Steht fest, dass Ihr KI-System als Hochrisiko gilt, folgt die eigentliche Arbeit: Der EU AI Act knüpft daran einen umfangreichen Katalog an Pflichten. Den Kern bilden die Art. 9 bis 15 – ergänzt um Konformitätsbewertung und Registrierung. Dieser Beitrag gibt einen praxisnahen Überblick.
Die Kernpflichten nach Art. 9–15
Art. 9 – Risikomanagementsystem. Sie müssen über den gesamten Lebenszyklus des Systems Risiken fortlaufend identifizieren, bewerten und mindern. Kein einmaliges Dokument, sondern ein laufender Prozess.
Art. 10 – Daten-Governance. Trainings-, Validierungs- und Testdaten müssen relevant, hinreichend repräsentativ und so weit wie möglich fehlerfrei sein. Besonders im Blick: die Vermeidung von Verzerrungen (Bias), die zu Diskriminierung führen können.
Art. 11 – Technische Dokumentation. Vor Inbetriebnahme muss eine vollständige Dokumentation vorliegen, die belegt, dass das System die Anforderungen erfüllt – detailliert genug, damit Behörden die Konformität prüfen können.
Art. 12 – Protokollierung. Das System muss Ereignisse automatisch aufzeichnen (Logging), um Nachvollziehbarkeit und Rückverfolgbarkeit über den Lebenszyklus sicherzustellen.
Art. 13 – Transparenz. Betreiber müssen das System verstehen und sachgerecht nutzen können. Dazu gehören klare Gebrauchsanweisungen zu Fähigkeiten, Grenzen und Zweck.
Art. 14 – Menschliche Aufsicht. Das System muss so gestaltet sein, dass Menschen es wirksam beaufsichtigen und im Bedarfsfall eingreifen oder abschalten können.
Art. 15 – Genauigkeit, Robustheit und Cybersicherheit. Das System muss ein angemessenes Maß an Genauigkeit erreichen, robust gegen Fehler arbeiten und gegen Manipulation abgesichert sein.
Konformitätsbewertung und Registrierung
Mit den Art. 9–15 ist es nicht getan. Hinzu kommen:
- Konformitätsbewertung (Art. 43) – der Nachweis, dass das System die Anforderungen erfüllt, samt CE-Kennzeichnung.
- Registrierung (Art. 49) – die Eintragung in die EU-Datenbank, bevor das System in Betrieb geht. Diese Pflicht besteht teils sogar dann, wenn Sie sich auf die Ausnahme nach Art. 6 Abs. 3 berufen.
Warum man damit nicht warten sollte
Diese Anforderungen sind keine Formalien, die man an einem Nachmittag erledigt. Ein Risikomanagementsystem, geprüfte Datenqualität und eine belastbare Dokumentation entstehen über Monate. Und sie hängen voneinander ab: Ohne saubere Daten-Governance lässt sich Genauigkeit nicht belegen, ohne Dokumentation keine Konformität nachweisen.
Wann genau die Pflichten greifen – und was der mögliche Aufschub aus dem Digital-Omnibus-Paket daran ändert – lesen Sie in unserem Beitrag zu den Fristen des EU AI Act.
Zuerst die Einstufung klären
Der gesamte Pflichtenkatalog greift nur, wenn Ihr System tatsächlich Hochrisiko ist. Bevor Sie also Ressourcen binden, lohnt die Ersteinschätzung: Unser kostenloser Check ordnet Ihr System in zwei Minuten ein und zeigt, welche dieser Pflichten auf Sie zukommen könnten.