Brasiliens neues KI-Rahmengesetz: Was das erste umfassende KI-Regime Lateinamerikas für Unternehmen bedeutet

Kontext: Vom Entwurf zum verbindlichen KI-Rahmen

Mit der Verabschiedung des brasilianischen KI-Rahmengesetzes durch den Senat ist Brasilien das erste Land in Lateinamerika mit einem umfassenden, horizontalen Rechtsrahmen für Künstliche Intelligenz. Ausgangspunkt ist das Gesetzesprojekt PL 2338/2023 (häufig als „Brazil AI Act“ oder „Marco Legal da IA“ bezeichnet), das bereits im Dezember 2024 den Senat passiert hatte und nun in einer überarbeiteten Fassung als kohärenter Governance‑Rahmen für KI über alle Sektoren hinweg ausgestaltet wird.

Im Unterschied zu bisherigen punktuellen Vorgaben (z. B. Datenschutz nach LGPD oder sektorspezifische Aufsicht in Finanzen und Gesundheit) bündelt der neue Rahmen grundlegende Definitionen, Risikokategorien, Pflichten der Akteure und Durchsetzungsstrukturen in einem Gesetzespaket. Damit positioniert sich Brasilien im gleichen Regulierungssegment wie die EU (EU AI Act) und Südkorea (AI Basic Act) – jedoch mit eigenem Akzent für einen großen Schwellenmarkt.

Zentrale Elemente des brasilianischen KI-Rahmens

Horizontale Struktur und Risikobasierung

Der brasilianische Rahmen ist horizontal angelegt: Er gilt sektorübergreifend für öffentliche und private Akteure, die KI‑Systeme entwickeln, vertreiben oder einsetzen. Kern ist ein risikobasierter Ansatz, der KI‑Anwendungen in verschiedene Risikoklassen einteilt:

• Nicht- oder Niedrigrisiko-KI: weitgehend nur allgemeine Transparenz- und Informationspflichten.

• Hochrisiko-KI: strenge Anforderungen an Governance, Datenqualität, Dokumentation, Monitoring und menschliche Aufsicht.

• Verbotene Praktiken: bestimmte KI‑Einsatzformen (z. B. manipulative Systeme oder diskriminierende Sozialbewertung) sollen grundsätzlich untersagt oder nur unter engen Voraussetzungen zulässig sein.

Für Unternehmen entscheidend ist, dass nicht nur Entwickler, sondern ausdrücklich auch Betreiber („deployers“) in der Lieferkette adressiert werden.

Governance, Transparenz und Dokumentation

Für Hochrisiko‑Systeme führt das Gesetz u. a. folgende Pflichten ein:

• Risikomanagementsystem über den gesamten Lebenszyklus des KI‑Systems

• Technische Dokumentation und Protokollierung von Trainingsdaten, Modellversionen, Parametern und Änderungen

• Ausführliche Nutzerinformationen, einschließlich Zweck, Funktionsweise in Grundzügen und bekannten Einschränkungen

• Transparenzpflichten bei KI‑generierten Inhalten (Labeling‑Pflichten, insbesondere bei synthetischen Medien)

• Mechanismen zur menschlichen Aufsicht und Eingriffsmöglichkeiten bei Fehlverhalten

Für generative KI und Foundation Models sind zusätzliche Offenlegungspflichten zu Trainingsdatenquellen, Benchmarks und Evaluierungsergebnissen zu erwarten, um Sicherheits- und Bias‑Risiken nachvollziehbar zu machen.

Aufsicht, Sanktionen und Haftung

Der Rahmen sieht die Stärkung und Teilzuständigkeit bestehender Behörden (insbesondere der Datenschutzbehörde ANPD) sowie die Einrichtung spezialisierter Aufsichts- und Koordinierungseinheiten für KI vor. Unternehmen müssen mit:

• Verwaltungsbußgeldern, die sich an Umsatz und Schwere des Verstoßes orientieren,

• Anordnungen zur Suspendierung oder Abschaltung bestimmter Systeme,

• sowie erweiterter zivilrechtlicher Haftung bei nachweisbarem Schaden durch fehlerhafte oder diskriminierende KI rechnen.

