen Verbotsgrund fallen?

Schritt 2: Ergebnis

• Alle "Nein": Produkt nicht von Verboten betroffen → weiter mit Risikoklassifizierung
• Mindestens ein "Ja": Produktentwicklung stoppen oder KI-Komponente so modifizieren, dass der Verbotsgrund entfällt

Schritt 3: Dokumentation

Prüfergebnis archivieren mit Datum, Verantwortlichem und Produktkennung.

Überblick

Annex I listet die EU-Harmonisierungsrechtsakte, bei denen KI-Systeme als Sicherheitskomponenten des regulierten Produkts gelten können (Art. 6 Abs. 1).

Sektion A – Relevante Rechtsakte (Auswahl)

Sektion B – Weitere Rechtsakte

Sektion B umfasst zusätzliche Rechtsakte (Zivilluftfahrt, Fahrzeugsicherheit, etc.), bei denen die Hochrisiko-Einstufung erst ab 2. August 2027 greift.

BAUER GROUP Bewertung

Für die BAUER GROUP sind aus Annex I primär relevant:

1. Maschinenverordnung — nur wenn BAUER GROUP autonome Robotik-Systeme mit KI-Steuerung unter eigenem Namen vertreibt
2. Funkanlagen-RL — nur wenn IoT-Geräte (ESP32 etc.) eine KI-Entscheidungskomponente enthalten, die sicherheitsrelevant ist

Die acht Hochrisiko-Bereiche

Annex III definiert acht Bereiche, in denen KI-Systeme als hochriskant gelten:

1. Biometrie (soweit national zulässig)

• Fernidentifikationssysteme
• Biometrische Kategorisierung nach sensiblen Merkmalen
• Emotionserkennung

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

2. Kritische Infrastruktur

KI als Sicherheitskomponente in Verwaltung und Betrieb von kritischer digitaler Infrastruktur, Straßenverkehr, Wasser-, Gas-, Heizungs- oder Stromversorgung.

BAUER GROUP Relevanz: ⚠️ Prüfen — SCADA/Infrastruktur-Monitoring für Versorger

3. Allgemeine und berufliche Bildung

KI zur Bestimmung des Zugangs zu Bildungseinrichtungen, Bewertung von Lernergebnissen, Überwachung von Prüfungen.

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

4. Beschäftigung, Personalmanagement, Zugang zu selbständiger Tätigkeit

• KI zur Einstellung und Personalauswahl (Nr. 4a)
• Entscheidungen über Beförderung, Kündigung, Aufgabenzuweisung
• Leistungsbewertung und Verhaltensüberwachung

BAUER GROUP Relevanz: ⚠️ Falls KI-gestützte HR-Tools entwickelt oder eingesetzt werden

5. Zugang zu wesentlichen privaten und öffentlichen Dienstleistungen

• Kreditwürdigkeitsprüfung
• Risikobewertung bei Lebens-/Krankenversicherung
• Bewertung von Notrufen und Triage-Systeme

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

6. Strafverfolgung

Polygraph-Äquivalente, Beweisbewertung, Risikoeinschätzung, Profiling.

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

7. Migration, Asyl, Grenzkontrollen

Risikobewertung, Asylprüfung, Dokumentenprüfung.

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

8. Rechtspflege und demokratische Prozesse

KI in Justiz und Wahlprozessen.

BAUER GROUP Relevanz: ❌ Kein Geschäftsfeld

Zusammenfassung BAUER GROUP

Von den acht Annex-III-Kategorien sind für die BAUER GROUP maximal zwei potenziell relevant:

1. Nr. 2 (Kritische Infrastruktur) — nur wenn KI-Systeme als Sicherheitskomponenten in der Steuerung kritischer Infrastruktur eingesetzt werden
2. Nr. 4 (Beschäftigung) — nur wenn KI-gestützte HR-Systeme entwickelt oder unter eigenem Namen vertrieben werden

Alle anderen Kategorien sind für das BAUER GROUP Geschäftsmodell nicht relevant.

