Sieben Compliance-Pflichten für Hochrisiko-KI-Systeme nach dem EU AI Act

Unternehmen, die KI-Systeme entwickeln oder einsetzen, die unter die Hochrisiko-Kategorie des EU AI Act fallen, müssen ab August 2026 konkrete regulatorische Pflichten erfüllen. Der EU-Rechtsakt über Künstliche Intelligenz (Verordnung (EU) 2024/1689) unterscheidet dabei systematisch zwischen Anbietern (Providers) und Betreibern (Deployers) — eine Unterscheidung, die über den Umfang der eigenen Compliance-Verantwortung entscheidet. Dieser Artikel gibt einen strukturierten Überblick über die sieben zentralen Pflichten.

1. Risikomanagementsystem

Anbieter von Hochrisiko-KI-Systemen sind verpflichtet, ein kontinuierliches Risikomanagementsystem einzurichten und zu dokumentieren (Art. 9 EU AI Act). Dieses System muss die gesamte Lebensdauer des KI-Systems abdecken — von der Entwicklung über das Inverkehrbringen bis zur Nachmarktüberwachung. Das Risikomanagement umfasst die Identifikation bekannter und vorhersehbarer Risiken, deren Bewertung sowie geeignete Abhilfemaßnahmen.

2. Daten-Governance und Trainings-Datensätze

Hochrisiko-KI-Systeme müssen auf der Grundlage geeigneter Trainings-, Validierungs- und Testdatensätze entwickelt werden (Art. 10 EU AI Act). Die Daten-Governance-Pflichten umfassen Anforderungen an Relevanz, Repräsentativität, Fehlerfreiheit und Vollständigkeit der verwendeten Datensätze. Für Unternehmen, die Drittanbieter-Modelle einsetzen, stellt sich die Frage, wie diese Pflichten vertraglich abgesichert werden können.

3. Technische Dokumentation

Vor dem Inverkehrbringen eines Hochrisiko-KI-Systems muss eine umfassende technische Dokumentation erstellt werden (Art. 11 EU AI Act, Anhang IV). Diese Dokumentation muss Angaben zu Zweck, Leistung, Risiken, Trainingsverfahren, Testdaten und Designentscheidungen enthalten. Die Dokumentation ist aktuell zu halten und auf Anfrage den zuständigen Marktüberwachungsbehörden zugänglich zu machen.

4. Automatische Protokollierung (Logging)

Hochrisiko-KI-Systeme müssen technische Maßnahmen zur automatischen Protokollierung von Ereignissen umfassen (Art. 12 EU AI Act). Die Logs müssen eine Rückverfolgung von Entscheidungen ermöglichen und über den gesamten Lebenszyklus des Systems aufbewahrt werden. Die Dauer der Aufbewahrung richtet sich nach dem jeweiligen Anwendungsfall und den sektorspezifischen Anforderungen.

5. Transparenz und Bereitstellung von Informationen

Anbieter müssen Betreibern hinreichende Informationen über das KI-System bereitstellen — insbesondere über Zweck, Leistungsgrenzen, Wartungsanforderungen und verbleibende Risiken (Art. 13 EU AI Act). Diese Informationspflicht dient der Grundlage für eine informierte Nutzungsentscheidung und die Erfüllung der Betreiberpflichten. In der Praxis erfolgt dies typischerweise über technische Gebrauchsanweisungen und Conformity Documentation.

6. Menschliche Aufsicht (Human Oversight)

Eine der Kernanforderungen des EU AI Act ist die Verpflichtung zur Ausgestaltung menschlicher Kontrollmechanismen (Art. 14 EU AI Act). Hochrisiko-KI-Systeme müssen so konzipiert sein, dass natürliche Personen die Systemausgaben überwachen, hinterfragen und gegebenenfalls außer Betrieb setzen können. Dies hat erhebliche Auswirkungen auf das technische Design und die operativen Prozesse.

7. Genauigkeit, Robustheit und Cybersicherheit

Das KI-System muss ein angemessenes Niveau an Genauigkeit, Robustheit und Cybersicherheit aufweisen (Art. 15 EU AI Act). Diese Anforderungen müssen durch Leistungskennzahlen belegt und in der technischen Dokumentation nachgewiesen werden. Für Systeme, die in der EU, dem Vereinigten Königreich und Griechenland eingesetzt werden, können darüber hinaus sektorspezifische Sicherheitsanforderungen gelten.

Konformitätsbewertung und CE-Kennzeichnung

Nach Erfüllung der Compliance-Pflichten ist vor dem Inverkehrbringen eine Konformitätsbewertung durchzuführen (Art. 43 EU AI Act). Abhängig von der Risikokategorie kann diese intern erfolgen oder eine notifizierte Stelle (Notified Body) erfordern. Das System muss anschließend in der EU-Datenbank für Hochrisiko-KI-Systeme registriert werden und darf die CE-Kennzeichnung tragen.

Häufig gestellte Fragen (FAQ)

Gilt der EU AI Act auch für KMU und Start-ups?

Ja. Der EU AI Act enthält zwar erleichterte Anforderungen für Kleinstunternehmen und bestimmte KMU, die Kernpflichten für Hochrisiko-KI-Systeme gelten jedoch unabhängig von der Unternehmensgröße, sofern das System auf dem EU-Markt bereitgestellt wird.

Ab wann gelten die Pflichten für Hochrisiko-KI-Systeme?

Die Anwendbarkeit der Pflichten für Hochrisiko-KI-Systeme gemäß Anhang III beginnt am 2. August 2026. Die Pflichten für verbotene KI-Praktiken (Art. 5) gelten bereits ab dem 2. Februar 2025.

Was ist der Unterschied zwischen Anbieter und Betreiber?

Als Anbieter (Provider) gilt, wer ein KI-System entwickelt oder entwickeln lässt und unter eigenem Namen oder eigener Marke in Verkehr bringt. Als Betreiber (Deployer) gilt, wer ein KI-System in eigener Verantwortung einsetzt. Die Pflichten beider Rollen unterscheiden sich erheblich — eine genaue Einordnung ist daher der erste Schritt jeder AI-Act-Compliance.

Welche Sanktionen drohen bei Verstößen?

Verstöße gegen den EU AI Act können mit Geldbußen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden (Art. 99 EU AI Act), je nachdem, welcher Betrag höher ist. Für KMU sind reduzierte Obergrenzen vorgesehen.