Für Hochrisiko‑Systeme im Gesundheitswesen, in der Finanzaufsicht oder in öffentlichen Diensten wird ein deutlich niedrigeres Toleranzniveau für Fehlentscheidungen etabliert.

Relevanz für internationale Unternehmen (EU/USA)

1. Extraterritoriale Reichweite und Datenflüsse

Der brasilianische Rahmen ist an Wirkung extraterritorial ausgerichtet: Erfasst werden auch Anbieter und Betreiber mit Sitz im Ausland, sofern ihre KI‑Systeme auf dem brasilianischen Markt angeboten, aus Brasilien heraus genutzt oder mit Daten brasilianischer Personen trainiert werden.

Für europäische und US‑Unternehmen bedeutet dies, dass Niederlassungen, lokale Plattformangebote, Cloud‑Betrieb und Near‑/Offshoring‑Konstellationen in Brasilien unter die neuen Anforderungen fallen können – selbst wenn die Modellentwicklung in anderen Rechtsräumen stattfindet.

2. Parallel-Compliance mit EU AI Act und brasilianischem Recht

Viele Unternehmen arbeiten bereits an Programmen zur Umsetzung des EU AI Act. Der brasilianische Rahmen zeigt deutliche Parallelen (Risikoklassen, Hochrisiko‑Pflichten, verbotene Praktiken), setzt aber teils andere Schwerpunkte, etwa bei:

• Definition und Einstufung bestimmter Hochrisiko‑Anwendungen (z. B. im Kontext biometrischer Systeme im öffentlichen Raum),

• Anforderungen an Transparenz gegenüber Endnutzern,

• sowie Rolle lokaler Behörden und Gerichte bei der Rechtsdurchsetzung.

In der Praxis wird sich eine „Multi‑Regime‑Compliance“ etablieren müssen, in der EU‑, brasilianische und ggf. US‑Vorgaben über einheitliche Policies und modulare Controls umgesetzt werden.

Konkrete Auswirkungen nach Branchen

Finanzdienstleister und FinTechs

Banken, Versicherer, Zahlungsdienstleister und FinTech‑Plattformen nutzen KI u. a. für Kredit-Scoring, Betrugsprävention, algorithmischen Handel und Kundeninteraktion.

• Viele dieser Systeme werden als Hochrisiko eingestuft.

• Es sind erweiterte Audit‑Trails, Bias‑Analysen und Erklärbarkeitskonzepte nötig, um Diskriminierung (z. B. nach Hautfarbe, Geschlecht, Region) nachweisbar zu vermeiden.

• Modelle von Drittanbietern müssen über angepasste Vendor‑Verträge (Datenzugriff, Modelländerungen, Audit‑Rechte) in die Compliance‑Architektur eingebunden werden.

Gesundheitswesen und MedTech

In der Diagnostik, Bilderkennung, Triage oder Entscheidungsunterstützung für Behandlungspläne wird KI als Hochrisiko adressiert:

• Kliniken und Telemedizin‑Plattformen müssen klinische Validierung, Monitoring und menschliche Letztentscheidung systematisch nachweisen.

• Hersteller von KI‑gestützten Medizinprodukten sehen sich einer doppelten Regulierung durch Gesundheits- und KI‑Recht ausgesetzt.

Plattformen, Consumer‑Apps und generative Dienste

Plattformen, die Chatbots, Empfehlungssysteme oder generative KI für Endnutzer bereitstellen, treffen u. a.:

• Pflichten zur Kennzeichnung KI‑erzeugter Inhalte (Texte, Bilder, Audio, Video),

• Regeln zur Vermeidung manipulativer Designs (Dark Patterns) bei personalisierten Empfehlungen,

• Anforderungen an nutzerfreundliche Beschwerde- und Opt‑out‑Mechanismen.