Entscheidungsbaum

Für jedes identifizierte KI-System der BAUER GROUP:

1. Ist es ein KI-System gem. Art. 3 Nr. 1?
   │
   ├─ NEIN → AI Act nicht anwendbar → ENDE
   │
   └─ JA ↓

2. Fällt es unter Art. 5 (verbotene Praktiken)?
   │
   ├─ JA → VERBOTEN → Entwicklung einstellen
   │
   └─ NEIN ↓

3. Ist es Sicherheitskomponente eines Annex-I-Produkts
   UND bedarf einer Drittstellen-Konformitätsbewertung?
   │
   ├─ JA → HOCHRISIKO (Art. 6 Abs. 1) → Go/No-Go
   │
   └─ NEIN ↓

4. Fällt es unter eine Annex-III-Kategorie?
   │
   ├─ NEIN → Prüfe Art. 50 (Transparenzpflichten)
   │         │
   │         ├─ JA → BEGRENZTES RISIKO
   │         └─ NEIN → MINIMALES RISIKO → ENDE
   │
   └─ JA ↓

5. Führt es Profiling natürlicher Personen durch?
   │
   ├─ JA → HOCHRISIKO (immer) → Go/No-Go
   │
   └─ NEIN ↓

6. Greift die Ausnahme Art. 6 Abs. 3?
   (enger Aufgabenbereich, keine wesentliche
    Beeinflussung menschlicher Entscheidungen)
   │
   ├─ JA → NICHT-HOCHRISIKO
   │        → Dokumentation der Bewertung (Art. 6 Abs. 4)
   │        → Registrierung (Art. 49 Abs. 2)
   │
   └─ NEIN → HOCHRISIKO → Go/No-Go

Praxisbeispiele BAUER GROUP

Dokumentation

Jede Klassifizierungsentscheidung wird im Risikoklassifizierungs-Formular festgehalten.

Vier Risikostufen des AI Act

Der AI Act verfolgt einen risikobasierten Ansatz. Die Pflichten skalieren mit dem Risiko:

Hochrisiko-Klassifizierung (Art. 6)

Ein KI-System ist hochriskant, wenn:

Weg 1 – Art. 6 Abs. 1 (Produktsicherheit): Das System ist eine Sicherheitskomponente eines Produkts, das unter EU-Harmonisierungsrecht (Annex I Sektion A) fällt UND einer Drittstellenbewertung bedarf.

Weg 2 – Art. 6 Abs. 2 (Annex III): Das System fällt unter eine der acht Hochrisiko-Kategorien des Annex III.

Ausnahme (Art. 6 Abs. 3)

Ein Annex-III-System ist nicht hochriskant, wenn es:

• Keine profilbildende Funktion für natürliche Personen hat, UND
• Einen engen prozeduralen Aufgabenbereich hat (Vorbereitung, nicht Entscheidung), UND
• Die menschliche Entscheidung nicht wesentlich beeinflusst oder ersetzt

Klassifizierungspflicht

Provider die ein Annex-III-System als nicht-hochriskant einstufen, müssen diese Bewertung vor Markteinführung dokumentieren (Art. 6 Abs. 4) und in der EU-Datenbank registrieren (Art. 49 Abs. 2).

Siehe: Nicht-Hochrisiko-Assessment Template

Art. 6 Abs. 4 – Dokumentationspflicht

Ein Provider, der ein Annex-III-System als nicht hochriskant einstuft, muss diese Einschätzung vor Markteinführung dokumentieren und auf Anfrage der zuständigen Behörde vorlegen.

Voraussetzungen für Nicht-Hochrisiko-Einstufung

Alle drei Bedingungen müssen kumulativ erfüllt sein (Art. 6 Abs. 3):

1. Das KI-System führt kein Profiling natürlicher Personen durch
2. Das KI-System trifft keine eigenständigen Entscheidungen, die Grundrechte wesentlich beeinflussen
3. Das KI-System hat einen engen, vorbereitenden Aufgabenbereich (Vorbereitung auf menschliche Entscheidung, nicht Ersatz)

Dokumentationsinhalt

Das Nicht-Hochrisiko-Assessment muss mindestens enthalten:

• Eindeutige Identifikation des KI-Systems
• Zuordnung zur Annex-III-Kategorie
• Beschreibung des bestimmungsgemäßen Zwecks
• Begründung, warum keine der drei Bedingungen verletzt ist
• Datum und verantwortliche Person
• Versionierung bei Änderungen

Siehe: Nicht-Hochrisiko-Assessment Template

Registrierungspflicht

Auch bei Nicht-Hochrisiko-Einstufung besteht eine Registrierungspflicht in der EU-Datenbank (Art. 49 Abs. 2).

Anleitung

Dieses Inventar ist für jedes KI-System der BAUER GROUP auszufüllen. Es dient als Basis für die Risikoklassifizierung und Go/No-Go-Entscheidung.