Ein Beispiel: Ein globaler E‑Commerce‑Marktplatz mit brasilianischer Domain, der generative Produktbeschreibungen oder Bilder nutzt, muss brasilianische Nutzer darüber informieren, dass Inhalte KI‑basiert sind, und sicherstellen, dass keine irreführenden oder diskriminierenden Darstellungen erzeugt werden.

Öffentlicher Sektor und Smart Cities

Brasilien investiert stark in digitale Verwaltung und städtische KI‑Infrastrukturen. Der neue Rahmen legt fest:

• höhere Anforderungen an Transparenz öffentlich eingesetzter KI,

• Pflicht zu Folgenabschätzungen bei sensiblen Anwendungen (z. B. sozialstaatliche Leistungen, Überwachung, Predictive Policing),

• sowie Mechanismen für Bürgerrechte und Rechtsbehelfe bei fehlerhaften oder unfairen automatisierten Entscheidungen.

Was Unternehmen jetzt konkret tun sollten

1. Bestandsaufnahme und Risikoklassifizierung

Unternehmen sollten zeitnah:

• alle in Brasilien eingesetzten oder von dort aus genutzten KI‑Systeme inventarisieren,

• diese anhand der brasilianischen Risikokategorien einstufen,

• und kritische Hochrisiko‑Systeme priorisieren.

2. Governance‑Struktur anpassen

Sinnvoll ist die Einrichtung oder Stärkung eines unternehmensweiten AI‑Governance‑Boards, das:

• globale Richtlinien definiert,

• lokale Rechtsanforderungen (EU, Brasilien, weitere Jurisdiktionen) harmonisiert,

• und einheitliche KPIs für Risiko, Performance und Compliance vorgibt.

In Brasilien selbst sollten lokale Verantwortliche („AI Leads“) und Compliance‑Funktionen benannt werden, die als Ansprechstellen für Aufsichtsbehörden fungieren.

3. Verträge und Lieferketten überprüfen

• Cloud‑, SaaS‑ und Modell‑Provider sind auf ihre Fähigkeit zu prüfen, notwendige Informationen (Trainingsdatenquellen, Model Cards, Evaluierungen) bereitzustellen.

• Neue Vertragsklauseln zu KI‑Compliance, Audit‑Rechten, Incident‑Meldung und Haftung werden unvermeidlich.

4. Technische und organisatorische Controls etablieren

Unternehmen sollten technische Maßnahmen wie:

• Logging und Versionierung von Modellen,

• Monitoring von Output‑Drift und Fehlerraten,

• automatische Flags für sensible Entscheidungen,

• sowie Tools zur Bias‑Analyse und Robustheitstests implementieren.

Organisatorisch sind Schulungen, Leitlinien und klare Eskalationspfade für Vorfälle mit KI‑Bezug erforderlich.

Strategische Bedeutung: Brasilien als Regelsetzer im Globalen Süden

Brasilien zeigt mit diesem Schritt, dass große Schwellenländer im Bereich KI‑Regulierung nicht mehr nur Nachzügler sind, sondern aktive Regelsetzer. Für global agierende Unternehmen bedeutet dies:

• KI‑Rollouts lassen sich nicht mehr allein an EU‑ oder US‑Recht ausrichten.

• Lateinamerika wird – mit Brasilien an der Spitze – zu einem eigenständigen Regulierungsraum für KI, dessen Standards Ausstrahlungswirkung auf Nachbarstaaten haben können.

• Wer frühzeitig in robuste, international anschlussfähige AI‑Governance investiert, reduziert langfristig Fragmentierungskosten und regulatorische Risiken.

Unternehmen, die Brasilien als Wachstumsmarkt oder Nearshoring‑Standort nutzen, sollten das neue KI‑Rahmengesetz daher nicht nur als Compliance‑Pflicht begreifen, sondern als Anlass, ihre globale KI‑Strategie und Governance‑Architektur grundlegend zu professionalisieren.