Inventar-Vorlage

## KI-System-Eintrag

| Feld | Wert |
|---|---|
| **System-ID** | AI-BGI-XXXX |
| **Name** | [Produktname] |
| **Version** | [Version] |
| **Beschreibung** | [Kurzbeschreibung der KI-Funktionalität] |
| **KI-Technologie** | [ML / DL / LLM / RL / Andere] |
| **Dritt-KI-Modell** | [Ja/Nein — wenn ja, welches: z.B. Claude API, GPT-4] |
| **Rolle BAUER GROUP** | [Provider / Deployer / Distributor] |
| **Zielmarkt** | [EU / Drittmarkt / Beide] |
| **Risikostufe** | [Verboten / Hoch / Begrenzt / Minimal / Nicht klassifiziert] |
| **Art. 5 Prüfung** | [Bestanden / Nicht bestanden / Ausstehend] |
| **Annex III Kategorie** | [Nr. X / Keine / Prüfung erforderlich] |
| **Go/No-Go EU** | [Go / No-Go / Offen] |
| **Compliance-Frist** | [Datum] |
| **Verantwortlich** | [Name] |
| **Letzte Prüfung** | [Datum] |
| **Nächste Prüfung** | [Datum] |
| **Anmerkungen** | [Freitext] |

Hinweise

• Jedes System erhält eine eindeutige ID (Format: AI-BGI-XXXX)
• Das Inventar wird mindestens jährlich aktualisiert
• Bei neuen KI-Produkten: Eintrag vor Entwicklungsbeginn anlegen
• Dieses Inventar ist ein internes Dokument und wird nicht veröffentlicht

EU-KONFORMITÄTSERKLÄRUNG

Nr. [DoC-YYYY-NNN]

Verordnung (EU) 2024/1689 — Artificial Intelligence Act

1. KI-System:

2. Name und Anschrift des Providers und gegebenenfalls seines Bevollmächtigten:

3. Diese Konformitätserklärung wird in alleiniger Verantwortung des Providers ausgestellt.

4. Risikoklassifizierung:

5. Das oben beschriebene KI-System erfüllt die Anforderungen der Verordnung (EU) 2024/1689:

6. Verweis auf angewandte harmonisierte Normen / technische Spezifikationen:

7. Mitgliedstaaten, in denen das KI-System in Verkehr gebracht oder in Betrieb genommen wurde:

[Auflistung der Mitgliedstaaten oder „EU-weit"]

8. Konformitätsbewertungsverfahren:

9. Transparenz und Registrierung:

10. Support-Zeitraum:

Unterzeichnet für und im Namen von:

[provider.name]

Diese Erklärung wird 10 Jahre nach Markteinführung des KI-Systems aufbewahrt (Art. 47 Abs. 2).

Praxiserprobte Templates für die AI-Act-Compliance der BAUER GROUP. Alle Vorlagen sind als Ausgangspunkt konzipiert und sollten an den konkreten Anwendungsfall angepasst werden.

Dieses Formular dokumentiert die Bewertung eines Annex-III-Systems als nicht hochriskant gemäß Art. 6 Abs. 3–4.

System-Identifikation

Prüfung der Ausnahmekriterien (Art. 6 Abs. 3)

Kriterium 1: Kein Profiling

Führt das System Profiling natürlicher Personen durch (automatisierte Verarbeitung personenbezogener Daten zur Bewertung persönlicher Aspekte)?

• [ ] Nein — Kriterium erfüllt
• [ ] Ja — Ausnahme greift NICHT → System ist HOCHRISIKO

Begründung: ___

Kriterium 2: Keine eigenständige Entscheidung

Trifft das System eigenständige Entscheidungen, die Grundrechte wesentlich beeinflussen?

• [ ] Nein — Kriterium erfüllt
• [ ] Ja — Ausnahme greift NICHT → System ist HOCHRISIKO

Begründung: ___

Kriterium 3: Enger, vorbereitender Aufgabenbereich

Hat das System einen engen, vorbereitenden Aufgabenbereich (Vorbereitung auf menschliche Entscheidung, nicht Ersatz)?

• [ ] Ja — Kriterium erfüllt
• [ ] Nein — Ausnahme greift NICHT → System ist HOCHRISIKO

Begründung: ___

Ergebnis

• [ ] Alle drei Kriterien erfüllt → NICHT-HOCHRISIKO → Registrierung gem. Art. 49 Abs. 2 erforderlich
• [ ] Mindestens ein Kriterium nicht erfüllt → HOCHRISIKO → Go/No-Go-Bewertung

Unterschrift

KI-System-Identifikation

Schritt 1: KI-System-Definition

Ist das System ein KI-System gem. Art. 3 Nr. 1?

• [ ] Ja → Weiter mit Schritt 2
• [ ] Nein → AI Act nicht anwendbar → ENDE

Begründung: ___

Schritt 2: Verbotsprüfung (Art. 5)

Fällt das System unter einen der acht Verbotsgründe?