Häufig gestellte Fragen (FAQ)

Was regelt das neue brasilianische KI-Rahmengesetz konkret?

Das brasilianische KI-Rahmengesetz (PL 2338/2023, häufig „Brazil AI Act“ genannt) schafft einen horizontalen, sektorenübergreifenden Rechtsrahmen für den Einsatz Künstlicher Intelligenz. Es definiert Risikoklassen, legt Pflichten für Entwickler und Betreiber von KI-Systemen fest und regelt Governance, Transparenz, Haftung sowie Aufsicht durch Behörden.

Wie funktioniert der risikobasierte Ansatz im brasilianischen KI-Regime?

Das Gesetz stuft KI-Systeme in Nicht- bzw. Niedrigrisiko-, Hochrisiko- und verbotene Anwendungen ein. Für Hochrisiko-KI gelten besonders strenge Anforderungen an Risikomanagement, Datenqualität, Dokumentation, Monitoring und menschliche Aufsicht, während für niedrigere Risikoklassen vor allem Transparenz- und Informationspflichten greifen.

Welche Auswirkungen hat das brasilianische KI-Gesetz auf internationale Unternehmen aus EU und USA?

Aufgrund seiner extraterritorialen Ausrichtung erfasst das Gesetz auch ausländische Anbieter, deren KI-Systeme auf dem brasilianischen Markt angeboten, von dort genutzt oder mit Daten brasilianischer Personen trainiert werden. Unternehmen aus EU und USA müssen daher ihre Compliance-Programme, Verträge, Modell-Governance und Auditprozesse an die brasilianischen Vorgaben anpassen und parallel zum EU AI Act denken.

Worin unterscheidet sich der brasilianische KI-Rahmen vom EU AI Act?

Beide Regime folgen einem risikobasierten Ansatz mit Hochrisiko-Klassen und verbotenen Praktiken, setzen aber unterschiedliche Akzente. Brasilien variiert etwa bei der Einstufung bestimmter Hochrisiko-Anwendungen (z. B. biometrische Systeme im öffentlichen Raum), bei Transparenzanforderungen gegenüber Endnutzern und in der Rolle lokaler Behörden und Gerichte bei der Durchsetzung.

Welche Branchen sind vom brasilianischen KI-Gesetz besonders betroffen?

Besonders stark betroffen sind Finanzdienstleister und FinTechs, Gesundheitswesen und MedTech, Plattformen und Consumer-Apps mit generativer KI sowie der öffentliche Sektor. In diesen Bereichen werden viele Anwendungen als Hochrisiko eingestuft, was zu erhöhten Anforderungen an Validierung, Erklärbarkeit, Monitoring, Bias-Management und Nutzerrechte führt.

Was sollten Unternehmen jetzt tun, um das brasilianische KI-Gesetz zu erfüllen?

Unternehmen sollten zuerst eine Bestandsaufnahme aller in Brasilien genutzten oder von dort aus betriebenen KI-Systeme vornehmen und diese nach den brasilianischen Risikokategorien klassifizieren. Darauf aufbauend sind eine angepasste AI-Governance-Struktur, überarbeitete Verträge mit Anbietern, technische Controls wie Logging und Monitoring sowie Schulungen und klare Eskalationsprozesse zu implementieren.

Warum ist das brasilianische KI-Rahmengesetz strategisch bedeutsam für globale KI-Rollouts?

Brasilien positioniert sich als erster großer Regelsetzer für KI in Lateinamerika und schafft damit einen eigenständigen Regulierungsraum im Globalen Süden. Für global agierende Unternehmen bedeutet das, dass KI-Strategien nicht mehr nur an EU- oder US-Recht ausgerichtet werden können, sondern robuste, international anschlussfähige AI-Governance-Strukturen erforderlich sind, um Fragmentierung und regulatorische Risiken zu reduzieren.