• [ ] Nein → Weiter mit Schritt 3
• [ ] Ja → VERBOTEN — Entwicklung einstellen

Schritt 3: Hochrisiko-Prüfung (Art. 6)

3a: Annex I (Produktsicherheit)

Ist das System Sicherheitskomponente eines Annex-I-Produkts?

• [ ] Nein → Weiter mit 3b
• [ ] Ja → HOCHRISIKO → Weiter mit Schritt 4

3b: Annex III (Kategorien)

Fällt das System unter eine Annex-III-Kategorie?

• [ ] Nein → Weiter mit Schritt 3c
• [ ] Ja, Kategorie Nr.: ___ → Weiter mit 3d

3c: Transparenzpflichten (Art. 50)

Interagiert das System direkt mit natürlichen Personen oder erzeugt synthetische Inhalte?

• [ ] Nein → MINIMALES RISIKO → ENDE
• [ ] Ja → BEGRENZTES RISIKO → ENDE

3d: Profiling-Prüfung

Führt das System Profiling natürlicher Personen durch?

• [ ] Ja → HOCHRISIKO (immer) → Weiter mit Schritt 4
• [ ] Nein → Weiter mit 3e

3e: Ausnahme Art. 6 Abs. 3

Erfüllt das System ALLE drei Ausnahmekriterien?

• [ ] Ja → NICHT-HOCHRISIKO → Dokumentation + Registrierung → ENDE
• [ ] Nein → HOCHRISIKO → Weiter mit Schritt 4

Schritt 4: Go/No-Go (nur bei Hochrisiko)

Entscheidung: [ ] GO EU / [ ] NO-GO EU / [ ] Zurückgestellt

Unterschrift

Hinweis für KI-gestützte Interaktionen (Art. 50 Abs. 1)

Folgender Hinweis ist in allen BAUER GROUP Produkten zu verwenden, die eine direkte KI-Interaktion mit natürlichen Personen ermöglichen:

Variante 1: Chatbot / Konversations-KI

🤖 KI-Assistent
Sie kommunizieren mit einem KI-gestützten Assistenten der BAUER GROUP.
Die Antworten werden automatisch generiert und können Fehler enthalten.
Bei wichtigen Entscheidungen konsultieren Sie bitte einen menschlichen Ansprechpartner.

Variante 2: Kompakt (für eingeschränkten Platzraum)

Dieser Assistent wird durch Künstliche Intelligenz unterstützt.

Variante 3: KI-generierte Inhalte (Art. 50 Abs. 2)

Dieser Inhalt wurde mit Unterstützung von Künstlicher Intelligenz erstellt.

Technische Umsetzung

• Chatbots: Hinweis im Chat-Header oder als erste Nachricht
• Web-Applikationen: Info-Badge oder Tooltip neben KI-gestützten Funktionen
• API-Dokumentation: Hinweis in der API-Beschreibung
• E-Mail/Dokumente: Footer-Hinweis bei KI-generierten Inhalten

Maschinenlesbare Kennzeichnung

Für synthetische Inhalte (Art. 50 Abs. 2) zusätzlich:

<meta name="ai-generated" content="true">
<meta name="ai-provider" content="BAUER GROUP">
<meta name="ai-model" content="[Modellbezeichnung]">

Anforderung

Wenn ein BAUER GROUP Produkt eine direkte Interaktion zwischen KI-System und natürlicher Person ermöglicht (z.B. Chatbot, Sprachassistent), muss die Person informiert werden.

Umsetzung

Chatbots und Konversations-KI

Vor oder zu Beginn der Interaktion ist ein deutlicher Hinweis zu platzieren:

🤖 Sie kommunizieren mit einem KI-Assistenten.
Die Antworten werden automatisch generiert
und können Fehler enthalten.

API-basierte KI-Dienste (B2B)

Bei B2B-Produkten, die KI-Funktionen über APIs bereitstellen, wird der Hinweis in der technischen Dokumentation und den Nutzungsbedingungen verankert.

Ausnahme: Offensichtlichkeit

Wenn aus dem Kontext offensichtlich ist, dass eine KI-Interaktion stattfindet (z.B. der Dienst heißt „BAUER GROUP AI Assistant"), kann der explizite Hinweis entfallen. Empfehlung: dennoch kennzeichnen.

Template

Siehe: Transparenz-Hinweis Template

Anforderung

Provider von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen sicherstellen, dass die Outputs in einem maschinenlesbaren Format als KI-generiert gekennzeichnet werden (Art. 50 Abs. 2).

Deployer, die Deepfakes veröffentlichen, müssen dies klar und sichtbar offenlegen (Art. 50 Abs. 4).

BAUER GROUP Relevanz

Die BAUER GROUP erzeugt oder verbreitet keine Deepfakes. Folgende Szenarien sind jedoch zu beachten:

Technische Umsetzung

Für maschinenlesbare Kennzeichnung synthetischer Inhalte kommen in Betracht:

• C2PA-Standard (Coalition for Content Provenance and Authenticity) für Bilder/Video
• IPTC-Metadaten für Bilder
• Custom HTTP-Header oder Meta-Tags für Web-Inhalte

Die konkrete technische Umsetzung wird bei Bedarf spezifiziert, wenn BAUER GROUP Produkte synthetische Inhalte für externe Veröffentlichung erzeugen.

Überblick

Art. 50 verpflichtet Provider und Deployer bestimmter KI-Systeme zu Transparenzmaßnahmen. Diese Pflichten gelten ab 2. August 2026 und betreffen KI-Systeme mit begrenztem Risiko.

Pflichten

1. KI-Interaktion offenlegen (Art. 50 Abs. 1)

Provider von KI-Systemen, die mit natürlichen Personen direkt interagieren (Chatbots, Sprachassistenten), müssen sicherstellen, dass die Personen darüber informiert werden, dass sie mit einer KI interagieren.

Ausnahme: Wenn dies aus den Umständen offensichtlich ist.

2. Synthetische Inhalte kennzeichnen (Art. 50 Abs. 2)

Provider von KI-Systemen, die synthetische Audio-, Bild-, Video- oder Textinhalte erzeugen, müssen die Outputs in einem maschinenlesbaren Format als KI-generiert kennzeichnen.

3. Deepfake-Offenlegung (Art. 50 Abs. 4)

Deployer die Deepfakes veröffentlichen, müssen offenlegen, dass der Inhalt KI-generiert oder -manipuliert ist.

4. Emotionserkennung/Biometrische Kategorisierung (Art. 50 Abs. 3)

Deployer müssen betroffene Personen informieren und DSGVO-Pflichten einhalten.

BAUER GROUP Umsetzung

Zusammenfassung aller Kennzeichnungspflichten

Nicht kennzeichnungspflichtig

• KI-Systeme mit minimalem Risiko (Spam-Filter, Empfehlungsalgorithmen, etc.)
• Interne KI-Tools, die keine Inhalte extern veröffentlichen
• KI-unterstützter Code (keine „synthetischen Inhalte" im regulatorischen Sinne)

Schulungsteilnahme-Bestätigung

Schulungsinhalte

Basis-Schulung (alle Mitarbeitende)

• [ ] Was ist Künstliche Intelligenz? (Grundbegriffe)
• [ ] Was kann KI — was kann KI nicht? (Grenzen und Risiken)
• [ ] EU AI Act — Kurzüberblick
• [ ] Verantwortungsvoller KI-Einsatz (Automation Bias, Halluzinationen, Datenschutz)
• [ ] BAUER GROUP Richtlinien zum KI-Einsatz

Entwickler-Schulung (zusätzlich)

• [ ] AI Act Risikoklassifizierung
• [ ] Technische Anforderungen Art. 8–15
• [ ] KI-spezifische Sicherheitsrisiken (Adversarial ML, Prompt Injection)
• [ ] Integration in CI/CD-Prozesse

Produktverantwortliche (zusätzlich)

• [ ] Vollständiger AI Act Pflichtenkatalog
• [ ] Go/No-Go-Entscheidungsprozess
• [ ] Konformitätsbewertung und Dokumentation
• [ ] Sanktionsregime und Haftung

Bestätigung

Ich bestätige die Teilnahme an der oben genannten Schulung und habe die Inhalte zur Kenntnis genommen.

KI-System-Identifikation

Wirtschaftliche Bewertung

Compliance-Aufwand (geschätzt)

CRA-Synergien

• [ ] Produkt ist bereits CRA-konform → Aufwandsreduktion ~55%
• [ ] Produkt hat kein CRA-Compliance → Voller Aufwand

Bewertung

Entscheidung

• [ ] GO EU — Compliance-Umsetzung starten
• [ ] NO-GO EU — Kein EU-Vertrieb
• [ ] NO-GO EU + Drittmarkt — Vertrieb nur in Drittmärkten
• [ ] NO-GO EU + KI-Entfernung — EU-Version ohne KI-Komponente
• [ ] Zurückgestellt — Warten auf Digital Omnibus / Vereinfachung

Begründung

[Freitext]

Genehmigung